Transcript - IT & Law Consulting GmbH

Datenschutz im Unternehmen
mag.iur. Maria Winkler, IT & Law Consulting GmbH
Agenda
TEIL 1
 Die Wichtigkeit von Datenschutz für Unternehmen
 Verantwortung für den Datenschutz
 Die häufigsten Diskrepanzen mit der Datenschutzgesetzgebung
2
Datenschutz – was ist das?
 Datenschutz ist Persönlichkeitsschutz!
 Personendaten: Alle Angaben, die sich auf eine bestimmte
oder bestimmbare Person beziehen.
 Bearbeitung: Jeder Umgang mit Personendaten unabhängig
von den angewandten Mitteln und Verfahren, insbesondere das
Beschaffen, Aufbewahren, Verwenden, Umarbeiten,
Bekanntgeben, Archivieren oder Vernichten von Daten.
 Bestimmbar: Die Identifikation aus der Kombination
verschiedener Informationen ist ohne unverhältnismässigen
Aufwand möglich (z.B. Kunden-Nr. E-Mail-Adresse,
Autonummer, etc.).
3
Besondere Gefahr der
Persönlichkeitsverletzung
 Besonders schützenswerte Personendaten (Art. 3 lit. c
DSG):
– Angaben über religiöse, weltanschauliche oder politische Haltung,
Intimsphäre, Gesundheit, ethnische Zugehörigkeit, Massnahmen der
Sozialhilfe, administrative und strafrechtliche Massnahmen und Sanktionen.
 Persönlichkeitsprofile (Art. 3 lit. d DSG):
– Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte
der natürlichen Person erlaubt.
– Bsp.: Wenn verschiedene Angaben über den Ansprechpartner in einem
Customer-Relationship-Management-System (CRM) gesammelt werden,
um ihn marketingmässig optimal zu betreuen.
– Nur Geburtsdatum, Name, Adresse genügen nicht!
4
Datensammlung (Art. 3 lit. g DSG)
 Jeder Datenbestand von Personendaten, welcher so
aufgebaut ist, dass Daten nach betroffenen Personen
erschliessbar sind.
– Beispiele: die Festplatte in einem PC, Listen, Ordner,
Aktenablagen, elektr. Datenträger etc.
 Ausschlaggebend ist, dass die Informationen über bestimmte
Personen mit vernünftigem Aufwand auffindbar sind.
 Die Definition, ob etwas eine Datensammlung ist, ist
massgebend für diverse Rechtsfolgen, z.B. betreffend
Datenbekanntgabe ins Ausland, Auskunfts- und Einsichtsrecht,
Registrierung etc.
5
Datenschutz managen – was bedeutet
das?
 Jedes Unternehmen bearbeitet Personendaten bspw. Daten von
Mitarbeitenden, Kunden, Lieferanten oder Geschäftspartnern.
 Im Vordergrund steht die optimale Nutzbarkeit der Daten:
– Verfügbarkeit
– Verknüpfungen sollen möglich sein
– Auswertungen sollen möglich sein
 Dabei sind auch datenschutzrechtliche Vorgaben einzuhalten.
 Eine Verletzung datenschutzrechtlicher Vorgaben kann neben
Schadenersatzansprüchen der in ihrer Persönlichkeit verletzten
Person auch Imageschäden zur Folge haben!
6
Wer ist verantwortlich?
 Die Verantwortung für die Einhaltung der
datenschutzrechtlichen Vorgaben liegt beim Unternehmen.
 Das Unternehmen muss die erforderlichen Massnahmen
ergreifen, damit Persönlichkeitsverletzungen verhindert werden
können.
 Wird ein betrieblicher Datenschutzbeauftragter ernannt, dann
hat dieser Beratungs– und Kontrollfunktionen, die
Verantwortung bleibt beim Unternehmen!
 Verstösst ein Mitarbeitender gegen die datenschutzrechtlichen
Vorschriften des Unternehmens und resultiert daraus für den
Arbeitgeber ein Schaden, dann kann dieser Regress nehmen.
7
Betrieblicher Datenschutzbeauftragter
(Art. 12a und 12b VDSG)
 Gemäss DSG besteht keine grundsätzliche Pflicht, einen
Datenschutzbeauftragen zu ernennen!
 Anders, wenn sich das Unternehmen von seiner allenfalls bestehenden
Pflicht zu Meldung von Datensammlungen befreien möchte oder ein
Datenschutz-Zertifikat nach der Verordnung über die DatenschutzZertifizierung (VDSZ) erwerben möchte, welches ebenfalls die
Ernennung eines Datenschutzbeauftragten fordert.
 Voraussetzungen:
– Ist fachlich unabhängig und nicht weisungsgebunden
– muss über die erforderlichen Fachkenntnisse verfügen
– muss Zugang zu allen für seine Aufgabe benötigten Datensammlungen und
Datenbearbeitungen und Informationen haben
– Führt eine Liste der im Betrieb vorhandenen Datensammlungen
8
Praktische Umsetzungsprobleme
 In der Praxis wird die Datenbearbeitung häufig an externe
Partner geoutsourct – dabei werden in der Regel keine
Kontrollrechte und Informationspflichten vereinbart und es wird
häufig gegen das Zweckbindungsgebot verstossen.
 Achtung! Das Unternehmen ist dafür verantwortlich, dass der
Outsourcingpartner die Daten des Unternehmens gesetz- und
zweckmässig bearbeitet.
 Häufig werden Daten im Rahmen des Outsourcings auch im
Ausland bearbeitet. Werden die Daten in einen „unsicheren
Empfängerstaat“ weitergeleitet, dann müssen zwingend die
Vorgaben des Art. 6 DSG beachtet werden.
9
Mitarbeiterdaten
 Die Nutzung von Internet und E-Mail wird häufig kontrolliert,
ohne dass die Mitarbeitenden darüber informiert sind.
 Zeiterfassungssysteme und Zutrittkontrollsysteme erfassen oft
zu viele Daten, die auch ausgewertet werden.
 Personaldossiers enthalten zu viele Informationen und werden
zu lange aufbewahrt.
10
Kundendaten
 In Customer Relationship Management Systemen (CRM)
werden zu viele Daten über die Kunden gespeichert, ohne dass
diese darüber informiert sind (Persönlichkeitsprofile).
 Die Kundendaten sind zu vielen Personen im Unternehmen
zugänglich.
 Die Kundendaten werden zu lange aufbewahrt.
 Die Datensicherheit ist nicht gewährleistet.
 Kundendaten werden bei neuen IT-Projekten zu Testzwecken
verwendet (und dabei auch häufig ins Ausland weitergeleitet).
11
Systematische Umsetzung von
Datenschutz
 Mindestmassnahmen, um die gesetzlichen Anforderungen zu
erfüllen und die Datenbearbeitung im Unternehmen zu
standardisieren und zu kontrollieren sind:
1.
2.
3.
4.
Erhebung der gesetzlichen Grundlagen
Die Ernennung eines betrieblichen Datenschutzbeauftragten
Erlass von Weisungen
Die Erhebung der Datensammlungen einschliesslich
Konformitätsbeurteilung
5. Gewährleistung der Datensicherheit
6. Schulung der Mitarbeitenden
12
Gesetzliche Grundlagen- was gilt?
 Allgemeine Gesetzliche Grundlagen
– Datenschutzgesetz des Bundes (DSG, SR 235.1) und die zugehörige
Verordnung (VDSG, SR 235.11)
– Verordnung über die Datenschutzzertifizierungen (VDSZ, SR 235.13)
– Richtlinie über die Mindestanforderungen an das
Datenschutzmanagementsystem und Anhang
– Art. 328b OR: Der Arbeitgeber darf nur die Daten bearbeiten, welche die
Eignung für das Arbeitsverhältnis betreffen oder für die Erfüllung des
Arbeitsvertrages erforderlich sind.
 Spezialgesetzliche Grundlagen für einzelne Bereiche
– Gesundheitsbereich (bspw. ärztliche Schweigepflicht)
– Banken- und Versicherungsbranche (bspw. Bankgeheimnis,
Schweigepflicht im Sozialversicherungsrecht etc.)
13
Policies und Weisungen
 Erlass von Policies und Weisungen als Grundvoraussetzung für
die Standardisierung des Umgangs mit Personendaten.
– Berücksichtigung der unternehmensinternen Abläufe und der
spezifischen für das eigene Unternehmen geltenden gesetzlichen
Grundlagen.
 Im Idealfall widerspiegelt die Weisung die Datenbearbeitung und
die damit verbundenen Risiken im Unternehmen.
 Geregelt werden sollte:
–
–
–
–
gesetzlichen Grundlagen, auf welche sich die Weisung stützt
Verantwortung für den Umgang mit Personendaten auf allen Stufen
Vorgehen bei Auskunftsbegehren nach Art. 8 DSG
Massnahmen der Datensicherheit sowie allfällige Sanktionen bei
14
Verstössen
Datensammlungen
 Der Kontrollierter Umgang mit Personendaten setzt zwingend
voraus, dass das Unternehmen sich einen Überblick über alle
seine Datensammlungen verschafft!
 Meistens wird diese Aufgabe durch den betrieblichen
Datenschutzbeauftragten vorgenommen, ohne die
Unterstützung der Mitarbeitenden ist eine vollständige Erhebung
der Datensammlungen aber unmöglich zu realisieren!
 Der Entscheid zur Erhebung der Datensammlungen soll deshalb
von der Unternehmensführung ausdrücklich an die Mitarbeiter
kommuniziert werden!
15
Konformitätsbeurteilung
 Nach der Erhebung der Datensammlungen!
 Für jede Datensammlung muss beurteilt werden, ob die
gesetzlichen Anforderungen bei der Datenbearbeitung erfüllt
werden.
– Die Datensammlung ist eventuell veraltet, muss aktualisiert oder
vernichtet werden.
 Konformitätsbeurteilung als Voraussetzung für eine
Risikoanalyse!
– Datenschutzrechtliche Risiken werden erkannt und können
bewertet werden.
– Allfällige vorsorgliche Massnahmen zur Reduktion können
unmittelbar eingeleitet werden.
16
Datensicherheit
 Ganzheitlicher Ansatz
– IT-Sicherheit
– Physische Sicherheit, elektronische Sicherheit, Sicherheit von
physischen Dokumenten
 Gewährleistung der Vertraulichkeit (Art. 9 VDSG)
 Datensicherheit muss auch gewährleistet werden, wenn die
Datenbearbeitung im Rahmen eines Outsourcings (Art. 10a
DSG) an Dritte ausgelagert wird.
 Zugangskontrolle; Personendatenträgerkontrolle, etc.
17
Schulung der Mitarbeitenden
 Zur korrekten Umsetzung der datenschutzrechtlichen Vorgaben
gehört auch die systematische Schulung der Mitarbeitenden zu
datenschutzrechtlichen Fragen.
 In den Schulungen sollten die Datenschutzvorgaben in der
praktischen Anwendung im Unternehmen erklärt werden.
 Der Arbeitgeber kann allfällige Regressansprüche gegen einen
fehlbaren Mitarbeitenden nur dann geltend machen, wenn er
diesen sorgfältig ausgewählt, instruiert und kontrolliert!
18
Fazit
 Datenschutzrechtliche Vorgaben sollten nicht isoliert betrachtet
werden – Datenschutz ist ein Querschnittsthema!
 Die rechtzeitige Beachtung der gesetzlichen Vorgaben schützt
vor nachträglichen Verbesserungsmassnahmen.
 Datenschutz sollte zudem systematisch in allen Bereichen, in
denen Personendaten bearbeitet werden, beachtet werden.
19
Prüfung der Gesetzeskonformität in
der Bearbeitung der Personendaten
mag.iur. Maria Winkler, IT & Law Consulting GmbH
Agenda
TEIL 2
 Gesetzeskonformität in der Bearbeitung der Personendaten
überprüfen
– Welche Fragen entstehen?
– Wie setze ich Prioritäten?
– Was mache ich mit Abweichungen?
21
Auskunftsrecht
Registrierung der
Datensammlungen
Datensicherheit
Grenzüberschreitende
Bekanntgabe
Richtigkeit (Daten)
Zweckbindung
Verhältnismässigkeit
Transparenz (Erkennbarkeit &
Informationspflicht)
Rechtmässigkeit (Bearbeitung)
Bearbeitungsprinzipien
22
Rechtmässigkeit und Transparenz
 Rechtmässigkeit
– Bearbeitung in einer rechtmässigen Art und Weise.
 Transparenz
 Die Beschaffung der Personendaten und insbesondere der Zweck ihrer
Bearbeitung müssen für die betroffene Person erkennbar sein.
 Heimliches Sammeln ist nicht erlaubt!
 Unproblematisch ist jede Datenerhebung, welche die Mitwirkung der
betroffenen Person erfordert (bspw. Dateneingabe auf Website).
 Bei besonders schützenswerten Personendaten / Persönlichkeitsprofilen
muss aktiv über den Zweck der Datenbearbeitung, den Inhaber der
Datensammlung und Kategorie der Datenempfänger informiert werden (Art.
14 DSG)!
23
Zweckbindung u. Verhältnismässigkeit
 Zweckbindung
 Verwendung der Daten nur zum vorgegebenen Zweck!
 Bei Zweckänderung muss die Einwilligung der betroffenen Person eingeholt
werden.
 Bsp.: Werden bei einer Bestellung Kundendaten aus Bestellformularen an
Dritte weitergegeben, ist die Einwilligung des Kunden erforderlich!
 Bsp.: Auch bei der Aufbewahrung von Unterlagen eines abgewiesenen
Stellenbewerbers ist die Einwilligung erforderlich.
 Verhältnismässigkeit
 Bearbeitung nur soweit, wie für Aufgabenerfüllung notwendig und geeignet.
 Nicht mehr benötigte Daten müssen vernichtet oder anonymisiert/
pseudonymisiert werden, sofern keine Archivierungs- oder
Aufbewahrungspflicht bestehen.
 Keine Datensammlung auf Vorrat!
24
Richtigkeit und Datensicherheit
 Richtigkeit
– Regelmässige Überprüfung, Berichtigung oder Ergänzung der
Daten.
 Datensicherheit (Art. 7 DSG)
– Integrität, Vertraulichkeit und Verfügbarkeit der Daten muss
gewährleistet sein.
– Organisatorische Massnahmen, wie das Abschliessen von
Schränken und Räumen, der Erlass von Weisungen und
Richtlinien, die Schulung von Mitarbeitenden etc.
– Technische Massnahmen, wie der Gebrauch von Passwörtern,
Antivirenprogramme, Firewall, Zugriffsberechtigungen,
Verschlüsselungstechnologien etc.
25
Das Auskunftsrecht (Art. 8 DSG)
 Jede Person kann vom Inhaber einer Datensammlung Auskunft
darüber verlangen, ob Daten über sie bearbeitet werden.
 Der Inhaber der Datensammlung muss der betroffenen Person
mitteilen
– alle über sie in der Datensammlung vorhandenen Daten
einschliesslich Angaben über die Herkunft der Daten;
– den Zweck und gegebenenfalls die Rechtsgrundlagen des
Bearbeitens sowie
– die Kategorien der bearbeiteten Personendaten, der an der
Sammlung Beteiligten und der Datenempfänger.
 Die Auskunft ist in der Regel schriftlich, in Form eines
Ausdrucks oder einer Fotokopie innert 30 Tagen sowie
kostenlos zu erteilen.
26
Meldepflicht für Datensammlungen
(Art. 11a DSG)
 Private Personen müssen Datensammlungen anmelden, wenn
– regelmässig besonders schützenswerte Personendaten oder
Persönlichkeitsprofile bearbeitet werden;
– regelmässig Personendaten an Dritte bekannt gegeben werden.
 Der EDÖB führt ein Register dieser angemeldeten
Datensammlungen, das über das Internet zugänglich ist.
– Jede Person kann das Register einsehen!
– Eine Online-Anmeldung ist möglich unter folgender Adresse
http://www.edoeb.admin.ch/themen/00794/01342/index.html?la
ng=de
27
Ausnahmen von der Meldepflicht
(Art. 11a Abs. 5 DSG)
 Der Inhaber einer Datensammlung muss seine Sammlung nicht
anmelden, wenn
– private Personen Daten aufgrund einer gesetzlichen Verpflichtung
bearbeiten;
– der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen
hat, weil die Rechte der betroffenen Personen nicht gefährdet werden (Vgl.
Ausnahmen in der VDSG);
– er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig
die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und
ein Verzeichnis der Datensammlungen führt (Vgl. Art. 12a-12b VDSG);
– er aufgrund eines Zertifizierungsverfahrens ein
Datenschutzqualitätszeichen erworben hat und das Ergebnis der
Bewertung dem Beauftragten mitgeteilt hat.
28
Weitere Ausnahmen von der
Meldepflicht
 Ausdrücklich von der Meldepflicht ausgenommen hat der
Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte
(EDÖB) Personaldossiers, sofern darin nicht mehr Daten
gespeichert werden, als gesetzlich erlaubt sind.
 Weitere Ausnahmen:
– Datensammlungen von Lieferanten und Kunden
– Buchhaltung
– sogenannte Hilfsdatensammlungen der Personalverwaltung
• Bspw. Arbeitskopien von Dokumenten, welche aus organisatorischen
Gründen erstellte werden.
29
Datenbearbeitung durch Dritte
(Art. 10a DSG)
 Die Bearbeitung der Personendaten wird an Dritte übertragen.
– bspw. durch Vereinbarung (Outsourcing)
 Zulässig, wenn
– Daten nur so bearbeitet werden, wie der Auftraggeber es selbst
dürfte;
– keine gesetzliche oder vertragliche Geheimhaltungspflicht es
verbietet.
 Der Auftraggeber muss sich vergewissern, dass der Dritte die
Datensicherheit gewährleistet.
 Der Auftraggeber bleibt für den Datenschutz verantwortlich!
30
Weiterleitung von Personendaten ins
Ausland (Art. 6 DSG)
 Personendaten dürfen nur ins Ausland bekannt gegeben
werden, wenn eine Gesetzgebung einen angemessenen Schutz
gewährleistet.
 Der EDÖB führt eine Liste der Staaten, die in Bezug auf das
schweizerische Recht einen angemessenen Datenschutz
gewährleisten (Art. 7 VDSG).
 Zu finden ist diese Liste unter
http://www.edoeb.admin.ch/themen/00794/00827/index.html?la
ng=de
 Soll die Übermittlung in ein Land erfolgen, das nicht auf der
Liste aufgeführt ist, dann müssen zusätzliche Massnahmen
31
ergriffen werden, um den Datenschutz sicherzustellen.
Weiterleitung von Personendaten ins
Ausland (Art. 6 DSG)
 Verwendet die Parteien Musterverträge oder
Standardvertragsklauseln, welche vom EDÖB erstellte oder
von ihm anerkannt sind und wird dies dem EDÖB gemeldet,
dann sind damit die gesetzlichen geforderten Garantien erfüllt.
 Die Parteien können aber auch ein eigenen Vertragswerk
erstellen, müssen dies aber ebenfalls dem EDÖB melden.
 Ist der angemessenen Schutz im Empfängerstaat nicht
gewährleistet und wird kein Vertrag abgeschlossen, dann kann
die Rechtmässigkeit der Übermittlung aber auch anders,
beispielsweise durch die Einwilligung der betroffenen Person
sichergestellt werden.
32
Priorisierung
 Bei der Prioritätensetzung sollten die Probleme vorrangig
behandelt werden, welche ein besonders hohes
datenschutzrechtliches Risiko bergen, z. B.
– weil eine grosse Anzahl von Personen betroffen ist,
– weil besonders schützenswerte Personendaten oder
Persönlichkeitsprofile betroffen sind.
 Das Risiko des Unternehmens, bei einer Datenschutzverletzung
einen Schaden zu erleiden, muss natürlich mit berücksichtigt
werden.
33
Abweichungen
 Abweichungen sollten dem betrieblichen
Datenschutzbeauftragten gemeldet werden.
 Dieser sollte die Abweichungen erfassen und festhalten, welche
Massnahmen ergriffen werden sowie wer dafür zuständig ist.
 Zudem sollte sichergestellt werden, dass aus
Datenschutzverletzungen Verbesserungsmassnahmen
abgeleitet werden!
34
Fazit
 Umsetzungsmassnahmen können eine Datenschutzverletzung
nicht absolut verhindern.
 Ein kontrollierter und systematischer Umgang mit
Personendaten sowie die Regelung der entsprechenden
Verantwortung erhöht aber die Qualität der Datenbearbeitung
und die entsprechenden Abläufe werden kontrollierbarer
gemacht.
 Abläufe, werden in der Regel früher erkannt und die
Zuständigkeiten und Abläufe sind für den Mitarbeitenden klarer.
Dadurch sinkt das Risiko, dass ein Vorfall schwerwiegende
Imageschäden nach sich zieht.
 Der Initialaufwand rentiert in jedem Fall!
35
Fragen?
mag. iur. Maria Winkler
IT & Law Consuling GmbH
Grafenaustrasse 5
6003 Zug
www.itandlaw.ch
[email protected]
36