Datenschutz im Unternehmen mag iur Maria Winkler IT

Datenschutz im Unternehmen mag. iur. Maria Winkler, IT & Law Consulting Gmb. H

Agenda TEIL 1 Ø Die Wichtigkeit von Datenschutz für Unternehmen Ø Verantwortung für den Datenschutz Ø Die häufigsten Diskrepanzen mit der Datenschutzgesetzgebung 2

Datenschutz – was ist das? Ø Datenschutz ist Persönlichkeitsschutz! Ø Personendaten: Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Ø Bearbeitung: Jeder Umgang mit Personendaten unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. Ø Bestimmbar: Die Identifikation aus der Kombination verschiedener Informationen ist ohne unverhältnismässigen Aufwand möglich (z. B. Kunden-Nr. E-Mail-Adresse, Autonummer, etc. ). 3

Besondere Gefahr der Persönlichkeitsverletzung Ø Besonders schützenswerte Personendaten (Art. 3 lit. c DSG): – Angaben über religiöse, weltanschauliche oder politische Haltung, Intimsphäre, Gesundheit, ethnische Zugehörigkeit, Massnahmen der Sozialhilfe, administrative und strafrechtliche Massnahmen und Sanktionen. Ø Persönlichkeitsprofile (Art. 3 lit. d DSG): – Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der natürlichen Person erlaubt. – Bsp. : Wenn verschiedene Angaben über den Ansprechpartner in einem Customer-Relationship-Management-System (CRM) gesammelt werden, um ihn marketingmässig optimal zu betreuen. – Nur Geburtsdatum, Name, Adresse genügen nicht! 4

Datensammlung (Art. 3 lit. g DSG) Ø Jeder Datenbestand von Personendaten, welcher so aufgebaut ist, dass Daten nach betroffenen Personen erschliessbar sind. – Beispiele: die Festplatte in einem PC, Listen, Ordner, Aktenablagen, elektr. Datenträger etc. Ø Ausschlaggebend ist, dass die Informationen über bestimmte Personen mit vernünftigem Aufwand auffindbar sind. Ø Die Definition, ob etwas eine Datensammlung ist, ist massgebend für diverse Rechtsfolgen, z. B. betreffend Datenbekanntgabe ins Ausland, Auskunfts- und Einsichtsrecht, Registrierung etc. 5

Datenschutz managen – was bedeutet das? Ø Jedes Unternehmen bearbeitet Personendaten bspw. Daten von Mitarbeitenden, Kunden, Lieferanten oder Geschäftspartnern. Ø Im Vordergrund steht die optimale Nutzbarkeit der Daten: – Verfügbarkeit – Verknüpfungen sollen möglich sein – Auswertungen sollen möglich sein Ø Dabei sind auch datenschutzrechtliche Vorgaben einzuhalten. Ø Eine Verletzung datenschutzrechtlicher Vorgaben kann neben Schadenersatzansprüchen der in ihrer Persönlichkeit verletzten Person auch Imageschäden zur Folge haben! 6

Wer ist verantwortlich? Ø Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben liegt beim Unternehmen. Ø Das Unternehmen muss die erforderlichen Massnahmen ergreifen, damit Persönlichkeitsverletzungen verhindert werden können. Ø Wird ein betrieblicher Datenschutzbeauftragter ernannt, dann hat dieser Beratungs– und Kontrollfunktionen, die Verantwortung bleibt beim Unternehmen! Ø Verstösst ein Mitarbeitender gegen die datenschutzrechtlichen Vorschriften des Unternehmens und resultiert daraus für den Arbeitgeber ein Schaden, dann kann dieser Regress nehmen. 7

Betrieblicher Datenschutzbeauftragter (Art. 12 a und 12 b VDSG) Ø Gemäss DSG besteht keine grundsätzliche Pflicht, einen Datenschutzbeauftragen zu ernennen! Ø Anders, wenn sich das Unternehmen von seiner allenfalls bestehenden Pflicht zu Meldung von Datensammlungen befreien möchte oder ein Datenschutz-Zertifikat nach der Verordnung über die Datenschutz. Zertifizierung (VDSZ) erwerben möchte, welches ebenfalls die Ernennung eines Datenschutzbeauftragten fordert. Ø Voraussetzungen: – Ist fachlich unabhängig und nicht weisungsgebunden – muss über die erforderlichen Fachkenntnisse verfügen – muss Zugang zu allen für seine Aufgabe benötigten Datensammlungen und Datenbearbeitungen und Informationen haben – Führt eine Liste der im Betrieb vorhandenen Datensammlungen 8

Praktische Umsetzungsprobleme Ø In der Praxis wird die Datenbearbeitung häufig an externe Partner geoutsourct – dabei werden in der Regel keine Kontrollrechte und Informationspflichten vereinbart und es wird häufig gegen das Zweckbindungsgebot verstossen. Ø Achtung! Das Unternehmen ist dafür verantwortlich, dass der Outsourcingpartner die Daten des Unternehmens gesetz- und zweckmässig bearbeitet. Ø Häufig werden Daten im Rahmen des Outsourcings auch im Ausland bearbeitet. Werden die Daten in einen „unsicheren Empfängerstaat“ weitergeleitet, dann müssen zwingend die Vorgaben des Art. 6 DSG beachtet werden. 9

Mitarbeiterdaten Ø Die Nutzung von Internet und E-Mail wird häufig kontrolliert, ohne dass die Mitarbeitenden darüber informiert sind. Ø Zeiterfassungssysteme und Zutrittkontrollsysteme erfassen oft zu viele Daten, die auch ausgewertet werden. Ø Personaldossiers enthalten zu viele Informationen und werden zu lange aufbewahrt. 10

Kundendaten Ø In Customer Relationship Management Systemen (CRM) werden zu viele Daten über die Kunden gespeichert, ohne dass diese darüber informiert sind (Persönlichkeitsprofile). Ø Die Kundendaten sind zu vielen Personen im Unternehmen zugänglich. Ø Die Kundendaten werden zu lange aufbewahrt. Ø Die Datensicherheit ist nicht gewährleistet. Ø Kundendaten werden bei neuen IT-Projekten zu Testzwecken verwendet (und dabei auch häufig ins Ausland weitergeleitet). 11

Systematische Umsetzung von Datenschutz Ø Mindestmassnahmen, um die gesetzlichen Anforderungen zu erfüllen und die Datenbearbeitung im Unternehmen zu standardisieren und zu kontrollieren sind: 1. 2. 3. 4. Erhebung der gesetzlichen Grundlagen Die Ernennung eines betrieblichen Datenschutzbeauftragten Erlass von Weisungen Die Erhebung der Datensammlungen einschliesslich Konformitätsbeurteilung 5. Gewährleistung der Datensicherheit 6. Schulung der Mitarbeitenden 12

Gesetzliche Grundlagen- was gilt? Ø Allgemeine Gesetzliche Grundlagen – Datenschutzgesetz des Bundes (DSG, SR 235. 1) und die zugehörige Verordnung (VDSG, SR 235. 11) – Verordnung über die Datenschutzzertifizierungen (VDSZ, SR 235. 13) – Richtlinie über die Mindestanforderungen an das Datenschutzmanagementsystem und Anhang – Art. 328 b OR: Der Arbeitgeber darf nur die Daten bearbeiten, welche die Eignung für das Arbeitsverhältnis betreffen oder für die Erfüllung des Arbeitsvertrages erforderlich sind. Ø Spezialgesetzliche Grundlagen für einzelne Bereiche – Gesundheitsbereich (bspw. ärztliche Schweigepflicht) – Banken- und Versicherungsbranche (bspw. Bankgeheimnis, Schweigepflicht im Sozialversicherungsrecht etc. ) 13

Policies und Weisungen Ø Erlass von Policies und Weisungen als Grundvoraussetzung für die Standardisierung des Umgangs mit Personendaten. – Berücksichtigung der unternehmensinternen Abläufe und der spezifischen für das eigene Unternehmen geltenden gesetzlichen Grundlagen. Ø Im Idealfall widerspiegelt die Weisung die Datenbearbeitung und die damit verbundenen Risiken im Unternehmen. Ø Geregelt werden sollte: – – gesetzlichen Grundlagen, auf welche sich die Weisung stützt Verantwortung für den Umgang mit Personendaten auf allen Stufen Vorgehen bei Auskunftsbegehren nach Art. 8 DSG Massnahmen der Datensicherheit sowie allfällige Sanktionen bei 14 Verstössen

Datensammlungen Ø Der Kontrollierter Umgang mit Personendaten setzt zwingend voraus, dass das Unternehmen sich einen Überblick über alle seine Datensammlungen verschafft! Ø Meistens wird diese Aufgabe durch den betrieblichen Datenschutzbeauftragten vorgenommen, ohne die Unterstützung der Mitarbeitenden ist eine vollständige Erhebung der Datensammlungen aber unmöglich zu realisieren! Ø Der Entscheid zur Erhebung der Datensammlungen soll deshalb von der Unternehmensführung ausdrücklich an die Mitarbeiter kommuniziert werden! 15

Konformitätsbeurteilung Ø Nach der Erhebung der Datensammlungen! Ø Für jede Datensammlung muss beurteilt werden, ob die gesetzlichen Anforderungen bei der Datenbearbeitung erfüllt werden. – Die Datensammlung ist eventuell veraltet, muss aktualisiert oder vernichtet werden. Ø Konformitätsbeurteilung als Voraussetzung für eine Risikoanalyse! – Datenschutzrechtliche Risiken werden erkannt und können bewertet werden. – Allfällige vorsorgliche Massnahmen zur Reduktion können unmittelbar eingeleitet werden. 16

Datensicherheit Ø Ganzheitlicher Ansatz – IT-Sicherheit – Physische Sicherheit, elektronische Sicherheit, Sicherheit von physischen Dokumenten Ø Gewährleistung der Vertraulichkeit (Art. 9 VDSG) Ø Datensicherheit muss auch gewährleistet werden, wenn die Datenbearbeitung im Rahmen eines Outsourcings (Art. 10 a DSG) an Dritte ausgelagert wird. Ø Zugangskontrolle; Personendatenträgerkontrolle, etc. 17

Schulung der Mitarbeitenden Ø Zur korrekten Umsetzung der datenschutzrechtlichen Vorgaben gehört auch die systematische Schulung der Mitarbeitenden zu datenschutzrechtlichen Fragen. Ø In den Schulungen sollten die Datenschutzvorgaben in der praktischen Anwendung im Unternehmen erklärt werden. Ø Der Arbeitgeber kann allfällige Regressansprüche gegen einen fehlbaren Mitarbeitenden nur dann geltend machen, wenn er diesen sorgfältig ausgewählt, instruiert und kontrolliert! 18

Fazit Ø Datenschutzrechtliche Vorgaben sollten nicht isoliert betrachtet werden – Datenschutz ist ein Querschnittsthema! Ø Die rechtzeitige Beachtung der gesetzlichen Vorgaben schützt vor nachträglichen Verbesserungsmassnahmen. Ø Datenschutz sollte zudem systematisch in allen Bereichen, in denen Personendaten bearbeitet werden, beachtet werden. 19

Prüfung der Gesetzeskonformität in der Bearbeitung der Personendaten mag. iur. Maria Winkler, IT & Law Consulting Gmb. H

Agenda TEIL 2 Ø Gesetzeskonformität in der Bearbeitung der Personendaten überprüfen – Welche Fragen entstehen? – Wie setze ich Prioritäten? – Was mache ich mit Abweichungen? 21

Auskunftsrecht Registrierung der Datensammlungen Datensicherheit Grenzüberschreitende Bekanntgabe Richtigkeit (Daten) Zweckbindung Verhältnismässigkeit Transparenz (Erkennbarkeit & Informationspflicht) Rechtmässigkeit (Bearbeitung) Bearbeitungsprinzipien 22

Rechtmässigkeit und Transparenz Ø Rechtmässigkeit – Bearbeitung in einer rechtmässigen Art und Weise. Ø Transparenz - Die Beschaffung der Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. - Heimliches Sammeln ist nicht erlaubt! - Unproblematisch ist jede Datenerhebung, welche die Mitwirkung der betroffenen Person erfordert (bspw. Dateneingabe auf Website). - Bei besonders schützenswerten Personendaten / Persönlichkeitsprofilen muss aktiv über den Zweck der Datenbearbeitung, den Inhaber der Datensammlung und Kategorie der Datenempfänger informiert werden (Art. 14 DSG)! 23

Zweckbindung u. Verhältnismässigkeit Ø Zweckbindung - Verwendung der Daten nur zum vorgegebenen Zweck! - Bei Zweckänderung muss die Einwilligung der betroffenen Person eingeholt werden. - Bsp. : Werden bei einer Bestellung Kundendaten aus Bestellformularen an Dritte weitergegeben, ist die Einwilligung des Kunden erforderlich! - Bsp. : Auch bei der Aufbewahrung von Unterlagen eines abgewiesenen Stellenbewerbers ist die Einwilligung erforderlich. Ø Verhältnismässigkeit - Bearbeitung nur soweit, wie für Aufgabenerfüllung notwendig und geeignet. - Nicht mehr benötigte Daten müssen vernichtet oder anonymisiert/ pseudonymisiert werden, sofern keine Archivierungs- oder Aufbewahrungspflicht bestehen. - Keine Datensammlung auf Vorrat! 24

Richtigkeit und Datensicherheit Ø Richtigkeit – Regelmässige Überprüfung, Berichtigung oder Ergänzung der Daten. Ø Datensicherheit (Art. 7 DSG) – Integrität, Vertraulichkeit und Verfügbarkeit der Daten muss gewährleistet sein. – Organisatorische Massnahmen, wie das Abschliessen von Schränken und Räumen, der Erlass von Weisungen und Richtlinien, die Schulung von Mitarbeitenden etc. – Technische Massnahmen, wie der Gebrauch von Passwörtern, Antivirenprogramme, Firewall, Zugriffsberechtigungen, Verschlüsselungstechnologien etc. 25

Das Auskunftsrecht (Art. 8 DSG) Ø Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Ø Der Inhaber der Datensammlung muss der betroffenen Person mitteilen – alle über sie in der Datensammlung vorhandenen Daten einschliesslich Angaben über die Herkunft der Daten; – den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie – die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger. Ø Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie innert 30 Tagen sowie kostenlos zu 26 erteilen.

Meldepflicht für Datensammlungen (Art. 11 a DSG) Ø Private Personen müssen Datensammlungen anmelden, wenn – regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden; – regelmässig Personendaten an Dritte bekannt gegeben werden. Ø Der EDÖB führt ein Register dieser angemeldeten Datensammlungen, das über das Internet zugänglich ist. – Jede Person kann das Register einsehen! – Eine Online-Anmeldung ist möglich unter folgender Adresse http: //www. edoeb. admin. ch/themen/00794/01342/index. html? la ng=de 27

Ausnahmen von der Meldepflicht (Art. 11 a Abs. 5 DSG) Ø Der Inhaber einer Datensammlung muss seine Sammlung nicht anmelden, wenn – private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbeiten; – der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil die Rechte der betroffenen Personen nicht gefährdet werden (Vgl. Ausnahmen in der VDSG); – er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt (Vgl. Art. 12 a-12 b VDSG); – er aufgrund eines Zertifizierungsverfahrens ein Datenschutzqualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauftragten mitgeteilt hat. 28

Weitere Ausnahmen von der Meldepflicht Ø Ausdrücklich von der Meldepflicht ausgenommen hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Personaldossiers, sofern darin nicht mehr Daten gespeichert werden, als gesetzlich erlaubt sind. Ø Weitere Ausnahmen: – Datensammlungen von Lieferanten und Kunden – Buchhaltung – sogenannte Hilfsdatensammlungen der Personalverwaltung • Bspw. Arbeitskopien von Dokumenten, welche aus organisatorischen Gründen erstellte werden. 29

Datenbearbeitung durch Dritte (Art. 10 a DSG) Ø Die Bearbeitung der Personendaten wird an Dritte übertragen. – bspw. durch Vereinbarung (Outsourcing) Ø Zulässig, wenn – Daten nur so bearbeitet werden, wie der Auftraggeber es selbst dürfte; – keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Ø Der Auftraggeber muss sich vergewissern, dass der Dritte die Datensicherheit gewährleistet. Ø Der Auftraggeber bleibt für den Datenschutz verantwortlich! 30

Weiterleitung von Personendaten ins Ausland (Art. 6 DSG) Ø Personendaten dürfen nur ins Ausland bekannt gegeben werden, wenn eine Gesetzgebung einen angemessenen Schutz gewährleistet. Ø Der EDÖB führt eine Liste der Staaten, die in Bezug auf das schweizerische Recht einen angemessenen Datenschutz gewährleisten (Art. 7 VDSG). Ø Zu finden ist diese Liste unter http: //www. edoeb. admin. ch/themen/00794/00827/index. html? la ng=de Ø Soll die Übermittlung in ein Land erfolgen, das nicht auf der Liste aufgeführt ist, dann müssen zusätzliche Massnahmen ergriffen 31 werden, um den Datenschutz sicherzustellen.

Weiterleitung von Personendaten ins Ausland (Art. 6 DSG) Ø Verwendet die Parteien Musterverträge oder Standardvertragsklauseln, welche vom EDÖB erstellte oder von ihm anerkannt sind und wird dies dem EDÖB gemeldet, dann sind damit die gesetzlichen geforderten Garantien erfüllt. Ø Die Parteien können aber auch ein eigenen Vertragswerk erstellen, müssen dies aber ebenfalls dem EDÖB melden. Ø Ist der angemessenen Schutz im Empfängerstaat nicht gewährleistet und wird kein Vertrag abgeschlossen, dann kann die Rechtmässigkeit der Übermittlung aber auch anders, beispielsweise durch die Einwilligung der betroffenen Person sichergestellt werden. 32

Priorisierung Ø Bei der Prioritätensetzung sollten die Probleme vorrangig behandelt werden, welche ein besonders hohes datenschutzrechtliches Risiko bergen, z. B. – weil eine grosse Anzahl von Personen betroffen ist, – weil besonders schützenswerte Personendaten oder Persönlichkeitsprofile betroffen sind. Ø Das Risiko des Unternehmens, bei einer Datenschutzverletzung einen Schaden zu erleiden, muss natürlich mit berücksichtigt werden. 33

Abweichungen Ø Abweichungen sollten dem betrieblichen Datenschutzbeauftragten gemeldet werden. Ø Dieser sollte die Abweichungen erfassen und festhalten, welche Massnahmen ergriffen werden sowie wer dafür zuständig ist. Ø Zudem sollte sichergestellt werden, dass aus Datenschutzverletzungen Verbesserungsmassnahmen abgeleitet werden! 34

Fazit Ø Umsetzungsmassnahmen können eine Datenschutzverletzung nicht absolut verhindern. Ø Ein kontrollierter und systematischer Umgang mit Personendaten sowie die Regelung der entsprechenden Verantwortung erhöht aber die Qualität der Datenbearbeitung und die entsprechenden Abläufe werden kontrollierbarer gemacht. Ø Abläufe, werden in der Regel früher erkannt und die Zuständigkeiten und Abläufe sind für den Mitarbeitenden klarer. Dadurch sinkt das Risiko, dass ein Vorfall schwerwiegende Imageschäden nach sich zieht. Ø Der Initialaufwand rentiert in jedem Fall! 35

Fragen? mag. iur. Maria Winkler IT & Law Consuling Gmb. H Grafenaustrasse 5 6003 Zug www. itandlaw. ch maria. winkler@itandlaw. ch 36