grundschulung datenschutz obwalden · 2011-12-02 · datenschutzbeauftragter schwyz · obwalden ·...
TRANSCRIPT
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 1
Grundschulung Datenschutz Obwalden
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 2
Ziele• Aufgabe und Organisation des Datenschutzbeauftragten
bekannt• Wesentliche Grundsätze des Datenschutzes bekannt• Bezug und Zusammenhang zu anderen Regelungen wie z.B.
zur Verordnung über das Einwohnerregister erkannt• Gestellte Fragen beantwortet
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 3
Organisation und Stellung
• Organisation– 250 Stellenprozente– Standort: Gotthardstr. 21, Oberarth– administrativ angegliedert bei SK OW
• Stellung– Kantonales und kommunales Kontrollorgan im Sinne des
Bundesgesetzes über den Datenschutz– Verwaltungsunabhängig– Gewählt für Amtsperiode– Eigenes Budget– Kann von Amtes wegen tätig werden– Untersteht dem Amtsgeheimnis
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 4
Aufgaben
• Überwachung der Anwendung der Vorschriften über den Datenschutz
• Kontrolle & Führung des Registers der Datensammlungen
• Beratung und Unterstützung von Verwaltungen & Privaten
• Vermittlung zw. Organen & Betroffenen• Mitwirkung bei der Gesetzgebung• Information• Rechenschaftsablage
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 5
Rechtsgrundlagen und Abgrenzungen
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 6
Rechtsgrundlagen• Bund
– Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)– Bundesgesetz über die Archivierung (Archivierungsgesetz, BGA)– Art. 28 Zivilgesetzbuch– zahlreiche andere Bundesgesetze (StGB, SVG, StG, etc.)
• Kanton– Kantonsverfassung– Gesetz über den Datenschutz (kDSG)
• Art. 2 Abs. 1: Generalverweis auf das DSG– Verordnung über das Einwohnerregister (ERV)– Verordnung über das Staatsarchiv (VSA)– Kantonales Steuergesetz– Weitere
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 7
Verhältnis zu anderen Rechtsgrundlagen
DatenschutzrechtDatenschutzrecht
Formelles
Datenschutz-
recht
Materielles
Datenschutz-
recht
Grund-
lagenVerfassungs-bestimmungen
Schutz der Privatsphäre
Datenschutzgesetze (Bund / Kanton)-- Grundsätze-- Zuständigkeiten & Verfahren-- Aufsicht
Fachgesetze Bund / Kanton (Steuergesetz, Sozialhilfegesetz,Polizeigesetz, AHV-Gesetz, etc.)-- Geheimhaltungspflichten-- Datenbearbeitung-- Amtshilfe
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 8
Abgrenzungen
•Bundesorgane unter sich•Bundesorgane natürlichePersonen
•Bundesorgane juristische Personen
•natürliche Personen unter sich•juristische Personen unter sich
•kant. öffentliche Organe unter sich
•kant. öffentliche Organe juristische Personen
•kant. öffentliche Organe natürliche Personen
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 9
Geltungsbereich kDSG• Geltungsbereich (Art. 1 kDSG):
– kantonale & kommunale Behörden & Amtsstellen– andere öffentlich-rechtliche Körperschaften, Anstalten und Personen– soweit sie hoheitlich handeln (öffentliche Aufgaben erfüllen)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 10
«Hoheitliche Handlung»
Hoheitlich• Baubewilligung• Steuerveranlagung• Vollstreckungsverfügung• Datensperre• Fahrzeugprüfung• Patenterteilung• Sozialhilfegewährung• Abfallentsorgung (öfftl. Raum)• etc.
Nicht hoheitlich• Verkauf von SBB-Tageskarten• Verkauf von Karten und
Broschüren• Verkauf von
Energiesparlampen• Verkauf verbilligter
Saisonabonnemente• etc.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 11
Geltungsbereich kDSG• Geltungsbereich (Art. 1 Abs. 2 kDSG):
– kantonale & kommunale Behörden & Amtsstellen– Andere öffentlich-rechtliche Körperschaften, Anstalten und Personen– soweit sie hoheitlich handeln (öffentliche Aufgaben erfüllen)
• Ausnahmen (Art. 1 Abs. 3 kDSG):– privatrechtlich handelnde öffentliche Organe– hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege– Geschäfte des Kantonsrats und seiner Kommissionen– öffentliche Register des Privatrechtsverkehrs– verwaltungsinterne Arbeitsmittel für den persönlichen Gebrauch
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 12
Begriffe – Öffentliches Organ• Art. 3 lit. h DSG• Öffentliche Organe:
– Behörden und Dienststellen aller Ebenen (Kanton, Gemeinden)– Personen, soweit sie mit öffentlichen Aufgaben betraut sind
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 13
Begriffe - Personendaten• Art. 3 lit. a DSG• Alle Angaben, die sich auf eine bestimmte oder bestimmbare
Person beziehen.– bestimmbar = Rückschluss ohne erheblichen Aufwand möglich– google street view
• Jegliche Information, unabhängig von der Form– schriftlich– mündlich– zufälliges Erfahren („etwas mitbekommen“)– etwas sehen
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 14
Begriffe – bes. schützenswerte Personendaten• Personendaten:
– Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
• bestimmbar = Rückschluss ohne erheblichen Aufwand möglich
• Art. 3 lit. c DSG • Daten über:
– die religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
– die Gesundheit, Intimsphäre oder Rassenzugehörigkeit– Massnahmen der sozialen Hilfe– administrative oder strafrechtliche Verfolgungen und Sanktionen
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 15
Begriffe – Persönlichkeitsprofil• Art. 3 lit. d DSG• Eine Zusammenstellung von Daten, die eine Beurteilung
wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.
• Beispiele:– Einkaufsgewohnheiten und Produktvorlieben gestützt auf Auswertung
COOP Supercard oder Migros CumulusCard– Reisegewohnheiten und Produktvorlieben gestützt auf Auswertung
Kreditkartenabrechnungen– Produktvorlieben gestützt auf Auswertung von
Zahlungsverkehrsinformationen– angelegte Akte über eine Person, einen Schüler etc.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 16
Begriffe – Datensammlung• Art. 3 lit. g DSG• Jeder Bestand von Personendaten, der so aufgebaut ist, dass
die Daten erschliessbar sind.• Beispiele:
• Systematisierung und Katalogisierung• Such- und Filterfunktionen• Index etc.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 17
Begriffe – bearbeiten• Art. 3 lit. e DSG• Bearbeiten:
– Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren
• Insbesondere:– Beschaffen– Einsicht gewähren– Weitergeben– Veröffentlichen– Zugänglich machen– Etc.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 18
Öffentliches Organ
Personendaten
Bearbeiten
hoheitliche Handlung
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 19
Grundsätze der Datenbearbeitung
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 20
Legalitätsprinzip• Art. 4 Abs. 1 & Art. 17 DSG• Rechtmässigkeit (Art. 17 Abs. 1 DSG)• Allgemein: Gesetzliche Grundlage
– Gesetz, Verordnung oder Weisung…– Ermächtigung– Einwilligung
• Besonders schützenswerte Personendaten / Persönlichkeits-profile (Art. 17 Abs. 2 DSG)– ausdrückliche Gesetzesgrundlage (Gesetz im formellen Sinn)– für eine in einem Gesetz vorgesehene Aufgabe unentbehrlich– Bewilligung durch Regierungsrat im Einzelfall (weil Rechte der
betroffenen Person nicht gefährdet)– Einwilligung / Daten allgemein zugänglich gemacht & Bearbeitung
nicht ausdrücklich untersagt
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 21
Verhältnismässigkeit• Art. 4 Abs. 2 DSG• Voraussetzungen
1. Geeignetheit2. Erforderlichkeit3. Verhältnismässigkeit i.e.S. (Interessenabwägung)
• Grundsätze:– Notwendigkeit– Datenvermeidung– Datensparsamkeit
• Problem:– Datenflut (vermehrter Einsatz von EDV)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 22
Verhältnismässigkeit – Zusammenfassung
1. Nur, wenn nötig-Brauche ich die Information?
2. Nur soviel, wie nötig-Was brauche ich?
3. Nur so lange, wie nötig-Wie lange brauche ich sie?
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 23
Korrektheit• Art. 5 Abs. 1 DSG• Wer Daten bearbeitet ist auch für deren Richtigkeit und
Aktualität sowie – entsprechend dem Zweck – für deren Vollständigkeit verantwortlich.
• Berichtigungs- und Unterlassungsanspruch (Art. 5 Abs. 2 DSG)• Beispiele:
– Aktualität Register der Datensammlungen– Aktualität Datensperren
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 24
Zweckbindungsgebot
• Art. 4 Abs. 3 DSG• Zweckbindung heisst: Daten dürfen nur bearbeitet werden,
wenn (alternativ):– Zweck gesetzlich vorgesehen ist;– Zweck bei der Beschaffung angegeben wurde;– Zweck aus den Umständen ersichtlich ist.
• Jede Datenbearbeitung verfolgt einen Zweck!• Gilt auch für den Datenaustausch zwischen den öffentlichen
Organen!– Art. 19 DSG (Bekanntgabe von Personendaten – Amtshilfe)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 25
Schutz der Daten (Art. 7 Abs. 1 DSG)
Technische Massnahmen• Türschlösser• Sicherheitstüren, Brandschutz-
türen, Sicherheitsglas• Abschliessbares Mobiliar• Live-Video, Alarmanlage• Aktuelle Virenschutzprogramme,
Firewall• Back-Ups• u.a.m.
Organisatorische Massnahmen• Schlüsselplan• Berechtigungskonzepte• Verschlüsselungen• Geheimhaltungserklärungen• Starke Passwörter, regelmässige
Passwortänderungen• Weisungen, Reglemente (insbes.
IT-Sicherheit)• Ausbildung, Sensibilsierung• Einsatzplan Reinigungspersonal• u.a.m.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 26
Bearbeitung von Personendaten
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 27
Personendaten beschaffen (Art. 4 ff. DSG)
• Allgemein– Rechtsgrundlage– Datenerhebung bei Dritten nur
ausnahmsweise (Vorschrift, besondere Gründe)
– Angabe des Zwecks auf Verlangen oder bei systematischer Erhebung
• Besonders schützenswerte Personendaten– Rechtsgrundlage– Datenerhebung bei Dritten nur
ausnahmsweise (Vorschrift, besondere Gründe)
– Angabe des Zwecks und der Datenempfänger grundsätzlich zwingend
• Informationspflichten
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 28
Beschaffung bei Dritten (Art. 7a DSG)• Beschaffung von besonders schützenswerten Personendaten:
Mitteilung, wenn die Daten bei Dritten beschafft wurden• Folgt aus Treu und Glauben• Information mindestens über:
– Inhaber/in der Datensammlung– Zweck der Bearbeitung– Datenempfänger/innen
• Ausnahmen (Art. 7a Abs. 4 DSG):– Information objektiv unmöglich– Information mit einem unverhältnismässigen Aufwand verbunden– Speicherung/Bekanntgabe ausdrücklich vorgesehen (Gesetz)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 29
• Einzelauskünfte (Art. 2 Abs. 1 ERV)– bestimmte Personendaten– an Organisation und Private
• Listenauskünfte durch EWK (Art. 2 Abs. 2 ERV)
• Datensperre (Art. 20 DSG)• Amtshilfe (Art. 19 DSG)• Abrufverfahren (Art. 19 Abs. 3 DSG)
– Beispiel: automatisierte Systeme– zulässig, wenn ausdrücklich vorgesehen– bei besonders schützenswerten Personen-
daten & Persönlichkeitsprofilen: ausdrückliche formelle Gesetzesgrundlage
• Veröffentlichung (Art. 19 Abs. 3bis DSG)• ins Ausland (Art. 6 DSG)
– Datenschutzstandard im Ausland?– wenn erfüllt, Garantien (Vertrag),
Einwilligung, Wahrung überwiegender Interessen, u.a.
Personendaten bekanntgeben
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 30
Grundsätze und Listenauskünfte• Einzelauskunft: Einwohnerkontrolle kann (Art. 2 Abs. 1 ERV)
• auf Anfrage hin• Name, Vorname, Geschlecht, Adresse, Beruf, Geburtsdatum, Heimatort,
Staatsangehörigkeit, Aufenthaltsart und Gültigkeitsdatum des Ausländerausweises sowie Wohnortsanmeldung und -abmeldung
• glaubhaft gemachtes berechtigtes Interesse
• Systematisch geordnete Bekanntgabe (Art. 2 Abs. 2 ERV)• nach bestimmten Gesichtspunkten• Kann-Vorschrift• schützenswerte ideelle Zwecke kommerzielle)
– ideell schützenswert !
• keine Weitergabe an Dritte
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 31
Beispiele Listenauskunft Wer/Zweck Beurteilung
Politische Parteien (Mitgliederwerbung)
PNOS
Vereine; Zugezogene, bestimmte Jahrgänge (Mitgliederwerbung)
pro senectute, pro infirmis (Spendenaufruf)
Lokaler Gewerbeverein (Werbung)
Felicitas (Geschenkköfferchen)
Verein Landdienst (neu: agriviva), Jugendliche gewinnenFahrschule (Geburtstagsgeschenk für 18-Jährige)
bfu (Versand von Tipps zur Unfallverhütung)
Bank (Kundengewinnung über die Adressen vermögender Personen)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 32
Datensperre (Art. 20 DSG)• Rechtsanspruch• Zuständigkeit?• Voraussetzung = schutzwürdiges Interesse
– glaubhaft machen ( beweisen)• Verweigerung oder Aufhebung
– Rechtspflicht zur Bekanntgabe– nachträglicher Wegfall des Interesses– überwiegendes öffentliches Interesse an Bekanntgabe– Erfüllung seiner (öff. Org.) Aufgabe wäre gefährdet
• Rechtliches Gehör:– Verweigerung oder Aufhebung nur nach Anhörung
• Aktualität:– periodische Überprüfung
• Gebührenfrei (eigene Rechte)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 33
Beispiele Datensperre – Interesse/n+ -
Tina Turner, Ottmar Hitzfeld (Schutz vor „Paparazzi“)
„Cervelatprominenz“ (lokale Persönlichkeiten; keine Belästigungsgefahr)
Schutz vor Nachstellungen (Kind, das vom Vater missbraucht wurde)
aus Haft Entlassene (eines medienwirksamen Delikts Start neues Leben)sehr vermögende Personen
Arbeit als Sicherheitspersonal (Bodyguard, Securitas, …)
Verhinderung Durchsetzung von Rechtsansprüchen (z.B. Unterhaltszahlungen, Schadenersatz)
Interesse nicht mehr aktuell (z.B. Tod eines Stalkers)
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 34
Amtshilfe (Art. 19 DSG)• kein beliebiger Datenaus-
tausch innerhalb der Verwaltung
• Begriff öffentliches Organ• Voraussetzungen:
– Rechtsgrundlage oder Ermächtigung
– Nachweis der Berechtigung durch den Empfänger
Ableitung aus gesetzlicher Aufgabe
– Einwilligung / allgemeines Zugänglichmachen
• Problem: Kleinstgemeinden
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 35
Amtshilfe II
• Lösungsansatz:– vorsichtige Formulierungen– Wahrung der Vertraulichkeit– Rollen- & Berechtigungskonzept– Praxistauglichkeit– trotzdem: keine Datenschutzvernachlässigung!
• kein beliebiger Informationsaustausch• Auffassung Bürger:
– darf davon ausgehen, dass mit seinen Personendaten korrekt umgegangen wird
– keine wahllose Streuung von Informationenzufälliges Treffen auf der Strasse…
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 36
Publikation• Gesetzliche Voraussetzungen:
– Gesetzliche Grundlage• Bsp.: Jagdpatentinhaber, Handelsregister, Grundbuch
– Allgemeines (öffentliches) Interesse und keine besonders schützenswerten Personendaten betroffen
– Einwilligung
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 37
Botschaft für Gemeindeversammlungen auf Internet
• Grundsätzlich zulässig• Problematik: Informationen Einbürgerungskandidaten
– Verhältnismässigkeitsprinzip• Homepage als Informationsmittel zulässig • Notwendigkeit von Fotos & Lebenslauf zur Entscheidfindung• nach Gemeindeversammlung nicht mehr notwendig
– Entfernung, weil Entscheid gefällt• „Verfalldatum“ vorsehen
– Information bleibt im Netz - Kontrolle praktisch unmöglich!• Weiterverbreitung (download, „copy/paste“)• Verlinkung• Publikation in sachfremdem Zusammenhang• Verunglimpfungen, Entstellungen, Fotomontagen etc.
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 38
Besondere Formen der Datenbearbeitung• Für nicht personenbezogene Zwecke (Art. 22 DSG)
– Forschung, Planung, Statistik– Anonymisierung Person nicht mehr bestimmbar
• mit verhältnismässigem Aufwand– Bearbeitung durch Dritte (Universität, Institut, Forschungseinrichtung)
• „Datenschutz-Revers“: als Absicherung
• Durch Dritte– „Datenschutz-Revers“
• Mit Überwachungsgeräten (Art. 7 kDSG)– Videoüberwachung
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 39
VideoüberwachungVideoüberwachung
Privater RaumPrivater RaumÖffentlicher RaumÖffentlicher Raum
BundBund Kantone & GemeindenKantone & Gemeinden
Eidg. Daten-schutzgesetz
Kant. Daten-schutzgesetz
Eidg. Datenschutzgesetz
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 40
Videoüberwachung (Art. 7 DSG)• Was?
– nur Öffentlich zugängliche Orte• Zu welchem Zweck?
– ausschliesslich zum Schutz von Personen und Sachen• Wer?
– öffentliches Organ, dem Benützungsrecht/Hoheit über Ort zusteht– Empfehlung: Entscheid Gemeinderat
• Wie?– Verhältnismässigkeit (Alternativen prüfen!)– Erkennbarkeit– Schutz der Daten– Regelung des Zugriffs und der Verantwortlichkeiten– Löschung spätestens nach 100 Tagen (oder: Weitergabe an Polizei)– vorgängige Information DSB
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 41
Beispiele Videoüberwachung Für öffentliche Organe relevant Für öffentliche Organe nicht relevant
Zweck = Schutz von Personen und Sachen auch zu anderen Zwecken (z.B. zur Straf-verfolgung)
Abfallsammelstellen private Gebäude (Ausnahme: Zweck)
Gebäude der Verwaltungen Arbeitsplatzüberwachung (bei Privat-unternehmungen)
Schulhäuser Tunnelüberwachung (Verkehrsfluss)
Öffentliche Parkhäuser Einkaufszentren (Geschäfte)
Öffentliche Plätze & Wege Videoüberwachung im Restaurant
Webcam zur Verfolgung Baufortschritt
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 42
• Art. 6 kDSG• Verhältnismässigkeitsprinzip:
– Datenbearbeitung nur so lange, wie notwendig
– Kriterien: ausdrückliche gesetzliche Vorschrift, Verjährungsfristen
– Vernichtungspflicht bei Personendaten, die nicht mehr benötigt werden
• Anbietepflicht gemäss Art. 5 VSA– Auch Personendaten und als geheim
klassifizierte Daten– Entscheid über die Archivwürdigkeit– Vernichtung nicht archivwürdig
bezeichneter Daten (Art. 6 Abs. 2 kDSG)• Ausnahmen möglich
• Sperrfrist 30/50 Jahre (Art. 9 f. VSA)
Personendaten archivieren/vernichten
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 43
Datensicherheit
Archivieren/
BeschaffenBekanntgeben/
Bearbeiten
Archivieren/Vernichten
Bekanntgeben/Bearbeiten
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 44
Verantwortung & Schutz• Art. 7 Abs. 1 DSG
– Schutz vor unbefugtem Bearbeiten– durch angemessene technische & organisatorische
Massnahmen – Berechtigungskonzept (Pflege!)
„Lehrlingszugriff“Mutationen/Rotationen periodisch abbilden
• Art. 16 Abs. 1 DSG– verantwortlich für Datenschutz = öffentliches Organ, das
Daten bearbeitet/bearbeiten lässt
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 45
IT-Sicherheitsmanagement
Strategische (politische)
Verantwortung
Operative
Verantwortung
Betriebliche
Verantwortung
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 46
Verschiedene Fragen
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 47
Zuständigkeit Datenbearbeitung (Art. 16 DSG)• öffentliches Organ, das Personendaten bearbeitet (Daten-
Inhaber):– verantwortlich für Einhaltung der Datenschutzbestimmungen– sorgt für den Schutz der Personendaten vor unbefugtem Zugriff
(Daten-/Informatiksicherheit)– entscheidet über Berichtigung, Beseitigung oder Unterlassung – erlässt ggf. Verfügungen
• keine Weisungsbefugnis des Öffentlichkeits- und Datenschutzbeauftragten
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 48
VerfahrenEinsichtsgesuch
Prüfung
Einsicht gewährt Einsicht verweigert
Keine Verfügung verlangt Verfügung
Beschwerdeverfahren
Rückfrage / Empfehlung DSB
Mitteilung an DSB
DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden
www.datenschutz-sz-ow-nw.ch 49
Register der Datensammlungen
• Führung der Datensammlungen• Verantwortung für Sicherheit,
Richtigkeit, Aktualität… der Daten• Entscheid über Inhalt
Erfassung der Rohdaten• Pflege der Datensammlungen• Auskunftserteilung und
Zugangsgewährung
• Führung des Registers der Datensammlungen
• Pflege des Registers• Verantwortung für Sicherheit,
Richtigkeit, Aktualität des Registers
Datensammlungen und Register
Gemeinde DSB