Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 www.rechtundinformatik.ch Datenschutzrecht. Datenschutz: Einige Problembereiche Datenbearbeiter Fall T.Ramundo Log-Files/ Cookies/ IP- Adressen Verknüpfbarkeit.

Ähnliche Präsentationen


Präsentation zum Thema: "1 www.rechtundinformatik.ch Datenschutzrecht. Datenschutz: Einige Problembereiche Datenbearbeiter Fall T.Ramundo Log-Files/ Cookies/ IP- Adressen Verknüpfbarkeit."—  Präsentation transkript:

1 1 Datenschutzrecht

2 Datenschutz: Einige Problembereiche Datenbearbeiter Fall T.Ramundo Log-Files/ Cookies/ IP- Adressen Verknüpfbarkeit Datensicherheit Unachtsamkeit und Co. SDA-Meldung ; Sensible Daten einer Gemeindeverwaltung auf ersteigertem Computer Überwachung Personalisierung

3 3 Aktuell (letzte Woche) BANK AUSTRIA Jeder, der zwischen 0:40 und kurz vor halb zwei Uhr Früh in seinem Account online war, waren Einblicke in die Finanzen anderer User möglich. Transaktionen auf fremden Konten hätten aber nicht funktioniert, sagte ein Sprecher der BA. Das Problem gehe auf eine fehlerhaften Zuordnung von Benutzersitzungen zurück. Mittlerweile konnte die Störung behoben werden.

4 4 Überblick DSG

5 5 Geltungsbereich Art. 2 Geltungsbereich 1 Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch: a. private Personen; b. Bundesorgane. Nicht: Bearbeitung durch kantonale und kommunale Organe! Weitere Ausnahmen in Art. 2 Abs. 2

6 6 Begriffe I (Art. 3) Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen besonders schützenswerte Personendaten: Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt

7 7 Begriffe II (Art. 3) Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (…)

8 Datenschutzgesetz (DSG und VDSG) Zweck des Gesetzes (Art. 1 DSG) -Schutz der Persönlichkeit von nat. und juristischen Personen, über die Daten bearbeitet werden (nicht Schutz von Daten) -Verhinderung der missbräuchlichen Bearbeitung von personenbezogenen Daten Persönlichkeitsverletzung durch Private (DSG 12): Verstoss gegen die Datenschutzgrundsätze (DSG 4, 5 Abs. 1 und 7 Abs. 1) Bearbeitung gegen den ausdrücklichen Willen des Betroffenen Weitergabe besonders schützenswerter Personendaten o. Persönlichkeitsprofile ABER: keine Persönlichkeitsverletzung, falls die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat… (Art. 12 Abs. 3 DSG) -> Rechtfertigung (Art. 13) : Einwilligung des Betroffenen z.B. Aufklärung (z.B Datenschutzerklärung) überwiegendes privates (vgl. Art. 13 Abs. 2) oder öffentliches Interesse durch Gesetz

9 9 Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4 ff.: - Rechtmässigkeit und Lauterkeit der Bearbeitung (Treu und Glaube) - Verhältnismässigkeit - Zweckgebundenheit - Erkennbarkeit der Beschaffung und des Bearbeitungszwecks - Richtigkeit der Daten (Art. 5) / Berichtigungsrecht - Datensicherheit (Art. 7 DSG)

10 10 Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4: - Rechtmässigkeit der Bearbeitung ( vs. Datendiebstahl ) - Transparente und lautere Beschaffung und Bearbeitung (loyales, anständiges, korrektes Verhalten) Im Kleingedruckten: Gratis-CAP! Die Teilnehmenden sind damit einverstanden, dass ihre Angaben zu Marketingzwecken der UBS verwendet werden dürfen...

11 11 Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4: Verhältnismässigkeit der Datenbearbeitung Nur Personendaten sammeln und bearbeiten, die geeignet und erforderlich sind, um den legalen Zweck zu erreichen. -> unnötige Daten vermeiden -> nicht mehr benötigte Daten löschen/archivieren

12 12 Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4: Zweckgebundenheit der Datenbearbeitung Bearbeitung nur für Zwecke, die - bei der Beschaffung angegeben wurden, oder - aus den Umständen ersichtlich waren oder gesetzlich vorgesehen sind Folgen: - Bei einer Zweckänderung: erneute Einholung der Einwilligung notwendig - besser: klare und umfassende Zweckbeschreibung bei der Beschaffung (Datenbearbeitungserklärung)

13 13 Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4: Erkennbarkeit (neu) Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung müssen für die betroffene Person erkennbar sein Hinweise (Überwachungskamera) Privacy Policy / Datenbearbeitungserklärung auf der Website, Hinweise in AGB Hinweis in Verträgen, Formularen usw. Fehlender Hinweis auf Überwachungskamera

14 Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7 und VDSG 8 ff.) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG) Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit (d.h. Schutz vor unbefugtem Einsehen oder Verändern, Schutz vor Datenverlust) angemessene Massnahmen -> je sensibler die Daten, desto stärker der Schutz

15 Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7) WEF-Hack im Jahr 2000 Zugriff auf Prominenten-DB -> offener Port -> Adressverwaltungs-Tool ohne genügenden Passwortschutz

16 16 Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7) Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis StGB): Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungs- einrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

17 17 Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7 und VDSG 8 ff.) Wie können Personendaten gesichert werden?

18 Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7 und VDSG 8 ff.) Auswahl an technischen und organisatorischen Massnahmen -Passwörter -Firewalls -kryptografische Verfahren (Verschlüsselung, https-Eingabefelder, Signatur) -Backups zur Datensicherung (Verfügbarkeit) -Sicherheitskonzept/Reglement (u.a. Wer kann welche Personendaten im Unternehmen einsehen und Bearbeiten; entsprechend Zugangskontrollen, Zugriffskontrollen usw.) -Vgl. das ausführliche Handout

19 19 Allgemeine Datenschutzgrundsätze Richtigkeit der Daten (DSG 5) Vergewisserungspflicht / Pflicht, unrichtige Daten auf Verlangen zu berichtigen. Objektiv unrichtig: Berichtigung verlang- und durch Klage durchsetzbar Subjektiv als unrichtig empfundene Daten: Möglichkeit eines entsprechenden Vermerks (Klage gemäss Art. 15 Abs. 2)

20 20 Weitere Bestimmungen Auskunftsrecht (Art. 8 ff. DSG, Art. 1 VDSG) Jede Person kann Auskunft verlangen über alle sie betreffenden Daten: - Inkl. Angabe über die Herkunft der Daten - Inkl. Zweck, die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger In der Regel innert 30 Tagen und schriftlich Verweigerungsrecht (Art. 9) - wenn es ein formelles Gesetz vorsieht - bei überwiegenden Interessen eines Dritten - bei überwiegenden Interessen des privaten Sammlers, wenn er die Daten nicht an Dritte weitergibt - etc.

21 21 Weitere Bestimmungen Auskunftsrecht (Art. 8 ff. DSG, Art. 1 VDSG) Eine Gebühr kann verlangt werden: - bei besonders grossem Arbeitsaufwand für die Auskunftserteilung (mehr als nur das Hervorholen und Kopieren eines Dossiers… ) - wenn innret 12 Monaten mehr als ein Auskunftsbegehren gestellt wird und kein schutzwürdiges Interesse an einer erneuten Auskunftserteilung nachgewiesen werden kann Max. CHF 300.-; vorgängig über Gebührenpflicht und Höhe informieren Falls kein Auskunftsverweigerungsgrund vorliegt oder die Höhe umstritten ist: Art. 15 Abs. 4 DSG – Klagemöglichkeit (einfaches und rasches Verfahren)

22 22 Weitere Bestimmungen Bekanntgabe ins Ausland (Art. 6) vgl. Gesetzesartikel sowie weiterführende Informationen auf der Website des EDÖB Registrierung von Datensammlungen (Art. 11a) Registrierungspflicht für Datensammlungen des Bundes Beschränkte Registrierungspflicht für private Datensammlungen Anmeldung von Übermittlungen ins Ausland ist neu nicht mehr meldepflichtig. Meldepflicht von privaten Sammlungen, bei : -Regelmässiger Bearbeitung besonders schützenswerten Personendaten oder Persönlichkeitsprofilen -Bei regelmässiger Bekanntgabe von Personendaten an Dritte -Umfangreicher Ausnahmekatalog in Abs. 5 und Art. 4 VDSG

23 Rechtsfolgen bei Verstössen gegen das DSG Zivilrechtliche Forderungen (Art. 15 DSG) u.a. Genugtuung, Schadenersatz, Gewinnherausgabe, Unterlassung, Beseitigung, Sperrung der Weitergabe, Mitteilung an Dritte, Vermerk (…) Strafrechtliche Sanktionen (Art. 34 DSG) bei: Bei Verletzung von Informations-, Melde-, Auskunfts- und Registrierungspflichten (Busse) Verletzung der beruflichen Schweigepflicht (Art. 35 DSG). Untersuchung/Empfehlung des EDÖB Publikation, Vollstreckung über das Bundesverwaltungsgericht, allenfalls Beschwerdemöglichkeit des EDÖB an das Bundesgericht

24 24 eCommerce und Datenschutz - Vertrauen der Kunden Vertrauensfördernde Massnahmen Einhaltung der einschlägigen Rechtsbestimmungen (DSG, VDSG) Transparenz bei der Datenbearbeitung – durch Datenbearbeitungserklärung – durch besondere Hinweise im Anmeldeprozedere Wahlmöglichkeiten Weitere Möglichkeiten: Datenschutz-Audits, Gütesiegel, eigener Datenschutzbeauftrager

25 25 Datenbearbeitungserklärung Brainstorming Was ist der Sinn einer Datenschutzerklärung auf einem Internetportal? Welche Punkte würden Sie in einer Datenschutzerklärung aufnehmen?

26 Datenbearbeitungserklärung Ziel einer Datenbearbeitungserklärung: -Transparenz / Vertrauen -Einwilligung in die Datenbearbeitung einholen Die Erklärung sollte mindestens über folgende Punkte informieren: Welchen Rechtsbestimmungen untersteht die Datenbearbeitungspraxis des Anbieters? Welche Personendaten werden gesammelt und zu welchen Zwecken? Welche Daten werden an Dritte weitergegeben und für welche Zwecke? Welche Wahlmöglichkeiten zur Bearbeitung seiner Daten stehen dem Nutzer zu? Welche Rechte hat der Benutzer? (Auskunftsrecht, Berichtigungsrecht, Recht, Bearbeitung zu verbieten) Welche Stelle beantwortet Fragen über die Bearbeitung von Personendaten? Welche Sicherheitsmassnahmen werden zum Schutz von Personendaten angewendet? Weitere: -Hinweis auf gemachte Datenschutz-Audits und das Datenschutz-Siegel (falls vorhanden) -Klare Information bei Datenweitergabe ins Ausland -Besonderheiten (Weitergabe an Dritte, Weitergabe ins Ausland, Anlegen eines Kundenprofils/Persönlichkeitsprofils) - fett markieren

27 Transparenz bei der Datenbearbeitung Platzierung der Datenbearbeitungserklärung leicht auffindbar, immer zugreifbar Verlinkung, überall dort, wo Personendaten gesammelt werden

28 28 Transparenz bei der Datenbearbeitung Besondere Hinweise im Anmeldeprozedere Gewisse Informationen sind so wichtig, dass sie nicht in der Datenbearbeitungserklärung versteckt werden sollten/dürfen, z.B. - Anlegen eines Kundenprofils/Persönlichkeitsprofils Um Ihren Einkauf in unserem Shop mit mehr Komfort auszustatten, verwenden wir die sog. Cookie-Technologie. Cookies gewährleisten zum Beispiel, dass Sie bei Ihrem nächsten Besuch persönlich begrüsst werden oder dass Ihnen speziell auf Ihre Interessen abgestimmte Informationen angezeigt werden. - Weitergabe von Personendaten ins Ausland Um Ihnen möglichst gute Optionen für die Wahl der Zahlungsart anbieten zu können und Schwierigkeiten im Zahlungsverkehr auszuschließen, schützen wir Sie und uns vor Missbrauch. Daher übermitteln wir die zur Bonitätsprüfung benötigten Daten bei der Anmeldung an die InFoScore Consumer Data GmbH, Rheinstr. 99, Baden- Baden.

29 Wahlmöglichkeiten Wahlrecht hinsichtlich der Begrenzung der Nutzung und Weitergabe von Personendaten

30 Rahmenbedingungen zum Schutz der Privatsphäre (Zsf.) Einwilligung Transparenz durch aktive Information unnötige Daten vermeiden Zweckbindung Rechte der Betroffenen beachten (Auskunft, Berichtigung, Verbot der Bearbeitung) Datensicherheit

31 Der EDÖB -Art. 26 ff. DSG -Aufgaben - Beratung Privater (Art. 28 DSG) - Einschreiten, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler); (…) - Empfehlungen, Klagemöglichkeiten - generell: Sensibilisierung im Bereich Datenschutz / Informationen zur Verfügung stellen

32 32 Website des EDÖB Themen: Mitarbeiterüberwachung (Internet und ),E-Government, E- Commerce, Übermittlungen Ausland, Gesundheit, Sicherheit etc. umfangreiche Publikationen


Herunterladen ppt "1 www.rechtundinformatik.ch Datenschutzrecht. Datenschutz: Einige Problembereiche Datenbearbeiter Fall T.Ramundo Log-Files/ Cookies/ IP- Adressen Verknüpfbarkeit."

Ähnliche Präsentationen


Google-Anzeigen