Vorlage/Muster eines Bearbeitungsreglements gem. DSG

Vorlage/Muster eines Bearbeitungsreglements gem. DSG Grundsätzliches zum Bearbeitungsreglement Für automatisierte Datensammlungen ist in der Regel ein Bearbeitungsreglement zu erstellen und laufend zu aktualisieren. Eine automatisierte Datenbearbeitung liegt dann vor, wenn die zentralen Abläufe und Verfahrensschritte der Datenbearbeitung unter Einsatz von programmgesteuerten technischen Einrichtungen (z. B. PCs) ablaufen. Ein Bearbeitungsreglement dokumentiert insbesondere die Datenbearbeitungs und Kontrollverfahren. 1 Verantwortlich für die Erstellung eines Bearbeitungsreglements ist der Inhaber der jeweiligen Datensammlung (engl. data owner). In der Praxis wird das Bearbeitungsreglement in jenen Organisationseinheiten erstellt und gepflegt, in denen die Personendaten konkret bearbeitet werden. 2 In Art. 12 und 21 DSV 3 werden im Einzelnen die Voraussetzungen für die Pflicht zur Erstellung und der Inhalt eines Bearbeitungsreglements geregelt. Art. 12 DSV gilt für private Personen, während Art. 21 DSV für Behörden gilt. Die Vorschriften unterscheiden sich insbesondere darin, unter welchen Voraussetzungen ein Bearbeitungsreglement zu erstellen ist. 4 Denn die Pflicht zur Erstellung eines Bearbeitungsreglements bei automatisierten Datensammlungen gilt nicht uneingeschränkt; vielmehr sieht der Gesetzgeber Ausnahmen hiervon vor. Dennoch könnte es trotz Vorliegen einer gesetzlichen Ausnahme für den Inhaber der Datensammlung sachgerecht und dienlich sein, freiwillig ein Bearbeitungsreglement zu erstellen, um Datenbearbeitungsprozesse revisionssicher und einheitlich zu dokumentieren. 5 Bearbeitungsreglement für Private Art. 12 Abs. 1 DSV stellt bei der Pflicht zur Erstellung eines Bearbeitungsreglements durch private Personen allein darauf ab, ob es sich bei der in Frage stehenden Datensammlung um eine gemäss Art. 15 DSG meldepflichtige automatisierte Datensammlung handelt. Das bedeutet Folgendes: In Art. 15 DSG in Verbindung mit Art. 3 bis 4b DSV wird für private Personen geregelt, wann eine Datensammlung zum Register der Datensammlungen anzumelden ist und welche Ausnahmen hiervon gelten. Trifft eine der im Gesetz genannten Ausnahmen von der Registrierungspflicht zu, von denen insbesondere die Bezeichnung eines betrieblichen Datenschutzverantwortlichen gemäss Art. 4a DSV zu nennen ist, entfällt die gesetzliche Pflicht zur Erstellung eines Bearbeitungsreglement gänzlich. Bearbeitungsreglement für Behörden Für die Behörden wird das Bearbeitungsreglement in Art. 21 DSV geregelt. Im Gegensatz zur vorgenannten Bestimmung des Art. 12 DSV stellt der Gesetzgeber bei der Pflicht zur Erstellung eines Bearbeitungsreglements durch Behörden entscheidend auf die Art der 1 Art. 12 Abs. 2 S.1 DSV bzw. Art. 21 Abs. 2 S. 2 DSV. 2 Dies sind häufig die zuständige Informatikabteilung bzw. die dortigen Systemadministratoren der Datensammlungen, die bei der Erstellung und Pflege, insbesondere der technischen Inhalte, den Dateninhaber unterstützen. 3 Behörden müssen darüber hinaus ihre Bearbeitungsreglemente den zuständigen Kontrollorganen, z. B. der Datenschutzstelle, in einer für diese verständlichen Form zur Verfügung stellen (Art. 21 Abs. 3 S. 2 DSV). 4 Art. 12 Abs. 1 DSV und Art. 21 Abs. 1 DSV. 5 Die Vorlage des Bearbeitungsreglements kann z. B. im Rahmen einer Datenschutzkontrolle oder eines Zertifizierungsverfahrens angefragt werden. Bearbeitungsreglement.Docx Dezember 2012 i

bearbeiteten Personendaten sowie den Kreis der Datenbearbeiter und empfänger ab. 6 Demnach ist dann ein Bearbeitungsreglement zu erstellen, wenn die automatisierte Datensammlung besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthält, durch mehrere Behörden benutzt wird, Gemeinden, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht wird, oder 7 mit anderen Datensammlungen verknüpft ist. Inhalt des Bearbeitungsreglements Inhaltlich sollte sich das Dokument auf die wesentlichen Aspekte der gemäss Datenschutzverordnung vorgeschriebenen Punkte beschränken; 8 die für das Verständnis und die Beurteilung der Abläufe notwendigen Erläuterungen müssen jedoch enthalten sein. Zur Darstellung komplexer Sachverhalte und Abläufe kann auf andere/weitere Dokumentation verwiesen werden. Die für die Datenbearbeitung verantwortlichen Stellen für Datenschutz oder Datensicherheit sollten jederzeit auf das jeweilige Bearbeitungsreglement zugreifen können. Organisationseinheiten, die ihre Aufbau und Ablauforganisation als auch die verwendeten Systeme zur Datenbearbeitung bereits bei der Systemgestaltung angemessen dokumentiert bzw. die Datensicherungsvorkehrungen entsprechend berücksichtigt haben, werden durch die Erstellung des Bearbeitungsreglements kaum grossen zusätzlichen Mehraufwand haben, da die für das Reglement benötigten Informationen häufig in anderen Dokumenten bereits vorhanden sind. Die Empfehlung zur Datensicherheit sowie zu den technischen und organisatorischen Massnahmen des Datenschutzes 9 enthält eine Checkliste 10 der gemäss DSG/DSV geforderten Inhalte eines Bearbeitungsreglements sowie weitere Erläuterungen zum Thema. Grundsätzlich gilt, je sensitiver die im System bearbeiteten Personendaten sind, umso detaillierter sind die von der Datenbearbeitung betroffenen Abläufe sowie die Aufbauorganisation (z. B. Aufgabenanalyse, Funktionsdiagramm, Verantwortlichkeiten) in einem Bearbeitungsreglement zu dokumentieren. IM GEGENSTÄNDLICHEN MUSTER SIND ANMERKUNGEN, BEISPIELE UND ERGÄNZENDE ERLÄUTERUNGEN KURSIV GESCHRIEBEN. DIESE ANMERKUNGEN GEHÖREN IN DER REGEL NICHT IN DAS FERTIGE BEARBEITUNGSREGLEMENT. DAS GEGENSTÄNDLICHE MUSTER DIENT DER ORIENTIERUNG BEI DER ERSTELLUNG EINES BEARBEITUNGSREGLEMENTS UND ERHEBT KEINEN ANSPRUCH AUF VOLLSTÄNDIGKEIT. 6 Art. 21 Abs. 1 Bst. a) bis d) DSV. 7 Bei den aufgezählten Erfordernissen handelt es sich jeweils um Alternativen ( oder ), das heisst ein Bearbeitungsreglement ist zu erstellen, sobald nur eine der vier oben genannten Bedingungen erfüllt ist. 8 Vgl. Art. 12 Abs. 2 S. 2 DSV und Art. 21 Abs. 2 S. 2 DSV. 9 http://www.llv.li/amtsstellen/llv dss richtlinien/llv dss empfehlung tom.htm. 10 Siehe auch nächste Seite, Inhalt eines Bearbeitungsreglements. Bearbeitungsreglement.Docx Dezember 2012 ii

Inhalt eines Bearbeitungsreglements Interne Organisation Datenbearbeitungsverfahren Kontrollverfahren Auflistung/Aufstellung der Dokumente und Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung Meldepflicht erforderlichen Angaben: Name und Adresse des Inhabers der Datensammlung Name und vollständige Bezeichnung der Datensammlung die Stelle, bei der das Auskunftsrecht geltend gemacht werden kann Zweck der Datensammlung Rechtsgrundlage der Datensammlung (gilt NUR für BEHÖRDEN) Kategorien der bearbeiteten Personendaten Kategorien der Empfänger der Daten Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die Daten in eine Datensammlung eingeben und verändern dürfen eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Massnahmen nach Art. 9 DSG zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die für den Datenschutz und die Datensicherheit der Daten verantwortliche Stelle Die Herkunft der Daten Die Zwecke, für welche die Daten regelmässig bekannt gegeben werden Die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen Die verantwortlichen Behörden treffen die nach Art. 9 bis 11 DSV erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden. Allgemeine Massnahmen: Die Behörde sorgt für die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere soll das Reglement Massnahmen des Systems gegen folgende Risiken aufzeigen: unbefugte oder zufällige Vernichtung zufälligen Verlust technische Fehler Fälschung, Diebstahl oder widerrechtliche Verwendung unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung: Zweck der Datenbearbeitung Art und Umfang der Datenbearbeitung Art. 12 Abs. 2 bzw. Art. 21 Abs. 2 DSV Art. 12 Abs. 2 bzw. Art. 21 Abs. 2 DSV Art. 12 Abs. 2 bzw. 21 Abs. 2 DSV Art. 12 Abs. 2 bzw. Art. 21 Abs. 2 DSV Art. 15 DSG bzw. Art. 16 DSV Art. 15 Abs. 5 Bst. a) DSG bzw. Art. 16 Abs. 1 Bst. a) DSV Art. 15 Abs. 5 Bst. b) DSG bzw. Art. 16 Abs. 1 Bst. b) DSV Art. 15 Abs. 5 Bst. c) DSG bzw. Art. 16 Abs. 1 Bst. c) DSV Art. 15 Abs. 5 Bst. d) DSG bzw. Art. 16 Abs. 1 Bst. d) DSV Art. 16 Abs. 1 Bst. d) DSV Art. 15 Abs. 5 Bst. e) DSG bzw. Art. 16 Abs. 1 Bst. e) DSV Art. 15 Abs. 5 Bst. f) DSG bzw. Art. 16 Abs. 1 Bst. f) DSV Art. 15 Abs. 5 Bst. g) DSG bzw. Art. 16 Abs. 1 Bst. g) DSV Art. 15 Abs. 5 Bst. h) DSG bzw. Art. 16 Abs. 1 Bst. h) DSV Art 9 Abs. 1 DSG Art. 12 Abs. 2 Bst. a) DSV bzw. Art. 21 Abs. 2 Bst. a) DSV Art. 12 Abs. 2 Bst. b) DSV bzw. Art. 21 Abs. 2 Bst. b) DSV Art. 12 Abs. 2 Bst. c) DSV bzw. Art. 21 Abs. 2 Bst. c) DSV Art. 12 Abs. 2 Bst. d) DSV bzw. Art. 21 Abs. 2 Bst. d) DSV > Art. 20 DSV Art. 9 DSG, Art. 20 Abs. 1 DSV > Art. 9 11 DSV Art. 9 Abs. 1 DSV Art. 9 Abs. 1 Bst. a) DSV Art. 9 Abs. 1 Bst. b) DSV Art. 9 Abs. 1 Bst. c) DSV Art. 9 Abs. 1 Bst. d) DSV Art. 9 Abs. 1 Bst. e) DSV Art. 9 Abs. 2 DSV Art. 9 Abs. 2 Bst. a) DSV Art. 9 Abs. 2 Bst. b) DSV Bearbeitungsreglement.Docx Dezember 2012 iii

Einschätzung der möglichen Risiken für die betroffenen Personen gegenwärtiger Stand der Technik Besondere Massnahmen: Das Reglement beinhaltet Angaben über die technischen und organisatorischen Massnahmen, die folgenden Zielen gerecht werden: Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren; Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgem zu verunmöglichen; Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können; Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können; Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern; Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern; Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen; Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden. Protokollierung: Die präventiven Massnahmen zum Datenschutz und alle zusätzlich notwendigen Protokollierungen, die den Datenschutz unterstützen, sind im Reglement zu erwähnen. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden. Die Datenschutzstelle kann die Protokollierung auch für andere Bearbeitungen empfehlen. Die Aufbewahrungszeit (1 Jahr revisionsgerecht), das Auswertungsverfahren und die Personen, welche Zugriff darauf haben, sind ebenfalls im Reglement aufzuführen. Die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben; Art und Umfang des Zugriffs der Benutzer der Datensammlung; Die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten; Die Konfiguration der Informatikmittel; Das Verfahren zur Ausübung des Auskunftsrechts. Das Reglement wird regelmässig aktualisiert. Nur für Behörden: Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt. Art. 9 Abs. 2 Bst. c) DSV Art. 9 Abs. 2 Bst. d) DSV Art. 10 Abs. 1 DSV Art. 10 Abs. 1 Bst. a) DSV Art. 10 Abs. 1 Bst. b) DSV Art. 10 Abs. 1 BSt. c) DSV Art. 10 Abs. 1 Bst. d) DSV Art. 10 Abs. 1 Bst. e) DSV Art. 10 Abs. 1 Bst. f) DSV Art. 10 Abs. 1 Bst. g) DSV Art. 10 Abs. 1 Bst. h) DSV Art. 11 DSV Art. 12 Abs. 2 Bst. e) DSV bzw. Art. 21 Abs. 2 Bst. e) DSV Art. 12 Abs. 2 Bst. f) bzw. Art. 21 Abs. 2 Bst. f) DSV Art. 12 Abs. 2 Bst. g) DSV bzw. Art. 21 Abs. 2 Bst. g) DSV Art. 12 Abs. 2 Bst. h) DSV bzw. Art. 21 Abs. 2 Bst. h) DSV Art. 12 Abs. 2 Bst. i) DSV bzw. Art. 21 Abs. 2 Bst. i) DSV Art. 12 Abs. 3 DSV bzw. Art. 21 Abs. 3 DSV Bearbeitungsreglement.Docx Dezember 2012 iv

[KLASSIFIZIERUNG wie z. B. ÖFFENTLICH, INTERN, VERTRAULICH] Bearbeitungsreglement Datensammlung Inhaber der Datensammlung Anwendungsverantwortliche(r) [Bezeichnung der Datensammlung] [Amts oder Firmenbezeichnung inkl. Anschrift und Kontaktdaten] [Funktionsbezeichnung] Änderungskontrolle Version Datum Beschreibung, Bemerkung Autor 1.0 [Ver_10.10.2012] [Kürzel] Bearbeitungsreglement.Docx Dezember 2012 1

Abkürzungsverzeichnis Abkürzung Abt. Art. DB DSG DSV OE SbO Abteilung Artikel Datenbank Datenschutzgesetz Verordnung zum Datenschutzgesetz Organisationseinheit Systembetreibendes Organ Bearbeitungsreglement.Docx Dezember 2012 2

Inhaltsverzeichnis 1. Allgemein... 5 1.1 Rechtsgrundlagen bzw. Rechtfertigungsgründe... 5 1.2 Interne Organisation... 5 1.3 Verantwortlichkeiten... 6 1.4 Auftragsdatenbearbeiter... 6 2. Zweck und Inhalt der Datensammlung... 7 2.1 Zweck der Datensammlung... 7 2.2 Inhalt der Datensammlung... 7 3. Konfiguration der Informatikmittel... 8 3.1 Systemübersicht... 9 3.2 Anwendungsbeschreibung... 10 4. Benutzer und Datenzugriff... 11 4.1 Benutzerrollen... 11 4.2 Zugriffsberechtigung... 12 4.3 Prozess Zugriffsberechtigung... 12 4.4 Passwort Policy... 15 4.5 Pflichten der Benutzer... 16 5. Bearbeitung der Personendaten... 16 5.1 Datenherkunft... 16 5.2 Datenbearbeitungsverfahren... 17 5.2.1 Datenerhebung... 17 5.2.2 Interne Datenbearbeitung... 18 5.2.3 Berichtigung (Sperrung, Vermerk)... 18 5.2.4 Anonymisierung... 18 5.2.5 Archivierung/Vernichtung... 18 5.3 Datenbekanntgabe und Schnittstellen... 19 5.3.1 Schnittstelle Systembetreiber Behörde... 21 6. Technische und organisatorische Massnahmen... 21 6.1 Allgemeine Massnahmen... 22 6.2 Besondere Massnahmen... 22 6.2.1 Zugangskontrolle... 22 6.2.2 Personendatenträgerkontrolle... 23 6.2.3 Transportkontrolle... 24 6.2.4 Bekanntgabekontrolle... 24 6.2.5 Speicherkontrolle... 24 6.2.6 Benutzerkontrolle... 25 6.2.7 Zugriffskontrolle... 25 6.2.8 Eingabekontrolle... 26 6.3 Protokollierung... 26 6.3.1 Auswertung von Protokolldaten... 27 Bearbeitungsreglement.Docx Dezember 2012 3

7. Rechte der betroffenen Personen... 27 7.1 Ansprechperson... 27 7.2 Auskunftsrecht... 27 7.3 Berichtigung der Daten... 28 8. Anmeldung Datensammlung... 29 9. Verantwortlichkeit... 30 10. Anhang... 31 10.1 Dokumentenverzeichnis... 31 10.2 Glossar... 32 10.3 Abbildungsverzeichnis... 33 10.4 Register der Datensammlung... 34 Bearbeitungsreglement.Docx Dezember 2012 4

1. Allgemein 1.1 Rechtsgrundlagen bzw. Rechtfertigungsgründe Für Behörden. Dieser Abschnitt hält die gesetzlichen Grundlagen fest, auf die sich die Bearbeitung der Personendaten in der Datensammlung durch Behörden stützt. Die Rechtsgrundlage der gegenständlichen Datensammlung ([Name der Datensammlung]) findet sich im [Gesetz]. Nach Art. [Artikel und Gesetz] betreibt [Behörde sowie Kurzbeschreibung der Datensammlung]. Alternative: Der Betrieb von [Bezeichnung der Datensammlung] der [Bezeichnung Behörde] stützt sich insbesondere auf folgende Rechtsgrundlagen: [Gesetz] Generell bedürfen auch private Personen für die Bearbeitung von Personendaten eines Rechtfertigungsgrundes. 11 Für Private gilt Art. 16 DSG, wonach es für bestimmte Fälle der Datenbearbeitung durch Private auf eine Einwilligung als Rechtfertigungsgrund entscheidend ankommt. Die Einwilligung der betroffenen Personen wird eingeholt, indem [Beschreibung des Verfahrens, z B. Opt In]. Diese Einwilligungserklärungen sind dokumentiert und werden [wo und wie?] zu Beweiszwecken aufbewahrt. Wird die Einwilligung der Datenbearbeitung widerrufen, [Beschreibung des Verfahrens bei Widerruf]. 1.2 Interne Organisation Aufführen des Organigramms (auch auszugsweise) des für die Datensammlung verantwortlichen Organs und insbesondere jener Bereiche (inkl. Anzahl Mitarbeitende), die mit der Datensammlung arbeiten (z. B. Administration) oder deren Daten direkt bearbeiten (z. B. Sachbearbeitung). Die für den Datenschutz und die Datensicherheit verantwortliche Stelle ist [Bezeichnung des Betreibers der Datensammlung]. 11 Vgl. Art. 16 DSG, Art. 17f. DSG. Bearbeitungsreglement.Docx Dezember 2012 5

Abbildung 1: Organigramm Inhaber der Datensammlung 1.3 Verantwortlichkeiten Die Verantwortlichkeiten können wie folgt definiert werden: Für die Planung und Realisierung: [Bezeichnung der Stelle] Betrieb sowie die Systementwicklung: [Bezeichnung der Stelle] Hardware: [Bezeichnung der Stelle] Anwendung: [Bezeichnung der Stelle] Netzwerk: [Bezeichnung der Stelle] Datenbank: [Bezeichnung der Stelle] Betriebssystem: [Bezeichnung der Stelle] 1.4 Auftragsdatenbearbeiter Wird die Bearbeitung von Personendaten durch Private an Dritte übertragen (z. B. Outsourcing), so müssen nach Art. 19 DSG folgende Voraussetzungen erfüllt sein: der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. Weiters unterliegen Dritte denselben Pflichten und dieser kann auch dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen. Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf getroffene Massnahmen zur Einhaltung der Bestimmungen nach Art. 19 DSG schriftlich oder in einer anderen Form zu dokumentieren. Auch Behörden können unter den Voraussetzungen von Art. 22 DSV Personendaten durch Dritte bearbeiten lassen, wenn der Datenschutz gewährleistet ist. Gegebenenfalls ist eine vertragliche Vereinbarung (vergleichbar zu Art. 19 Abs. 3 DSG) erforderlich. Folgende Datenbearbeitungsschritte werden an [Bezeichnung des Auftragsdatenbearbeiters] abgegeben: [Beschreibung Datenbearbeitungsschritt 1] [Beschreibung Datenbearbeitungsschritt 2] Bearbeitungsreglement.Docx Dezember 2012 6

Durch [Beschreibung der Massnahme(n)] wird sichergestellt, dass der Auftraggeber die Daten so bearbeitet, wie dies für den Auftraggeber zulässig ist. Die Auftragsdatenbearbeitung ist durch einen [Vertrag/Datenschutzerklärung] geregelt. (s. Anhang [Nr.]) 2. Zweck und Inhalt der Datensammlung 2.1 Zweck der Datensammlung In diesem Abschnitt sind sämtliche Zwecke der Datensammlung zu beschreiben. Die Datenbearbeitung in der gegenständlichen Datensammlung dient folgenden Zwecken: [Zweck 1 beschreiben] [Zweck 2 beschreiben] [Zweck 3 beschreiben] 2.2 Inhalt der Datensammlung Zum Inhalt der Datensammlung sind folgende Fragen zu beantworten: Wie sind die bearbeiteten Daten und Datenfelder in der Datensammlung zu qualifizieren (z. B. als besonders schützenswerte Personendaten, Persönlichkeitsprofile, etc.)? Welche Kategorien (bzw. Gruppen ) von Personendaten werden bearbeitet? In [Bezeichnung der Datensammlung] sind folgende Datenkategorien von Personendaten enthalten: z. B. Adressen (Name, Adresse, Telefon, usw.) z. B. Arbeitsdaten (Arbeitgeber, Position, Arbeitsort) z. B. Gesundheitsdaten (schützenswert) von natürlichen Personen. z. B. biometrische Daten eines Zugangskontrollsystems Die [z. B. Eingabemaske] (s. Abschnitt 5.2.1 Datenerhebung) zur Erfassung der Datensätze für die gegenständliche Datensammlung enthält folgende Datenfelder: [Bezeichnung Datenfeld 1] [Bezeichnung Datenfeld 2] [Bezeichnung Datenfeld 3] [Bezeichnung Datenfeld 4] Bearbeitungsreglement.Docx Dezember 2012 7

In der Datensammlung selbst werden die Inhalte nach der Erfassung mittels dem in Abschnitt 5.2.1 auf Seite 17 beschriebenen Verfahren in [z. B. Tabellen einer SQL Datenbank, Standardoffice Anwendung, Textdokument] gespeichert: Beschreibung des Tabelleninhalts Anmerkungen zu einem Kunden Kommunikationsdaten der Person (E Mail, Telefon, usw.) Kundendaten technische Bezeichnung TAB_BEMERKUNG TAB_KOMMUNIKATION TAB_KUNDEN Tabelle 1: Tabellenbezeichnungen der Datensammlung Die einzelnen Attribute (Feldnamen) zu den oben genannten Tabellen: technische Bez. Tabelle TAB_BEMERKUNG TAB_KOMMUNIKATION Technische Bezeichnung der Datenfelder ERFASST_AM,ERFASST_DURCH,GEAENDERT_AM,GEAENDERT_DURCH, KUNDE_ID,PUBLIC_VISIBLE,TEXT, usw. ERFASST_AM,ERFASST_DURCH,GEAENDERT_AM,GEAENDERT_DURCH, KOMM_DAT,KOMM_ID,KOMM_TYP,KUNDE_ID; TAB_KUNDEN KUNDE_ID,ANREDE,BEMERKUNG,NAME,VORNAME,GEBURTSDATUM, usw. Tabelle 2: Liste der Datenfelder der Datensammlung Abhängig der Komplexität der Datensammlung kann der Inhalt der Datensammlung als Anhang dem Bearbeitungsreglement angehängt werden. 3. Konfiguration der Informatikmittel Ein Bearbeitungsreglement enthält die Konfiguration der Informatikmittel. Darunter ist keine Übersicht/Zusammenstellung der Konfigurationsparameter der einzelnen Hard und Softwarekomponenten im Detail zu verstehen (Konfigurationsdateien), sondern eine schematische Darstellung sämtlicher bei der automatisierten Datenbearbeitung beteiligten Systemkomponenten sowie deren Zusammenwirken. 12 12 Z. B. Netzwerktopologie, eingesetzte Computersysteme (Betriebssystem, verwendete Hardware, usw.), Bezeichnung von Schnittstellen, eingesetzte Anwendungen und Datenbankmanagementsysteme (Spezialanwendungen, Standardlösungen, usw.). Bearbeitungsreglement.Docx Dezember 2012 8

3.1 Systemübersicht Internet System Client (1) Client (1) Client (1) C DMZ (8) A Firewall (9) D Firewall (4) B Client (2) DB-Administrator (7) Datenbank (3) Firewall (5) Abbildung 2: Schematische Darstellung [Bezeichnung Datensammlung] Bezeichnung Beschreibung/Anmerkung Client (1) Desktop, HP Compaq 1202a SFF, Windows 7, LAN Anbindung; 7, WLAN (WPA2, EAP) ); Client (2) Notebook, HP ProBook 6560b, Windows DB Server (3) Server, HP ProLiant N40L, Windows Server 2008 R22 Enterprise,, Oracle Datenbank 11g; Physischer Speicherort der Datensammlung; Firewall (4) oder auch abstrakter: Bearbeitungsreglement.Docx Dezember 20122 9

Abbildung 3: Systemübersicht [Bezeichnung Datensammlung] Die Personendaten werden durch [Bezeichnung der Security Layer] vor nicht ordnungsgemässer Datenbearbeitung geschützt. [Weiter z. B. mit Beschreibung der Security Layer]. Datenzugriffe der [Anwendung X, Anwendung Y] finden [Beschreibung des Verfahrens] statt. BEACHTE: Die Datenflüsse samt den vorhandenen technischen Schnittstellen als auch die Datenbearbeitung selbst müssen nachvollziehbar schematisch dargestellt werden. Abhängig von der Komplexität und dem Einsatzgebiet einer Datensammlung können bereits wenige Zeilen zur Beschreibung der Abläufe reichen (z. B. Beschwerdeliste in einer Office Tabellenkalkulation), jedoch können auch ganze Handbücher (z. B. als Anhang) notwendig sein. Alternative für komplexere Systeme: Die Konfiguration der Informatikmittel wird im [Systemhandbuch] im Detail beschrieben. (s. Anhang [Nr.]) 3.2 Anwendungsbeschreibung Die Anwendung ist ein System, welches [Beschreibung des Systems, Software, Dateiformat. usw.]. Bearbeitungsreglement.Docx Dezember 2012 10

Die Anwendung unterstützt verschiedene Benutzerrollen. Diese sind im Abschnitt 4.1 im Detail beschrieben. Die Anmeldung am System erfolgt [Beschreibung des Logins/Authentifizierungsverfahrens, z. B. Smart Card, Eingabe eines Benutzernamens mit entsprechendem Passwort]. Das Berechtigungskonzept wird in Abschnitt 4.2 im Detail beschrieben. Die Anwendung besteht aus den folgenden Dateien in den folgenden Verzeichnissen: Dateiname Verzeichnis Dateibeschreibung Applikation.exe C:\Programme\[Applikationsverz.] Applikation AppLib.dll C:\WINNT\SYSTEM32\... Applikationsbibliothek AppDB.db C:\Programme\[Applikationsverz.] Datenbank mit Personendaten... Tabelle 3: Programmdateien Dokumente können über [Anzahl und Beschreibung der Druckserver/Drucker] ausgedruckt werden. Wenn für die Datenbearbeitung relevant: Beim verwendeten Netzwerkprotokoll handelt es sich um [Netzwerkprotokoll, z. B. TCP/IP]. 4. Benutzer und Datenzugriff 4.1 Benutzerrollen Die Kategorien (bzw. Gruppen oder Benutzerrollen) aller zugriffsberechtigten Organisationseinheiten/Abteilungen/Personen sind hier aufzuführen und es ist kurz zu umschreiben, für welche (bei Behörden gesetzliche) Aufgabe sie einen Zugriff benötigen. Zugriffsberechtigt auf die [Bezeichnung der Datensammlung] sind folgende Benutzerkreise: OE/Abt./Personen Geschäftsführung Amtsstellenleitung Abt. Administration Sekretariat Buchhaltung Aufgabe z. B. Abfrage der Daten zur Prüfung der Anträge und rechtliche Abklärungen; z. B Eingabe/Kontrolle/Korrektur der Datensätze, Erstellen von Offerten und Verträgen; z. B. Abfrage der Adressdaten (Rechnungserstellung); Bearbeitungsreglement.Docx Dezember 2012 11

Den zuvor genannten Benutzerkreisen sind folgende Benutzerrollen zugeordnet: (Sämtliche Benutzerrollen sind aufzuführen!) Benutzerrolle br_bu_leitung br_bu_sek br_bu_sb Beschreibung Abteilungsleitung Buchhaltung Abteilung Buchhaltung Sekretariat Abteilung Buchhaltung Sachbearbeitung Für die einzelnen Personenkreise mit Zugriff auf die Datensammlung können mehrere Benutzerrollen existieren (z. B. Leitung, Stabstelle, Sachbearbeitung). Dies ist entsprechend darzustellen. 4.2 Zugriffsberechtigung Die Art und der Umfang des Zugriffs der Benutzer (z. B. Benutzerrollen) der Datensammlung auf die einzelnen Kategorien oder Datenfelder sind hier zu dokumentieren [z. B. mittels Zugriffsmatrix, Berechtigungskonzept]. Den unter Abschnitt 4.1 aufgeführten Benutzerrollen wurden auf die Inhalte der Datensammlung folgende Zugriffsberechtigungen zugewiesen: Benutzerrolle br_bu_leitung br_bu_sek br_bu_sb Datenfelder TAB_KUNDEN Abfrage (Lesezugriff) Eingeschränkter Lesezugriff Vollzugriff TAB_KOMMUNIKATION Abfrage (Lesezugriff) Eingeschränkter Lesezugriff Vollzugriff TAB_BEMERKUNG Vollzugriff kein Zugriff kein Zugriff Tabelle 4: Zugriffsmatrix (Benutzerrollen) Abhängig von der Komplexität der Datensammlung und dem Umfang einer Zugriffsmatrix kann diese auch als Beilage dem Bearbeitungsreglement angehängt werden. 4.3 Prozess Zugriffsberechtigung Hier sind die Modalitäten (Prozess und Verantwortlichkeiten) für die Erteilung und Entzug der Berechtigungen zu beschreiben. Bearbeitungsreglement.Docx Dezember 2012 12

Wer ist verantwortlich für die Erteilung und den Entzug der Zugriffsberechtigung? Wer überprüft regelmässig die erteilten Berechtigungen und aktualisiert diese? Wer entscheidet über den Umfang der Zugriffsberechtigungen? Darstellung des Ablaufs des Prozesses. Einfache Datensammlung: Über die Zugangsberechtigung zum [Bezeichnung der Datensammlung] entscheidet [Bezeichnung der Stelle/Funktionsbezeichnung]. Die Zugangsberechtigung wird nach Freigabe und Bestätigung durch [Bezeichnung der einrichtenden Stelle] im [Bezeichnung des Systems, z. B. Windows Benutzerkonto Active Directory] eingerichtet. Die Zugangsberechtigung wird erst nach Abschluss einer entsprechenden Schulung und Einweisung durch [Bezeichnung der Stelle] freigegeben. Abbildung 4: Beispiel für die Vergabe von Zugriffsberechtigungen Bearbeitungsreglement.Docx Dezember 2012 13

Alternative: Die Vergabe neuer und Änderung bestehender Zugriffsberechtigungen auf die [Bezeichnung der Datensammlung] ist wie folgt geregelt. Ein(e) [z. B. Amtsstelle, Fachbereich, Mitarbeiter] stellt fest, dass zur Erfüllung der (für Behörden gesetzlichen) Aufgaben ein Zugriff auf die [Bezeichnung der Datensammlung] notwendig ist und stellt bewilligt durch [Bezeichnung des verantwortlichen Linienvorgesetzten] einen entsprechend begründeten Zugriffsantrag an [Bezeichnung der verantwortlichen Stelle/Funktionsbezeichnung], wo dieser in weiterer Folge geprüft wird. Das Resultat der Prüfung wird an den/die Dateninhaber (insbesondere, wenn Mitarbeiter/Ämter auf Daten anderer Abteilungen zugreifen) zur allfälligen Stellungnahme zugestellt. Bei positiver Entscheidung wird der Antrag zur Umsetzung an [Bezeichnung der einrichtenden Stelle] weitergeleitet. Der Prozess wird in nachfolgender Abbildung dargestellt. Antragsteller Abteilungsleiter (Lienienvorgesetzter) Dateninhaber Rechtsabteilung Informatik Abteilung Datenschutzverantwortliche Antrag erstellen Empfang Antrag Bewilligt? Ja Empfang Antrag Nein Nein Empfang Info über Ablehnung (inkl. Begründung) Vorprüfung OK? Ja Empfang Antrag Nein Nein Bewilligt? Ja Empfang und Umsetzung Antrag Empfang Bestätigung (Info) Empfang Bestätigung (Info) Empfang Bestätigung inkl. Benutzername / Passwort Abbildung 5: Alternative Darstellung für die Vergabe von Zugriffsberechtigungen Bearbeitungsreglement.Docx Dezember 2012 14

Entsprechende Antragsformulare sind im Intranet unter [Hyperlink einfügen] abrufbar. Der Umfang des Zugriffs wird durch die [z. B. Zugehörigkeit zu einer Organisationseinheit/Abteilung] bestimmt. Die Zugriffsberechtigungen werden [z. B. jährlich/halbjährlich] durch [Bezeichnung der verantwortlichen Stelle/Funktionsbezeichnung] überprüft. Dazu versendet [Bezeichnung der einrichtenden Stelle] eine entsprechende Zugriffsliste an den [Bezeichnung der verantwortlichen Stelle/Funktionsbezeichnung]. Die Zugangsberechtigung zur [Bezeichnung der Datensammlung] wird aufgehoben, wenn der betreffende Mitarbeiter die in der Datensammlung gespeicherten Informationen für seine Aufgabenerfüllung nicht mehr benötigt. Der [Bezeichnung der verantwortlichen Stelle/Funktionsbezeichnung] hat dem [Bezeichnung der einrichtenden Stelle] umgehend darüber zu informieren. Die visierten Antragsformulare für die Vergabe der Zugriffsberechtigungen werden für [x Jahre] durch [Bezeichnung der Stelle] aufbewahrt. 4.4 Passwort Policy Die Vergabe und das Ändern der Passwörter wird im [Systembeschreibung, z. B. Windows Clients, Datenbankanwendung] in einer Passwort Policy geregelt. An das Passwort sind folgende Bedingungen geknüpft: Das Passwort muss aus mindesten [Anzahl der Zeichen] Zeichen bestehen (Administratorenkonten mindestens [Anzahl der Zeichen] Zeichen), wobei das Kennwort Zeichen aus mindestens drei der folgenden vier Kategorien enthalten muss: o Deutsche Grossbuchstaben (A Z) o Deutsche Kleinbuchstaben (a z) o Arabische Ziffern (0 9) o Nicht alphanumerische Zeichen (z. B.:!, $, # oder %) Weiters darf die Zeichenfolge der User ID im Passwort nicht vorkommen. Ein neues Passwort muss mindestens einen Tag alt sein, bevor es geändert werden kann und darf höchstens [Gültigkeitsdauer in Tagen] alt sein. Spätestens nach Ablauf der längsten Gültigkeitsdauer muss es durch den Benutzer geändert werden. Die letzten [Anzahl der Passworte] benutzten Passworte können nicht verwendet werden. Nach [Anzahl]maliger Falscheingabe des Passwortes innerhalb von [Anzahl der Tagen] Tagen wird der Computerzugriff gesperrt und muss durch den Systemadministrator freigeschalten werden. Eine Passworteingabe ist auch für den Bildschirmschoner notwendig. Er wird nach spätestens [Anzahl der Minuten bis zur Sperrung des Bildschirms] Minuten aktiviert. Ein Merkblatt sowie die Passwort Policy selbst sind für die Nutzer des Systems unter [z. B. Hyperlink im Intranet] abrufbar. Bearbeitungsreglement.Docx Dezember 2012 15

Falls weitere Systeme vorhanden, für jedes System die Passwortkriterien beschreiben. Weiters ist die Vergabe und das Ändern der Passwörter im [Systembeschreibung, z. B. Windows Clients, Datenbankanwendung] [Bezeichnung Reglement] geregelt. 4.5 Pflichten der Benutzer Alle Personen, die in der [Bezeichnung der Datensammlung] Daten bearbeiten, sei es aufgrund eines Arbeitsvertrags oder im Rahmen eines Mandatsverhältnisses, sind zur Verschwiegenheit verpflichtet. Diese Verschwiegenheitspflicht gilt auch nach Beendigung des Arbeits oder Mandatsverhältnisses. Diese Pflicht ist in alle Arbeitsverträge durch Integration des Personalreglements mit entsprechender Verpflichtung aufgenommen. 5. Bearbeitung der Personendaten 5.1 Datenherkunft Im Zusammenhang mit der Herkunft der Daten 13 sind die Personen und Stellen anzuführen, welche bei der Erfassung/Erhebung der Daten beteiligt sind. Weiters sollte in diesem Abschnitt bereits auf eine mögliche Informationspflicht 14 eingegangen und dargestellt werden, wie dieser entsprochen wird. Die in der gegenständlichen Datensammlung erfassten Personendaten stammen aus folgenden Quellen: 1. z. B. Datenerfassung durch das [Bezeichnung Amt] im Rahmen deren gesetzlichen Aufgaben gem. Art. X [Gesetz]. 2. z. B. Die Adressdaten werden durch die betroffenen Personen im Zuge der Anbahnung einer Geschäftsbeziehung bekannt gegeben. 3. Vorgängig an die Datenerhebung werden den Betroffenen folgende Informationen erteilt: Die Identität des Dateninhabers; [Beschreibung des Verfahrens, z. B. auf dem Erfassungsformular] Der/Die Zwecke der Datenerhebung bzw. Datenbearbeitung; [Beschreibung des Verfahrens, wie dieser Informationspflicht entsprochen wird, z. B. Informationsblatt] Weitere Informationspflichten gem. Art. 5 DSG sind aufzuführen. Die Abläufe der Datenerhebung werden in Abschnitt 5.2.1 detailliert beschrieben. 13 Art. 21 Abs. 2 Bst. b) DSV. 14 Vgl. dazu Art. 5 DSG. Bearbeitungsreglement.Docx Dezember 2012 16

5.2 Datenbearbeitungsverfahren In diesem Abschnitt sind die wichtigsten Geschäftsprozesse der Datensammlung zu dokumentieren und/oder grafisch darzustellen. Je sensitiver die Personendaten in der gegenständlichen Datensammlung sind, umso detaillierter sind die Abläufe zu beschreiben. Die Datenbearbeitungsabläufe variieren je nach Zweck einer Datensammlung. 5.2.1 Datenerhebung Die in der gegenständlichen Datensammlung erfassten Personendaten stammen aus verschiedenen Quellen. (s. Abschnitt 5.1) Diese dort unter Pkt. 1 genannten Daten werden durch [Bezeichnung Datenlieferant] zur Datenbearbeitung via [Kanal der Datenübermittlung, z. B. Schnittstelle, Erfassungsbogen] übergeben. Die Datensätze werden durch [Beschreibung des Verfahrens] zusätzlich angereichert. Weiters werden die [Bezeichnung Daten] durch [Bezeichnung Datenlieferant] zur Datenbearbeitung via [Kanal der Datenübermittlung] erfasst. Hier weitere Daten und Erhebungsverfahren ergänzen Die Datenerhebung findet mit [Beschreibung des Verfahrens, z. B. einer Online Erfassungsmaske] statt. Das Formular findet sich unter [Hyperlink im Internet]. Abbildung 6: Erfassungsmaske als Online Formular Bearbeitungsreglement.Docx Dezember 2012 17

5.2.2 Interne Datenbearbeitung In diesem Abschnitt werden die weiteren Datenbearbeitungsverfahren gemäss der Zweckbindung beschrieben. Die [Bezeichnung der Daten] werden zwecks [Beschreibung Zweck] [Beschreibung Verfahren] bearbeitet. 5.2.3 Berichtigung (Sperrung, Vermerk) Das System ist so gestaltet, dass Anregungen oder Vermerke (z. B. Sperrvermerk) von Betroffenen in der Datensammlung entsprechend eingefügt oder gekennzeichnet werden können. Dabei wird [Kurzbeschreibung des Verfahrens]. Das Verfahren wird in Abschnitt 7.3 detailliert dargestellt. Personendaten werden nicht an Dritte weitergegeben. Eine Ausnahme stellt die Weitergabe von Daten an entsprechende Aufsichtsbehörden im Anlassfall dar. Eine solche Bekanntgabe wird jedoch durch [Bezeichnung der Stelle] im Vorfeld geprüft. Dem Sperrrecht wird konkret entsprochen, indem [Beschreibung des Verfahrens bzw. der technischen Umsetzung des Sperrrechts] Alternative: Eine Sperrung der Daten spielt in der vorliegenden Datensammlung, wenn überhaupt, nur eine eingeschränkte Rolle. [Begründung] 5.2.4 Anonymisierung Vor einer Veröffentlichung werden die Daten anonymisiert. Dabei werden [Kurzbeschreibung des Verfahrens] 15 5.2.5 Archivierung/Vernichtung In diesem Abschnitt ist der Ablauf der Archivierung/Vernichtung/Löschung der Personendaten in der Datensammlung zu beschreiben und/oder grafisch darzustellen. Weiters ist auf die jeweiligen Speicherfristen einzugehen. Erfolgt während einer Zeitdauer von [Zeitdauer, z. B. ein Jahr] kein Zugriff auf die jeweiligen Datensätze, werden dieses automatisiert aus der Datensammlung gelöscht. Dabei wird [Kurzbeschreibung des automatisierten Verfahrens] Alternative: Die in der Datensammlung gespeicherten Personendaten würden für eine Zeit von [Zeitdauer, z. B. ein Jahr] aufbewahrt und im Anschluss unabhängig weiterer Umstände automatisiert gelöscht. Dabei wird [Kurzbeschreibung des automatisierten Verfahrens] Externe Datenträger: 15 Richtlinie dazu unter http://www.llv.li/pdf llv dss richtlinie anonymisierung pseudonymisierung.pdf. Bearbeitungsreglement.Docx Dezember 2012 18

Personendaten werden wie in Abschnitt xx beschrieben auf externe Datenträger (z. B. USB Stick, Festplatte) gespeichert. Nach Zweckerreichung werden die Personendaten auf diesen Datenträgern durch [Kurzbeschreibung des Verfahrens] unwiederbringlich gelöscht. Oder: Datenträger werden zur Vernichtung an [Firmenbezeichnung] weitergeleitet. Mitarbeitern und Nutzern steht für die Vernichtung von Papierausdrucken [Beschreibung des Verfahrens, z. B. Shredder, an welchen Standorten, z. B. Stockwerk, neben dem Drucker] zur Verfügung. Existiert ein Löschreglement? Es existiert ein Löschreglement, welches die unterschiedlichen Speicherfristen der Datensammlung entsprechend berücksichtigt. Im Reglement wurden folgende Speicherfristen festgelegt: Datenfelder TAB_KUNDEN TAB_GEWINNSPIEL Speicherfrist z. B. zwei Jahre nach Letztkontakt mit Unternehmen z. B. vier Wochen nach Gewinnausschüttung Das Löschreglement wird durch [Beschreibung des Verfahrens] durchgesetzt. Die gegenständliche Datensammlung wird [Beschreibung des Backupverfahrens]. Wie werden die Speicher bzw. Löschfristen z. B. in den Backups berücksichtigt? Das zuvor beschriebene Löschreglement findet auch auf das Backup Anwendung. Die Backupstrategie ist so gewählt, dass auch hier die oben angeführten Löschfristen berücksichtigt werden. [Beschreibung des Verfahrens] Automatisierte Löschverfahren sind in der Regel manuellen Verfahren vorzuziehen. Eine Löschung der Personendaten erfolgt manuell. Dabei [Beschreibung des Verfahrens]. Die manuelle Löschung wird durch [Bezeichnung der Stelle] alle [Bezeichnung des Zeitraums, z. B. vier Wochen, sechs Monate, oder auch gemäss Löschreglement] angestossen. Für die ordnungsgemässe Löschung und Archivierung ist [Bezeichnung der verantwortlichen Stelle] verantwortlich. Die korrekte Löschung/Archivierung wird durch [Beschreibung des Verfahrens] kontrolliert. Die Kontrolle sowie das Ergebnis dieser Kontrolle sind nachvollziehbar dokumentiert. [Beschreibung der Dokumentation] 5.3 Datenbekanntgabe und Schnittstellen Dieser Abschnitt stellt eine tabellarische und/oder grafische Übersicht der Schnittstellen zu anderen Schutzobjekten wie Systeme, Applikationen, Anwendungen, usw. dar. Die Bearbeitungsreglement.Docx Dezember 2012 19

Schnittstellenbeschreibungen sollten zumindest folgende Angaben zur Datenweitergabe(Bekanntgabe) enthalten: Von wem stammen die Personendaten? Wer erhält die Personendaten? Zu welchem Zweck werden die Personendaten weitergegeben? Welche Kategorien (bzw. Gruppen ) von Personendaten werden weitergegeben? In welcher Periodizität werden die Daten weitergegeben? Von wem wurde die Weitergabe initiiert? Mit Hilfe welchen Mediums werden die Daten weitergegeben? Jedenfalls ist der Zweck, für den die Daten regelmässig bekannt gegeben werden, aufzuführen. 16 Bei der Beschreibung der Systemgestaltung ist von einer gesamtheitlichen Betrachtungsweise auszugehen. Den internen Informationsfluss einer Datenbankanwendung bestmöglich zu gestalten und im Bearbeitungsreglement zu dokumentieren genügt nicht, wenn andere Anwendungen mit Schnittstellen zu dieser Datenbankanwendung bestehen, und diese in den Untersuchungsbereich und somit in das Bearbeitungsreglement nicht aufgenommen werden. Abbildung 7: Schematische Darstellung der Schnittstellen Schnittstellenbeschreibung und Datenflüsse: Von Nach Zweck Datenart Periodizität Auslöser Medium Betroffene Personen Dateninhaber Bei Anfrage Anfrage oder Auftrag Kundenerfassung Online Formular Dateninhaber Behörden Statistik anonymisierte jährlich Art. X [Gesetz] verschlüsselte 16 Art. 21 Abs. 2 Bst. c) DSV. Bearbeitungsreglement.Docx Dezember 2012 20

CSV Datei E Mail Tabelle 5: Schnittstellenbeschreibung und Datenflüsse Zur Präzisierung können ausgewählte Schnittstellen im Detail beschrieben werden. 5.3.1 Schnittstelle Systembetreiber Behörde Beispiel: Jährlich wird eine Datei im CSV Format vom System automatisch zur Weiterleitung an das [Bezeichnung der Behörde/Amt] gemäss Art. [Rechtsgrundlage] aufbereitet. Die Datei beinhaltet anonymisierte Informationen aus der Tabelle TAB_KUNDEN. Abbildung 8: Detaildarstellung Schnittstelle Die CSV Datei enthält aggregierte Datensätze der Kundendatenbank und ist wie folgt aufgebaut: Laufende Nummer DB ; GEBURTSJAHR; POSTLEITZAHL; Die Datei wird mit einer verschlüsselten Email [E Mail Adresse] direkt an das Postfach des [Bezeichnung der Behörde/Amt] gesendet. Über die Bekanntgabe der Daten in anonymisierter Form werden die Betroffenen Personen wie in Abschnitt 5.1 beschrieben informiert. 6. Technische und organisatorische Massnahmen In diesem Abschnitt sind diejenigen technischen und organisatorischen Massnahmen aufzuführen, welche einen angemessenen Datenschutz gewährleisten. Die Massnahmen müssen angemessen sein und sie müssen insbesondere den in Art. 9 DSV aufgeführten Kriterien (unbefugte oder zufällige Vernichtung, zufälliger Verlust, technische Fehler, Fälschung, Diebstahl usw.) Rechnung tragen. Die im Bearbeitungsreglement beschriebenen Massnahmen zur Datensicherheit sind periodisch zu überprüfen. Bearbeitungsreglement.Docx Dezember 2012 21

6.1 Allgemeine Massnahmen Die technischen und organisatorischen Massnahmen sind angemessen und sie berücksichtigen den Zweck sowie die Art und den Umfang der Datenbearbeitung als auch den gegenwärtigen Stand der Technik. Kriterium Technische Massnahmen Organisatorische Massnahmen Zweck der Datenverarbeitung Art und Umfang der Datenverarbeitung Gegenwärtiger Stand der Technik z. B. Definierte Schnittstellen; z. B. Profile und Zugriffsrechte, Eingeschränkter Nutzerkreis, z. B. durch technische Betreuung von Drittanbietern. z. B. Jährliche Überprüfung durch [Bezeichnung der Stelle]. z. B. Definierter Ablauf und transparente Kriterien bei der Vergabe von Nutzerrechten. z. B. wiederholende Schulungsmassnahmen Nachfolgend werden die Massnahmen zu den entsprechenden Risiken dargelegt: Risiko Unbefugte, zufällige Vernichtung Zufälliger Verlust Technische Fehler Fälschung Diebstahl, widerrechtliche Verwendung Unbefugtes Ändern, Kopieren, Zugreifen oder Bearbeiten Massnahmen z. B. Zutrittskontrolle, Backupstrategie, z. B. Datensicherung, Redundante Hardware, z. B. Wartungsverträge, Datensicherung, z. B. PKI, verschlüsselte Datenbestände, z. B. Zugriffschutzkonzepte, verschlüsselte Kommunikation, z. B. Zugriffschutzkonzepte, PKI, Die oben beschriebenen allgemeinen Massnahmen zur Datensicherheit werden periodisch [Zeitraum] durch [Bezeichnung des Verantwortlichen] überprüft. 6.2 Besondere Massnahmen Die zuvor beschriebenen allgemeinen Massnahmen werden durch die folgenden besonderen Massnahmen weiter präzisiert. 6.2.1 Zugangskontrolle Unbefugten Personen ist der räumliche Zugang zu den Einrichtungen zu verwehren, mit denen Personendaten bearbeitet werden. Bearbeitungsreglement.Docx Dezember 2012 22

Der Zutritt zum Gebäude ist mit [Beschreibung der Massnahme, z. B. Badgesystem, Tastenfeld zur Eingabe einer PIN, ] gesichert. Ein Besucher kann sich [Beschreibung des Ablaufs, z. B. dortigen Empfang] anmelden. Ausserhalb der Bürozeiten und bei längeren Abwesenheiten sind [Beschreibung der Massnahmen, z. B. die Bürotüren abgeschlossen]. Zutritt zu den Büroräumlichkeiten haben [Beschreibung des Personenkreises]. Der Server mit der gegenständlichen Datensammlung befindet sich [Bezeichnung des Standorts, z. B. internen/externen Rechenzentrum(raum)]. Zugang zu diesen Räumlichkeiten ist nur [Bezeichnung des Personenkreises] mittels [Beschreibung Zutrittsschutz] möglich. Betriebsfremde Personen werden durch [Beschreibung der Begleitung] begleitet. Der Zugang zum Rechenzentrum(raum) wird durch [Beschreibung Verfahren] dokumentiert. [Beschreibung des Alarmsystems] Weitere Massnahmen 6.2.2 Personendatenträgerkontrolle Mit spezifischen Sicherheitsmassnahmen soll verunmöglicht werden, dass unbefugte Personen Datenträger, auf denen Personendaten gespeichert sind, lesen, kopieren, verändern oder aus Systemen zur Informationsverarbeitung entfernen können. Bei den Massnahmen zur Erreichung der Personendatenträgerkontrolle wird gegenständlich zwischen den Datenträgern im Zusammenhang mit der Datensicherung (Backup) und den klassischen Datenträgern der Anwender (z. B. USB Sticks, externe Festplatten) unterschieden. Die Datensicherung erfolgt [Bezeichnung der Datenträger für die Datensicherung]. Die Sicherungen werden [Beschreibung des Orts] verwahrt. Ein Zugang für Unberechtigte wird [Beschreibung Zugangsschutz] verhindert. Die Daten auf den Sicherungsmedien werden [verschlüsselt/nicht verschlüsselt] gespeichert. Datensicherungen werden [Beschreibung des Verfahrens] auf Integrität geprüft. Für Mitarbeiter und Anwender ist die Verwendung [Beschreibung der Speichermedien, z. B. USB Sticks, CDs] freigegeben. Die Verwendung wird in [Bezeichnung Reglement] geregelt. Sämtliche Inhalte auf den Speichermedien werden [verschlüsselt/nicht verschlüsselt] gespeichert. Ein Lesen der Inhalte ist somit [Bezeichnung des Nutzerkreises] möglich. Das in Abschnitt 5.2.5 beschriebene Verfahren zur Vernichtung der Datenträger findet auf sämtliche Datenträger Anwendung. Weitere Massnahmen Bearbeitungsreglement.Docx Dezember 2012 23

6.2.3 Transportkontrolle Die gegenständliche Bestimmung umfasst sowohl den logischen als auch den physischen Datentransport. Mit geeigneten Massnahmen ist zu verhindern, dass beim Transport von Personendaten diese unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Einziger Zugriff von aussen stellen die Notebooks der Vertreter dar. Sie greifen über net8 zu und der Transport ist durch eine RSA Verschlüsselung geschützt. Sensitive Informationen werden [Beschreibung des Verfahrens, z. B. verschlüsselt via E Mail oder Fax (Kryptofax)] versendet. z. B. Bereits in der Applikation werden sensitiven Datenfelder bei der Übertragung (Client Server) dem Stand der Technik entsprechend verschlüsselt (Algorithmen CAST 128 und AES 256). Briefpost wird [Beschreibung des Verfahrens, z. B. Behördenbrief für Ämter] Datenträger werden [Beschreibung des Verfahrens, z. B. nicht per Post versendet]. Weitere Massnahmen 6.2.4 Bekanntgabekontrolle Die Bekanntgabekontrolle legt fest, dass Datenempfänger, denen mittels Einrichtungen zur Datenübertragung Personendaten bekannt gegeben werden, identifizierbar sein müssen. Datenempfänger müssen sich gegenüber dem Dateninhaber authentifizieren. Dies geschieht [Beschreibung des Verfahrens] Weitere Massnahmen 6.2.5 Speicherkontrolle Mit geeigneten und angemessenen Sicherheitsmassnahmen soll die unbefugte Eingabe in den Speicher (z. B. in Datensammlungen) sowie die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten verhindert werden. Lokal werden sämtliche Daten [Beschreibung, z. B. verschlüsselt auf den Clientfestplatten] gespeichert. Die Datenübertragung zum Server erfolgt [z. B. verschlüsselt] z. B. Neben dem produktiven System unterhält der Dateninhaber ein Testsystem. Die dortigen Daten sind in einer physisch getrennten Datenbank (SQL) bzw. Datenbasis gespeichert. Auf diesem System können Updates und Patches ausgetestet werden. Bearbeitungsreglement.Docx Dezember 2012 24

Beim Tausch von Festplatten wird [Beschreibung Verfahren] sichergestellt, dass insbesondere die nicht verschlüsselten Daten sowie der freie Speicherplatz vollständig physisch gelöscht werden. Dabei findet das in Abschnitt 5.2.5 beschriebene Verfahren zur Vernichtung der Datenträger sinngemäss Anwendung. Falls der Zugriff auf die Festplatten bzw. der Datenspeicher wegen Defekten am System nicht mehr möglich, [Beschreibung des Verfahrens, z. B. Entsorgung über externen Dienstleister] z. B. Dieser externe Dienstleister ist unter anderem [Zertifikate] zertifiziert. Regelmässig finden Betriebssystemupdates sowie Updates der Anwendungen auf den Systemen statt. Der Internetzugang über die Clients wird über [Beschreibung des Verfahrens, z. B. Proxy Server] hergestellt. Die Festplatte der Kopiergeräte/Drucker werden [Beschreibung des Verfahrens zur Sicherstellung der Speicherkontrolle] Weitere Massnahmen 6.2.6 Benutzerkontrolle Durch geeignete Kontrollen soll sichergestellt werden, dass die Benutzung automatisierter Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch eine unbefugte Person verhindert wird. Der Fernzugriff ist für [Bezeichnung Nutzerkreis] möglich. Dabei wird die Datensicherheit mittels [Beschreibung des Verfahrens, z. B. RSA Token] sichergestellt. Eine [Bezeichnung Massnahme, z. B. Firewall] schützt das interne Netzwerk vor Fremdzugriffen. Das Online Erfassungsformular wird durch [Bezeichnung der Massnahmen zum Schutz gegen gängige Sicherheitsrisiken von Webanwendungen]. 17 Weitere Massnahmen 6.2.7 Zugriffskontrolle Durch geeignete Massnahmen wird sichergestellt, dass zur Datenbearbeitung berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie für eine bestimmte Aufgabenerfüllung benötigen. 17 https://www.owasp.org/index.php/category:owasp_top_ten_project. Bearbeitungsreglement.Docx Dezember 2012 25