Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutzrecht.

Veröffentlicht von:Claus Readling Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutzrecht."—  Präsentation transkript:

1 Datenschutzrecht

2 Datenschutz: Einige Problembereiche
Log-Files/ Cookies/ IP-Adressen Unachtsamkeit Personalisierung „Überwachung“ Verknüpfbarkeit Datenbearbeiter Fall T.Ramundo Private Websites; Reiseberichte...; via Archiv-Websiten forever abrufbar... Datensicherheit SDA-Meldung ; Sensible Daten einer Gemeindeverwaltung auf ersteigertem Computer und Co.

3 Aktuell (letzte Woche)
BANK AUSTRIA Jeder, der zwischen 0:40 und kurz vor halb zwei Uhr Früh in seinem Account online war, waren Einblicke in die Finanzen anderer User möglich. Transaktionen auf fremden Konten hätten aber nicht funktioniert, sagte ein Sprecher der BA. Das Problem gehe auf eine fehlerhaften Zuordnung von Benutzersitzungen zurück. Mittlerweile konnte die Störung behoben werden.

4 Überblick DSG

5 Geltungsbereich Art. 2 Geltungsbereich
1 Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch: a. private Personen; b. Bundesorgane. Nicht: Bearbeitung durch kantonale und kommunale Organe! Weitere Ausnahmen in Art. 2 Abs. 2 Zu den allgemeinen Datenschutzgrundsätzen, deren Nichteinhaltung ohne Rechtfertigungsgrund eine Datenschutzverletzung darstellt: Personendaten dürfen nur rechtmässig, lauter, verhältnismässig, zweckgebunden und für die betroffene Person erkennbar beschafft und bearbeitet werden... Zudem müssen die Personendaten richtig sein und gut gesichert werden. Anbei ein paar Beispiele, was das nun bedeutet.

6 Begriffe I (Art. 3) Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen besonders schützenswerte Personendaten: Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Zu den allgemeinen Datenschutzgrundsätzen, deren Nichteinhaltung ohne Rechtfertigungsgrund eine Datenschutzverletzung darstellt: Personendaten dürfen nur rechtmässig, lauter, verhältnismässig, zweckgebunden und für die betroffene Person erkennbar beschafft und bearbeitet werden... Zudem müssen die Personendaten richtig sein und gut gesichert werden. Anbei ein paar Beispiele, was das nun bedeutet.

7 Begriffe II (Art. 3) Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (…) Zu den allgemeinen Datenschutzgrundsätzen, deren Nichteinhaltung ohne Rechtfertigungsgrund eine Datenschutzverletzung darstellt: Personendaten dürfen nur rechtmässig, lauter, verhältnismässig, zweckgebunden und für die betroffene Person erkennbar beschafft und bearbeitet werden... Zudem müssen die Personendaten richtig sein und gut gesichert werden. Anbei ein paar Beispiele, was das nun bedeutet.

8 Datenschutzgesetz (DSG und VDSG)
Zweck des Gesetzes (Art. 1 DSG) Schutz der Persönlichkeit von nat. und juristischen Personen, über die Daten bearbeitet werden („nicht Schutz von Daten“) Verhinderung der missbräuchlichen Bearbeitung von personenbezogenen Daten Persönlichkeitsverletzung durch Private (DSG 12): Verstoss gegen die Datenschutzgrundsätze (DSG 4, 5 Abs. 1 und 7 Abs. 1) Bearbeitung gegen den ausdrücklichen Willen des Betroffenen Weitergabe besonders schützenswerter Personendaten o. Persönlichkeitsprofile  ABER: keine Persönlichkeitsverletzung, falls die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat… (Art. 12 Abs. 3 DSG) -> Rechtfertigung (Art. 13): Einwilligung des Betroffenen  z.B. Aufklärung (z.B Datenschutzerklärung) überwiegendes privates (vgl. Art. 13 Abs. 2) oder öffentliches Interesse durch Gesetz

9 Allgemeine Datenschutzgrundsätze
Grundsätze der Datenbearbeitung gem. DSG 4 ff.: - Rechtmässigkeit und Lauterkeit der Bearbeitung (Treu und Glaube) - Verhältnismässigkeit - Zweckgebundenheit - Erkennbarkeit der Beschaffung und des Bearbeitungszwecks - Richtigkeit der Daten (Art. 5) / Berichtigungsrecht - Datensicherheit (Art. 7 DSG) Zu den allgemeinen Datenschutzgrundsätzen, deren Nichteinhaltung ohne Rechtfertigungsgrund eine Datenschutzverletzung darstellt: Personendaten dürfen nur rechtmässig, lauter, verhältnismässig, zweckgebunden und für die betroffene Person erkennbar beschafft und bearbeitet werden... Zudem müssen die Personendaten richtig sein und gut gesichert werden. Anbei ein paar Beispiele, was das nun bedeutet.

10 Allgemeine Datenschutzgrundsätze
Grundsätze der Datenbearbeitung gem. DSG 4: - Rechtmässigkeit der Bearbeitung (vs. Datendiebstahl) - Transparente und lautere Beschaffung und Bearbeitung (loyales, anständiges, korrektes Verhalten) Im Kleingedruckten: Gratis-CAP! Die Teilnehmenden sind damit einverstanden, dass ihre Angaben zu Marketingzwecken der UBS verwendet werden dürfen...

11 Allgemeine Datenschutzgrundsätze
Grundsätze der Datenbearbeitung gem. DSG 4: Verhältnismässigkeit der Datenbearbeitung Nur Personendaten sammeln und bearbeiten, die geeignet und erforderlich sind, um den legalen Zweck zu erreichen. -> unnötige Daten vermeiden -> nicht mehr benötigte Daten löschen/archivieren - Unnötige Daten vermeiden – Beispiel: eine Mailing/Newsletter-Anmeldemöglichkeit: was braucht es?

12 Allgemeine Datenschutzgrundsätze
Grundsätze der Datenbearbeitung gem. DSG 4: Zweckgebundenheit der Datenbearbeitung Bearbeitung nur für Zwecke, die - bei der Beschaffung angegeben wurden, oder - aus den Umständen ersichtlich waren oder gesetzlich vorgesehen sind Folgen: - Bei einer Zweckänderung: erneute Einholung der Einwilligung notwendig - besser: klare und umfassende Zweckbeschreibung bei der Beschaffung (Datenbearbeitungserklärung) Personendaten dürfen nur zu demjenigen Zweck bearbeitet werden, welcher bei der Beschaffung angegeben wird, aus den Umständen ersichtbar ist oder gesetzlich vorgeschrieben ist; z.B. unsere Jusletter-Kundenadressen sammeln wir, um ihnen die Zeitschrift und die Rechnung zuzustellen. Die Weitergabe der Personendaten an Dritte ist zweckfremd und braucht die Zustimmung unserer Kunden.

13 Allgemeine Datenschutzgrundsätze
Grundsätze der Datenbearbeitung gem. DSG 4: „Erkennbarkeit“ (neu) Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung müssen für die betroffene Person erkennbar sein Hinweise (Überwachungskamera) Privacy Policy / Datenbearbeitungserklärung auf der Website, Hinweise in AGB Hinweis in Verträgen, Formularen usw. Dieser Datenbearbeitungsgrundsatz ist am neu eingeführt worden – Klarheit bez. Transparenz; wenn die Bearbeiten nic Fehlender Hinweis auf Überwachungskamera

14 Allgemeine Datenschutzgrundsätze
Datensicherheit (DSG 7 und VDSG 8 ff.) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG) Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit (d.h. Schutz vor unbefugtem Einsehen oder Verändern, Schutz vor Datenverlust) „angemessene“ Massnahmen -> je sensibler die Daten, desto stärker der Schutz

15 Allgemeine Datenschutzgrundsätze
Datensicherheit (DSG 7) WEF-Hack im Jahr 2000 Zugriff auf Prominenten-DB -> offener Port -> Adressverwaltungs-Tool ohne genügenden Passwortschutz (

16 Allgemeine Datenschutzgrundsätze
Datensicherheit (DSG 7) Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis StGB): Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungs-einrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. (

17 Allgemeine Datenschutzgrundsätze
Datensicherheit (DSG 7 und VDSG 8 ff.) Wie können Personendaten gesichert werden? Die Frage geht an Sie – wie sichern sie ihre Kundendaten?

18 Allgemeine Datenschutzgrundsätze
Datensicherheit (DSG 7 und VDSG 8 ff.) Auswahl an technischen und organisatorischen Massnahmen Passwörter Firewalls kryptografische Verfahren (Verschlüsselung, https-Eingabefelder, Signatur) Backups zur Datensicherung (Verfügbarkeit) Sicherheitskonzept/Reglement (u.a. Wer kann welche Personendaten im Unternehmen einsehen und Bearbeiten; entsprechend Zugangskontrollen, Zugriffskontrollen usw.) Vgl. das ausführliche Handout Hier nur eine Auswahl – z.B. Einsatz von bedacht gewählten Passwörtern (Schutz von Datenbanken, Schutz vom eigenen Computer, komplexe Passwörter); Firewalls zum Schutz von Angriffen von aussen; bei besonders schützenswerten Daten – verschlüsseln von s

19 Allgemeine Datenschutzgrundsätze
Richtigkeit der Daten (DSG 5) Vergewisserungspflicht / Pflicht, unrichtige Daten auf Verlangen zu berichtigen. Objektiv unrichtig: Berichtigung verlang- und durch Klage durchsetzbar Subjektiv als unrichtig empfundene Daten: Möglichkeit eines entsprechenden Vermerks (Klage gemäss Art. 15 Abs. 2) Hier nur eine Auswahl – z.B. Einsatz von bedacht gewählten Passwörtern (Schutz von Datenbanken, Schutz vom eigenen Computer, komplexe Passwörter); Firewalls zum Schutz von Angriffen von aussen; bei besonders schützenswerten Daten – verschlüsseln von s

20 Weitere Bestimmungen Auskunftsrecht (Art. 8 ff. DSG, Art. 1 VDSG)
Jede Person kann Auskunft verlangen über alle sie betreffenden Daten: - Inkl. Angabe über die Herkunft der Daten - Inkl. Zweck, die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger In der Regel innert 30 Tagen und schriftlich Verweigerungsrecht (Art. 9) - wenn es ein formelles Gesetz vorsieht - bei überwiegenden Interessen eines Dritten - bei überwiegenden Interessen des privaten Sammlers, wenn er die Daten nicht an Dritte weitergibt - etc. Hier nur eine Auswahl – z.B. Einsatz von bedacht gewählten Passwörtern (Schutz von Datenbanken, Schutz vom eigenen Computer, komplexe Passwörter); Firewalls zum Schutz von Angriffen von aussen; bei besonders schützenswerten Daten – verschlüsseln von s

21 Weitere Bestimmungen Auskunftsrecht (Art. 8 ff. DSG, Art. 1 VDSG)
Eine Gebühr kann verlangt werden: - bei besonders grossem Arbeitsaufwand für die Auskunftserteilung (mehr als nur das Hervorholen und Kopieren eines Dossiers… ) - wenn innret 12 Monaten mehr als ein Auskunftsbegehren gestellt wird und kein schutzwürdiges Interesse an einer erneuten Auskunftserteilung nachgewiesen werden kann Max. CHF 300.-; vorgängig über Gebührenpflicht und Höhe informieren Falls kein Auskunftsverweigerungsgrund vorliegt oder die Höhe umstritten ist: Art. 15 Abs. 4 DSG – Klagemöglichkeit (einfaches und rasches Verfahren) Hier nur eine Auswahl – z.B. Einsatz von bedacht gewählten Passwörtern (Schutz von Datenbanken, Schutz vom eigenen Computer, komplexe Passwörter); Firewalls zum Schutz von Angriffen von aussen; bei besonders schützenswerten Daten – verschlüsseln von s

22 Weitere Bestimmungen Bekanntgabe ins Ausland (Art. 6)
vgl. Gesetzesartikel sowie weiterführende Informationen auf der Website des EDÖB Registrierung von Datensammlungen (Art. 11a) Registrierungspflicht für Datensammlungen des Bundes Beschränkte Registrierungspflicht für private Datensammlungen Anmeldung von Übermittlungen ins Ausland ist neu nicht mehr meldepflichtig. Meldepflicht von privaten Sammlungen, bei : Regelmässiger Bearbeitung besonders schützenswerten Personendaten oder Persönlichkeitsprofilen Bei regelmässiger Bekanntgabe von Personendaten an Dritte Umfangreicher Ausnahmekatalog in Abs. 5 und Art. 4 VDSG Hier nur eine Auswahl – z.B. Einsatz von bedacht gewählten Passwörtern (Schutz von Datenbanken, Schutz vom eigenen Computer, komplexe Passwörter); Firewalls zum Schutz von Angriffen von aussen; bei besonders schützenswerten Daten – verschlüsseln von s

23 Rechtsfolgen bei Verstössen gegen das DSG
Zivilrechtliche Forderungen (Art. 15 DSG) u.a. Genugtuung, Schadenersatz, Gewinnherausgabe, Unterlassung, Beseitigung, Sperrung der Weitergabe, Mitteilung an Dritte, Vermerk (…) Strafrechtliche Sanktionen (Art. 34 DSG) bei: Bei Verletzung von Informations-, Melde-, Auskunfts- und Registrierungspflichten (Busse) Verletzung der beruflichen Schweigepflicht (Art. 35 DSG). Untersuchung/Empfehlung des EDÖB Publikation, Vollstreckung über das Bundesverwaltungsgericht, allenfalls Beschwerdemöglichkeit des EDÖB an das Bundesgericht

24 eCommerce und Datenschutz - Vertrauen der Kunden
Vertrauensfördernde Massnahmen Einhaltung der einschlägigen Rechtsbestimmungen (DSG, VDSG) Transparenz bei der Datenbearbeitung – durch Datenbearbeitungserklärung – durch besondere Hinweise im Anmeldeprozedere Wahlmöglichkeiten Weitere Möglichkeiten: Datenschutz-Audits, Gütesiegel, eigener Datenschutzbeauftrager Jetzt etwas spezifischer – auf den eCommerce gemünzt... Hauptziel: Vertrauen der Kundschaft. Sicher durch Einhaltung der Gesetze, Transparenz (über die gesetzlichen Vorgaben hinaus), durch besondere Hinweise usw. Den Kunden auch Wahlmöglichkeiten geben; Audits etc. – Blick ins Gesetz – bzw. Hinweis auf Revision...

25 Datenbearbeitungserklärung
Brainstorming Was ist der Sinn einer Datenschutzerklärung auf einem Internetportal? Welche Punkte würden Sie in einer Datenschutzerklärung aufnehmen? Jetzt etwas spezifischer – auf den eCommerce gemünzt... Hauptziel: Vertrauen der Kundschaft. Sicher durch Einhaltung der Gesetze, Transparenz (über die gesetzlichen Vorgaben hinaus), durch besondere Hinweise usw. Den Kunden auch Wahlmöglichkeiten geben; Audits etc. – Blick ins Gesetz – bzw. Hinweis auf Revision...

26 Datenbearbeitungserklärung
Ziel einer Datenbearbeitungserklärung: Transparenz / Vertrauen Einwilligung in die Datenbearbeitung einholen Die Erklärung sollte mindestens über folgende Punkte informieren: Welchen Rechtsbestimmungen untersteht die Datenbearbeitungspraxis des Anbieters? Welche Personendaten werden gesammelt und zu welchen Zwecken? Welche Daten werden an Dritte weitergegeben und für welche Zwecke? Welche Wahlmöglichkeiten zur Bearbeitung seiner Daten stehen dem Nutzer zu? Welche Rechte hat der Benutzer? (Auskunftsrecht, Berichtigungsrecht, Recht, Bearbeitung zu verbieten) Welche Stelle beantwortet Fragen über die Bearbeitung von Personendaten? Welche Sicherheitsmassnahmen werden zum Schutz von Personendaten angewendet? Weitere: Hinweis auf gemachte Datenschutz-Audits und das Datenschutz-Siegel (falls vorhanden) Klare Information bei Datenweitergabe ins Ausland Besonderheiten (Weitergabe an Dritte, Weitergabe ins Ausland, Anlegen eines Kundenprofils/Persönlichkeitsprofils) - fett markieren

27 Transparenz bei der Datenbearbeitung
Platzierung der Datenbearbeitungserklärung leicht auffindbar, immer zugreifbar Verlinkung, überall dort, wo Personendaten gesammelt werden

28 Transparenz bei der Datenbearbeitung
Besondere Hinweise im Anmeldeprozedere Gewisse Informationen sind so wichtig, dass sie nicht in der Datenbearbeitungserklärung „versteckt“ werden sollten/dürfen, z.B. - Anlegen eines Kundenprofils/Persönlichkeitsprofils „Um Ihren Einkauf in unserem Shop mit mehr Komfort auszustatten, verwenden wir die sog. Cookie-Technologie. Cookies gewährleisten zum Beispiel, dass Sie bei Ihrem nächsten Besuch persönlich begrüsst werden oder dass Ihnen speziell auf Ihre Interessen abgestimmte Informationen angezeigt werden.“ - Weitergabe von Personendaten ins Ausland Um Ihnen möglichst gute Optionen für die Wahl der Zahlungsart anbieten zu können und Schwierigkeiten im Zahlungsverkehr auszuschließen, schützen wir Sie und uns vor Missbrauch. Daher übermitteln wir die zur Bonitätsprüfung benötigten Daten bei der Anmeldung an die InFoScore Consumer Data GmbH, Rheinstr. 99, Baden-Baden. Auch in der Datenbearbeitung aufnehmen, aber auch im Registrierungsprozedere (allenfalls sogar mit Häckchen akzeptieren lassen)

29 Wahlmöglichkeiten Wahlrecht hinsichtlich der Begrenzung der Nutzung und Weitergabe von Personendaten

30 Rahmenbedingungen zum Schutz der Privatsphäre (Zsf.)
Einwilligung Transparenz durch aktive Information unnötige Daten vermeiden Zweckbindung Rechte der Betroffenen beachten (Auskunft, Berichtigung, Verbot der Bearbeitung) Datensicherheit

31 Der EDÖB Art. 26 ff. DSG Aufgaben Beratung Privater (Art. 28 DSG)
Einschreiten, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler); (…) Empfehlungen, Klagemöglichkeiten generell: Sensibilisierung im Bereich Datenschutz / Informationen zur Verfügung stellen

32 Website des EDÖB Themen: Mitarbeiterüberwachung (Internet und ),E-Government, E-Commerce, Übermittlungen Ausland, Gesundheit, Sicherheit etc. umfangreiche Publikationen

Herunterladen ppt "Datenschutzrecht."

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Neues Recht im Direktmarketing. Seite 2Direkt Marketing Center Frankfurt, Sandra Haidt Erweiterte Informationspflicht die Ansprache zum Zwecke der Werbung.

Neues Recht im Direktmarketing. Seite 2Direkt Marketing Center Frankfurt, Sandra Haidt Erweiterte Informationspflicht die Ansprache zum Zwecke der Werbung.
Surfen im Internet.

Surfen im Internet.
Prof. Dr. Burkhard Boemke

Prof. Dr. Burkhard Boemke
Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten: Schutz der Persönlichkeit Restriktive Verarbeitung.

Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten: Schutz der Persönlichkeit Restriktive Verarbeitung.
Passwörter.

Passwörter.
Internet facts 2005-IV Graphiken zu dem Berichtsband AGOF e.V. Juli 2006.

Internet facts 2005-IV Graphiken zu dem Berichtsband AGOF e.V. Juli 2006.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Sicher durchs Internet

Sicher durchs Internet
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Anonymität contra Straftatverfolgung im Internet

Anonymität contra Straftatverfolgung im Internet
Ein Referat von Daniel Rabe

Ein Referat von Daniel Rabe
Datenschutz bei Unternehmen

Datenschutz bei Unternehmen
Auch der Tod nimmt Einzug in unsere digitale Welt

Auch der Tod nimmt Einzug in unsere digitale Welt
Daten- und Persönlichkeitsschutz u. a

Daten- und Persönlichkeitsschutz u. a
Die Umsetzung der ISO/IEC 17020

Die Umsetzung der ISO/IEC 17020
Autorité cantonale de la transparence et de la protection des données Kantonale Behörde für ö ffentlichkeit und Datenschutz Das Zugangsrecht Einführungskurs.

Autorité cantonale de la transparence et de la protection des données Kantonale Behörde für ö ffentlichkeit und Datenschutz Das Zugangsrecht Einführungskurs.
Grundsätze des Verwaltungsrechts im Zusammenhang mit der Verfügung

Grundsätze des Verwaltungsrechts im Zusammenhang mit der Verfügung

Ähnliche Präsentationen

Google-Anzeigen