Schwerpunkt:

Best Practicefokus: Ist «Best Practice» gut genug?fokus: Zufallszahlen im Dienste der Sicherheit report: Zur Qualifikation von E-Mails als Urkunde

Herausgegeben von Bruno BaeriswylBeat Rudin Bernhard M. HämmerliRainer J. SchweizerGünter Karjoth

www.digma.info 13. Jahrgang, Heft 4, Dezember 2013

Schulthess Juristische Medien AG Zwingliplatz 2 8001 Zürich www.schulthess.com

Neu in 3. AuflageDas Standardwerk zum kantonalen öffentlichen Verfahrensrecht

Herausgeber

Prof. Dr. Alain Griffel

Autorin / Autoren

Dr. Martin Bertschi Dr. Marco Donatsch Prof. Dr. Alain Griffel Prof. Dr. Tobias Jaag Prof. Dr. Regina Kiener Dr. Kaspar Plüss

Die Umsetzung der Rechtsweggarantie ( Art. 29a BV ) erforderte eine

Anpassung der kantonalen Verwaltungsrechtspflegegesetze. Im

Kanton Zürich wurde das VRG 2010 tiefgreifend revidiert. Dies machte

eine vollständige Überarbeitung des bewährten Kommentars

« Kölz / Bosshart / Röhl » unumgänglich. Auch die 3., stark erweiterte

Auflage entspricht vollumfänglich den Bedürfnissen der Praxis

nach rascher, zuverlässiger und umfassender Information. Der Kom -

men tar richtet sich wie bisher an Anwältinnen / Anwälte, kommunale

und kantonale Behörden sowie Gerichte, die regelmässig oder

sporadisch mit Verwaltungs-, Rekurs- und Beschwerdeverfahren

zu tun haben. Noch stärker als bisher kann er auch in anderen

Kantonen zu Rate gezogen werden, weil die kantonalen Verfahrens -

rechtsordnungen heute aufgrund bundesrechtlicher Vorgaben

in vielen Punkten übereinstimmen.

Der Verlag zu Recht

Kommentar zum Verwaltungs-rechtspflegegesetz des Kantons Zürich (VRG)

3., vollständig überarbeitete Auflage

Alain Griffel (Hrsg.)

Erscheint im März 2014

ca. 1400 Seiten, gebunden ISBN 978-3-7255-5965-7 CHF 295.00

f o k u s

i n h a l t

d i g m a 2 0 1 3 . 41 2 6

Schwerpunkt:Best Practice

auftaktDemokratie verteidigen im digitalen Zeitalter!von Writers Against Mass Surveillance Seite 125

Best Practice: Wo sind die Grenzen?von Bernhard M. Hämmerli Seite 128

Ist «Best Practice» gut genug?von Hans-Peter Königs Seite 130

«Good Practice» in der Informationssicherheitvon Tom Schmidt/ Maurice Bollag Seite 136

Usability and Security of Today’s Passwordsvon Kirsi Helkala Seite 138

Föderiertes Identitäts- managementvon Andreas Spichiger Seite 144

Kryptografische Schlüssel- längenvon Tim Güneysu/Andy Rupp Seite 150

Zufallszahlen im Dienst der Sicherheitvon Pavol Svaba Seite 154

digma: Zeitschrift für Datenrecht und Informationssicherheit, ISSN: 1424-9944, Website: www.digma.info

Herausgeber: Dr. iur. Bruno Baeriswyl, Dr. iur. Beat Rudin, Prof. Dr. Bernhard M. Hämmerli, Prof. Dr. iur. Rainer J. Schweizer, Dr. Günter Karjoth

Redaktion: Dr. iur. Bruno Baeriswyl und Dr. iur. Beat Rudin

Rubrikenredaktorin: Dr. iur. Sandra Husi-Stämpfli

Zustelladresse: Redaktion digma, c/o Stiftung für Datenschutz und Informationssicherheit, Postfach 205, CH-4010 Basel Tel. +41 (0)61 201 16 42, redaktion@digma.info

Erscheinungsplan: jeweils im März, Juni, September und Dezember

Abonnementspreise: Jahresabo Schweiz: CHF 158.00, Jahresabo Ausland: Euro 131.00 (inkl. Versandspesen), Einzelheft: CHF 42.00

Anzeigenmarketing: Publicitas Publimag AG, Mürtschenstrasse 39, Postfach, CH-8010 Zürich Tel. +41 (0)44 250 31 31, Fax +41 (0)44 250 31 32, www.publimag.ch, service.zh@publimag.ch

Herstellung: Schulthess Juristische Medien AG, Arbenzstrasse 20, Postfach, CH-8034 Zürich

Verlag und Abonnementsverwaltung: Schulthess Juristische Medien AG, Zwingliplatz 2, Postfach, CH-8022 Zürich Tel. +41 (0)44 200 29 19, Fax +41 (0)44 200 29 08, www.schulthess.com, zs.verlag@schulthess.com

i m p r e s s u m

i n h a l t

«Best Practice» als die «beste Vorgehens-weise» im Vergleich mit anderen vorbild-lichen Organisationen oder Handlungs-weisen wird oft als Massstab für Organisa-tions-Anforderungen wie Sicherheit, Konti-nuität, Datenschutz, Qualität oder Um-weltverhalten herangezogen. Doch reicht «Best Practice»?

Ist «Best Practice» gut genug?

562 namhafte Schriftsteller(innen), dar-unter Umberto Eco, Günter Grass und Elfriede Jelinek und 19 Autor(innen) aus der Schweiz, protestieren am Internatio-nalen Tag der Menschenrechte gegen Massenüberwachung und fordern eine Internationale Konvention der digitalen Rechte.

Demokratie verteidigen im digitalen Zeitalter

Das Passwort ist tot, es lebe das Passwort! Passwörter sind nach wie vor die be-deutendste Authentisierungsmethode. Der Bericht zeigt anhand von zwei Studien aus Norwegen auf, unter welchen Voraus-setzungen diese Methode weiter verwendet werden kann.

Usability and Security of Today’s Passwords

Wann ist Kryptografie als sicher zu erach-ten? Die EU hat das Network of Excellence EUCrypt finanziert, um aktuelle und fun-dierte Aussagen für Europa zur Verfügung zu stellen. Der Artikel vermittelt die Grundlagen, um den Fachreport zu inter-pretieren.

Kryptografische Schlüssellängen

r e p o r t

d i g m a 2 0 1 3 . 4 1 2 7

Dublin-BesitzstandDie Propheten in der Wüste haben Recht!von Sandra Husi-Stämpfli Seite 160

RechtsprechungZur Qualifikation von E-Mails als Urkundevon Lorenz Aenis/ David Mühlemann Seite 164

r e p o r t

f o r u m

Der Dublin-Besitzstand wird weiterent-wickelt: In Eurodac verzeichnete Finger-abdrücke sollen neu auch für Strafer-mittlungen genutzt werden können. Diese Zweckänderung bzw. -erweiterung ist aus rechtstaatlicher Sicht ausgesprochen problematisch.

Die Propheten in der Wüste haben Recht!

r e p o r t

privatimAus den Datenschutzbehördenvon Sandra Husi-Stämpfli Seite 170

TechnikfolgenabschätzungÜberwachungstechnologie unter der Lupevon Christine D’Anna-Huber Seite 172

agenda Seite 173

TagungSwiss Cyber Storm Relaunchedvon Benjamin Fehrensen Seite 174

schlusstakt«Euch geht die Arbeit auch nicht aus!»von Beat Rudin Seite 176

cartoon von Reto Fontana

SurPRISE, finanziert durch das 7. EU- Forschungsrahmenprogramm, prüft auch, ob gewisse Massnahmen, wie etwa Privacy by Design oder juristische Vor-kehrungen, es erlauben könnten, Sicher-heit mit einem möglichst wirksamen Schutz der Privatsphäre zu vereinen. TA-SWISS führt dazu im März 2014 Diskussionen in der Schweiz durch.

Überwachungs-technologie unter der Lupe

Alle sind empört darüber, dass ihnen die NSA überall zuhört. Alle?

NSA hört mit

Eine Urkundenfälschung begeht, wer eine Urkunde herstellt, deren wirklicher Aussteller mit dem aus ihr ersichtlichen Urheber nicht übereinstimmt. Im Zeitalter der digitalen Kommunikation stellt sich die Frage, ob ein E-Mail eine Urkunde im Sinne des Urkundenstrafrechts darstellt. Die Autoren stellen die bundesgerichtliche Rechtsprechung dar.

Zur Qualifikation von E-Mails als Urkunde

Wer ist zur Datenschutzbeauftragten wiedergewählt worden? Wo wurde das Informations- und Datenschutzgesetz um eine Bestimmung zu Pilotversuchen ergänzt? Hier wird über Personelles und Aktuelles aus der Datenschutzszene berichtet.

Aus den Daten-schutzbehörden

f o r u m

d i g m a 2 0 1 3 . 41 7 0

p r i v a t im

Aus den Daten-schutzbehörden

Herzlich willkommen zu den letzten News aus den Datenschutzbehör-

den im Jahr 2013. All jenen, die uns mit Nachrichten aus ihrem Kanton oder ihrer Ge-meinde versorgt haben, ge-bührt ein grosses Dankeschön – wir hoffen, dass wir auch nächstes Jahr viele spannende Berichte aus den Kantonen drucken können.

Kanton Basel-Landschaft Am 28. November 2013

wurde Ursula Stucki vom Landrat des Kantons Basel-Landschaft für weitere vier Jahre als Datenschutzbeauf-tragte gewählt.

Kanton Basel-StadtDer Grosse Rat hat die in

digma 2013.3 präsentierte Ergänzung des Gesetzes vom 9. Juni 2010 über die Infor-mation und den Datenschutz1 um eine Bestimmung zur Verwendung von besonderen Personendaten bei Pilotversu-chen am 13. November 2013 verabschiedet2. Die Referen-dumsfrist läuft am 28. De-zember 2013 aus3.

Kanton Genfn Im Kanton Genf wurde eine weitere Studie zur Videoüber-wachung durchgeführt4. Die Studie beleuchtet mehrere Fragestellungen und Probleme gleichzeitig: die ungenügen-

den interkommunalen und interkantonalen Vergleiche be-züglich der Videoüberwachung, die mangelhaften Nachweise zur Wirksamkeit der Video-überwachung sowie die ethi-sche Sicht auf die Videoüber-wachung.

All diese Themenkomplexe sind durch eine Frage vereint: «Was siehst du dir an und wa-rum?» Die Autoren der Studie greifen diese Frage immer wie-der im jeweiligen Kontext auf. Sie richten den Fokus dabei auf vier Gemeinden, wobei zwei mit Problemen im Be-reich Vandalismus (v.a. soge-nanntes tagging) und zwei mit Problemen im Bereich Dro-genhandel zu kämpfen haben. Jeweils eine Gemeinde setzt grossflächige Videoüberwa-chung ein, die andere Gemein-de gibt sich bezüglich des Einsatzes von Videokameras eher zurückhaltend.

Die Autoren halten fest, dass die Bekämpfung der di-versen Probleme mittels einer Nachbarschaftspolizei wohl zielführender wäre als die Be-kämpfung der Effekte durch den Einsatz von Videoüberwa-chung. Es sei jedoch aufgrund der zahlreichen ebenfalls ge-troffenen Begleitmassnahmen schwierig, eine Kosten-Nut-zen-Rechnung zu erstellen.

Die Autoren der Studie kommen sodann im Rahmen der ethischen Beurteilung der Vi-

deoüberwachung zum Schluss, dass die Eingriffe in die Privat-sphäre nur dann möglichst ge-ring gehalten werden können, wenn im Vorfeld der Installa-tion ein breiter – und vor allem sachlich geführter – Diskurs in der Bevölkerung stattgefunden hat, welcher in einer klare Zweckumschreibung und aus rechtsstaatlicher Sicht genü-genden rechtlichen Grundla-gen resultiert. Nicht ausser Acht gelassen werden dürfen natürlich die Art der Überwa-chung (aktiv/passiv), die Qua-lität der Kameras und die even-tuelle Speicherdauer.

Die Autoren unterstrei-chen, dass eine kritische und sachliche Auseinandersetzung mit der Thematik essenziell sei – ethische Überlegungen gingen in der politischen Dis-kussion allzu oft unter und würden von Schlagworten übertrumpft.n La loi sur l’information du public, l’accès aux documents et la protection des données5 a été modifiée par le parle-ment en date du 20 septembre 2013. Elle porte, d’une part, sur un certain nombre d’adap-tations dues à l’entrée en vigueur de la nouvelle consti-tution cantonale (durée du mandat porté de 4 à 5 ans; rattachement au Département présidentiel) et, d’autre part, sur des modifications du sta-tut du préposé cantonal. C’est

Sandra Husi-Stämpfli, Dr. iur. LL.M., Stv. Daten-schutzbeauftragte des Kantons Basel-Stadt, Baselsandra.husi@ dsb.bs.ch

d i g m a 2 0 1 3 . 4 1 7 1

ainsi que la fonction de prépo-sé suppléant a été transformée en celle de préposé adjoint et que les nouveaux préposés pourront exercer une autre ac-tivité lucrative «pour autant qu’elle ne soit pas susceptible de nuire à son indépendance et à l’accomplissement de sa fonction». Enfin, la loi portant règlement du Grand Conseil de la République et canton de Genève6 a été complétée par l’introduction d’un nouvel ar-ticle sur l’élection du préposé cantonal et du préposé ad-joint. n L’élection du futur préposé et de son adjoint pour le 1er janvier 2014 est à l’ordre du jour de la séance du Grand Conseil du 28 novembre 2013. Les actuelles préposées, Isabelle Dubois et Anne Ca-therine Salberg, termineront leur mandat de 4 ans au 31 décembre 2013.

Kanton ZugDer Zuger Kantonsrat hat

am 31. Oktober 2013 eine Revision des Personalgeset-zes7 beschlossen. Neu wird im Personalgesetz das Whist-leblowing ausdrücklich gere-gelt – allerdings in nur einer Gesetzesbestimmung. Die neue Regelung in § 28bis hat die Überschrift «Meldung von Missständen» und lautet wie folgt:

«1 Stellen Mitarbeiterinnen und Mitarbeiter in Ausübung ihrer beruflichen Tätigkeit einen Missstand innerhalb der Organisation oder Institution fest, namentlich strafbare Handlungen oder anderweitige Unregelmässigkeiten, und ge-ben die vorgesetzten Stellen der Meldung keine Folge oder verweigern sie die Entbindung vom Amtsgeheimnis, können

die Mitarbeiterinnen oder Mit-arbeiter den Missstand einer Meldestelle anzeigen.

2 Wer unter den Vorausset-zungen nach Abs. 1 in Treu und Glauben einen Missstand meldet, verstösst nicht gegen die Sorgfalts- und Interessen-wahrungspflicht und darf des-wegen in der beruflichen Stel-lung nicht benachteiligt wer-den.

3 Die Mitarbeiterinnen oder Mitarbeiter verstossen gegen die Treuepflicht, wenn sie das Recht auf Meldung offensicht-lich missbrauchen.

4 Der Regierungsrat be-stimmt eine Meldestelle und regelt deren Aufgaben und Kompetenzen.»

Damit ist klargestellt, dass zuerst der Dienstweg einzuhal-ten und erst dann der Gang zur Meldestelle zulässig ist. Be-züglich der Meldestelle wäre es naheliegend gewesen, dass der Gesetzgeber die Zuger Ombudsstelle als Meldestelle bezeichnet hätte. Die Rege-lung dieser Frage wurde je-

doch dem Regierungsrat über-lassen.

Nicht ausdrücklich im Ge-setz geregelt sind etwa die folgenden Punkte: Welche An-forderungen sind an die Qua-lität der Meldung zu stellen? Kann die Meldung auch ano-nym erfolgen? Wird die Iden-tität des Whistleblowers ge-heim gehalten? Welches sind die (Verfahrens-)Rechte der beschuldigten Person? Nach-dem diese Fragen nicht aus-drücklich im Personalgesetz geregelt sind, kommen die entsprechenden allgemeinen Gesetze zur Anwendung, ins-besondere das Datenschutzge-setz8 und das Verwaltungs-rechtspflegegesetz9.

privatimDie Homepage von priva-

tim ist nun wieder online und bietet Zugriff auf Vernehmlas-sungsantworten, Merkblätter und Resolutionen der Vereini-gung der schweizerischen Da-tenschutzbeauftragten: www.privatim.ch. n

F u s s n o t e n

1 IDG, SG 153.260.2 Sämtliche Dokumente zu diesem Geschäft finden sich unter <http://www.grosserrat.bs.ch/de/

geschaefte-dokumente/datenbank?such_kategorie=1&content_detail=200105902> (zuletzt be-sucht am 2. Dezember 2013).

3 Kantonsblatt des Kantons Basel-Stadt vom 16. Dezember 2013.4 Die Studie ist abrufbar unter <http://www.ge.ch/ppdt/doc/documentations/Etude-universitaire-

videosurveillance.pdf> (zuletzt besucht am 2. Dezember 2013).5 LIPAD, rs-GE A2 08.6 LRGC, rs-GE B 1 01.7 Gesetz vom 1. September 1994 über das Arbeitsverhältnis des Staatspersonals, BGS 154.21.8 Datenschutzgesetz vom 28. September 2000, BGS 157.1.9 Gesetz vom 1. April 1976 über den Rechtsschutz in Verwaltungssachen, BGS 162.1.

Meine Bestellung

q 1 Jahresabonnement digma (4 Hefte des laufenden Jahrgangs) à CHF 158.00 bzw. bei Zustellung ins Ausland EUR 131.00 (inkl. Versandkosten)

Name Vorname

Firma

Strasse

PLZ Ort Land

Datum Unterschrift

Bitte senden Sie Ihre Bestellung an:Schulthess Juristische Medien AG, Zwingliplatz 2, CH-8022 ZürichTelefon +41 44 200 29 19 Telefax +41 44 200 29 18E-Mail: zs.verlag@schulthess.comHomepage: www.schulthess.com

www.digma.info erscheint vierteljährlich

d i g m aZe itsc h r i f t f ü r Da te n rech t u nd I n fo rma t i o n ss i che r he i t