stabsstelle für datenschutz datenschutz bei unternehmen dr. philipp mittelberger
TRANSCRIPT
Stabsstelle für Datenschutz
Datenschutz bei Datenschutz bei UnternehmenUnternehmen
Dr. Philipp MittelbergerDr. Philipp Mittelberger
2Stabsstelle für Datenschutz22. März 2004
InhaltInhalt
Was ist Datenschutz?Was ist Datenschutz?GrundlagenGrundlagen
Datenarten und DefinitionenDatenarten und Definitionen
Wo greift das DSG nicht?Wo greift das DSG nicht?
Grundsätze des DatenschutzesGrundsätze des Datenschutzes
Bearbeiten von DatenBearbeiten von Daten
Sicherheit Sicherheit
Strafbestimmungen und RechtswegStrafbestimmungen und Rechtsweg
Was ist zu tun?Was ist zu tun?Fristen für Inhaber von SammlungenFristen für Inhaber von Sammlungen
Massnahmen für private PersonenMassnahmen für private Personen
3Stabsstelle für Datenschutz22. März 2004
InhaltInhalt
Aktivitäten und Aufgaben des DSBAktivitäten und Aufgaben des DSBAllgemeine Tätigkeiten und Jahresplan Allgemeine Tätigkeiten und Jahresplan
Stellungnahmen aktuellStellungnahmen aktuell
KontaktKontakt
4Stabsstelle für Datenschutz22. März 2004
Was ist Datenschutz?Was ist Datenschutz?
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
Datenschutz bedeutetDatenschutz bedeutet
„„Recht auf informationelle Recht auf informationelle Selbstbestimmung“Selbstbestimmung“
„„Recht auf die eigenen Daten“Recht auf die eigenen Daten“
5Stabsstelle für Datenschutz22. März 2004
GrundlagenGrundlagen
Datenschutzrichtlinien für die Dienststellen Datenschutzrichtlinien für die Dienststellen der Landesverwaltungder Landesverwaltung
Rechtsprechung des Europäischen Rechtsprechung des Europäischen Gerichtshofes für MenschenrechteGerichtshofes für Menschenrechte
Richtlinie 95/46/EGRichtlinie 95/46/EG
DSG und DSVDSG und DSV
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
6Stabsstelle für Datenschutz22. März 2004
Datenarten Datenarten
Daten ohne PersonenbezugDaten ohne PersonenbezugBsp. Beschreibung technischer GeräteBsp. Beschreibung technischer Geräte
Allgemeine PersonendatenAllgemeine PersonendatenBsp. Adresslisten Bsp. Adresslisten
„„Besonders schützenswerte Besonders schützenswerte Personendaten“ (BsD)Personendaten“ (BsD)
Daten über die religiösen, weltanschaulichen und Daten über die religiösen, weltanschaulichen und politischen Ansichten oder Tätigkeiten, die politischen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Hilfe, administrative oder strafrechtliche Verfolgungen und SanktionenVerfolgungen und SanktionenKeine BsD: Vermögensverhältnisse Keine BsD: Vermögensverhältnisse
„„Persönlichkeitsprofil“ (PF)Persönlichkeitsprofil“ (PF)Zusammenstellung von Daten, die eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Persönlichkeit einer natürlichen Person erlaubt (Elemente: Menge, Inhalt, längerer Zeitraum)(Elemente: Menge, Inhalt, längerer Zeitraum)
Bsp. PersonaldossiersBsp. Personaldossiers
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
7Stabsstelle für Datenschutz22. März 2004
DefinitionenDefinitionen
„„Personendaten“:Personendaten“:Angaben, die sich auf eine bestimmte oder Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehenbestimmbare Person beziehen
„„Private Personen“Private Personen“natürliche natürliche und und juristische Personen sowie juristische Personen sowie rechtsfähige Personengesellschaften, die dem rechtsfähige Personengesellschaften, die dem Privatrecht unterstehenPrivatrecht unterstehen
„„Inhaber der Datensammlung“Inhaber der Datensammlung“private Person oder Behörden, die über den Zweck private Person oder Behörden, die über den Zweck und den Inhalt einer Datensammlung entscheidenund den Inhalt einer Datensammlung entscheiden
„„Datensammlung“Datensammlung“Bestand von Personendaten, der so aufgebaut ist, Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen dass die Daten nach betroffenen Personen erschliessbar sinderschliessbar sind
„„Bearbeiten“Bearbeiten“Jeder Umgang mit Daten, wie das Beschaffen, Jeder Umgang mit Daten, wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder VernichtenBekanntgeben, Archivieren oder Vernichten
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
8Stabsstelle für Datenschutz22. März 2004
Wo greift das DSG nicht?Wo greift das DSG nicht?
Beispiele:Beispiele:
Personendaten zum persönlichen GebrauchPersonendaten zum persönlichen Gebrauch
Hängige Zivil-, Straf- und Rechtshilfe- sowie Hängige Zivil-, Straf- und Rechtshilfe- sowie Verwaltungsbeschwerdeverfahren sowie Verwaltungsbeschwerdeverfahren sowie Verfahren vor dem StGHVerfahren vor dem StGH
öffentliche Register des Privatrechtsverkehrsöffentliche Register des Privatrechtsverkehrs
Personendaten, welche aufgrund des Personendaten, welche aufgrund des Sorgfaltspflichtgesetzes anzulegen sind.Sorgfaltspflichtgesetzes anzulegen sind.
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
9Stabsstelle für Datenschutz22. März 2004
Grundsätze des DatenschutzesGrundsätze des Datenschutzes
Rechtmässige Beschaffung und Rechtmässige Beschaffung und Bearbeitung der DatenBearbeitung der Daten
Verhältnismässigkeit Verhältnismässigkeit Geeignetheit und ErforderlichkeitGeeignetheit und Erforderlichkeit
Treu und GlaubenTreu und Glauben
ZweckgebundenheitZweckgebundenheit
RichtigkeitRichtigkeit
DatenbekanntgabeDatenbekanntgabe
Datenvernichtung und AnonymisierungDatenvernichtung und Anonymisierung
SicherheitSicherheit
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
10Stabsstelle für Datenschutz22. März 2004
Grundsätze des DatenschutzesGrundsätze des Datenschutzes
Datenbearbeitung im AuftragDatenbearbeitung im AuftragAuftraggeber und Dritter haben selbe Rechte und Pflichten Auftraggeber und Dritter haben selbe Rechte und Pflichten
Datenbekanntgabe ins AuslandDatenbekanntgabe ins AuslandVorherige Meldepflicht, wenn für Bekanntgabe keine Vorherige Meldepflicht, wenn für Bekanntgabe keine gesetzliche Pflicht besteht und die betroffenen Personen gesetzliche Pflicht besteht und die betroffenen Personen davon keine Kenntnis habendavon keine Kenntnis habenKeine Gleichwertigkeit des Datenschutzes: keine Keine Gleichwertigkeit des Datenschutzes: keine Bekanntgabe ins Ausland ausser im Falle vonBekanntgabe ins Ausland ausser im Falle von
Verbindlichen unternehmensinternen RichtlinienVerbindlichen unternehmensinternen RichtlinienStandardvertragsklauselnStandardvertragsklauselnAbkommen des „Sicheren Hafens“Abkommen des „Sicheren Hafens“
Multinationale Unternehmen/UnternehmensgruppenMultinationale Unternehmen/UnternehmensgruppenGlobale Anmeldung wenn Datenbekanntgabe zu Globale Anmeldung wenn Datenbekanntgabe zu selbem Zweckselbem Zweck
AuskunftsrechtAuskunftsrechtRegistrierungRegistrierung
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
11Stabsstelle für Datenschutz22. März 2004
Bearbeiten von DatenBearbeiten von Daten
Nur wenn Persönlichkeit der Betroffenen Nur wenn Persönlichkeit der Betroffenen nicht widerrechtlich verletzt wirdnicht widerrechtlich verletzt wird
Notwendigkeit eines Notwendigkeit eines Rechtfertigungsgrundes für Bearbeitung Rechtfertigungsgrundes für Bearbeitung
Bei PersonendatenBei PersonendatenEinwilligung des VerletztenEinwilligung des Verletzten
Überwiegendes privates oder öffentliches InteresseÜberwiegendes privates oder öffentliches Interesse
Ein GesetzEin Gesetz
Bei BsD und PFBei BsD und PFAusdrückliche Bestimmung in GesetzAusdrückliche Bestimmung in Gesetz
Unentbehrlichkeit für eine klar umschriebene Unentbehrlichkeit für eine klar umschriebene gesetzliche Aufgabegesetzliche Aufgabe
Einwilligung oder Allgemeinzugänglichkeit der Daten Einwilligung oder Allgemeinzugänglichkeit der Daten durch betroffene Persondurch betroffene Person
etcetc
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenRechtfertigungs-gründeSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenRegistrierungspflicht für private PersonenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
12Stabsstelle für Datenschutz22. März 2004
SicherheitSicherheit
Allgemeine und besondere Allgemeine und besondere Massnahmen bezüglich Vertraulichkeit, Massnahmen bezüglich Vertraulichkeit, Verfügbarkeit und Richtigkeit der Verfügbarkeit und Richtigkeit der DatenDaten
Insbesondere Schutz gegen unbefugte oder Insbesondere Schutz gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, zufällige Vernichtung, zufälligen Verlust, technische Fehler, Fälschung, unbefugtes technische Fehler, Fälschung, unbefugtes Ändern usw.Ändern usw.
Eventuell ProtokollierungEventuell Protokollierung
BearbeitungsreglementBearbeitungsreglement
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenRechtfertigungs-gründeSicherheit
Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenRegistrierungspflicht für private PersonenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
13Stabsstelle für Datenschutz22. März 2004
Strafbestimmungen und Strafbestimmungen und RechtswegRechtsweg
StrafbestimmungenStrafbestimmungenUnbefugte Unbefugte BeschaffungBeschaffung besonders schützenswerter besonders schützenswerter Personendaten, die nicht frei zugänglich sind.Personendaten, die nicht frei zugänglich sind.
Vorsätzliche falsche oder unvollständige Vorsätzliche falsche oder unvollständige AuskunfterteilungAuskunfterteilung bei Verletzung von Art. 11 bis 13. bei Verletzung von Art. 11 bis 13.
Vorsätzliche Vorsätzliche NichtmeldungNichtmeldung von Datensammlungen; Falsche von Datensammlungen; Falsche Auskunfterteilung oder Verweigerung der Mitwirkung durch Auskunfterteilung oder Verweigerung der Mitwirkung durch private Person gegenüber DSB bei der Abklärung eines private Person gegenüber DSB bei der Abklärung eines Sachverhaltes (Art. 30)Sachverhaltes (Art. 30)
Unbefugtes Unbefugtes Bekannt gebenBekannt geben geheimer, BsD oder von PF geheimer, BsD oder von PF auch nach Beendigung der Berufsausübung oder der auch nach Beendigung der Berufsausübung oder der Ausbildung.Ausbildung.
RechtswegRechtswegBei Bearbeitung durch private Personen Verfahren nach Bei Bearbeitung durch private Personen Verfahren nach PGR, bei Bearbeitung durch Behörden Anspruch auf PGR, bei Bearbeitung durch Behörden Anspruch auf Unterlassung / Beseitigung / Feststellung und Verfahren Unterlassung / Beseitigung / Feststellung und Verfahren nach LGVnach LGV
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenRechtfertigungs-gründeSicherheitStrafbestimmungen und RechtswegFristen für Inhaber von SammlungenRegistrierungspflicht für private PersonenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
14Stabsstelle für Datenschutz22. März 2004
Was ist zu tun?Was ist zu tun?
15Stabsstelle für Datenschutz22. März 2004
Fristen für Inhaber von Fristen für Inhaber von SammlungenSammlungen
Treffen der Treffen der Vorkehrungen für Vorkehrungen für Auskunftsrecht Auskunftsrecht bisbis 31. 31. Juli 2003Juli 2003Registrierungspflicht:
bei regelmässiger Bearbeitung von BsD oder PF oder bei Bekanntgabe von Personendaten an Dritte, wenn für das Bearbeiten keine gesetzliche Pflicht besteht und die betroffenen Personen davon keine Kenntnis haben.
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheitStrafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
16Stabsstelle für Datenschutz22. März 2004
Massnahmen für private Massnahmen für private PersonenPersonen
Treffen der allgemeinen und der Treffen der allgemeinen und der besonderen Massnahmen zu besonderen Massnahmen zu Sicherheit und TechnikSicherheit und Technik
Protokollierung und Protokollierung und Bearbeitungsreglemente Bearbeitungsreglemente
Mitarbeiter informieren und schulenMitarbeiter informieren und schulenAngebot des DSB nutzenAngebot des DSB nutzen
Webseite der Stabsstelle für Datenschutz:Webseite der Stabsstelle für Datenschutz:www.sds.llv.liwww.sds.llv.li
„„Das liechtensteinische Datenschutzgesetz – eine Das liechtensteinische Datenschutzgesetz – eine Einführung“: erschienen in LJZ, Juni 2003 abrufbar Einführung“: erschienen in LJZ, Juni 2003 abrufbar unter: unter: http://www.llv.li/pdf-llv-sds-ljz-abhandlung.pdfhttp://www.llv.li/pdf-llv-sds-ljz-abhandlung.pdf
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
17Stabsstelle für Datenschutz22. März 2004
Aktivitäten der SDSAktivitäten der SDS
Aufsicht über Behörden und
Abklärungen im Privatrechtsbereich
Beratung
Berichterstattung an die Regierung und die Öffentlichkeit
Aufgaben des DSBAufgaben des DSB
19Stabsstelle für Datenschutz22. März 2004
Allgemeine Tätigkeiten und Allgemeine Tätigkeiten und Jahresplan 2004Jahresplan 2004
Unterstützung und BeratungUnterstützung und Beratung
Schulung von Behörden und PrivatenSchulung von Behörden und Privaten
InformationInformation
Aufbau und Veröffentlichung des Aufbau und Veröffentlichung des RegistersRegisters
AufsichtAufsicht
GrundlagenDatenarten und DefinitionenWo greift das DSG nicht?Grundsätze des DatenschutzesBearbeiten von DatenSicherheit Strafbestimmungen und RechtswegFristen für Inhaber von SammlungenMassnahmen für private PersonenAllgemeine Tätigkeiten und Jahresplan Stellungnahmen aktuellKontakt
Stellungnahmen aktuellStellungnahmen aktuell
Bisherige Bisherige Stellungnahmen Stellungnahmen (Stand 31.12.2003)(Stand 31.12.2003)Total 243 Anfragen, 100 aus der Landesverwaltung, 61 betrafen Datenbekanntgabe
Beispiele:Beispiele:Videoüberwachung,Überwachung des Arbeitnehmers am Arbeitsplatz (Telefon, Internet, Email), Adresshandel
8
3
40
59
13
10
3
1021
17
10
20
25
2 2
0
10
20
30
40
50
60
70
80
90
100
Privatp
ers
onen
Landesverw
altu
ng u
nd
Behörd
en
Gem
ein
den
Vere
ine, V
erb
ände
Anw
alts
büro
s
Industr
ie, G
ew
erb
e,
Die
nstle
istu
ngen
Medie
n
Inte
rnatio
nale
s (
ES
A, A
rt.
29 W
P, E
R, B
ots
chaften)
Tele
com
schriftlich
telefonisch
21Stabsstelle für Datenschutz22. März 2004
KontaktKontakt
Adresse: Stabsstelle für Datenschutz Herrengasse 6 9490 Vaduz Fürstentum Liechtenstein
Zentrale Telefonnummer: (+423) 236 60 90 Zentrale Faxnummer: (+423) 236 60 99
E-Mail: [email protected]
Leitung: Stabsstellenleiter: Dr. Philipp Mittelberger (+423) 236 60 91