Die Bearbeitung von Personendaten birgt gewisse Risiken, welche durch technische und organisatorische Massnahmen verhindert werden sollen. Wie Privatpersonen bzw. Organisationen diese Massnahmen umsetzen können, um ihre Datenbearbeitungen DSG konform zu halten, erfahren Sie hier.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publizierte einen neuen Leitfaden, der technische und organisatorische Massnahmen des Datenschutzes (TOM) konkret aufzeigt und Privatpersonen bzw. Organisationen bei der Umsetzung des Datenschutzes und Datensicherheit nach DSG und DSV unterstützen soll. Dieser löst damit mit der Einführung des neuen DSGs im letzten Jahr den bereits 2015 publizierten Leitfaden des EDÖBs ab.
Obschon sich der Leitfaden von 2015 stark auf die Schwerpunkte Datenzugänge, Lebenszyklus der Daten, Datenaustausch und Auskunftsrecht fokussiert hat, ist der neuen Leitfaden in thematischer Hinsicht einiges umfangreicher. Dies zeigt sich auch anhand der 25 Seiten, welche zur Version von 2015 dazu gekommen sind.
Allgemeine Grundsätze des Datenschutzrechts
Wenn Personendaten bearbeitet werden, müssen die allgemeinen Grundsätze gemäss Art. 6 DSG eingehalten werden.
- Grundsatz der Rechtmässigkeit: Personendaten müssen rechtmässig und im Einklang mit den Rechtsvorschriften bearbeitet werden. Dabei muss die Persönlichkeit der betroffenen Person gewahrt werden. Für eine mögliche Verletzung bestehen spezifische Rechtfertigungsgründe, wie beispielsweise die Einwilligung der betroffenen Person oder eine Grundlage im Gesetz.
- Bearbeitung nach Treu und Glauben: Personendaten müssen nach Treu und Glauben und verhältnismässig bearbeitet werden. Dies bedeutet, die Datenbeschaffung muss den angestrebten Zweck erfüllen.
- Prinzip der Zweckbindung: Personendaten müssen wie angekündigt bearbeitet werden oder so, wie es für die betroffene Person erkennbar war.
- Grundsatz der Richtigkeit: Bei der Bearbeitung von Personendaten muss man sich über die Richtigkeit und Vollständigkeit mit Blick auf den Bearbeitungszweck versichern.
Rechte und Pflichten der betroffenen Person
Wenn Personendaten bearbeitet werden, stehen der betroffenen Person besondere Rechte und Pflichten zu. Dazu gehört die Informationspflicht gemäss Art. 19-21 DSG, damit eine transparente Datenbearbeitung gewährleistet werden kann. Dementsprechend muss in erster Linie die betroffene Person klar und verständlich informiert werden, wie sie ihre Rechte ausüben kann. Damit diese Information erteilt werden kann, sollten Unternehmen und Organisationen ein Verfahren einrichten und die Mitarbeiter entsprechend schulen. Dafür muss das System so organisiert sein, dass dem Auskunftsgesuch nachgegangen und die entsprechenden Daten der Person gefunden werden können. Es besteht das Recht, die Auskunft gemäss Art. 26 DSG einzuschränken, beispielsweise wenn das Gesetz dies vorsieht, es aufgrund überwiegender Interessen Dritter erforderlich oder das Auskunftsgesuch offensichtlich unbegründet ist.
Die betroffene Person hat neben dem Informationsrecht auch ein Recht auf Datenherausgabe- und Übertragung. Dafür sollte sicherstellt werden, dass ein gängiges Format bei der Datenbearbeitung gewählt wird, um die Datenextraktion zu vereinfachen. Zusätzlich sollten Protokolle für die Herausgabe von Personendaten erstellt und die Mitarbeiter entsprechend geschult werden.
Instrumente der Datenbearbeitung
Zwei Instrumente zum Schutz der betroffenen Personen bzw. der Abschätzung des Risikos für eben diese, sind die Datenschutz-Folgenabschätzung und das Register der Bearbeitungstätigkeiten. Der EDÖB geht in seinem neuen Leitfaden auch auf diese ein.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung nach Art. 22 DSG liefert Informationen zur Art und Weise, wie die Risiken beurteilt werden und wie damit umgegangen wird. Es muss nur dann eine Folgenabschätzung vorgenommen werden, wenn Daten bearbeitet werden, die ein hohes Risiko der Persönlichkeit oder Grundrechte der betroffen Person mit sich bringen kann. Ein hohes Risiko kann sich aus dem Umfang, der Art, den Umständen oder dem Zweck der Bearbeitung ergeben. Es kann von einer Folgenabschätzung abgesehen werden, wenn entweder ein System/Produkt eingesetzt wird, welches nach Art. 13 DSG zertifiziert ist oder ein Verhaltenskodex nach Art. 11 DSG befolgt wird.
Register der Bearbeitungstätigkeit
Ein Verzeichnis der Bearbeitungstätigkeit muss vom Verantwortlichen und dem Auftragsbearbeiter nach Art. 12 DSG geführt werden. Dieses Verzeichnis muss Informationen wie namentlich die Identität des Verantwortlichen, den Bearbeitungszweck und eine Beschreibung der Kategorien der betroffenen Person beinhalten. Von dieser Pflicht kann abgesehen werden, wenn ein Unternehmen weniger als 250 Mitarbeitende beschäftigt. Diese Befreiung der Pflicht entfällt jedoch, wenn in einem grossen Umfang besonders schützenswerte Personendaten bearbeitet werden oder ein Profiling (automatische Datenbearbeitung, um persönliche Aspekte zu bewerten) mit hohem Risiko durchgeführt wird.
Technische und organisatorische Massnahmen
Um diese Grundsätze und die Rechte der betroffenen Personen zu wahren und die allgemeinen Risiken der Datenbearbeitung zu verringern, müssen technische und organisatorische Massnahmen umgesetzt werden. Technische Massnahmen beziehen sich auf den technischen Aspekt des Informationssystems. Das können beispielsweise Anonymisierungen, Verschlüsselungen oder Authentifizierungen sein. Organisatorische Massnahmen hingegen sind umfassender und beziehen sich auf die Umgebung, die Personen und die Art der Nutzung. Dazu zählen beispielsweise die Berechtigungsregelung und das Verzeichnis der Bearbeitungstätigkeiten.
Diese beiden Arten von Massnahmen müssen kombiniert werden und über den ganzen Lebenszyklus der Datenbearbeitung und auf jeder Stufe angewendet werden.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Die technischen und organisatorischen Massnahmen gehen gewissermassen Hand in Hand mit dem Erfordernis die Technik und die Voreinstellungen so anzusetzen, dass die Verhältnismässigkeit in der Datenbearbeitung gewahrt wird. Es geht vor allem darum bereits vor der Datenbearbeitung die Verwendung, Verwaltung, Organisation, Sicherheit der zu bearbeitenden Personendaten zu bedenken und eine angemessene und für die Art der Daten und Bearbeitung verhältnismässige Lösung aufzusetzen.
Technische Massnahmen
Gemäss Art. 7 Abs. 1 DSG sollten die Grundsätze des Datenschutzes bereits ab der Planung des Systems mitberücksichtigt werden. Dies führt dazu, dass ab dem Moment der Datenbeschaffung Massnahmen greifen, die sicherstellen, dass durch Voreinstellungen nur die notwendigen Daten beschaffen und verwendet werden. Der Verantwortliche muss dafür die Bearbeitung der notwendigen und nicht notwendigen Daten klar trennen und auch dementsprechend kennzeichnen.
Eine technische Massnahme ist die Pseudonymisierung der Personendaten. Dies bewirkt eine Veränderung der Daten, dass ohne zusätzliche Informationen oder unverhältnismässigen Aufwand kein Rückschluss auf die Person gezogen werden kann.
Eine zweite Möglichkeit ist die Anonymisierung von Personendaten. Hierbei werden die Daten unumkehrbar verändert, sodass sie ohne unverhältnismässigen Aufwand keinen Rückschluss auf die entsprechende Person gezogen werden kann. Anonymisierte Daten gelten nicht mehr als Personendaten, anders als pseudonymisierte Daten. Dementsprechend ist zu empfehlen, wenn möglich Daten zu anonymisieren, da dann das DSG nicht mehr anwendbar ist. Sollte dies nicht möglich sein, sollte zumindest die Pseudonymisierung von Daten in Betracht gezogen werden.
Im Gegensatz zum vorherigen Leitfaden nennt der EDÖB neu weitere Massnahmen des Datenschutzes., nämlich die Generalisierung, die Minimierung, die Randomisierung, die homomorphe Verschlüsselung und die synthetischen Daten.
Bei der Generalisierung werden Merkmalswerte durch allgemeine Werte ersetzt, welche weniger personenspezifisch sind. Beispielsweise wird hierbei das Geburtsdatum durch die Angabe des Geburtsjahres ersetzt.
Die Minimierung ist sodann Ausfluss des Datenschutzes durch Technik und des Verhältnismässigkeitsprinzips. Im Falle der Datenminimierung ist darauf zu achten nur so wenige Daten wie nötig zu erheben.
Bei Daten welche statistische und nicht individuelle Ergebnisse hervorbringen sollen, kann man die Randomisierung zur Anwendung bringen. Dabei werden die erhobenen Werte ausgetauscht und vermischt. Dadurch können die Daten nicht mehr einer Person zugeordnet werden, jedoch kommt man statistisch zum selben Ergebnis wie die Daten einer Person zugeordnet werden können.
Eine sehr interessante und eher neuartige Methode des Datenschutzes ist die homomorphe Verschlüsselung. Bei dieser Verschlüsselungstechnik werden die Daten so verschlüsselt, dass gewisse Informationen aus diesen Daten gelesen werden können, während der Personenbezug und andere Daten verschlüsselt bleiben.
Die letzte und neu im Leitfaden aufgenommene Massnahme ist die Synthetisierung von Personendaten. Dabei handelt es sich um künstlich erzeugte Daten, welchen echten Personendaten nachgeahmt werden, um bspw. einen KI Algorithmus zu trainieren.
Weiter äussert sich der EDÖB auch spezifisch zu den Risiken und Massnahmen bei der Nutzung von Clouds. Die Nutzung einer Cloud ist dabei immer mit einem erhöhten Risiko für die Datensicherheit behaftet, da das Delokalisieren die Kontrolle und Überwachung über die Daten schwächt. Im Zuge des Art. 7 und 8 DSG ist sich daher immer zu fragen, ob wirklich eine Cloud für die Bearbeitung benötigt wird und falls dies zu bejahen ist, welcher Typ von Cloud die Datensicherheit und Verhältnismässigkeit am ehesten gerecht wird. Es wird empfohlen bei der umfassenden Nutzung von Cloudlösungen eine umfassende Risikoanalyse durchzuführen und entsprechende Einstellungen und Anpassungen vorzunehmen.
Organisatorische Massnahmen
Unter diesem Aspekt werden die Infrastruktur und die bearbeitenden Personen geprüft, um den Datenschutz zu gewährleisten.
Die erste Möglichkeit ist, die Sicherheit der Räumlichkeiten zu überprüfen und damit konkret den Zugang zum Gebäude zu regeln, damit nur zugangsberechtigte Personen Zutritt haben. Falls Besucherinnen und Besucher Zugang zum Gebäude haben, sollten sie sich nicht alleine im Gebäude bewegen können. Verantwortliche sollten ebenfalls in Betracht ziehen, die Büros ausserhalb der Arbeitszeiten zusätzlich abzuschliessen und bei besonders heiklen Räumen ein Alarmsystem zu installieren.
Einer der anfälligsten Räume ist der Serverraum, da die Daten dort physisch gelagert werden. Dafür sollten besondere Zutrittsberechtigungen ausgestellt werden, die nur so wenig Personen wie notwendig erhalten. Zusätzlich ist es empfehlenswert, den Zutritt für spätere Beweiszwecke zu protokollieren.
Auch der tägliche Arbeitsplatz sollte gesichert und geschützt werden. Dies kann beinhalten, dass die Bildschirme nicht eingesehen werden können oder dass die Mitarbeitende alle sensiblen Gegenstände, wie Datenträger, und Dokumente in verschliessbaren Schubladen verstauen. Auch ein aktualisiertes Antivirus-Programm ist auf jedem PC zu installieren.
Die Zugriffsverwaltung stellt sicher, dass nachvollzogen werden kann, wer Zugriff auf welche Daten hat und wie diese bearbeitet werden. Dies kann konkret beinhalten, dass keine Benutzerkonten geteilt werden oder dass die interne Organisation für jeden Mitarbeitenden die Zugriffsrechte festlegt und das auch so im Informationssystem differenziert wird.
Sicherheit während des Daten-Lebezyklus
Die Sicherheit der Daten muss während des gesamten Lebezyklus gewährt werden. Das fängt bei der Datenerfassung an und geht bis zur endgültigen Löschung.
Bei der Datenerfassung muss sichergestellt werden können, dass sie von der berechtigten Person erfasst und entsprechend protokolliert werden. Diese Daten müssen dann auch angemessen verschlüsselt werden, damit sie nicht missbräuchlich gelesen oder verändert werden können. Dies kann mit Verschlüsselungsalgorithmen gemacht werden. Dabei ist zu beachten, dass der Algorithmus und die Länge des Schlüssels proportional zur Sensibilität der Daten ist. Falls externe Speichermedien genutzt werden, um Informationen unter den Mitarbeitenden oder nach aussen zu transferieren, müssen auch solche externen Datenträger eine gewisse Sicherheit aufweisen. Dies kann beispielsweise mit zusätzlichen Verschlüsselungen und regelmässigen Kontrollen sichergestellt werden. Eine parallele Mitarbeiterschulung, wobei die Risiken von externen Datenträgern erläutert werden, kann diese Vorkehrungen unterstützen. Bezüglich der Datenvernichtung sollte eine geeignete Löschstrategie festgelegt werden, um eine vollständige Vernichtung sicherzustellen. Dies kann mithilfe von Spezialsoftware garantiert werden. Daten, welche auf Papier festgehalten sind, sollten mit einem Aktenvernichter vernichtet werden.
Fazit
Um einen angemessenen Datenschutz zu gewährleisten, müssen alle relevanten Faktoren einbezogen werden, dies kann auch das globale Umfeld eines konkreten Projekts beinhalten oder den Sensibilitätsgrad der entsprechenden Daten. Diese Punkte müssen sodann bei der Entwicklung eines Projekts frühzeitig angegangen werden.
Bei weiteren Fragen zum Thema Datenschutz, den technischen und organisatorischen Massnahmen oder zur ihrer konkreten Umsetzung in Ihrem Unternehmen beraten wir Sie gerne persönlich. Nehmen Sie gerne mit uns Kontakt auf.
Quellen:
- Leitfaden des EDÖB zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) vom 15. Januar 2024.
- Datenschutzgesetz (DSG, SR 235.1).
- Datenschutzverordnung (DSV, SR 235.11).