Datenschutz in der Praxis www.datenschutz-sz-ow-nw.ch 1
Ziele Aufgabe und Organisation des Datenschutzbeauftragten bekannt Wesentliche Begriffe und Grundsätze des Datenschutzes bekannt Bezug und Zusammenhang zu anderen kantonalen Fachgesetzen erkannt (z. B. Steuergesetz, Archivgesetz etc.) Gestellte Fragen beantwortet www.datenschutz-sz-ow-nw.ch 2
Organisation und Stellung Organisation 250 Stellenprozente Stao: Gotthardstr. 21, 6414 Oberarth administrativ unterstellt beim FD SZ Stellung Kontrollorgan im Sinne des Bundesgesetzes über den Datenschutz Verwaltungsunabhängig Gewählt für Amtsperiode Eigenes Budget Kann von Amtes wegen tätig werden Unterstützungs- und Mitwirkungspflicht der Gemeinden und Kantone Untersteht dem Amtsgeheimnis www.datenschutz-sz-ow-nw.ch 3
Gesetzlicher Auftrag Überwachung der Anwendung der Vorschriften über den Datenschutz und Öffentlichkeitsprinzip (nur SZ) Führung & Kontrolle des Registers der Datensammlungen Beratung der öffentlichen Organe Mitwirkung bei der Gesetzgebung Vermittlung zwischen öffentlichen Organen und Privaten Zusammenarbeit mit anderen Kantonen & Bund Rechenschaftsablage & Information www.datenschutz-sz-ow-nw.ch 4
Bundesverfassung Art. 13 Schutz der Privatsphäre 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs. 2 Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Zivilgesetzbuch Art. 28 Schutz der Persönlichkeit 1 Wer in seiner Persönlichkeit widerrechtlich verletzt wird, kann zu seinem Schutz gegen jeden, der an der Verletzung mitwirkt, das Gericht anrufen. 2 Eine Verletzung ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
Rechtsgrundlagen und Abgrenzungen www.datenschutz-sz-ow-nw.ch 6
Rechtsgrundlagen Bund Art. 13 Bundesverfassung Art. 28 ff. Zivilgesetzbuch Bundesgesetz vom 19. Juni 1992 über den Datenschutz (Datenschutzgesetz, DSG) Kanton Kantonales Datenschutzgesetz bzw. Gesetz über die Öffentlichkeit der Verwaltung und den Datenschutz (SZ) Materielle Regelungen in zahlreichen kantonalen Spezialgesetzen: Archivierungsgesetz Steuergesetz Sozialhilfegesetz Polizeigesetz Registerharmonisierungsgesetz u.a.m. www.datenschutz-sz-ow-nw.ch 7
Verhältnis zu anderen Rechtsgrundlagen Datenschutzrecht Verfassungsbestimmungen Schutz der Privatsphäre -- Datenschutz-Grundsätze -- tw. materielle Bestimmungen -- Zuständigkeiten & Verfahren -- Aufsicht Steuergesetz, Sozialhilfegesetz, Einwohnerregisterverordnung, etc.: -- Geheimhaltungspflichten -- Datenbearbeitung & Datenbekanntgabe -- Amtshilfe www.datenschutz-sz-ow-nw.ch 8
Abgrenzungen Bundesorgane unter sich Bundesorgane Private Private unter sich Kantonale öffentliche Organe unter sich Kantonale öffentliche Organe Private www.datenschutz-sz-ow-nw.ch 9
Geltungsbereich kantonale Datenschutzgesetze Die kantonalen Datenschutzgesetze gelten für öffentliche Organe des Kantons, der Bezirke (wo vorhanden) und der Gemeinden, die Daten natürlicher oder juristischer Personen bearbeiten, soweit sie hoheitlich handeln. www.datenschutz-sz-ow-nw.ch 10
Wesentliche Elemente: Öffentliches Organ Natürliche oder juristische Personen Bearbeiten hoheitliche Handlung www.datenschutz-sz-ow-nw.ch 11
Ausgenommen vom Geltungsbereich Die kantonalen Datenschutzgesetze gelten nicht für: Nicht hoheitliche Handlungen der Organe Kantonalbank und andere Anstalten, die am wirtschaftlichen Wettbewerb teilnehmen Weitere kantonal unterschiedliche Ausnahmen: SZ: Gerichtliche Behörden, Allmendgenossenschaften, Korporationen OW: Geschäfte des Kantonsrats und seiner Kommissionen, hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege, öffentliche Register des Privatrechtsverkehrs, verwaltungsinterne Arbeitsmittel zum persönlichen Gebrauch NW: Geschäfte, über welche die Stimmberechtigten oder der Landrat beschliessen, hängige Verfahren der Zivil-, Verwaltungs- und Strafrechtspflege mit Ausnahme erstinstanzlicher Verwaltungsverfahren, öffentliche Register des Privatrechtsverkehrs, verwaltungsinterne Arbeitsmittel zum persönlichen Gebrauch www.datenschutz-sz-ow-nw.ch 12
Begriffe www.datenschutz-sz-ow-nw.ch 13
Begriffe öffentliches Organ Verwaltungsstellen und Behörden aller Ebenen (Kanton, Bezirk, Gemeinde, Gemeindeverbände) Selbständige öffentlichrechtliche Körperschaften und Anstalten, wie z.b.: Laboratorium der Urkantone Verkehrssicherheitszentrum Obwalden/Nidwalden Informatikleistungszentrum Obwalden/Nidwalden Organisationen und Personen privaten Rechts, soweit sie mit einer öffentlichen Aufgabe betraut sind, wie z.b.: Privates Transportunternehmen, das mit der Kehrichtabfuhr beauftragt ist Ingenieurbüros, die Vermessungsaufgaben wahrnehmen Private Garagen, die Fahrzeugkontrollen durchführen Privatpersonen als offizielle Übersetzer Privatspitäler, die auf der Spitalliste des Kantons stehen u.a.m. www.datenschutz-sz-ow-nw.ch 14
Öffentliches Organ - Beispiel Spitex Spitex = Verein nach ZGB (Privatrecht) 3 Gesundheitsverordnung NW: Kanton, Bezirke und Gemeinden können Dienstleistungen, die nach dieser Verordnung anzubieten sind, vertraglich anderen Gemeinwesen, Organisationen oder Privatpersonen übertragen. 15 Abs. 1 Gesundheitsverordnung NW: Jede Gemeinde stellt ein Angebot für die Hauskrankenpflege, die hauswirtschaftlichen Dienste sowie den Entlastungsdienst für betreuende und pflegende Angehörige sicher. Sie kann weitere Dienstleistungen erbringen. Die Spitex nimmt also eine öffentliche Aufgabe wahr und gilt somit (in Bezug auf das Datenschutzgesetz) als öffentliches Organ. www.datenschutz-sz-ow-nw.ch 15
Begriffe Hoheitliche Handlung Hoheitlich Baubewilligung Steuerveranlagung Vollstreckungsverfügung Datensperre Fahrzeugprüfung Patenterteilung Sozialhilfegewährung Abfallentsorgung (öfftl. Raum) etc. Nicht hoheitlich Verkauf von SBB-Tageskarten Verkauf von Karten und Broschüren Verkauf von Energiesparlampen Verkauf von Elektrogeräten (Gemeindewerke) Verkauf verbilligter Saisonabonnemente etc www.datenschutz-sz-ow-nw.ch 16
Begriffe - Personendaten Personendaten: Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen bestimmbar = Rückschluss ohne erheblichen Aufwand möglich Problem der Anonymisierung Natürliche und juristische Personen Auch Unternehmen sind in ihrer Persönlichkeit geschützt Besonders schützenswerte Personendaten: religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten Gesundheit, Intimsphäre, ethnische Zugehörigkeit vormundschaftliche Massnahmen Massnahmen der sozialen Hilfe administrative oder strafrechtliche Verfolgungen und Sanktionen www.datenschutz-sz-ow-nw.ch 17
Begriffe - Persönlichkeitsprofil Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Beispiele: Einkaufsgewohnheiten und Produktvorlieben gestützt auf Auswertung COOP Supercard oder Migros CumulusCard Reisegewohnheiten und Produktvorlieben gestützt auf Auswertung Kreditkartenabrechnungen Produktvorlieben gestützt auf Auswertung von Zahlungsverkehrsinformationen www.datenschutz-sz-ow-nw.ch 18
Begriffe - Datensammlung Bestand von Daten, der so aufgebaut ist, dass diese erschliessbar sind Systematisierung und Katalogisierung Such- und Filterfunktionen Index etc. Form oder Datenträger nicht massgebend www.datenschutz-sz-ow-nw.ch 19
Begriffe - Bearbeiten Bearbeiten: Jeder Umgang mit Daten, unabhängig von den angewandten Mitteln! Beispiele: Beschaffen Bekanntgeben Einsicht gewähren Weitergeben Veröffentlichen Zugänglich machen Vernichten etc. www.datenschutz-sz-ow-nw.ch 20
Grundsätze der Datenbearbeitung www.datenschutz-sz-ow-nw.ch 21
Rechtmässigkeit Jede Bearbeitung von personenbezogenen Daten muss rechtmässig sein, andernfalls gilt sie als widerrechtlich und kann rechtliche Konsequenzen nach sich ziehen! www.datenschutz-sz-ow-nw.ch 22
Rechtmässigkeit der Bearbeitung von Personendaten ( 8 Abs. 1 und 9 Abs. 1 ÖDSG) Gesetzliche Grundlage Ermächtigung Einwilligung Gewöhnliche PD Beso. schützenswerte PD Gewöhnliche PD Beso. schützenswerte PD - Gesetz, Verordnung oder Weisung - Dient der Erfüllung einer gesetzlichen Aufgabe - Formelles Gesetz - Für Erfüllung der gesetzlichen Aufgabe unentbehrlich - Mündlich - Schriftlich - Direkt - Indirekt - Schriftlich - Ausdrücklich - Nach Information www.datenschutz-sz-ow-nw.ch 23
Verhältnismässigkeit & Treu und Glauben Datenbearbeitung nur nach den Grundsätzen von Treu und Glauben und Verhältnismässigkeit Treu und Glauben loyales, vertrauenswürdiges Verhalten im Rechtsverkehr Willkürverbot Verhältnismässigkeit Erforderlichkeit in Bezug auf die zu erfüllende gesetzliche Aufgabe sachliche & objektive Geeignetheit Abwägung: Eingriff in Persönlichkeitsrechte vs. Zweck des Eingriffs Zweckbindungsgebot Problem der Datenflut, insbesondere beim Einsatz der EDV Datenvermeidung & -sparsamkeit www.datenschutz-sz-ow-nw.ch 24
Verhältnismässigkeit 1. Nur, wenn nötig -Brauche ich die Information? 2. Nur soviel, wie nötig -Was brauche ich genau? 3. Nur so lange, wie nötig -Wie lange brauche ich sie? www.datenschutz-sz-ow-nw.ch 25
Zweckbindungsgebot Zweckbindung heisst: Daten dürfen nur bearbeitet werden, wenn (alternativ): Zweck gesetzlich vorgesehen ist; Zweck bei der Beschaffung angegeben wurde; Zweck aus den Umständen ersichtlich ist. Es braucht immer einen Zweck für die Datenbearbeitung! Der Zweck darf nur in der Erfüllung einer gesetzlichen Aufgabe bestehen! Gilt auch für den Datenaustausch zwischen den öffentlichen Organen (Amtshilfe)! www.datenschutz-sz-ow-nw.ch 26
Vollständigkeit & Richtigkeit Wer Daten bearbeitet ist auch für deren Richtigkeit und Aktualität sowie entsprechend dem Zweck für deren Vollständigkeit verantwortlich Ansprüche der betroffenen Personen: Einsichts- und Kontrollrechte Informationsrechte Berichtigungs- und Unterlassungsanspruch ggf. Bestreitungsvermerk www.datenschutz-sz-ow-nw.ch 27
Bearbeitung von Personendaten www.datenschutz-sz-ow-nw.ch 28
Datenbearbeitung Beschaffen Bekanntgeben/ Bearbeiten Datensicherheit Archivieren/ Vernichten www.datenschutz-sz-ow-nw.ch 29
Personendaten beschaffen Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten Grundsatz: Beschaffung bei betroffener Person selbst Ausnahme: Datenerhebung bei Dritten (nur bei Rechtsgrundlage oder besonderen Gründen) Rechtsgrundlage, Bearbeitungszweck & Empfänger angeben (auf Verlangen & bei systematischer Erhebung) Besonders schützenswerte Personendaten/Profile: Rechtsgrundlage Zwingende Informationspflichten Ausnahmen möglich www.datenschutz-sz-ow-nw.ch 30
Beschaffung besonders schützenswerter Personendaten bei Dritten Information mindestens über: Inhaber/in der Datensammlung Zweck der Bearbeitung Datenempfänger/innen Keine Informationspflicht, wenn: Information bereits erfolgt Information objektiv unmöglich Information mit unverhältnismässigem Aufwand verbunden Bearbeitung durch Gesetz ausdrücklich vorgesehen www.datenschutz-sz-ow-nw.ch 31
Personendaten bekanntgeben/bearbeiten Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten An wen? Private (Einzelpersonen, Institutionen, Vereine, Organisationen) Öffentliche Organe (Amtshilfe) Welche Daten? Name, Vorname, Geburtsdatum, etc? Durch wen? Alle öffentlichen Organe Nur Einwohnerkontrollen Voraussetzungen Voraussetzungslos? Interessennachweis? Rechtsgrundlage? Einwilligung/Ermächtigung? Bearbeitung durch Dritte www.datenschutz-sz-ow-nw.ch 32
Bekanntgabe allgemein Voraussetzungen Gesetzliche Grundlage Unentbehrlich für Erfüllung einer gesetzlichen Aufgabe (im Einzelfall) Einwilligung im Einzelfall Betroffene Person hat die Information selbst allgemein zugänglich gemacht und Bekanntgabe nicht ausdrücklich untersagt Datenempfänger glaubhaft macht, dass die Einwilligung verweigert wird, um Rechtsansprüche oder Wahrnehmung anderer schutzwürdiger Interessen zu verhindern Stellungnahme der betroffenen Person Wahrung anderer öffentlicher oder privater Interessen: Verweigerung, Einschränkung oder Auflagen Spezialfall: Abrufverfahren www.datenschutz-sz-ow-nw.ch 33
Persönlichkeitsrecht: Informationelles Selbstbestimmungsrecht Jede Person bestimmt darüber, wer wie zu welchem Zweck persönliche Informationen verarbeiten darf Rechtmässigkeitsprinzip: Gesetzliche Grundlage Einwilligung Kontrollrechte: Register der Datensammlungen Einsichtsrecht Berichtigungs-/Unterlassungsanspruch Datenbearbeitung Sammlung Speicherung/Ablage Bearbeitung i.e.s. Bekanntgabe Vernichtung Datenbekanntgabe Bringprinzip Bekanntgabe im Einzelfall auf Anfrage Verantwortlicher Dateninhaber hat die Kontrolle darüber, wohin die Daten gehen und zu welchem Zweck sie verwendet werden. Datenbekanntgabe Holprinzip Abrufverfahren Verantwortlicher Dateninhaber hat keine Kontrolle mehr darüber, wer wann zu welchem Zweck die Daten abholt. Abrufverfahren muss gesetzlich ausdrücklich vorgesehen sein www.datenschutz-sz-ow-nw.ch 34
Bekanntgabe durch Einwohnerkontrolle Bekanntgabe durch Einwohnerkontrolle (formelle Voraussetzung: Gesuch) Voraussetzungslos Einzelauskunft Name, Vorname, Geschlecht, Adresse Schriftlich oder mündlich Schutzwürdiges Interesse glaubhaft Einzelauskunft Geburtsdatum, Zivilstand, Heimatort, Staatsangehörigkeit, Zuzugsort Gesuch und Auskunft schriftlich Listenauskünfte Mehrzahl & systematisch geordnet Voraussetzung: 1. schützenswertes Interesse glaubhaft 2. ideeller Zweck 3. NW: Gesuchsteller Wohnsitz im Kanton Name, Vorname, Geschlecht, Geburtsdatum, Adresse, Zuzug Gesuch und Auskunft schriftlich www.datenschutz-sz-ow-nw.ch 35
Beispiele Listenauskunft Wer/Zweck Politische Parteien (Mitgliederwerbung) PNOS Vereine; Zugezogene, bestimmte Jahrgänge (Mitgliederwerbung) pro senectute, pro infirmis (Spendenaufruf) Lokaler Gewerbeverein (Werbung) Felicitas (Geschenkköfferchen) Verein Landdienst (neu: agriviva), 14-Jährige gewinnen) Fahrschule (Geburtstagsgeschenk für 18-Jährige) bfu (Versand von Tipps zur Unfallverhütung) Bank, Adressen vermögender Personen (Kundengewinnung) Beurteilung www.datenschutz-sz-ow-nw.ch 36
Sonderfälle Bekanntgabe von Personendaten an Kirchgemeinden an öffentliche oder konzessionierte Elektrizitätsunternehmungen von öffentlichen oder konzessionierten Elektrizitätsunternehmungen an Gemeinde von Vermietern an Gemeinde (nicht systematisch, sondern nur wenn Meldepflichten nicht erfüllt) weitere www.datenschutz-sz-ow-nw.ch 37
Datensperre Rechtsanspruch (Teil der Kontrollrechte) Voraussetzung: schutzwürdiges Interesse glaubhaft machen beweisen) betrifft nicht die Amtshilfe Verweigerung oder Aufhebung: Rechtspflicht zur Bekanntgabe oder Aufgabenerfüllung gefährdet nachträglicher Wegfall des Grundes überwiegende öffentliche/private Interessen Rechtliches Gehör: Verweigerung oder Aufhebung nur nach Anhörung gebührenfrei Weitergabe der Sperrvermerke www.datenschutz-sz-ow-nw.ch 38
Beispiele Datensperre + - Tina Turner, Ottmar Hitzfeld (Schutz vor Paparazzi ) lokale Persönlichkeiten (eher geringe Belästigungsgefahr) Schutz vor Nachstellungen (Kind, das vom Vater missbraucht wurde) aus Haft Entlassene (eines medienwirksamen Delikts -> Start neues Leben) sehr vermögende Personen Arbeit als Sicherheitspersonal (Bodyguard, Securitas etc.) Verhinderung Durchsetzung von Rechtsansprüchen (z.b. Unterhaltszahlungen, Schadenersatz) ehemals gültiger Grund nicht mehr aktuell (z.b. Tod eines Stalkers) www.datenschutz-sz-ow-nw.ch 39
Amtshilfe Kanton Gemeinde Begriff Organ = funktional kein beliebiger Datenaustausch innerhalb der Verwaltung! Voraussetzungen: Rechtsgrundlage oder 4 Varianten: Unentbehrlich (NW) oder notwendig (SZ, OW) für Erfüllung gesetzlicher Aufgabe und keine entgegenstehende gesetzliche Geheimhaltungspflicht Einwilligung Zugänglichmachen & kein Bekanntgabeverbot Verhinderung von Rechtsansprüchen Problem: Kleinstgemeinden www.datenschutz-sz-ow-nw.ch 40
Publikation Gesetzliche Voraussetzungen: gesetzliche Grundlage Bsp.: Jagdpatentinhaber, Handelsregister, Grundbuch allgemeines (öffentliches) Interesse und keine besonders schützenswerten Personendaten Einwilligung www.datenschutz-sz-ow-nw.ch 41
Besondere Formen der Datenbearbeitung für nicht personenbezogene Zwecke Forschung, Planung, Statistik Anonymisierung Person nicht mehr bestimmbar gesetzliche Strafandrohung bei zweckfremder Verwendung Beispiele: Universität, Institut, Forschungseinrichtung etc. Bearbeitung durch Dritte im Auftrag zulässig (Vereinbarung oder gesetzliche Bestimmung notwendig) Datenschutz-Revers Dateninhaber bleibt verantwortlich Beispiel: ILZ www.datenschutz-sz-ow-nw.ch 42
Datenverantwortliche Rechte & Pflichten gemäss DSG Rechtliche Verantwortung Auftragsdatenverarbeiter Datenverarbeitung im Auftrag Technische Verantwortung Datenverantwortliche Rechte & Pflichten gemäss DSG Rechtliche Verantwortung Datenempfänger Zugriffssteuerung/ -kontrolle (technisch) Rollen-/Berechtigungskonzept Datenlieferanten Datenplattform www.datenschutz-sz-ow-nw.ch 43
Videoüberwachung Öffentlicher Raum Privater Raum Bund Kantone & Gemeinden Eidg. Datenschutzgesetz Eidg. Datenschutzgesetz Kant. Datenschutzgesetz www.datenschutz-sz-ow-nw.ch 44
Videoüberwachung Was? Nur Öffentlich zugängliche Orte Bildaufzeichnungs- und Bildübermittlungsgeräte Zu welchem Zweck? Ausschliesslich zum Zweck des Schutzes von Personen und Sachen Wer? Öffentliches Organ dem das Benützungsrecht zusteht Empfehlung: Entscheid Gemeinderat/Amtsleiter etc. Wie? Verhältnismässigkeit (Alternativen prüfen!) Erkennbarkeit Schutz der Daten Regelung des Zugriffs und der Verantwortlichkeiten Löschung nach gesetzlicher Frist (unterschiedlich SZ: 120 Std.; OW: 100 Tage; NW: 30 Tage) Information DSB (OW: vorgängig!) www.datenschutz-sz-ow-nw.ch 45
Beispiele Videoüberwachung Für öff. Organe relevant Zweck = Schutz von Personen und Sachen Abfallsammelstellen Verwaltungsgebäuden Schulhäuser Öffentliche Parkhäuser Öffentliche Plätze & Wege Für öff. Organe nicht relevant andere Zwecke private Gebäude (mit Aufnahme eines öffentlichen Trottoirs?) Arbeitsplatzüberwachung (bei Privatunternehmungen) Tunnelüberwachung (Verkehrsfluss) Einkaufszentren Videoüberwachung im Restaurant Webcam zur Verfolgung Baufortschritt www.datenschutz-sz-ow-nw.ch 46
Personendaten archivieren/vernichten Beschaffen Archivieren/ Vernichten Bekanntgeben/ Bearbeiten Verhältnismässigkeitsprinzip: Datenbearbeitung nur so lange wie notwendig Kriterien: ausdrückliche gesetzl. Vorschrift, Verjährungsfristen Archivierung, Anonymisierung oder Vernichtung evtl. Ablieferungspflicht an Staatsarchiv Aufbewahrung Personaldossiers nach Austritt oder Pensionierung www.datenschutz-sz-ow-nw.ch 47
Datensicherheit Beschaffen Bekanntgeben/ Bekanntgeben/ Bearbeiten Bearbeiten Datensicherheit Datensicherheit Archivieren/ Archivieren/ Vernichten www.datenschutz-sz-ow-nw.ch 48
Schutz der Daten Technische Massnahmen Türschlösser Sicherheitstüren, Brandschutztüren, Sicherheitsglas Abschliessbares Mobiliar Live-Video, Alarmanlage Aktuelle Virenschutzprogramme, Firewall Back-ups u.a.m. Organisatorische Massnahmen Schlüsselplan Berechtigungskonzepte Verschlüsselungen Geheimhaltungserklärungen Starke Passwörter, regelmässige Passwortänderungen Weisungen, Reglemente (insbes. IT-Sicherheit) Ausbildung, Sensibilisierung Einsatzplan Reinigungspersonal u.a.m. www.datenschutz-sz-ow-nw.ch 49
Rechte und Pflichten www.datenschutz-sz-ow-nw.ch 50
Persönlichkeitsrecht: Informationelles Selbstbestimmungsrecht Jede Person bestimmt darüber, wer wie zu welchem Zweck persönliche Informationen verarbeiten darf Rechtmässigkeitsprinzip: Gesetzliche Grundlage Einwilligung Verhältnismässigkeitsprinzip: Nur so viel wie notwendig Nur so lange wie notwendig Nur so viele Bearbeiter wie notwendig Zweckbindungsgebot: Gesetzlich vorgesehener Zweck Zweck aus den Umständen ersichtlich Keine zweckfremde Bearbeitung Gesetzliche Kontrollrechte Einsichtsrechte Kostenlose Einsichtnahme Klagbarer Rechtsanspruch Korrekturrechte Beseitigung Unterlassung Berichtigung Schadenersatzansprüche Zentrales Instrument = Öffentliches Register der Datensammlungen www.datenschutz-sz-ow-nw.ch 51
Ansprüche der betroffenen Personen Recht auf Einsichtnahme und Auskunft nur in Bezug auf eigene Daten Einsichtnahme in das Register der Datensammlungen Einschränkungen: gesetzlich vorgesehene wichtige öffentliche Interessen/besonders schutzwürdige Interessen Dritter tangiert Strafuntersuchung oder Untersuchungsverfahren gefährdet kostenlos Weitere Ansprüche Berichtigung, Vervollständigung, Unterlassung evtl. Bestreitungsvermerk Beseitigung der Folgen und Schadenersatz Feststellung der Widerrechtlichkeit Praxis? www.datenschutz-sz-ow-nw.ch 52
Verschiedene Fragen www.datenschutz-sz-ow-nw.ch 53
Register der Datensammlungen: Rollen & Aufgaben Dateninhaber Haben die Datenhoheit Bearbeiten Daten im Rahmen der gesetzlichen Aufgabe Verantwortlich für die Einhaltung der datenschutzrechtlichen Grundsätze Gewähren die Kontrollrechte Gemeinden SZ, NW: Führen ein öffentliches Register der Datensammlungen ihrer Organe Melden Änderungen im Register der Aufsichtsstelle Datenschutzbeauftragter (Aufsichtsstelle) Führt das öffentliche Register der Datensammlungen für Kanton (OW & NW) und Gemeinden (OW) NW: Führt ein zentrales Register der registrierten Datensammlungen der Gemeinden Kann den Gemeinden diesbezüglich Weisungen erteilen www.datenschutz-sz-ow-nw.ch 54
Verantwortlichkeit öffentliches Organ, das Personendaten bearbeitet (Dateninhaber): für Einhaltung der Datenschutzbestimmungen verantwortlich sorgt für den Schutz der Personendaten vor unbefugtem Zugriff (Daten-/Informatiksicherheit) entscheidet über Berichtigung, Beseitigung oder Unterlassung entscheidet über Bestreitungsvermerke erlässt ggf. Verfügungen keine Weisungsbefugnis des ÖDB Auftragsdatenverarbeitung: Dateninhaber bleibt verantwortlich! www.datenschutz-sz-ow-nw.ch 55