Kriterienkatalog für Datenschutzzertifizierungen (Art. 14a DSG)

Transkript

1 1/15 D A TEN S C H U TZ STELLE FÜRSTENTUM LIECHTENSTEIN ÖFFENTLICH Kriterienkatalog für Datenschutzzertifizierungen (Art. 14a DSG) Änderungskontrolle Version Datum Beschreibung, Bemerkung Autor Dezember 2013 Erstmalige Veröffentlichung DSS Elektronisch verfügbar unter (Zertifizierungen).

2 2/15 Inhaltsverzeichnis 0. Einleitung Grundsätze der Datenbearbeitung Anforderungen an die Datensicherheit Zulässigkeit der Datenbearbeitung Pflichten des Inhabers einer Datensammlung Rechte der betroffenen Personen Anforderungen an das Datenschutzmanagementsystem Abkürzungsverzeichnis Abkürzung Art. Artikel bzw. beziehungsweise DSG Datenschutzgesetz DSS Datenschutzstelle DSV Datenschutzverordnung gem. gemäss IEC International Electrotechnical Commission inkl. inklusive insb. insbesondere ISO International Organization for Standardization s. siehe VDSZ Verordnung über die Datenschutzzertifizierungen vgl. vergleiche z. B. zum Beispiel

3 3/15 0. Einleitung 0.1 Allgemeines Der vorliegende Kriterienkatalog ist Grundlage für eine Datenschutzzertifizierung nach Art. 14a DSG in Verbindung mit der Verordnung über die Datenschutzzertifizierungen (VDSZ) für private Personen und Behörden. Je nach Bereich (z. B. Sozialversicherung, Gesundheit, Finanzen) gelten spezialgesetzliche Datenschutzbestimmungen. Auf solche bereichsspezifischen Vorschriften geht der vorliegende Kriterienkatalog nicht ein; diese sind daher je nach Einzelfall zusätzlich zu berücksichtigen und einzuhalten. Ziel einer Datenschutzzertifizierung ist einerseits nach aussen klar sichtbar zu machen, dass sich private Personen und Behörden dem Thema Datenschutz sowohl innerhalb der Organisation, aber auch im Umgang mit ihren Kunden sowie dem Einsatz ihrer Produkte und Dienstleistungen mit der notwendigen Sorgfalt annehmen, und andererseits sich um ein Datenschutzniveau bemühen, das über das gesetzliche Anforderungsminimum hinausgeht. Dies soll es ermöglichen, einen deutlichen Mehrwert und damit einen spürbaren Wettbewerbsvorteil zu schaffen. 0.2 Normative Referenzen Der Kriterienkatalog stützt sich insbesondere auf folgende Rechtsnormen und Standards: Datenschutzgesetz (DSG) vom 14. März 2002, LGBl 2002 Nr. 55 Verordnung zum Datenschutzgesetz (DSV) vom 9. Juli 2002 Verordnung über die Datenschutzzertifizierung (VDSZ) vom 10. Dezember Richtlinien der Datenschutzstelle (DSS), welche auf der Internetseite der DSS unter veröffentlicht sind, unter anderem: o Richtlinie über die Anwendung der Anonymisierung/Pseudonymisierung o Empfehlung zur Datensicherheit sowie zu den technischen und organisatorischen Massnahmen des Datenschutzes o Empfehlung zur Protokollierung gem. Art. 11 DSV ISO 9001 (Quality management systems Requirements) ISO/IEC Normenreihe (Information technology Security techniques Information security management systems ISMS) ISO/IEC (Information technology Security techniques Privacy framework) ISO (Risk management -- Principles and guidelines) 0.3 Definitionen Die Begriffe werden wie in den oben genannten Referenzen verwendet Datenbearbeitungssystem Ein Datenbearbeitungssystem umfasst die gesamte Datenbearbeitungsanlage mit der dazugehörenden Hardware wie Rechner, Verarbeitungseinheit oder Prozessor, Datenbank, Speichereinheit sowie Ausgabegerät, der Software oder Programme inkl. der Daten sowohl vom Nutzer wie auch von Dritten, mit welcher mathematische, umformende, übertragende oder speichernde Operationen durchgeführt werden können.

4 4/ Datenbearbeitungsprogramm Ein Datenbearbeitungsprogramm, oder auch Computerprogramm oder Software, ist eine Teilkomponente des Datenbearbeitungssystems und besteht aus der Kodierung bzw. den Befehlen sowie den Konfigurationsdaten, welche das Programm selber braucht, damit es überhaupt läuft Prozess Eine Zusammenstellung oder eine Aneinanderreihung von miteinander verbundenen oder aufeinander bezogenen Aktivitäten, welche Dateneingaben in Ergebnisse umwandeln Produkt Das Ergebnis eines Prozesses (0.3.3). Es werden vier allgemeine Produktkategorien unterschieden: Dienstleistungen, Software, Hardware und verarbeitete Rohstoffe oder Sachmittel. Viele Produkte beinhalten Elemente, welche zu verschiedenen exemplarischen Produktkategorien gehören. Welcher Kategorie das Produkt am Ende angehört, entscheidet sich nach dem vorherrschenden Produktelement System Die Gesamtheit oder eine Aneinanderreihung von Elementen, die so aufeinander bezogen oder miteinander verbunden sind und in einer solchen Weise interagieren, dass sie als eine aufgaben-, sinnoder zweckgebundene Einheit angesehen werden können Verfahren Ein nachvollziehbar und wiederholbar festgelegter Ablauf, der eine bestimmte Aktivität oder einen Prozess (0.3.3) spezifiziert Organisation Eine Gruppe von Personen oder eine Einrichtung, die planmässig und strukturiert zusammen auf ein Ziel hin arbeitet, mit klar vereinbarten Verantwortlichkeiten, Befugnissen und Beziehungen. 0.4 Schutzziele Im Fokus von Datenschutzmassnahmen steht der Schutz der Persönlichkeit der von der Datenbearbeitung betroffenen Personen Bei der Risikoeinschätzung stehen die Risiken für die betroffenen Personen anlässlich der Bearbeitung deren Daten im Zentrum Für die Beurteilung der Angemessenheit der zu treffenden Massnahmen ist der Schutz der Persönlichkeit der betroffenen Personen massgeblich. 0.5 Anwendbarkeit der Kriterien Der Kriterienkatalog ist in 6 Anforderungsgruppen unterteilt. Diese sind in ihrer Anwendbarkeit wie folgt zu unterscheiden: Die Kriterien gem. Ziffer 1 und 6 sind ohne Ausnahme anzuwenden.

5 5/ Die Kriterien gem. Ziffer 1 müssen so interpretiert werden, dass mit der Nutzung/Verwendung des zertifizierten Gegenstands die Anforderungen des Datenschutzgesetzes eingehalten werden können und die Grundeinstellung datenschutzfreundlich und datenschutzkompatibel ist Die Kriterien gem. Ziffer 2 bis 5 müssen im Einzelfall auf ihre Anwendbarkeit hinterfragt werden. Zusätzlich zu etwaigen, zwingend anzuwendenden gesetzlichen Vorgaben ist zu berücksichtigen, inwiefern ein Kriterium im Rahmen einer Weiterentwicklung oder eines Minimalstandards von Datenschutz unterstützend wirkt und deshalb anwendbar ist Es ist zu begründen, wenn ein Kriterium als nicht anwendbar beurteilt wird. 0.6 Änderungen am Zertifizierungsgegenstand Jegliche Änderungen am Zertifizierungsgegenstand sind zu dokumentieren und bei der jährlichen Prüfung vorzulegen Werden am Zertifizierungsgegenstand wesentliche Änderungen vorgenommen, verliert die Zertifizierung ihrer Gültigkeit und es ist unabhängig von der Gültigkeitsdauer des Zertifikats unverzüglich eine (Re-)Zertifizierung vorzunehmen. 1. Grundsätze der Datenbearbeitung Die Grundsätze der Datenbearbeitung von Personendaten sind direkt aus dem Datenschutzgesetz abgeleitet. 1.1 Rechtmässigkeit Es ist sichergestellt, dass die Datenbeschaffung und -bearbeitung rechtmässig erfolgt Gesetzliche Vorgaben und branchenspezifische Regelungen werden eingehalten. 1.2 Treu und Glauben Die Datenbearbeitung hat nach Treu und Glauben zu erfolgen. 1.3 Verhältnismässigkeit Die Datenbearbeitung wird konsequent auf ihre Verhältnismässigkeit hinterfragt, insbesondere bezüglich des Umfangs und der Aufbewahrungsdauer der Daten sowie der zugriffsberechtigten Personen Es wird geprüft, ob der Zweck der Datenbearbeitung mit anonymisierten oder pseudonymisierten Daten erreicht werden kann. Wenn immer möglich, wird im Sinne der Datensparsamkeit auf die Erhebung und Bearbeitung von personenbezogenen Daten verzichtet. 1.4 Zweckbindung Der Zweck der Datenbearbeitung ist abschliessend definiert und die Bearbeitung von Personendaten erfolgt ausschliesslich im Rahmen des definierten Zwecks.

6 6/ Transparenz Für betroffene Personen ist erkennbar, wofür welche Daten von wem beschafft und bearbeitet werden Bei einer Datenweitergabe sind die Art und die Kategorie der Datenempfänger für die betroffene Person erkennbar Für die betroffene Person kann die Datenbearbeitung mit zumutbarem Aufwand nachvollzogen, überprüft und beurteilt werden. 1.6 Richtigkeit Es ist sichergestellt, dass die bearbeiteten Personendaten richtig und aktuell sind und der Verwendungszweck bezüglich der wiedergegebenen Tatsachen sachgerecht und vollständig ist. 1.7 Datengeheimnis Das Datengeheimnis ist kommuniziert und wird konsequent eingehalten Die Notwendigkeit zur Unterzeichnung einer Datenschutz- und Geheimhaltungserklärung durch Mitarbeiter und/oder externe Personen wird überprüft und dokumentiert. 1.8 Datensicherheit Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Ausführungen und Kriterien siehe in Ziffer 2). 2. Anforderungen an die Datensicherheit Im Zentrum des Datenschutzes steht der Schutz der Persönlichkeit der von einer Datenbearbeitung betroffenen Person. Sämtliche im Hinblick auf die Datensicherheit getroffenen Massnahmen müssen deshalb sicherstellen, dass dieser Schutz gewährleistet werden kann. In Einklang mit den bestehenden Risiken der Datenbearbeitung (engl. risk assessment) sind Massnahmen definiert, dokumentiert und umgesetzt oder bereits in die Wege geleitet. 2.1 Vertraulichkeit Es sind Kriterien definiert, implementiert und dokumentiert, nach denen Befugnisse für die Datenbearbeitung erteilt werden Es ist sichergestellt, dass nur befugte Personen oder Systeme auf Personendaten zugreifen können Es ist sichergestellt, dass nur befugte Personen Zugang zu Einrichtungen haben, in denen Personendaten bearbeitet oder Datenträger verwahrt werden.

7 7/ Das für die zu bearbeitenden Daten anwendbare Datenschutzniveau ist entsprechend dem Schutzbedarf der Daten definiert. 2.2 Integrität Es ist sichergestellt, dass Personendaten unversehrt, vollständig und zurechenbar sind Es ist sichergestellt, dass die Personendaten nicht unbefugt verändert oder gelöscht werden können und die Daten, wo notwendig und sinnvoll, verschlüsselt werden. 2.3 Verfügbarkeit Die Daten stehen bei Bedarf zur Verfügung, und die Verfahren können zweckmässig angewendet werden Es ist ein Verfahren implementiert für die Zeit, in der die Datenverfügbarkeit trotz entsprechender Notwendigkeit nicht gegeben ist. 2.4 Transparenz Die Datenbearbeitung muss nachvollziehbar sein (Ausführungen und Kriterien s. Ziffer 1.5). 2.5 Nicht-Verkettbarkeit Es ist sichergestellt, dass die Daten der betroffenen Personen nicht oder nur mit ausserordentlichem Aufwand für einen anderen als den ausgewiesenen Zweck, bearbeitet werden können. 2.6 Intervenierbarkeit Es ist sichergestellt, dass die betroffenen Personen ihre Rechte geltend machen und durchsetzen können (Ausführungen und Kriterien s. Ziffer 5). 2.7 Technisch-organisatorische Massnahmen Es sind angemessene technische und organisatorische Massnahmen implementiert, welche die Schutzziele 2.1 bis 2.6 (Vertraulichkeit, Integrität, Verfügbarkeit, Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit) adressieren und den Schutz der Privatsphäre der betroffenen Personen sicherstellen Eine Datenbekanntgabe erfolgt nur an authentifizierte Personen oder Systeme. 2.8 Protokollierung Eine Protokollierung findet ausschliesslich in jenen Fällen statt, in denen andere organisatorische wie technische (präventive) Massnahmen den Datenschutz nicht gewährleisten können Es wird sichergestellt, dass die Sensibilität der bei einer Protokollierung entstehenden Protokolldaten in einem angemessenen Verhältnis zum Schutzbedarf der überwachten Verfahren steht.

8 8/ Bearbeitungsreglement Ungeachtet möglicher gesetzlicher Ausnahmen liegt ein Bearbeitungsreglement vor Das Bearbeitungsreglement sorgt für die notwendige Transparenz sowohl im Bereich der Systementwicklung wie auch der Datenbearbeitung. Es gibt Auskunft über den Zweck des Systems, die betroffenen Organisationseinheiten sowie die festgelegten Verantwortlichkeiten und umschreibt insbesondere die Bearbeitungs- und Kontrollverfahren. 3. Zulässigkeit der Datenbearbeitung Eine Datenbearbeitung hat im Rahmen der in Ziffer 1 definierten Grundsätze zu erfolgen. Abhängig vom Artikel und Zweck der Datenbearbeitung können weitere Punkte relevant sein, die nachfolgend aufgelistet sind. 3.1 Rechtfertigungsgrund Bei der Datenbearbeitung wird geprüft, ob ein Rechtfertigungsgrund vorliegt Es ist sichergestellt, dass Behörden für die Datenbearbeitung eine gesetzliche Grundlage haben Rechtfertigungsgründe einer Datenbearbeitung sind dokumentiert. 3.2 Persönlichkeitsprofil und besonders schützenswerte Personendaten Bei der Bearbeitung von besonders schützenswerten Personendaten sowie Persönlichkeitsprofilen werden die höheren Anforderungen des DSG an die Zulässigkeit der Datenbearbeitung beachtet Eine Differenzierung der Rechtfertigungsgründe von besonders schützenswerten Personendaten bzw. Persönlichkeitsprofilen ist dokumentiert. 3.3 Einwilligung der betroffenen Person Wird die Datenbearbeitung auf die Einwilligung der betroffenen Person als Rechtfertigungsgrund gestützt, so ist sichergestellt, dass die gesetzlichen Anforderungen an eine Einwilligung eingehalten werden Die betroffene Person ist angemessen und umfassend informiert Das Einholen und Vorliegen der Einwilligung ist dokumentiert Die betroffene Person kann die Einwilligung jederzeit widerrufen, ohne dass ihr dadurch Nachteile entstehen. 3.4 Bildübermittlung und -aufzeichnung an öffentlichen Orten Bei der Nutzung von Bildübermittlungs- und Bildaufzeichnungsgeräten werden die Erforderlichkeit und das schutzwürdige Interesse der betroffenen Personen vorgängig geprüft.

9 9/ Bei der Videoüberwachung von öffentlich zugänglichen Räumen liegt die Genehmigung der Datenschutzstelle vor. 3.5 Datentransfer ins Ausland Ein Datentransfer ins Ausland erfolgt ohne schwerwiegende Gefährdung für die Persönlichkeit der betroffenen Person(en) Die Liste der Länder, die ein angemessenes Datenschutzniveau gewährleisten, ist aktuell Wenn Daten in ein Drittland ohne ein angemessenes Datenschutzniveau bekanntgegeben werden, sind entweder genügende Garantien, Einwilligungen oder Rechtfertigungsgründe im Sinne der gesetzlichen Ausnahmen gegeben und als Nachweisdokumente vorhanden Die im Einzelfall erforderliche Genehmigung der Regierung oder Information gegenüber der Datenschutzstelle wurde vor der Datenbekanntgabe eingeholt bzw. erteilt. 3.6 Datenbearbeitung im Auftrag (Outsourcing) Bei einem Outsourcing sorgt der Auftraggeber dafür, dass der Auftragnehmer die Daten nur so bearbeitet, wie er es selbst tun dürfte Es ist sichergestellt, dass etwaige gesetzliche oder vertragliche Geheimhaltungspflichten einer Auftragsdatenbearbeitung nicht entgegenstehen Für das Outsourcing besteht ein schriftlicher Vertrag, der den Umfang der Datenbearbeitung klar umschreibt Outsourcing-Partner/Beauftragte werden sorgfältig ausgesucht und instruiert; es finden periodisch Überprüfungen (vor Ort) statt. 3.7 Automatisierte Einzelentscheidungen Die Zulässigkeit automatisierter Einzelentscheidungen wurde im Vorfeld geprüft und ist dokumentiert Der betroffenen Person wird Gelegenheit zur Stellungnahme gewährt. 3.8 Daten für statistische Zwecke Es ist sichergestellt, dass Personendaten unverzüglich anonymisiert oder vernichtet werden, sofern diese für die Zweckerreichung nicht mehr benötigt werden Sofern Daten für statistische, historische oder wissenschaftliche Zwecke weiter aufbewahrt werden, sind die erforderlichen Massnahmen an die Datensicherheit gewährleistet Personendaten für nicht personenbezogene Zwecke wie Forschung, Planung und Statistik müssen anonymisiert werden, sobald es der Zweck des Bearbeitens erlaubt. Ergebnisse werden nur so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind.

10 10/ Vernichtung der Daten Es ist sichergestellt, dass Daten und Datensammlungen unwiederbringlich vernichtet werden, wenn sie für die Zweckerreichung nicht mehr benötigt werden Gesetzliche Aufbewahrungsfristen oder andere Rechtfertigungsgründe für eine weitere Datenbearbeitung werden berücksichtigt und sind dokumentiert Findet alternativ zur Vernichtung eine Anonymisierung statt, ist sichergestellt, dass die Bestimmbarkeit der betroffenen Personen nur mit ausserordentlichem Aufwand möglich ist. Die Anonymisierungsprozedur ist dokumentiert Spezialgesetzliche Löschfristen sind eingehalten. 4. Pflichten des Inhabers einer Datensammlung Die Pflichten, die das DSG dem Inhaber einer Datensammlung auferlegt, sind einzuhalten. 4.1 Anmeldepflicht zum Register der Datensammlungen Die Datensammlung in Bezug auf den Zertifizierungsgegenstand enthält die notwendigen gesetzlichen Angaben Datensammlungen in Bezug auf den Zertifizierungsgegenstand sind korrekt und vollständig zum Register der Datensammlungen angemeldet, sofern keine Ausnahme von der Registrierungspflicht anwendbar ist. Gründe, die zu einer Ausnahme von der Anmeldepflicht führen, sind dokumentiert Die Datensammlungen in Bezug auf den Zertifizierungsgegenstand sind in der intern zu führenden Liste sämtlicher Datensammlungen enthalten Es ist durch interne Prozesse sichergestellt, dass die intern zu führende Liste sämtlicher Datensammlungen vollständig und aktuell ist Es sind alle erforderlichen Massnahmen getroffen, um auf Gesuch der Datenschutzstelle oder der betroffenen Personen hin jederzeit über sämtliche Datensammlungen die gesetzlich geforderten Angaben erteilen zu können. 4.2 Genehmigungspflicht Notwendige behördliche Genehmigungen oder Mitteilungspflichten sind fristgerecht eingeholt bzw. erteilt worden Die dafür notwendigen Dokumente werden korrekt erstellt, fristenkonform aufbewahrt und verlängert. 4.3 Informationspflicht Die gesetzlich geforderte Informationspflicht wird gelebt und ist umgesetzt Es ist sichergestellt, dass die betroffenen Personen angemessen und verständlich informiert werden Die Erteilung der Information ist dokumentiert.

11 11/ Mitwirkungspflicht bei der Aufsicht Es ist sichergestellt, dass bei der Abklärung bezüglich der korrekten Anwendung der relevanten Datenschutzbestimmungen gegenüber den Behörden aktiv mitgewirkt wird Sämtliche relevanten Akten und benötigten Auskünfte können im Rahmen der Mitwirkungspflicht korrekt herausgegeben bzw. erteilt werden Es kann, soweit erforderlich, transparent aufgezeigt und dargestellt werden, wie die Datenbearbeitung und die Datenbearbeitungsprozesse erfolgen. 4.5 Meldepflicht von Behörden bei Projekten Es ist sichergestellt, dass Behörden, sobald sie ein Projekt zur automatisierten Bearbeitung von Personendaten planen, die Datenschutzstelle unverzüglich unterrichten Die für die Aufsicht notwendigen Informationen werden vollständig zur Verfügung gestellt. 5. Rechte der betroffenen Personen Es sind alle erforderlichen Massnahmen zu treffen, damit die von einer Datenbearbeitung betroffenen Personen ihre diesbezüglichen höchstpersönliche Rechte geltend machen und durchsetzen können. 5.1 Auskunftsrecht Es besteht ein aktuelles Register aller Datensammlungen, welches als Grundlage für die Erfüllung eines Auskunftsbegehrens dient Es ist sichergestellt, dass bei jedem Auskunftsbegehren alle notwendigen Informationen innert Frist erteilt werden können. 5.2 Einschränkungen des Auskunftsrechts Allfällige Einschränkungen des Auskunftsrechts (Verweigerung, Einschränkung oder Aufschub) werden sorgfältig und korrekt vorgenommen Kann das Auskunftsrecht eingeschränkt werden, so ist sichergestellt, dass die mildeste Einschränkung angewendet wird Die Gründe einer Einschränkung des Auskunftsrechts sind dokumentiert Die Gründe für eine Einschränkung sind gegenüber der betroffenen Personen bekannt zu geben Sobald die Gründe für eine Einschränkung wegfallen, muss die Auskunft nachgeholt und umfassend erteilt werden. 5.3 Widerspruchsrecht Das Widerspruchsrecht ist im Unternehmen bekannt.

12 12/ Ein Widerspruch einer betroffenen Person wird akzeptiert sowie voraussetzungslos und unverzüglich umgesetzt Die Umsetzung des Widerspruchs ist der betroffenen Person bekannt zu geben. 5.4 Berichtigungsrecht Es ist durch interne Prozesse sichergestellt, dass unrichtige Personendaten berichtigt werden Die Umsetzung der Berichtigung ist der betroffenen Person bekannt zu geben. 5.5 Recht auf Vernichtung oder Löschung Es ist durch interne Prozesse sichergestellt, dass unrichtige Daten vernichtet bzw. gelöscht werden Die Vernichtung bzw. Löschung der Daten ist der betroffenen Person bekannt zu geben. 5.6 Sperrung einer Datenbekanntgabe Es ist durch interne Prozesse sichergestellt, dass die betroffene Person auf Verlangen die Bekanntgabe von sie betreffende Personendaten an Dritte sperren lassen kann Die Sperrung der Bekanntgabe ist der betroffenen Person bekannt zu geben. 5.7 Vermerk zu Daten Wenn weder die Richtigkeit noch die Unrichtigkeit der Personendaten klar belegt werden kann, so ist durch geeignete Prozesse sichergestellt, dass bei diesen Daten ein entsprechender Vermerk angebracht wird Die Anbringung des Vermerks ist der betroffenen Person bekannt zu geben. 5.8 Durchsetzung der Rechtsansprüche Es ist ein Prozess definiert und dokumentiert, wie mit den Rechtsansprüchen der betroffenen Personen umzugehen ist Eine Datenbearbeitung ist so gestaltet, dass betroffene Personen ihre Rechtsansprüche wahrnehmen können Eingriffe in die Rechte der betroffenen Personen lassen sich auf legitimierende Grundlagen zurückführen Es ist sichergestellt, dass die betroffenen Personen über die ihnen zustehenden Rechte angemessen informiert sind Es ist sichergestellt, dass Entscheide von Gerichten und Behörden unverzüglich umgesetzt werden Die Forderungen und die Art der Umsetzung sind dokumentiert.

13 13/15 6. Anforderungen an das Datenschutzmanagementsystem 6.1 Politik Das zuständige Management (oberste Führung) hat eine Datenschutzpolitik verabschiedet Die Politik beinhaltet ein Bekenntnis, regulatorische Vorgaben einzuhalten und umzusetzen Die Politik beschreibt die Wertvorstellung bezüglich des Datenschutzes Die Politik legt dar, wie Datenschutzkonformität und Datensicherheit umgesetzt werden sollen Es wird aufgezeigt, wie mit Fehlern und Risiken (aus Sicht der betroffenen Person) umgegangen wird. 6.2 Verantwortlichkeit Aufgaben, Verantwortlichkeiten und Kompetenzen betreffend Datenschutz sind dokumentiert und bekannt Die notwendigen organisatorischen, personellen und finanziellen Ressourcen sind bereitgestellt Das zuständige Management hat eine oder mehrere Personen für den Datenschutz bestimmt Die aktuellen regulatorischen Vorgaben sind bekannt Die notwendigen Aufgaben und Prozesse in Bezug auf Datenschutz sind im Einklang mit den regulatorischen Vorgaben klar zugeordnet Es ist bekannt, wo (besonders schützenswerte) Personendaten oder Persönlichkeitsprofile bearbeitet werden Die Datenbearbeitungen werden regelmässig auf ihre Konformität hin überprüft Bei allen Projekten ist ein Prozess definiert, der eine datenschutzkonforme Prozessumsetzung ermöglicht. 6.3 Management-Review Das zuständige Management erstellt jährlich einen Management-Review, aus dem die Zielerreichung sowie die Verbesserungen rückblickend bewertet werden; ein Ausblick gestützt auf die Vergangenheit und die Ziele sind ebenfalls darin enthalten Eine Bewertung des Datenschutz-Managementsystems auf Eignung, Angemessenheit und Wirksamkeit wird durchgeführt Es ist ein interner Prozess etabliert, der den Umgang mit Verbesserungspotential(en), Risiken und Gefahren definiert Allfällig notwendige Änderungen und Anpassungen werden definiert und als Ziele aufgenommen.

14 14/ Für die Erstellung der Reviews werden Informationen systematisch gesammelt und die involvierten Stellen miteinbezogen. 6.4 Ereignismanagement Es ist definiert, was in Bezug auf Datenschutz unter einem Ereignis und Ereignismanagement zu verstehen ist Es ist ein Verfahren definiert, das sicherstellt, dass Fehler erkannt und korrigiert sowie möglichst vermieden werden Ursachen für Fehler werden analysiert Der Umgang mit Fehlern ist klar geregelt und intern allgemein bekannt Eine allfällig notwendige Kommunikation aufgrund der Fehler ist definiert und allgemein bekannt. 6.5 Risikomanagement Risiken sind vornehmlich aus der Perspektive der Betroffenen zu betrachten Risiken werden aufgrund eines vordefinierten Prozesses erfasst Die gefundenen Risiken werden bewertet und gemanagt Es werden soweit möglich Massnahmen für die Risikominimierung nach vorbestimmten Kriterien getroffen. 6.6 Sensibilisierung und Kompetenz der Mitarbeitenden Es sind Prozesse definiert, die die notwendige Sensibilisierung und Kompetenz der Mitarbeitenden betreffend Datenschutz gewährleisten Den Mitarbeitern sind die Datenschutzpolitik und damit der Stellenwert des Datenschutzes bekannt Die Mitarbeitenden werden zum einen in Bezug auf die Datenschutzpolitik, zum anderen in konkretem Bezug auf ihre Tätigkeit bzw. ausgeübte Funktion(en) betreffend Datenschutz regelmässig geschult. Hierbei ist auf etwaige Gesetzesänderungen oder Stellenwechsel entsprechend zeitnah einzugehen Die Anlaufstellen für Datenschutzanliegen sind allen Mitarbeitenden bekannt Verstösse gegen den Datenschutz sind mit Sanktionen bedroht, die allen bekannt sind. 6.7 Kommunikation Die interne und externe Kommunikation betreffend Datenschutz ist geregelt, insbesondere zwischen den verschiedenen Ebenen und Funktionen Die verantwortlichen Anlaufstellen für Datenschutzanliegen sind öffentlich verfügbar und kommuniziert Die Erfüllung allfälliger gesetzlicher Informationspflichten ist sichergestellt/umgesetzt.

15 15/ Der Umgang mit Rechtsansprüchen gem. Kriterien in Ziffer 5 ist geregelt und allen Mitarbeitenden bekannt Allfällige Genehmigungen werden eingehalten Die gesetzlichen Meldepflichten werden eingehalten Mitwirkungspflichten gegenüber den staatlichen Stellen werden erfüllt Der Umfang der Datenschutzzertifizierung ist gegenüber Dritten klar umschrieben. 6.8 Dokumentation Der Geltungsbereich des Managementsystems ist definiert und Systemgrenzen sind schlüssig Allfällige Schnittstellen zu nichtzertifizierten Einheiten werden bezüglich Datenschutzkonformität bewertet Relevante Verfahren bezüglich der definierten Schutzziele sind dokumentiert, niedergelegt und auffindbar Der Management-Review wird schriftlich erstellt Wo notwendig, werden Nachweisdokumente erstellt Sämtliche Änderungen am Zertifizierungsgegenstand werden dokumentiert.