Grundschulung Datenschutz Obwalden · 2011-12-02 · DATENSCHUTZBEAUFTRAGTER Schwyz · Obwalden ·...

DATENSCHUTZBEAUFTRAGTERSchwyz · Obwalden · Nidwalden

www.datenschutz-sz-ow-nw.ch 1

Grundschulung Datenschutz Obwalden



Ziele• Aufgabe und Organisation des Datenschutzbeauftragten

bekannt• Wesentliche Grundsätze des Datenschutzes bekannt• Bezug und Zusammenhang zu anderen Regelungen wie z.B.

zur Verordnung über das Einwohnerregister erkannt• Gestellte Fragen beantwortet



Organisation und Stellung

• Organisation– 250 Stellenprozente– Standort: Gotthardstr. 21, Oberarth– administrativ angegliedert bei SK OW

• Stellung– Kantonales und kommunales Kontrollorgan im Sinne des

Bundesgesetzes über den Datenschutz– Verwaltungsunabhängig– Gewählt für Amtsperiode– Eigenes Budget– Kann von Amtes wegen tätig werden– Untersteht dem Amtsgeheimnis



Aufgaben

• Überwachung der Anwendung der Vorschriften über den Datenschutz

• Kontrolle & Führung des Registers der Datensammlungen

• Beratung und Unterstützung von Verwaltungen & Privaten

• Vermittlung zw. Organen & Betroffenen• Mitwirkung bei der Gesetzgebung• Information• Rechenschaftsablage



Rechtsgrundlagen und Abgrenzungen



Rechtsgrundlagen• Bund

– Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)– Bundesgesetz über die Archivierung (Archivierungsgesetz, BGA)– Art. 28 Zivilgesetzbuch– zahlreiche andere Bundesgesetze (StGB, SVG, StG, etc.)

• Kanton– Kantonsverfassung– Gesetz über den Datenschutz (kDSG)

• Art. 2 Abs. 1: Generalverweis auf das DSG– Verordnung über das Einwohnerregister (ERV)– Verordnung über das Staatsarchiv (VSA)– Kantonales Steuergesetz– Weitere



Verhältnis zu anderen Rechtsgrundlagen

DatenschutzrechtDatenschutzrecht

Formelles

Datenschutz-

recht

Materielles

Datenschutz-

recht

Grund-

lagenVerfassungs-bestimmungen

Schutz der Privatsphäre

Datenschutzgesetze (Bund / Kanton)-- Grundsätze-- Zuständigkeiten & Verfahren-- Aufsicht

Fachgesetze Bund / Kanton (Steuergesetz, Sozialhilfegesetz,Polizeigesetz, AHV-Gesetz, etc.)-- Geheimhaltungspflichten-- Datenbearbeitung-- Amtshilfe



Abgrenzungen

•Bundesorgane unter sich•Bundesorgane natürlichePersonen

•Bundesorgane juristische Personen

•natürliche Personen unter sich•juristische Personen unter sich

•kant. öffentliche Organe unter sich

•kant. öffentliche Organe juristische Personen

•kant. öffentliche Organe natürliche Personen



Geltungsbereich kDSG• Geltungsbereich (Art. 1 kDSG):

– kantonale & kommunale Behörden & Amtsstellen– andere öffentlich-rechtliche Körperschaften, Anstalten und Personen– soweit sie hoheitlich handeln (öffentliche Aufgaben erfüllen)



«Hoheitliche Handlung»

Hoheitlich• Baubewilligung• Steuerveranlagung• Vollstreckungsverfügung• Datensperre• Fahrzeugprüfung• Patenterteilung• Sozialhilfegewährung• Abfallentsorgung (öfftl. Raum)• etc.

Nicht hoheitlich• Verkauf von SBB-Tageskarten• Verkauf von Karten und

Broschüren• Verkauf von

Energiesparlampen• Verkauf verbilligter

Saisonabonnemente• etc.



Geltungsbereich kDSG• Geltungsbereich (Art. 1 Abs. 2 kDSG):

– kantonale & kommunale Behörden & Amtsstellen– Andere öffentlich-rechtliche Körperschaften, Anstalten und Personen– soweit sie hoheitlich handeln (öffentliche Aufgaben erfüllen)

• Ausnahmen (Art. 1 Abs. 3 kDSG):– privatrechtlich handelnde öffentliche Organe– hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege– Geschäfte des Kantonsrats und seiner Kommissionen– öffentliche Register des Privatrechtsverkehrs– verwaltungsinterne Arbeitsmittel für den persönlichen Gebrauch



Begriffe – Öffentliches Organ• Art. 3 lit. h DSG• Öffentliche Organe:

– Behörden und Dienststellen aller Ebenen (Kanton, Gemeinden)– Personen, soweit sie mit öffentlichen Aufgaben betraut sind



Begriffe - Personendaten• Art. 3 lit. a DSG• Alle Angaben, die sich auf eine bestimmte oder bestimmbare

Person beziehen.– bestimmbar = Rückschluss ohne erheblichen Aufwand möglich– google street view

• Jegliche Information, unabhängig von der Form– schriftlich– mündlich– zufälliges Erfahren („etwas mitbekommen“)– etwas sehen



Begriffe – bes. schützenswerte Personendaten• Personendaten:

– Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.

• bestimmbar = Rückschluss ohne erheblichen Aufwand möglich

• Art. 3 lit. c DSG • Daten über:

– die religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten

– die Gesundheit, Intimsphäre oder Rassenzugehörigkeit– Massnahmen der sozialen Hilfe– administrative oder strafrechtliche Verfolgungen und Sanktionen



Begriffe – Persönlichkeitsprofil• Art. 3 lit. d DSG• Eine Zusammenstellung von Daten, die eine Beurteilung

wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

• Beispiele:– Einkaufsgewohnheiten und Produktvorlieben gestützt auf Auswertung

COOP Supercard oder Migros CumulusCard– Reisegewohnheiten und Produktvorlieben gestützt auf Auswertung

Kreditkartenabrechnungen– Produktvorlieben gestützt auf Auswertung von

Zahlungsverkehrsinformationen– angelegte Akte über eine Person, einen Schüler etc.



Begriffe – Datensammlung• Art. 3 lit. g DSG• Jeder Bestand von Personendaten, der so aufgebaut ist, dass

die Daten erschliessbar sind.• Beispiele:

• Systematisierung und Katalogisierung• Such- und Filterfunktionen• Index etc.



Begriffe – bearbeiten• Art. 3 lit. e DSG• Bearbeiten:

– Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren

• Insbesondere:– Beschaffen– Einsicht gewähren– Weitergeben– Veröffentlichen– Zugänglich machen– Etc.



Öffentliches Organ

Personendaten

Bearbeiten

hoheitliche Handlung



Grundsätze der Datenbearbeitung



Legalitätsprinzip• Art. 4 Abs. 1 & Art. 17 DSG• Rechtmässigkeit (Art. 17 Abs. 1 DSG)• Allgemein: Gesetzliche Grundlage

– Gesetz, Verordnung oder Weisung…– Ermächtigung– Einwilligung

• Besonders schützenswerte Personendaten / Persönlichkeits-profile (Art. 17 Abs. 2 DSG)– ausdrückliche Gesetzesgrundlage (Gesetz im formellen Sinn)– für eine in einem Gesetz vorgesehene Aufgabe unentbehrlich– Bewilligung durch Regierungsrat im Einzelfall (weil Rechte der

betroffenen Person nicht gefährdet)– Einwilligung / Daten allgemein zugänglich gemacht & Bearbeitung

nicht ausdrücklich untersagt



Verhältnismässigkeit• Art. 4 Abs. 2 DSG• Voraussetzungen

1. Geeignetheit2. Erforderlichkeit3. Verhältnismässigkeit i.e.S. (Interessenabwägung)

• Grundsätze:– Notwendigkeit– Datenvermeidung– Datensparsamkeit

• Problem:– Datenflut (vermehrter Einsatz von EDV)



Verhältnismässigkeit – Zusammenfassung

1. Nur, wenn nötig-Brauche ich die Information?

2. Nur soviel, wie nötig-Was brauche ich?

3. Nur so lange, wie nötig-Wie lange brauche ich sie?



Korrektheit• Art. 5 Abs. 1 DSG• Wer Daten bearbeitet ist auch für deren Richtigkeit und

Aktualität sowie – entsprechend dem Zweck – für deren Vollständigkeit verantwortlich.

• Berichtigungs- und Unterlassungsanspruch (Art. 5 Abs. 2 DSG)• Beispiele:

– Aktualität Register der Datensammlungen– Aktualität Datensperren



Zweckbindungsgebot

• Art. 4 Abs. 3 DSG• Zweckbindung heisst: Daten dürfen nur bearbeitet werden,

wenn (alternativ):– Zweck gesetzlich vorgesehen ist;– Zweck bei der Beschaffung angegeben wurde;– Zweck aus den Umständen ersichtlich ist.

• Jede Datenbearbeitung verfolgt einen Zweck!• Gilt auch für den Datenaustausch zwischen den öffentlichen

Organen!– Art. 19 DSG (Bekanntgabe von Personendaten – Amtshilfe)



Schutz der Daten (Art. 7 Abs. 1 DSG)

Technische Massnahmen• Türschlösser• Sicherheitstüren, Brandschutz-

türen, Sicherheitsglas• Abschliessbares Mobiliar• Live-Video, Alarmanlage• Aktuelle Virenschutzprogramme,

Firewall• Back-Ups• u.a.m.

Organisatorische Massnahmen• Schlüsselplan• Berechtigungskonzepte• Verschlüsselungen• Geheimhaltungserklärungen• Starke Passwörter, regelmässige

Passwortänderungen• Weisungen, Reglemente (insbes.

IT-Sicherheit)• Ausbildung, Sensibilsierung• Einsatzplan Reinigungspersonal• u.a.m.



Bearbeitung von Personendaten



Personendaten beschaffen (Art. 4 ff. DSG)

• Allgemein– Rechtsgrundlage– Datenerhebung bei Dritten nur

ausnahmsweise (Vorschrift, besondere Gründe)

– Angabe des Zwecks auf Verlangen oder bei systematischer Erhebung

• Besonders schützenswerte Personendaten– Rechtsgrundlage– Datenerhebung bei Dritten nur

ausnahmsweise (Vorschrift, besondere Gründe)

– Angabe des Zwecks und der Datenempfänger grundsätzlich zwingend

• Informationspflichten



Beschaffung bei Dritten (Art. 7a DSG)• Beschaffung von besonders schützenswerten Personendaten:

Mitteilung, wenn die Daten bei Dritten beschafft wurden• Folgt aus Treu und Glauben• Information mindestens über:

– Inhaber/in der Datensammlung– Zweck der Bearbeitung– Datenempfänger/innen

• Ausnahmen (Art. 7a Abs. 4 DSG):– Information objektiv unmöglich– Information mit einem unverhältnismässigen Aufwand verbunden– Speicherung/Bekanntgabe ausdrücklich vorgesehen (Gesetz)



• Einzelauskünfte (Art. 2 Abs. 1 ERV)– bestimmte Personendaten– an Organisation und Private

• Listenauskünfte durch EWK (Art. 2 Abs. 2 ERV)

• Datensperre (Art. 20 DSG)• Amtshilfe (Art. 19 DSG)• Abrufverfahren (Art. 19 Abs. 3 DSG)

– Beispiel: automatisierte Systeme– zulässig, wenn ausdrücklich vorgesehen– bei besonders schützenswerten Personen-

daten & Persönlichkeitsprofilen: ausdrückliche formelle Gesetzesgrundlage

• Veröffentlichung (Art. 19 Abs. 3bis DSG)• ins Ausland (Art. 6 DSG)

– Datenschutzstandard im Ausland?– wenn erfüllt, Garantien (Vertrag),

Einwilligung, Wahrung überwiegender Interessen, u.a.

Personendaten bekanntgeben



Grundsätze und Listenauskünfte• Einzelauskunft: Einwohnerkontrolle kann (Art. 2 Abs. 1 ERV)

• auf Anfrage hin• Name, Vorname, Geschlecht, Adresse, Beruf, Geburtsdatum, Heimatort,

Staatsangehörigkeit, Aufenthaltsart und Gültigkeitsdatum des Ausländerausweises sowie Wohnortsanmeldung und -abmeldung

• glaubhaft gemachtes berechtigtes Interesse

• Systematisch geordnete Bekanntgabe (Art. 2 Abs. 2 ERV)• nach bestimmten Gesichtspunkten• Kann-Vorschrift• schützenswerte ideelle Zwecke kommerzielle)

– ideell schützenswert !

• keine Weitergabe an Dritte



Beispiele Listenauskunft Wer/Zweck Beurteilung

Politische Parteien (Mitgliederwerbung)

PNOS

Vereine; Zugezogene, bestimmte Jahrgänge (Mitgliederwerbung)

pro senectute, pro infirmis (Spendenaufruf)

Lokaler Gewerbeverein (Werbung)

Felicitas (Geschenkköfferchen)

Verein Landdienst (neu: agriviva), Jugendliche gewinnenFahrschule (Geburtstagsgeschenk für 18-Jährige)

bfu (Versand von Tipps zur Unfallverhütung)

Bank (Kundengewinnung über die Adressen vermögender Personen)



Datensperre (Art. 20 DSG)• Rechtsanspruch• Zuständigkeit?• Voraussetzung = schutzwürdiges Interesse

– glaubhaft machen ( beweisen)• Verweigerung oder Aufhebung

– Rechtspflicht zur Bekanntgabe– nachträglicher Wegfall des Interesses– überwiegendes öffentliches Interesse an Bekanntgabe– Erfüllung seiner (öff. Org.) Aufgabe wäre gefährdet

• Rechtliches Gehör:– Verweigerung oder Aufhebung nur nach Anhörung

• Aktualität:– periodische Überprüfung

• Gebührenfrei (eigene Rechte)



Beispiele Datensperre – Interesse/n+ -

Tina Turner, Ottmar Hitzfeld (Schutz vor „Paparazzi“)

„Cervelatprominenz“ (lokale Persönlichkeiten; keine Belästigungsgefahr)

Schutz vor Nachstellungen (Kind, das vom Vater missbraucht wurde)

aus Haft Entlassene (eines medienwirksamen Delikts Start neues Leben)sehr vermögende Personen

Arbeit als Sicherheitspersonal (Bodyguard, Securitas, …)

Verhinderung Durchsetzung von Rechtsansprüchen (z.B. Unterhaltszahlungen, Schadenersatz)

Interesse nicht mehr aktuell (z.B. Tod eines Stalkers)



Amtshilfe (Art. 19 DSG)• kein beliebiger Datenaus-

tausch innerhalb der Verwaltung

• Begriff öffentliches Organ• Voraussetzungen:

– Rechtsgrundlage oder Ermächtigung

– Nachweis der Berechtigung durch den Empfänger

Ableitung aus gesetzlicher Aufgabe

– Einwilligung / allgemeines Zugänglichmachen

• Problem: Kleinstgemeinden



Amtshilfe II

• Lösungsansatz:– vorsichtige Formulierungen– Wahrung der Vertraulichkeit– Rollen- & Berechtigungskonzept– Praxistauglichkeit– trotzdem: keine Datenschutzvernachlässigung!

• kein beliebiger Informationsaustausch• Auffassung Bürger:

– darf davon ausgehen, dass mit seinen Personendaten korrekt umgegangen wird

– keine wahllose Streuung von Informationenzufälliges Treffen auf der Strasse…



Publikation• Gesetzliche Voraussetzungen:

– Gesetzliche Grundlage• Bsp.: Jagdpatentinhaber, Handelsregister, Grundbuch

– Allgemeines (öffentliches) Interesse und keine besonders schützenswerten Personendaten betroffen

– Einwilligung



Botschaft für Gemeindeversammlungen auf Internet

• Grundsätzlich zulässig• Problematik: Informationen Einbürgerungskandidaten

– Verhältnismässigkeitsprinzip• Homepage als Informationsmittel zulässig • Notwendigkeit von Fotos & Lebenslauf zur Entscheidfindung• nach Gemeindeversammlung nicht mehr notwendig

– Entfernung, weil Entscheid gefällt• „Verfalldatum“ vorsehen

– Information bleibt im Netz - Kontrolle praktisch unmöglich!• Weiterverbreitung (download, „copy/paste“)• Verlinkung• Publikation in sachfremdem Zusammenhang• Verunglimpfungen, Entstellungen, Fotomontagen etc.



Besondere Formen der Datenbearbeitung• Für nicht personenbezogene Zwecke (Art. 22 DSG)

– Forschung, Planung, Statistik– Anonymisierung Person nicht mehr bestimmbar

• mit verhältnismässigem Aufwand– Bearbeitung durch Dritte (Universität, Institut, Forschungseinrichtung)

• „Datenschutz-Revers“: als Absicherung

• Durch Dritte– „Datenschutz-Revers“

• Mit Überwachungsgeräten (Art. 7 kDSG)– Videoüberwachung



VideoüberwachungVideoüberwachung

Privater RaumPrivater RaumÖffentlicher RaumÖffentlicher Raum

BundBund Kantone & GemeindenKantone & Gemeinden

Eidg. Daten-schutzgesetz

Kant. Daten-schutzgesetz

Eidg. Datenschutzgesetz



Videoüberwachung (Art. 7 DSG)• Was?

– nur Öffentlich zugängliche Orte• Zu welchem Zweck?

– ausschliesslich zum Schutz von Personen und Sachen• Wer?

– öffentliches Organ, dem Benützungsrecht/Hoheit über Ort zusteht– Empfehlung: Entscheid Gemeinderat

• Wie?– Verhältnismässigkeit (Alternativen prüfen!)– Erkennbarkeit– Schutz der Daten– Regelung des Zugriffs und der Verantwortlichkeiten– Löschung spätestens nach 100 Tagen (oder: Weitergabe an Polizei)– vorgängige Information DSB



Beispiele Videoüberwachung Für öffentliche Organe relevant Für öffentliche Organe nicht relevant

Zweck = Schutz von Personen und Sachen auch zu anderen Zwecken (z.B. zur Straf-verfolgung)

Abfallsammelstellen private Gebäude (Ausnahme: Zweck)

Gebäude der Verwaltungen Arbeitsplatzüberwachung (bei Privat-unternehmungen)

Schulhäuser Tunnelüberwachung (Verkehrsfluss)

Öffentliche Parkhäuser Einkaufszentren (Geschäfte)

Öffentliche Plätze & Wege Videoüberwachung im Restaurant

Webcam zur Verfolgung Baufortschritt



• Art. 6 kDSG• Verhältnismässigkeitsprinzip:

– Datenbearbeitung nur so lange, wie notwendig

– Kriterien: ausdrückliche gesetzliche Vorschrift, Verjährungsfristen

– Vernichtungspflicht bei Personendaten, die nicht mehr benötigt werden

• Anbietepflicht gemäss Art. 5 VSA– Auch Personendaten und als geheim

klassifizierte Daten– Entscheid über die Archivwürdigkeit– Vernichtung nicht archivwürdig

bezeichneter Daten (Art. 6 Abs. 2 kDSG)• Ausnahmen möglich

• Sperrfrist 30/50 Jahre (Art. 9 f. VSA)

Personendaten archivieren/vernichten



Datensicherheit

Archivieren/

BeschaffenBekanntgeben/

Bearbeiten

Archivieren/Vernichten

Bekanntgeben/Bearbeiten



Verantwortung & Schutz• Art. 7 Abs. 1 DSG

– Schutz vor unbefugtem Bearbeiten– durch angemessene technische & organisatorische

Massnahmen – Berechtigungskonzept (Pflege!)

„Lehrlingszugriff“Mutationen/Rotationen periodisch abbilden

• Art. 16 Abs. 1 DSG– verantwortlich für Datenschutz = öffentliches Organ, das

Daten bearbeitet/bearbeiten lässt



IT-Sicherheitsmanagement

Strategische (politische)

Verantwortung

Operative

Verantwortung

Betriebliche

Verantwortung



Verschiedene Fragen



Zuständigkeit Datenbearbeitung (Art. 16 DSG)• öffentliches Organ, das Personendaten bearbeitet (Daten-

Inhaber):– verantwortlich für Einhaltung der Datenschutzbestimmungen– sorgt für den Schutz der Personendaten vor unbefugtem Zugriff

(Daten-/Informatiksicherheit)– entscheidet über Berichtigung, Beseitigung oder Unterlassung – erlässt ggf. Verfügungen

• keine Weisungsbefugnis des Öffentlichkeits- und Datenschutzbeauftragten



VerfahrenEinsichtsgesuch

Prüfung

Einsicht gewährt Einsicht verweigert

Keine Verfügung verlangt Verfügung

Beschwerdeverfahren

Rückfrage / Empfehlung DSB

Mitteilung an DSB



Register der Datensammlungen

• Führung der Datensammlungen• Verantwortung für Sicherheit,

Richtigkeit, Aktualität… der Daten• Entscheid über Inhalt

Erfassung der Rohdaten• Pflege der Datensammlungen• Auskunftserteilung und

Zugangsgewährung

• Führung des Registers der Datensammlungen

• Pflege des Registers• Verantwortung für Sicherheit,

Richtigkeit, Aktualität des Registers

Datensammlungen und Register

Gemeinde DSB

Grundschulung Datenschutz Obwalden · 2011-12-02 · DATENSCHUTZBEAUFTRAGTER Schwyz · Obwalden ·...

Documents

Transcript of Grundschulung Datenschutz Obwalden · 2011-12-02 · DATENSCHUTZBEAUFTRAGTER Schwyz · Obwalden ·...