Tag: datenschutz

DSG und Totalrevision DSG

Wir kennen das DSG wie unsere eigene Hosentasche, ebenso sind wir hautnah am Geschehen der aktuellen Totalrevision DSG und können Sie so aus erster Hand informieren.

 

Wir beraten, unterstützen und schulen Sie in allen Datenschutzfragen und stehen Ihnen auf Wunsch als Ihr externer betrieblicher Datenschutzverantwortlicher vor Ort bei Ihnen, stundenweise oder auf Mandatsbasis, als starke und kompetente Stütze zur Seite: auf Abruf sofort zur Stelle!

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 


 

Führen Sie eine Datensammlung?
Keine Zeit für Datenschutzfragen?
Fehlen Ihnen die personellen Ressourcen?

Wir kennen die Lösung: Die Datenschutzspezialisten der Swiss Infosec AG als Ihr externer betrieblicher Datenschutzverantwortlicher, auf Mandatsbasis oder stundenweise.

Der externe betriebliche Datenschutzverantwortliche spart Zeit und Geld

Halten Sie sich mit der Ernennung eines externen betrieblichen Datenschutzverantwortlichen an die Vorgaben des Datenschutzgesetzes (DSG).
Setzen Sie uns als externen betrieblichen Datenschutzverantwortlichen ein und Sie erhalten Datenschutzwissen und sparen Ressourcen.

Uns als externen betrieblichen Datenschutzverantwortlichen zu wählen, hat viele Vorteile für Sie!

Wir, als Ihr externer betrieblicher Datenschutzverantwortlicher, agieren schnell, kompetent und praxisorientiert, während Sie sich auf Ihre eigentlichen Kernkompetenzen konzentrieren können.

Unsere Datenschutzspezialisten können Sie einfach und unkompliziert als Ihren persönlichen externen betrieblichen Datenschutzverantwortlichen einsetzen – im Mandatsverhältnis oder auf Abruf (stundenweise).

Die Einhaltung der geforderten Vorgaben gemäss Datenschutzgesetz (Art. 11a DSG) liegt so in sicheren und neutralen Händen. Dieses Angebot ist unabhängig von der Betriebsgrösse und so auch für KMUs von grossem Vorteil.

Ihr externer betrieblicher Datenschutzverantwortlicher – persönlich, schnell und kompetent

Mit dem externen betrieblichen Datenschutzverantwortlichen konzentrieren Sie sich auf Ihre Kompetenzen und auf Ihre Kernaufgaben und lassen sämtliche Datenschutzfragen vom Experten bearbeiten.

Externer betrieblicher Datenschutzverantwortlicher-Vorteil Nr. 1: Erfüllung der gesetzlichen Anforderungen

Mit dem Einsatz eines externen betrieblichen Datenschutzverantwortlichen erfüllen Sie die gesetzlichen Anforderungen gemäss dem Schweizer Datenschutzgesetz und sind von der allfälligen Pflicht entbunden, einzelne Datensammlungen beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu registrieren. Der externe betriebliche Datenschutzverantwortliche agiert unabhängig von Ihren internen Aufgaben und Belastungen, bleibt dran am Thema und stellt so Ihre Rechtskonformität sicher.

 

Vorteil Nr. 2: Konzentration auf Ihre Kernaufgaben
Mit dem externen betrieblichen Datenschutzverantwortlichen konzentrieren Sie sich auf Ihre Kompetenzen und Kernaufgaben und lassen Datenschutzfragen vom Experten bearbeiten.

 

Vorteil Nr. 3: Unabhängig und neutral
Der externe betriebliche Datenschutzverantwortliche ist neutral und unabhängig und hat mit seiner umfassenden 360°-Sicht zum Thema Datenschutz die nötige Sachlichkeit, Datenschutzfragen neutral und unabhängig zu beantworten. Er ist Ihre kompetente Ansprechstelle für alle Fragen des Datenschutzes, national und international.

 

Vorteil Nr. 4: Keine Interessenskonflikte
Sie dürfen sich auf einen datenschutzerfahrenen Spezialisten verlassen, der in Ihrem Unternehmen unabhängig und neutral – wie in der Verordnung zum Datenschutz (Art. 12 VDSG) formuliert – seine betriebliche Funktion als Datenschutzverantwortlicher übernimmt. Mit einem externen betrieblichen Datenschutzverantwortlichen werden mögliche betriebsinterne Interessenskonflikte minimiert.

 

Vorteil Nr. 5: Kalkulierbare Flexibilität
Stundenweise oder im Teilzeitpensum. Sie entscheiden über die Art der Zusammenarbeit. Gerne werden wir aufgrund Ihrer Unternehmensgrösse und -komplexität eine verbindliche Aufwandschätzung erstellen, um das Aufgabenpensum zu ermitteln. Die Zusammenarbeit ist grundsätzlich langfristig angelegt, kann aber Ihrerseits jederzeit aufgelöst werden.

 

Vorteil Nr. 6: Reduktion der Aufwände
Mit einem ausgewiesenen und erfahrenen Fachspezialisten als externem betrieblichen Datenschutzverantwortlichen entlasten Sie Ihre personellen Ressourcen und reduzieren die Aufwände. Die Einarbeitungszeit sowie die Aufwände für die kontinuierliche Aus- und Weiterbildung entfallen.

 

Vorteil Nr. 7: Know-how-Transfer
Der erfahrene und gut vernetzte externe betriebliche Datenschutzverantwortliche ist Ihre interne und externe Auskunfts- und Ansprechstelle im Bereich Datenschutz. Sie können jederzeit auf sein Expertenwissen zurückgreifen und von seinem praxisorientierten Datenschutz-Know-how profitieren. Auf Wunsch sensibilisiert und bildet er alle Mitarbeitenden stufen- und funktionsgerecht aus.

 

Vorteil Nr. 8: Zeitgewinn und Rechtssicherheit
Der externe betriebliche Datenschutzverantwortliche kennt die Datenschutzanforderungen und -vorgaben gemäss Datenschutzgesetzgebung. Durch seine Mitarbeit werden die Datenschutzaufgaben kompetent und gesetzestreu umgesetzt und erfüllt. Dank dem schnellen Transfer von Expertenwissen bzw. der schnellen Beantwortung und Lösung von datenschutzrechtlichen Fragen und Hindernissen kann Ihr Unternehmen wertvolle Zeit gewinnen bei der Umsetzung von Projekten und Aufgaben.

 

Vorteil Nr. 9: Stellvertretung ist sichergestellt
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe betriebliche Datenschutzverantwortliche ist für Sie immer erreichbar. Innerhalb der Swiss Infosec AG wird eine entsprechende Stellvertretung auch während der Ferien des namentlich eingesetzten Spezialisten sichergestellt.

 

Vorteil Nr. 10: Effektivität und Effizienz aufgrund der Anzahl Fachspezialisten der Swiss Infosec AG
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe betriebliche Datenschutzverantwortliche hat innerhalb der Swiss Infosec AG jederzeit auch Zugang zu zahlreichen Fachspezialisten im Bereich der Integralen Sicherheit und kann somit auch übergreifende Themen wie z.B. Fragen der Informatiksicherheit, der physischen Sicherheit, Synergien von integrierten Managementsystemen (Datenschutz-Managementsystem DSMS und Informationssicherheits-Managementsystem ISMS) oder Fragen zur rechtskonformen Archivierung effizient und effektiv bearbeiten.

 

Der "Externe betriebliche Datenschutzverantwortliche" für betriebliche Datenschutzaufgaben jedes Unternehmens kann auch für Sie von Interesse sein, denn wir kennen das DSG wie unsere eigene Hosentasche, ebenso sind wir hautnah am Geschehen der aktuellen Totalrevision DSG und können Sie so aus erster Hand informieren.

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 

 

 

 

 

Michèle Balthasar

E-Mail
Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

DSGVO-Konformität (GDPR) ist erreichbar

Beratung, Schulung und Services: EU-Datenschutz-Know-how vom Experten

Die Swiss Infosec AG bietet national und international tätigen Kunden Datenschutzwissen aus 30 Jahren Erfahrung in Beratung und Ausbildung. Die aktuellen Schlagwörter wie bspw. DSGVOGDPR, DPO, European Data Protection Board (EDPB), Controller, Processor und Profiling sind für unsere Kunden ein gutes Argument für die Überprüfung und Umsetzung ihres Datenschutzes nach Best Practice und mit Swiss Infosec AG: flexibel, effizient, pragmatisch.

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Das Datenschutzteam rund um Dr. iur. Michèle Balthasar unterstützt Sie bei allen Schritten zur Erreichung der Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO / GDPR), bei einzelnen EU-Datenschutzfragen oder komplexen Fragestellungen bspw. rund um ein konformes Datenschutz-Managementsystem (DSMS) getreu dem Leitspruch Genau so viel, wie Sie brauchen und angemessen ist!

Die Datenschutz-Grundverordnung (nachfolgend kurz «DSGVO») ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten seit dem 25. Mai 2018.

 

Die DSGVO / GDPR gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die DSGVO findet Anwendung auf

  1. die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO).
  2. die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter,
    1. wenn die Datenverarbeitung im Zusammenhang damit steht betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 DSGVO).

Nach Art. 3 DSGVO gelten die Regeln also nicht nur für Unternehmen mit Sitz in der EU (oder deren Niederlassungen in der EU), sondern gemäss Ziffer 1 und 2 oben auch für Nicht-EU-Unternehmen.

 

GDPR- / DSGVO-Konformität: Weitreichende Konsequenzen, Manpower, Stress und Pendenzen

Egal ob Sie national oder international tätig sind. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) greift sofern anwendbar in viele Bereiche und Prozesse Ihres Unternehmens ein. Wenn Know-how oder Personalressourcen fehlen kann die DSGVO-konforme Umsetzung zu einer Mammutaufgabe werden. Fundiertes und praxisorientiertes Datenschutzwissen und die flexible Unterstützung und Entlastung Ihrer Ressourcen heisst unsere Lösung!

 

Unsere Datenschutzspezialisten konzentrieren sich eingehend und flexibel auf die Anliegen ihrer Kunden, sei dies in Form einer Beratung, Schulung oder eines Workshops, oder in der Funktion eines externen Data Protection Officer (DPO).

Datenschutzpower: Auf Wunsch liefern wir Ihnen die benötigte Manpower – stundenweise, tageweise, wochenweise – erledigen Ihre Pendenzen und entlasten Sie so nachweislich und erst noch mit einem guten Gewissen, so dass Sie die DSGVO-Konformität stressfrei und termintreu erreichen.

 

Handlungsbedarf eingrenzen und DSGVO-Konformität leicht erreichen

Nutzen Sie die Vorteile eines erfahrenen Datenschutzspezialisten und lassen Sie sich flexibel unterstützen und entlasten. So können Sie alle DSGVO-Vorgaben rechtzeitig einhalten.

 

Wir klären für Sie die Anwendbarkeit der DSGVO und entwickeln gemeinsam mit Ihnen einen Vorgehensplan unter Berücksichtigung Ihrer aktuellen Situation und Ihrer Zielsetzungen im Rahmen einer Voranalyse (Jetzt Voranalyse anfragen).

 

Dabei beantworten wir auch Fragen zu folgenden Stichworten, schnell und präzis:

  • Personenbezogene Daten
  • Profiling (Big Data)
  • Data Protection by Default
  • Data Protection by Design
  • Data Protection Impact Assessment, Datenschutz-Folgenabschätzung
  • Datenschutzpannen (Meldepflicht), Data Breaches
  • Beschwerderecht und Sanktionen
  • Genetische und biometrische Daten
  • IP-Adressen und andere Online-Identifier
  • Pseudonymisierung
  • Recht auf Daten
  • Recht auf Vergessen (Löschpflicht)
  • European Data Protection Board (EDPB)
  • Verarbeitungsverzeichnis

Wir übernehmen für Sie folgende Funktionen, flexibel und DSGVO-konform:

Wir bieten Ihnen folgende Schulungsmöglichkeiten im Bereich Datenschutz:

Lehrgänge und Kurse

  • Betrieblicher Datenschutzverantwortlicher (5 Tage, DSG, DSGVO Basic): Lehrgang, der in die Aufgaben des Betrieblichen Datenschutzverantwortlichen gemäss Artikel 11a DSG einführt.
  • DSGVO-Praktiker (3 Tage, DSGVO Advanced): Schulung, die einen Überblick über die DSGVO vermittelt und Handlungsbedarf bezüglich Unternehmensabläufen, Verträgen und organisatorischen Rahmenbedingungen aufzeigt.
  • Data Protection Officer (DPO) (2 Tage, DSGVO Professional): Schulung mit Fokus auf praxisorientierte Hilfsmittel und Informationen für Datenschutzbeauftragte nach DSGVO.
  • Datenschutzgesetz und Umsetzung (1 Tag, DSG): Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.
  • Datenschutz Aktuell (1 Tag, Aktuelle Informationen über DSG und DSGVO): Bleiben Sie am Ball und regelmässig auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Workshops und Firmenschulungen

Unsere bewährten Datenschutzschulungen spielen Ihnen in die Hände und geben auch Ihnen mehr Datenschutz-Sicherheit.

Für das Management bieten wir einen besonderen Info-Workshop an von 2-3 h Dauer (Fixpreis). Dieser beinhaltet folgende Themen:

  • Das Management erhält einen Überblick über die DSGVO und kennt das Wichtigste
  • Das Management erhält einen Vergleich der DSGVO mit dem Schweizerischen Bundesgesetz über den Datenschutz DSG
  • Die Anwendbarkeit der DSGVO auf das Unternehmen ist geklärt (sind die Prozesse rechtsgenüglich bezüglich DSG und DSGVO?)
  • Die Führung und Verantwortlichkeiten der Datenschutzprozesse sind geklärt (Benötigen Sie einen externen Datenschutzbeauftragten oder wird die Funktion intern besetzt?)
  • DSMS (Nutzen Sie den Mehrwert eines toolunterstützten Datenschutzmanagement-Systems?)
  • Management Summary zur Umsetzung der DSGVO-Datenschutzanforderungen (Roadmap, Umsetzungs- und Massnahmenplan)

Jetzt unverbindliche Workshop-Anfrage starten.

 

Datenschutzmotivierte Unternehmen werden belohnt: DSGVO-Konformität ist erreichbar

Wir sind bestrebt, Sie und Ihr Unternehmen früh genug, termingerecht und weitsichtig auf dem Weg zur angemessenen DSGVO-Konformität zu begleiten.

 

Weitsicht, Entschlossenheit und Durchsetzungskraft werden belohnt. Die Swiss Infosec AG unterstützt Sie in Ihrem DSGVO-Vorhaben effizient und pragmatisch.

Vorgehen eines typischen DSGVO-/GDPR-Projektes

1. Datenschutzrichtlinie
Das Unternehmen muss nicht nur sicherstellen, dass die Vorgaben der Datenschutz-Grundverordnung erfüllt werden, sondern muss dies zudem auch nachweisen können, vgl. Art. 5 Abs. 2 DSGVO. Das heisst, das Unternehmen muss beweisen können, dass es geeignete Datenschutzrichtlinien und geeignete Datenschutzvorkehrungen umsetzt.

Inhalt:

  • Grundsätze
  • Risikoorientiertes Vorgehen
  • Technische und organisatorische Massnahmen
  • Prozesse zur Wahrnehmung von Betroffenenrechten
    • Informationsrecht
    • Auskunfts- und Widerspruchsrecht
    • Recht auf Berichtigung, Löschung und Einschränkung
    • Recht auf Datenübertragbarkeit
  • Dokumentationsanforderungen (Art. 13 bis Art. 15 DSGVO)
  • Datenschutzorganisation und Verantwortlichkeiten
  • Einbindung des Datenschutzbeauftragten
  • Ausgestaltung und Umfang der Informationen
  • Vorgehen Datenschutzverletzung, Data Breach
  • Datenschutzfolgeabklärung
  • Prinzip „Data Protection by Design” (Art. 25 Abs. 1 DSGVO
  • Prinzip „Data Protection by Default”  (Art. 25 Abs. 2 DSGVO)

2. Verfahrensverzeichnis, Verarbeitungstätigkeiten gemäss Art. 30 DSGVO

3. Pflichtenheft Datenschutzbeauftragter

4. Dokumentation und Umsetzung der Datenschutz-Richtlinie

5. Erklärungen, Einverständnis, Informationen

6. Schulung

7. Umsetzung und laufende Optimierung

 

Gerne stehen wir Ihnen für ein Erstgespräch unterstützend zur Seite.
+41 41 984 12 12, infosec@infosec.ch

 

DSGVO in den Medien

Die EU-DSGVO / GDPR ist das Top-Thema in den aktuellen Medien. Lesen Sie die aktuellen Beiträge hierzu:

 

Folgen der neuen Datenschutz-Grundverordnung
EU-Datenschutzgrundverordnung tangiert auch die Schweiz
Kaum ein Schweizer Unternehmen, das nicht von den neuen Datenschutzanforderungen der EU betroffen ist, die ab nächstem Mai in der EU zur Anwendung kommen werden. Die Regulierung zwingt Firmen, den Datenschutz ernst zu nehmen.
https://www.nzz.ch/wirtschaft/folgen-der-neuen-datenschutz-grundverordnung-eu-datenschutzverordnung-tangiert-auch-die-schweiz-ld.1306009

EU-Datenschutz und die Schweiz
Die positiven Seiten der Regulierung
Die neue Datenschutzgrundverordnung der EU betrifft auch fast jedes Schweizer Unternehmen. Die Firmen sollten es zum Anlass nehmen, datenmässig aufzuräumen.
https://www.nzz.ch/meinung/eu-datenschutz-und-die-schweiz-die-positiven-seiten-der-regulierung-ld.1305966

Schweiz wird EU-Datenschutz-konform
Schweizer Firmen sind gezwungen, Daten ihrer Kunden besser zu schützen – sonst drohen drakonische Strafen
Der neuen Datenschutz-Grundverordnung der EU sind auch die meisten Schweizer Unternehmen unterworfen. Die Auswirkungen sind nicht zu unterschätzen, und Unterlassungen können ganz schön ins Geld gehen.
https://www.nzz.ch/wirtschaft/in-knapp-einem-jahr-gilt-es-ernst-die-schweiz-wird-eu-datenschutz-konform-ld.1305383 

 

Leiterin Kompetenzzentrum Datenschutz: Dr. iur. Michèle Balthasar

 

Juristische Aspekte des Datenschutzes

 


 
 

Technisch-organisatorische Massnahmen (TOM) des Datenschutzes

 

 

 

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!
Wir sind interessiert an:

 

Data Protection Officer (DPO) nach GDPR

 

Wir kennen alle Hürden und Fallstricke der EU-DSGVO und beantworten Ihnen alle Fragen zur DSGVO/GDPR schnell und präzise.

 

Lassen Sie sich vom Datenschutzteam der Swiss Infosec AG beraten, unterstützen und schulen in allen Datenschutzfragen. Auf Wunsch stehen wir Ihnen als Ihr externer Datenschutzbeauftragter – Data Protection Officer (DPO) – vor Ort bei Ihnen, stundenweise oder auf Mandatsbasis, als starke und kompetente Stütze zur Seite: auf Abruf sofort zur Stelle!

 

Erfahren Sie mehr über unsere Kompetenzen in DSGVO/GDPR und die Vorteile der Ernennung eines externen Datenschutzbeauftragten.

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 


 

Ein externer Datenschutzbeauftragter spart Zeit und Kosten

Wenn Sie uns als Ihren externen Datenschutzbeauftragten Ihres Unternehmens bei der Aufsichtsbehörde melden, halten Sie sich an die entsprechenden Vorgaben der Datenschutz-Grundverordnung der Europäischen Union, denn mit uns haben Sie einen zuverlässigen und fachkundigen Experten an Ihrer Seite, der frei von möglichen Interessenskonflikten ist. Wenn Sie uns als externen Datenschutzbeauftragten einsetzen, sparen Sie Ressourcen und erhalten Expertenwissen.

Uns als externen Datenschutzbeauftragten zu wählen, hat viele Vorteile für Sie!

Wir, als Ihr externer Datenschutzbeauftragter, agieren schnell, kompetent und praxisorientiert, während Sie sich auf Ihre eigentlichen Kernkompetenzen konzentrieren können.

Unsere Datenschutzspezialisten können Sie einfach und unkompliziert als Ihren persönlichen externen Datenschutzbeauftragten einsetzen – im Mandatsverhältnis oder auf Abruf (stundenweise).
Die Einhaltung der geforderten Vorgaben gemäss EU-DSGVO/GDPR liegt so in sicheren und neutralen Händen.

Ihr externer Datenschutzbeauftragter – persönlich, schnell und kompetent

Mit dem externen Datenschutzbeauftragten können Sie sich auf Ihre Kompetenzen und Kernaufgaben konzentrieren und lassen sämtliche Datenschutzfragen vom Experten bearbeiten.

Externer Datenschutzbeauftragter:

Vorteil Nr. 1: Erfüllung der gesetzlichen Anforderungen
Mit dem Einsatz eines externen Datenschutzbeauftragten erfüllen Sie die relevanten Anforderungen der EU-DSGVO/GDPR. Der externe Datenschutzbeauftragte agiert unabhängig von Ihren internen Aufgaben und Belastungen, bleibt dran am Thema und stellt so Ihre Rechtskonformität sicher.

 

Vorteil Nr. 2: Konzentration auf Ihre Kernaufgaben
Falls diese Voraussetzungen der DSGVO/GDPR durch Sie zu erfüllen sind, kann der externe Datenschutzbeauftragte Sie in Ihren Aufgaben unterstützen, so dass Sie sich auf Ihre Kompetenzen und Kernaufgaben konzentrieren können, indem Sie alle Datenschutzfragen vom Experten bearbeiten lassen.

 

Vorteil Nr. 3: Unabhängig und neutral
Der externe Datenschutzbeauftragte ist neutral und unabhängig und hat mit seiner umfassenden 360°-Sicht zum Thema Datenschutz die nötige Sachlichkeit, Datenschutzfragen neutral und unabhängig zu beantworten. Er ist Ihre kompetente Ansprechstelle für alle Fragen des Datenschutzes, national (DSG) und international (DSGVO/GDPR).

 

Vorteil Nr. 4: Keine Interessenskonflikte
Sie dürfen sich auf einen datenschutzerfahrenen Spezialisten verlassen, der in Ihrem Unternehmen unabhängig und neutral seine betriebliche Funktion als Datenschutzbeauftragter übernimmt. Mit einem externen Datenschutzbeauftragten werden mögliche betriebsinterne Interessenskonflikte minimiert.

 

Vorteil Nr. 5: Kalkulierbare Flexibilität
Stundenweise oder im Teilzeitpensum. Sie entscheiden über die Art der Zusammenarbeit. Gerne werden wir aufgrund Ihrer Unternehmensgrösse und -komplexität eine verbindliche Aufwandschätzung erstellen, um das Aufgabenpensum zu ermitteln. Die Zusammenarbeit ist grundsätzlich langfristig angelegt, kann aber Ihrerseits jederzeit aufgelöst werden.

 

Vorteil Nr. 6: Reduktion der Aufwände
Mit einem ausgewiesenen und erfahrenen Fachspezialisten als externem Datenschutzbeauftragten entlasten Sie Ihre personellen Ressourcen und reduzieren die Aufwände. Die Einarbeitungszeit sowie die Aufwände für die kontinuierliche Aus- und Weiterbildung entfallen.

 

Vorteil Nr. 7: Know-how-Transfer
Der erfahrene und gut vernetzte externe Datenschutzbeauftragte ist Ihre interne und externe Auskunfts- und Ansprechstelle im Bereich Datenschutz. Sie können jederzeit auf sein Expertenwissen zurückgreifen und von seinem praxisorientierten Datenschutz-Know-how profitieren. Auf Wunsch sensibilisiert und bildet er alle Mitarbeitenden stufen- und funktionsgerecht aus.

 

Vorteil Nr. 8: Zeitgewinn und Rechtssicherheit
Der externe Datenschutzbeauftragte kennt die Datenschutzanforderungen und -vorgaben gemäss Datenschutz-Grundverordnung. Durch seine Mitarbeit werden die Datenschutzaufgaben kompetent und gesetzestreu umgesetzt und erfüllt. Dank dem schnellen Transfer von Expertenwissen bzw. der schnellen Beantwortung und Lösung von datenschutzrechtlichen Fragen und Hindernissen kann Ihr Unternehmen wertvolle Zeit gewinnen bei der Umsetzung von Projekten und Aufgaben.

 

Vorteil Nr. 9: Stellvertretung ist sichergestellt
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe Datenschutzbeauftragte ist für Sie immer erreichbar. Innerhalb der Swiss Infosec AG wird eine entsprechende Stellvertretung auch während der Ferien des namentlich eingesetzten Spezialisten sichergestellt.

 

Vorteil Nr. 10: Effektivität und Effizienz aufgrund der Anzahl Fachspezialisten der Swiss Infosec AG
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe Datenschutzbeauftragte hat innerhalb der Swiss Infosec AG jederzeit auch Zugang zu zahlreichen Fachspezialisten im Bereich der Integralen Sicherheit und kann somit auch übergreifende Themen wie z.B. Fragen der Informatiksicherheit, der physischen Sicherheit, Synergien von integrierten Managementsystemen (Datenschutz-Managementsystem DSMS und Informationssicherheits-Managementsystem ISMS) oder Fragen zur rechtskonformen Archivierung effizient und effektiv bearbeiten.

 

Der "Externe Datenschutzbeauftragte" für betriebliche Datenschutzaufgaben kann auch für Sie von Interesse sein, insbesondere dann, wenn Sie – in welcher Form auch immer – mit der Europäischen Union (EU) zu tun haben.

 

Lassen Sie sich vom Datenschutzteam der Swiss Infosec AG beraten, unterstützen und schulen. Wir kennen alle Hürden und Fallstricke der EU-DSGVO und beantworten Ihnen alle Fragen zur DSGVO/GDPR: schnell und präzise

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 

 

 

 

 

Michèle Balthasar

E-Mail

Wir wissen, welche Daten zu schützen sind!

Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Datenschutzberatung vom Datenschutzteam

Das Datenschutzteam der Swiss Infosec AG unter der Leitung von Dr. iur. Michèle Balthasar nennt Datenschutz seit 30 Jahren sein Zuhause. Sie sind Datenschutzspezialisten und Kenner der Materie und setzen in ihrer Beratungstätigkeit konsequent mit Best Practice um.

 

Von der Swiss Infosec AG erhalten Sie ein Rundum-Datenschutzpaket von Beratung, über Datenschutzausbildung bis hin zur toolgestützten Datenschutzumsetzung.

 

Datenschutzfragen

Wir beantworten alle Datenschutzfragen und beraten Sie in allen Datenschutzbelangen rund um die nationale Datenschutzgesetzgebung (Revision DSG, Informationssicherheitsgesetz, etc.) und die internationale Datenschutzgesetzgebung wie bspw. DSGVO, Privacy Shield und weitere. Dabei werden die datenschutzrelevanten internationalen und nationalen Standards, Regulatorien und Best Practice mit einbezogen.

 

Über unseren neuen Service MyConsultation können Sie bei unseren Datenschutzspezialisten nun auch ein eigentliches Service-Abo für Datenschutzfragen aller Art lösen.

 

Datenschutznews

 

Datenschutzzertifizierung und Zertifizierungsbegleitung

Streben Sie eine Datenschutzzertifizierung nach VDSZ (DSMS) an? Dann sind Sie bei uns richtig.

 

Denn wir unterstützen unsere Kunden bei der Vorbereitung auf eine Datenschutzzertifizierung nach VDSZ (DSMS) und führen neben der Zertifizierungsbegleitung Audits und Sicherheitstests durch. Wir prüfen Ihre Datenschutzmassnahmen auf Herz und Nieren.

 

Mehr über die Zertifizierungsbegleitung für Datenschutzzertifizierung erfahren.
+41 41 984 12 12, infosec@infosec.ch

 

Datenschutzschulungen für Datenschutzwissen nach Best Practice

Neben unserer Datenschutzberatung geben wir unser Datenschutzwissen an praxisorientierten Datenschutzschulungen weiter. Wählen Sie zwischen den bei uns durchgeführten mehrtägigen Lehrgängen oder eintägigen Kursen oder einer firmeninternen Inhouse-Schulung in Form eines Workshops oder einer Firmenschulung bei Ihnen vor Ort.
 
Lehrgänge und Kurse

  • Betrieblicher Datenschutzverantwortlicher (5 Tage, DSG, DSGVO Basic): Lehrgang, der in die Aufgaben des Betrieblichen Datenschutzverantwortlichen gemäss Artikel 11a DSG einführt.
  • DSGVO-Praktiker (3 Tage, DSGVO Advanced): Schulung, die einen Überblick über die DSGVO vermittelt und Handlungsbedarf bezüglich Unternehmensabläufen, Verträgen und organisatorischen Rahmenbedingungen aufzeigt.
  • Data Protection Officer (DPO) (2 Tage, DSGVO Professional): Schulung mit Fokus auf praxisorientierte Hilfsmittel und Informationen für Datenschutzbeauftragte nach DSGVO.
  • Datenschutzgesetz und Umsetzung (1 Tag, DSG): Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.
  • Datenschutz Aktuell (1 Tag, Aktuelle Informationen über DSG und DSGVO): Bleiben Sie am Ball und regelmässig auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Workshops und Firmenschulungen

Unsere bewährten Datenschutzschulungen spielen Ihnen in die Hände und geben auch Ihnen mehr Datenschutz-Sicherheit.

 

Leiterin Kompetenzzentrum Datenschutz: Dr. iur. Michèle Balthasar
+41 41 984 12 12, infosec@infosec.ch

 

Datenschutzteam: Juristische Aspekte des Datenschutzes

 


 
 
Datenschutzteam: Technisch-organisatorische Massnahmen (TOM) des Datenschutzes

 

 

Schutz vor Cyber-Bedrohungen

Cyber Security: Beratung und Unterstützung beim Schutz vor Cyber-Angriffen

Die Swiss Infosec AG bietet Ihnen Cyber Security Management-Experten mit viel Erfahrung und Best Practice Know-how zur Beratung und Unterstützung bei der Erarbeitung Ihrer Cyber Security-Strategie, der Definition Ihrer Cyber Security-Zielsetzungen, der Umsetzung notwendiger und angemessener Cyber Security-Massnahmen und bei der laufenden Überprüfung und Optimierung Ihres Cyber Security Management Systems.

  

Cyber Security News: Aktuelle Infosec Internet News-Beiträge

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Unter Cyber Security verstehen wir sämtliche Risiken, Massnahmen, Prozesse und Aufgaben auf organisatorischer und technischer Ebene zur Identifikation, Analyse und Bewältigung von Cyberbedrohungen und -angriffen.

Die Komplexität und der Umfang der Bedrohungen und Angriffe im Cyber-Raum haben in den letzten Jahren massiv zugenommen. Eine weitere Steigerung ist absehbar und fast sicher. Erfolgreiche Angriffe sind heute nur noch eine Frage des Aufwandes und nicht mehr der technischen Machbarkeit. Die Netzübergänge alleine mittels Firewalls zu schützen reicht nicht mehr aus. Sämtliche Elemente des Systems sind beim Schutz zu berücksichtigen (Prävention) und es müssen auf allen Ebenen entsprechende Sensoren betrieben und überwacht werden, um Angriffe und deren mögliche Auswirkungen früh erkennen zu können (Monitoring). Die entsprechenden Massnahmen bis hin zur Eskalation in den Krisenstab, die Kommunikation an die Öffentlichkeit, die Information der betroffenen Partner, die Einhaltung der gesetzlichen Meldepflichten (Reaktion) und die Koordination der Gegen- und Wiederherstellungsmassnahmen sollten Bestandteil einer umfassend verstandenen Cyber Security bilden.

cyber security beratung ausbildung

 

Seit über 25 Jahren beraten wir unsere Kunden erfolgreich im Bereich der Cyber Security, einem wichtigen Teil der Informationssicherheit und des Risikomanagements, und unterstützen sie bei der Minimierung der Cyber-Risiken. Wir sensibilisieren und schulen Mitarbeitende stufen- und funktionsgerecht, im entscheidenden Moment, das Richtige zu tun. Wir bilden bspw. zum Digital Risk Officer aus und bieten bei Ressourcenengpässen auch einen externen Cyber Security Officer an – schnell, kompetent und zuverlässig.

 

Wir beraten und unterstützen Sie dabei,

  •  Ihre sensitiven Daten und kritischen Systeme zu identifizieren,
  •  die entsprechenden Sicherheitsmassnahmen zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein wirkungsvolles Monitoring zu definieren, zu konzipieren, umzusetzen und zu überprüfen
  •  ein effektives Krisenmanagement mit entsprechendem Alarmierungsplan aufzubauen, unter Berücksichtigung der Kommunikations-, Informations- und Meldevorgaben seitens Cyber Security
  •  die Bereiche BCM und Krisenmanagement optimal auf die Anforderungen der Cyber Security abzustimmen

 

Eine erfolgreiche und angemessene Cyber Security-Konzeption folgt einem integralen Ansatz

Cyber Security ist viel mehr als reine IT-Security. Cyber Security ist ein wichtiger Teil der Informationssicherheit mit Schnittstellen einerseits zu Krisenmanagement, Kommunikation, Business Continuity Management und andererseits zu IT Security, Datenschutz und Informationsschutz sowie IT-Prozessen an und für sich.

 

Wir beschäftigen uns seit 30 Jahren mit exakt diesen Themen: Integrale Sicherheit, Krisenmanagement, Kommunikation, Business Continuity Management sowie ICT Security, Datenschutz und Informationsschutz


Cyber Security muss in ein entsprechendes Managementsystem eingebettet werden

Laufende Optimierung und Verbesserung sind im Hinblick auf die Effektivität und Effizienz der Cyber Security-Aktivitäten ein zentraler Erfolgsfaktor. Ihre Cyber Security-Strategie und die darauf aufbauenden Prozesse, Massnahmen und Konzeptionen müssen Schritt halten mit den Cyber-Bedrohungen und -Angriffen.

 

Mit einer aktuellen und angemessenen Cyber Security-Strategie und der Unterstützung unserer Spezialisten halten Sie Ihren Vorsprung gegenüber Cyber-Bedrohungen und -Angriffen und leisten so einen zentralen Beitrag zum Erfolg der Digitalisierung Ihres Unternehmens.

 

cyber security consulting schulung

 

Eine Cyber Security-Strategie, eingebettet in ein Managementsystem, bewahrt Sie vor bösen Überraschungen

Cyber Security betrifft Unternehmen unabhängig von ihrer Grösse – Grosskonzerne genauso wie KMUs.

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 


Reto Zbinden zu Wikileaks-Enthüllungen über CIA, Radio SRF 1, Rendez-vous, 08.03.2017
http://www.srf.ch/play/radio/rendez-vous/audio/wikileaks---spione-im-eigenen-heim?id=badc8706-e763-467d-82a4-e2d35e951d08 

 

«Wikileaks» – Spione im eigenen Heim
Die Enthüllungsplattform «Wikileaks» hat Dokumente veröffentlicht, die zeigen, dass der US-Geheimdienst CIA direkt auf jedes Mobiltelefon und jedes Smartphone zugreifen kann. Verschlüsselungstechniken bieten keinen Schutz. Offenbar hat ein CIA-Insider die Informationen geliefert. Was bedeutet das für Wirtschaft und Forschung?


Wer seine Mitarbeitenden schult, gewinnt!

Ihre Mitarbeitenden bilden die erste Verteidigungslinie. Schützen und stärken Sie Ihre Mitarbeitenden durch gezielte Awareness- und Schulungsmassnahmen vor Cyber-Angriffen. Machen Sie Ihre Mitarbeitenden zu einem zuverlässigen Teil Ihrer Cyber Security-Strategie.

 

Ihre Cyber Security-Strategie ist abzustimmen mit:

  • Corporate Governance, Compliance
  • Risikomanagement, Internes Kontrollsystem (IKS)
  • Krisenmanagement/Business Continuity Management (BCM)
  • Informationssicherheit
    • Datenschutz
    • Informationsschutz
    • IT-Sicherheit (IT Security)

 

Schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen und -Angriffen!
Cyber Security by Swiss Infosec AG beinhaltet u.a. folgende Teilbereiche und Prozesse:

  • Identifikation des Bedrohungspotenzials durch Cyber-Bedrohungen
  • Aufbau einer Cyber Security-Strategie
  • Risikomanagement für den Umgang mit Cyber-Risiken (als Teil der Operationellen Risiken)
  • Schutz der Geschäftsprozesse, der Informationen und der Infrastruktur vor Cyber-Bedrohungen (Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit) durch die Umsetzung von Massnahmen zur Minimierung von Cyber-Risiken und die laufende Überprüfung der Wirksamkeit dieser Massnahmen
  • Monitoring zur frühzeitigen Erkennung von Cyber-Bedrohungen und -Angriffen
  • Schnelle und angemessene Reaktionen auf Cyber-Bedrohungen, u.a. durch Eskalation an ein effektives und effizientes Krisenmanagement  
  • Aufrechterhaltung oder Wiederherstellung des normalen Geschäftsbetriebs nach Cyber-Angriffen mittels Massnahmen in den Bereichen Business Continuity Management und Krisenmanagement
  • Regelmässige Durchführung von Verwundbarkeitsanalysen (Vulnerability Scans, Analyse bestehender Schwachstellen und Sicherheitslücken in Software und IT-Infrastruktur) und Penetration Tests (gezielte Angriffe auf Software-Schwachstellen und Sicherheitslücken der IT-Infrastruktur) durch qualifizierte Cyber Security-Experten 

Unsere Spezialisten unterstützen Sie bei der Erarbeitung, Umsetzung und laufenden Optimierung Ihrer Cyber Security-Strategie.

Cyber Security als Teil der Informationssicherheit und der Integralen Sicherheit!

Erfolgreiche Konzepte zur Umsetzung angemessener Cyber Security müssen integral abgestützt werden. Wir sind seit über 25 Jahren Kenner der Integralen Sicherheit und kennen die Nahtstellen zu den einzelnen Sicherheitsthemen bestens. Nur integral können Cyber-Risiken nachhaltig vermindert werden.

Schützen Sie sich vor Cyber-Bedrohungen und Cyber-Angriffen. Wir und unsere Spezialisten unterstützen Sie gerne!

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cyber Security aus 30 Jahren Erfahrung. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

 

 

 

 

Reto Zbinden

E-Mail

 

Data Protection Officer (DPO) nach GDPR

Wir kennen alle Hürden und Fallstricke der EU-DSGVO und beantworten Ihnen alle Fragen zur DSGVO/GDPR schnell und präzise.

Lassen Sie sich vom Datenschutzteam der Swiss Infosec AG beraten, unterstützen und schulen in allen Datenschutzfragen. Auf Wunsch stehen wir Ihnen als Ihr externer Datenschutzbeauftragter – Data Protection Officer (DPO) – vor Ort bei Ihnen, stundenweise oder auf Mandatsbasis, als starke und kompetente Stütze zur Seite: auf Abruf sofort zur Stelle!

Erfahren Sie mehr über unsere Kompetenzen in DSGVO/GDPR und die Vorteile der Ernennung eines externen Datenschutzbeauftragten.

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 


 

Ein externer Datenschutzbeauftragter spart Zeit und Kosten

Wenn Sie uns als Ihren externen Datenschutzbeauftragten Ihres Unternehmens bei der Aufsichtsbehörde melden, halten Sie sich an die entsprechenden Vorgaben der Datenschutz-Grundverordnung der Europäischen Union, denn mit uns haben Sie einen zuverlässigen und fachkundigen Experten an Ihrer Seite, der frei von möglichen Interessenskonflikten ist. Wenn Sie uns als externen Datenschutzbeauftragten einsetzen, sparen Sie Ressourcen und erhalten Expertenwissen.

Uns als externen Datenschutzbeauftragten zu wählen, hat viele Vorteile für Sie!

Wir, als Ihr externer Datenschutzbeauftragter, agieren schnell, kompetent und praxisorientiert, während Sie sich auf Ihre eigentlichen Kernkompetenzen konzentrieren können.

Unsere Datenschutzspezialisten können Sie einfach und unkompliziert als Ihren persönlichen externen Datenschutzbeauftragten einsetzen – im Mandatsverhältnis oder auf Abruf (stundenweise).
Die Einhaltung der geforderten Vorgaben gemäss EU-DSGVO/GDPR liegt so in sicheren und neutralen Händen.

Ihr externer Datenschutzbeauftragter – persönlich, schnell und kompetent

Mit dem externen Datenschutzbeauftragten können Sie sich auf Ihre Kompetenzen und Kernaufgaben konzentrieren und lassen sämtliche Datenschutzfragen vom Experten bearbeiten.

Externer Datenschutzbeauftragter:

Vorteil Nr. 1: Erfüllung der gesetzlichen Anforderungen
Mit dem Einsatz eines externen Datenschutzbeauftragten erfüllen Sie die relevanten Anforderungen der EU-DSGVO/GDPR. Der externe Datenschutzbeauftragte agiert unabhängig von Ihren internen Aufgaben und Belastungen, bleibt dran am Thema und stellt so Ihre Rechtskonformität sicher.

 

Vorteil Nr. 2: Konzentration auf Ihre Kernaufgaben
Falls diese Voraussetzungen der DSGVO/GDPR durch Sie zu erfüllen sind, kann der externe Datenschutzbeauftragte Sie in Ihren Aufgaben unterstützen, so dass Sie sich auf Ihre Kompetenzen und Kernaufgaben konzentrieren können, indem Sie alle Datenschutzfragen vom Experten bearbeiten lassen.

 

Vorteil Nr. 3: Unabhängig und neutral
Der externe Datenschutzbeauftragte ist neutral und unabhängig und hat mit seiner umfassenden 360°-Sicht zum Thema Datenschutz die nötige Sachlichkeit, Datenschutzfragen neutral und unabhängig zu beantworten. Er ist Ihre kompetente Ansprechstelle für alle Fragen des Datenschutzes, national (DSG) und international (DSGVO/GDPR).

 

Vorteil Nr. 4: Keine Interessenskonflikte
Sie dürfen sich auf einen datenschutzerfahrenen Spezialisten verlassen, der in Ihrem Unternehmen unabhängig und neutral seine betriebliche Funktion als Datenschutzbeauftragter übernimmt. Mit einem externen Datenschutzbeauftragten werden mögliche betriebsinterne Interessenskonflikte minimiert.

 

Vorteil Nr. 5: Kalkulierbare Flexibilität
Stundenweise oder im Teilzeitpensum. Sie entscheiden über die Art der Zusammenarbeit. Gerne werden wir aufgrund Ihrer Unternehmensgrösse und -komplexität eine verbindliche Aufwandschätzung erstellen, um das Aufgabenpensum zu ermitteln. Die Zusammenarbeit ist grundsätzlich langfristig angelegt, kann aber Ihrerseits jederzeit aufgelöst werden.

 

Vorteil Nr. 6: Reduktion der Aufwände
Mit einem ausgewiesenen und erfahrenen Fachspezialisten als externem Datenschutzbeauftragten entlasten Sie Ihre personellen Ressourcen und reduzieren die Aufwände. Die Einarbeitungszeit sowie die Aufwände für die kontinuierliche Aus- und Weiterbildung entfallen.

 

Vorteil Nr. 7: Know-how-Transfer
Der erfahrene und gut vernetzte externe Datenschutzbeauftragte ist Ihre interne und externe Auskunfts- und Ansprechstelle im Bereich Datenschutz. Sie können jederzeit auf sein Expertenwissen zurückgreifen und von seinem praxisorientierten Datenschutz-Know-how profitieren. Auf Wunsch sensibilisiert und bildet er alle Mitarbeitenden stufen- und funktionsgerecht aus.

 

Vorteil Nr. 8: Zeitgewinn und Rechtssicherheit
Der externe Datenschutzbeauftragte kennt die Datenschutzanforderungen und -vorgaben gemäss Datenschutz-Grundverordnung. Durch seine Mitarbeit werden die Datenschutzaufgaben kompetent und gesetzestreu umgesetzt und erfüllt. Dank dem schnellen Transfer von Expertenwissen bzw. der schnellen Beantwortung und Lösung von datenschutzrechtlichen Fragen und Hindernissen kann Ihr Unternehmen wertvolle Zeit gewinnen bei der Umsetzung von Projekten und Aufgaben.

 

Vorteil Nr. 9: Stellvertretung ist sichergestellt
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe Datenschutzbeauftragte ist für Sie immer erreichbar. Innerhalb der Swiss Infosec AG wird eine entsprechende Stellvertretung auch während der Ferien des namentlich eingesetzten Spezialisten sichergestellt.

 

Vorteil Nr. 10: Effektivität und Effizienz aufgrund der Anzahl Fachspezialisten der Swiss Infosec AG
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe Datenschutzbeauftragte hat innerhalb der Swiss Infosec AG jederzeit auch Zugang zu zahlreichen Fachspezialisten im Bereich der Integralen Sicherheit und kann somit auch übergreifende Themen wie z.B. Fragen der Informatiksicherheit, der physischen Sicherheit, Synergien von integrierten Managementsystemen (Datenschutz-Managementsystem DSMS und Informationssicherheits-Managementsystem ISMS) oder Fragen zur rechtskonformen Archivierung effizient und effektiv bearbeiten.

 

Der "Externe Datenschutzbeauftragte" für betriebliche Datenschutzaufgaben kann auch für Sie von Interesse sein, insbesondere dann, wenn Sie – in welcher Form auch immer – mit der Europäischen Union (EU) zu tun haben.

 

Lassen Sie sich vom Datenschutzteam der Swiss Infosec AG beraten, unterstützen und schulen. Wir kennen alle Hürden und Fallstricke der EU-DSGVO und beantworten Ihnen alle Fragen zur DSGVO/GDPR: schnell und präzise

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 

 

 

 

 

Michèle Balthasar

E-Mail

DSG und Totalrevision DSG

Wir kennen das DSG wie unsere eigene Hosentasche, ebenso sind wir hautnah am Geschehen der aktuellen Totalrevision DSG und können Sie so aus erster Hand informieren.

 

Wir beraten, unterstützen und schulen Sie in allen Datenschutzfragen und stehen Ihnen auf Wunsch als Ihr externer betrieblicher Datenschutzverantwortlicher vor Ort bei Ihnen, stundenweise oder auf Mandatsbasis, als starke und kompetente Stütze zur Seite: auf Abruf sofort zur Stelle!

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 


 

Führen Sie eine Datensammlung?
Keine Zeit für Datenschutzfragen?
Fehlen Ihnen die personellen Ressourcen?

Wir kennen die Lösung: Die Datenschutzspezialisten der Swiss Infosec AG als Ihr externer betrieblicher Datenschutzverantwortlicher, auf Mandatsbasis oder stundenweise.

Der externe betriebliche Datenschutzverantwortliche spart Zeit und Geld

Halten Sie sich mit der Ernennung eines externen betrieblichen Datenschutzverantwortlichen an die Vorgaben des Datenschutzgesetzes (DSG).
Setzen Sie uns als externen betrieblichen Datenschutzverantwortlichen ein und Sie erhalten Datenschutzwissen und sparen Ressourcen.

Uns als externen betrieblichen Datenschutzverantwortlichen zu wählen, hat viele Vorteile für Sie!

Wir, als Ihr externer betrieblicher Datenschutzverantwortlicher, agieren schnell, kompetent und praxisorientiert, während Sie sich auf Ihre eigentlichen Kernkompetenzen konzentrieren können.

Unsere Datenschutzspezialisten können Sie einfach und unkompliziert als Ihren persönlichen externen betrieblichen Datenschutzverantwortlichen einsetzen – im Mandatsverhältnis oder auf Abruf (stundenweise).

Die Einhaltung der geforderten Vorgaben gemäss Datenschutzgesetz (Art. 11a DSG) liegt so in sicheren und neutralen Händen. Dieses Angebot ist unabhängig von der Betriebsgrösse und so auch für KMUs von grossem Vorteil.

Ihr externer betrieblicher Datenschutzverantwortlicher – persönlich, schnell und kompetent

Mit dem externen betrieblichen Datenschutzverantwortlichen konzentrieren Sie sich auf Ihre Kompetenzen und auf Ihre Kernaufgaben und lassen sämtliche Datenschutzfragen vom Experten bearbeiten.

Externer betrieblicher Datenschutzverantwortlicher-Vorteil Nr. 1: Erfüllung der gesetzlichen Anforderungen

Mit dem Einsatz eines externen betrieblichen Datenschutzverantwortlichen erfüllen Sie die gesetzlichen Anforderungen gemäss dem Schweizer Datenschutzgesetz und sind von der allfälligen Pflicht entbunden, einzelne Datensammlungen beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu registrieren. Der externe betriebliche Datenschutzverantwortliche agiert unabhängig von Ihren internen Aufgaben und Belastungen, bleibt dran am Thema und stellt so Ihre Rechtskonformität sicher.

 

Vorteil Nr. 2: Konzentration auf Ihre Kernaufgaben
Mit dem externen betrieblichen Datenschutzverantwortlichen konzentrieren Sie sich auf Ihre Kompetenzen und Kernaufgaben und lassen Datenschutzfragen vom Experten bearbeiten.

 

Vorteil Nr. 3: Unabhängig und neutral
Der externe betriebliche Datenschutzverantwortliche ist neutral und unabhängig und hat mit seiner umfassenden 360°-Sicht zum Thema Datenschutz die nötige Sachlichkeit, Datenschutzfragen neutral und unabhängig zu beantworten. Er ist Ihre kompetente Ansprechstelle für alle Fragen des Datenschutzes, national und international.

 

Vorteil Nr. 4: Keine Interessenskonflikte
Sie dürfen sich auf einen datenschutzerfahrenen Spezialisten verlassen, der in Ihrem Unternehmen unabhängig und neutral – wie in der Verordnung zum Datenschutz (Art. 12 VDSG) formuliert – seine betriebliche Funktion als Datenschutzverantwortlicher übernimmt. Mit einem externen betrieblichen Datenschutzverantwortlichen werden mögliche betriebsinterne Interessenskonflikte minimiert.

 

Vorteil Nr. 5: Kalkulierbare Flexibilität
Stundenweise oder im Teilzeitpensum. Sie entscheiden über die Art der Zusammenarbeit. Gerne werden wir aufgrund Ihrer Unternehmensgrösse und -komplexität eine verbindliche Aufwandschätzung erstellen, um das Aufgabenpensum zu ermitteln. Die Zusammenarbeit ist grundsätzlich langfristig angelegt, kann aber Ihrerseits jederzeit aufgelöst werden.

 

Vorteil Nr. 6: Reduktion der Aufwände
Mit einem ausgewiesenen und erfahrenen Fachspezialisten als externem betrieblichen Datenschutzverantwortlichen entlasten Sie Ihre personellen Ressourcen und reduzieren die Aufwände. Die Einarbeitungszeit sowie die Aufwände für die kontinuierliche Aus- und Weiterbildung entfallen.

 

Vorteil Nr. 7: Know-how-Transfer
Der erfahrene und gut vernetzte externe betriebliche Datenschutzverantwortliche ist Ihre interne und externe Auskunfts- und Ansprechstelle im Bereich Datenschutz. Sie können jederzeit auf sein Expertenwissen zurückgreifen und von seinem praxisorientierten Datenschutz-Know-how profitieren. Auf Wunsch sensibilisiert und bildet er alle Mitarbeitenden stufen- und funktionsgerecht aus.

 

Vorteil Nr. 8: Zeitgewinn und Rechtssicherheit
Der externe betriebliche Datenschutzverantwortliche kennt die Datenschutzanforderungen und -vorgaben gemäss Datenschutzgesetzgebung. Durch seine Mitarbeit werden die Datenschutzaufgaben kompetent und gesetzestreu umgesetzt und erfüllt. Dank dem schnellen Transfer von Expertenwissen bzw. der schnellen Beantwortung und Lösung von datenschutzrechtlichen Fragen und Hindernissen kann Ihr Unternehmen wertvolle Zeit gewinnen bei der Umsetzung von Projekten und Aufgaben.

 

Vorteil Nr. 9: Stellvertretung ist sichergestellt
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe betriebliche Datenschutzverantwortliche ist für Sie immer erreichbar. Innerhalb der Swiss Infosec AG wird eine entsprechende Stellvertretung auch während der Ferien des namentlich eingesetzten Spezialisten sichergestellt.

 

Vorteil Nr. 10: Effektivität und Effizienz aufgrund der Anzahl Fachspezialisten der Swiss Infosec AG
Zusatzvorteil Swiss Infosec AG: Der eingesetzte externe betriebliche Datenschutzverantwortliche hat innerhalb der Swiss Infosec AG jederzeit auch Zugang zu zahlreichen Fachspezialisten im Bereich der Integralen Sicherheit und kann somit auch übergreifende Themen wie z.B. Fragen der Informatiksicherheit, der physischen Sicherheit, Synergien von integrierten Managementsystemen (Datenschutz-Managementsystem DSMS und Informationssicherheits-Managementsystem ISMS) oder Fragen zur rechtskonformen Archivierung effizient und effektiv bearbeiten.

 

Der "Externe betriebliche Datenschutzverantwortliche" für betriebliche Datenschutzaufgaben jedes Unternehmens kann auch für Sie von Interesse sein, denn wir kennen das DSG wie unsere eigene Hosentasche, ebenso sind wir hautnah am Geschehen der aktuellen Totalrevision DSG und können Sie so aus erster Hand informieren.

 

Kontaktieren Sie uns jetzt online (infosec@infosec.ch) oder unter Telefon +41 41 984 12 12 für ein persönliches und kostenloses Erstgespräch.

 

 

 

 

 

Michèle Balthasar

E-Mail

Eine Sicherheitsfrage, oder mehrere Fragen?

Ihre Sicherheitsfragen kompetent und schnell beantwortet

Unser Beratungsservice zeichnet sich dadurch aus, dass er Ihre Sicherheitsfragen kompetent und schnell beantwortet.

 

Wir beantworten Ihre Sicherheitsfragen im Bereich Integrale Sicherheit, Informationssicherheit, Datenschutz, IT-Sicherheit, Krisenmanagement, Business Continuity Management und Physische Sicherheit.

 

Haben Sie eine konkrete Sicherheitsfrage?

Unsere Spezialisten beantworten Ihre Fragen im Bereich der Sicherheitsberatung unkompliziert, rasch und diskret.

datenschutzfragen
eineFrage

 

Haben Sie regelmässig Sicherheitsfragen?

Vereinbaren Sie mit uns im Voraus planbare Beratungsleistungen: budgetierbar und transparent.

beratungsservice
mehrereFragen

 

Haben Sie Fragen oder Anregungen zu diesem Beratungsangebot?

Gerne beantworten wir Ihre Fragen zu unserem Beratungsangebot und freuen uns über Ihre Anregungen und Wünsche.

 

kev  

 

 

 

Ken Vogel

E-Mail

Fehlende Cybersecurity-Profis das grössere Problem als allgemeiner Fachkräftemangel

Intel befragte in einer Studie 775 Entscheider in acht Ländern. Die allgemeine Schlussfolgerung war, dass der Mangel an Fachkräften primär den Sicherheitsbereich negativ beeinflusst.


Über die Hälfte der Studienteilnehmer stellten fest, dass die ungenügende Anzahl von Spezialisten im Security-Bereich einen grösseren Einfluss auf den Betrieb hätten als der übrige allgemeine Mangel an IT-Personal und fast drei Viertel erwähnte einen deutlich spürbaren negativen Effekt auf den Geschäftsbetrieb.


Primär sahen die Teilnehmer hier ein Versagen des Staates, der die Ausbildung solcher Sicherheitsspezialisten nur ungenügend unterstütze.


Die Studie listet unter anderem zwei Ansätze, wie dem Problem begegnet werden könnte. Das erste Stichwort hier wäre «Diversity». Es wurde festgestellt, dass Frauen nur ungenügend vertreten sind und speziell in den USA das Potential der afroamerikanischen und hispanischen Bevölkerung ebenfalls nur ungenügend ausgeschöpft wird. Gleichzeitig wären aber auch mehr Anstrengungen erforderlich um diese Minoritäten für diese Themen zu interessieren.


Parallel zur zunehmenden Wichtigkeit der Cybersecurity wird wohl auch die Wichtigkeit des CISO steigen. Während früher nur 15 Prozent direkt an den CEO rapportierten, sei bis 2018 mit 75 Prozent zu rechnen.


Cio.de; 12.9.2016; http://www.cio.de/a/der-ciso-emanzipiert-sich-vom-cio,3260652

Note: ungenügend

In einer Studie hat Symantec Corp. untersucht, wie gut sich die europäischen Unternehmen auf die 2018 in Kraft tretende Europäische Datenschutzverordnung GDPR vorbereiten. 96 Prozent der Unternehmen haben noch immer keinen vollständigen Überblick, was die neue Regelung für sie bedeutet und welche Herausforderungen mit ihr verbunden sind. In Deutschland betrifft das sogar 99 Prozent der Unternehmen.

 

Laut der Untersuchung bezweifeln 91 Prozent der Befragten, dass ihr Unternehmen das neue Regulativ wird einhalten können. 22 Prozent der Unternehmen wollen wiederum Compliance in den kommenden beiden Jahren mit höchster Priorität behandeln, jedoch glauben nur 26 Prozent der Teilnehmer, dass ihre Organisation bereits «GDPR-ready» ist. 23 Prozent der Befragten meinte, dass ihre Organisation bis 2018 die neue Regelung nicht oder nur teilweise einhalten können wird. 49 Prozent sind der Meinung, dass nur einzelne Abteilungen ihres Unternehmens die Anforderungen erfüllen werden. Dies zieht potentiell ein grosses Bussgeldrisiko nach sich.

 

Den Unternehmen fehlt es aber am notwendigen Bewusstsein für die Erwartungen der Verbraucher hinsichtlich Datenschutz und -sicherheit: 74 Prozent der Umfrageteilnehmer glauben nicht, dass es für Kunden ein Top-3-Kriterium bei einer Kaufentscheidung oder weitergehenden Geschäftsbeziehung ist, wie ein Unternehmen beim Datenschutz aufgestellt ist. Jedoch erkundigen sich mehr als ein Drittel der Kunden (36 Prozent) bei Transaktionen nach den Sicherheitsvorkehrungen. Ähnlich besorgniserregend ist die Erkenntnis, dass 35 Prozent der Studienteilnehmer nicht der Meinung sind, dass ihr Unternehmen einem ethischen Ansatz beim Schutz und Sichern von Daten folgt.

 

it-daily.net, 18.10.2016
https://www.it-daily.net/analysen/13597-unternehmen-nicht-auf-gdpr-vorbereitet-studie

Und zwar jetzt schon und nicht erst im Jahr 2018

 

Symantec Corp. hat untersucht, wie gut sich die europäischen Unternehmen auf die im Mai 2018 in Kraft tretende Europäische Datenschutzverordnung GDPR vorbereiten: 96 Prozent der Unternehmen haben noch immer keinen vollständigen Überblick, was die neue Regelung für sie bedeutet und welche Herausforderungen mit ihr verbunden sind. In Deutschland betrifft das sogar 99 Prozent der Unternehmen. Laut der Untersuchung haben 91 Prozent der Befragten Bedenken, dass ihr Unternehmen in der Lage sein wird, die neue Regelung einzuhalten. 22 Prozent der Unternehmen wollen das Thema Compliance dagegen in den kommenden beiden Jahren mit höchster Priorität behandeln, während gleichzeitig nur 26 Prozent der Befragten der Meinung sind, dass ihr Unternehmen bereits vollständig auf GDPR vorbereitet ist.

 

„Diese Zahlen zeigen, dass die Unternehmen nicht nur unzureichend für GDPR gerüstet sind, sondern sich auch nicht ausreichend darauf vorbereiten“, sagt Kevin Isaac, Senior Vice President von Symantec. Es besteht eine erhebliche Diskrepanz zwischen der Bedeutung von Datenschutz und -sicherheit für die Verbraucher und der Priorität, mit der die Unternehmen das Thema behandeln. Die gute Nachricht ist, dass bis zum Inkrafttreten von GDPR noch genug Zeit ist – sofern Unternehmen jetzt aktiv werden.“

 

Symantec.com; 18.10.2016
https://www.symantec.com/de/de/about/news/release/article.jsp?prid=20161018_01

Eine Auslegung des Rechts

 

Daten sind zu einem Rohstoff geworden, der neue Wertschöpfungsketten ermöglicht. Dessen ungeachtet ist die Frage, welche Rechte an Daten bestehen, bisher – zumindest in der Schweiz – nur wenig bearbeitet worden. Ziel des vorliegenden Beitrags ist es, mit Blick auf die Rechtslage in der Schweiz eine erste Übersicht zu Rechten, die an Daten bestehen können, zu geben. Daran anschliessend wird auch die Frage aufgeworfen, ob an der heutigen Rechtslage etwas geändert werden soll.

 

I. Einleitung
Man mag es kaum mehr hören: Daten sind das Öl des 21. Jahrhunderts. Der Vergleich mag in Bezug auf die wirtschaftliche Relevanz eine gewisse Gültigkeit haben. Gleichzeitig ist er aber in verschiedener Hinsicht unsinnig: Öl kann man nutzen und dann ist es in der Regel weg. Öl kann man kaufen und dann gehört es niemand anderem. Öl kann man aus einer bestimmten Quelle fördern und damit verhindern, dass es jemand anderes tut. Demgegenüber kann man Daten nutzen, ohne dass sie danach weg wären.
Man kann Daten kaufen, ohne dass damit ausgeschlossen wäre, dass ein anderer diese Daten auch kauft. Und man kann Daten sammeln, ohne damit zu verhindern, dass sonst jemand die gleichen Daten auch sammelt. Kurz (oder ökonomisch gesprochen): Öl ist rivalisierend, Daten sind es nicht. Nicht rivalisierende Güter können von mehreren Personen gleichzeitig verwendet werden, ohne dass eine Verwendung die andere beeinträchtigt. Öl ist darüber hinaus auch ausschliessbar, der Eigentümer kann also kontrollieren, wer den Rohstoff nutzt und wer nicht. Die Frage der Ausschliessbarkeit ist bei Daten weniger eindeutig: Kann die Verwendung von Daten durch Dritte ausgeschlossen werden? Falls ja, auf welche Rechtsgrundlage könnte sich der Ausschluss stützen? Der vorliegende Beitrag versucht, erste Antworten auf diese Fragen zu geben.

 

II. Begriff
Daten sind gemäss Duden «(durch Beobachtungen, Messungen, statistische Erhebungen u.a. gewonnene) [Zahlen]werte, (auf Beobachtungen, Messungen, statistischen Erhebungen u.a. beruhende) Angaben, formulierbare Befunde» sowie «elektronisch gespeicherte Zeichen, Angaben, Informationen». Daten können also einerseits auf der Bedeutungsebene (semantische Information) und andererseits auf der Zeichenebene (syntaktische Information) abgegrenzt werden. Ersteres ist der Ansatz des Datenschutzrechts, das Daten als Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, definiert. Grenzt man Daten auf der Zeichenebene ab, könnte damit eine Menge von Einsen und Nullen als Rechtsobjekt geschützt werden.

 

III. Rechte an Daten de lege lata
Wer die faktische Herrschaft über Daten hat, kann die Verwendung derselben durch Dritte ganz einfach dadurch verhindern, dass er die Daten nicht weitergibt. Dies funktioniert natürlich nur, solange die Daten geheim sind. Daneben besteht immer auch die Möglichkeit, die Datennutzung vertraglich zu regeln, ohne dass die Rechtsnatur von Daten geklärt
sein muss. Unabhängig davon soll nachfolgend untersucht werden, welche Rechte an Daten nach heute geltendem Recht bestehen.
Im geltenden Recht werden Daten in erster Linie durch das Datenschutzgesetz erfasst. Das Gesetz bezieht sich jedoch nur auf Personendaten und definiert diese in Art. 3 lit. a DSG als «alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen». Das Datenschutzgesetz schützt nicht Daten als solche, stattdessen «bezweckt [es] den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden» (Art. 1 DSG). Dies zeigt sich z.B. an der Regel, wonach Personendaten dann nicht ins Ausland bekannt gegeben werden dürfen, «wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde» (Art. 6 Abs. 1 DSG).

 

Während für Datenbearbeitungen durch Private immer das Bundesrecht massgebend ist,
muss bei Datenbearbeitungen durch Behörden je nach Stufe derselben das eidgenössische oder das jeweilige kantonale Datenschutzgesetz berücksichtigt werden. Die Datenschutzgesetze regeln die Voraussetzungen, unter denen eine Bearbeitung von Personendaten zulässig ist. Sie enthalten jedoch keine Regeln zur Frage, welche Rechte an Daten bestehen. Mit der Zuweisung von Ausschliesslichkeitsrechten an unkörperlichen und deswegen nicht-rivalisierend nutzbaren Gütern beschäftigt sich bereits seit Langem das Immaterialgüterrecht. Aus dem Kanon der bestehenden Immaterialgüterrechte kommt für Daten allenfalls das Urheberrecht in Betracht. Das Urheberrecht schützt Werke, d.h. geistige Schöpfungen der Literatur und Kunst, die individuellen Charakter haben (Art. 2 Abs. 1
URG). Art. 2 Abs. 2 URG nennt beispielhaft verschiedene Werkarten, darunter Sprachwerke, akustische Werke und Werke der bildenden Kunst. All diese Werke können auch digital entstehen oder digitalisiert werden, damit werden sie zu Daten und diese Daten sind urheberrechtlich geschützt. Bei der reinen Ansammlung von Daten liegt aber in aller Regel keine geistige Schöpfung vor und diese Daten sind vom Urheberrecht nicht geschützt.

 

Neben den Immaterialgüterrechten bietet das Lauterkeitsrecht einen gewissen Schutz bestimmter Leistungen bzw. Leistungsergebnisse vor Nachahmung. Das Lauterkeitsrecht verbietet insbesondere die Übernahme oder Verwertung eines marktreifen Arbeitsergebnisses, wenn dies durch technische Reproduktionsverfahren und ohne angemessenen eigenen Aufwand erfolgt (Art. 5 lit. c UWG). Davon können auch Daten erfasst sein, wenn sie Teil des marktreifen Arbeitsergebnisses sind. Ansonsten kennt aber auch das Lauterkeitsrecht keinen eigenständigen Schutz von Daten.
Nachdem bis vor Kurzem Einigkeit darüber zu bestehen schien, dass das Sachenrecht nicht auf Daten anwendbar ist, hat ECKERT unter dem Titel «Digitale Daten als Wirtschaftsgut: digitale Daten als Sache» diese These unlängst wieder hervorgeholt. Das Zivilgesetzbuch widmet sich in über 300 Artikeln dem Sachenrecht, ohne aber zu definieren, was eine
Sache ist. Die Lehre umschreibt die Sache als unpersönlichen, körperlichen und abgegrenzten Gegenstand, wobei ein Teil der Lehre darüber hinaus verlangt, dass die Sache der menschlichen Herrschaft unterworfen werden können muss. Diese Streitfrage braucht hier nicht vertieft zu werden, zumal Einigkeit darüber besteht, dass die Körperlichkeit zur Definition gehört. Daten sind nicht körperlich und somit keine Sachen. Ergänzend sei
hinzugefügt, dass Eigentum auch wegen seiner zeitlich unbegrenzten Dauer nur rivalisierende Nutzungen erfassen bzw. zuweisen kann.
Ferner bestehen in einzelnen Bereichen Spezialbestimmungen betreffend Daten, so zum Beispiel im Geoinformationsgesetz und im Humanforschungsrecht. Neu und dem schweizerischen Recht bis vor Kurzem fremd ist hier insbesondere die
Quellenangabepflicht für Geobasisdaten in Art. 50 der Geodatenverordnung. Das
Humanforschungsgesetz enthält neben einem Kapitel zu Transparenz und Datenschutz (Art. 56 ff. HFG) auch ein Kapitel über die Weiterverwendung von biologischem Material und gesundheitsbezogenen Personendaten für die Forschung (Art. 32 ff. HFG).
Als Zwischenfazit kann festgehalten werden, dass das geltende Recht für die meisten Daten keine Regelung und damit auch keine Zuordnung zu einem Rechtssubjekt vorsieht. Diese Rechtslage ist im europäischen Vergleich einzigartig, weil in der EU zumindest ein Datenbankschutz existiert.

 

IV. Rechte an Daten de lege ferenda?
Da de lege lata keine eigenständigen Rechte an Daten existieren, soll nachfolgend kurz die Frage aufgegriffen werden, ob diese Rechtslage verändert werden soll bzw. welche Gründe dafür und welche dagegen sprechen.
Für die Schaffung eines neuen Datenrechts spricht die Tatsache, dass Daten einen Wert haben und deshalb ein wirtschaftliches Interesse an einem neuen Recht an Daten als «Rohstoff» bestehen könnte. Diese Situation ist jedoch nicht neu und ein Blick auf die heute schon bestehende Datenwirtschaft zeigt, dass es durchaus erfolgreiche Unternehmen gibt,
deren Geschäftsmodell sich massgeblich auf Daten stützt. Mit Google basiert eines der mächtigsten Unternehmen überhaupt zu einem Grossteil auf Daten. Ein neues Recht an Daten würde es Unternehmen wie diesem wohl erschweren, an die notwendigen Daten zu kommen.
Ein Recht an Daten könnte also auch als Schutz des Individuums ausgestaltet werden, welches dann entscheiden könnte, wer welche Daten sammeln und verwalten darf. Ein solches Datenrecht hätte unzweifelhaft einschneidende Konsequenzen für zahlreiche Unternehmen und müsste schon deshalb von Beginn an international eingeführt werden. Würde ein Staat wie die Schweiz ohne internationale Abstimmung ein solches Recht einführen, bestünde die Gefahr, dass Unternehmen, deren Geschäftsmodelle auf Daten basieren, ihre Geschäftstätigkeit in andere Staaten verlagern würden.
Nichtsdestotrotz haben die staatspolitischen Kommissionen von National- und Ständerat einer parlamentarischen Initiative Folge gegeben, welche ein Eigentumsrecht an Daten in der Verfassung verankern will. Die Kommission des Nationalrats wird somit eine Gesetzesvorlage ausarbeiten, die anschliessend dem Gesamtrat unterbreitet werden
wird.

 

Während ein neues Recht an Daten auf den ersten Blick interessant erscheint, muss berücksichtigt werden, dass ein unilateral eingeführtes Recht letztlich dem Wirtschaftsstandort Schweiz grossen Schaden zufügen könnte. Nichtsdestotrotz gibt es gute Gründe für eine Stärkung der Rechtsposition des Individuums. In diesem Zusammenhang verdient insbesondere die Idee eines Rechts auf Kopie eine genauere Betrachtung. Auch
dazu gibt es bereits einen politischen Vorstoss, dem eine Mehrheit des Nationalrats zugestimmt hat. Es handelt sich um ein Postulat, das vom Bundesrat die Erarbeitung eines Berichts zur Frage, inwiefern der Einzelne und die Volkswirtschaft von der Weiterverwendung von personenbezogenen Daten profitieren könnten, verlangt. Dabei soll er insbesondere ein «Recht auf Kopie» für den Einzelnen prüfen. Der Bundesrat hat in
seiner Stellungnahme zu diesem Postulat festgehalten, dass er die verlangte Prüfung im Rahmen der Revision des Datenschutzgesetzes vornehmen werde.
Bei der Revision des Datenschutzgesetzes wird der Schweiz einmal mehr nichts anderes übrig bleiben, als die Rechtsentwicklungen der EU zu übernehmen. Zu gross wären die wirtschaftlichen Nachteile, sollten in der Schweiz andere Regeln gelten als in den umliegenden EU-Staaten. Somit ist davon auszugehen, dass das im Postulat Derder
vorgeschlagene Recht auf Kopie ohnehin im Rahmen des Nachvollzugs der EU-Datenschutz-Grundverordnung (EUDSGVO) auch in das schweizerische Datenschutzgesetz Eingang finden wird.
Von zentraler Bedeutung sind die Regelungen zur Datenportabilität in der Datenschutz-Grundverordnung. Art. 15 Abs. 3 Satz 1 EU-DSGVO lautet: «Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.» In Art. 15 Abs. 4 ist mit Verweis auf Abs. 3 explizit vom «Recht auf Erhalt einer Kopie» die Rede. Art. 20 EU-DSGVO enthält darüber hinaus ein Recht auf Datenübertragbarkeit. Die direkte Übermittlung von einem Anbieter zu einem anderen soll nach Art. 20 Abs. 2 EU-DSGVO verlangt werden können, «soweit dies technisch machbar ist». Unabhängig davon sieht Abs. 1 vor, dass die betroffene Person das Recht hat, «die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten». Mit Blick auf diese Regelungen in der EU ist davon auszugehen, dass das Recht auf Kopie auch in der Schweiz im Zuge der anstehenden DSG-Revision eingeführt wird.

 

Bei den Regelungen zur Datenportabilität handelt es sich eher um einen Anspruch auf Zugang zu Daten, der sich auf personenbezogene Daten beschränkt und dem Betroffenen zusteht. Ob darüber hinaus ein echtes Vermögensrecht an Daten eingeführt werden soll, das unabhängig von einem Personenbezug besteht, wird derzeit auch auf europäischer Ebene
heftig diskutiert. Eine Einführung in der Schweiz unabhängig vom Ausgang dieser Diskussion ist keinesfalls ratsam. Die Gretchenfrage bei einem eigentumsartigen Recht an Daten wäre, wem dieses zustehen soll. Weder der Betroffene (Datenschutzrecht, setzt Personenbezug voraus) noch der «Inhaber» oder «Besitzer» (Sacheigentum, setzt faktische Herrschaft voraus) kommen in Betracht. Denkbar wäre, auf den wirtschaftlich verantwortlichen Erzeuger oder den «Skribenten» (technischer «Ersteller» der Daten) abzustellen. Ob das aber ökonomisch sinnvoll ist, müsste erst empirisch untersucht werden. Weitere Fragen, die geklärt werden müssten, sind, welche Befugnisse dem Rechtinhaber ausschliesslich zugewiesen sein sollen (und ob sie sich auf semantische oder syntaktische Daten beziehen), welche Schranken für diese Zuweisung vorgesehen sein müssen, wie lange ein solches Recht dauern darf und ob zusätzliche Entstehungsvoraussetzungen wie etwa eine Registrierung zu fordern sind. Auch die Übertragung im Rechtsverkehr und das Verhältnis zu anderen Rechten wie dem Datenschutzrecht müssen genau bedacht werden. All diese Fragen sind noch ungeklärt.

 

V. Zusammenfassung
De lege lata existieren in der Schweiz keine eigenständigen Rechte an Daten. Datenschutz-, Urheber- und Lauterkeitsrecht schützten Personen, Werke und bestimmte Leistungen. Daten werden dementsprechend nur dann erfasst, wenn es sich um Personendaten, um digitalisierte bzw. digitale Werke oder um das Ergebnis einer ausnahmsweise eigenständig
durch das UWG geschützten Leistung handelt. Das Sachenrecht ist wegen der fehlenden Körperlichkeit von vornherein nicht auf Daten anwendbar.
Die Frage, ob an dieser Rechtslage etwas geändert werden soll, wird im Rahmen des Nachvollzugs der EU-Datenschutz-Grundverordnung und möglicher weiterer EU-Rechtsakte in das schweizerische  Recht zu diskutieren sein. Von der Einführung eines Eigentumsrechts an Daten ohne eingehende Überprüfung der Folgen ist dringend abzuraten, während die
Idee eines Rechts auf Kopie das Potential hat, dem Individuum zumindest den Zugang zu seinen Daten zu sichern.

 

(Anmerkung: Zur leichteren Lesbarkeit in Rahmen dieses Newsletters wurden die Fussnoten entfernt. Bei Interesse finden Sie den Artikel MIT den Fussnoten unter dem folgenden Link. Lizenz CC BY-SA 4.0)

 

Sui-generis.ch; Daniel Hürlimann, Herbert Zech; 23.12.2016
http://sui-generis.ch/article/view/sg.27/306

EU-Datenschutz-Grundverordnung: Das müssen Sie wissen

 

Nach langen Verhandlungen erfolgte im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen. Die DSGVO wird übrigens ab 25. Mai 2018, also in etwas mehr als einem Jahr, anwendbar sein.

 

Ziele und Grundsätze

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

 

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

 

Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf.

 

Pflichten für Unternehmen

 

Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings könnten andere Pflichten wiederum zu einem deutlichen Mehraufwand seitens der Unternehmen führen. Beispielsweise könnte die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschliessende Konsultation der zuständigen Aufsichtsbehörde zu einem vermehrten Mass an Bürokratie führen. Ob diese dann wirklich noch positive Auswirkungen für Verbraucher und Unternehmen hat, ist derzeit aber kaum abzusehen.

 

Internationale Datentransfers ins Ausland

 

Der Transfer von personenbezogenen Daten in Staaten ausserhalb der EU/des EWA (sogenannten Drittstaaten) ist problematisch. Dies ist im Rahmen der Richtlinie 95/46/EG (Datenschutz-Richtlinie) der Fall und wird auch mit Inkrafttreten der Datenschutz-Grundverordnung so bleiben. Grund hierfür ist die Annahme, dass in Drittstaaten generell kein angemessenes Datenschutzniveau herrscht. Eine Ausnahme besteht dann, wenn die EU-Kommission für den betreffenden Staat ein solches festgestellt hat. Dementsprechend werden Datentransfers in Drittstaaten auch weiterhin nur zulässig sein, wenn zusätzliche Sicherheitsmechanismen dazu beitragen ein angemessenes Datenschutzniveau zu gewährleisten oder ein solches verbindlich festgestellt wurde.

 

Die DSGVO bringt aber nicht nur Mehrarbeit und zusätzlichen Einsatz von Ressourcen mit sich, sondern hat auch einige positive Seiten. Nachfolgend sind einige aufgeführt:

 

Die Rolle der Aufsichtsbehörden

 

Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) ändert sich nicht nur die gesetzliche Ausgestaltung des Datenschutzrechts. Auch Aufgaben, Zuständigkeit und Befugnisse der Aufsichtsbehörden wurden teilweise überarbeitet. Daraus ergeben sich für die praktische Handhabung des Datenschutzes ganz neue Chancen, aber auch Probleme.

 

Anforderungen an eine Einwilligung

 

Die Einwilligung in die Verarbeitung seiner personenbezogenen Daten durch den Betroffenen ist seit jeher zentraler Bestandteil des Datenschutzrechts. Aufgrund des Grundrechts der informationellen Selbstbestimmung kann jeder Bürger für sich entscheiden, wer welche Informationen über ihn erhält.

 

Datenschutz-Vertreter für Unternehmen

 

Bislang wenig beachtet wird durch die EU-DSGVO auch ein neues Rechtsinstitut eingeführt: der EU-Vertreter bzw. Vertreter in der Union. Seine Existenz hängt eng mit dem durch die EU-DSGVO neu eingeführten Marktortprinzip zusammen. Alle Unternehmen, die keine Niederlassung in der EU unterhalten, aber Personen in der Union Waren oder Dienstleistungen anbieten oder ihr Verhalten – z.B. durch „Tracking“ oder „Profiling“ – beobachten, müssen grundsätzlich einen EU-Vertreter bestellen. Dieser soll insbesondere als Anlaufstelle und Ansprechpartner für Aufsichtsbehörden und betroffene Personen dienen und stellt damit das Bindeglied zwischen diesen und dem in einem Drittland niedergelassenen datenverarbeitenden Unternehmen dar.

 

Betrieblicher Datenschutzbeauftragter

 

Das Modell Datenschutzbeauftragter ist z.B. in Deutschland seit langem bekannt und viele Unternehmen müssen bereits jetzt einen Datenschutzbeauftragten bestellen. Mit Inkrafttreten der Datenschutz-Grundverordnung wird eine solche Pflicht auch erstmals europaweit für Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf, eingeführt. Durch die Öffnungsklauseln können die Länder zwar nationale Sonderregelungen für die Bestellung eines betrieblichen Datenschutzbeauftragten schaffen. Nichtsdestotrotz gelten daneben die Anforderungen der Datenschutz-Grundverordnung.

 

Datensicherheit

 

Mit der DSGVO ändern sich die Vorgaben zur Datensicherheit und somit auch die der technischen und organisatorischen Massnahmen. Manche Begriffe werden durch die Verordnung noch abstrakter, als sie es bisher gewesen sind, einige Vorgehensweise ähneln der jetzigen Handhabung und wiederum andere Anforderungen, wie der Stand der Technik, Belastbarkeit oder data protection by default, sind neu. Auf Unternehmen kommt daher eine Menge Arbeit zu. Neue Verfahren müssen etabliert und Prozesse entsprechend der Verordnung angepasst werden.

 

Informationspflichten

 

Die Datenschutz-Grundverordnung führt für Unternehmen und Verantwortlichen eine Reihe von neuen Informationspflichten ein. Der europäische Gesetzgeber verfolgt das Ziel, dem Grundsatz der fairen und transparenten Datenverarbeitung gerecht zu werden. Die betroffenen Nutzer sollen zukünftig besser in der Lage sein, eine Datenerhebung, -verarbeitung oder -nutzung, anhand den zur Verfügung gestellten Informationen, zu überprüfen.

 

Aufgaben des Datenschutzbeauftragten

 

Mit der Datenschutz-Grundverordnung erweitert sich der Aufgabenkreis des Datenschutzbeauftragten. Damit verbunden ist eine Aufwertung der Position im Unternehmen, unter Umständen aber auch ein gesteigerter Haftungsumfang für Datenschutzverstösse des betreuten Unternehmens. Bis zur Anwendbarkeit der Datenschutz-Grundverordnung sollten Mitarbeiter und Datenschutzbeauftragte hinsichtlich der gesteigerten Bedeutung des Datenschutzes für Unternehmen sensibilisiert werden.

 

Datenschutz-Folgenabschätzung

 

Dass es eine gute Idee ist, eine Abschätzung der Folgen vor dem Einsatz einer bestimmten Technologie durchzuführen, hat sich bereits in den 1960er Jahre in den Bereichen Gesundheit und Umwelt durchgesetzt. Mit der Datenschutz-Grundverordnung hat der europäische Gesetzgeber diese Überlegung aufgegriffen. Fortan sind Unternehmen unter bestimmten Voraussetzungen verpflichtet eine Datenschutz-Folgenabschätzung vorzunehmen.

 

Data Breach Notification

 

Schon heute müssen Unternehmen, unter bestimmten Voraussetzungen, Aufsichtsbehörde und Betroffenen eine Data Breach Notification zukommen lassen. Nämlich dann, wenn Unberechtigte vermutlich oder erwiesenermassen Zugang zu „Risikodaten“ hatten. Eine weitere Voraussetzung ist, dass die Datenpanne zu einer schwerwiegenden Beeinträchtigung der Rechte oder schutzwürdigen Interessen des Betroffenen führen könnte. Die Datenschutz-Grundverordnung wird diese Anforderungen und etwaige Sanktionen noch deutlich verschärfen. Die Bedeutung der Data Breach Notification und deren Anzahl wird dadurch zwangsläufig steigen.

 

Verzeichnis von Verarbeitungstätigkeiten

 

Mit der Datenschutz-Grundverordnung muss ein Unternehmen nach Art. 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten führen. Dies ist nur eine von mehreren, neuen Vorgaben zur Dokumentationspflicht. Bei der Einhaltung aller gesetzlichen Vorgaben wird das Verzeichnis aber eine tragende Rolle spielen. Denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.

 

Aufbau eines Datenschutzmanagementsystems

 

Neben dem angesprochenen Verzeichnis von Verarbeitungstätigkeiten finden sich in der Datenschutz-Grundverordnung eine Vielzahl von Normen, die eine Dokumentierung der getroffenen Datenschutzmassnahmen fordern. Daneben schafft die DSGVO weitere Prozesse, die etabliert, und Aufgaben die wahrgenommen werden müssen. Daher bietet sich ein Datenschutzmanagement an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren.

 

One Stop Shop

 

Bei grenzüberschreitender Datenverarbeitung gilt demnächst nach Art. 56 Abs. 1 DSGVO das One Stop Shop Prinzip. Demnach ist nur noch eine federführende Aufsichtsbehörde für die Beurteilung datenschutzrechtlicher Belange eines Unternehmens zuständig. Damit entfällt für internationale Unternehmen eine Menge Bürokratie.

 

Datenschutzbeauftragter-info.de; Dr. Datenschutz; 01.2017
https://www.datenschutzbeauftragter-info.de/fachbeitraege/eu-datenschutz-grundverordnung/

Mehr Transparenz und stärkere Kontrolle über die eigenen Daten

 

Der Bundesrat will den Datenschutz stärken und an die veränderten technologischen und gesellschaftlichen Verhältnisse anpassen. Er hat an seiner Sitzung vom 21. Dezember 2016 den Vorentwurf zu einer Totalrevision des Datenschutzgesetzes (DSG) in die Vernehmlassung geschickt. Die Revision schafft auch die Voraussetzungen dafür, dass die Schweiz die Datenschutzkonvention des Europarates ratifizieren und die EU-Richtlinie über den Datenschutz im Bereich der Strafverfolgung übernehmen kann. Damit stellt der Bundesrat sicher, dass die grenzüberschreitende Datenübermittlung weiterhin möglich bleibt. Mit der Revision will der Bundesrat insbesondere die Transparenz von Datenbearbeitungen erhöhen und die Selbstbestimmung der betroffenen Personen über ihre Daten stärken. Dazu sollen die Informationspflichten der Organe, die für die Datenverarbeitung verantwortlich sind, ausgeweitet werden. Ergänzend dazu soll das Auskunftsrecht der betroffenen Personen präzisiert werden. Dabei steht die Selbstregulierung im Vordergrund: Der Vorentwurf sieht vor, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Empfehlungen der Guten Praxis erlässt oder genehmigt, welche die Datenschutzvorschriften konkretisieren. Ferner sollen die Aufsichtskompetenzen des EDÖB gestärkt werden. Dieser soll beispielsweise die Befugnis erhalten, Verstösse gegen die Datenschutzvorschriften zu untersuchen und entsprechende Verfügungen zu erlassen. Zudem sollen die Strafbestimmungen im Gesetz verschärft werden.

 

Der Vorentwurf berücksichtigt die jüngsten Entwicklungen im Bereich des Datenschutzes in der EU und beim Europarat. Die EU hat dieses Jahr mit der Richtlinie (EU) 2016/680 und der Verordnung (EU) 2016/679 zwei Erlasse zum Datenschutz verabschiedet. Die Schweiz passt nun ihre Gesetzgebung den Anforderungen der Richtlinie an. Diese regelt insbesondere die Datenbearbeitung im Rahmen der Strafverfolgung sowie der polizeilichen und justiziellen Zusammenarbeit. Zudem legt sie die Voraussetzungen fest, welche für die Übermittlung von Personendaten von einem Schengen-Staat in einen Drittstaat erfüllt sein müssen. Schliesslich regelt sie die Aufgaben und Kompetenzen der Kontrollbehörde. Der Bundesrat hatte die Übernahme der neuen EU-Richtlinie bereits am 31. August 2016 gutgeheissen und das Eidgenössische Justiz- und Polizeidepartement beauftragt, die zur Umsetzung der Richtlinie erforderlichen Gesetzesänderungen in die Revision des DSG aufzunehmen.

 

Im Europarat wurde die Modernisierung der von der Schweiz ratifizierten "Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" (Datenschutzkonvention SEV 108) an die Hand genommen. Auch im Hinblick auf eine zukünftige Ratifikation dieser Konvention sind Änderungen des DSG erforderlich.

 

Die Revision schafft die Voraussetzungen, damit die Schweiz die Anforderungen der EU-Richtlinie zum Datenschutz erfüllen und die revidierte Europarats-Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ratifizieren kann. Diese Anpassungen sind zentral, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig möglich bleibt.

 

Weiterführende Informationen (Vernehmlassungsvorlage und weitere Unterlagen) finden Sie unter untenstehendem Link.

 

Edoeb.admin.ch; PM; 21.12.2016
http://www.ejpd.admin.ch/ejpd/de/home/aktuell/news/2016/2016-12-21.html

Die Lebenserwartung ist noch nicht sicher

 

Der Bundesrat hat von der Einrichtung eines neuen Rahmens für die Übermittlungen von Personendaten aus der Schweiz in die USA Kenntnis genommen. Der sogenannte Privacy Shield ersetzt das vom EDÖB für ungenügend erklärte und nun auch vom Bundesrat formell aufgehobene Safe-Harbor-Abkommen zwischen der Schweiz und den USA. Der EDÖB begrüsst die Einrichtung dieses Rahmens.

 

Der Privacy Shield bringt für die von Datenübermittlungen in die USA betroffenen Personen in der Schweiz, insbesondere im kommerziellen Bereich, wesentliche Verbesserungen. Dies zeigt sich in einer Verstärkung der Anwendung der Datenschutzprinzipien durch die teilnehmenden Unternehmen und durch eine verbesserte Verwaltung und Überwachung des Rahmens durch die US-Behörden. Betroffenen Personen werden konkrete Instrumente zur Verfügung gestellt, um sich bei zertifizierten US-Unternehmen oder den zuständigen Behörden direkt über Datenbearbeitungen zu informieren und Korrekturen und Löschungen durchzusetzen. Über einen Ombudsmechanismus können betroffene Personen auch indirekt auf die Bearbeitung ihrer Daten durch US-Sicherheitsbehörden Einfluss nehmen. Zudem sichern die US-Behörden zu, zwecks Durchsetzung und Evaluation der vorgenannten Instrumente tätig zu werden.

Die Zusammenarbeit zwischen dem US-Departement of Commerce (DOC) und dem EDÖB wird intensiviert, und der EDÖB wird betroffenen Personen in der Schweiz als Anlaufstelle bei Problemen in Zusammenhang mit Datenübermittlungen in die USA zur Verfügung stehen. 3 Monate nach der Finalisierung des Privacy Shield können interessierte US-Unternehmen beim DOC den Zertifizierungsprozess einleiten. In dieser Zeit wird der EDÖB diesbezüglich keine Verfahren einleiten. Das DOC wird danach eine Liste aller zertifizierten Unternehmen auf seiner Webseite aufschalten. Der EDÖB wird einen Link zu dieser Liste sowie zu allen in diesem Zusammenhang relevanten Dokumenten auf seiner Webseite veröffentlichen, sobald diese Informationen verfügbar sind. Mit dem Privacy Shield gelten damit für die schweizerischen Exporte von Personendaten in die USA die gleichen Standards wie für diejenigen aus der EU. Dies ist für die Rechtssicherheit im Wirtschaftsverkehr und insbesondere auch für den freien Datenaustausch zwischen der Schweiz und der EU - gerade im kommerziellen Bereich - elementar.

 

Die Einrichtung dieses neuen Rahmens ist aus Sicht des EDÖB sinnvoll. Er bejaht, gestützt auf den Wortlaut des Swiss-US Privacy Shields, die Angemessenheit des Datenschutzniveaus und hat seine Staatenliste (gemäss Art. 7 VDSG) zu Gunsten der in diesem Rahmen zertifizierten Unternehmen angepasst. Besonderen Wert wird er jedoch auf die tatsächliche Praxis und die Rechtsentwicklung legen. Der EDÖB behält sich daher vor, im Anschluss an die jährlich durchzuführenden Evaluationen von Privacy Shield zur Anpassung der Liste zu schreiten, wenn er dies aufgrund seiner Erkenntnisse über den tatsächlichen Vollzug als angezeigt beurteilen sollte. Bei seiner Begutachtung berücksichtigt er auch die Rechtsprechung der schweizerischen Gerichte und allenfalls auch der Justiz in der EU.

 

Alle weiteren Unterlagen zu dieser Meldung finden Sie unter untenstehendem Link.

 

Edoeb.admin.ch; PM; 11.1.2017
https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=de

Zur Nutzung digitaler Medien jenseits von Privatheit und Datenschutz

 

Thilo Hagendorff

ISBN: 3837637778

Ein Überblick


Binding Corporate Rules (BCR) sind bindende Unternehmensrichtlinien, welche unternehmensinterne Datentransfers erlauben. BCR werden auch in Zukunft auch eine grosse Rolle spielen: in der Datenschutz-Grundverordnung (DSGVO) wurde sich dem Thema umfangreich gewidmet. Dieser Beitrag zeigt Änderungen auf, die sich durch die DSGVO ergeben.

Als „geeignete Garantie“ sind Binding Corporate Rules eine Möglichkeit für die unternehmensinterne Datenübermittlung in unsichere Drittländer (z.B. USA und China), da dann davon auszugehen ist, dass das EU-Datenschutzniveau innerhalb der Unternehmensgruppe (auch Gruppen von Unternehmen) herrscht. Die Einführung von BCR ist jedoch ein langwieriger und kostenintensiver Prozess. Unternehmensgruppen beabsichtigen langfristig alle Unternehmensteile in allen Ländern verbindlich dem Standard der Datenschutz-Grundverordnung anzupassen. BCR sollen neben der internen Wirkung auch nach aussen Betroffenenrechte wahren. Bisher haben 82 Unternehmen erfolgreich Binding Corporate Rules eingeführt – Tendenz steigend.

Gemäss Art. 46 Abs. 1 DSGVO werden Datenübermittlungen in einen unsicheren Drittstaat erlaubt, wenn die verantwortliche Stelle oder der Auftragsverarbeiter geeignete Garantien vorsieht und für den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Es ist wichtig, dass bei der Vertragsgestaltung ein besonderes Augenmerk auf die durchsetzbaren Rechte der Betroffenen und auf wirksame Rechtsbehelfe gelegt wird. Diese sind essentiell für eine Datenübermittlung in einen Drittstaat nach der DSGVO. Art. 46 Abs. 2 DSGVO regelt, dass die Anforderungen an geeignete Garantien, ohne dass es im Einzelfall einer spezifischen Genehmigung einer Datenschutzaufsichtsbehörde bedarf, durch BCR nachgewiesen werden können. Das heisst, dass nach einmaliger Zustimmung der federführenden Aufsichtsbehörde ein ständiger Datentransfer innerhalb der Unternehmensgruppe stattfinden kann.

Die Grundanforderungen an Binding Corporate Rules sind in Art. 47 Abs. 1 DSGVO beschrieben. Diese sind:

• BCR müssen durch Aufsichtsbehörden genehmigt werden.

• Alle Mitarbeiter und Unternehmen müssen auf BCR verpflichtet werden.

• Alle Mitarbeiter und Unternehmen müssen BCR durchsetzen.

• Die Rechte der betroffenen Personen in Bezug auf die Verarbeitung müssen gewahrt werden.

Ausserdem muss nach Artikel 4 Nr. 20 DSGVO und Artikel 47 Abs. 1 lit. a DSGVO eine gemeinsame Tätigkeit von einer „Gruppe von Unternehmen“ oder von „Unternehmensgruppen“ ausgeübt werden. Wenn dies vorliegt, sind auch Vertriebs- und Kooperationspartner sowie Dienstleister ausserhalb der Unternehmensgruppe umfasst.

Im Wesentlichen geht es in Artikel 47 Abs. 2 DSGVO um die Umsetzung des vorigen Standards aus Art. 26 Abs. 2 DS-RL, welcher von der Artikel-29-Datenschutzgruppe mithilfe der entsprechenden BCR Arbeitspapieren (Working Paper) entwickelt wurde. Artikel 47 Abs. 2 DSGVO bestimmt einen genauen und umfangreichen Mindestumfang an die Gestaltung von Binding Corporate Rules. In Artikel 47 Abs. 2 DSGVO wird der Mindestumfang genau definiert. Hier eine grobe Zusammenfassung:

• a) Daten für einen transparent ersichtlichen Geltungsbereich;

• b) Informationen über die Datenübermittlungen;

• c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;

• d) die allgemeinen Datenschutzgrundsätze der DSGVO;

• e) Es müssen Drittbegünstigungsklauseln aufgenommen werden;

• f) die verantwortliche und haftende Stelle muss hervorgehen;

• g) Informierungspflichten über Art und Umfang der für betroffenen einschlägigen Datenverarbeitungen und über Rechte, Rechtsbehelfe;

• h) Bezeichnung der überwachenden internen Stellen von: Einhaltung der BCR, Schulungsmassnahmen und Beschwerde;

• i) die Beschwerdeverfahren;

• j) Audit von BCR und Datenschutz;

• k) Verfahren zur Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;

• l) Verfahren der Kooperation mit der zuständigen Aufsichtsbehörde;

• m) Meldeverfahren über nachteilig auf Garantien der BCR auswirkende Rechtsvorschriften an die zuständige Aufsichtsbehörde;

• n) geeignete Datenschutzschulungen für Personal mit stätigem oder regelmässigem Zugang zu personenbezogenen Daten.

Das Kohärenzverfahren ist in Artikel 63 DSGVO geregelt. Es verpflichtet alle Mitgliedsstaaten Binding Corporate Rules uneingeschränkt anzuerkennen. Es kommt zum Einsatz, wenn der Datenfluss die Grenzen der EWR überschreiten soll. Durch dieses verbindliche Instrument können Konflikte zwischen Aufsichtsbehörden behoben werden. Dies hat zur Folge, dass die Harmonisierung des Europäischen Datenschutzrechtes vorangetrieben wird. Damit wird das datenschutzrechtliche Forum Shopping in Europa endgültig unterbunden. So kann beispielsweise Facebook keine Vorteile mehr aus dem Standort in Irland ziehen.

Das Kohärenzverfahren gewährleistet eine einheitliche Rechtsanwendung. Dem Erwägungsgrund 135 der DSGVO ist zu entnehmen, dass das Kohärenzverfahren eine einheitliche Anwendung der Verordnung in der gesamten Union sicherstellen soll. Dies fördert die Zusammenarbeit und die Kommunikation der Aufsichtsbehörden und beschleunigt den Prozess der Genehmigung von Binding Corporate Rules.

Die Datenschutz-Grundverordnung hat im Vergleich zur aktuellen Rechtslage eine Menge Vorteile.

• Durch das Kohärenzverfahren wird eine Möglichkeit geschaffen, den Prozess zwischen den Aufsichtsbehörden unbürokratischer und somit schneller zu gestalten. Dies ist eine wichtige Entwicklung, welche den Harmonisierungsvorgang entfesselt. So können Unternehmen kein datenschutzrechtliches Forum Shopping mehr betreiben und somit von der unzureichendem Datenschutzniveau eines Landes profitieren.

• Nach Art 46 Abs. 2 DSGVO müssen nach Anerkennung der BCR keine weiteren Genehmigungen für Datentransfers eingeholt werden.

• Durch die Aufnahme von Binding Corporate Rules in die Datenschutz-Grundverordnung wurden das Instrument offiziell vom EU-Gesetzgeber gestärkt und weiter anerkannt.

• Der Anwendungsbereich von BCR wurde auf Auftragsverarbeiter erweitert (siehe Art. 4 Nr. 8 DSGVO).

Auch wenn Binding Corporate Rules einen zeit- und kostenaufwendigen Prozess darstellen, kommt dieses Instrument für Unternehmen immer mehr in Frage, da sie im Vergleich zu Standardvertragsklauseln individueller an das Unternehmen angepasst werden können.

 

Datenschutzbeauftragter-info.de; Dr. Datenschutz; 24.03.2017
https://www.datenschutzbeauftragter-info.de/internationale-datentransfers-binding-corporate-rules-nach-dsgvo/

Diese 10 Personen sind ein Sicherheitsrisiko


Die grösste Gefahr für die Datensicherheit liegt nicht unbedingt ausserhalb des Unternehmensnetzes. Häufig sind es auch interne Mitarbeiter und Dienstleister mit privilegierten Zugriffsrechten, die Sicherheitslücken aufreissen und damit ein Sicherheitsrisiko für das ganze Unternehmen darstellen. Der Zugriff auf sensible Informationen durch privilegierte Nutzer bleibt ein wunder Punkt in der Sicherheitsstrategie vieler Unternehmen. Einerseits richten Unternehmen nicht genügend Aufmerksamkeit darauf, wie sie Benutzern nur die tatsächlich benötigten Zugriffsrechte auf Firmendaten zuweisen. Andererseits werden Hacker immer versierter darin, sich mit geraubten Zugangsdaten als legitime Nutzer auszugeben und im Firmennetz frei zu bewegen.

So gibt es also nicht nur Gefahren von aussen, sondern für viele Organisationen kommt das höchste Gefahrenpotential von innen. Eine Vielzahl an privilegierten Nutzern im Unternehmen verfügen über herausgehobene Zugriffsrechte, die sie zur Erfüllung ihrer Aufgaben schlicht benötigen. Ohne eine granulare Zugriffssteuerung und Auditierung der Aktivitäten im Netzwerk lassen sich die Schwachstellen nicht schliessen.

Wenn Angreifer indes die Sicherheit kompromittieren können, verfügen sie oft unbemerkt über Zugriffsberechtigungen auf geschäftskritische Systeme und sensible Daten. Der Kreis der Hauptverdächtigen umfasst nicht nur Administratoren, sondern auch Social-Media-Beauftragte und Cloud-Techniker.


Hinzu kommt ein erhebliches Risiko für die Unternehmenssicherheit durch die Zusammenarbeit mit Dienstleistern. In einer Bomgar-Marktstudie mit 600 IT-Experten aus Deutschland, Frankreich, Grossbritannien und den USA räumten 69 Prozent der Befragten eine dokumentierte oder wahrscheinliche Sicherheitsverletzung durch Drittanbieter im vergangenen Jahr ein. Mehr noch: 77 Prozent erwarten, dass ihr Unternehmen in den nächsten beiden Jahren eine schwere Sicherheitsverletzung aufgrund von Drittanbieteraktivitäten in ihren Netzwerken erleiden werden. Für Wartungs- und Konfigurationsarbeiten verfügen beispielsweise ITSupport-Mitarbeiter sowie externe Fachleute von IT-Dienstleistern, Lieferanten und Herstellern über externen Zugriff im Rahmen bestehender Service-Verträge.

Zehn Fachleute, die schnell zur grössten Schwachstelle im Unternehmen werden können:


1. Assistenz der Geschäftsleitung

Executive Assistants unterstützen die Geschäftsleitung bei Routinearbeiten, Entscheidungen, Planungen und auch bei der Mitarbeiterführung. In ihrem Tätigkeitsfeld haben Sie Einblick in viele Prozesse, Zugriff auf unterschiedlichste Systeme und dürfen sogar E-Mails von Vorgesetzten mitlesen. Sie werten betriebswirtschaftliche Unterlagen der Betriebsführung aus, analysieren Angebote sowie Verträge und bereiten Verhandlungen samt Unterlagen für wichtige Besprechungen vor. Aufgrund dieses weit gefächerten Aufgabenprofils sind sie auch ein lohnenswertes Ziel für Angreifer.


2. Social-Media-Manager

Gemeinsam mit anderen Digital-Marketing-Experten arbeiten Social-Media-Manager an der Weiterentwicklung und Umsetzung der Unternehmensstrategie in den sozialen Medien und überwachen Kampagnen mithilfe verschiedener Tools. Als Schnittstelle mit allen beteiligten Unternehmensbereichen planen, koordinieren und begleiten sie die Massnahmen — mit allen dafür erforderlichen Privilegien. Cyberkriminelle könnten sich in dieser Rolle beispielsweise die Gutgläubigkeit von Angestellten zunutze machen, um auf Systeme oder wertvolle Informationen zuzugreifen.


3. Ehemalige Mitarbeiter oder Vendors

Einer der wichtigsten Vorsichtsmassnahmen in jedem Unternehmen ist es, Zugriffsrechte von Mitarbeitern oder Vendoren sofort bei Vertragsende zu sperren. Nicht immer wird diese Sicherheitsregel aber auch konsequent umgesetzt. Unterbleibt die sofortige Sperrung der veralteten Benutzerkonten, öffnen sich Unternehmen ganz automatisch für gefährliche Hackerangriffe.


4. Neue IT-Administratoren

Hacker denken nie eindimensional, sondern sind ständig auf der Suche nach neuen Ansatz-, pardon, Angriffspunkten. Da liegt es nahe, Online-Stellenausschreibungen zu recherchieren und per Social Engineering sich ins Unternehmensnetz zu tricksen. Neue IT-Administratoren beispielsweise sind mit den Abläufen, Protokollen und Prozessen beim neuen Arbeitgeber zwangsläufig noch nicht vertraut. Deshalb sind sie für Aussenstehende erfolgsversprechende Angriffsziele.


5. Techniker von Drittanbietern

Im modernen Enterprise-Umfeld lassen sich die komplexen Verbindungen mit externen Zulieferern und Handelspartnern nur noch schwer überwachen. Lange Zeit konzentrierten sich die Sicherheitsmassnahmen alleine auf Abhörsicherheit. Die simple Einrichtung von VPNTunneln nach aussen beantwortet aber nicht die Frage, was per verschlüsselten Zugang tatsächlich abgerufen und konfiguriert wird. Schlimmer noch: VPN-Zugangsdaten mit Blankovollmacht in den falschen Händen bewirken, dass Zugriffe von aussen nicht eingesehen und überwacht werden können.


6. IT-Sicherheitsberater

Vielschichtige Sicherheitsvorkehrungen im Unternehmensverbund beinhalten in der Regel, dass verschiedene Support- und Sicherheitsdienstleiter integriert sind. Auch sie verfügen über weitreichende Zugriffsrechte und Einwahlmöglichkeiten in das zentrale Firmennetz. Notwendig ist daher erstens, dass sich sämtliche Aktivitäten der Dienstleister überwachen lassen. Und zweitens müssen die Security Consultants auch dahingehend auditiert werden, ob ihre eigenen Schutzmassnahmen ausreichen.


7. Zeitarbeiter

Im Einzelhandel und in der Dienstleistungsbranche ist es gang und gäbe, zu Stosszeiten zusätzliche Fachkräfte und zeitlich befristete Arbeitskräfte hinzuzuziehen. In der IT-Branche ist das ähnlich und Zeitarbeiter erhalten so temporären Zugriff auf Online-Systeme wie Lohnabrechnungssysteme und andere Portale mit wertvollen Daten. Auch UnternehmensHardware wie Laptops oder mobile Endgeräte stehen ihnen zur Verfügung. Wichtig ist, dass die kurzfristig beschäftigten Mitarbeiter den gleichen Sicherheitsvorkehrungen unterliegen wie alle anderen Mitarbeiter.


8. Geschäftsführer

Das FBI ermittelte unlängst die Kosten raffinierter Scam-Angriffe speziell auf CEOs. Alleine in den zurückliegenden drei Jahren sollen Unternehmen demnach einen Schaden von 2,3 Milliarden US-Dollar davongetragen haben. Diese Angriffsversuche auf die Zugangsdaten und Informationen der Geschäftsführer dokumentieren, dass externe Angreifer sowohl bei der obersten Führungsebene als auch bei einfachen Angestellten den Hebel ansetzen und Schwachstellen suchen.


9. Cloud-Techniker

Immer mehr geschäftliche Informationen verlagern sich auf die Cloud, so dass alle mit der Cloud-Infrastruktur befassten Techniker grundsätzlich zu privilegierten Nutzern gezählt werden müssen. Diese Mitarbeiter bauen die IT-Architektur auf, verwalten eine Cloud-Plattform oder sind mit Datenmanagement, Datenrichtlinien und Geschäftsprozessmanagement befasst. Als Einzelpersonen haben sie weitreichende Befugnisse und Zugriffsmöglichkeiten auf Unternehmensdaten, was sie wiederum für Hacker interessant macht.


10. Charity-Manager

Beim Grossangriff auf US-amerikanische Banken im Jahr 2014 zeigten sich die Angreifer besonders kreativ. Die Eindringlinge nutzten ein Wohltätigkeits-Event, um die Sicherheitssysteme der grössten US-Bank JPMorgan Chase & Co zu umgehen. Für einen Strassenlauf gab es ein Netzwerk verschiedener Unternehmen mit den teilnehmenden Läufern. Nachdem die Systeme rund um diesen Lauf attackiert, erfolgreich geknackt und dann gekapert waren, konnten die Hacker tiefer in die IT-Landschaft der Grossbank eindringen und auf die Kundendaten zugreifen. Persönliche Daten von 76 Millionen Privatkunden und 7 Millionen Firmenkunden wurden geklaut — wochenlang unbemerkt.

 

 

Security-insider.de; Elmar Albinger, Peter Schmitz; 08.03.2017
http://www.security-insider.de/diese-10-personen-sind-ein-sicherheitsrisiko-a-587489/

Ein Überblick

Es dauert weniger als ein Jahr – bis zum 25. Mai 2018 – und die DSGVO muss verbindlich umgesetzt worden sein. Obwohl die DSGVO schon 2 Jahre zuvor in Kraft gesetzt worden ist (damit Unternehmen genügend Zeit haben, ihre Datenschutzvorgaben und entsprechende Prozesse der neuen Gesetzeslage anzupassen), zeigen verschiedene aktuelle Umfragen jedoch, dass selbst in Ländern der EU nur ein geringer Prozentsatz der befragten Unternehmen diese bereits umgesetzt hat oder der Meinung ist, bis zum Stichdatum die DSGVO umgesetzt zu haben.

 

Obwohl die Europäische Datenschutz-Grundverordnung ein Gesetzestext der EU ist, so hat er doch auch Einfluss auf die Tätigkeiten und Prozesse schweizerischer Unternehmungen. Um eventuell betroffenen Unternehmen und Organisationen einen Überblick geben zu können und Hinweise darauf, wo möglicherweise Handlungsbedarf besteht, haben wir im Folgenden einige Informationen für Sie zusammengestellt.

 

1 Die Grundlage für die Schweiz

Die Anwendbarkeit der DSGVO ergibt sich primär aus Art. 3, der wie folgt lautet:

Räumlicher Anwendungsbereich

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts   dem Recht eines Mitgliedstaats unterliegt.

 

2 Datenschutzverhältnis Schweiz und EU

Zwar ähnelt die DSGVO in ihrem Regelungskern in Teilen den Vorschriften des schweizerischen Datenschutzgesetzes (DSG), gleichwohl sind aber eine Reihe von Änderungen und Zusätzen zu beachten, die die betroffenen Schweizer Unternehmen schnell in Zugzwang bringen können.

Ein Unsicherheitsfaktor ist hierbei, dass die momentan anstehende Totalrevision des DSG unter anderem den Zweck hat, die aus der DSGVO entstehenden Anforderungen abzudecken, damit die Schweiz den Status eines Landes mit gleichwertigem Datenschutz behalten kann, und so weiterhin die Daten wie anhin zwischen der Schweiz und der EU fliessen können. Zurzeit ist jedoch nicht abzusehen, wann das totalrevidierte DSG tatsächlich verabschiedet bzw. in Kraft gesetzt werden wird und ab wann es umzusetzen ist. Mithin besteht derzeit keine eindeutige und konsistente Rechtslage als Blaupause, nach der schweizerische Unternehmen die Umsetzung der DSGVO verfolgen könnten.

Dennoch raten wir Unternehmen dazu, nicht abzuwarten, sondern jetzt zu handeln! Obwohl nicht davon auszugehen ist, dass ab dem 29. Mai 2018 diesbezügliche Strafverfahren eingeleitet werden, ist nicht zu ignorieren, dass neu die Nichteinhaltung der DSGVO-Vorschriften sehr kostspielig werden kann: nach Art. 83 DSGVO kann die Busse bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. € betragen.

 

3 Was sind die wesentlichen Anforderungen der DSGVO?

1. Geltungsbereich
Die DSGVO ist auf Personendaten anwendbar. Es ist aber der vorhin erwähnte Artikel 3 nicht zu vergessen, der jetzt das Marktortprinzip statuiert. Dies heisst, dass global alle Unternehmen die DSGVO zu beachten haben, die in der EU geschäftlich tätig sind und dabei persönliche Daten oder Daten einer bestimmbaren Person sammeln bzw. verarbeiten.

2. Rechenschaftspflicht und Transparenz durch Dokumentation
Die Stärkung der Rechte der Datensubjekte ist eines der Hauptziele der DSGVO. Aus diesem Grund müssen die Verantwortlichen für die Datenverarbeitung jederzeit in der Lage sein, die Compliance mit den entsprechenden Bestimmungen nachweisen zu können. Dieser Anforderung entspricht Art. 30 (Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.) Es ist zu beachten, dass die weiteren entsprechenden Anforderungen des Art. 30 sehr detailliert sind. Dies kann für Unternehmen, die bis jetzt keine ähnlichen Dokumentationen und Nachweise führen, einen sehr grossen Aufwand bedeuten.

3. Datenschutz-Folgenabschätzung
Art. 35 stipuliert, dass Unternehmen bei der Einführung von IT-Technologien, die zur Verarbeitung von Personendaten dienen vorgängig zu überprüfen haben, ob diese (neuen) Technologien den Schutz personenbezogener Daten beeinflussen könnten. Sollte es sich zeigen, dass die entsprechenden Personendaten in Folge einem hohen Risiko ausgesetzt sind, ist die jeweilige Aufsichtsbehörde miteinzubeziehen.

4. Einwilligung
Im Bereich der Einwilligung sind die relevanten Anforderungen detaillierter und damit komplexer geworden. Es muss nun sichergestellt werden, dass eine informierte Einwilligung eindeutig erklärt werden kann. Ebenso ist eine Pauschaleinwilligung für alle Datenverarbeitungen eines Unternehmens nicht mehr zulässig.  Es besteht hier also quasi ein Koppelungsverbot. Auch ist der Nutzer vor Erteilung der Einwilligung darauf hinzuweisen, dass seine Einwilligung jederzeit mit widerrufen kann. Dieser Widerruf betrifft aber nur zukünftige Datenbearbeitungen.

5. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Zum ersten Mal wird durch die DSGVO die Umsetzung der Anforderungen aus den Grundsätzen „Datenschutz durch Technik (Privacy by Design)» und «datenschutzfreundliche Voreinstellungen (Privacy by Default)» gesetzlich gefordert. Privacy by Design heisst hier, dass durch eine Software nur so viele personenbezogene Daten wie erforderlich unter Einhaltung eines angemessenen Datenschutzniveaus erhoben und bearbeitet werden.

6. Profiling
Nach Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung –  einschliesslich Profiling  –  beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die relevanten Verantwortlichen haben also angemessene Massnahmen zu treffen, um diese Anforderungen umsetzen zu können.

7. Auftragsverarbeitung
Der recht ausführliche Artikel 28 zum Thema „Auftragsverarbeiter“ legt eine Vielzahl von Verpflichtungen fest, die selbstverständlich einzuhalten sind. Dies heisst, dass allenfalls bestehende relevante Verträge bezüglich dieser Drittparteien zu überprüfen und wo notwendig anzupassen sind.

8. Betroffenenrechte; Recht auf Vergessenwerden
Rechte, die einer von einer Datenverarbeitung betroffenen Person zugesprochen werden, sind dementsprechend in die relevanten Firmenprozesse zu integrieren. Erwähnt sei hier das Recht auf Vergessenwerden. Danach können Betroffene von dem Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, soweit diese nicht mehr für den Zweck notwendig sind, für den sie erhoben wurden.

9. Datenportabilität 
Neu ist Artikel 20 mit seinem Recht auf Datenübertragbarkeit. Damit hat die betroffene Person das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.“ 

10. Datenschutzbeauftragter
Ein Unternehmen muss nach der DSGVO nur dann einen Datenschutzbeauftragten bestellen, sofern die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen oder sensible Daten verarbeitet werden (Art. 37 DSGVO). Dies bedeutet, dass die Position des betrieblichen Datenschutzbeauftragten durch die Haftungsvorgaben bei Verstössen mit den potentiellen Strafzahlungen in Millionenhöhe um eine grössere Aufwertung erfahren wird.

11. Meldung von Datenschutzverstössen
Verantwortliche Stellen müssen zukünftig jede Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten des Datensubjektes führt, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden (Art. 33 DSGVO). Aus diesen Fristvorgaben folgt, dass Unternehmen Prozesse für solche Meldungen zu implementieren und den Ernstfall zu proben haben.

12. Sanktionen und Haftungsverschärfungen
Das neue Sanktionssystem verschärft sich ebenfalls. Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. Euro verhängen. Auch ergeben sich Haftungsverschärfungen für Auftragsverarbeiter. Sie stehen stärker in der Verantwortung gezogen und können bei Verstössen gegen die DSGVO mit Bussgeldern belegt werden.  

13. Zertifizierungen
Art. 42 DSGVO regelt die Einführung von datenschutzspezifischen Zertifizierungen. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden und darf nach Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.

Wie das Zertifizierungsverfahren im Einzelnen aussehen wird und wer die Zertifizierung ausstellen darf bzw. nach welchem Standard (ISO 27001, weitere) wird im Moment innerhalb der Working Group 29 noch diskutiert.

 

4 Exkurs zur Zertifizierung

Um ein Informationssicherheits-Managementsystem (ISMS) zertifizieren zu lassen, sind die Zertifizierung nach ISO 27001 bzw. dem ISO 27001 auf Basis des Grundschutzes wohl am bekanntesten. Die bis 2018 umzusetzende DSGVO erwähnt nun ebenso die Möglichkeit einer Zertifizierung. Worum geht es?

ISO/IEC 27001
Dieser Standard richtet sich mehr auf die Prozesse der Informationssicherheit aus, die vorhanden sein sollten. Wichtig bei einem ISMS nach ISO/IEC 27001 ist eine Risikoanalyse mit nachfolgender Risikoidentifizierung und dem Entscheid zu deren Behandlung. Der ISO/IEC 27001 gibt keine konkret umzusetzenden Handlungsanweisungen, was wiederum bedeutet, dass eine Organisation zwar frei in deren Umsetzung ist, sich mit der Ausarbeitung und Umsetzung der Massnahmen selber befassen muss. In diesem Zusammenhang kann es nützlich sein zu wissen, dass in der Serie ISO/IEC 270XXX eine ganze Reihe von Normen verfügbar ist, die einzelne Gebiete der Norm detaillieren. Es muss aber beachtet werden, dass nur nach ISO/IEC 27001 zertifiziert werden kann.

ISO 27001 auf der Basis von IT-Grundschutz (herausgegeben vom deutschen Bundesamt für Sicherheit in der Informationstechnik)
Bei diesem Standard liegt die Betonung auf den Massnahmen. Hier gibt es über 1000 Massnahmen, die umzusetzen sind. Man darf sich also vom Wort «Grundschutz» nicht täuschen lassen, da bei einer solchen Anzahl von Massnahmen der Umsetzungsaufwand hoch und zeitintensiv ist.

Bei beiden dieser Standards steht die Überprüfung des ISMS mit den dazugehörigen Dokumenten und der entsprechenden Umsetzung im Vordergrund. Eine Organisation muss hier beweisen, dass Prozesse, Richtlinien usw. existieren, die in einem PDCA-Prozess die Informationssicherheit nachhaltig und organisationsentsprechend definieren, steuern, überwachen und verbessern.

Der Art 42 der DSGVO - Zertifizierung
Die DSGVO erwähnt Zertifizierungen ebenso. Solche Zertifikate dürfen gemäss Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden. Eine Zertifizierung kann also damit als Nachweis dienen, das gewisse Erfordernisse der Datenschutz-Grundverordnung erfüllt werden. Es gibt aber noch keine Klarheit, wie dieser Zertifizierungsprozess (EU/national) ausgestaltet werden soll.

Es ist aber zu beachten, dass eine Zertifizierung nach ISO/IEC 27001 nicht bedeutet, dass damit die DSGVO-Anforderungen gleich mit abgedeckt werden. Der ISO/IEC 27001 erlaubt die Zertifizierung nur eines Teilbereiches eines Managementsystems und deckt so unter Umständen einen Bereich ab, in dem Personendaten nicht vorkommen. Man kann die ISO/IEC 27001-Zertifizierung ohne Probleme als Grundlage benutzen und dann, falls erforderlich, diese auf Bereiche ausweiten, die Personendaten miteinschliessen. Hier wäre also zu empfehlen, anhand der bestehenden Zertifizierung, welche Gebiete bezüglich der DSGVO in einem nächsten Schritt anzugehen sind, damit auch hier die gesetzlichen Anforderungen erfüllt werden.

 

5 Was können Schweizer Unternehmen tun, um DSGVO Compliance zu erreichen?

1. Projekt aufsetzen; Ressourcen anfordern, Starten

  • Erforderlichkeit und Dringlichkeit im Unternehmen und beim Management darlegen
  • Notwendige Ressourcen festlegen und organisieren
  • Interne Projekt- und Führungsstruktur etablieren
  • Priorität festlegen
  • Kick-Off des Projektes

2. Bestimmung des konkreten Handlungsbedarfs mittels Gap-Analyse/Soll-Ist-Abgleich

  • Feststellung der neuen gesetzlichen Anforderungen (Soll-Zustand)
  • Bestandsaufnahme des betrieblichen Ist-Zustands
  • Bestimmung des Handlungs- und Umsetzungsbedarfs
  • Risikoanalyse und Accountability

3. Umsetzung

  • Prüfung und Anpassung der Datenverarbeitung; Verträge, Einwilligungserklärungen
  • Prüfung der DS-Organisationsstruktur; Anpassung unternehmensinterner Regularien/Richtlinien/Policies/Handbücher
  • Etablierung eines Datenschutzmanagementsystems

 

6 Alles gleich? Alles anders?

Die DSGVO erlaubt Staaten in zahlreichen Erwägungen, deren Artikel zu einem gewissen Mass zu «individualisieren». Hierzu ist es unerlässlich, dass Unternehmen die jeweilige nationale Legislation genau verfolgen bzw. auf mögliche Umsetzungshilfen nationaler Datenschutzbehörden achten.

Ebenso ist zu beachten, dass einige der DSGVO-Vorgaben nur rudimentär ausgestaltet wurden. Aus diesem Grund veröffentlicht die Article 29 Working Party der EU fortlaufend detailliertere Informationen zu bestimmten Punkten. Veröffentlicht wurden bis jetzt Richtlinien (alle nur auf Englisch erhältlich) zu folgenden Punkten:

  • Guidelines on the right to "data portability"
  • Guidelines on Data Protection Officers ('DPOs')
  • Guidelines on The Lead Supervisory Authority


Nächstens wird veröffentlicht:

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk” for the purposes of Regulation 2016/679

Geplant bzw. in Arbeit sind momentan Guidelines zu den Themen:

  • Consent
  • Profiling
  • Transparency
  • Data breach notifications and data transfers
  • Employee monitoring
  • Certification guidelines

 

7 Welche Fragen müssen beantwortet werden können?

Das Bayrische Landesamt für Datenschutz hat kürzlich einen Fragebogen an Unternehmen geschickt, um den Stand der Umsetzung eruieren zu können. Es kann davon ausgegangen werden, dass solche Fragen auch bei einer DSGVO-bezogenen Überprüfung seitens anderer Aufsichtsbehörden so oder ähnlich gestellt werden. Damit Sie einen Überblick bekommen, haben wir die Fragen unten zusammengestellt.

 

I. Struktur und Verantwortlichkeit im Unternehmen

1. Gibt es das Bewusstsein im Unternehmen, dass Datenschutz Chefsache ist, beispielsweise durch

  • Vorhandensein einer Datenschutzleitlinie
  • Beschreibung der Datenschutzziele
  • Regelung der Verantwortlichkeiten
  • Bewusstsein über Datenschutzrisiken
  • Transparenz über Zielkonflikte (z.B. zwischen Marketing- und Rechtsabteilung)

2. Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?

  • Wenn ja, ist er schon gem. Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet?
  • Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?
  • Wenn nein, warum nicht?

 

II. Übersicht über Verarbeitungen

1. Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DS-GVO?

  • Wenn nein, warum nicht? Ist das dokumentiert?

Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design – Art. 25 DS-GVO)?

 

III. Einbindung Externer

  1. Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
  • Wenn ja, haben Sie eine Übersicht über die Auftragsverarbeiter?
  • Wenn ja, haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?

 

IV. Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte

1. Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der Datenerhebung an die Anforderungen nach Art. 13 bzw. 14 DS-GVO angepasst?

  • Wenn nein, warum nicht?

 

2. Haben Sie insbes. folgende Informationen neu aufgenommen, sofern nicht bereits vorher enthalten:

  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
  • Falls Sie die Verarbeitung mit ihren berechtigten Interessen oder berechtigten Interessen eines Dritten begründen: die berechtigten Interessen
  • Falls Sie Daten in Drittländer übermitteln: die von Ihnen zum Einsatz gebrachten geeigneten Garantien zum Schutz der Daten (z.B. Standarddatenschutzklauseln)
  • Dauer der Speicherung; sofern nicht möglich, die Kriterien für die Festlegung dieser Dauer
  • Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der
    Verarbeitung, auf Widerspruch aufgrund besonderer Situation einer betroffenen Person sowie auf Datenportabilität
  • Sofern Verarbeitung auf Einwilligung beruht: das Recht zum jederzeitigen Widerruf der Einwilligung Recht auf Beschwerde bei der Aufsichtsbehörde
  • Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
  • Sofern einschlägig: die Vornahme einer automatisierten Entscheidungsfindung einschliesslich Profiling sowie – in diesem Fall – Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person
  • Sofern Sie die Daten nicht bei der betroffenen Person erhoben haben: aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen
  • Haben Sie Ihre Werbe-Einwilligungserklärungen für Kunden, Interessenten usw., an die Anforderungen von Art. 7 und 13 DS-GVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?

 

3. Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DS-GVO zeitnah und vollständig erfüllen zu können (Art. 12 Abs. 1 DS-GVO)?

4. Haben Sie Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen erfüllen zu können (Art. 20 DS-GVO)?

 

V. Verantwortlichkeit, Umgang mit Risiken

  • Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmässigkeit Ihrer Verarbeitung nachweisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?
  • Haben Sie geprüft, ob die Einwilligungen, auf die Sie eine Verarbeitung stützen, noch den Voraussetzungen der Art. 7 und/oder 8 DS-GVO entsprechen?
  • Können Sie das Vorliegen der Einwilligung nachweisen?
  1. Haben Sie ein Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäss der DS-GVO erfolgt (Art 24 Abs. 1 DS-GVO)?

  2. Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS-GVO angepasst?
  • Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Massnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
  • Wurde ein geeignetes Managementsystem zur regelmässigen Überprüfung, Bewertung und Verbesserung der Security-Massnahmen umgesetzt?
  • Wurden Schutzmassnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmässigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?
  1. Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung vorbereitet?
  • Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?
  • Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz-Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet?

 

VI. Datenschutzverletzungen
1. Haben Sie gem. Art. 33 DS-GVO sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist?

  • Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unternehmen erkannt werden können. Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw. eines hohen Risikos in Ihrem Unternehmen eingeführt?
  • Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist
    Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuniziert?
8 Was ist im Einzelnen zu tun – To-Dos
  1. Datenschutzmanagementsystem aufbauen
  2. Datensicherheitskonzept weiterentwickeln und aktuell halten
  3. Position des Datenschutzbeauftragten definieren
  4. Erstellung der verschiedenen erforderlichen Dokumentationen
  5. Verarbeitungstätigkeitsverzeichnisse für alle Verfahren anfertigen
  6. Rechtsfolgenabschätzungen vornehmen
  7. Ggf. vorherige Konsultation der Behörden in die Wege leiten
  8. Risikoklassifizierungen vornehmen
  9. Einwilligungserklärungen anpassen, aufsplitten, entkoppeln
  10. Auftrags(daten)verarbeitungsverträge überprüfen und anpassen 
  11. Datenschutzerklärungen, -hinweise, Policies anpassen
  12. Betriebsvereinbarungen überprüfen und anpassen
  13. Zuständigkeiten und Verfahren für die Erfüllung von Betroffenenrechten aufbauen
  14. Informieren
  15. Auskunft erteilen
  16. Berichtigen
  17. Einschränken
  18. Löschen
  19. Übertragen oder strukturiert herausgeben (portieren)
  20. Löschkonzept etablieren, erhalten und aktualisieren
  21. 72-Stunden-Meldewesen für etwaige Verstösse errichten
  22. Privacy by Design and Default-Grundsatz etablieren bei Programmierung, Ausschreibung, Projektplanung und Vertragsgestaltung
  23. Zertifizierung anstreben
  24. Internationalen Datentransfer legal gestalten

Haben Sie Fragen zu diesem Artikel oder generell zur EU-DSGVO?

Gerne stehen wir Ihnen beratend, schulend und unterstützend zur Seite.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich Datenschutz aus mehr als 25 Jahren Erfahrung.

+41 41 984 12 12, infosec@infosec.ch

 

Die EU-Datenschutz-Grundverordnung kommt, ob Sie wollen oder nicht


Die EU-Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 das Datenschutzrecht innerhalb der Europäischen Union einheitlich und unmittelbar regeln. Wer ist betroffen, was steht drin? Die derzeit noch geltende Datenschutzrichtlinie 95/46/EG wird durch die Verordnung abgelöst. Weil die Regeln in einer Verordnung beschlossen wurden, gelten sie in allen EU-Mitgliedstaaten einheitlich und unmittelbar, werden aber zusätzlich in nationalen Regelungen verankert.

Hier die 10 wichtigsten Regeln und Informationen, die zu beachten sind:

1. Geltungsbereich: Die DS-GVO gilt explizit auch für Anbieter mit Sitz ausserhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.

2. Datenschutzkonzept: Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt ("Rechenschaftspflicht"). Dieses muss sie auch regelmässig kontrollieren und ggf. weiterentwickeln.

3. Informationsrechte: Die Betroffenen sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen wird, müssen auch die "berechtigten Interessen" aufgezählt werden.

4. Privacy by design und by default: Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.

5. Risikoanalyse und Folgenabschätzung: Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Die Pflicht zu regelmässigen Audits soll das Risiko von Datenschutzverstössen minimieren.

6. Datenschutz in Konzernen: Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als "legitim" anerkannt. Andererseits können sich mehrere Stellen zusammenschliessen, um Daten gemeinsamen zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.

7. Datenschutzverstösse: Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind "ohne unangemessene Verzögerung" zu benachrichtigen.

8. Datenschutzbeauftragter: In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes fortbestehen. Die DS-GVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte. In den anderen europäischen Mitgliedsstaaten müssen nur dann Datenschutzbeauftragte bestellt werden, wenn höhere Datenschutzrisiken bestehen.

9. Aufsichtsbehörden: Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig ("federführende Aufsichtsbehörde"). Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.

10. Bussgelder: Fast jeder Verstoss gegen die DS-GVO kann geahndet werden. Der Bussgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

 

Haufe.de; 07.03.2017
https://www.haufe.de/compliance/recht-politik/eu-datenschutz-grundverordnung-die-10-wichtigsten-regeln_230132_402196.html

Grundlagen zu einer der wichtigsten Industrien der Zukunft


Die Schweiz soll über kohärente Rechtsgrundlagen zu Daten und den Umgang mit ihnen verfügen und sich als attraktiven Standort für eine Wertschöpfung durch Daten positionieren. Zu diesem Zweck hat der Bundesrat an seiner Sitzung vom 22. März 2017 übergeordnete Ziele definiert und die Bundesverwaltung beauftragt, erste Eckwerte einer Datenpolitik zu entwerfen. Er stellt auch fest, dass Daten der Rohstoff einer digitalen Wirtschaft und Gesellschaft sind. Geeignete Datenbestände sollen deshalb für eine Wiederverwendung zur Verfügung stehen. Die Entwicklung einer Datenpolitik ist integraler Bestandteil der Strategie "Digitale Schweiz", die der Bundesrat im April 2016 verabschiedet hat.

Im Rahmen einer Aussprache hat der Bundesrat folgende übergeordnete Ziele für eine kohärente und zukunftsorientierte Datenpolitik der Schweiz definiert: Förderung der Standortattraktivität für die Wertschöpfung durch Daten in der Schweiz, Schaffung von modernen Rechtsgrundlagen für den Umgang mit Daten, Öffnung von Datenbeständen als Rohstoff für die digitale Gesellschaft und Wirtschaft. Wie in seinen Zielen für 2017 vorgesehen, will er bis Ende dieses Jahres erste Eckwerte seiner Datenpolitik festlegen. Er hat das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) beauftragt, zusammen mit allen anderen Departementen und der Bundeskanzlei diese Eckwerte zu erarbeiten.

Das Eidgenössische Justiz- und Polizeidepartement (EJPD) soll bis Ende 2017 die Rechtslage für eine Weiterverwendung von Personendaten, Sachdaten und anonymisierten Daten analysieren. Das Eidgenössische Departement des Innern (EDI) inventarisiert derzeit die Datenbestände des Bundes, um für die Publikation auf opendata.swiss geeignete Daten zu identifizieren. Bis Mitte 2017 wird das EDI diese Arbeiten evaluieren und den Bundesrat darüber informieren. Die Ergebnisse der Aufträge an das EJPD und das EDI werden in die zu erarbeitenden ersten Eckwerte einer Datenpolitik einfliessen.



Admin.ch; 22.03.2017
https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-66068.html

Und ein Glas Milch dazu für die Kleinen


Ab Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Im gleichen Zug soll die neue E-Privacy-Verordnung die bisher geltende E-Privacy-Richtlinie (RL 2002/58/EG) und die sogenannte Cookie-Richtlinie (RL 2009/136/EG) ablösen. Diese zwei Richtlinien regeln den Schutz personenbezogener Daten bei der "klassischen" elektronischen Kommunikation wie beispielsweise dem Telefonieren, Mailen oder Texten per Telefon, Smartphone oder PC.

Im Sommer 2016 führte die EU-Kommission eine öffentliche Konsultation zu ihren Plänen für eine neue E-Privacy-Verordnung durch, schon im November 2016 gelangte ein erster Entwurf der Kommission an die Öffentlichkeit. Am 10. Januar diesen Jahres hat die EUKommission nun den ersten offiziellen Entwurf der neuen E-Privacy-Verordnung veröffentlicht.

Nach der Neuregelung des europäischen Datenschutzrechts soll die E-Privacy-Verordnung nun den Persönlichkeitsschutz bei der elektronischen Kommunikation an die Standards der DSGVO angleichen. Die EU-Kommission möchte damit bei der Verarbeitung von Kommunikationsdaten neue Möglichkeiten eröffnen, gleichzeitig aber die Sicherheit entsprechender Datenverarbeitungen erhöhen und damit das Vertrauen der Bürger in den digitalen Binnenmarkt stärken.


Die Notwendigkeit einer solchen Neuregelung ist unbestritten: Durch das Internet ist die IT-gestützte Kommunikation zwischen Bürgern der einzelnen EU-Staaten enorm angestiegen. Trotzdem bestehen aktuell in den einzelnen Mitgliedsstaaten sehr unterschiedliche Regelungen, etwa zum Einsatz von Cookies, also Programmen, die von der Website auf dem Computer des Nutzers installiert werden und dessen Verhalten im Internet erfassen.

Während in Deutschland aufgrund des derzeit noch geltenden Telemediengesetzes im Moment der Einsatz von Cookies auch ohne aktive Zustimmung der Nutzer erlaubt ist (Opt-out-Regelung), fordern viele andere Mitgliedstaaten vor dem Einsatz von Cookies umfassende Informationen der Nutzer und eine aktive Einverständniserklärung (Opt-in-Regelung).

Um hier eine nötige Vereinheitlichung zu erreichen, sieht der Vorschlag der Union eine Neuregelung in Form einer EU-Verordnung vor. Diese wirkt dann in der gesamten EU unmittelbar und verbindlich. Anders als bei einer Richtlinie müssen die Mitgliedsstaaten die Neuregelung nicht erst in nationales Recht umsetzen. Stark abweichende Interpretationen der Regelung in den einzelnen Mitgliedsstaaten, wie dies bei der bisherigen Richtlinie der Fall war, werden so verhindert.

Jedoch enthält der Entwurf einige Öffnungsklauseln, manche Regelungsbereiche können entsprechend weiterhin von den Mitgliedsstaaten geregelt werden. Beispielsweise lässt die EU den Mitgliedsstaaten bei der Festlegung von Bussgeldvorschriften einige Freiheiten (Art. 23 Abs. 4, 24 E-Privacy-Verordnung).

Besonders auffällig an der Neuregelung ist der deutlich erweiterte sachliche Anwendungsbereich der E-Privacy-Verordnung. Die Verordnung betrifft nicht mehr nur klassische Telekommunikationsanbieter, sondern auch so genannte Over-The-TopDienste ("OTT"), wie zum Beispiel WhatsApp, Skype oder Facebook.

Neben dieser überfälligen Anpassung an die Realitäten des digitalen Zeitalters beinhaltet der vorgestellte Entwurf der EU-Kommission besonders bemerkenswerte Neuerungen:

a) Die Verordnung stellt klar, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Das betrifft beispielsweise solche, die eine Website ausschliesslich dafür nutzt, ihre Besucheranzahl zu erfassen.

Der Einsatz von für den Nutzer relevanteren Cookies bedarf hingegen künftig der ausdrücklichen Zustimmung durch den Nutzer. Dieser soll die Zustimmung oder Ablehnung künftig durch Voreinstellungen im Web-Browser in allgemeiner Form erteilen können. So müssen sämtliche Browser künftig alle eine "DoNot-Track"-Einstellung anbieten. Anders als es der im November an die Öffentlichkeit geratene Entwurf noch vorsah muss diese Option nicht bereits als Voreinstellung bei der Installation vorhanden sein.

b) Direktmarketing per E-Mails soll künftig nur nach einer vorherigen Einwilligung erlaubt sein. Jedoch scheut sich die Kommission hier vor einer konsequenten Umsetzung der Regel und schafft einige Ausnahmen. Beispielsweise soll Direktmarketing bei einer bereits bestehenden Kundenbeziehung weiterhin möglich sein, solange der Verbraucher nicht ausdrücklich widerspricht.

c) Für Telefonmarketing gilt im Prinzip nichts anderes, zudem sollen Marketinganrufe künftig durch eine besondere Vorwahl gekennzeichnet sein. Entsprechend darf bei Marketinganrufen die Rufnummer auch nicht unterdrückt werden. Ausserdem sollen Verbraucher die Möglichkeit erhalten, sich in eine nationale "Do-not-call"-Liste einzutragen, um sich Marketinganrufen zu entziehen.

d) Die EU-Kommission will ausdrücklich erlauben, dass Websites überprüfen, ob User einen Adblocker nutzen, und daraufhin den Zugang zu ihrem Angebot verhindern. Auch wenn derartige "Anti-Adblock-Programme" aktuell von einigen bekannten Website-Betreibern verwendet werden, ist es bislang höchst umstritten, ob diese Praxis mit Art. 5 Abs. 3 E-Privacy-Richtlinie vereinbar ist. Diese Regelung ist im Zusammenhang mit dem in Art. 7 Abs. 4 DSGVO geregelten Koppelungsverbot bei Einwilligungen kritisch zu sehen. Denn faktisch wird die Nutzung der Dienstleistung der Website-Betreiber durch eine Adblocksperre von der Einwilligung in eine andere Datenverarbeitung, nämlich zu Werbezwecken, abhängig gemacht. Ein solches Abhängigkeitsverhältnis führt aber nach der DSGVO gegebenenfalls zur Unwirksamkeit der Einwilligung.

e) Die Analyse von Inhalten elektronischer Kommunikation ist künftig meist nicht mehr allein durch die Zustimmung der Nutzer gerechtfertigt. Ist der angebotene Dienst grundsätzlich auch ohne die Analyse der Kommunikationsinhalte möglich, werden sich Anbieter künftig vor der Auswertung von Inhalten mit der zuständigen Aufsichtsbehörde abstimmen müssen.

f) Auch die Bussgelder bei Verstössen werden drastisch erhöht, die Höchstbeträge werden an die der DSGVO angepasst. Somit können Aufsichtsbehörden Bussgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes verhängen. Dies soll die bisherigen Probleme bei der Durchsetzung der Vorgaben beheben. Ein im vorherigen Entwurf noch vorgesehenes Verbandsklagerecht ist in dem Vorschlag der Kommission dagegen nicht mehr vorhanden.

Der Entwurf der EU-Kommission ist ein dringend nötiger Schritt in die richtige Richtung. Jedoch zeigt der Vorschlag auch einige Schwächen und hat durchaus Nachbesserungsbedarf.

Gerade die im vorherigen Entwurf noch vorhandenen Regelungen zu datenschutzfreundlichen Voreinstellungen ("Privacy by Default") fehlen in dem aktuellenVorschlag. Die Möglichkeiten, die Privatsphäre durch Einstellungen im Browser oder bei der Installation besser zu schützen, ist zwar zu begrüssen. Wenn diese Vorgaben jedochnicht bereits vorab eingestellt sind, wenn der Nutzer die Software installiert, werden gerade die unerfahrenen und deshalb besonders schutzwürdigen Verbraucher im Stich gelassen. Damit steht die Verordnung auch im Widerspruch zu Art. 25 Abs. 2 DSGVO, der datenschutzfreundliche Voreinstellungen vorsieht.

Zudem fehlt eine Regelung zur abhörsicheren Verschlüsselung. So fordert beispielsweise Jan Philipp Albrecht, grüner Europaabgeordneter und stellvertretender Vorsitzender des Innen- und Justizausschusses: "In Zeiten der Massenüberwachung durch Geheimdienste müssen die Anbieter von Kommunikationsdiensten alles technisch Mögliche tun, um das Grundrecht auf Vertraulichkeit zu sichern." Es wäre wünschenswert, dass hier einer Überwachung in einem Ausmass, wie es in den USA beispielsweise praktiziert wird, ein Riegel vorgeschoben wird.


Lto.de; Tim Wybitul, Dr. Lukas Ströbel; 18.01.2017
http://www.lto.de/recht/hintergruende/h/eu-e-privacy-verordnung-schutz-persoenlichkeitsrecht-cookie-richtlinie/ lang=de

Die Strafen können einen schnellen Tod bedeuten

 

Es gilt der Grundsatz: Wer personenbezogene Daten von EU-Bürgern verarbeitet, muss die DS-GVO einhalten. Daher gilt die DS-GVO nicht mehr nur für Unternehmen mit Sitz in der EU, sondern für jeden, der Daten von in der EU wohnhaften Personen verarbeitet, unabhängig vom Ort der Niederlassung. Nicht nur die Verantwortlichen einer Datenverarbeitung sollten die Änderungen beachten. Auch sogenannte Auftragsverarbeiter sind direkt verpflichtet, das heisst diejenigen, die personenbezogene Daten für andere verarbeiten.

Eine Datenverarbeitung ist unter Anderem nur rechtmässig, wenn der Betroffene eingewilligt hat oder die Datenverarbeitung erforderlich ist, beispielsweise zur Durchführung eines Vertrages. Wie bereits nach derzeitigem Recht muss die Einwilligung freiwillig und ausdrücklich erteilt werden.

Eine versteckte Einwilligung beispielsweise in der Datenschutzerklärung ist nicht ausreichend. Formulierungen innerhalb von Nutzungsbedingungen, wie „Durch das Anlegen eines Accounts willigen Sie ein, dass wir Ihre Angaben zu Marketingzwecken durch Partnerfirmen nutzen.“ sind unwirksam. Eine Einwilligung durch Anklicken eines Kästchens, bevor man beispielsweise ein Produkt online kauft, bleibt grundsätzlich möglich. Für einige Bereiche gelten strengere Anforderungen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, biometrischen Daten oder Daten von Kindern. Die DS-GVO erfordert darüber hinaus weitreichende interne Dokumentationspflichten. Das gilt nicht nur für Webseiten im Internet, sondern auch für Apps.

Neu eingeführt werden durch die DS-GVO umfangreiche Informationspflichten des Verantwortlichen und auch des Auftragsverarbeiters. Ein Verstoss gegen diese Informationspflichten kann Geldbussen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen.


Die entsprechenden Dokumente müssen u.a. folgende Informationen:

Wer ist der Verantwortliche? Für Unternehmen ausserhalb der EU muss ein Vertreter in der EU benannt werden.

Zu welchem Zweck sollen die Daten verarbeitet werden, beispielsweise zur Erstellung eines Nutzerkontos.


Wer sind die Empfänger, beispielsweise die Personalabteilung.

Welche Kategorien von Daten sollen erhoben werden? Hier sollte beachtet werden, dass z.B. auch eine E-Mail ein personenbezogenes Datum sein kann.


Zudem muss angegeben werden, ob Daten in Drittländer (ausserhalb der EU) übermittelt werden, ggf. muss die Grundlage dieser Übermittlung angegeben werden. Grundlage können insbesondere die EU-Standardverträge, verbindliche Unternehmensregeln oder ein Angemessenheitsbeschluss der Europäischen Kommission sein, mit dem die Kommission für bestimmte Länder, wie z.B. Kanada oder die Schweiz, ein sicheres Datenschutzniveau anerkannt hat.

Welche Rechte hat der Betroffene? Er muss über die Möglichkeit Auskunft, Sperrung und Löschung zu verlangen informiert werden. Er kann der Datenverarbeitung widersprechen und seine einmal erteilte Einwilligung jederzeit wiederrufen. Neu sind die Hinweispflichten auf das Recht zur Beschwerde bei einer Datenschutzbehörde und Datenportabilität zu einem anderen Anbieter. Insbesondere Anbietern von Social-Media-Diensten dürfte die Umsetzung dieses Rechts aufgrund der Verschiedenartigkeit der gespeicherten Daten (Text, Ton, Bild) Probleme bereiten.

Die meisten Unternehmen sind verpflichtet, umfangreiche Verzeichnisse zur Datenverarbeitung zu führen. Dies gilt für Unternehmen ab 250 Mitarbeitern uneingeschränkt, sowie für Unternehmen mit spezieller Datenverarbeitung, beispielsweise Gesundheitsdaten, unabhängig von der Grösse. Auch wenn ein Startup jetzt noch wenig Mitarbeiter hat, empfiehlt sich mit Blick in die Zukunft alle Verarbeitungsvorgänge bereits jetzt schon aufzulisten. Dies erspart später eine Menge Arbeit, wenn keiner mehr einen Überblick über alle verwendeten Systeme hat.

Ein Datenschutzbeauftragter muss insbesondere ernannt werden, wenn die Verarbeitungsvorgänge eine umfangreiche und regelmässige systematische Überwachung der Betroffenen erforderlich machen oder beispielsweise Gesundheitsdaten umfangreich verarbeitet werden.

Die DSGVO fordert von Unternehmen Datenminimierung und unter gewissen Umständen rechtskonforme Datenlöschung. Daten speichern, damit sichergestellt ist, dass man auch alles für alle Fälle gespeichert hat, ist dann nicht mehr erlaubt.

Der Datenschutzbeauftragte kann ein Mitarbeiter oder ein externer Berater sein. Mit einem externen Berater muss dann ein Dienstleistungsvertrag geschlossen werden. Der Datenschutzbeauftrage muss Fachwissen im Datenschutzrecht besitzen und seine Aufgaben schliessen die Beratung des Unternehmens im Datenschutz, die Überwachung der Einhaltung des Datenschutzes und die Zusammenarbeit mit der Aufsichtsbehörde ein. Bei Verstössen drohen auch hier Geldbussen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.


Auftragsverarbeitung bedeutet, dass beispielsweise Daten durch einen Service Provider verarbeitet werden. Dies ist insbesondere beim Auslagern der Buchhaltung der Fall. Die DS-GVO schreibt vor, dass der Verantwortliche und der Auftragsverarbeiter einen Vertrag abschliessen, der spezielle Punkte regeln muss, unter anderem dass die Verarbeitung nur auf dokumentierte Weisung erfolgt, bestimmte Sicherheitsmassnahmen eingehalten und alle befugten Personen des Auftragsverarbeiters zu Vertraulichkeit verpflichtet werden. Bei einem Verstoss können Geldbussen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gegen den Verantwortlichen und – das ist neu – auch gegen Auftragsverarbeiter verhängt werden. Bestehende Service Provider-Verträge müssen nachverhandelt werden.

 

Gruenderszene.de; Christina Schattauer; 02.02.2017
http://www.gruenderszene.de/allgemein/neue-datenschutz-grundverordnung-checkliste-startups lang=de

So schützen Sie Ihre Daten bei der Einreise in die USA


Donald Trump schottet die USA ab. Politisch, indem er Partner und Verbündete brüskiert - aber auch ganz konkret an der Grenze: Zuwanderer aus Mexiko will er mit einer Mauer aussperren, und zunehmend drängt sich der Eindruck auf, dass die Vereinigten Staaten auch Reisende aus anderen Länder fernhalten wollen.

Darauf deuten jedenfalls mehrere Zwischenfälle seit Trumps Amtseinführung hin. Ende Januar berichtete etwa die Anwältin Mana Yegani von einer Sudanesin, die fünf Stunden befragt worden sei und unter anderem ihren Facebook-Account habe herzeigen müssen. Dabei besitze die Stanford-Doktorandin seit 22 Jahren eine Green Card.

Die Kontrollen betreffen auch US-Amerikaner: Nasa-Mitarbeiter Sidd Bikkannavar wurde stundenlang am Flughafen von Houston verhört, bis er schliesslich das Passwort für sein Diensthandy herausrückte. Erst, als die Beamten es kontrolliert und die Daten kopiert hatten, durfte Bikkannavar die USA betreten. Haisam Elsharkawi, ebenfalls amerikanischer Staatsbürger, bekam Probleme bei der Ausreise: Bei seinem Flug von LosAngeles nach Saudi-Arabien sei er drei Stunden in Handschellen festgehalten worden, erzählte er der New York Times. Schliesslich gab er auf und entsperrte sein Smartphone für die Grenzschützer.

Weltweit haben Medien diese Fälle aufgegriffen. Wohl auch, weil es gut ins Bild passt: Da ist Präsident Trump, der Menschen aus sieben überwiegend muslimischen Ländern komplett aussperren wollte. Da ist Heimatschutzminister John Kelly, der öffentlich darüber nachdenkt, Einreisende an der Grenze zu zwingen, ihre Social-Media Passwörter herauszugeben.

Tatsächlich hat die Grenzschutzbehörde Customs and Border Protection (CBP) ihre Arbeit auch schon unter Obama mit grosser Akribie verrichtet. Gründlichkeit nennen es die Republikaner, Bürgerrechtler halten das Vorgehen für rechtswidrigen Übereifer. "In manchen Fällen ist es ein stärkerer Eingriff in die Privatsphäre, das Smartphone zu durchsuchen als das Haus", sagt Nathan Freed Wessler von der American Civil Liberties Union (ACLU). Viele Menschen würden mittlerweile ihr gesamtes Leben digital speichern, dementsprechend müssten diese Daten auch besonders geschützt werden.

Zwischen Oktober 2008 und Juni 2010 wurden mehr als 6500 Einreisende gezwungen, ihre elektronischen Geräte kontrollieren zu lassen, wie die Bürgerrechtsorganisation ACLU herausfand. In knapp der Hälfte der Fälle waren US-Amerikaner betroffen. 2015 gab es knapp 5000 Inspektionen. Im skalischen Jahr 2016, das am 30. September endet und damit noch komplett unter Obamas Amtszeit fällt, waren es fast 24 000. Im Vergleich zu 2015 hat sich die Zahl verfünffacht, insgesamt sind aber lediglich 0,0061 Prozent der etwa 390 Millionen Einreisen in die USA betroffen.

Der demokratische Senator Ron Wyden hat eine Anfrage ans Heimatschutzministerium gestellt, um herauszu nden, wie sich diese Zahlen unter Trump entwickelt haben. Die Antwortfrist endet am 20. März, noch gibt es keine aktuellen Daten. Bis dahin bleiben nur die Aussagen von Organisationen wie ACLU und Electronic Frontier Foundation (EFF). Beide berichten, dass sich seit Januar mehr Menschen bei ihnen über CBP-Beamte beschwerten, die elektronische Geräte beschlagnahmen und durchsuchen.

Die rechtliche Situation hat sich seit Trumps Amtsantritt jedenfalls nicht verändert - sie ist immer noch genauso komplex wie unter Obama. Eindeutig freiwillig ist die Angabe der Social-Media-Konten im Vorfeld der Einreise. Seit Ende 2016 enthält das Formular für die Esta-Reisegenehmigung ein entsprechendes Feld, wo Reisende den Namen (nicht das Passwort!) ihrer Konten bei Facebook, Twitter, Instagram, Linkedin oder Youtube eintragen können.

Klar ist auch, dass Polizisten innerhalb der USA kein Recht haben, Smartphones zu durchsuchen. Davor schützt der vierte Verfassungszusatz der Vereinigten Staaten (PDF eines entsprechenden Urteils). An der Grenze gelten jedoch andere Regeln. Der Supreme Court urteilte 1976 und 2004 dass bei der Einreisende einen grösseren Eingriff in ihre Privatsphäre akzeptieren müssen, weil es im Interesse der Regierung sei, potenzielle Gefahren von den USA fernzuhalten.

Die Grenzkontrolleure der CBP dürfen Gepäck ohne richterliche Genehmigung durchsuchen. Seit 2009 gilt das auch für elektronische Geräte. Grundlage ist das Urteil eines US-Berufungsgerichts aus dem Jahr 2008. Demnach dürfen Behörden Smartphones oder Laptops von Einreisenden beschlagnahmen, auch wenn es keinen Anlass gibt, die Personen zu verdächtigen. Das sei verhältnismässig und entspreche gewöhnlichen Gepäckkontrollen. Bürgerrechtler wie ACLU-Anwalt Wessler kritisieren dieses Vorgehen als übergriffig und unverhältnismässig. Die EFF legte Protest gegen das Urteil ein, an der Gesetzeslage hat das bislang aber nichts geändert. Dementsprechend bleibt Reisenden wenig Anderes übrig, als Smartphones und Laptops herauszurücken, wenn es die CBP verlangt und den Betroffenen das entsprechende Dokument vorlegt.

Der Flyer erklärt, warum man ausgewählt wurde. Dafür kommen eine "Vielzahl von Gründen" in Frage, darunter auch das Pech, Ziel einer Zufallskontrolle geworden zu sein. Die Reisenden erfahren, wie sie die Geräte zurückerhalten (die Beamten rufen an, dann darf man sein Eigentum abholen) und was mit den gefundenen Daten passiert (sie können auch kopiert und gespeichert werden). Eine forensische Untersuchung ist einem Urteil aus dem Jahr 2013 zufolge aber nur bei einem begründeten Anfangsverdacht erlaubt.

Viele Menschen schützen ihre Daten mit Passwörtern, Sicherheitscodes oder Fingerabdrücken. Die Beamten können also nicht sofort darauf zugreifen und fordern die Reisenden auf, den Login zu verraten oder die Geräte selbst zu entsperren. Fragen dürfen sie, doch ob die Betroffenen antworten müssen, ist umstritten. Bislang gebe es dazu kein Gerichtsurteil und widersprüchliche Einschätzungen von Anwälten, sagt Wessler von der ACLU.

Doch selbst wenn die Grenzschützer niemanden zwingen können, ihnen Zugriff auf Laptop und Smartphone zu gewähren, können sie doch beträchtlichen Druck auf die Reisenden auswirken. Wer die Kooperation verweigert, riskiert, stundenlang festgehalten und dann nach Hause geschickt zu werden - auf eigene Kosten.

So erging es etwas dem kanadischen Fotografen Ed Ou, der im vergangenen Oktober die Proteste gegen den Bau der Dakota Access Pipeline dokumentieren wollte. Er sei sechs Stunden festgehalten worden, die Beamten hätten sein Smartphone konfisziert und untersucht, sagte er der New York Times. Ou weigerte sich, das Handy zu entsperren und durfte die USA nicht betreten. Angeblich hätte er denselben Namen wie eine "verdächtige Person", habe man ihm erzählt. Eine offizielle Begründung erfuhr er nicht. Das zeigt, dass es grundsätzlich jeden treffen kann. Das Risiko mag verhältnismässig gering sein - der Ärger und der Stress, die drohen, wenn die Grenzbeamten einen erst einmal beiseite genommen haben und beginnen, Smartphone und Laptop zu inspizieren, sind umso grösser. Mit den folgenden Tipps können Sie Ihre Daten vor allzu neugierigen Kontrolleuren schützen.

Nehmen Sie so wenige Daten wie möglich mit

Am sichersten sind Informationen, die Sie gar nicht dabeihaben. Löschen Sie noch zu Hause sensible Daten von Smartphone und Laptop oder kaufen Sie ein neues, günstiges Gerät extra für die Reise. Wenn Sie die Daten in den USA benötigen, können Sie ein Backup bei einem Cloud-Anbieter ablegen und es nach der Einreise wiederherstellen. In diesem Fall be nden sich Ihre Daten zum Zeitpunkt des Grenzübertritts nicht auf Ihrem Gerät, die CBP-Beamten dürfen dementsprechend nicht darauf zugreifen. Die EFF weist aber darauf hin, dass Daten in der Cloud möglicherweise schwächeren Datenschutzgesetzen unterliegen können, wenn sie auf US-amerikanischen Servern liegen. Ausserdem kann es sinnvoll sein, Social-Media-Apps von ihrem Handy zu löschen. Selbst wenn Sie Ihr Telefon entsperren, haben Grenzschützer dann keinen Zugriff auf Ihren Facebook-Account oder Ihre Whatsapp-Nachrichten.

 

Nutzen Sie Zwei-Faktor-Authentifizierung

Wenn Sie Ihre Daten nicht vor der Reise vom Gerät entfernen wollen, können Sie die Beamten damit davon abhalten, darauf zuzugreifen. Bei aktivierter 2FA benötigen sie zum Einloggen nicht nur ein Passwort (etwas, das Sie wissen), sondern auch einen zusätzlichen Code, der auf einem anderen Gerät erzeugt wird (etwas, das sich in Ihrem Besitz befindet). Wenn Sie den zweiten Teil des Schlüssels nicht dabeihaben, können die Grenzschützer Ihren Account selbst dann nicht öffnen, wenn Sie das Passwort verraten.

Verschlüsseln Sie ihre Daten

Viele moderne Smartphones verschlüsseln die Daten standardmässig. Bei aktuellen Apple-Geräten haben sogar die Kryptografie-Experten des FBI keine Chance mehr, ohne Passwort oder passenden Fingerabdruck an die Daten heranzukommen. Laptops sind dagegen nicht ab Werk verschlüsselt. Theoretisch könnten Grenzschützer die Festplatte ausbauen oder einen anderen Laptop anschliessen, um die Informationen dann auszulesen. Juristisch wäre das vermutlich illegal, da forensische Untersuchungen einen Anfangsverdacht voraussetzen.

Dennoch: Wenn Ihnen ein Beamter den Laptop abnimmt und damit in einem Nebenraum verschwindet, warten Sie vermutlich entspannter, wenn Sie die Festplatte vorher verschlüsselt haben. Dafür empfiehlt die EFF Windows-Nutzern Microsoft Bitlocker. Neuere Versionen von OSX besitzen mit Filevault ebenfalls eine eigene Verschlüsselungssoftware.

Sparen Sie sich Spielchen

Einen US-Grenzschützer anzulügen oder seine Ermittlungen zu behindern, indem man unmittelbar vor der Kontrolle noch schnell Daten löscht, ist eine Straftat. Mit Täuschungsversuchen bringen Sie sich in grosse Schwierigkeiten. Davon rät auch der bekannte IT-Experte und Sicherheitsforscher "The Grugq" dringend ab: "Sie, die Sie keine Erfahrung damit haben, professionell zu lügen, wollen Leute anlügen, deren Job es ist, Lügen zu erkennen. Tun Sie das nicht."

Eine ebenso schlechte Idee sei es, mit entladenem Akku einzureisen (die Grenzbeamten haben Ladegeräte, die sie definitiv einsetzen werden) oder gar kein Smartphone oder Laptop dabei zu haben: "Wenn Sie überhaupt kein Stück digitale Technik mit sich herumtragen und nicht gerade jünger als zwei oder älter als 80 Jahre sind, dann sind Sie extrem ungewöhnlich. Mit sehr grosser Wahrscheinlichkeit sollten Sie gründlich befragt werden ..."

Kennen Sie Ihre Rechte und beschweren Sie sich

Wenn Sie das Gefühl haben, bei der Einreise in die USA unrechtmässig behandelt worden zu sein, können Sie sich bei der CBP beschweren. Ausserdem interessieren sich NGOs und Bürgerrechtler wie die ACLU über Ihren Bericht. Eine Datenbank mit fragwürdigen Vorfällen dient ihr als Material, mit dem sie in ihren Klagen gegen die Regierung argumentieren kann. Wenn Sie sich speziell aufgrund ihres muslimischen Glaubens diskriminiert fühlen, können Sie sich auch an den Rat für amerikanisch-islamische Beziehungen wenden.

 

 

Sueddeutsche.de; Simon Hurtz, Christian Simon; 05.03.2017
http://www.sueddeutsche.de/digital/grenzkontrollen-so-schuetzen-sie-ihre-daten-bei-dereinreise-in-die-usa-1.3388338

Einige Fragen, die man sich stellen sollte

 

Die Übergangsfrist für die EU-Datenschutz-Grundverordnung endet am 25. Mai 2018 und dann gilt es für Unternehmen ernst. Die EU-DSGVO wird sich massiv darauf auswirken, wie Unternehmen personenbezogene Daten von in der EU wohnhaften Personen speichern und sammeln dürfen. Unabhängig von ihrem Standort betrifft die Verordnung alle Unternehmen, die in der Europäischen Union erfasste Daten speichern und verarbeiten.

Vor der DSGVO galt in der EU die Datenschutzrichtlinie von 1995. Diese Datenschutzrichtlinie war schwer durchzusetzen und die Vorschriften wurden in den einzelnen Mitgliedsstaaten in unterschiedlichem Masse durchgesetzt und eingehalten. Die DSGVO wird dies ändern und sicherstellen, dass alle EU-Länder umfassende Kontrollen zum Schutz der Daten aller EU-Bürger umsetzen.

Die neuen Regeln der DSGVO haben die Form einer Verordnung. Sie erzwingen damit Datenschutzstandards, die – theoretisch – in allen 28 EU-Mitgliedstaaten gleich sind. Jedes Unternehmen, das die Verordnung nicht einhält, kann mit einer Geldbusse von bis zu 4 Prozent seines Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachem, welcher Wert höher ist.

Unternehmen sei geraten, ihre Hausaufgaben zur Vorbereitung gründlich zu machen und sich unter anderem die folgenden Fragen zu stellen:


1. Welche Daten werden wo gespeichert?

Zunächst muss ein Datenbewertungsbericht erstellt werden. Dieser erfordert die Lokalisierung von gespeicherten vertraulichen und personenbezogenen Daten. Ebenso ist eine Dokumentation erforderlich, die zeigt, wie diese Daten erfasst wurden.

Eine der grössten Herausforderungen ist hier, dass diese Daten zuerst gefunden werden müssen. Bei einem grossen Unternehmen ist hierbei ein Telefonat mit der IT nicht genug. Dies ist eine der grossen Herausforderungen der DSGVO und ein Problem, das alle Unternehmen lösen müssen.


2. Wer ist für den Datenzugriff autorisiert, wer tut es tatsächlich und wieso?

Die korrekte Umsetzung der DSGVO erfordert, den Zugriff auf bestimmte Informationen begrenzen und sicherstellen zu können, dass der Zugriff autorisiert ist und alle Änderungen innerhalb des Unternehmens reflektiert. Hierzu ist es unabdingbar, Richtlinien zur Handhabung von Daten zu analysieren. Festgestellt werden muss ebenso, warum jemand auf personenbezogene Daten zugreift oder zugreifen kann.


3. Wie wird Datenzugriff überwacht, ein Datenschutzverstoss erkannt und untersucht?

Ein von einem Datenschutzverstoss betroffenes Unternehmen hat diesen Verstoss zu veröffentlichen und die relevanten Datenschutzbehörden zu informieren. Es muss darüber informieren können, welche Daten betroffen sind und wie viele Datensätze gestohlen wurden.

Diese Anforderung bedeutet , dass Unternehmen feststellen können müssen, wer auf die Daten zugegriffen hat, welche Aktivitäten dabei durchgeführt wurden und wann dies geschah.


4. Wie kann das Volumen privater Daten in nicht-produktiven Systemen minimiert werden?

Die DSGVO fordert von Unternehmen Datenminimierung und unter gewissen Umständen rechtskonforme Datenlöschung. Daten speichern, damit sichergestellt ist, dass man auch alles für alle Fälle gespeichert hat, ist dann nicht mehr erlaubt.


5. Wie kann Datenbankzugriff von ausserhalb des Landes oder der EU verhindert werden und wie eine Datenübertragung nach ausserhalb des EU-Raumes?

Die DSGVO verlangt Beschränkungen der Übertragung personenbezogener Daten aus der Europäischen Union in Drittländer oder an internationale Organisationen. Unternehmen benötigen ein klares Verständnis davon, wohin sie Daten übertragen und ob die Rechtsordnung, in der sich der Empfänger befindet, mutmasslich einen angemessenen Datenschutz gewährleistet. Technologie für die Datenüberwachung spielt eine wichtige Rolle bei der Überwachung von Aktivitäten in Echtzeit. So können selbst versehentliche Datentransfers verhindert werden.

 

Silicon.de; Karl Altmann; 15.02.2015
http://www.silicon.de/41640684/fuenf-fragen-zur-europaeischen-datenschutz-grundverordnung/lang=de

Vorbeugen ist besser als heilen


Die EU-Datenschutz-Grundverordnung (GDPR) gilt ab 25. Mai 2018 und schafft in Europa einheitliche Datenschutz-Regelungen. Datenschutzverletzungen müssen ab diesem Zeitpunkt innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Ausserdem sind die von der Verletzung betroffenen Personen über den Vorfall zu informieren. Die neue Richtlinie ist einerseits für alle Unternehmen bindend, die einen Sitz in der EU haben, und erstreckt sich andererseits auch auf Firmen weltweit, sofern sie personenbezogene Daten über in der EU ansässige Bürger erheben, verarbeiten und nutzen. Wer sich nicht an die neuen Vorschriften hält, muss mit beträchtlichen Geldstrafen rechnen. Die maximale Geldbusse bei einem schweren Datenschutzvergehen beträgt bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.

Doch welche Strategien sollten sie verfolgen, um den Anforderungen gerecht zu werden? Drei grundsätzliche Massnahmen sind bei der Umsetzung der Richtlinien von zentraler Bedeutung: Bestellung eines Datenschutzbeauftragten, die strikte Verwaltung der Zugriffsrechte sowie die wirksame Absicherung des Netzwerkverkehrs. Das sind die wichtigsten ersten Schritte, um die persönlichen Daten der Kunden wirksam zu schützen, Datenlecks zu verhindern und damit hohe Geldstrafen sowie Image-Verluste zu vermeiden.

Die Bestellung eines Datenschutzbeauftragten ist eine der Voraussetzungen in der GDPR und gilt europaweit. Grundsätzlich steht es dem Unternehmen frei, die Position des betrieblichen Datenschutzbeauftragten intern oder extern zu besetzen. Viele bedienen sich bereits der Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser zu nutzen und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren.

Grund: Technologische Neuentwicklungen fordern den Datenschutzbeauftragten zusehends, so dass für ihn eine permanente Weiterbildung in der IT und im juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht zu werden. Externe Dienstleister wie Systemintegratoren, Systemhäuser oder Reseller haben den wachsenden Bedarf erkannt und bieten mittlerweile die Übernahme dieser Aufgabe als Dienstleistung an. Es ist nicht zu empfehlen, aus Sparsamkeit auf einen Datenschutzbeauftragten zu verzichten, da er der zuständigen Aufsichtsbehörde gemeldet werden muss. Eine Unterlassung bleibt daher mit hoher Wahrscheinlichkeit nicht lange unentdeckt.

Unternehmen müssen laut GDPR sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten – andernfalls ist mit Strafen zu rechnen. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Möglichkeit, Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern haben, ist ein wichtiger Punkt bei der Datensicherheit. Access-Governance erfordert deshalb eine regelmässige Überprüfung der Zugriffsrechte von Abteilungsleitern, Mitarbeitern und Vertragspartnern.

Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Identitäts- und Zugriffsmanagementlösungen, die dieses Mass an Steuerung zulassen, enthalten beispielsweise Multi-Faktor-Authentifizierung (MFA), sicheren Remote-Zugriff, risikobasierte, adaptive Zugangssicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität.

Die Vorgaben der GDPR lassen sich jedoch nicht nur auf den Datenschutzbeauftragen und Zugriffskontrollen reduzieren, sondern gehen weit darüber hinaus. Unternehmen sind aufgefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, die ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherstellen. Dazu gehören beispielsweise Produkte und Lösungen wie Virenscanner, Appliances für E-Mail-Sicherheit, Data Loss Prevention (DLP), Unified Thread Management (UTM), Firewalls, Zutrittskontrollen sowie ein Information Security Management System (ISMS), aber auch organisatorische Massnahmen wie die Einrichtung eines Chief Information Security Officers (CISO).

Externe Cyber-Attacken sind meist die Ursache für Datenlecks und somit Datenschutzverletzungen. Einen möglichen Baustein zur Abwehr solcher Bedrohungen stellen beispielsweise Next Generation Firewalls (NGFWs) dar, da sie – im Gegensatz zu normalen Firewalls – das Risiko solcher Datenlecks durch verschiedene integrierte Sicherheitstechnologien senken. So verfügen NGFWs üblicherweise über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen. Ausserdem liefern sie umfassende forensische Einsichten in den Netzwerkverkehr. Unternehmen sind dadurch in der Lage nachzuweisen, dass sie die Compliance einhalten. Ausserdem helfen ihnen die Kenntnisse dabei, bei potentiellen Verletzungen wirksame Nachbesserungen durchzuführen.

Die Absicherung des Netzwerkes ist umso wichtiger, da Mitarbeiter zunehmend mobil auf Unternehmensressourcen zugreifen. Sie benötigen dafür einen stets sicheren Zugang von beliebigen Geräten aus. Auch hier bringen NGFWs einen entscheidenden Vorteil, da sie eine sichere, verschlüsselte Verbindung etwa via SSL-VPN erlauben. Die Datensicherheit lässt aber noch weiter verbessern, indem Identitäten mit Gerätevariablen und veränderlichen Faktoren wie Zeit oder Ort kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff auf das Unternehmensnetz und verbessert gleichzeitig den Datenschutz und die Compliance.

E-Mails sind für den Informationsaustausch immer noch die am weitesten verbreitete Methode. Gleichzeitig stellt die Kommunikation per E-Mail aber ein grosses Sicherheitsrisiko dar. Grund: Cyber-Kriminelle versuchen durch Phishing oder infizierte E-Mails in Unternehmen einzudringen und Daten zu stehlen. Um potenzielle Datenschutzverletzungen zu vermeiden, benötigen Unternehmen die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten. Nur so lässt sich verhindern, dass Phishing- und E-Mail-Attacken auf geschützte Daten erfolgreich sind. Auch unter diesem Gesichtspunkt unterstützen NGFWs Unternehmen mit integrierten Anti-Spam-Technologien, Verschlüsselung oder einem Reputationssystem. Die Sicherheitsfunktionen wehren gefährliche Mails ab, stellen aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten sicher.


Datensicherheit.de; 13.02.2017; Sven Janssen
http://www.datensicherheit.de/aktuelles/eu-datenschutz-grundverordnung-so-wappnen-sich-unternehmen-26360 lang=de

Es bleibt immer weniger verborgen


Ein Hersteller von smarten Vibratoren sammelte unerlaubt intime Daten. Nun zahlt das Unternehmen Entschädigungen in Millionenhöhe. Smarte Vibratoren der kanadischen Firma «We-Vibe» sind über das Internet zu vernetzen und per Smartphone-App zu steuern. Dass die App bei der Verwendung verschiedener «We-Vibe»-Geräte auch Nutzungsdaten an den Hersteller übermittelte, hat in den USA den Unmut der User erregt und zu einer Sammelklage geführt. Mit Entschädigungszahlungen in Höhe von insgesamt rund fünf Millionen kanadischen Dollar legt We-Vibe den Rechtsstreit nun bei.

In ihrer Sammelklage haben «We-Vibe»-User dem kanadischen Unternehmen vorgeworfen, über die zugehörige «We-Connect»-App intime Daten ohne ihreKenntnis zu sammeln, etwa Informationen zu Datum und Zeit der Nutzung oder dem Vibrationsmodus. Das hatten Sicherheitsexperten herausgefunden.

Die Einigung sieht vor, dass User, die ihr smartes Sexspielzeug über die App gesteuert haben und ein Nutzerkonto mit Name, E-Mail-Adresse sowie Telefonnummer hinterlegt haben, bis zu 10'000 Dollar erhalten. Käufern, die lediglich ein Gerät gekauft haben, stehen bis zu 199 Dollar zu. Insgesamt hat das «We-Vibe»-Mutter-UnternehmenStandard Innovation für erstere entsprechend bis zu vier Millionen kanadische Dollar einzukalkulieren, für letztere bis zu eine Million.

Standard Innovation erklärte einem Bericht von Fortune zufolge, dass «We-Vibe»-Käufer mittlerweile besser über das Sammeln von Daten informiert werden. Auch sei die App nachgebessert worden und biete nun zum einen grösseren Schutz vor Datenklau, zum anderen habe der Nutzer die Optionen, die Übermittlung von Daten zu unterbinden. Zudem werde man weiter daran arbeiten, Datenschutz und Sicherheit zu optimieren. Käufer müssen bereits seit letztem Jahr kein Kundenkonto mehr anlegen. Die kanadische Vibrator-Firma hatte vor der Gerichtsverhandlung darauf hingewiesen, dass die gesammelten Daten keine personenbezogene Auswertung zuliessen und Marktforschungszwecken dienten.

 

 

Nzz.ch; Jochen Siegle; 14.03.2017
https://www.nzz.ch/datenschutz-sex-toy-hersteller-spionierte-kunden-aus-ld.151135

Ein Überblick über die ePrivacy-Verordnung


Vor kurzem präsentierte die Europäische Kommission den finalen Entwurf für die ePrivacy Verordnung, die am 25. Mai 2018 in Kraft treten soll, was angesichts des europäischen Gesetzgebungsverfahrens ein sehr optimistischer Zeitplan sein dürfte. Der aktuelle Kommissionsentwurf bietet angesichts der erwarteten Folgen für die Wirtschaft einen Anlass zur Diskussion.

Die EU-Kommission will die technischen und wirtschaftlichen Entwicklungen auf dem Markt nicht nur erkannt haben, sondern diesen Faktoren auch angemessen Rechnung tragen. Vor diesem Hintergrund soll die Verordnung spätestens nach drei Jahren einer Überprüfung unterzogen werden (Art. 28 Abs. 2 des Entwurfs), um sich auftretenden Fragen nicht zu versperren.

Das neue Regelungswerk gilt auch für die sogenannten „OTT-Dienste“ („Over The Top“) wie WhatsApp, Skype oder Facetime, etwas, das schon seit langem gefordert wird. Diese Kommunikationsmethoden haben den klassischen Diensten wie Telefon oder SMS längst den Rang abgelaufen, waren jedoch bislang von der Einhaltung der Vorschriften zum Datenschutz und Gewährleistung der Privatsphäre sowie Integrität weitestgehend verschont geblieben.


Jetzt unterliegen auch die Metadaten der elektronischen Kommunikation ausdrücklich der ePrivacy-Verordnung (Art. 4 Abs. 3 c des Entwurfs), denn durch sie können „sehr sensible und persönliche Informationen offengelegt werden“. So heisst es:

„Zu solchen Metadaten gehören beispielsweise angerufene Nummern, besuchte Websites, der geografische Standort, Uhrzeit, Datum und Dauer eines von einer Person getätigten Anrufs, aus denen sich präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen ziehen lassen, z. B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten und ihren Lebensalltag, ihre Interessen, ihren Geschmack usw.“ (Erwägungsgrund 2).

In Art. 5 des Entwurfs zur ePrivacy Verordnung wird „generalklauselartig“ ausgeführt, dass jedwede Überwachung der elektronischen Kommunikationsinhalte verboten ist, es sei denn, die Zulässigkeit ergibt sich aus dieser Verordnung:

“Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.”

Doch nur eine Norm weiter (Art. 6) listet der Entwurf der EU-Kommission zahlreiche Ausnahmen diesbezüglich auf. Der Seitenbetreiber darf danach die Kommunikationsdaten des Nutzers verarbeiten, wenn es der Prozess technisch erfordert und im Wege der Übermittlung der Kommunikation oder zur vertragsgemässen Überprüfung der Person nötig ist.

In ähnlicher Rechtsdogmatik legt der Entwurf in Art. 8 das Verbot zur Nutzung der Rechen- und Speicherleistung eines Endgeräts sowie der Erhebung von Informationen über Endgeräte eines Endnutzers inklusive der Informationen über Soft- und Hardware fest. Diese Norm ist von erheblicher Relevanz für das Webtracking, Fingerprinting oder bei Webbeacons und wahrscheinlich das zentrale Thema des Regelwerks.

Nach Art. 8 Abs. 1 und Abs. 2 des Entwurfs werden das Tracking im Web sowie das Offline-Tracking (z. B. W-LAN Tracking im Supermarkt) unter bestimmten Voraussetzungen für zulässig erachtet.

Daneben existiert weiterhin das Instrument der Einwilligung des Betroffenen (Art. 9 des Entwurfs), mittels dessen sich eine Datenverarbeitung in jedem Sinne rechtfertigen lässt. Hinsichtlich der Voraussetzungen an die Einwilligung verweist der Entwurf auf die DSGVO (genauer: auf Art. 4 Nr. 11 und Art. 7 DSGVO).

Das in der Praxis bedeutungsvolle Direktmailing setzt grundsätzlich die Einwilligung des Empfängers voraus (Art. 16 Abs. 1) – es sei denn, es liegt ein Kundenverhältnis vor und die beworbenen Produkte sind vergleichbar mit denen aus dem Rechtsgeschäft (Art. 16 Abs. 2). Damit strebt die EU-Kommission einen interessengerechten Ausgleich an. So heisst es in Erwägungsgrund 33:

„Es ist jedoch vertretbar, im Rahmen einer bestehenden Kundenbeziehung die Nutzung von E-Mail-Kontaktangaben zu erlauben, damit ähnliche Produkte oder Dienstleistungen angeboten werden können.“

Das dürfte der Wirtschaft und vor allem den Online-Händler gefallen, die sich wohl auf jene weitgefasste Ausnahme regelmässig bei ihren Werbemails stützen werden. In der Praxis bekannt ist eine derartige Ausnahme-Regelung bereits bei § 7 Abs. 3 UWG. Diese Vorschrift dürfte jedoch zukünftig verdrängt werden durch die ePrivacy Verordnung, die mit höheren Strafen (Geldbussen) droht.

Gleichwohl muss dem Kunde ein jederzeitiges Widerspruchsrecht zustehen, auf das er erkennbar hinzuweisen ist. Zudem wird den werbenden Akteuren nahegelegt, die Identität der eigenen juristischen oder natürlichen Person offenzulegen oder anzugeben (Vgl. Erwägungsgrund 34).

 

Datenschutz-notizen.de; Conrad Conrad; 07.03.2017
https://www.datenschutz-notizen.de/eprivacy-verordnung-ein-gesamtueberblick-4917390/

Ein prozessorientiertes Vorgehensmodell

 

Daniela Simic

ISBN-10: 3110514923

Koryphäen

 

Gudrun Büchler

Datenschutz im Unternehmen: Kundendaten kennen, nutzen, schützen

 

Haufe

ISBN-10: 3648064908

Von der Geschäftsstrategie zur optimalen IT-Unterstützung

 

Wolfgang Keller

ISBN-10: 3864904064

Einführung in technischen Datenschutz, Datenschutzrecht und angewandte Kryptographie

 

Ronald Petrlic, Christoph Sorge

ISBN-10: 3658168382

Technische und organisatorische Schutzmaßnahmen gegen Datenverlust und Computerkriminalität

 

Thomas H. Lenhard

ISBN-10: 3658179821

Rechtshandbuch

 

Nikolaus Forgó, Marcus Helfrich, Jochen Schneider

ISBN-10: 3406695418

Die Schattenwelt des Internets 

 

Otto Hostettler

ISBN-10: 3956012011

Was darf das Smart Home sammeln?

Die Geräte im Smart Home werden immer intelligenter und sammeln immer mehr Daten. Was darf der Hersteller mit ihnen machen? Wir zeigen, wie es um Privatsphäre und Datenschutz im Smart Home bestellt ist.

 

Das Medienecho war gross, als der Chef des US-amerikanischen Staubsaugerherstellers iRobot Corporation, ankündigte, Raumpläne von Wohnungen und Häusern an Dritte weitergeben zu wollen. Raumpläne, die von den Saugrobotern des Unternehmens während der Reinigung erstellt werden, um dem Roboter die Orientierung zu ermöglichen. Die Weitergabe der Daten solle mit Einwilligung der Kunden geschehen. iRobot begründet den Vorschlag unter anderem mit dem Nutzen der Karten für Anbieter von Smart Home-Anwendungen.

 

Zuerst ist zu beachten, dass das geltende Datenschutzrecht nur dann Anwendung findet, wenn es um die Verarbeitung von "personenbezogenen" Daten geht. Dieser Begriff wird in der Praxis sehr weit ausgelegt. Natürlich fallen hierunter etwa der Name oder die E-Mail-Adresse eines Nutzers. Aber auch die IP- oder die MAC-Adresse eines Gerätes können solch personenbezogene Daten darstellen. Anonymisierte Daten hingegen sind vom Anwendungsbereich des Datenschutzrechts ausgenommen. Im konkreten Fall müsste man sich aber die gesammelten Daten genauer ansehen, um so feststellen zu können, was genau gesammelt wird.

 

Das, sowohl in Deutschland als auch in Europa existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, dass eine Einwilligung vorliegt oder eine gesetzliche Vorschrift den Datenumgang erlaubt. Dieses Prinzip gilt auch für die Datenverarbeitung durch Geräte im Smart Home. So ist es dem Gerätehersteller beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind. Wenn es, beispielsweise um die Fernwartung oder -diagnose des smarten Haushaltshelfers geht, kann der Hersteller die hierfür erforderlichen Daten also verwenden.

 

Computerwoche.de; Carlo Piltz: 05.08.2017

https://www.computerwoche.de/a/datenschutz-was-darf-das-smart-home-sammeln,3331320

 

Text der EU-Datenschutz-Grundverordnung in Deutsch, Französisch und Englisch

Immer mehr kürzlich veröffentlichte Befragungen und Studien haben gezeigt, dass Unternehmen und Organisationen aller Grössen und Geschäftsbereiche in der Schweiz, der EU und anderen Ländern weltweit der Meinung sind, dass die EU-Datenschutz-Grundverordnung nicht auf sie zutreffen würde.


Wie wir bereits mehrfach in der Vergangenheit berichtet haben, ist der Einflussbereich unter gewissen Bedingungen quasi global und auf alle Industrien, Gesellschaftsformen und Geschäftsfelder anwendbar.

 

Damit Sie sich selber einen Überblick über die Anforderungen schaffen können, die im Mai 2016 in Kraft getreten und nach einer zweijährigen Übergangsphase im Mai 2018 anzuwenden sind, haben wir Ihnen die Links zur EU-Datenschutz-Grundverordnung (DSGVO/RGPD/GDPR) in deutscher, französischer und englischer Sprache bereitgestellt.


Nach aktuellem Wissensstand sind sich viele Unternehmen und Organisationen nicht bewusst, dass die DSGVO auf sie anwendbar ist bzw. sie diese anzuwenden haben. Es ist deswegen für jede Firma und Organisation ratsam, sich eingehender mit der Frage der Anwendbarkeit zu befassen und falls erforderlich die nötigen weiteren Schritte einzuleiten.

 

Der Text der

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

 

Im HTML-Format

http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DEhttp://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE

 

Als .PDF

http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=DE

 

Der Text der

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

 

Im HTML-Format

http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=DE

 

Als .PDF

http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Internetrecht

 

Autor Niko Härting

ISBN-10: 3504560967

Arbeitsrecht, Compliance und Datenschutz (Betriebs-Berater Schriftenreihe/ Arbeitsrecht)

 

Autoren Armin Fladung, Jasmin Fladung

ISBN-10: 3800532883

Datenschutz & EU-DSGVO: Wem gehören die Daten, Fahrer oder Autohersteller?

Detaillierte Fragen zu Entstehung, Speicherung, Verarbeitung und Verwendung von Daten aus vernetzten Fahrzeugen werden gegenwärtig von den Autoherstellern ignoriert. So jedenfalls das Resultat einer kürzlich erfolgten Recherche von FIRMENAUTO bei deutschen Autoproduzenten.
Dem deutschen Bundesverband Fuhrparkmanagement ging es ähnlich. "Die Fahrzeugindustrie ignoriert offenbar bei diesem Thema die Interessen der Firmenkunden", kritisiert Marc-Oliver Prinzing, Vorstandsvorsitzender des Verbands.

 

Möglicherweise ist dies aber auch ein Eingeständnis, dass die Verantwortlichen gegenwärtig mit dem Datenschutz zu ringen haben. Ab dem 25. Mai 2018 gilt nämlich die europäische Datenschutz-Grundverordnung (EU-DSGVO), die der Branche Vorschriften über den Umgang mit Fahrzeugdaten macht. Gerade bezüglich der rechtmässigen Datensammlung gibt es in der DSGVO klare Regeln. "Wenn ein Hersteller die Daten nicht rechtmässig erhebt, darf er sie auch nicht verwenden", erklärt Volker Lüdemann, Professor für Wirtschafts- und Wettbewerbsrecht an der Hochschule Osnabrück und Wissenschaftlicher Leiter des Niedersächsischen Datenschutzzentrums.

 

Die Autohersteller sind im Besitz riesiger Datenmengen, die täglich auch durch den reinen Betrieb ihrer Autos anwachsen. Wie der ADAC in einer Mitte letzten Jahres veröffentlichten Studie zur Datenspeicherung im Auto herausgefunden hat, sendet zum Beispiel der Renault Zoe alle 30 Minuten Daten wie die Fahrzeugidentifikationsnummer, verschiedene Seriennummern, Datum, Uhrzeit und die Standortinformationen. Die Mercedes B-Klasse übermittelt in kurzen Zeitabständen neben der GPS-Position Daten zu Kilometerstand, Verbrauch, Tankfüllung, Reifendruck und zu Füllständen der Betriebsflüssigkeiten. Beim BMW i3 wiederum interessiert sich der Hersteller unter anderem für den gewählten Fahrmodus, den Status der Batterie sowie für die letzte Abstellposition des Fahrzeugs.

 

Diese Datensammlungen liefern Datenschützern genug Munition, da die Daten detaillierte Aussagen über Fahrzeugbewegungen, Fahrverhalten und Persönlichkeit eines Fahrers ermöglichen. "Das Risiko entsteht in dem Moment, in dem sich technische und funktionelle Fahrzeugdaten mit dem Fahrer oder Halter des Fahrzeugs verknüpfen lassen. Das ist bei allen im Fahrzeug erhobenen Maschinendaten der Fall, die nicht sofort gelöscht, sondern gespeichert werden und damit einem Zugriff durch Dritte offenstehen", erklärt Sascha Kremer, Fachanwalt für IT-Recht und externer Datenschutzbeauftragter.
Ein Anfang Juni 2017 veröffentlichtes Positionspapier der Bundesdatenschutzbeauftragten Andrea Vosshoff beschreibt rund ein Dutzend Empfehlungen, wie man Datenschutz im Auto umsetzen könnte. Es sollte unter anderem klar erkennbar sein, welche Daten ohne eine ausdrückliche Einwilligung der Fahrzeugnutzer auf Basis eines Gesetzes verarbeitet werden dürfen. Eine Datenspeicherung für den reinen Fahrbetrieb ist dem Papier zufolge in der Regel nicht erforderlich. Gefragt seien technische Möglichkeiten wie zum Beispiel datenschutzfreundliche Voreinstellungen im Fahrzeug, damit der Nutzer auf Wunsch den Zugriff auf bestimmte Daten gewähren oder verweigern könne. Generell ist es aus Sicht des Datenschutzes wünschenswert, dass Fahrzeugnutzer personenbezogene Daten einfach löschen können.

 

Datenschutz im vernetzten Fahrzeug hat bei vielen Fahrern noch keine hohe Priorität, wie der Kommunikationswissenschaftler Dr. Thilo von Pape vom Lehrstuhl für Medienpsychologie der Universität Hohenheim in einer gerade laufenden Studie festgestellt hat.
"Viele Fahrer unterschätzen die Brisanz der Daten, die sie preisgeben. Dabei speichern viele Autos Daten, die Schlüsse auf Fahrstil und Gefahrenverhalten des Fahrers zulassen und ihn zum gläsernen Fahrer machen", erklärt der Studienleiter.
Er ist der Meinung, dass Betroffene ihre Daten nicht schützen können, wenn sie nicht wissen, was warum und wozu gespeichert wird. Ein Fazit der Studie: Technisch bewanderte Nutzer haben häufig ein grösseres Vertrauen in die Autohersteller als in Internetkonzerne wie Google, Apple und Amazon.

 

Firmenauto.de; Joachim Geiger; 18.09.2017
https://www.firmenauto.de/umgang-mit-neuer-eu-datenschutz-verordnung-fahrer-oder-autohersteller-wem-gehoeren-die-daten-9461561.html

Datenschutz & EU-DSGVO: Die anderen 66% haben wenigstens einen Anfang gemacht

Der grossen Mehrheit der Unternehmen in Deutschland drohen in wenigen Monaten Millionen-Bussgelder. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) umgesetzt sein – doch nur eine Minderheit wird diesen Termin einhalten können. Selbst von den Unternehmen, die sich aktuell mit der DS-GVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zu diesem Datum vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum grössten Teil erfüllen werden. Mehr als jedes zweite dieser Unternehmen (55 Prozent) sagt, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein.
Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen, die Bitkom im Rahmen seiner Privacy Conference in Berlin vorgestellt hat. „Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, sagte Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom. „Wer den Kopf in den Sand steckt, verstösst demnächst gegen geltendes Recht und riskiert empfindliche Bussgelder zu Lasten seines Unternehmens.“

 

Aktuell haben sogar erst 13 Prozent der Unternehmen erste Massnahmen zur Umsetzung der DS-GVO begonnen oder abgeschlossen. Dehmel: „Vor einem Jahr lag der Anteil bei 8 Prozent, viel passiert ist seitdem offenkundig nicht.“ 49 Prozent beschäftigen sich derzeit mit dem Thema. Jedes dritte Unternehmen (33 Prozent) gibt an, sich bislang noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt zu haben. Von den Unternehmen, die sich bereits mit der DS-GVO beschäftigt haben, sagt rund die Hälfte (47 Prozent), dass sie bisher höchstens 10 Prozent aller notwendigen Arbeiten erledigt hat. Nur 3 Prozent gehen davon aus, dass sie mehr als die Hälfte der Aufgaben abgearbeitet haben.

 

Selbst grundlegende organisatorische Voraussetzungen für den Datenschutz im Unternehmen fehlen häufig. So geben 42 Prozent der Unternehmen an, dass sie kein sogenanntes Verfahrensverzeichnis haben, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. Vor einem Jahr lag der Anteil mit 46 Prozent ähnlich hoch. Ohne ein solches Verzeichnis ist die Anpassung der eigenen Prozesse an die DS-GVO schwierig.
„Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“, so Dehmel.

 

Die Umfrage zeigt auch: Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes Dritte (32 Prozent) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen (42 Prozent) geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Dehmel: „Angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen ist es schwer nachzuvollziehen, warum so viele die Übergangsfrist bei der Datenschutzgrundverordnung bislang untätig verstreichen liessen.“

 

Die Unternehmen, die sich mit der DS-GVO beschäftigt haben oder dies noch tun wollen, nennen als grösste Herausforderungen bei der Umsetzung den schwer abzuschätzenden Aufwand (52 Prozent), Rechtsunsicherheit (43 Prozent) und mangelnde praktische Umsetzungshilfen (32 Prozent).
Entsprechend wünschen sich 28 Prozent Auslegungshilfen der Verordnung durch die EU-Kommission, 27 Prozent hätten gerne Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. „Das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen. Konkrete Vorgaben wären hilfreich“, so Dehmel. „Allerdings dürfen die rechtlichen Unsicherheiten kein Grund dafür sein, die Hände in den Schoss zu legen.“ Künftig rechnen 35 Prozent mit Mehraufwand im Unternehmen durch die DS-GVO. Jedes fünfte Unternehmen (20 Prozent) erwartet dabei sogar deutlich mehr Aufwand. Nur 3 Prozent rechnen dauerhaft mit weniger Aufwand.

 

Dennoch halten sich bei der grundsätzlichen Bewertung der Datenschutzgrundverordnung Zuversicht und Skepsis die Waage. So rechnen 6 von 10 Unternehmen (60 Prozent) damit, dass die DSG-VO langfristig zu mehr Rechtssicherheit führt, fast ebenso viele (57 Prozent) erwarten einheitlichere Wettbewerbsbedingungen in der EU. 4 von 10 Unternehmen sagen sogar, dass ihr eigenes Unternehmen durch die DS-GVO Vorteile hat (39 Prozent) und dass sie ein Wettbewerbsvorteil für europäische Unternehmen ist (38 Prozent). Allerdings gibt es auch kritische Einschätzungen. So befürchten 57 Prozent kurzfristig mehr Rechtsunsicherheit, 42 Prozent glauben, dass Geschäftsprozesse komplizierter werden. Mehr als jeder dritte Befragte (36 Prozent) sagt zudem, die DS-GVO bremst Innovationen in Europa, jeder Vierte (23 Prozent) sieht einen Wettbewerbsnachteil für europäische Unternehmen. Und 14 Prozent gehen sogar so weit zu sagen, die Datenschutzverordnung stelle eine Gefahr für die eigene Geschäftstätigkeit dar.

 

Bitkom.org; 19.09.2017
https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html

Kommentar Datenschutz-Grundverordnung

 

Autor Sibylle Gierschmann

ISBN-10: 3846206385

Datenschutz im Unternehmen (Aktuelles Recht für die Praxis)

 

Autor Michael Wächter

ISBN-10: 3406715257

Landes-, Bundes-, Europa- und Völkerrecht

 

Autor Alexander Dix

ISBN-10: 3848742314

12/2017

Die DSGVO (Datenschutz-Grundverordnung) tritt im kommenden Mai in Kraft und wird damit das Datenschutzrecht der EU vereinheitlichen, aber auch teilweise hier in der Schweiz anwendbar sein. Wie bekannt ist, wird Non-Compliance die Unternehmen sehr teuer zu stehen kommen und die mit der DSGVO einhergehenden organisatorischen Probleme harren bei vielen Unternehmen immer noch der Lösung.

Die DSGVO deckt primär die folgenden Gebiete ab:

  • Recht auf Vergessenwerden: Personenbezogene Daten müssen auf Anfrage durch Organisationen unverzüglich gelöscht werden
  • Privacy by Design: Die eingesetzten IKT-Systeme und -Technologien haben das Prinzip der Datensparsamkeit befolgen
  • Datenpannen: Im Fall der Fälle müssen Organisationen die Aufsichtsbehörden und Betroffenen innerhalb von 72 Stunden informieren
  • Datenschutz-Folgenabschätzung: Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten müssen durch die Organisationen vorgängig bewertet werden
  • Freiwillige Einwilligung: Organisationen müssen eine spezifische und durch die Betroffenen jederzeit widerrufbare Einwilligung zur Sammlung personenbezogener Daten einholen
  • Datenübertragbarkeit: Personenbezogene Daten müssen den Betroffenen in einem gebräuchlichen Format zur Verfügung gestellt werden

Es bleibt nicht mehr viel Zeit bis zum Stichtag – mit den folgenden Themen müssen sich Unternehmen bis dahin noch befassen:

  • Benennung eines EU-DSGVO-Experten, der das Unternehmen und die interne IT-Landschaft genau kennt
  • Einen Überblick über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme erhalten
  • Prüfung einer möglichen Zertifizierung (z.B. nach ISO 27001)
  • Überprüfung der eingesetzten Massnahmen zum Schutz sensibler Daten
  • Schaffung der Voraussetzungen zur DSGVO-Umsetzung
  • Bestimmung und Dokumentation der aus der DSGVO entstehenden erforderlichen Kommunikationsabläufe
  • Überprüfung der Lieferantenvereinbarungen und -verträge bezüglich möglichen Handlungsbedarfs hinsichtlich der DSGVO
  • Datenklassifizierung zur Unterstützung der Datenschutz-Folgenabschätzung
  • Einbindung aller erforderlichen Abteilungen und Bereiche um sicherzustellen, dass alle Anforderungen abgedeckt werden können.

 

Nexus-ag.de; 09.11.2017
https://www.it-daily.net/it-sicherheit/datenschutz/17172-fit-fuer-die-eu-datenschutz-grundverordnung

 

12/2017

Die 5 «effektivsten» ICS-Hackerangriffe

Kein Strom mehr in der Ukraine
Im Dezember 2015 gelingt Hackern eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Rund 225.000 Einwohner sind von einem mehrstündigen Ausfall der Stromversorgung betroffen.

 

Spitäler sind auch nicht mehr ausgenommen
Im Februar 2016 schleusen Unbekannte einen Ransomware-Trojaner in das Netzwerk eines Krankenhauses in Neuss in Deutschland ein. Die Kosten für die Analyse des Hackerangriffs und die Wiederherstellung des IT-Betriebs betragen ungefähr eine Million Euro.

 

Cyberangriffe auf die internationale Bankeninfrastruktur
2016 wird bekannt, dass sich unbekannte Personen sich nicht autorisierten Zugang zu Dienstleistungen des SWIFT-Systems verschaffen konnten. Die erfolgten Angriffe auf eine Zentralbank von Bangladesch, eine Bank in Ecuador und eine Bank in der Ukraine verursachten einen Folgeschaden von mehr als 100 Millionen US-Dollar.

 

ITK-Provider verursachen Millionen von Ausfallstunden
Im aktuellen BSI-Lagebericht werden drei grosse Störungen bei ITK-Providern erwähnt. Insgesamt fielen ungefähr 36 Millionen Nutzerstunden in den Bereichen Telefonie und Internet aus.

 

Petya auch hier
Der Verschlüsselungstrojaner Petya (alias NotPetya, ExPetr, DiskCoder.C) setzte die IT-Systeme zahlreicher Organisationen schachmatt. In einigen Fällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse.

 

Cio.de; Marcus Pauli; 10.11.2017
https://www.cio.de/a/die-5-schlimmsten-ics-hacks,3331728

 

Grundlagen und Anwendungen (Edition HMD)

 

Autor Matthias Knoll und Autorin Susanne Strahringer

ISBN-10: 3658200588

Digital Banking

 

Autoren Volker Brühl und‎ Joachim Dorschel

ISBN-10: 3658188898

Praxishandbuch zum Arbeitnehmerdatenschutz

 

Autoren Stephan Weth (Herausgeber, Bearbeitung),‎ Maximilian Herberger (Herausgeber, Bearbeitung),‎ Michael Wächter (Herausgeber, Bearbeitung),‎ Christoph Sorge (Herausgeber),‎ Ulrich Baumgartner (Bearbeitung),‎ Thomas Breyer (Bearbeitung),‎ Dominic Broy (Bearbeitung),‎ Philipp Byers (Bearbeitung),‎ Franz Josef Düwell (Bearbeitung),‎ Jan Fritz Geiger (Bearbeitung),‎ Yvonne Gutting (Bearbeitung),‎ Ines M. Hassemer (Bearbeitung),‎ Dennis Heinson (Bearbeitung),‎ Stefan Kramer (Bearbeitung),‎ Sebastian Overkamp (Bearbeitung),‎ Bernd Schmidt (Bearbeitung),‎ Hendrik Schöttle (Bearbeitung),‎ Katharina Sicking (Bearbeitung),‎ Christian Willert (Bearbeitung)

ISBN-10: 3406711863

01/2018

Besonders häufig angegriffene Wirtschaftsbranchen

Der Finanzsektor:
er ist stetig unter Druck durch Mitbewerber mit neuen digitalen Dienstleistungen und muss die bestehenden IT-Systeme auf Vordermann bringen. Der Wert der Kundendaten steigt, da die Kunden komfortablere und stärker personalisierte Serviceleistungen fordern.

 

Gesundheitswesen:
Die Digitalisierung von Patientendaten wird das Gesundheitswesen auf den Kopf stellen. Wearables und Fitness-Apps bringen Verbesserungen, KI und internetfähige Endgeräte werden die Diagnosegeschwindigkeit rasant erhöhen und die Patientenversorgung verbessern.

 

Handel:
Immer mehr Online-Shopping und Datenanalysetools helfen Händlern dabei, ihren Kunden individuellere abgestimmte Einkaufserlebnisse anbieten zu können. Diese Daten sind aber gut zu schützen, das sie nicht nur aus Einkaufsgewohnheiten und Login-Daten bestehen, sondern auch aus Kontodetails und Adressen.

 

Telekommunikation:
Telekommunikationsunternehmen sind als Anbieter von Internetdiensten besonderen Risiken ausgesetzt, denn sie müssen Sicherheitsmassnahmen in ihre Netzwerkinfrastruktur, Software, die Anwendungen und Endgeräte einbauen, um die Risiken für die Kunden möglichst niedrig zu halten.

 

Produktion:
In der Industrie konzentrieren sich Hacker hauptsächlich auf lukrative Industriespionage. Ziele sind hauptsächlich vernetzte Maschinen, Roboter und 3D-Drucker. Auch machen es Sicherheitslücken für Angreifer einfach, an Produktionspläne zu gelangen, ebenso könnte in Produktionsprozesse eingegriffen bzw. diese sabotiert werden.

 

Behörden:
Auch Verwaltungsbehörden sind gegen Breaches und Datenmissbrauch nicht gefeit. Die in Ministerien und anderen Verwaltungseinheiten gespeicherten Daten sind sensibel und daher Hauptangriffsziele.


All-about-security.de; Srinivasan C. R.; 18.12.2017
https://www.all-about-security.de/security-artikel/management-und-strategie/single/cyber-security-trends-2018/

01/2018

Big Data ist schon seit Längerem ein Schlüsselbegriff für die Digitalisierung, der sowohl für Chancen als auch für Risiken steht. Die Chancen liegen primär im wirtschaftlichen Bereich, und in zweiter Linie bilden Big Data eine Ressource für die zivile Sicherheit.

Die Risiken liegen in der intransparenten Beobachtung und möglichen Fremdsteuerung des Verhaltens von Kunden und Bürgern. Unter Big Data versteht man die Sammlung, Zusammenführung und Auswertung von Daten über alle Lebenszyklen von Gütern und über ihre Umgebungen bei der Beschaffung, Herstellung, Ausführung und beim Vertrieb und Kundendienst. Die Daten kommen aus allen Bereichen über einzelne Firmen, Branchen und Ländergrenzen hinweg zusammen, und zwar sehr schnell – oft online während der Entstehungsprozesse, aus den verschiedensten Quellen und in grosser Menge.

 

Mithilfe von Big Data können Produktions- und Logistiksteuerung von Massenwaren in grossen Produktionsstrassen und Vertriebsnetzen verbessert und kostengünstiger gestaltet werden. Sie erlauben die Optimierung von Dienstleistungen und eine schnellere und sachnähere Bedienung von Kunden.

 

Ein typischer Mechanismus zur Sammlung von Webnutzungsdaten sind Cookies. Das sind kleine Datensätze, die ein Nutzer beim Aufruf einer Webseite in seinem Browser speichert. Cookies enthalten ein Pseudonym des Nutzers (wie eine Garderobenmarke) und die Adresse der gerade aufgerufenen Webseite. Beim nächsten Aufruf der Webseite durch den Nutzer wird das Cookie an den Webserver zurückgeschickt und dieser erkennt seinen Nutzer wieder und kann an die vorherige Sitzung anknüpfen.
Cookies, die mithilfe eingebetteter Bilder oder Logos von Drittanbietern bei verschiedenen Webservices untergebracht sind, erlauben den Drittanbietern die Spurenverfolgung über eben diese verschiedenen Webservices hinweg, das nennt man Tracking. Weit verbreitete Tracker stammen von Doubleclick und Adition mit dem Ziel der personalisierten Werbung und von Google-Analytics zur Erstellung von Statistiken über die Nutzung von Webseiten.
Cookies sind übrigens nicht die einzigen Tracking-Mechanismen. Mit denselben technischen und algorithmischen Mitteln, mit denen Anbieter Kunden und ihr Verhalten auswerten, können Bürger in ihrem Verhalten beobachtet werden, mit dem Ziel, daraus kriminelle oder gar terroristische Tätigkeiten herauszufiltern.

 

Algorithmen müssen sich zwangsläufig an einer jeweiligen Anwendungsaufgabe orientieren. Zum Beispiel leitet ein Werbealgorithmus aus dem Kauf eines Reiseführers und dem Buchen einer Fahrkarte zum selben Reiseziel sowie aus der Kenntnis bisher gebuchter Hotelkategorien ab, dass dieser Nutzer bereit ist, ein Hotel am Reiseziel zu einer gewohnten Hotelkategorie zu buchen. Diese Hotelkategorie wird dann punktgenau angeboten.
Ein Algorithmus zur Kriminalitätsbekämpfung dagegen würde zum Beispiel aus dem Surfen über Waffenangebote und bestimmte Lokale, die als Treffpunkte gewaltbereiter Menschen aufgefallen sind, eine Zugehörigkeit zu einer Gewaltszene ableiten. Das könnte zur polizeilichen Überwachung dieser Person und der auffällig werdenden Lokale führen.

 

Pcwelt.de; Rüdiger Grimm; 20.12.2017
https://www.pcwelt.de/a/datenschutz-und-big-data-daten-nutzen-ohne-die-freiheit-einzuschraenken,3449183

02/2018

Antwort und Beispiele: Die Datenschutz-Grundverordnung gilt für

  • ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet; oder
  • ein Unternehmen, das ausserhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.

 

Wenn Ihr Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten gemäss den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die „Kerntätigkeiten“ Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.

 

Beispiele:

Anwendungsbereich der Verordnung eröffnet
Ihr Unternehmen ist ein kleines Unternehmen im Bereich der Hochschulbildung und ist mit einer Niederlassung mit Sitz ausserhalb der EU online tätig. Es hat in erster Linie Universitäten mit spanischer und portugiesischer Sprache in der EU als Zielgruppe. Es bietet kostenlose Beratung für eine Reihe von Studiengängen, und die Studenten benötigen für den Zugriff auf Ihre Online-Materialien einen Benutzernamen und ein Kennwort. Ihr Unternehmen stellt diesen Benutzernamen und das Kennwort bereit, sobald die Studenten ein Anmeldeformular ausgefüllt haben.

 

Anwendungsbereich der Verordnung nicht eröffnet
Ihr Unternehmen ist ein Dienstleister mit Sitz ausserhalb der EU. Es bietet Kunden ausserhalb der EU Dienstleistungen an. Seine Kunden können seine Dienste nutzen, wenn sie in andere Länder reisen, auch innerhalb der EU. Sofern Ihr Unternehmen seine Dienste nicht gezielt auf Personen in der EU ausrichtet, fällt es nicht unter die Vorschriften der Datenschutz-Grundverordnung.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_de

02/2018

Antwort: Ja, die Anwendung der Datenschutz-Grundverordnung ist nicht von der Grösse Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, lösen die Anwendung strengerer Vorschriften aus, egal ob ein KMU oder eine grosse Gesellschaft diese Tätigkeiten ausüben. Einige der Pflichten der Datenschutz-Grundverordnung gelten jedoch möglicherweise nicht für alle KMU.

 

Unternehmen mit weniger als 250 Mitarbeitern müssen zum Beispiel kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmässige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten bzw. Strafregister betrifft.

 

KMU müssen nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (zum Beispiel die Beobachtung von Personen oder die Verarbeitung sensibler Daten oder von Strafregistern) darstellt, insbesondere, da sie in grossem Umfang stattfindet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_de

02/2018

Antwort: Nein, die Vorschriften gelten ausschliesslich für personenbezogene Daten natürlicher Personen, sie regeln nicht die Daten von Unternehmen oder anderen juristischen Personen. Einpersonengesellschaften betreffende Informationen können jedoch personenbezogene Daten darstellen, wenn sie die Identifizierung einer natürlichen Person ermöglichen.

Die Vorschriften gelten ebenfalls für alle personenbezogenen Daten von natürlichen Personen in Ausübung einer beruflichen Tätigkeit, zum Beispiel geschäftliche E-Mail-Adressen wie „vorname.nachname@unternehmen.eu“ oder die beruflichen Telefonnummern der Mitarbeiter.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_de

02/2018

Antwort und Beispiel: Die Art und Anzahl der personenbezogenen Daten, die ein Unternehmen/eine Organisation verarbeiten kann, hängt vom Grund ihrer Verarbeitung (rechtlicher Grund) und der beabsichtigen Nutzung ab. Das Unternehmen/die Organisation muss mehrere wesentliche Vorschriften beachten, unter anderem:

  • müssen personenbezogene Daten auf rechtmässige und nachvollziehbare Weise verarbeitet werden, und gegenüber den Personen, deren Daten verarbeitet werden, muss Fairness gewährleistet sein („Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden; ein Unternehmen/eine Organisation darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben („Zweckbindung“);
  • das Unternehmen/die Organisation darf ausschliesslich jene personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind („Datenminimierung“);
  • das Unternehmen/die Organisation muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand hinsichtlich der Zwecke sind, für die sie verarbeitet werden, und sie berichtigen, wenn dies nicht der Fall ist („Richtigkeit“);
  • das Unternehmen/die Organisation darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck der Erhebung vereinbar sind;
  • das Unternehmen/die Organisation muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden („Speicherbegrenzung“);
  • das Unternehmen/die Organisation muss angemessene technische und organisatorische Garantien einbauen, mit denen die Sicherheit der personenbezogenen Daten, einschliesslich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird („Integrität und Vertraulichkeit“).

 

Beispiel:

Ihr Unternehmen/Ihre Organisation betreibt ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren. Die Verarbeitung sollte so angepasst werden, dass die wesentlichen Datenschutzgrundsätze eingehalten werden.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/overview-principles/what-data-can-be-processed-and-under-which-conditions_de

02/2018

Antwort: Nein. Der Zweck der Verarbeitung personenbezogener Daten muss bekannt sein und die Personen, deren Daten verarbeitet werden, müssen darüber unterrichtet werden. Es ist nicht möglich, einfach anzugeben, dass personenbezogene Daten erhoben und verarbeitet werden. Dieser Grundsatz wird als „Zweckbindung“ bezeichnet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-processed-any-purpose_de

02/2018

Antwort und Beispiele: Ja, aber nur in bestimmten Fällen. Wenn ein Unternehmen/eine Organisation Daten auf der Grundlage eines berechtigten Interesses, eines Vertrags oder lebenswichtiger Interessen erhoben hat, dürfen diese für einen anderen Zweck verwendet werden, aber erst, nachdem überprüft wurde, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.

 

Folgendes sollte berücksichtigt werden:

  • die Verbindung zwischen dem ursprünglichen und neuen/zukünftigen Zweck;
  • der Zusammenhang, in dem die Daten erhoben wurden (Welche Beziehung besteht zwischen Ihrem Unternehmen/Ihrer Organisation und der betroffenen Person?);
  • die Art der Daten (Sind es sensible Daten?);
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung (Welche Auswirkungen hat sie für die betroffene Person?);
  • das Vorhandensein geeigneter Garantien (wie Verschlüsselung oder Pseudonymisierung).

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten für Statistiken oder wissenschaftliche Forschung nutzen möchte, ist es nicht erforderlich, die Vereinbarkeitsprüfung durchzuführen.

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten auf der Grundlage einer Einwilligung oder einer rechtlichen Bestimmung erhoben hat, ist eine Weiterverarbeitung über die durch die ursprüngliche Einwilligung oder rechtliche Bestimmung abgedeckten Bereiche hinaus nicht möglich. Für die weitere Verarbeitung wäre die Einholung einer neuen Einwilligung oder eine neue Rechtsgrundlage erforderlich.

 

Beispiele:

Weiterverarbeitung möglich

Eine Bank verfügt über einen Vertrag mit einem Kunden, der dem Kunden ein Bankkonto und ein Privatdarlehen gewährt. Am Ende des ersten Vertragsjahrs verwendet die Bank die personenbezogenen Daten des Kunden, um zu überprüfen, ob er für eine bessere Darlehensvariante und einen Sparplan infrage kommt. Sie unterrichtet den Kunden. Die Bank darf die Kundendaten erneut verarbeiten, da der neue Zweck mit den ursprünglichen Zwecken vereinbar ist.

 

Weiterverarbeitung nicht möglich

Dieselbe Bank möchte die Kundendaten auf der Grundlage des genannten Vertrags für ein Bankkonto und ein Privatdarlehen an ein Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwilligung des Kunden unzulässig, da der Zweck nicht mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar ist.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de

02/2018

Antwort und Beispiel: Personenbezogene Daten sollten nur verarbeitet werden, wenn es nach allgemeinem Ermessen unmöglich ist, die Verarbeitung auf andere Weise durchzuführen. Sofern es möglich ist, sollten möglichst anonyme Daten verwendet werden.

 

Wenn personenbezogene Daten erforderlich sind, sollten diese dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“). Es obliegt der Verantwortung Ihres Unternehmens/Ihrer Organisation, als Verantwortlicher zu bewerten, wie viele Daten erforderlich sind, und zu gewährleisten, dass nicht relevante Daten nicht erhoben werden.

 

Beispiel:

Ihr Unternehmen/Ihre Organisation bietet Car Sharing-Dienstleistungen für Privatpersonen an. Für diese Dienste benötigt es/sie Name, Adresse und Kreditkartennummer der Kunden und eventuell Informationen darüber, ob die Person eine Behinderung hat (also Gesundheitsdaten), nicht aber über die rassische Herkunft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/data-minimisation/how-much-data-can-be-collected_de

02/2018

Antwort und Beispiel: Daten müssen so kurz wie möglich gespeichert werden. Der Zeitraum sollte die Gründe für die Verarbeitung der Daten sowie rechtliche Verpflichtungen zur Aufbewahrung der Daten für einen festgelegten Zeitraum (zum Beispiel wenn das nationale Arbeits-, Steuer- oder Betrugsbekämpfungsrecht vorsieht, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten der Mitarbeiter für einen festgelegten Zeitraum aufbewahren muss, Dauer der Produktgewährleistung, usw.) berücksichtigen.

 

Ihr Unternehmen/Ihre Organisation sollte Fristen zur Löschung oder Überprüfung der gespeicherten Daten festlegen.

 

Ausnahmsweise dürfen personenbezogene Daten zu Archivzwecken im öffentlichen Interesse oder bei wissenschaftlicher oder historischer Forschung länger aufbewahrt werden, sofern geeignete technische und organisatorische Massnahmen (wie Anonymisierung, Verschlüsselung usw.) getroffen werden.

 

Ihr Unternehmen/Ihre Organisation muss zudem sicherstellen, dass die aufbewahrten Daten sachlich richtig und auf dem neuesten Stand sind.

 

Beispiel:

Daten wurden zu lange ohne Aktualisierung aufbewahrt

Ihr Unternehmen/Ihre Organisation betreibt eine Arbeitsvermittlung und sammelt zu diesem Zweck die Lebensläufe von Personen, die eine Beschäftigung suchen und Ihnen für Ihre Vermittlungsdienstleistungen ein Entgelt zahlen. Sie planen, die Daten 20 Jahre lang aufzubewahren, und treffen keine Massnahmen zur Aktualisierung der Lebensläufe. Die Speicherfrist erscheint dem Zweck, kurz- bis mittelfristig Beschäftigung für eine Person zu finden, unangemessen. Die Tatsache, dass Sie keine regelmässige Aktualisierung der Lebensläufe verlangen, macht einige der Suchanfragen für die Beschäftigung suchende Person nach einem gewissen Zeitraum nutzlos (zum Beispiel da die Person neue Qualifikationen erworben hat).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/storage-periods/how-long-can-data-be-kept-and-it-necessary-update-it_de

02/2018

Antwort: Zum Zeitpunkt der Erhebung ihrer Daten müssen Personen mindestens über Folgendes in klarer Weise informiert werden:

  • wer Ihr Unternehmen/Ihre Organisation ist (Ihre Kontaktdaten und die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend);
  • warum Ihr Unternehmen/Ihre Organisation die personenbezogenen Daten nutzen wird (Zwecke);
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Rechtsgrundlage für die Verarbeitung ihrer Daten;
  • wie lange die Daten aufbewahrt werden;
  • welche weiteren Empfänger die Daten erhalten könnten;
  • ob die personenbezogenen Daten in ein Land ausserhalb der EU übermittelt werden;
  • dass sie das Recht auf eine Kopie der Daten (Auskunftsrecht) sowie weitere grundlegende Rechte im Bereich des Datenschutzes (siehe vollständige Liste der Rechte) haben;
  • das Bestehen ihres Beschwerderechts bei einer Datenschutzbehörde;
  • ihr Recht, die Einwilligung jederzeit zurückzuziehen;
  • sofern zutreffend, das Bestehen einer automatisierten Entscheidungsfindung, nach welcher Logik die entsprechende Verarbeitung erfolgt und welche Auswirkungen sie hat.

 

Siehe die vollständige Liste der bereitzustellenden Informationen.

 

Die Informationen können schriftlich oder mündlich auf Antrag der Person, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde, oder gegebenenfalls auf elektronischem Weg erteilt werden. Ihr Unternehmen/Ihre Organisation muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich übermitteln.

 

Falls Daten durch ein anderes Unternehmen/eine andere Organisation erhoben werden, sollte Ihr Unternehmen/Ihre Organisation der betroffenen Person die oben genannten Informationen spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten erteilen; oder sofern Ihr Unternehmen/Ihre Organisation mit der Person kommuniziert, zum Zeitpunkt, zu dem die Daten zur Kommunikation mit der betroffenen Person verwendet werden; oder falls die Offenlegung an ein anderes Unternehmen beabsichtigt ist, zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.

 

Ihr Unternehmen/Ihre Organisation ist ebenso verpflichtet, die Person über die Kategorien von Daten und darüber zu unterrichten, aus welcher Quelle die personenbezogenen Daten stammen, einschliesslich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen. Unter bestimmten, in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Datenschutz-Grundverordnung aufgeführten Umständen kann Ihr Unternehmen/Ihre Organisation von der Pflicht, die Person zu unterrichten, befreit werden. Prüfen Sie, ob eine solche Befreiung auf Ihr Unternehmen/Ihre Organisation zutrifft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/transparency/what-information-must-be-given-individuals-whose-data-collected_de

02/2018

Antwort und Beispiele: Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:

  • mit Einwilligung der betroffenen Personen;
  • bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
  • zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
  • wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
  • zum Schutz lebenswichtiger Interessen einer Person;
  • aus berechtigten Interessen Ihrer Organisation, aber nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person die Interessen Ihrer Organisation überwiegen, scheidet das berechtigte Interesse Ihrer Organisation als Grundlage für die Datenverarbeitung aus. Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.

Beispiele:

Einwilligung

Ihr Unternehmen/Ihre Organisation bietet eine Musik-App an und verlangt nach der Einwilligung der Nutzer zur Verarbeitung ihrer musikalischen Vorlieben, um passende Musiktitel und mögliche Konzerte zu empfehlen.

 

Vertragliche Verpflichtung

Ihr Unternehmen/Ihre Organisation verkauft Waren online. Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Massnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.

 

Rechtliche Verpflichtung

Sie führen ein Unternehmen mit Mitarbeitern. Sie sind im Rahmen der Sozialversicherung gesetzlich dazu verpflichtet, der zuständigen Behörde personenbezogene Daten (zum Beispiel wöchentliches Einkommen Ihrer Mitarbeiter) zur Verfügung zu stellen.

 

Öffentliches Interesse

Beispiel: Eine Berufsvereinigung, wie zum Beispiel eine Anwalts- oder Ärztekammer, der die entsprechende öffentliche Gewalt übertragen wurde, kann Disziplinarverfahren gegen ihre Mitglieder durchführen.

 

Lebenswichtiges Interesse einer Person

Ein Krankenhaus behandelt einen Patienten nach einem verheerenden Verkehrsunfall. Das Krankenhaus benötigt nicht die Einwilligung dieser Person, um nach ihrem Ausweis zu suchen, um zu überprüfen, ob in der Datenbank des Krankenhauses die medizinische Vorgeschichte zu finden ist, oder um ihre Angehörigen zu kontaktieren.

 

Die berechtigten Interessen Ihrer Organisation

Ihr Unternehmen/Ihre Organisation stellt die Netzwerksicherheit sicher, indem Sie die Nutzung der IT-Geräte Ihrer Mitarbeiter überwachen. Ihr Unternehmen/Ihre Organisation darf personenbezogene Daten zu diesem Zweck nur dann verarbeiten, wenn Sie die schonendste Methode hinsichtlich der Privatsphäre und Datenschutzrechte Ihrer Mitarbeiter anwenden, zum Beispiel indem Sie den Zugriff auf bestimmte Websites einschränken. (Beachten Sie, dass dies in EU-Mitgliedstaaten, in denen das nationale Recht strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht, nicht möglich ist).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de

Formularhandbuch Datenschutzrecht

 

Autoren: Ansgar Koreng (Herausgeber),‎    Matthias Lachenmann (Herausgeber),‎    Bilal Abedin (Bearbeitung),‎    Holger Achtermann (Bearbeitung),‎    Matthias Bergt (Bearbeitung),‎    Nikolaus Bertermann (Bearbeitung),‎    Martin Braun (Bearbeitung),‎    Stefan Brink (Bearbeitung),‎    Christian Diekmann (Bearbeitung),‎    Michael Huth (Bearbeitung),‎    Jörg Jaenichen (Bearbeitung),‎    Olaf Koglin (Bearbeitung),‎    Sascha Kremer (Bearbeitung),‎    Joachim Müller (Bearbeitung),‎    Malaika Nolde (Bearbeitung),‎    Carlo Piltz (Bearbeitung),‎    Frederike Rehker (Bearbeitung),‎    Stefan Sander (Bearbeitung),‎    Stephan Schmidt (Bearbeitung),‎    Sebastian Schwiering (Bearbeitung),‎    Steffen Weiß (Bearbeitung),‎    Bernhard C. Witt (Bearbeitung)

ISBN-10: 3406695426

Lehrgang für Betriebliche Datenschutz-Verantwortliche (BDSV) gemäss Schweizer Datenschutzgesetz (DSG).

Erweiterte Grundlagen und Praxiswissen spezifisch für Schweizer Unternehmen. (DSGVO Advanced)

Schulung über die Aufgaben des Datenschutzbeauftragten (DPO). (DSGVO Professional)

Bleiben Sie auf dem Laufenden mit unserem Datenschutz-Update für Datenschutzstellen.

Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.

Grundlagen über die datenschutzrechtlichen Anforderungen gemäss Schweizer Datenschutzgesetz.
Dieser Kurs wird von Digicomp durchgeführt.

Umfassende Einführung und Good Practice für die Sicherheit in der Cloud (DSG inkl. DSGVO Basic)

Workshop zur Feststellung der Wirksamkeit des Datenschutzes nach DSG und DSGVO in Ihrem Unternehmen.

Firmenschulung

Workshop zur Bestimmung der Konformität und der weiteren Schritte zur Konformitätsumsetzung nach DSGVO.

Firmenschulung

Workshop zur Erstellung und Führung eines mit Artikel 30 DSGVO konformen Verarbeitungsverzeichnisses.

Firmenschulung

Workshop zur Erstellung einer mit Artikel 35 DSGVO konformen Datenschutz-Folgenabschätzung (DSFA).

Firmenschulung

Workshop über das Wichtigste zur DSGVO und relevanter Managementsensibilisierung.

Firmenschulung

Haben Sie eine Weiterbildung mit einem Titel gemacht, dessen Aufrechterhaltung eine Weiterbildungspflicht beinhaltet?

Gerne bestätigen wir Ihnen als Ausbildungsinstitut die Anzahl besuchter Stunden an einem unserer Lehrgänge oder Themenkurse.

Diese Bestätigung können Sie bei Ihrer Organisation, die Ihnen den Zertifikatstitel vergeben hat, vorlegen. Diese Organisationen entscheiden frei, ob Sie und wie viele Anzahl CPE Hours oder CPE Credits (continuing professional education) erhalten.

Bitte senden Sie uns die nötigen Angaben zu Ihrem besuchten Swiss Infosec AG-Anlass. Der Weiterbildungsnachweis wird Ihnen nach interner Prüfung zugestellt.

Die Swiss Infosec AG unterstützt Sie auf Ihrem Weg zu mehr Sicherheitskompetenz und steht Ihnen auch gerne beratend zur Seite. Zögern Sie deshalb nicht, uns zu kontaktieren: +41 41 984 12 12, infosec@infosec.ch


Ausbildungsnachweis
Natürlich 100% vertraulich, kostenfrei und unverbindlich!


03/2018

Antwort: Als Unternehmen/Organisation müssen Sie häufig personenbezogene Daten verarbeiten, um Aufgaben im Rahmen Ihrer Geschäftstätigkeit durchzuführen. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht notwendigerweise durch eine rechtliche Verpflichtung begründet oder dient der Erfüllung der Bestimmungen eines Vertrags mit einer Person. In solchen Fällen kann die Datenverarbeitung durch 'berechtigte Interessen' gerechtfertigt sein.

 

Ihr Unternehmen/Ihre Organisation muss die betroffenen Personen über die Verarbeitung unterrichten, wenn es/sie deren personenbezogene Daten erhebt.

Ihr Unternehmen/Ihre Organisation muss ebenfalls sicherstellen, dass es/sie mit der Verfolgung seiner/ihrer berechtigten Interessen die Rechte und Freiheiten dieser Personen nicht ernsthaft beeinträchtigt, denn sonst kann Ihr Unternehmen/Ihre Organisation sich zur Begründung der Verarbeitung der Daten nicht auf berechtigte Interessen berufen und muss eine andere Rechtsgrundlage finden.

 

Beispiel: Ihr Unternehmen/Ihre Organisation hat ein berechtigtes Interesse, wenn die Verarbeitung in einem Kundenverhältnis stattfindet, wenn es personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, um Betrug zu verhindern oder die Netzwerk- und Informationssicherheit Ihres IT-Systems sicherzustellen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_de

 

03/2018

Antwort: Wenn eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist, müssen die folgenden Bedingungen erfüllt sein, damit diese Einwilligung Gültigkeit besitzt:

  • sie muss freiwillig erfolgen;
  • sie muss in informierter Weise geschehen;
  • sie muss für einen bestimmten Zweck gegeben werden;
  • auf alle Gründe für die Verarbeitung muss unmissverständlich hingewiesen werden;
  • sie muss ausdrücklich sein und durch eine bestätigende Handlung erfolgen (zum Beispiel ein elektronisches Kontrollkästchen, das die Person online ausdrücklich bestätigen muss, oder eine Unterschrift auf einem Formular);
  • sie nutzt eine klare und einfache Sprache und ist eindeutig wahrnehmbar;
  • es ist möglich, die Einwilligung zu widerrufen, und diese Möglichkeit wird erklärt (zum Beispiel ein Abmeldelink am Ende eines per E-Mail empfangenen Newsletters).

 

Damit die Einwilligung als freiwillig gilt, muss die Person die freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Die Einwilligung erfolgt nicht freiwillig, wenn zum Beispiel ein klares Ungleichgewicht zwischen der Person und dem Unternehmen/der Organisation besteht (zum Beispiel Beziehung zwischen Arbeitgeber und Arbeitnehmer) oder wenn ein Unternehmen/eine Organisation Personen als Bedingung für die Erfüllung eines Vertrags oder einer Dienstleistung zur Einwilligung in die Verarbeitung nicht erforderlicher personenbezogener Daten auffordert.

 

Die Einwilligung gilt als in informierter Weise gegeben, wenn die Person zumindest folgende Informationen erhält:

  • die Identität der für die Datenverarbeitung verantwortlichen Organisation;
  • die Zwecke der Datenverarbeitung;
  • die Art der verarbeiteten Daten;
  • die Möglichkeit, die Einwilligung zu widerrufen (zum Beispiel ein Abmeldelink am Ende einer E-Mail);
  • falls zutreffend, die Absicht, die Daten ausschliesslich für eine automatisierte Entscheidungsfindung einschliesslich Profiling zu verwenden;
  • wenn die Einwilligung sich auf eine internationale Datenübermittlung bezieht, die möglichen Risiken von Datenübermittlungen in Drittländer die nicht Gegenstand eines Angemessenheitsbeschlusses der Kommission sind und in denen keine angemessene Garantien bestehen.

 

Beachten Sie:

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist.

 

Beispiele: Freiwillige Einwilligung

Sie sind eine Fluggesellschaft und in Ihrer Datenschutzerklärung ist angegeben, dass personenbezogene Daten von Kunden für ein von Ihrem Unternehmen organisiertes Gewinnspiel verarbeitet werden können, bei dem ein kostenloser Flug zu gewinnen ist. Kunden, die das Kontrollkästchen aktiviert haben, um der Teilnahme am Gewinnspiel zuzustimmen, haben sich somit eindeutig einverstanden erklärt, ihre personenbezogenen Daten zum Zwecke des Gewinnspiels verarbeiten zu lassen. Die Einwilligung erfolgt zur Datenverarbeitung für die Zwecke des Gewinnspiels, jedoch nicht zu anderen Zwecken.

 

Nicht freiwillige Einwilligung
Ihr Unternehmen/Ihre Organisation bietet Filmdienste im Internet an. Bei der Erhebung der Daten für diesen Vertrag erfragen Sie auch zusätzliche Daten wie die sexuelle Orientierung und die politische Einstellung einer Person. Diese Person könnte der Auffassung sein, dass ihre Einwilligung in die Verarbeitung dieser Art von Daten für den Zugang zu den gewünschten Filmen erforderlich ist. Die Einwilligung erfolgt hier nicht freiwillig, sondern es handelt sich um eine 'gebundene Einwilligung'.

 

Europäische Kommission; 28.02.2018; bow
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_de

 

03/2018

Antwort: Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein. Wird die Einwilligung zurückgezogen, darf Ihr Unternehmen/Ihre Organisation die Daten nicht mehr verarbeiten. Sobald die Einwilligung widerrufen wurde, muss Ihr Unternehmen/Ihre Organisation sicherstellen, dass die Daten gelöscht werden, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung (zum Beispiel Speicherpflichten oder Notwendigkeit zur Vertragserfüllung) besteht.

Wurden die Daten für mehrere Zwecke verarbeitet, dürfen die personenbezogenen Daten für den Teil der Verarbeitung nicht mehr genutzt werden, für den die Einwilligung widerrufen wurde bzw. für keine Zwecke, je nachdem, welcher Art der Widerruf der Einwilligung war.

 

Beispiel: Sie versenden einen Online-Newsletter. Ihr Kunde erteilt seine Einwilligung zur Registrierung für den Online-Newsletter, der es Ihnen erlaubt, alle Daten zu seinen Interessen zu verarbeiten, um ein Profil darüber zu erstellen, an welchen Artikeln er Interesse zeigt. Ein Jahr später teilt er Ihnen mit, dass er den Online-Newsletter nicht mehr erhalten möchte. Sie müssen sämtliche personenbezogenen Daten über diese Person aus Ihrer Datenbank löschen, die im Zusammenhang mit der Registrierung für den Newsletter erhoben wurden, einschliesslich der Profile zu dieser Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-if-somebody-withdraws-their-consent_de

03/2018

Antwort: Die folgenden personenbezogenen Daten gelten als 'sensibel' und unterliegen besonderen Verarbeitungsbedingungen:

  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschliesslich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_de

03/2018

Antwort: Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen.

 

Ihr Unternehmen/Ihre Organisation ist ein gemeinsam Verantwortlicher, wenn es/sie gemeinsam mit einer oder mehreren Organisationen festlegt, „wofür“ und „wie“ personenbezogene Daten verarbeitet werden sollen. Gemeinsam Verantwortliche gehen eine Vereinbarung ein, in der festgelegt wird, wer von ihnen welche Verpflichtungen gemäss den Vorschriften der Datenschutz-Grundverordnung erfüllt. Die wesentlichen Punkte der Vereinbarung müssen den Personen mitgeteilt werden, deren Daten verarbeitet werden.

 

Der Auftragsverarbeiter verarbeitet ausschliesslich im Auftrag des Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter ist in der Regel ein Dritter ausserhalb des Unternehmens. Bei Unternehmensgruppen kann jedoch ein Unternehmen als Auftragsverarbeiter für ein anderes fungieren.

 

Die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Vertrag oder sonstigen Rechtsakt festgehalten. Der Vertrag muss unter anderem Angaben dazu machen, was mit den personenbezogenen Daten geschieht, sobald er ausgelaufen ist. Eine übliche Tätigkeit von Auftragsverarbeitern ist die Bereitstellung von IT-Lösungen einschliesslich Speicherung in einer Cloud. Der Auftragsverarbeiter darf nur einen Teil seiner Aufgabe per Unterauftrag an einen anderen Auftragsverarbeiter vergeben oder einen gemeinsamen Auftragsverarbeiter ernennen, wenn er die vorherige schriftliche Einwilligung des Verantwortlichen erhalten hat.

In gewissen Situationen kann eine Einrichtung Verantwortlicher, Auftragsverarbeiter oder beides sein.

 

Beispiele:

Verantwortlicher und Auftragsverarbeiter
Eine Brauerei hat viele Mitarbeiter. Sie unterzeichnet einen Vertrag mit einem Lohnabrechnungsunternehmen, damit dieses die Abrechnung der Gehälter übernimmt. Die Brauerei unterrichtet das Lohnabrechnungsunternehmen, wann die Gehälter gezahlt werden sollen, wenn ein Mitarbeiter das Unternehmen verlässt oder eine Lohnerhöhung erhält, und stellt alle weiteren Informationen zur Gehaltsabrechnung und Bezahlung zur Verfügung. Das Lohnabrechnungsunternehmen stellt das IT-System und speichert die Mitarbeiterdaten. Die Brauerei ist der Verantwortliche und das Lohnabrechnungsunternehmen der Auftragsverarbeiter.

 

Gemeinsam Verantwortliche
Ihr Unternehmen/Ihre Organisation bietet über eine Internetplattform Kinderbetreuungsdienste an. Gleichzeitig hat Ihr Unternehmen/Ihre Organisation einen Vertrag mit einem anderen Unternehmen, der es Ihnen ermöglicht, Zusatzleistungen anzubieten. Diese Zusatzleistungen beinhalten die Möglichkeit, dass Eltern nicht nur den Kinderbetreuer auswählen, sondern auch Spiele und DVDs ausleihen, die der Kinderbetreuer mitbringt. Beide Unternehmen sind an der technischen Einrichtung der Website beteiligt. In diesem Fall haben die beiden Unternehmen sich dazu entscheiden, die Plattform für beide Zwecke zu nutzen (Kinderbetreuungsdienste und Verleih von DVDs/Spielen), und übermitteln sehr häufig Kundennamen. Die beiden Unternehmen sind daher gemeinsam Verantwortliche, da sie nicht nur vereinbart haben, die Möglichkeit „kombinierter Dienstleistungen“ anzubieten, sondern auch am Design einer gemeinsamen Plattform arbeiten und diese nutzen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_de

 

03/2018

Antwort: Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Massnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten.

 

Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen:

  • die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
  • der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau;
  • der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung.

 

Beispiele:

Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäss der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschliesslich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“.

 

Sie sind ein Einzelhandelsunternehmen, das sich dazu entschliesst, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-process-data-my-organisations-behalf_de

 

03/2018

Antwort: Die Datenschutz-Grundverordnung beruht auf einem risikobasierten Ansatz. Dies bedeutet, dass Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, dazu angehalten sind, entsprechend der Risikostufe ihrer Verarbeitungstätigkeiten Schutzmassnahmen einzuführen. Die Pflichten eines Unternehmens, das viele Daten verarbeitet, sind daher umfangreicher als jene für ein Unternehmen, das nur wenige Daten verarbeitet.

 

Die Wahrscheinlichkeit, dass ein Unternehmen/eine Organisation, das/die viele Daten verarbeitet, einen Datenschutzbeauftragten einstellen muss, ist zum Beispiel höher als bei einem Unternehmen/einer Organisation, das/die wenige Daten verarbeitet (dies korrespondiert in diesem Fall mit dem Begriff der Verarbeitung personenbezogener Daten „in grossem Umfang“). Die Art der personenbezogenen Daten und die Auswirkungen der beabsichtigten Verarbeitung spielen ebenfalls eine Rolle. Die Verarbeitung weniger, jedoch sensibler Daten (zum Beispiel Gesundheitsdaten) erfordert die Umsetzung strengerer Massnahmen, um die Datenschutz-Grundverordnung einzuhalten.

In jedem Fall müssen die Grundsätze des Datenschutzes eingehalten werden, und es muss Personen ermöglicht werden, ihre Rechte wahrzunehmen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/risk-based-approach/are-obligations-same-regardless-amount-data-my-company-organisation-handles_de

 

03/2018

Antwort: Unternehmen/Organisationen sind angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung der Verarbeitungsvorgänge technische und organisatorische Massnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren („Datenschutz durch Technikgestaltung“). Durch Voreinstellung sollen Unternehmen/Organisationen sicherstellen, dass personenbezogene Daten mit dem grösstmöglichen Datenschutz (zum Beispiel sollten ausschliesslich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden) verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden („datenschutzfreundliche Voreinstellungen“).

 

Beispiele:

Datenschutz durch Technikgestaltung
Die Nutzung der Pseudonymisierung (Ersatz personenbezogener Informationen durch künstliche Kennungen) und Verschlüsselung (Kodierung von Nachrichten, damit nur Befugte sie lesen können).

 

Datenschutzfreundliche Voreinstellungen
soziale Medien-Plattformen sollten ermutigt werden, die Voreinstellung der Nutzerprofile auf bestmögliche datenschutzfreundliche Weise vorzunehmen, indem zum Beispiel von Beginn an die Zugänglichkeit zum Nutzerprofil eingeschränkt wird, sodass es nicht durch Voreinstellung einer unbestimmten Zahl von Personen zugänglich ist.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-design-and-default/what-does-data-protection-design-and-default-mean_de

 

03/2018

Antwort: Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevantes Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Ihre Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten. Wenn Ihr Unternehmen/Ihre Organisation Auftragsverarbeiter ist, meldet es/sie jede Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen.

Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, so müssen diese ebenfalls informiert werden, sofern keine wirksamen technischen und organisatorischen Massnahmen bzw. sonstigen Massnahmen umgesetzt wurden, die gewährleisten, dass dieses Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.

Es ist entscheidend, als Organisation geeignete technische und organisatorische Massnahmen zu treffen, um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden.

 

Beispiele:

Organisation muss Datenschutzbehörde und betroffene Personen unterrichten
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Diese Daten umfassten die Privatadressen, Familienzusammensetzungen, monatlichen Gehälter und Krankenversicherungsansprüche aller Mitarbeiter. Das Textilunternehmen ist hier verpflichtet, die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu unterrichten. Da die personenbezogenen Daten sensible Daten wie Gesundheitsdaten umfassen, muss das Unternehmen seine Mitarbeiter ebenfalls benachrichtigen.

 

Ein Krankenhausmitarbeiter kopiert Patientendaten auf eine CD und veröffentlicht sie im Internet. Das Krankenhaus findet es einige Tage später heraus. Nachdem das Krankenhaus es herausgefunden hat, muss es die Aufsichtsbehörde binnen 72 Stunden darüber unterrichten, und da die personenbezogenen Daten sensible Informationen beinhalten, zum Beispiel darüber, ob ein Patient an Krebs erkrankt ist, schwanger ist usw., muss es auch die Patienten darüber informieren. In diesem Fall würden Zweifel bestehen, ob das Krankenhaus geeignete technische und organisatorische Schutzmassnahmen getroffen hat. Hätte es geeignete Schutzmassnahmen getroffen (zum Beispiel die Verschlüsselung von Daten), wäre das Bestehen eines wesentlichen Risikos unwahrscheinlich und das Krankenhaus könnte von der Pflicht, die Patienten zu unterrichten, befreit sein.

 

Unternehmen muss Kunden unterrichten und diese müssen dann eventuell die Datenschutzbehörde und betroffene Personen informieren
Ein Cloud-Dienst verliert mehrere Festplatten, auf denen personenbezogene Daten von mehreren seiner Kunden gespeichert sind. Er muss diese Kunden unverzüglich unterrichten, wenn ihm die Verletzung des Schutzes personenbezogener Daten bekannt wird. Seine Kunden müssen in Abhängigkeit von den durch den Auftragsverarbeiter verarbeiteten Daten möglicherweise die Datenschutzbehörde und die betroffenen Personen benachrichtigen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-breaches/what-data-breach-and-what-do-we-have-do-case-data-breach_de

 

 

 

03/2018

Antwort: Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschliesslich Profiling;
  • umfangreiche Verarbeitung sensibler Daten;
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Massnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.

 

Beispiele:

Datenschutz-Folgenabschätzung erforderlich
Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen.

 

Datenschutz-Folgenabschätzung nicht erforderlich
Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in grossem Umfang erfolgt.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/impact-assessments/when-data-protection-impact-assessment-dpia-required_de

 

03/2018

Antwort: Ihr Unternehmen/Ihre Organisation muss als Verantwortlicher oder Auftragsverarbeiter einen Datenschutzbeauftragten ernennen, wenn seine/ihre Kerntätigkeiten die Verarbeitung sensibler Daten in grossem Umfang bzw. die regelmässige systematische Überwachung von Personen in grossem Umfang umfassen. Die Überwachung des Verhaltens betroffener Personen umfasst in diesem Zusammenhang jegliche Form der Verfolgung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung.

 

Öffentliche Behörden haben (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit) grundsätzlich eine Verpflichtung, einen Datenschutzbeauftragten zu ernennen.

 

Der Datenschutzbeauftragte kann Beschäftigter Ihrer Organisation sein oder auf der Grundlage eines Dienstleistungsvertrags extern beauftragt werden. Der Datenschutzbeauftragte kann eine Person oder Organisation sein.


Beispiele:

Datenschutzbeauftragter zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist zum Beispiel zwingend vorgeschrieben, wenn Ihr Unternehmen/Ihre Organisation:

  • ein Krankenhaus ist, das sensible Daten in grossem Umfang verarbeitet;
  • eine Sicherheitsfirma ist, die für die Überwachung von Einkaufszentren und öffentlichen Plätzen verantwortlich ist;
  • eine kleine Personalberatung ist, die Profile von Personen erstellt.

 

Datenschutzbeauftragter nicht zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist nicht zwingend vorgeschrieben, wenn

  • Sie ein Gemeindearzt sind und die personenbezogenen Daten Ihrer Patienten verarbeiten;
  • Sie eine kleine Anwaltskanzlei haben und die personenbezogenen Daten Ihrer Mandanten verarbeiten.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_de

 

03/2018

Antwort: Der Datenschutzbeauftragte unterstützt den Verantwortlichen oder Auftragsverarbeiter in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und ihrer Beschäftigten hinsichtlich ihrer Pflichten nach der Datenschutzverordnung;
  • Überwachung der Einhaltung aller Datenschutzvorschriften durch die Organisation einschliesslich Überprüfungen, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Tätigkeit als Anlaufstelle für Anfragen von Personen in mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte zusammenhängenden Fragen;
  • Zusammenarbeit mit den Datenschutzbehörden und Tätigkeit als Anlaufstelle für Datenschutzbehörden in mit der Verarbeitung zusammenhängenden Fragen.

 

Die Organisation muss den Datenschutzbeauftragten frühzeitig einbinden. Der Datenschutzbeauftragte darf vom Verantwortlichen oder Auftragsverarbeiter keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhalten. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene der Organisation.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/what-are-responsibilities-data-protection-officer-dpo_de

Mit Bundesdatenschutzgesetz 2018

 

Autoren: Flemming Moos, Jens Schefzig, Marian Arning

ISBN-10: 3110338505

Grundlagen - Dimensionen - Verflechtungen

 

Autor: Nikolaus Marsch

ISBN-10: 3161554221

03/2018

Antwort: Ihr Unternehmen/Ihre Organisation darf nur dann sensible Daten verarbeiten, wenn eine der nachstehend aufgeführten Bedingungen erfüllt ist:

  • die ausdrückliche Einwilligung der Person wurde eingeholt (ein Gesetz kann diese Möglichkeit in bestimmten Fällen ausschliessen);
  • das EU- oder nationale Recht oder eine Kollektivvereinbarung verpflichtet Ihr Unternehmen/Ihre Organisation, diese Daten zu verarbeiten, um die ihm/ihr und der betroffenen Person aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben bzw. den diesbezüglichen Pflichten nachzukommen;
  • die lebenswichtigen Interessen der Person bzw. einer Person, die aus körperlichen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, sind gefährdet;
  • Sie sind eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht, die Daten ihrer Mitglieder oder anderer Personen verarbeitet, die regelmässige Kontakte mit der Organisation unterhalten;
  • die personenbezogenen Daten wurden von der Person offensichtlich öffentlich gemacht;
  • die Daten werden zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt;
  • die Daten werden aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinischer Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des EU- oder nationalen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs verarbeitet;
  • die Daten werden aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke auf der Grundlage des EU- oder nationalen Rechts verarbeitet.

Für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können im nationalen Recht weitere Bedingungen auferlegt werden. Fragen Sie bei Ihrer nationalen Datenschutzbehörde nach.

 

Beispiel:

Sie dürfen sensible Daten verarbeiten
Ein Arzt empfängt eine Reihe Patienten in seiner Klinik. Er registriert die Besuche in einer Datenbank, in der Felder wie Name/Vorname des Patienten, Beschreibung der Symptome und verschriebene Medikamente aufgeführt sind. Hierbei handelt es sich um sensible Daten. Die Verarbeitung von Gesundheitsdaten durch die Klinik ist im Rahmen der Datenschutzverordnung erlaubt, da sie für die Behandlung der Person erforderlich ist und im Verantwortungsbereich eines Arztes liegt, der einer beruflichen Geheimhaltungspflicht unterliegt.

 

Sie dürfen sensible Daten nicht verarbeiten
Ihr Unternehmen vertreibt Kleidung über das Internet. Sie fragen zur Anpassung Ihrer Dienstleistung an den Kunden nach Angaben zur Grösse, bevorzugten Farbe, Zahlungsmethode, zum Namen und zur Adresse, um das Produkt liefern zu können. Darüber hinaus fragt Ihr Unternehmen nach den politischen Ansichten seiner Kunden. Sie benötigen die meisten dieser Informationen, um Ihre vertraglichen Pflichten zu erfüllen. Die politischen Ansichten Ihrer Kunden werden jedoch zur Herstellung und Lieferung der Kleidungsstücke nicht benötigt. Diese Informationen dürfen Sie im Rahmen dieses Vertragsverhältnisses nicht erfragen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-what-conditions-can-my-company-organisation-process-sensitive-data_de

 

Grundlagen und europarechtliche Neugestaltung

 

Autoren: Giselher Rüpke,‎ Kai von Lewinski,‎ Jens Eckhardt

ISBN-10: 3406501990

04/2018

Die Datenschutz-Grundverordnung (DS-GVO), die am 25. Mai 2018 in Kraft treten soll, wird einen modernisierten, auf dem Prinzip der Rechenschaftspflicht beruhenden Handlungsrahmen für die Überprüfung der Einhaltung der Datenschutzvorschriften in Europa bieten. Den Kern dieser neuen Rechtsgrundlage werden für viele Einrichtungen Datenschutzbeauftragte (DSB) bilden, die die Einhaltung der Bestimmungen der DS-GVO erleichtern.

 

Nach der DS-GVO sind Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, einen DSB zu ernennen. Diese Pflicht besteht für alle Behörden und öffentlichen Stellen (unabhängig von der Art der verarbeiteten Daten) wie auch für sonstige Einrichtungen, die – als Kerntätigkeit – systematisch und in großem Umfang Einzelpersonen überwachen oder in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeiten.

 

In Fällen, in denen die DS-GVO die Bestellung eines DSB nicht ausdrücklich vorschreibt, können Einrichtungen es mitunter für zweckmäßig erachten, einen solchen auf freiwilliger Basis zu ernennen. Die Artikel-29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen.

 

Das dem DSB zugrundeliegende Konzept ist nicht neu. Wenngleich nach der Richtlinie 95/46/EG keine Einrichtung zur Ernennung eines DSB verpflichtet ist, hat sich die Praxis der Ernennung eines DSB in zahlreichen Mitgliedstaaten im Laufe der Jahre immer mehr verbreitet.

 

Vor dem Erlass der DS-GVO argumentierte die WP29, dass der DSB ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines DSB die Einhaltung der Vorschriften erleichtere und überdies Unternehmen als Wettbewerbsinstrument diene. DSB erleichtern nicht nur die Einhaltung der Bestimmungen, indem sie etwa Instrumente zur Anwendung bringen, die der Einhaltung der Rechenschaftspflicht dienen (wie etwa die Erleichterung oder Durchführung von Datenschutz-Folgenabschätzungen und -Überprüfungen), sondern fungieren darüber hinaus auch als Mittler zwischen den maßgeblichen Interessenträgern (z. B. Aufsichtsbehörden, betroffene Personen und für die Geschäftsführung zuständige Stellen einer Einrichtung).

 

DSB sind im Falle der Nichteinhaltung der DS-GVO nicht persönlich verantwortlich. Aus der DS-GVO geht klar hervor, dass es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Artikel 24 Absatz 1). Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.

 

Dem Verantwortlichen oder dem Auftragsverarbeiter kommt zugleich eine wichtige Rolle dabei zu, die Voraussetzung dafür zu schaffen, dass der DSB seinen Aufgaben wirksam nachgehen kann. Die Ernennung eines DSB stellt hierbei nur einen ersten Schritt dar: Um ihren Aufgaben wirksam nachgehen zu können, müssen DSB auch über hinreichende Eigenständigkeit und genügend Ressourcen verfügen.

 

In der DS-GVO werden die Bedeutung des DSB als Schlüsselfigur im neuen Data-Governance-System anerkannt und die Bedingungen für seine Ernennung, Stellung und Aufgaben dargelegt. Ziel dieser Leitlinien ist es, die einschlägigen Bestimmungen der DS-GVO klarzustellen, um die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung der gesetzlichen Vorgaben zu unterstützen und den DSB bei ihrer Tätigkeit Hilfestellung zu leisten. Die Leitlinien enthalten zugleich Empfehlungen für bewährte Verfahren, denen die in verschiedenen EU-Mitgliedstaaten gesammelten Erfahrungen zugrunde liegen. Die WP29 wird die Umsetzung dieser Leitlinien beaufsichtigen und erforderlichenfalls im Detail ergänzen.

 

Nachfolgend finden Sie eine Zusammenfassung der WP29 zu den Anforderungen bezüglich eines Datenschutzbeauftragten, das gesamte Dokument finden Sie hier in allen EU-Sprachen: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

 

Welche Einrichtungen sind zur Benennung eines DSB verpflichtet?

Was bedeutet "Kerntätigkeit"?

Was bedeutet "umfangreiche Bearbeitung"?

Was bedeutet "regelmäßige und systematische Überwachung"?

Können Einrichtungen einen gemeinsamen DSB benennen? Wenn ja, unter welchen Voraussetzungen?

Wo sollte der DSB lokalisiert sein?

Kann ein externer DSB bestellt werden?

Über welche beruflichen Qualifikationen sollte der DSB verfügen?

Welche Ressourcen sollten Verantwortliche oder Auftragsverarbeiter dem DSB zur Verfügung stellen?

Wie wird die Ausübung der Pflichten und Aufgaben des DSB in vollständiger Unabhängigkeit gewährleistet? Was bedeutet "Interessenkonflikt"?

Was bedeutet "Einhaltung der Vorgaben in Bezug auf die Überwachung"

Ist der DSB im Fall der Nichteinhaltung der Datenschutzanforderungen persönlich verantwortlich?

Welche Funktion kommt dem DSB bei einer Datenschutz-Folgenabschätzung und beim Führen von Verzeichnissen zu Verarbeitungsvorgängen zu?

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 DS-GVO

Die Benennung eines DSB ist obligatorisch, wenn

  • die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (unabhängig von der Art der verarbeiteten Daten),
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Hierbei ist zu beachten, dass Rechtsvorschriften der Union oder der Mitgliedstaaten die Benennung eines DSB auch in anderen Fällen zwingend erforderlich machen können. Schließlich kann es auch in Fällen, in denen die Benennung eines DSB nicht obligatorisch ist, für eine Einrichtung zweckmäßig erscheinen, einen DSB auf freiwilliger Basis zu benennen. Die Artikel- 29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen. Wenn eine Einrichtung auf freiwilliger Basis einen DSB ernennt, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

Als "Kerntätigkeit" lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Dazu gehören auch sämtliche Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So ist beispielsweise die Verarbeitung von gesundheitsbezogenen Daten, wie etwa Krankenakten von Patienten, als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb Krankenhäuser zur Benennung eines DSB verpflichtet sind.

 

Andererseits führen alle Einrichtungen gewisse Tätigkeiten wie etwa die Entlohnung ihrer Mitarbeiter oder Standard-IT-Support aus. Hierbei handelt es sich um Beispiele von für die Kerntätigkeit oder das Kerngeschäft der Einrichtung notwendigen Unterstützungsfunktionen. Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebenfunktionen denn als Kerntätigkeit angesehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

In der DS-GVO ist nicht definiert, was unter "umfangreicher Verarbeitung" zu verstehen ist. Die WP29 empfiehlt, bei der Klärung der Frage, ob sich von einer umfangreichen Verarbeitung sprechen lässt, die folgenden Faktoren zu berücksichtigen:

  • die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
  • das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
  • die Dauer oder Permanenz der Datenverarbeitungstätigkeit
  • die geografische Ausdehnung der Verarbeitungstätigkeit

 

Beispiele für eine umfangreiche Verarbeitung stellen dar:

  • die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses
  • die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z.B. Nachverfolgung über Netzkarten)
  • die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter
  • die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank
  • die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung
  • die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister

 

Keine umfangreiche Verarbeitung stellen die folgenden Beispiele dar:

  • die Verarbeitung von Patientendaten durch einen einzelnen Arzt
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b DS-GVO

Der Begriff der regelmäßigen und systematischen Überwachung ist in der DS-GVO zwar nicht definiert, erstreckt sich jedoch eindeutig auf jede Form der Verfolgung und Profilerstellung im Internet (auch zu Zwecken der verhaltensbasierten Werbung). Gleichwohl beschränkt sich der Begriff der Überwachung nicht auf die Online-Umgebung.

 

Folgende Tätigkeiten können eine regelmäßige und systematische Überwachung von betroffenen Personen darstellen: Betrieb eines Telekommunikationsnetzes, Anbieten von Telekommunikationsdienstleistungen, verfolgende E-Mail-Werbung, datengesteuerte Marketingtätigkeiten, Typisierung und Scoring zu Zwecken der Risikobewertung (zum Beispiel zu Zwecken der Kreditvergabe, zur Festlegung von Versicherungsprämien, zur Verhinderung von betrügerischen Handlungen oder zur Aufdeckung von Geldwäsche), Standortverfolgung (beispielsweise durch Mobilfunkanwendungen), Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten über in Kleidung integrierte Geräte (Wearables), Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.)

 

Die WP29 interpretiert den Begriff „regelmäßig“ als mindestens eine der folgenden Eigenschaften:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend
  • ständig oder regelmäßig stattfindend

 

Die WP29 interpretiert den Begriff „systematisch“ als mindestens eine der folgenden Eigenschaften:

  • systematisch vorkommend
  • vereinbart, organisiert oder methodisch
  • im Rahmen eines allgemeinen Datenerfassungsplans erfolgend
  • im Rahmen einer Strategie erfolgen

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 2 und 3 DS-GVO

Die Antwort ist ja. Artikel 37 Absatz 2 gestattet einer Unternehmensgruppe die Benennung eines gemeinsamen DSB, sofern dieser "von jeder Niederlassung aus […] leicht erreicht werden kann". Der Begriff der Erreichbarkeit bezieht sich auf die Aufgabe des DSB als Ansprechpartner für Betroffene und für die Aufsichtsbehörde, aber auch als einrichtungsinterne Ansprechpartner. Um die Erreichbarkeit des DSB sowohl intern als auch extern zu gewährleisten, ist dafür Sorge zu tragen, dass seine Kontaktdaten zur Verfügung stehen. Der DSB muss – gegebenenfalls mithilfe eines Teams – in der Lage sein, mit Betroffenen wirksam zu kommunizieren und mit den zuständigen Aufsichtsbehörden effektiv zusammenzuarbeiten. Dies bedeutet, dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss. Damit die Betroffenen den DSB kontaktieren können, ist es unverzichtbar, dass dieser (entweder physisch auf dem gleichen Gelände wie die Beschäftigten oder über eine Hotline oder andere sichere Kommunikationskanäle) persönlich erreichbar ist.

 

Mehrere öffentliche Einrichtungen und Stellen können in Anbetracht ihrer Organisationsstruktur und Größe einen gemeinsamen DSB benennen. Gleiches gilt für die erforderlichen Ressourcen und die Kommunikation: Da ein DSB eine Vielzahl von Aufgaben wahrzunehmen hat, ist es Sache des Verantwortlichen oder des Auftragsverarbeiters, dafür Sorge zu tragen, dass ein einzelner DSB trotz der Zuständigkeit für mehrere öffentliche Einrichtungen und Stellen in der Lage ist, diesen – gegebenenfalls mithilfe eines Teams – wirksam nachzugehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK