Aus dem Unterricht des CAS Digital Risk Management mit Dr. iur. Bruno Baeriswyl (Datenschutzbeauftragter des Kantons Zürich) berichten Marco Dörflinger und Simone Heidenreich über folgende Themen:

 

  1. Was geht die Europäische Datenschutz-Grundverordnung (DSGVO) die Schweiz an?
  2. Was ist das Ziel der DSGVO?
  3. Revision des Schweizer Bundesgesetz über den Datenschutz (DSG)
  4. Grundlagen des DSG
  5. Anwendbarkeit / wer bearbeitet Daten?
  6. Die Grundprinzipien des DSG
  7. Neuerungen im DSG
  8. Herausforderung Outsourcen / Cloud Dienste (USA) / Bring Your Own Device (BYOD)
  9. Warum Facebook und WhatsApp in der Kritik stehen
  10. Ausblick zur Entwicklung des Datenschutzes
  11. Entstehung Schutz der Privatsphäre (Privacy)

Was geht die Europäische Datenschutz-Grundverordnung (DSGVO) die Schweiz an?

Dr. iur. Bruno Baeriswyl, Datenschutzbeauftragte des Kantons Zürich, geht zum Einstieg auf die Entwicklung der neuen Datenschutzgesetzgebungen in Europa (EU) und der Schweiz ein. Die Schweiz hat keine gesetzliche Verpflichtung die DSGVO anzuwenden. Das Interesse der Schweiz besteht darin ein gleichwertiges Datenschutzniveau wie die EU zu erreichen. Viele Schweizer Unternehmen denken sie wären gemäss Art. 3 der DSGVO zur deren Einhaltung verpflichtet, wenn sie Personendaten von EU Bürgern bearbeiten. Die Einhaltung der EU Gesetzgebung ist für die Schweiz nicht zwingend. Nur, wenn das Schweizer Unternehmen eine Zweigniederlassung in der EU hat.

Was ist das Ziel der DSGVO?

Das Ziel der neuen DSGVO ist die Harmonisierung des Datenschutzrechtes innerhalb der EU. Die Reform ist in der EU bereits abgeschlossen. Es geht jetzt um die Tauglichkeit sowie um allgemeine Praxisfragen. Die EU wird in den nächsten Jahren voraussichtlich zuerst mit sich selbst beschäftig sein, bevor sie nicht EU Länder angeht.

Revision des Schweizer Bundesgesetz über den Datenschutz (DSG)

In der Schweiz geht es darum, was man von der DSGVO übernehmen will und was anders gestaltet werden soll. Nach dem Entscheid des Parlaments, die Revision des DSG in zwei Etappen aufzuteilen, ist am 1. März 2019 zuerst das Schengen-Datenschutzgesetz (SDSG) in Kraft getreten. Welches besonders für das Bundesamt für Polizei (fedpol), das Bundesamt für Justiz (BJ) und die Bundesanwaltschaft gilt. Die Revision des DSG ist im Gesetzgebungsverfahren und tritt frühestens 2020 in Kraft.

Grundlagen des DSG

Der Datenschutz schütz Personen im Bezug der Datenverarbeitung.
Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten verarbeitet werden (Art. 1 DSG).
Es ist das Grundrecht der persönlichen Freiheit gegenüber dem Staat (Bundesverfassung) und gegenüber privaten Dritten (Zivilrecht).
Ein Eingriff in die „Privatsphäre“ ist nur erlaubt, wenn die Grundsätze der rechtmässigen Datenbearbeitung eingehalten werden (gesetzliche Grundlage) und die Datenbearbeitung durch einen Rechtfertigungsgrund legitimiert ist (Einwilligung).

Anwendbarkeit / wer bearbeitet Daten?

Das DSG ist nur relevant, wenn es sich um Personendaten handelt. Bei den Personendaten unterscheidet man die besonders schützenswerten Personendaten (Art 3, DSG). Das heisst, je sensibler die Personendaten sind, desto besserer muss ihr Schutz sein. Anonymisierte Personendaten fallen nicht in den Anwendungsbereich des DSG. Auch Gerätenummern (MAC-Adressen) nicht. Anders ist das bei IP Adressen. Sie unterstehen dem DSG (Rückschluss auf Person möglich). Verschlüsselte Personendaten fallen unter das DSG, wenn der Schlüssel zum Entschlüsseln der Daten vorhanden ist. Auch pseudonymisierte Personendaten haben DSG Relevanz.

Hinweis: Private können unter das öffentlich-rechtliche Datenschutzrecht fallen wen sie Aufgaben für Kanton oder Bund ausführen.

Die Grundprinzipien des DSG sind:

Die Rechtmässigkeit

Es braucht ein Gesetz, welches mir sagt ich darf Personendaten bearbeiten (einziger Rechtfertigungsgrund für öffentliche Organe, um Daten zu verarbeiten). Es braucht eine Rechtfertigung zur Bearbeitung, beispielsweise die Einwilligung, weil sonst die Verhältnismässigkeit nicht eingehalten werden kann.

Verhältnismässigkeit

Es gilt das Prinzip: So viel wie nötig, so wenig wie möglich. Kriterien für die Verhältnismässigkeit sind Umfang und Inhalt der Personendatensammlung, die Aufbewahrungsdauer, die Zugangsmöglichkeit sowie die Art und Weise der Datenverarbeitung. Für den Staat ist eine unverhältnismässige Datenbearbeitung verboten.

Zweckbindung

Eine Personendatenbearbeitung darf nur zum angegebenen Zweck erfolgen. Eine Zweckänderung darf nur auf einer gesetzlichen Grundlage oder mit einem Rechtfertigungsgrund erfolgen.

Erkennbarkeit

Jegliches Beschaffen von Personendaten muss erkennbar sein. Die Form der Einwilligung kann unterschiedlich sein, ist aber wesentlich. Verboten ist die heimliche Beschaffung, wodurch der Grundsatz von Treu und Glauben verletzt würde (beispielsweise das heimliche Filmen am Arbeitsplatz).

Hinweis: Die in diesem Zusammenhang gestellte Frage ist, ob das Beschaffen von öffentlich zugänglichen Informationen (OSINT) auch darunterfällt. Gemäss Dr. iur. Bruno Baeriswyl befindet man sich hier in einem Graubereich, da die Informationen der „Öffentlichkeit“ zur Verfügung gestellt wurden.

Verantwortlichkeit

Es gilt der Grundsatz, dass die Personendatenbearbeitung jemandem zugerechnet werden kann und sie für die betroffene Person nachvollziehbar sein soll.

Informationssicherheit

Wer Personendaten verarbeitet muss dafür sorgen, dass die Daten sicher sind. Dies gilt umso mehr für die besonders schützenswerten Personendaten. Zudem muss die Verfügbarkeit der Daten, deren Authentizität und Nachvollziehbarkeit gewährleistet sein.

Kontrolle der Einhaltung des Datenschutzes

Die individuelle Kontrolle: Jede Person hat das Recht nachzufragen, welche Daten über sie bearbeitet wurden (Auskunftsrecht). Sie hat das Recht auf Berichtigung oder Vernichtung (sehr aufwändig und technisch nicht in jedem Fall möglich).
Die institutionelle Kontrolle: Durch den eidgenössischen und die kantonalen Datenschutzbeauftragten / Datenschutzbehörden. Unternehmen können die Kontrolle sowohl durch Externe als auch durch innerbetriebliche Datenschutzbeauftragte ausführen (Art. 11a, DSG).

Neuerungen im DSG

Als Minimalstandard bezüglich Datenschutz wird voraussichtlich die Konvention SEV 108+ vom Europarat eingeführt. Dabei ist die Einwilligung zur Personendatenverarbeitung wesentlich. Sie muss frei, informiert und eindeutig erfolgen. Wichtig ist der Aufbau von Schutzmassnahmen bezüglich der Erfassung und Bearbeitung  sensitiver Daten (biometrische Daten / Face Rekognition). Neu muss generell eine Meldung einer Datenschutzverletzung erfolgen (bisher nur bei sensiblen Personendaten). Bei automatisierten Entscheidungen muss die betroffene Person miteinbezogen werden. Das Auskunftsrecht gilt auch über Personendaten, welche zu einem Wert geführt haben. Der Rechtfertigungsgrund und die Einwilligungserklärung zur Datenbearbeitung muss nachweisbar sein (Compliance). Die Einführung einer Datenschutz-Folgenabschätzung (Risikoanalyse) wird gesetzlich verankert. Die technische Komponente zur Risikominimierung wird verschärft. Und, es wird eine Aufsichtsbehörde im Bereich Datenschutzverletzung geschaffen (EDÖB). Diese erhält Untersuchungs- und Interventionskompetenzen sowie Entscheidungsbefugnisse. Zudem werden Strafbestimmungen festgelegt.

Neue Herausforderungen (Outsourcing, Cloud Computing, BYOD)

Outsourcing

Im Zusammenhang mit dem DSG ist Outsourcen grundsätzlich zulässig. Hinsichtlich der Personendatenbearbeitung trägt das auftraggebende Unternehmen die Verantwortung. Es braucht keine Einwilligung, jedoch muss im Vorfeld ein Rechtfertigungsgrund für die Datenverarbeitung vorhanden sein (damit der Dienstleister die Daten überhaupt verarbeiten darf). Für Dienstleister mit US Firmensitz gilt das EU-U.S. Privacy Shield Framework. Ein freiwilliges Abkommen, wo sich US Unternehmen dazu verpflichten EU Datenschutzgrundsätze einzuhalten. Allerdings existiert keine Aufsicht, deshalb ist es umstritten.

Cloudlösung

Sind Daten in der Cloud genügend gschützt (Verschlüsselungstechnology, Auditmöglichkeiten, etc.)? Beachtet werden sollte, welche Daten nicht in die Cloud dürfen (Risiko Kontrollverlust). Cloud ist ein Problem, wenn man die Standards nicht aushandeln kann. Wesentlich sind die Abmachungen über Datacenter Standorte und anzuwendende Verschlüsselungsstandards (wer besitzt den Schlüssel zu welchen Daten).
Der US Cloud Act löst ein Problem für die USA. Sie hatten vor der DSGVO Zugriff auf alle Daten. Der Cloud Act gibt den USA weiterhin das Recht, global auf Cloud Daten von US Firmen zuzugreifen, sofern es US Bürger betrifft.

Hinweis: Es gibt einen Cloud Leitfaden für Banken.

Verwaltungsdienste und Cloud (Unterschied Verwaltung / Privatunternehmen)

Schweizer Verwaltungsdaten in der Cloud dürfen nur an Schweizer oder EU Standorten gespeichert werden. Es ist nur der Schweizer Datenschutzstandard und die schweizerische Gerichtbarkeit anwendbar. Der Private kann das Risiko auf den Einzelnen abschieben der Staat kann das nicht.

Bring Your Own Device (BYOD)

Bei BYOD ergeben sich aus datenschutzrechtlicher Sicht für beide Seiten verschiedene Problemfelder. Eine strikte Trennung von privaten und geschäftlichen Daten ist schwierig. Das kann zu einer Persönlichkeitsverletzung führen. BYOD ist ein Risikofaktor für Unternehmen, wenn das Gerät nicht von ihnen „gemanaged“ wird (Mobile-Device-Management). Und, wenn das Mobile Device Management (MDM) sicher umgesetzt wird, gehört das Gerät de facto wieder der Firma. Vom Unternehmen erfasste Daten richten sich nach den gesetzlichen Bestimmungen des Schweizer Obligationsrechts (Art. 328b, OR). Der Arbeitgeber darf Daten über den Arbeitnehmer bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (Norm). Wie lange dürfen Daten aufbewahrt werden? Hierzu erwähnt Dr. iur. Bruno Baeriswyl das Kriterium der Zweckmässigkeit.

Hinweis: Das Scannen und das Auswerten von geschäftlichen E-Mails muss transparent und begründet sein (Policy / Arbeitsvertrag). Bei der Auswertung muss der Arbeitgeber damit rechnen mindestens teilweise private Daten vorzufinden. Das kann eine Verletzung der Persönlichkeit des Arbeitnehmers bedeuten. Ausser es liegt ein Rechtfertigungsgrund nach Art. 13 Abs. 1 DSG vor (siehe Leitfaden EDÖB).

Warum Facebook und WhatsApp in der Kritik stehen

Es ist eine Frage der Transparenz darüber, was mit den Personendaten gemacht wird. Es wird regelmässig auf Kontaktlisten von WhatsApp und Facebook Benutzer zugegriffen (Synchronisation). Darunter befinden sich auch Kontakte, die weder Facebook noch WhatsApp verwenden. Und genau diese Kontakte haben weder Facebook noch WhatsApp eine Einwilligung für die Datenverarbeitung gegeben. Diese Praxis gilt somit als „problematisch“.

Hinweis: Datenrichtlinien von Facebook und WhatsApp

Ausblick zur Entwicklung des Datenschutzes

Das datenbasierte Businessmodell wird risikoreicher werden. Von daher ist die Folgenabschätzung und Transparenz wichtig. Damit erhält man eher eine rechtsgültige Einwilligung für die Personendatenverarbeitung. Vermutlich wird es zu mehr Bussen kommen (siehe kürzlich Google, 50 Mio.). Als neues Instrument wird vermutlich auch die 72 Stunden Regelung (Meldepflicht bei Datenschutzverletzungen) eine Rolle spielen.

Entstehung Schutz der Privatsphäre (Privacy)

Zum Abschluss des Unterrichts erzählt Dr. iur. Bruno Baeriswyl, wie der Schutz der Privatsphäre im Laufe der Zeit entstanden ist:
1890: „The Right of Privacy“ wurde das 1. Mal definiert und in die rechtliche Literatur aufgenommen (Samuel D. Warren/Louis D. Brandeis, Harvard Law Review 1890, 193 ff.)
1950: Art. 8 EMRK (Europäische Menschenrechtskonvention)
1999: Art. 13 BV (Bundesverfassung)
2019: Änderungen im DSG (Totalrevision)

Hinweis: 2007 grosser technischer Entwicklungsschritt (Herausforderung Privstsphäre/Datenschutz) mit der Einführung des ersten iPhones (Smartphone)


Schweizer Bundesgesetz über den Datenschutz (DSG)