Aus dem Unterricht des CAS Digital Risk Management (Digitalisierung und Datenschutz) mit Dr. iur. Bruno Baeriswyl, dem Datenschutzbeauftragten des Kantons Zürich, berichten Kai Dorner und Sebastian Arnold.

„Der Facebook-Skandal“

Missbraucht Facebook Daten der Nutzerinnen und Nutzer?

Entspricht die Datenbearbeitung durch Facebook den Vorgaben des schweizerischen Datenschutzgesetzes (DSG)?

  • „Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen.“ (Art.4 Abs.5 DSG)
  • Durch die informierte Einwilligung (informed consent) erlaubt eine Person einer anderen, in ihr zustehendes Recht einzugreifen. Die Einwilligung erlaubt, was sonst verboten ist.
  • Kritik: Geschäftszweck des Unternehmens soll in direkter Verbindung mit den AGBs stehen.
  • Kern der AGBs: Was stimmt man durch die Einwilligung zu?
  • Problematik: Etwas Geschriebenes wird anders ausgelegt, man interpretiert etwas hinein. Steht es dem Businessmodel entgegen kann eine Täuschung vorliegen.

«EU Datenschutzgrundverordnung» (DSGVO)

  • Wird am 25. Mai 2018 in Kraft treten.
  • Für alle Akteure, die auf dem Gebiet der EU tätig sind, unmittelbar anwendbar.
  • Bürgerinnen und Bürger erhalten mehr Kontrolle über ihre Personendaten; zudem nimmt die DSGVO die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden.
  • Schweizer Unternehmen werden teilweise von der Datenschutz-Grundverordnung direkt betroffen sein.

Die EU-Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz:

  • Räumlicher Anwendungsbereich (Marktortprinzip; Art. 3).
  • Gleichwertiges Datenschutzniveau.

Personendaten oder Sachdaten?

  • IP-Adresse? Personendaten, da der User bestimmbar ist.
  • Gerätenummer? Personendaten, da der Eigentümer bestimmbar ist.
  • Verschlüsselte Daten? Für diejenigen die die Daten entschlüsseln können: Personendaten. Für diejenigen die den Schlüssel zur Entschlüsselung nicht besitzen: Sachdaten.
  • Pseudonymisierte Daten? Sachdaten, solange man nicht weiss, um wen es sich hierbei handelt. Problem mit Big Data: Je mehr Daten man hat, desto wahrscheinlicher kann es sein, die pseudonymisierten Daten aufgrund von Rückschlüsse zu reproduzieren.

⇒ Personendaten sind bestimmte oder bestimmbare Daten

Begrifflichkeiten

Unterschied zwischen Regenschutz und Datenschutz?

 

 

 

  • Der Regenschutz schützt nicht den Regen, sondern die Person vor dem Regen!
  • Das Schweizer Datenschutzgesetz (DSG) schützt die Person und nicht die Daten!

⇒ Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. (Art. 1 DSG)

Besonders schützenswerte Daten sind Informationen welche eine besondere Bedeutung für die jeweilige Person hat.

Sieben Grundprinzipien des Schweizer Datenschutzes

Es gelten sieben Grundprinzipien einzuhalten (Art. 4 DSG):

  1. Rechtmässigkeit: Zur Bearbeitung von Daten braucht es einen Rechtfertigungsgrund (von Gesetzeswegen, durch Einwilligung der betroffenen Person oder überwiegendes Interesse).
  2. Verhältnismässigkeit: Es gilt: „So viel wie nötige, so wenig wie möglich“
  3. Zweckbindung: Die Daten dürfen nur zu dem Zweck, der bei der Erhebung transparent war, verwendet werden.
  4. Erkennbarkeit: Die Beschaffungsart und der Zweck der Datenerhebung und -nutzung müssen klar erkennbar sein.
  5. Verantwortlichkeit: Der Verantwortliche muss bekannt und die Datenbearbeitung nachvollziehbar sein.
  6. Informationssicherheit: Es müssen organisatorische und technische Massnahmen zum Schutz der Daten getroffen werden. Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachvollziehbarkeit müssen gewährleistet sein.
  7. Kontrolle: Jede Person kann ein Auskunfts-, Widerspruchsrecht und das Recht auf Berichtigung und Vernichtung ohne Begründung ausüben.

 Neuerungen im Datenschutzrecht

Aktuelle Entwicklungen im Datenschutz der Schweiz unter Berücksichtigung der Entwicklungen in der EU:

  1. Konvention SEV 108 (Sammlung Europäischer Verträge): Einwilligung, Biometrische Daten, Meldung Datenschutzverletzungen, Informationspflicht, Automatisierte Entscheidungen, Auskunftsrecht, Dokumentation Compliance, Datenschutz-Folgenabschätzung, Technikgestaltung, Aufsichtsbehörde
  2. Richtlinie “Polizei und Justiz”: Profilen, Auftragsdatenbearbeiter, Verzeichnis Verarbeitsungstätigkeiten, Vorkonsultation, Datenschutzberater
  3. Datenschutzverordnung: Recht auf Dartenportabilität, Recht auf “Vergessen werden”, Selbstregulierungen, monetär basiertes Sanktionssystem
  4. Revision DSG: Datenschutz durch Technik, Verhaltenskodizes, Verzeichnis Datenbearbeitungstätigkeiten, Informationspflicht Beschaffung, Automatisierte Einzelentscheidungen, Datenschutzfolgenabschätzung, Meldung, Untersuchungskompetenzen, Strafbestimmungen

Entstehung und Funktion Datenschutz; Milestones

  1. 1890: The Right to Privacy
  2. 1950: EMRK Art. 8, Recht auf Achtung des Privat- und Familienlebens:–(1)  Jede Person hat das Recht auf Achtung ihres Privat— und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.–(2)  Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.
  3. 1999: Bundesverfassung Art. 13, Schutz der Privatsphäre:–(1) Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.–(2) Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.

Offene Fragen seitens CAS Teilnehmer/innen

  • Sammeln von Daten: Unendlich möglich, ausser es sind personenbezogene Daten. In diesem Fall benötigt man eine Rechtfertigung. Das Sammeln von Datenfällt nicht unter den Datenschutz, solange man zwischen dem Sammeln und deren Auswertung sie anonymisiert.
  • Jugendliche/AGBs: Die Urteilsfähigkeit (= Person kann die Konsequenzen Ihres Handelns abschätzen) des Jugendlichen muss gewährleistet sein. In der Regel ist dies zwischen 12-14 Jahre (keine fixes Alter). Darunter ist es nur mit der Einwilligung der Eltern rechtsgültig. Beispiel Facebook: Bei Facebook muss man mindestens 13 Jahre alt sein: „Du nutzt Facebook nicht, wenn du unter 13 Jahre alt bist.“ (Kapitel „Registrierung und Kontosicherheit“ der allgemeinen Nutzungsbedingungen)
  • Verantwortung: Datenschutzrechtliche Verantwortungen unterliegen dem Unternehmen bzw. Staat.
  • Daten über Ausländer in der Schweiz: Die Unternehmen unterliegen dem Schweizer Datenschutz. Durch die Einwilligung der betroffenen Person, können die Daten auch ausserhalb der Schweiz, nach ausländischem Recht, behandelt werden.

Offene Fragen seitens CAS Teilnehmer/innen (2)

  • Zugriff der Unternehmen auf Mitarbeiterdaten: Die Mitarbeiter eines Schweizer Unternehmens unterliegen dem Schweizer Recht. Dies gilt auch für Grenzgänger.
  • Welche Daten wie koppeln (z.B. Gewinnspiel): Solange ein Rechtfertigungsgrund zur Datenerhebung vorliegt, ist das Sammeln rechtsgültig. Das Gewinnspiel muss transparent ausgestaltet sein und der User muss immer seine Einwilligung hierzu geben. Wer an einem Gewinnspiel freiwillig teilnimmt, nimmt auch die in Folge in Form von eintreffender physische oder elektronische Werbung in Kauf.
  • Awareness (z.B. User Credentials abfragen): Die Erlangung von Berechtigungsnachweisen (Benutzernamen und Passwörter) erreicht man z.B. durch Phishing Attacken. Im Unternehmensumfeld ist es okay, solange man klare Regeln definiert und die fachverantwortliche Stelle darüber informiert ist (z.B. CISO). Es gibt hingegen keinen Rechtfertigungsgrund einen offenen Test im öffentlichen Raum (bspw. Starbucks) durchzuführen, um zu schauen wie viele Personen nicht sensibilisiert sind.
  • Datenschutz vs. Datensicherheit: Datenschutz bezieht sich nicht auf die vorhandenen Daten, sondern auf deren Ursprung. Es geht um die gesetzlichen Vorschriften zum Schutz von personenbezogenen Daten. Datensicherheit, auch Informationssicherheit genannt, stellt die Eigenschaften von IT-Systemen wie Vertraulichkeit, Verfügbarkeit und Integrität sicher. Es sind technische Lösungen und Massnahmen die zum Schutz der Daten dienen.
  • CLOUD Act: Der CLOUD (Clarifying Lawful Overseas Use of Data) Act ist ein amerikanisches Gesetz. Es verpflichtet amerikanische Unternehmen (z.B. Microsoft) den Zugriff seitens Behörden auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Es beinhaltet den weltweiten Zugriff auf Nutzerdaten bei Internet-Unternehmen.