Datenschutz Schweiz aktuell

Nationaler Aktionsplan Radikalisierung – Datenschutzbeauftragte einbeziehen!

Am 4. Dezember 2017 haben Bund, Kantonen und Gemeinden den Nationalen Aktionsplan zur Verhinderung und Bekämpfung von Radikalisierung und gewalttätigem Extremismus vorgestellt. Er enthält 26 Massnahmen. Zum Teil können diese auf laufenden Bemühungen aufbauen, zum Teil müssen erst noch gesetzliche Grundlagen geschaffen werden.

privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, unterstützt den vorgelegten Aktionsplan grundsätzlich, weist aber darauf hin, dass generell bei jedem Informationsaustausch die datenschutzrechtlichen Vorgaben des Bundes- bzw. kantonalen Rechts einzuhalten sind. privatim fordert deshalb die Verantwortlichen von Bund und Kantonen auf, die Datenschutzbeauftragten frühzeitig in die Umsetzungsprozesse einzubeziehen. Es reicht nicht aus, die verschiedenen Konferenzen der Fachdirektoren, wie zum Beispiel die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) oder die Konferenz der kantonalen Sozialdirektorinnen und Sozialdirektoren (SODK), zur Vernehmlassung einzuladen. Diese holen Stellungnahmen in aller Regel einzig innerhalb ihres Fachbereiches ein. Damit bleiben die Datenschutzbehörden und Datenschutzanliegen aussen vor.

Zur Website des Sicherheitsverbundes Schweiz:
www.svs.admin.ch/de/home.html

Zum Nationalen Aktionsplan:
www.svs.admin.ch/content/svs-internet/de/medieninformationen/medienmitteilungen.detail.nsb.html/69082.html

Digitalisierung braucht wirksamen Datenschutz

Am heutigen ersten Schweizer Digitaltag werden zu Recht die Chancen der Digitalisierung hervorgehoben. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, bekräftigt die Wichtigkeit der Digitalisierung für die Schweizer Wirtschaft. Wenn diese aber zulasten des Persönlichkeitsschutzes der Bürgerinnen und Bürger geht, verliert sie unweigerlich an Vertrauen und Akzeptanz.

Die Digitalisierung rückt immer weiter vor. Dadurch eröffnen sich neue Chancen für die Schweizer Wirtschaft und für Bürgerinnen und Bürger. Nicht nur können Behörden und Unternehmen dank der Digitalisierung Kosten sparen, es eröffnen sich auch ganz neue Geschäftsfelder. Unternehmen können neue Dienstleistungen anbieten und wirtschaftlich wachsen. Auch privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, anerkennt diese Chancen und bekräftigt die Wichtigkeit der Digitalisierung für den Wirtschaftsstandort Schweiz (weiterlesen).

Das revidierte Datenschutzgesetz ist keine souveräne Lösung

Es ist bedauerlich, dass der Bundesrat nicht den Mut gehabt hat, souverän einen schweizerischen Weg zu suchen und einfache Datenschutzregeln aufzustellen.

Beat Rudin, Bruno Baeriswyl und Claudia Mund

Vier Ziele sollten mit der Revision des Datenschutzgesetzes (DSG) erreicht werden: Erstens die Stärkung des Datenschutzes, nachdem die vom Bundesrat in Auftrag gegebene Gesetzesevaluation empfindliche Schwächen aufgedeckt hatte; Punkt zwei und drei betreffen die Umsetzung der modernisierten Datenschutzkonvention des Europarats sowie der EU-Datenschutzrichtlinie für die polizeiliche und justizielle Zusammenarbeit, die aufgrund der Schengen-Assoziierung auch für die Schweiz gilt. Und viertens brauchen Schweizer Unternehmen und Bundesbehörden für den Datenaustausch mit Unternehmen und Behörden in den EU-Mitgliedstaaten ein angemessenes Datenschutzniveau.

Hat der Bundesrat mit seiner Revisionsvorlage die vier Ziele erreicht? Wir sind überaus skeptisch. Zwar wurden die Wehklagen verschiedener Unternehmen berücksichtigt und viele Bestimmungen für private Datenbearbeiter entschärft. Aber auf grundsätzliche Kritik in der Vernehmlassung, beispielsweise am Sanktionssystem, ist er überhaupt nicht eingetreten. Ob es den Schweizer KMU hilft, wenn das Gesetz nun so vage formuliert wird, dass nicht mehr klar ist, was sie tun dürfen und was nicht? Und was haben die Bürger davon, wenn die Stärkung des Datenschutzes immer wieder auf halbem Weg steckenbleibt? So ist mit der für Datenbearbeiter vorgesehenen Dokumentationspflicht keine Beweislastumkehr in Zivilverfahren verbunden. Und ein so wichtiger Punkt wie die Datenportabilität – also das Recht der Nutzer, ihre Daten zu einem neuen Datenbearbeiter mitzunehmen – wird auf unbestimmte Zeit verschoben. Gesamthaft fehlt eine fundierte Auseinandersetzung mit der Wirkung der vorgesehenen Massnahmen: Können sie die Rechte der Betroffenen tatsächlich verbessern? Wie wirken sie sich auf Unternehmen aus? Und wird der Wirtschaftsstandort Schweiz am Ende wirklich gestärkt?

Herausgekommen ist ein überaus kompliziertes Regelwerk. In der vorgeschlagenen Form wird das totalrevidierte Datenschutzgesetz seinem Charakter als Grundsatzgesetz nicht mehr gerecht und ist alles andere als einfach zu verstehen. Für Betroffene ist nur schwer verständlich, welche Rechte sie nun wahrnehmen können, für Schweizer Unternehmen wiederum kaum abschätzbar, was nun an Pflichten konkret auf sie wartet.

Die DSGVO wird weltweit als wichtiger Schritt zur Stärkung des Datenschutzes und somit der Rechte der Menschen in der digitalen Welt angesehen.

Der Bundesrat hat den Zeitdruck und den Konformitätszwang mit dem EU-Recht überschätzt. Zwar gibt das Schengen-Assoziierungsabkommen eine Umsetzung innert zweier Jahre vor, doch diese Frist ist keine Guillotine, wenn sichtbar an der Umsetzung gearbeitet wird. Und über die Angemessenheit des Schweizer Datenschutzniveaus wird die EU-Kommission irgendwann nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) befinden; auch daraus ergibt sich keine absolute Deadline. An der Internationalen Datenschutzkonferenz in Hongkong hat sich zweierlei gezeigt: Die DSGVO wird weltweit als wichtiger Schritt zur Stärkung des Datenschutzes und somit der Rechte der Menschen in der digitalen Welt angesehen. Die Schweiz tut also gut daran, den Anschluss an diese Entwicklung nicht zu verpassen. Damit der Datenaustausch mit Unternehmen und Behörden in den EU-Ländern auch weiterhin ohne weiteres möglich bleibt, muss sie ein angemessenes Datenschutzniveau garantieren. Doch dies heisst nicht zwingend – so die zweite wichtige Erkenntnis in Hongkong –, dass die Bestimmungen der DSGVO wortgetreu ins Landesrecht übernommen werden müssen. Vorausgesetzt wird eine vergleichbare Schutzwirkung. Und die lässt sich auch mit anderen Regelungen und Instrumenten erreichen.

Als Gastkommentar publiziert in der NZZ vom 31.10.2017

Verwendung der AHV-Nummer mit hohen Risiken verbunden

In über 14’000 staatlichen Datenbanken wird heute als zusätzlicher Personenidentifikator die AHV-Nummer (AHVN13) eingesetzt. Ein Gutachten der ETH Zürich zeigt, dass die damit verbundenen Risiken für den Schutz und die Sicherheit von Bürgerdaten hoch sind. Die kantonalen Datenschutzbeauftragten, Mitglieder von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, verlangen deshalb von den Kantonsregierungen, auf die weitere Verwendung der AHV-Nummer als universeller Personenidentifikator zu verzichten.

privatim macht seit langem darauf aufmerksam, dass der umfassende Einsatz der AHV-Nummer in den Datenbanken der öffentlichen Verwaltung die Grundrechte der Bürgerinnen und Bürger gefährdet. Das Gutachten, das David Basin, Professor für Informationssicherheit an der ETH Zürich, nun vorlegt, macht das Ausmass der Risiken deutlich und zeigt, dass diese mit der immer breiteren Verwendung der Sozialversicherungsnummer weiter zunehmen.

Vorname, Name und Geburtsdatum genügen, um 99,98 Prozent der Bevölkerung eindeutig zu identifizieren. Dass zurzeit in über 14’000 staatlichen Datenbanken zusätzlich auch die AHV-Nummer als eindeutiger Identifikator Verwendung findet, erhöht die Verknüpfbarkeit von Personendaten und damit die Gefahr ihrer missbräuchlichen Verwendung. Dazu kommt, dass die Sicherheitsmassnahmen bei vielen dieser Datenbanken ungenügend sind. Sie können somit ein leichtes Ziel von Hackerangriffen werden. Die Daten die dabei in falsche Hände geraten würden, liessen sich ohne weiteres mit zusätzlichen heiklen Informationen über Bürgerinnen und Bürgern verknüpfen.

Prof. Basin zeigt in seiner Analyse, dass die im Rahmen von eGovernment-Initiativen verfochtene Einführung der AHV-Nummer als Einheits-Personenidentifikator aus Sicht der Sicherheit und des Schutzes von Personendaten unverantwortlich ist.

privatim hat sich bereits verschiedentlich dafür ausgesprochen, anstelle der AHV-Nummer sektorielle Personenidentifikatoren einzusetzen, so wie es das Gesetz beim elektronischen Patientendossier und beim Handelsregister vorsieht. Prof. Basin weist in seinem Gutachten nach, dass dies zwar die Missbrauchsrisiken auf einen Sektor beschränken kann, aber noch keine genügende Sicherheit bietet. privatim schliesst sich deshalb seinen Schlussfolgerungen an: Es sind zukünftig nur noch sektorielle Personenidentifikatoren einzuführen, die nicht direkt mit identifizierenden Personendaten verbunden sind, sondern eine Verbindung nur über speziell gesicherte Prozesse ermöglichen. Mit diesem Ansatz können die mit der zunehmenden Verwendung der AHV-Nummer bereits bestehenden Risiken für die Privatsphäre zukünftig substantiell verringert werden.

Es liegt nun am Bundesrat, auf Bundesebene die Konsequenzen aus der vorliegenden umfassenden Risikoanalyse zu ziehen. Die kantonalen Datenschutzbeauftragten als Mitglieder von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, wenden sich gleichzeitig  auch an die Kantonsregierungen und fordern diese auf, die Verantwortung für den Schutz und die Sicherheit der Daten ihrer Bürgerinnen und Bürger auf der Ebene ihrer Kantone wahrzunehmen und die weitere Verbreitung der Verwendung der AHV-Nummer in den Datenbanken zu stoppen.

Das Gutachten von Prof. Dr. David Basin, ETH Zürich, wurde vom Bundesamt für Justiz (BJ) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Auftrag gegeben und ist auf den Websiten des BJ und des EDÖB abrufbar.

Zum Thema: Kritik an breiter Verwendung der AHV-Nummer, NZZ 25.10.17

Nachlese: Ist das medizinische Berufsgeheimnis am Ende?

 

Immer mehr Ärzte und Spitäler lagern die elektronische Verwaltung, Archivierung und Bearbeitung ihrer Patientendaten an Dritte aus.  Seit Jahren stellt sich  die Frage, ob dieses Outsourcing von patientenbezogenen Gesundheitsdaten mit dem Datenschutz überhaupt vereinbar ist. An einem Kolloquium im Rahmen seines Frühjahrplenums in Schaffhausen hat privatim nach Antworten gesucht. In unserem Dossier finden Sie eine Zusammenfassung der Referate und der Podiumsdiskussion, die Pressemitteilung sowie einen Meinungsartikel in den Schaffhauser Nachrichten zum Thema.

(weiterlesen…)

alle Posts

privatim liest

Facebook darf Nicht-Mitglieder nicht verfolgen

Ein belgisches Gericht verbietet Facebook, Surfdaten von Nutzern zu erfassen, die keinen Account bei dem Social Network haben. Dem Unternehmen bleibt nur sehr wenig Zeit, das Urteil umzusetzen – sonst wird es teuer.

17.2.2018, NZZ

Google weiss mehr über uns als wir meinen

Dass Google über seine Apps Standortinformationen sammelt, weiss jeder.  Nutzer geben dem Konzern aber noch weit mehr preis. Das zeigen abgefangene Smartphone-Daten.

9.2.18,  Tages-Anzeiger

Datenschutzgesetz: Die Hürden für Firmen werden tiefer – auf Kosten der Mitarbeiter

Kommt der Entwurf für ein neues Datenschutzgesetz durch, können sich Schweizer Unternehmen leichter bei Rechtsstreitigkeiten mit ausländischen Behörden wehren. Für die Mitarbeiter wird es aber schwieriger, ihre Daten vor einer Lieferung ins Ausland zu schützen.

5. 2.2018, NZZ

The microphone is always on

A warrant from police in Arkansas seeking audio records of a man’s Amazon Echo has sparked an overdue conversation about the privacy implications of “always-on” recording devices. This story should serve as a giant wakeup call about the potential surveillance devices that many people are starting to allow into their own homes.

13.1.18, aclu.org

Telltale Heart

The computer that keeps you alive can also, quite litteraly, put you in jail. The use of wearable and bio-technology — like a pacemaker — as evidence in investigations poses many difficult questions about privacy and security.

14.2.17, Gizmodo

alle Posts