Datenschutz in der Praxis

Transkript

1 Datenschutz in der Praxis

2 Ziele Aufgabe und Organisation des Datenschutzbeauftragten bekannt Wesentliche Begriffe und Grundsätze des Datenschutzes bekannt Bezug und Zusammenhang zu anderen kantonalen Fachgesetzen erkannt (z. B. Steuergesetz, Archivgesetz etc.) Gestellte Fragen beantwortet

3 Organisation und Stellung Organisation 250 Stellenprozente Stao: Gotthardstr. 21, 6414 Oberarth administrativ unterstellt beim FD SZ Stellung Kontrollorgan im Sinne des Bundesgesetzes über den Datenschutz Verwaltungsunabhängig Gewählt für Amtsperiode Eigenes Budget Kann von Amtes wegen tätig werden Unterstützungs- und Mitwirkungspflicht der Gemeinden und Kantone Untersteht dem Amtsgeheimnis

4 Gesetzlicher Auftrag Überwachung der Anwendung der Vorschriften über den Datenschutz und Öffentlichkeitsprinzip (nur SZ) Führung & Kontrolle des Registers der Datensammlungen Beratung der öffentlichen Organe Mitwirkung bei der Gesetzgebung Vermittlung zwischen öffentlichen Organen und Privaten Zusammenarbeit mit anderen Kantonen & Bund Rechenschaftsablage & Information

5 Arbeitsweise - Grundsätze Unabhängig Partnerschaftlich Dienstleistungsorientiert

6 Bundesverfassung Art. 13 Schutz der Privatsphäre 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs. 2 Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Zivilgesetzbuch Art. 28 Schutz der Persönlichkeit 1 Wer in seiner Persönlichkeit widerrechtlich verletzt wird, kann zu seinem Schutz gegen jeden, der an der Verletzung mitwirkt, das Gericht anrufen. 2 Eine Verletzung ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

7 Rechtsgrundlagen und Abgrenzungen

8 Rechtsgrundlagen Bund Art. 13 Bundesverfassung Bundesgesetz vom 19. Juni 1992 über den Datenschutz (Datenschutzgesetz, DSG) Art. 28 Zivilgesetzbuch Kanton Kantonales Datenschutzgesetz bzw. Gesetz über die Öffentlichkeit der Verwaltung und den Datenschutz (SZ) Materielle Regelungen in zahlreichen kantonalen Spezialgesetzen: Archivierungsgesetz Steuergesetz Sozialhilfegesetz Polizeigesetz Registerharmonisierungsgesetz u.a.m.

9 Verhältnis zu anderen Rechtsgrundlagen Datenschutzrecht Verfassungsbestimmungen Schutz der Privatsphäre -- Datenschutz-Grundsätze -- tw. materielle Bestimmungen -- Zuständigkeiten & Verfahren -- Aufsicht Steuergesetz, Sozialhilfegesetz, Einwohnerregisterverordnung, etc.: -- Geheimhaltungspflichten -- Datenbearbeitung & Datenbekanntgabe -- Amtshilfe

10 Abgrenzungen Bundesorgane unter sich Bundesorgane Private Private unter sich Kantonale öffentliche Organe unter sich Kantonale öffentliche Organe Private

11 Geltungsbereich kantonale Datenschutzgesetze Die kantonalen Datenschutzgesetze gelten für öffentliche Organe des Kantons, der Bezirke (wo vorhanden) und der Gemeinden, die Daten natürlicher oder juristischer Personen bearbeiten, soweit sie hoheitlich handeln.

12 Wesentliche Elemente: Öffentliches Organ Natürliche oder juristische Personen Bearbeiten hoheitliche Handlung

13 Ausgenommen vom Geltungsbereich Die kantonalen Datenschutzgesetze gelten nicht für: Nicht hoheitliche Handlungen der Organe Kantonalbank und andere Anstalten, die am wirtschaftlichen Wettbewerb teilnehmen Weitere kantonal unterschiedliche Ausnahmen: SZ: Gerichtliche Behörden, Allmendgenossenschaften, Korporationen OW: Geschäfte des Kantonsrats und seiner Kommissionen, hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege, öffentliche Register des Privatrechtsverkehrs, verwaltungsinterne Arbeitsmittel zum persönlichen Gebrauch NW: Geschäfte, über welche die Stimmberechtigten oder der Landrat beschliessen, hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege mit Ausnahme erstinstanzlicher Verwaltungsverfahren, öffentliche Register des Privatrechtsverkehrs, verwaltungsinterne Arbeitsmittel zum persönlichen Gebrauch

14 Begriffe

15 Begriffe öffentliches Organ Verwaltungsstellen und Behörden aller Ebenen (Kanton, Bezirk, Gemeinde, Gemeindeverbände) Selbständige öffentlichrechtliche Körperschaften und Anstalten, wie z.b.: Laboratorium der Urkantone Verkehrssicherheitszentrum Obwalden/Nidwalden Informatikleistungszentrum Obwalden/Nidwalden Organisationen und Personen privaten Rechts, soweit sie mit einer öffentlichen Aufgabe betraut sind, wie z.b.: Privates Transportunternehmen, das mit der Kehrichtabfuhr beauftragt ist Ingenieurbüros, die Vermessungsaufgaben wahrnehmen Private Garagen, die Fahrzeugkontrollen durchführen Privatpersonen als offizielle Übersetzer Privatspitäler, die auf der Spitalliste des Kantons stehen u.a.m.

16 Öffentliches Organ - Beispiel Spitex Spitex = Verein nach ZGB (Privatrecht) 3 Gesundheitsverordnung NW: Kanton, Bezirke und Gemeinden können Dienstleistungen, die nach dieser Verordnung anzubieten sind, vertraglich anderen Gemeinwesen, Organisationen oder Privatpersonen übertragen. 15 Abs. 1 Gesundheitsverordnung NW: Jede Gemeinde stellt ein Angebot für die Hauskrankenpflege, die hauswirtschaftlichen Dienste sowie den Entlastungsdienst für betreuende und pflegende Angehörige sicher. Sie kann weitere Dienstleistungen erbringen. Die Spitex nimmt also eine öffentliche Aufgabe wahr und gilt somit (in Bezug auf das Datenschutzgesetz) als öffentliches Organ.

17 Begriffe Hoheitliche Handlung Gemeinde Gemeinde Vertrag Private Anfechtbare Verfügung Private

18 Begriffe Hoheitliche Handlung Hoheitlich Baubewilligung Steuerveranlagung Vollstreckungsverfügung Datensperre Fahrzeugprüfung Patenterteilung Sozialhilfegewährung Abfallentsorgung (öfftl. Raum) etc. Nicht hoheitlich Verkauf von SBB-Tageskarten Verkauf von Karten und Broschüren Verkauf von Energiesparlampen Verkauf von Elektrogeräten (Gemeindewerke) Verkauf verbilligter Saisonabonnemente etc

19 Begriffe - Personendaten Personendaten: Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen bestimmbar = Rückschluss ohne erheblichen Aufwand möglich Problem der Anonymisierung Natürliche und juristische Personen Auch Unternehmen sind in ihrer Persönlichkeit geschützt

20 Begriffe - Personendaten Personendaten: Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen bestimmbar = Rückschluss ohne erheblichen Aufwand möglich Problem der Anonymisierung Natürliche und juristische Personen Auch Unternehmen sind in ihrer Persönlichkeit geschützt Besonders schützenswerte Personendaten: religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten Gesundheit, Intimsphäre, ethnische Zugehörigkeit vormundschaftliche Massnahmen Massnahmen der sozialen Hilfe administrative oder strafrechtliche Verfolgungen und Sanktionen

21 Begriffe - Persönlichkeitsprofil Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Beispiele: Einkaufsgewohnheiten und Produktvorlieben gestützt auf Auswertung COOP Supercard oder Migros CumulusCard Reisegewohnheiten und Produktvorlieben gestützt auf Auswertung Kreditkartenabrechnungen Produktvorlieben gestützt auf Auswertung von Zahlungsverkehrsinformationen

22 Begriffe - Datensammlung Bestand von Daten, der so aufgebaut ist, dass diese erschliessbar sind Systematisierung und Katalogisierung Such- und Filterfunktionen Index etc. Form oder Datenträger nicht massgebend

23 Begriffe - Bearbeiten Bearbeiten: Jeder Umgang mit Daten, unabhängig von den angewandten Mitteln! Beispiele: Beschaffen Bekanntgeben Einsicht gewähren Weitergeben Veröffentlichen Zugänglich machen Vernichten etc.

24 Grundsätze der Datenbearbeitung

25 Rechtmässigkeit Jede Bearbeitung von personenbezogenen Daten muss rechtmässig sein, andernfalls gilt sie als widerrechtlich und kann rechtliche Konsequenzen nach sich ziehen!

26 Rechtmässigkeit Grundvoraussetzungen Gesetzliche Grundlage Gesetz, Verordnung, Weisung, Reglement Dient der Erfüllung einer gesetzlichen Aufgabe Einwilligung Ausdrücklich, stillschweigend, konkludentes Verhalten Für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen: Ausdrückliche Gesetzesgrundlage, d.h. formelles Gesetz Für eine in einem Gesetz vorgesehene Aufgabe unentbehrlich Bewilligung durch den Regierungsrat im Einzelfall (keine Gefährdung der Rechte der betroffenen Person) ausdrückliche und freiwillige Einwilligung im Einzelfall nach ausreichender Information

27 Rechtmässigkeit der Bearbeitung von Personendaten ( 8 Abs. 1 und 9 Abs. 1 ÖDSG) Gesetzliche Grundlage Ermächtigung Einwilligung Gewöhnliche PD Beso. schützenswerte PD Gewöhnliche PD Beso. schützenswerte PD - Gesetz, Verordnung oder Weisung - Dient der Erfüllung einer gesetzlichen Aufgabe - Formelles Gesetz - Für Erfüllung der gesetzlichen Aufgabe unentbehrlich - Mündlich - Schriftlich - Direkt - Indirekt - Schriftlich - Ausdrücklich - Nach Information

28 Verhältnismässigkeit & Treu und Glauben Bearbeitung nur nach den Grundsätzen von Treu und Glauben und Verhältnismässigkeit Elemente Notwendigkeit in Bezug auf die zu erfüllende gesetzliche Aufgabe Sachliche Geeignetheit Willkürverbot (keine Datenbearbeitung ohne Bezug zur gesetzlichen Aufgabe) Datenvermeidung & Datensparsamkeit Problem der Datenflut, insbesondere beim Einsatz der EDV

29 Verhältnismässigkeit 1. Nur, wenn nötig -Brauche ich die Information? 2. Nur soviel, wie nötig -Was brauche ich? 3. Nur so lange, wie nötig -Wie lange brauche ich sie?

30 Zweckbindungsgebot Zweckbindung heisst: Daten dürfen nur bearbeitet werden, wenn (alternativ): Zweck gesetzlich vorgesehen ist; Zweck bei der Beschaffung angegeben wurde; Zweck aus den Umständen ersichtlich ist. Es braucht immer einen Zweck für die Datenbearbeitung! Der Zweck darf nur in der Erfüllung einer gesetzlichen Aufgabe bestehen! Gilt auch für den Datenaustausch zwischen den öffentlichen Organen (Amtshilfe)!

31 Vollständigkeit & Richtigkeit Wer Daten bearbeitet ist auch für deren Richtigkeit und Aktualität sowie entsprechend dem Zweck für deren Vollständigkeit verantwortlich Ansprüche der betroffenen Personen: Einsichts- und Kontrollrechte Informationsrechte Berichtigungs- und Unterlassungsanspruch Ggf. Bestreitungsvermerk

32 Schutz der Daten Technische Massnahmen Türschlösser Sicherheitstüren, Brandschutztüren, Sicherheitsglas Abschliessbares Mobiliar Live-Video, Alarmanlage Aktuelle Virenschutzprogramme, Firewall Back-Ups u.a.m. Organisatorische Massnahmen Schlüsselplan Berechtigungskonzepte Verschlüsselungen Geheimhaltungserklärungen Starke Passwörter, regelmässige Passwortänderungen Weisungen, Reglemente (insbes. IT-Sicherheit) Ausbildung, Sensibilsierung Einsatzplan Reinigungspersonal u.a.m.

33 Bearbeitung von Personendaten

34 Datenbearbeitung Beschaffen Bekanntgeben/ Bearbeiten Datensicherheit Archivieren/ Vernichten

35 Grundvoraussetzung: Rechtmässigkeit Personendaten allgemein Gesetz, Verordnung, Reglement, Weisung Bearbeitung dient der Erfüllung einer gesetzlichen Aufgabe Mangels Rechtsgrundlage: Einwilligung der betroffenen Person Kann ggf. auch auf Grund der konkreten Umstände vorausgesetzt werden Bei besonders schützenswerten Personendaten oder Persönlichkeitsprofilen Gesetz im formellen Sinn, d.h. von der Legislative erlassen Kantonsrat, Gemeindeversammlung Für die Erfüllung einer gesetzlichen Aufgabe unabdingbar Ausdrückliche Einwilligung im Einzelfall Allgemeine Bekanntgabe durch die betroffene Person Im Ausnahmefall: Ermächtigung des Regierungsrates

36 Personendaten beschaffen Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten Normalfall: Beschaffung bei der betroffenen Person Ausnahme: Datenerhebung bei Dritten nur wenn Vorschrift oder besondere Gründe vorhanden) Angabe des Zwecks auf Verlangen Besonders schützenswerte Personendaten Rechtsgrundlage Zwingende Informationspflichten

37 Informationspflichten bei Beschaffung von beso. schützenswerten Personendaten bei Dritten Information mindestens über: Inhaber/in der Datensammlung Zweck der Bearbeitung Datenempfänger/innen Keine Informationspflicht, wenn: Information bereits erfolgt Information objektiv unmöglich Information mit einem unverhältnismässigen Aufwand verbunden Speicherung durch Gesetz ausdrücklich vorgesehen

38 Personendaten bekanntgeben/bearbeiten Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten An wen? Private (Einzelpersonen, Institutionen, Vereine, Organisationen) Öffentliche Organe (Amtshilfe) Welche Daten? Name, Vorname, Geburtsdatum, etc? Durch wen? Alle öffentlichen Organe Nur Einwohnerkontrollen Voraussetzungen Voraussetzungslos? Interessennachweis? Rechtsgrundlage? Einwilligung/Ermächtigung? Bearbeitung durch Dritte

39 Bekanntgabe allgemein Voraussetzungen Gesetzliche Grundlage Unentbehrlich für Erfüllung einer gesetzlichen Aufgabe (im Einzelfall) Einwilligung im Einzelfall Betroffene Person hat die Information selbst allgemein zugänglich gemacht und Bekanntgabe nicht ausdrücklich untersagt Datenempfänger glaubhaft macht, dass die Einwilligung verweigert wird, um Rechtsansprüche oder Wahrnehmung anderer schutzwürdiger Interessen zu verhindern Stellungnahme der betroffenen Person Wahrung anderer öffentlicher oder privater Interessen: Verweigerung, Einschränkung oder Auflagen Spezialfall: Abrufverfahren

40 Persönlichkeitsrecht: Informationelles Selbstbestimmungsrecht Jede Person bestimmt darüber, wer wie zu welchem Zweck persönliche Informationen verarbeiten darf Rechtmässigkeitsprinzip: Gesetzliche Grundlage Einwilligung Kontrollrechte: Register der Datensammlungen Einsichtsrecht Berichtigungs-/Unterlassungsanspruch Datenbearbeitung Sammlung Speicherung/Ablage Bearbeitung i.e.s. Bekanntgabe Vernichtung Datenbekanntgabe Bringprinzip Bekanntgabe im Einzelfall auf Anfrage Verantwortlicher Dateninhaber hat die Kontrolle darüber, wohin die Daten gehen und zu welchem Zweck sie verwendet werden. Datenbekanntgabe Holprinzip Abrufverfahren Verantwortlicher Dateninhaber hat keine Kontrolle mehr darüber, wer wann zu welchem Zweck die Daten abholt. Abrufverfahren muss gesetzlich ausdrücklich vorgesehen sein

41 Bekanntgabe durch Einwohnerkontrolle Bekanntgabe durch Einwohnerkontrolle (formelle Voraussetzung: Gesuch) Voraussetzungslos Einzelauskunft Name, Vorname, Geschlecht, Adresse Schriftlich oder mündlich Schutzwürdiges Interesse glaubhaft Einzelauskunft Geburtsdatum, Zivilstand, Heimatort, Staatsangehörigkeit, Zuzugsort Gesuch und Auskunft schriftlich Listenauskünfte Mehrzahl & systematisch geordnet Voraussetzung: 1. schützenswertes Interesse glaubhaft 2. ideller Zweck 3. NW: Gesuchsteller Wohnsitz im Kanton Name, Vorname, Geschlecht, Geburtsdatum, Adresse, Zuzug Gesuch und Auskunft schriftlich

42 Beispiele Listenauskunft Wer/Zweck Politische Parteien (Mitgliederwerbung) PNOS Vereine; Zugezogene, bestimmte Jahrgänge (Mitgliederwerbung) pro senectute, pro infirmis (Spendenaufruf) Lokaler Gewerbeverein (Werbung) Felicitas (Geschenkköfferchen) Verein Landdienst (neu: agriviva), 14-Jährige gewinnen) Fahrschule (Geburtstagsgeschenk für 18-Jährige) bfu (Versand von Tipps zur Unfallverhütung) Bank, Adressen vermögender Personen (Kundengewinnung) Beurteilung ideell/schützenswert ideell/nicht schützenswert ideell/schützenswert ideell/schützenswert kommerziell kommerziell ideell/schützenswert kommerziell ideell/schützenswert kommerziell

43 Sonderfälle Bekanntgabe von Personendaten An Kirchgemeinden An öffentliche oder konzessionierte Elektrizitätsunternehmungen Von öffentlichen oder konzessionierten Elektrizitätsunternehmungen an Gemeinde Von Vermietern an Gemeinde (nicht systematisch, sondern nur wenn Meldepflichten nicht erfüllt) Weitere

44 Datensperre Rechtsanspruch (Teil der Kontrollrechte) Voraussetzung: Schutzwürdiges Interesse Glaubha machen ( beweisen) Betrifft nicht die Amtshilfe Verweigerung oder Aufhebung: Rechtspflicht zur Bekanntgabe oder Aufgabenerfüllung gefährdet Nachträglicher Wegfall des Grundes Überwiegende öffentliche oder private Interessen Rechtliches Gehör: Verweigerung oder Aufhebung nur nach Anhörung Gebührenfrei Weitergabe der Sperrvermerke

45 Beispiele Datensperre + - Tina Turner, Ottmar Hitzfeld (Schutz vor Paparazzi ) Cervelatprominenz (lokale Persönlichkeiten; keine Belästigungsgefahr) schützenswert nicht schützenswert Schutz vor Nachstellungen (Kind, das vom Vater missbraucht wurde) aus Haft Entlassene (eines medienwirksamen Delikts -> Start neues Leben) sehr vermögende Personen Arbeit als Sicherheitspersonal (Bodyguards, Securitas, ) Verhinderung Durchsetzung von Rechtsansprüchen (z.b. Unterhaltszahlungen, Schadenersatz) ehemals gültiger Grund nicht mehr aktuell (z.b. Tod eines Stalkers) schützenswert schützenswert schützenswert schützenswert nicht schützenswert nicht schützenswert

46 Amtshilfe Kanton Gemeinde Begriff Organ = funktional kein beliebiger Datenaustausch innerhalb der Verwaltung! Voraussetzungen: Rechtsgrundlage oder 4 Varianten: Unentbehrlich (NW) oder notwendig (SZ, OW) für Erfüllung gesetzlicher Aufgabe und keine entgegenstehende gesetzliche Geheimhaltungspflicht Einwilligung Zugänglichmachen & kein Bekanntgabeverbot Verhinderung von Rechtsansprüchen Problem: Kleinstgemeinden

47 Publikation Gesetzliche Voraussetzungen: Gesetzliche Grundlage Bsp.: Jagdpatentinhaber, Handelsregister, Grundbuch Allgemeines (öffentliches) Interesse und keine besonders schützenswerten Personendaten Einwilligung

48 Besondere Formen der Datenbearbeitung Für nicht personenbezogene Zwecke Forschung, Planung, Statistik Anonymisierung: Person nicht mehr bestimmbar Bearbeitung durch Dritte (Universität, Institut, Forschungseinrichtung) Datenschutz-Revers (Verpflichtung des Datenempfängers) Gesetzliche Strafandrohung bei zweckfremder Verwendung Bearbeitung durch Dritte im Auftrag Zulässig, wenn Vereinbarung oder gesetzliche Bestimmung vorhanden Datenschutz-Revers Dateninhaber bleibt verantwortlich Bsp.: ILZ Mit Überwachungsgeräten (Videoüberwachung)

49 Datenverantwortliche Rechte & Pflichten gemäss DSG Rechtliche Verantwortung Auftragsdatenverarbeiter Datenverarbeitung im Auftrag Technische Verantwortung Datenverantwortliche Rechte & Pflichten gemäss DSG Rechtliche Verantwortung Datenempfänger Zugriffssteuerung/ -kontrolle Rollen-/Berechtigungskonzept Datenlieferanten Datenplattform

50 Videoüberwachung Öffentlicher Raum Privater Raum Bund Kantone & Gemeinden Eidg. Datenschutzgesetz Eidg. Datenschutzgesetz Kant. Datenschutzgesetz

51 Videoüberwachung Was? Nur Öffentlich zugängliche Orte Bildaufzeichnungs- und Bildübermittlungsgeräte Zu welchem Zweck? Ausschliesslich zum Zweck des Schutzes von Personen und Sachen Wer? Öffentliches Organ dem das Benützungsrecht zusteht Empfehlung: Entscheid Gemeinderat Wie? Verhältnismässigkeit (Alternativen prüfen!) Erkennbarkeit Schutz der Daten Regelung des Zugriffs und der Verantwortlichkeiten Löschung nach gesetzlicher Frist (unterschiedlich SZ: 120 Std.; OW: 100 Tage; NW: 30 Tage) Information DSB (OW: Vorgängig!)

52 Beispiele Videoüberwachung Für Gemeinde relevant Zweck = Schutz von Personen und Sachen Abfallsammelstellen Gebäude der Verwaltungen Schulhäuser Öffentliche Parkhäuser Öffentliche Plätze & Wege Für Gemeinde nicht relevant auch zu anderen Zwecken (z.b. zur Strafverfolgung) private Gebäude (Ausnahme: Zweck) Arbeitsplatzüberwachung (bei Privatunternehmungen) Tunnelüberwachung (Verkehrsfluss) Einkaufszentren Videoüberwachung im Restaurant Webcam zur Verfolgung Baufortschritt

53 Personendaten archivieren/vernichten Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten Verhältnismässigkeitsprinzip: Datenbearbeitung nur so lange, wie notwendig Kriterien: Ausdrückliche gesetzl. Vorschrift, Verjährungsfristen Archivierung oder Vernichtung Evtl. Ablieferungspflicht an Staatsarchiv Aufbewahrung von Personaldossiers nach Austritt oder Pensionierung

54 Datensicherheit Beschaffen Bekanntgeben/ Bekanntgeben/ Bearbeiten Bearbeiten Datensicherheit Datensicherheit Archivieren/ Archivieren/ Vernichten

55 Rechte und Pflichten

56 Persönlichkeitsrecht: Informationelles Selbstbestimmungsrecht Jede Person bestimmt darüber, wer wie zu welchem Zweck persönliche Informationen verarbeiten darf Rechtmässigkeitsprinzip: Gesetzliche Grundlage Einwilligung Verhältnismässigkeitsprinzip: Nur so viel wie notwendig Nur so lange wie notwendig Nur so viele Bearbeiter wie notwendig Zweckbindungsgebot: Gesetzlich vorgesehener Zweck Zweck aus den Umständen ersichtlich Keine zweckfremde Bearbeitung Gesetzliche Kontrollrechte Einsichtsrechte Kostenlose Einsichtnahme Klagbarer Rechtsanspruch Korrekturrechte Beseitigung Unterlassung Berichtigung Schadenersatzansprüche Zentrales Instrument = Öffentliches Register der Datensammlungen

57 Ansprüche der betroffenen Personen Recht auf Einsichtnahme und Auskunft nur in Bezug auf eigene Daten Einsichtnahme in das Register der Datensammlungen Einschränkungen: Gesetzlich vorgesehen wichtige öffentliche Interessen/besonders schutzwürdige Interessen Dritter tangiert Strafuntersuchung oder Untersuchungsverfahren gefährdet kostenlos Weitere Ansprüche Berichtigung, Vervollständigung, Unterlassung Evtl. Bestreitungsvermerk Beseitigung der Folgen und Schadenersatz Feststellung der Widerrechtlichkeit

58 Verschiedene Fragen

59 Zuständigkeit für Datenbearbeitung Das öffentliches Organ, das Personendaten bearbeitet (Dateninhaber): für Einhaltung der Datenschutzbestimmungen verantwortlich sorgt für den Schutz der Personendaten vor unbefugtem Zugriff (Daten-/Informatiksicherheit) entscheidet über Berichtigung, Beseitigung oder Unterlassung entscheidet über Bestreitungsvermerke erlässt ggf. Verfügungen keine Weisungsbefugnis des Öffentlichkeits- und Datenschutzbeauftragten diesbezüglich Bei Auftragsdatenverarbeitung bleibt der Dateninhaber verantwortlich

60 Register der Datensammlungen: Rollen & Aufgaben Dateninhaber Haben die Datenhoheit Bearbeiten Daten im Rahmen der gesetzlichen Aufgabe Verantwortlich für die Einhaltung der datenschutzrechtlichen Grundsätze Gewähren die Kontrollrechte Gemeinden SZ, NW: Führen ein öffentliches Register der Datensammlungen ihrer Organe Melden Änderungen im Register der Aufsichtsstelle Datenschutzbeauftragter (Aufsichtsstelle) Führt das öffentliche Register der Datensammlungen für Kanton (OW & NW) und Gemeinden (OW) NW: Führt ein zentrales Register der registrierten Datensammlungen der Gemeinden Kann den Gemeinden diesbezüglich Weisungen erteilen