Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012.

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012."—  Präsentation transkript:

1 Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012

2 Namics. Agenda. Worum geht es beim Datenschutz In 5 Schritten zum Datenschutz Datenschutz und Marketing Datenschutz und eCommerce Datenschutz und Cloud Computing Mobile Datenverarbeitung Quellen Datenschutz Schweiz. Basis Know How.

3 Namics. Worum geht es beim Datenschutz ? Datenschutz Schweiz. Basis Know How.

4 Namics. Einleitung. Zwei Beispiele. 1.) Einer unserer Kunden möchte seinen Kundenstamm mit elektronischen Newsletters beglücken. Die Kampagne soll auch Kunden miteinbeziehen, die innerhalb der letzten sechs Monaten nicht mehr beim Unternehmen eingekauft haben. Ist dies aus datenschutzrechtlichen Gesichtspunkten zulässig? 2.) Einer unserer Kunden möchte eine CRM-on demand System einführen. Als Cloud-Nutzer und verantwortlicher Dateninhaber weiss dieser in der Regel nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Er weiss oft auch nicht, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen. Was muss der Kunde bei der Einführung beachten? Worum geht es beim Datenschutz? Datenschutz Schweiz. Basis Know How.

5 Namics. Zielsetzung. Datenschutz. Der Datenschutz ist dazu da, die Informationen zu den einzelnen Personen zu schützen. Jeder Mensch hat das Recht, selbst zu bestimmen, welche Informationen über ihn wann, wo und wem bekannt gegeben werden. Der Datenschutz achtet darauf, dass also immer nur so viele persönliche Daten wie nötig und so wenig persönliche Daten wie möglich gesammelt und bearbeitet werden. Ziel des Datenschutzes ist es dabei nicht, den freien Informationsfluss zu verhindern. Er will jedoch dafür sorgen, dass dieser dort endet, wo die Privatsphäre beginnt (Schutz Bürger und Konsumenten gegenüber dem Staat und Unternehmen, sowie Schutz der Arbeitnehmer gegenüber den Arbeitgebern) Worum geht es beim Datenschutz? Datenschutz Schweiz. Basis Know How.

6 Namics. In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How.

7 Namics. Das Datenschutzgesetz (DSG) Der Datenschutz ist im DSG geregelt Dieses Gesetz findet Anwendung, sobald es um die Bearbeitung von Personendaten geht. In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How.

8 Namics. Begrifflichkeiten. DSG. Personendaten Alle Sprachlich, visuell oder auditiv erfassbare Informationen oder Angaben (Tatsachen/Werturteile), welche einer natürlichen oder juristischen Person zugeordnet werden können. Besonders schützenswerte Personendaten sind hierbei: –die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, –die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, –Straf- und sozialversicherungsrechtliche Daten Beispiele: Kundendaten, Personalakten, Logs, s, Cookies, Personenfotos, etc. Aber auch Persönlichkeitsprofile (Zusammenstellungen von Daten, die Aufschluss über wesentliche Persönlichkeitsmerkmale erlauben wie etwa z.B. zeitliche Datenreihen «Bearbeitung» von Personendaten Hiermit ist jegliche Weiterverarbeitung, Verwendung, Auswertung, Analyse, etc. von Personendaten gemeint In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How.

9 Namics. In 5 Schritten zum Datenschutz. Übersicht. In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. Checkliste* 1.) Besitze ich einen Rechtfertigungsgrund zur Bearbeitung von Personendaten? 2.) Kann ich die Datensicherheit gewährleisten? 3.) Bin ich in der Lage der Auskunftspflicht nachzukommen? 4.) Muss ich der Informationspflicht nachkommen? 5.) Muss ich der Registrierungspflicht nachkommen? *Checkliste auch als PDF im Anhang

10 Namics. Schritt 1 1.) Besitze ich EINEN der folgenden Rechtfertigungsgrunde zur Bearbeitung von Personendaten? Die ausdrückliche Erlaubnis zur Bearbeitung von Personendaten ist eingeholt (AGBs, Opt-in, etc.) Die bearbeiteten Personendaten stehen in unmittelbarem Zusammenhang mit einem Abschluss oder der Abwicklung eines Vertrags Die Personendaten werden zu einer Prüfung der Kreditwürdigkeit benötigt, um einen Abschluss oder die Abwicklung eines Vertrages zu erzielen (Es handelt sich aber weder um besonders schützenswerte Personendaten noch um Persönlichkeitsprofile) Es handelt sich um beruflich Personendaten, die ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet werden Die Personendaten werden in der Forschung, Planung und Statistik zu nicht personenbezogenen Zwecken bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind Es handelt sich um Daten, die der allgemeinen Öffentlichkeit zugänglich sind In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. Bei mindestens einem Kreuz besteht ein Rechtfertigungsgrund zur Bearbeitung von Personendaten

11 Namics. Schritt 2 2.) Kann ich die Datensicherheit gewährleisten?* Sind meine Personendaten durch folgende technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt? Sicherheit der Räumlichkeiten (Identifizierung und Authentifizierung) Sicherheit in Bezug auf Lebenszyklus von Daten Erfassen, Bearbeiten, Löschen (Verschlüsselung, Anonymisierung, Protokollierung) Sicherheit beim Datenaustausch (Netzsicherheit, Verschlüsselung) In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. *Ein ausführlicher Leitfaden in Bezug auf technische und organisatorische Massnahmen zur Datensicherheit findet sich im Anhang Bei einem Kreuz ist die Datensicherheit gewährleistet

12 Namics. Schritt 3 3.) Bin ich in der Lage der Auskunftspflicht nachzukommen? Bin ich als Inhaber einer Datensammlung unmittelbar in der Lage jeder Person darüber Auskunft zu geben, ob Daten über sie bearbeitet werden? In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. Bei einem Kreuz bin ich in der Lage der Auskunftspflicht nachzukommen

13 Namics. Schritt 4 4.) Kann ich, falls meine Datensammlung besonders schützenswerten Personendaten oder Persönlichkeitsprofilen enthält, der Informationspflicht nachkommen? Ja, ich bin in der Lage, die betroffenen Personen über die Beschaffung dieser besonders schützenswerten Daten zu informieren (diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.) In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. Bei einem Kreuz muss ich der Informationspflicht nachkommen

14 Namics. Schritt 5 5.) Besteht einer der folgenden Gründe, weshalb ich meine Datensammlung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) registrieren muss? Ich bearbeite regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile Ich gebe regelmässig Personendaten an Dritte bekannt In 5 Schritten zum Datenschutz. Datenschutz Schweiz. Basis Know How. Bei einem Kreuz muss ich der Informationspflicht nachkommen

15 Namics. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How.

16 Namics. Weitere Gesetzesgrundlagen für Datenschutz und Marketing. Zur Beurteilung der Korrektheit von Marketingmassnahmen müssen neben dem DSG auch das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) und das Fernmeldegesetz (FMG) in Betracht bezogen werden Die wichtigsten Bestimmen in Bezug auf Datenschutz und Marketing sind im Anhang aufgelistet Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How.

17 Namics. Bedingungen für korrektes Marketing. Marketing Werbung erlaubt, falls folgenden vier Bedingungen erfüllt sind: Einwilligung (Opt-In): Der Empfänger hat sich ausdrücklich für den Erhalt von Werb s angemeldet. Opt-Out: Der Empfänger hat jederzeit die Möglichkeit, sich über einen Link aus der Empfängerliste abzumelden oder auf eine Sperrliste setzen zu lassen. Korrekter Absender: Der Versender ist in jeder Mail klar ersichtlich und es ist in einem zumutbaren Rahmen eine namentlich genannte Kontaktperson erreichbar (telefonisch, per , per Fax) Bestehende Kundenbeziehung: Bei Bestand einer Vertragsbeziehung ist sogar ein Opt-Out-Versand möglich. Dies aber nur, falls der Absender ausschliesslich eigene Produkte und Leistungen anbietet, die denjenigen ähnlich sind, die der Empfänger unlängst bei ihm gekauft respektive in Anspruch genommen hat. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How.

18 Namics. Korrektes -Marketing. Checkliste. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How. Checkliste Vorgängig ausdrückliche Einwilligung einholen oder die Zustimmung des Empfängers ergibt sich aus einem beim Absender getätigten Kauf (Opt-In) Pflicht* Einfache und gut sichtbare Ablehnungsmöglichkeit für künftige Sendungen (derselbe Kommunikationsweg, keine weiteren Kosten); z.B. Abmeldelink bzw. Rücksendung des s mit Ablehnungsnotiz (Opt-Out) Pflicht* Korrekte und unmissverständliche Absenderadresse (wahre Identität) Pflicht* Sicherstellen, dass Kunden und empfänger, die sich abgemeldet haben, keine weiteren Massen- s des Unternehmens mehr erhalten Pflicht* Kunden keine Drittwerbung zustellen; andernfalls vorgängig ausdrückliche Einwilligung der Kunden einholenPflicht* Online Einwilligung: aktiv ein Häckchen setzen lassen, welches die Zustimmung in Massenwerbung der besuchten Website wiedergibt (das Häckchen nicht standardmässig als gesetzt vorgeben) Pflicht* Double Opt-in bei online erfolgten Einwilligungen, das heisst Anmeldung und nochmalige Bestätigung dieser Anmeldung (Ist rechtlich gesehen nicht zwingend. Mit «Double-Opt-in» kann der -Absender aber seine Rechtssicherheit erhöhen. optional Impressum im Werbe- und Gewähr der Erreichbarkeit des Absenders optional Verzicht auf Versand an Kunden, mit denen man längere Zeit keinen Kontakt mehr hatte; stattdessen können diese Kunden per angefragt werden, ob man künftig Massenwerbung zu eigenen Produkten und Dienstleistungen senden darf optional *Rot = rechtlich zwingend

19 Namics. Bedingungen für korrektes Telefonmarketing. Telemarketing Persönliche Telefonwerbung jeglicher Art erlaubt. Insbesondere dann, wenn eine Kundenbeziehung besteht. (nicht zulässig sind maschinelle Anrufe bzw. Anrufe ab Tonband) Einschränkung: Seit dem 1. April 2012 sind Werbeanrufe an Teilnehmer, die ihren Telefonbucheintrag mit einem Sternsymbol (*) gekennzeichnet haben (Opt-out), nach UWG Art. 3 Abs. 1 Bst. u verboten. Bei Zuwiderhandlung können die Angerufenen bei der Polizei einen Strafantrag stellen. Unerwünschte Anrufe können auch dem Staatssekretariat für Wirtschaft (Seco) gemeldet werden. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How.

20 Namics. Bedingungen für korrektes Post-Marketing. Direktmarketing Post Jegliche Art von Werbung erlaubt (auch ohne Kundenbeziehung). In der Schweiz schützt lediglich ein Stopp-Kleber den Verbraucher vor unadressierter oder teiladressierter Werbung, die durch die Post oder professionelle Verteilfirmen zugestellt werden. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How.

21 Namics. Zusammenfassung. korrekte Marketingmassnahmen. Datenschutz und Marketing. Denken. Präsentieren. Umsetzen. . Newsletter. B2C / B2B Post Jegliche Art von Werbung erlaubt Werbung erlaubt, falls folgenden vier Bedingungen erfüllt sind: Einwilligung (Opt-In) Opt-Out: Korrekter Absender: Bestehende Kundenbeziehung: Telefon Persönliche Telefonwerbung jeglicher Art erlaubt. Insbesondere dann, wenn eine Kundenbeziehung besteht. (nicht zulässig sind maschinelle Anrufe bzw. Anrufe ab Tonband) Einschränkung: Telefonbucheintrag mit einem Sternsymbol (*)

22 Namics. Beispiel 1. Was ist erlaubt? Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How. Beispiel 1: Darf ein Verlag, ein Fotograf oder eine Druckerei ungefragt allen greifbaren Adressen von Werbeagenturen Werb s zusenden? Nein. Wer dem Erhalt von Werb s nicht willentlich zugestimmt hat, will sie auch nicht, unabhängig davon, ob sie der Absender für wahnsinnig interessant oder vorteilhaft erachtet. Selbst eine vermutete Branchennähe legitimiert nicht zum Versenden solcher Werb s. Quelle: Frick&Partner: Anti-Spam Gesetzgebung Schweiz

23 Namics. Beispiel 2. Was ist erlaubt? Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How. Beispiel 2: Darf mit Newsletters b t werden, wer bei einem Unternehmen innerhalb der letzten sechs Monate etwas gekauft hat? Ja und Nein. Ja, falls er ausdrücklich darum gebeten hat, bis auf Weiteres mit Werbe- Mails(Newsletters etc.) bedient zu werden. Nein, wenn er nicht ausdrücklich dazu aufgefordert hat oder bei einer Online-Bestellung eine voraktivierte Checkbox "Newsletter senden" (oder ähnlich) nicht deaktiviert hat.(Das Voraktivieren ; von Checkboxen für das Akzeptieren von Allgemeinen Geschäftbedingungen oder für das Eintragen in Empfängerlisten von Werb s ist nicht statthaft). Quelle: Frick&Partner: Anti-Spam Gesetzgebung Schweiz

24 Namics. Beispiel 3. Was ist erlaubt? Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How. Beispiel 3: Darf mit elektronischen Newsletters beglückt werden, wer innerhalb der letzten sechs Monaten nicht mehr bei einem Unternehmen eingekauft hat? Ja, falls er sich ausdrücklich in eine Empfängerliste für Werb s eingetragen hat. Falls die Geschäftsbeziehung älter als sechs Monate ist, sollte aber auf das weitere Zusenden von Massen-Mails verzichtet werden. In Deutschland etwa gelten diese sechs Monate als Bemessungsfrist zur Festlegung, ob Werb s als Spam gelten oder nicht. Allerdings steht es dem Versender frei, den bisherigen Empfänger von Newsletters vor Ablauf dieser, in der Schweiz nicht gesetzlich geregelten Karenzfrist dazu zu ermuntern, sich auf dem ordentlichen Weg in die Empfängerliste von Werb s einzutragen (nicht gesetzlich zwingend in CH). Quelle: Frick&Partner: Anti-Spam Gesetzgebung Schweiz

25 Namics. Beispiel. Kundenbindungsprogramm M-Cumulus. Datenschutz und Marketing. Datenschutz Schweiz. Basis Know How. Im Rahmen seiner Tätigkeit als Aufsichtsbehörde über die Datenbearbeitung im Privatbereich Wurde im Jahr 2005 bei Migros eine umfassende Datenschutzkontrolle vorgenommen. Die Durchführung der Kontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises sowie der Sensibilität der bearbeiteten Personendaten von Bedeutung. Insgesamt sehr positive Beurteilung durch den EDÖB. Insbesondere deshalb, weil in den AGBs klar darauf hingewiesen wird, dass gestützt auf die Einkaufsdaten von Kunden Warenkorbanalysen durchgeführt werden, welche das Konsumverhalten sowie persönliche Kundenprofile widerspiegeln. Zusätzlich hat Migros von sich aus einen Hinweis in die AGB aufgenommen, dass die jeweils aktuell gültigen AGB im Internet abrufbar sind (www.m-cumulus.ch). Des Weiteren verzichtet Migros auf jeglichen Versand von Informationen an Kundinnen und Kunden, die keine Werbung wünschen.

26 Namics. Datenschutz und eCommerce. Datenschutz Schweiz. Basis Know How.

27 Namics. Datenschutz und eCommerce. Bei geschäftlichen Transaktionen in der realen Welt entstehen Kundenmodelle, die relativ unscharf sind. Niemand würde bei jedem Warenhausbesuch beispielsweis ein Formular oder einen Fragebogen ausfüllen wollen. Beim e-Commerce hingegen basiert alles auf Daten. Jeder Kauf lässt Rückschlüsse auf die Person, ihre Bedürfnisse und ihre finanziellen Lage zu. Deshalb kommt dem Datenschutz grösste Bedeutung zu. Datenschutz und eCommerce. Datenschutz Schweiz. Basis Know How.

28 Namics. Umsetzungshilfen. Schritt 1: gesetzlichen Anforderungen erfüllen Checkliste «In 5 Schritten zum Datenschutz» Schritt 2: Vertrauen bei Kunden und bei zukünftigen Benutzern durch Transparenz schaffen Insbesondere sollten folgende Vorkehrungen getroffen werden: –Niemals ohne Wissen der Benutzer Personendaten erheben, an Dritte weitergegeben oder zugänglich machen –Die Datenschutzpraxis sollte auf jeder Website in allgemein verständlicher Sprache erläutert werden. Insbesondere muss darüber informiert werden, welche Daten zu welchem Zweck erhoben bzw. verwendet werden Datenbearbeitungserklärung gut ersichtlich auf der Webseite platzieren –Dem Benutzer sollte zudem ein Wahlrecht hinsichtlich der Begrenzung der Nutzung (Bsp. Erstellung von Konsumprofilen) und der Weitergabe (Bsp. Werbezwecke) seiner Daten gewährt werden. Datenschutz und eCommerce. Datenschutz Schweiz. Basis Know How.

29 Namics. Datenbearbeitungserklärung. Internetdienste. Vor dem Verfassung der Datenbearbeitungserklärung sollten folgende Fragen beantwortet sind: Wie und woher (interne externe Quellen) werden Personendaten beschafft? Zu welchen Zwecken werden Personendaten gesammelt? Zu welchen Zwecken werden Personendaten verwendet? Wer ist für die Kontrolle der gesammelten Personendaten verantwortlich? Wie und wo werden Personendaten gespeichert? Zu welchem Zweck werden Personendaten mit Dritten ausgetauscht? Existieren bereits Richtlinien oder Vorschriften für das Sammeln, das Bearbeiten und die Weitergabe dieser Daten? Besteht bereits die Möglichkeit der Einsicht und der Berichtigung der Daten? Die Erklärung sollte den Benutzer mindestens über folgende Punkte informieren: Welchen Rechtsbestimmungen untersteht die Datenbearbeitungspraxis des Anbieters? Welche Personendaten werden gesammelt und zu welchen Zwecken? Welche Daten werden an Dritte weitergegeben und für welche Zwecke? Welche Wahlmöglichkeiten zur Bearbeitung seiner Daten stehen dem Benutzer zu? Welche Rechte (insb. Auskunfts- und Berichtigungsrecht) hat der Benutzer? Welche Stelle beantwortet Fragen über die Bearbeitung von Personendaten? Welche Sicherheitsmassnahmen werden zum Schutz von Personendaten angewendet? Schliesslich ist die Erklärung auf der Website so zu platzieren, dass sie für den Benutzer leicht zugänglich ist. Datenschutz und eCommerce. Datenschutz Schweiz. Basis Know How.

30 Namics. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

31 Namics. Risiken. Datenschutz. Cloud Computing. Die Auslagerung von Daten im Rahmen von Cloud Computing ist immer mit Risiken verbunden Kontrollverlust über die Daten Wegen der weltweiten Vernetzung und der Virtualität ist der Standort der Daten oft nicht erkennbar. Dies trifft im besonderen Mass für die Public Clouds zu. Der Cloud-Nutzer als verantwortlicher Dateninhaber weiss damit nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Er weiss oft auch nicht, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen. Der Cloud- Nutzer kann somit seine datenschutzrechtlichen Pflichten hinsichtlich Gewährleistung der Datensicherheit, Gewährung des Auskunftsrechts oder Berichtigung und Löschung der Daten nicht (mehr) oder nur ungenügend wahrnehmen. Compliance Risiken In der Cloud kann es vorkommen, dass Teile eines Datensatzes in verschiedenen weltweit verstreuten Rechenzentren liegen. Daraus ergeben sich Probleme nicht nur in Bezug auf die Gewährleistung von Datenschutz und Datensicherheit, sondern auch in Bezug auf die Einhaltung von anderen gesetzlichen Pflichten (Aufbewahrungs- oder Beweispflicht, Einhaltung von Geheimhaltungspflichten, etc.). Zugriff von ausländischen Behörden auf die Daten In vielen Fällen werden die Daten für die Bearbeitung in der Cloud ins Ausland bekannt gegeben. Dabei werden die Daten oftmals auch in Ländern gespeichert oder bearbeitet, die über keinen (ausreichenden) Datenschutz verfügen. Cloud–Service-Anbieter sind aber auch gegenüber ausländischen Behörden und Gerichten verpflichtet, gegebenenfalls Zugriff auf Daten in der Cloud zu gewähren; dies gilt selbst dann, wenn die Daten nicht im Land der Behörde bearbeitet oder gespeichert werden. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

32 Namics. Datenschutzrechtliche Anforderungen bei der Nutzung von Cloud-Computing-Diensten (1-4) Anforderungen 1: an Schweizer Gesetze halten Ein Cloud-Service-Anbieter in der Schweiz muss verpflichtet werden, sich vollumfänglich an die in der Schweiz geltenden Datenschutzbestimmungen zu halten. Dies gilt in gleichem Masse für allfällige Subunternehmer, die vom Anbieter beigezogen werden. Hintergrund: Werden bei der Nutzung von Cloud Computing personenbezogene Daten bearbeitet, so liegt aus datenschutzrechtlicher Sicht normalerweise eine Datenbearbeitung durch Dritte im Sinne von Art. 10a DSG vor. Demnach kann das Bearbeiten von Personendaten durch Vereinbarung oder Gesetz Dritten (hier: Cloud-Service-Anbieter) übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Auftraggeber (hier: Cloud-Nutzer) selbst es tun dürfte, und wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

33 Namics. Datenschutzrechtliche Anforderungen bei der Nutzung von Cloud-Computing-Diensten (1-4) Anforderung 2: Datensicherheit gewährleisten Der Cloud-Nutzer muss sich vergewissern, dass der Cloud-Service-Anbieter als Dritter die Datensicherheit im Sinne von Art. 7 DSG und Art. 8 ff. bzw. 20 ff. VDSG gewährleistet. Das heisst, die Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Es muss für Vertraulichkeit, Verfügbarkeit und Integrität der Daten gesorgt sein. –Der Cloud-Service-Anbieter muss die Daten gegen folgende Risiken schützen: unbefugte oder zufällige Vernichtung oder zufälligen Verlust; technische Fehler; Fälschung; Diebstahl oder widerrechtliche Verwendung; unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen. –Als Grundregel gilt: Je vertraulicher, geheimer, wichtiger (weil geschäftskritisch) oder sensitiver (weil besonders schützenswert) die Daten sind, umso eher ist von einer Auslagerung der Daten in die Cloud, insbesondere eine ausländische Cloud, abzusehen, und desto strikter und umfassender müssen die (Datenschutz-) Sicherheitsvorkehrungen und deren Kontrolle sein. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

34 Namics. Datenschutzrechtliche Anforderungen bei der Nutzung von Cloud-Computing-Diensten (1-4) Anforderung 3: Personendaten auch im Ausland schützen Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Personendaten nur ins Ausland bekannt gegeben werden, wenn eine der in Art. 6 Abs. 2 DSG aufgeführten Bedingungen erfüllt ist. Hintergrund: Die Nutzung von Cloud Computing bedingt in vielen Fällen eine Datenbekanntgabe ins Ausland, da die Verarbeitung oftmals auf weltweit verstreuten Servern stattfindet. Häufig werden dazu auch Subunternehmer beigezogen. Sehr oft geht es dabei um Länder, die ein tieferes Datenschutzniveau als die Schweiz aufweisen und so Datenbearbeitungen durchgeführt werden, die so in der Schweiz nicht erlaubt wären. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

35 Namics. Datenschutzrechtliche Anforderungen bei der Nutzung von Cloud-Computing-Diensten (1-4) Anforderung 4: Auskunftsrecht, Löschung, Berichtigung Der Cloud-Nutzer ist dafür verantwortlich, dass das Auskunftsrecht nach Art. 8 DSG und das Recht auf Löschung und Berichtigung nach Art. 5 DSG jederzeit gewährleistet –Die Einhaltung dieser Erfordernisse kann mit erheblichen Schwierigkeiten verbunden sein, da mit der Nutzung von Cloud- Anwendungen wie erwähnt oftmals ein Kontrollverlust über die Daten einhergeht und der Cloud-Nutzer nicht (mehr) weiss, wo welche Daten bearbeitet werden. Er kann sich von diesen gesetzlichen Pflichten jedoch nicht befreien. Datenschutz und Cloud Computing. Datenschutz Schweiz. Basis Know How.

36 Namics. Mobile Datenverarbeitung. Datenschutz Schweiz. Basis Know How.

37 Namics. Mobile Datenverarbeitung. Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) liefert auf folgender Seite einen guten Überblick zum Thema: =de =de Mobile Datenverarbeitung. Datenschutz Schweiz. Basis Know How.

38 Namics. Quellen. Datenschutz Schweiz. Basis Know How.

39 Namics. Sekundärquellen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)/Diverse Dokumente: Bakom «Telemarketing:Wenn die Werbung am Draht ist» Seco: Unterlagen zum unlauteren Wettbewerb: Berichte über die Datenschutzkontrollen des Kundenbindungsprogramme M-CUMULUS (Migros): Frick&Partner: Anti-Spam Gesetzgebung Schweiz: partner.ch/downloads/frick_partner_anti_spam_gesetzgebung_schweiz.pdf partner.ch/downloads/frick_partner_anti_spam_gesetzgebung_schweiz.pdf Leitfaden technische und organisatorische Massnahmen zur Datensicherheit: Quellen. Datenschutz Schweiz. Basis Know How.

40 Namics. Gesetze. DSG: FMG: UWG: Quellen. Datenschutz Schweiz. Basis Know How.

41 Namics. Anhang. Datenschutz Schweiz. Basis Know How.

42 Namics. Gesetzliche Grundlagen DSG Datenschutz Schweiz. Basis Know How.

43 Namics. Relevante Datenschutzbestimmungen im DSG (I) Art. 4 Grundsätze (a) Personendaten dürfen nur rechtmässig bearbeitet werden. Dabei muss ihre Bearbeitung nach Treu und Glauben erfolgen und muss verhältnismässig sein. (b) Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. (c) Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. (d) Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. Anhang. Datenschutz Schweiz. Basis Know How.

44 Namics. Relevante Datenschutzbestimmungen im DSG (II) Art. 7 Datensicherheit Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Art. 7a Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen –Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden. Art. 8 Auskunftsrecht Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Anhang. Datenschutz Schweiz. Basis Know How.

45 Namics. Relevante Datenschutzbestimmungen im DSG (III) Art. 10a Datenbearbeitung durch Dritte Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn: (a) die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und (b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Anhang. Datenschutz Schweiz. Basis Know How.

46 Namics. Bestimmungen zur Bearbeitung von Personendaten im DSG (I). Art. 12 Persönlichkeitsverletzungen Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen. Er darf insbesondere nicht: entgegen der allg. Datenschutzbestimmungen handeln (Art. 4 Grundsätze) ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben. Anhang. Datenschutz Schweiz. Basis Know How.

47 Namics. Bestimmungen zur Bearbeitung von Personendaten im DSG (II). Art. 13 Rechtfertigungsgründe Die Daten einer Person dürfen nicht gegen deren ausdrücklichen Willen bearbeitet werden, ausser wenn ein im Datenschutzgesetz vorgesehener Rechtfertigungsgrund dies erlaubt. Dies ist der Fall, wenn die bearbeitende Person: a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet; b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben; c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen; d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet; e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind; f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen. Anhang. Datenschutz Schweiz. Basis Know How.

48 Namics. Weitere Gesetzesgrundlagen für den Datenschutz in Bezug auf Marketing (FMG, UWG) Datenschutz Schweiz. Basis Know How.

49 Namics. Weitere Gesetzesgrundlagen für Datenschutz und Marketing. Relevante Bestimmungen. UWG. Bundesgesetz gegen den unlauteren Wettbewerb (UWG) Art. 3 Unlautere Werbe- und Verkaufsmethoden und anderes widerrechtliches Verhalten Unlauter handelt insbesondere, wer: o. Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit hinzuweisen; wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält und dabei auf die Ablehnungsmöglichkeit hinweist, handelt nicht unlauter, wenn er diesen Kunden ohne deren Einwilligung Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen sendet. Anhang. Datenschutz Schweiz. Basis Know How.

50 Namics. Weitere Gesetzesgrundlagen für Datenschutz und Marketing. Relevante Bestimmungen. FMG. Fernmeldegesetz (FMG) Art. 1 Zweck 2d Es soll insbesondere: d. die Benutzerinnen und Benutzer von Fernmeldediensten vor unlauterer Massenwerbung und vor Missbrauch durch Mehrwertdienste schützen. Art. 45a Unlautere Massenwerbung 1 Die Anbieterinnen von Fernmeldediensten bekämpfen die unlautere Massenwerbung (Art. 3 Bst. o des BG vom 19. Dez gegen den unlauteren Wettbewerb). Anhang. Datenschutz Schweiz. Basis Know How.

51 Namics. Beurteilung. Datenschutz und Marketing. Interpretationsspielraum Kundenbeziehung Der Grundsatz des DSG nach «Treu und Glauben» zu urteilen lässt einen grossen Interpretationsspielraum zu. Sobald eine Kundenbeziehung besteht oder vom Kunden eine Einwilligung zur Bearbeitung der Daten vorliegt, sind Marketingmassnahmen in der Schweiz ohne Bedenken möglich. Insbesondere auch deshalb, weil das UWG die Frage offen lässt, ob und wie lange ein ehemaliges, im jetzigen Zeitpunkt aber aufgekündetes Vertragsverhältnis als Kundenbeziehung zu werten ist. Sobald also ein einmalige Vertragsverhältnis bestand, kann dies als Kundenbeziehung qualifiziert werden und Marketingmassnahmen jeglicher Art sind rechtmässig. Angeforderte Werbung Nicht erfasst (sowohl im DSG, im UWG als auch im FMG ) ist darüber hinaus Werbung, die Teil angeforderter Inhalte ist und Werbung in abonnierten Newslettern und auf Web-Seiten sowie manuelle Telefonanrufe. Anhang. Datenschutz Schweiz. Basis Know How.

52 Namics. Take care. © Namics Datenschutz Schweiz. Basis Know How.


Herunterladen ppt "Datenschutz Schweiz. Basis Know How. Orientierungshilfe. Namics. Stefan Andris. Consultant. Fabian Bischof. Consultant. Juli 2012."

Ähnliche Präsentationen


Google-Anzeigen