Datenschutz - Datensicherheit www.weblaw.ch Mathias Kummer Weblaw GmbH Laupenstrasse 1 3008 Bern 031 398 80 98 Vielen Dank Pesche. Guten Abend mitenand. Vorweg eine Frage ans Publikum – sind Sie alle Walliser Titsch-kompatibel? In meinem Referat zum Thema Datenschutz möchte ich ihnen ein paar grundsätzliche Probleme im Datenschutz aufzeigen, mit Ihnen anhand des Datenschutzgesetzes und der Vo die Rechten und Pflichten von Personen, die Personendaten sammeln, bearbeiten und speichern besprechen. Zudem zeige ich Ihnen mögliche Sanktionen bei der Verletzung der Pflichten auf.

Datenschutz: Problembereiche Log-Files und Cookies Überwachung der Mitarbeiter Verknüpfbarkeit Datenbearbeiter „Problembereiche“: Durch die heute bestehenden technischen Möglichkeiten ist es sehr einfach Personendaten zu sammeln, zu verknüpfen, bearbeiten und auswerten. insb. über das Internet, in dem sehr viele Personendaten kursieren. Bei E-Shopbetreibern werden personalisierte E-Commerce-Lösungen immer populärer. Den Besuchern von Website sollen auf sie zugeschnittenen Informationen (Bsp. Kaufempfehlungen) aufgezeigt werden – das bedingt jedoch die Erstellung von Persönlichkeitsprofilen. Oft fehlt es an einer angemessenen Datensicherung. Was Sie hier ausschnittweise auf der Folie sehen, ist ein Auszug aus der Sonntagszeitung zum WEF-Hack von Jahr 2000. Kurz, was ist damals passiert: Hacker bzw. Cracker sind damals in das System des WEF eingedrungen. Sie taten dies über einen offenen Port des Rechner Disco 21. Zum Glück war das Personendatenverwaltungssystem passwortgeschützt. Der Systemverantwortliche unterliess es jedoch Anfangskonfiguration zu ändern. Personendaten in der Presse. Ganz klar – gegen das Datenschutzgesetz verstossen. Und die Hacker? – Martin Affolter. Zwei Beispiele neueren Datums – Programmierfehler bzw. fehlende Sensibilisierung zur Veröffentlichung von Personendaten führte: Zeitungsartikel – Bakom/Kontrollstelle für Geldwäscherei (Mai 2003) Letztes fehlende Sensibilisierung von bearbeitenden und betroffenen Personen – z.B. Versand von E-Mailnachrichten an eine grosse Masse von Personen (auch mathias.kummer@weblaw.ch) im „AN“ Feld, statt im BCC. Datensicherheit

DSG und VDSG Zweck: Schutz der Persönlichkeit von Personen, über die Daten bearbeitet werden (DSG 1) Verhinderung der missbräuchlichen Handhabung von personenbezogenen Daten Persönlichkeitsverletzung durch Private (DSG 12) Verstoss gegen allg. Datenschutzgrundsätze (DSG 4 ff.) Bearbeitung gegen den ausdrücklichen Willen des Betroffenen Weitergabe besonders schützenswerter Personendaten und Persönlichkeitsprofilen a Rechtfertigung: DSG 13 v.a. Einwilligung des Betroffenen Wichtig: In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Das Sammeln und Bearbeiten von Personendaten durch Privatpersonen (natürliche Personen/ - juristische Personen - Unternehmungen) sind im Bundesgesetz über den Datenschutz und der dazugehörigen Verordnung geregelt. -> nicht Kantone Geschützt werden natürliche und juristische Unternehmen. Grundrecht! Informationelle Selbstbestimmung – ich entscheide, was mit meinen Personendaten geschieht; insb. Recht zu verbieten, dass meine Personendaten bearbeitet werden. ; Persönlichkeitsschutz nach ZGB (Klagemöglichkeiten) Zweck – nicht einfach nur „Daten“schutz (Sicherheit) sondern Schutz der Persönlichkeit Zweck: nicht jede Handhabung von personenbezogenen Daten ist grundsätzlich verboten (Bearbeitungsverbot mit Ausnahmen); sondern Bearbeitung von personenbezogenen Daten ist erlaubt, solange die allgemeinen Grundsätze des DSG eingehalten werden und die betroffene Person nicht ausdrücklich die Bearbeitung verbietet. (vgl. Art. 12 DSG! – nächste Folie) am besten fahren Sie, wenn Sie die Einwilligung in die Datenbearbeitung einholen – wie macht man das: Information; Datenbearbeitungserklärung Rechtfertigung: DSG 13 v.a. Einwilligung des Betroffenen, überwiegendes öffentliches oder privates Interesse, Gesetz) Art. 12 Abs. 3 DSG: In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Allgemeine Datenschutzgrundsätze Grundsätze der Datenbearbeitung gem. DSG 4 und 5: - Rechtmässigkeit - Lauterkeit (Treu und Glaube) - Verhältnismässigkeit - Zweckgebundenheit - Richtigkeit der Daten Sind Pflichten von KMU Personendaten dürfen nur rechtmässig, lauter, verhältnismässig und zweckgebunden BESCHAFFT und BEARBEITET werden. Rechtmässigkeit bedeutet, bei der Beschaffung und Bearbeitung nicht gegen geltendes Recht verstossen werden darf. Bsp. Hacken (unbefugtes Beschaffen von Personenedaten, Datendiebstahl, Manipulationen, die im StGB sanktioniert werden, Provider, die ohne Erlaubnis Internet- und E-Mailverkehr abhören – E-Mail: Fernmeldegeheimnis verletzt) Treu und Glaube (Art. 4 Abs. 2 DSG) verlangt eine transparente (lautere) Beschaffung und Bearbeitung; Wahrheitsgemässe und vollständige Aufklärung; keine Verwendung von Daten, die für den Betroffenen völlig unerwartet kommt (Erkennbarkeit der Zielsetzung) – z.B. Profiling (Verknüpfungen, total neue persönliche Informationen gewinnen durch Data Mining – völlig unerwartet! Aufklären; arglistige Täuschung (falsche Angaben über den Zweck einer Befragung im Internet) ((Beispiele unrechtmässiger oder unlauterer Beschaffung: Datendiebstahl, Abhören des Internetverkehrs durch den Provider, Abhören von IP-Paketen, Manipulationen, Verknüpfungen von Cookie-Identifikationsnummer mit persönlichen Daten eines Bestellers (Profiling/Nutzerprofile), arglistige Täuschung bei der Beschaffung von Personendaten usw.)) Verhältnismässigkeit – nur das sammeln und bearbeiten, was geeignet und erforderlich ist, um (legalen) Zweck zu erfüllen. Bestellformular/Anmeldeformular (E-Commerce oder Online-Plattform) – Frage nach politischer Gesinnung; Fax: Grundsatz der Erforderlichkeit; keine Vorratsdatensammlung! Stichwort: Datenvermeidung – Also: welche Daten sind notwendig, welche nicht? Z.B. Mailingliste: einzig für Zustellung von E-Mail: nur E-Mail verlangen. Zweckgebundenheit Personendaten dürfen nur zu demjenigen Zweck bearbeitet werden, welcher bei der Beschaffung angegeben wird, aus den Umständen ersichtlich oder ge- setzlich vorgeschrieben ist (Klare Zweckumschreibung; keine nachträgliche Zweckänderung ohne Zustimmung des Betroffenen);  Problem für viele: wenn Sie nicht von Anfang an den Kunden über die Plattform kommunizieren, dass Sie die Personendaten für Werbezwecke weitergeben, müssten Sie im Nachhinein die Einwilligung dazu bei den Kunden einholen...  überlegen Sie sich zu beginn, welche Personendaten Sie zu welchem Zweck sammeln möchten und zeigen Sie dies dann dem Kunden an.  Betroffene sollen wissen, wofür die erhobenen Daten verwendet werden. Nicht hinzunehmen: Datensammlung ohne Zweckbestimmung auf Vorrat anlegen,  Zeitlicher Hinsicht: Daten, die nicht mehr benötigt werden, sind zu löschen im Einzelfall zu beurteilen). – wichtig  Datensammlungen und Datenbearbeitungen (Datamining, Datawarehousing) lassen sich nicht ohne weiteres mit dem Zweckbindungsgebot in Einklang bringen. Umfang der bearbeiteten Daten ist viel grösser als der Kunde erwarten kann. – Der Kunde weiss aber, dass er Datenspuren hinterlässt... Bedeutung der „Umstände“ (Wissen um Datenspuren / Interessen des Kunden Gewähr der Richtigkeit der Daten – wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Sie sind verantwortlich, dass die Personendaten stimmen. (Problem der relativen Richtigkeit) – in der Praxis ist dies v.a. die Einräumung eines Berichtigungsrecht des Betroffenen.

Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7 und VDSG 8 ff.) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG) Ziel: Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit „angemessene Massnahmen“ Eine weitere Pflicht von Personenbankbetreibern ist die genügende Sicherung der gesammelten Personendaten. Das DSG und die Verordnung sind bezügl. Datensicherheit sehr offen formuliert. So verlangt das Gesetz, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden werden müssen. Die Verordnung ist ein wenig genauer und verlangt durch angemessene Massnahmen die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit. Die Personendaten sollen also nicht von Unbefugten gestohlen, ausspioniert oder verändert werden. Zudem ist Sicherzustellen, dass Personendaten im System nicht einfach verloren gehen oder nicht mehr auffindbar sind. Mit welchen Mitteln das erreicht werden soll, gibt der Gesetzgeber nicht an. Er spricht nur von angemessenen Massnahmen. Um Herauszufinden, welche Massnahmen angemessen sind, sind ...zu beachten. Beachtung: Zweck der Datenbearbeitung Art und Umfang der Datenbearbeitung Einschätzung der möglichen Risiken für die betroffenen Personen; gegenwärtiger Stand der Technik. Grundsatz: Je sensibler die Daten, desto besser der Schutz

Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7 und VDSG 8 ff.) Mögliche Massnahmen Einsatz von Passwörtern Einsatz von Firewalls Einsatz von kryptografischen Verfahren (Verschlüsselung, Hashing, digitale Signatur) Hinweis: Leitfaden des EDSB zu den technischen und organisatorischen Massnahmen des Datenschutzes http://www.edsb.ch/d/doku/leitfaeden/tom.pdf 1) Generell: nochmals an das Verhältnismässigkeitsprinzip verweisen - soweit wie möglich auf Personenbezogenheit von Informationen verzichten/im Sinne der Datenvermeidung/Datensparsamkeit dann. 2) Danach ist eine Risikobeurteilung zu machen – und die angemessenen Massnahmen zu treffen.  die Massnahmen sind immer wieder zu überprüfen. Je nach Beurteilung der Angemessenheit/Verhältnismässigkeit 3) Einsatz von bedacht gewählten Passwörtern: einerseits zum Schutz der einzelnen Datenbanken, andererseits passwortgeschützter Zugang zum PC. Komplexe Passwörter brauchen (Buchstaben und Zahlen verbinden –nichts naheliegendes – damit kein Knacken des Passwortschutzes) 4) Einsatz von Firewalls um den externen Zugriff auf das eigene System und Personendatenbank (es können Daten gelesen, verändert etc. werden, zudem PC-Missbrauch - zu verhindern. Im Geschäftsverkehr sind diese 2 Massnahmen eine notwendige Selbstverständlichkeit. 5) Bei besonders schützenswerten Daten: Einsatz von kryptografischen Verfahren – bei E-Mail oder auch bei der Speicherung auf einem „unsicheren“ Medium. ((Verschlüsselungen zum Schutz vor dem Abhören  Vertraulichkeit (z.B. von E-Mail) zu gewährleisten. Hashing zum Schutz vor Veränderungen - Sicherstellung der Integrität Einsatz von digitalen Signaturen zur Sicherstellung der Echtheit (Authenzität)))

Allgemeine Datenschutzgrundsätze Datensicherheit (DSG 7) WEF-Hack im Jahr 2000 Zugriff auf Prominenten-DB (Handynummer, E-Mail-Adressen, Kreditkartennummern, besondere Merkmale) Fehler bei der Datensicherheit: u.a. offener Port auf dem Rechner „Disco 21“ -> (keine Firewall) Datenverwaltungssystem: Benutzername wurde nach Erstinstallation nicht geändert („sa“); Passwort: Schlag auf Returntaste) -> simpler Fehler

Meldepflicht von Datensammlungen Von Privaten nicht angemeldet werden müssen (Art. 11 DSG): Datensammlungen, die von Gesetzes wegen zu führen sind Datensammlungen, von denen die Betroffenen Kenntnis haben Sammlungen gewöhnlicher Personendaten, die nicht weitergegeben werden Eine weitere Pflicht, die Sie treffen könnte – Meldepflicht beim EDSB. Meldepflicht, wenn (1) die Datensammlung regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthält oder wenn Sie Personendaten an Dritte weitergegeben – auch gewöhnliche Personendaten. Von der Meldung befreit sind Sie, wenn das Gesetz sie vorsieht oder wenn die betroffenen Person Kenntnis von der Sammlung hat. Idee: wenn nicht sowieso Kenntnis, dann Einsicht ins Register. Hat sich nicht bewährt – zu wenig haben sich gemeldet... (Vollzugsprobleme)

Auskunftspflicht Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet worden sind (Art. 8 DSG);  Wichtig: technische Massnahmen treffen, um bei Begehren einfach und automatisiert Auskünfte erteilen zu können. Inhaber von Datensammlungen trifft eine Auskunftspflicht – grundsätzlich kostenlos/schriftlich, nach Abklärung der Identität der anderen Partei. Bekanntgabe über: Vorhandensein, Zweck, Rechtsgrundlage, Kategorie der bearbeiteten Personendaten, Beteiligte an der Sammlung, Kreis der Datenempfänger im Falle der Weitergabe von Daten Zum Wichtig: nicht nur um Arbeitsaufwand klein zu halten, ist auch so in der Verordnung gefordert, Die Datensammlung ist so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und Recht auf Berichtigung wahrnehmen können. (Art. 9 Abs. 2 VDSG) Wichtig technische Massnahmen – Das System muss auch eine Berichtigung (Anbringung eines Vermerkes), Löschung bzw. Vernichtung von personenbezogenen Daten ermöglichen!

Sanktionierung von Verstössen gegen das Datenschutzgesetz Zivilrechtliche Behelfe (Art. 15 DSG, Art. 28 ff. ZGB) Klage auf Schadenersatz, Genugtuung oder Gewinnherausgabe Klage auf Berichtigung von Daten und Veröffentlichung der Berichtigung/Vermerk Klage auf Sperrung und/oder Vernichtung von Personendaten Klage auf Auskunft über eine Sammlung von Personendaten Weitere Klagen nach ZGB: Klage auf Unterlassung, Beseitigung oder Feststellung der Verletzung Zivilrechtlich stehen eigentlich recht viele Behelfe zur Verfügung – die sind aber oft recht „zahlos“: z.B. Schadenersatzklage: Problem:  oft kann der Betroffene keinen vermögensrechtlicher Schaden nachweisen. (Unfug mit den Daten hatte keine finanziellen Auswirkungen) oder ein anderes Beispiel: auch der Beweis des Verschuldens des Datenbankinhabers muss der Betroffene beweisen – er muss also u.U. beweisen, dass die technischen Massnahmen zum Schutz der Daten nicht angemessen waren. ((Dritte wirken unbefugt auf die Personendaten ein – die Daten werden gefälscht – aufgrund der falschen Angaben wird ein Entscheid getroffen, der finanzielle Auswirkungen hat (Bsp: Prüfung der Kreditwürdigkeit) – Kläger muss jetzt beweisen, dass der Inhaber der Datenbank es fährlässig unterlassen hat, die notwendigen Sicherheitsmassnahmen zu treffen.  Beweis des Verschuldens. Genugtuung – grosser immaterieller Unbill - wird in den seltensten Fällen zum Zug kommen. Berichtigung von Daten – Veröffentlichung der Berichtigung / des Urteils – kann abschreckende Wirkung für den DB-Betreiber haben. Sperrung der Weitergabe an Dritte – oder vollständige Vernichtung der Personendaten Klage auf korrekte Auskunft ((Klagen eine drohende Persönlichkeitsverletzung zu unterlassen – z.B bei drohender Bekanntgabe an Dritte  Richter kann verbieten und Strafandrohung (Ungehorsam) – weil es eilt: meist zuerst mit vorsorglichen Massnahmen. Klage auf Beseitigung z.B. einer unrechtmässig erstellten Personendatenbank (meist nicht verhältnismässig – darum nur Recht auf Vernichtung bzw. Berichtigung der Personendaten) – wichtig: besteht ein Anspruch auf Mitteilung der Berichtigung an Dritte u.u. auch ein Anspruch auf Urteilsveröffentlichung  das kann natürlich abschreckend wirken. Schadenersatzklage –Auskunftsrecht ist auch einklagbar Art. 15 Rechtsansprüche und Verfahren – v.a. Verweis auf die Klagearten im ZGB und OR 1 Für Klagen und vorsorgliche Massnahmen zum Schutz der Persönlichkeit gelten die Artikel 28–28l des Zivilgesetzbuches. Der Kläger kann insbesondere verlangen, dass die Personendaten berichtigt oder vernichtet werden oder dass ihre Bekanntgabe an Dritte gesperrt wird. 2 Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so kann der Kläger verlangen, dass bei den Daten ein entsprechender Vermerk angebracht wird. 3 Er kann verlangen, dass die Berichtigung, Vernichtung, Sperre, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird. Die Behelfe sind oft „zahnlos“ - es gibt demnach auch nicht allzu viele Urteile zum DSG 1)      Persönlichkeitsverletzung schon begangen – Weitergabe, Verwendung, Verarbeitung ist unwiderruflich erfolgt. 2)      Schadenersatzklage – nachweisbarer Schaden (meist fehlt es an einem Vermögensschaden) 3)      Immaterieller Unbill – Genugtuung – schwierig zu erhalten -         von Vorteil: andere Mittel: EDSB, Meldepflicht – Strafrechtl. Konsequenzen, Strafrechtliche Verfolgung

Sanktionierung von Verstössen gegen das Datenschutzgesetz Strafrechtliche Sanktionen bei: Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten (Art. 34 DSG) Verletzung der beruflichen Schweigepflicht (Art. 35 DSG) Verletzung von Spezialtatbeständen des StGB (Art. 143 ff. StGB, 179novies DSG) Strafrechtliche Verantwortung – nie das Unternehmen, sondern immer die verantwortliche natürliche Person. Es drohen Haft oder Busse bei vorsätzlicher Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten (stellt damit juristisch gesehen eine Übertretung dar) – Busse max. 5000.-, Haft max. 3 Monate. Art. 34 Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten 1 Private Personen, die ihre Pflichten nach den Artikeln 8, 9 und 10 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen, werden auf Antrag mit Haft oder mit Busse bestraft. 2 Mit Haft oder mit Busse werden private Personen bestraft, die vorsätzlich: a. Datensammlungen nach Artikel 11 oder Datenbekanntgaben ins Ausland nach Artikel 6 nicht melden oder bei der Meldung falsche Angaben machen; b. dem Datenschutzbeauftragten bei der Abklärung eines Sachverhaltes (Art. 29) falsche Auskünfte erteilen oder die Mitwirkung verweigern. Verletzung der beruflichen Schweigepflicht (Art. 35 DSG) – besonders Ärzte, Anwälte etc. Unbefugtes Beschaffen von Personendaten (Art. 179novies StGB) etc. – ist ein Vergehen! Bis max. 3 Jahre Gefängnis

Zusammenfassung Transparenz Einwilligung Daten vermeiden Daten löschen  Zweckbindung  Rechte der Betroffenen beachten Datensicherheit gewährleisten Einwilligung und Transparenz – zeigen Sie Ihren Kunden/der betroffenen Person auf, was Sie mit den Personendaten machen – z.B. über eine Datenbearbeitungserklärung – holen Sie so die Einwilligung. – Wichtig: Je stärker in die Persönlichkeitsrechte eingegriffen wird, desto klarer muss die Einwilligung sein! Daten vermeiden – Verhältnismässigkeitsprinip – Verzicht auf Personenbezogenheit bei der Sammlung von Personendaten Daten löschen – wenn Zweck weggefallen ist – Zweckgebundenheit Rechte der Betroffenen: Auskunftsrecht, Berichtigungsrecht, Recht, Bearbeitung zu verbieten, Herausgabe sperren lassen etc.  technische Vorkehrungen treffen!!! Datensicherheit – angemessener Schutz der Personendaten – Einsatz von Firewalls, Passwörtern, kryptografische Methoden.

Online-Quellen www.edsb.ch www.datenschutz.ch www.admin.ch/ch/d/sr/c235_1.html Zentral: Gesetzes- und Verordnungstext – online unter admin.ch abrufbar. Website des Eidgenössischen Datenschutzbeauftragten. Pflicht Private zu informieren – kommt dem auf der Website edsb.ch ausgezeichnet nach. Infos zu Datensicherheit (inkl. Leitfaden), Ueberwachung der AN am Arbeitsplatz, Spamming etc. Website des ZH-Datenschutzbeauftragten – Vorträge, Beiträge zu E-Commerce und Datenschutz, Datensicherheit. Datenschutzseite der EU – Ausgangsseite für alle relevanten Informationen – inkl. der EU-weit geltenden Richtlinien www.datenschutz.ch europa.eu.int/comm/internal_market/privacy

Online-Quellen www.weblaw.ch www.weblaw.ch/datenbank www.lawsearch.ch Online-Plattform von Weblaw Hier finden Sie nuetzliche Werkzeuge bei der Recherche nach juristischen Informationen im Internet z.B. kostenlose juristische Linkliste mit ueber 3500 in 2 sprachen kommentierten Links - z.B. Kategorie Informatik und Recht (dann Laenderspezifische Auswahl – dann Rechtsgebiet – Datenschutz oder E-Commerce oder Strafrecht, Domain Namen (...) Kostenlose juristische Suchmaschine Lawsearch.ch – selektive Suche in ueber 94 juristischen DB. Gesetze, Urteile, Zeitschriften etc. Mit Operatoren suche eingrenzen. Letzter Tipp: law.sunrise.ch – News im Bereich Informatikrecht. Pro Monat rund 10 Beiträge zu aktuellen Urteilen, Gesetzesrevisionen, Problembereichen – oft auch datenschutzrechtliche Informationen. www.lawsearch.ch law.sunrise.ch

„Sicher ist sicher“, www.datenschutz.ch Fragen? Cartoon aus „Sicher ist sicher“, www.datenschutz.ch Die Vortragsfolien sind während den nächsten Wochen auf http://www.weblaw.ch/kompetenzzentrum/publikationen.asp (Publikationen Mathias Kummer) wiedergegeben. mathias.kummer@weblaw.ch 031 398 80 98 Hinweis – online Hinweis Weiterbildung – Abendseminar IT-Recht für die Praxis – Themen: IT-Vertragsgestaltung/Urheberrecht/Haftungsfragen/Datenschutz etc. (zusammen mit sofnet – Aktionsprogramm des Bundes) Besten Dank.