Die Datenschutzstelle veröffentlicht ihren Tätigkeitsbericht für das Jahr 2020

Die Arbeit der Datenschutzstelle war in diesem erneut sehr arbeitsintensiven Jahr vor allem von der Covid-19-Pandemie geprägt. Vieles konnte nicht so umgesetzt werden wie ursprünglich geplant, zahlreiche Vorhaben mussten kurzfristig geändert, verschoben oder gar abgesagt werden. Nichtsdestotrotz machte gerade die aktuelle schwierige Lage klar, dass Datenschutz ein Grundrecht ist und auch in turbulenten Zeiten einen besonderen Schutz verdient. Die Grundprinzipien der Datenschutz-Grundverordnung gaben für die Abwägung und die Suche nach einem Gleichgewicht zwischen Datennutzung zur Bekämpfung der Pandemie und Schutz der Privatsphäre klare Leitlinien vor und sorgten mit ihrem europaweit einheitlichen Standard für (zumindest annähernd) klare Grenzen.

Auch rund um das Home-Office ergaben sich zahlreiche Fragen, etwa zum Beschäftigten-Datenschutz im Home-Office oder der Datenschutz-Konformität von Videokonferenz-Systemen. Ebenso sorgte die ungeheure Dynamik der Entwicklung digitaler Technologien für zahlreiche Herausforderungen, und die Beantwortung der diesbezüglichen Anfragen erforderte viel Zeit wie auch die zunehmende Kombination von rechtlicher und technischer Expertise.

Mit unserem Tätigkeitsbericht geben wir Einblick in die Herausforderungen und Leistungen der Datenschutzstelle im Berichtsjahr. Sie finden ihn hier zum Download.

DSGVO-Spickzettel für die Praxis/Technik

In der Schule verwenden Schülerinnen und Schüler seit jeher Spickzettel, um Fragen zu einem bestimmten Thema rasch, und ohne gross suchen zu müssen, beantworten zu können. Doch nicht nur im Schulumfeld, sondern gerade unter Technikern erfreuen sich sogenannte «Cheat-Sheets» grosser Beliebtheit. Die wichtigsten Informationen zu einem Thema werden auf möglichst wenigen Seiten zusammengefasst und müssen so nicht lange aus verschiedensten Quellen zusammengesucht werden, sollten sie in Vergessenheit geraten.

Vor diesem Hintergrund hat die Datenschutzstelle einen Spickzettel zur DSGVO für die Praxis/Technik erarbeitet. Der Spickzettel richtet sich insbesondere an Personen, die für die automatisierte Datenverarbeitung im engeren Sinn (Betreuung der datenverarbeitenden IT-Infrastruktur, Implementierung geeigneter technischer und organisatorischer Massnahmen usw.) verantwortlich sind, und ist sehr stark auf Kernaussagen und Grundsätze der DSGVO reduziert. Ergänzende Erläuterungen oder Ausnahmeregelungen in den einzelnen Bestimmungen der DSGVO bleiben - im Sinne der Lesbarkeit und Kürze - vielerorts unerwähnt. Doch in den Endnoten finden sich entsprechende Verweise, wodurch eine bestimmte (technische) Sicherheitsmassnahme oder andere Vorgabe rasch und direkt einer konkreten Bestimmung in der DSGVO zugeordnet werden kann.

Der Spickzettel kann hier heruntergeladen werden.

Was bei der Nutzung von Cloud Services zu beachten ist

Die Datenschutzstelle wird immer wieder mit der Frage konfrontiert, ob und wie Cloud Services datenschutzkonform eingesetzt werden können, insbesondere wenn darin auch personenbezogene Daten gespeichert bzw. verarbeitet werden sollen.

Wenngleich diese Fragen immer nur bezogen auf die konkrete Situation im Einzelfall beantwortet werden können, hat die Datenschutzstelle nun auf ihrer Internetseite die wichtigsten datenschutzrechtlichen Fragen bzw. Anforderungen an Cloud Services zusammengestellt, die bei einer Einschätzung oder Auswahl eines bestimmten Systems in Betracht gezogen werden müssen. Darüber hinaus steht die Datenschutzstelle für eine Beratung rund um diese Beurteilung sowie zu eventuell erforderlichen Anpassungen der Systeme gerne zur Verfügung.

Mehr zu den datenschutzrechtlichen Anforderungen an Cloud Services kann neu hier auf der Internetseite der Datenschutzstelle nachgelesen werden.

Gastbeiträge der Datenschutzstelle in den Medien

Datenschutz ist ein Anliegen, das von verschiedenen Voraussetzungen abhängig ist, damit es überhaupt an Relevanz gewinnt und wichtig wird: Nur wo vielerlei Daten - und insbesondere personenbezogene Daten - in einem sich ständig wandelnden, Technologie-geprägten Umfeld automatisiert verarbeitet werden, wo also die so genannte Digitalisierung vorangetrieben wird, da wird auch der verantwortungsvolle Umgang mit der Ressource Daten zentral. Dies trifft bereits auf viele unserer Lebensbereiche zu.

Gerade dieses technologische Umfeld aber, in dem sich Datenverarbeitungen heute abspielen, besteht aus den unterschiedlichsten Bereichen und Komponenten, die nicht selten mit bedeutungsschweren, schillernden Namen bezeichnet sind. Obwohl wir alle immer wieder darüber sprechen und diese Begriffe verwenden, verstehen nur die wenigsten von uns deren tatsächliche Funktionsweise oder Eigenschaften genau und könnten sie auch erklären.

Aus diesem Grund hat das Volksblatt zusammen mit der Datenschutzstelle eine Reihe von Gastkommentaren ins Leben gerufen, die sich nicht direkt dem Datenschutz selbst, sondern dem technologischen Umfeld davon widmet. Ruben Rheinberger, ein Techniker der Datenschutzstelle, wird dabei in regelmässigen Abständen die technischen Hintergründe z.B. von Fingerabdruck-Scannern oder Gesichtserkennungssoftware, dem "Darknet", der "Cloud", dem Internet der Dinge, von künstlicher Intelligenz, Quantencomputern, Cookies, Verschlüsselungstechniken und vielem mehr erklären.

Die bereits im Volksblatt erschienen Gastbeiträge der DSS zu den Themen "Fingerabdruck und Gesichtserkennung bei Smartphones" und "Was ist das Darknet?" wie auch alle künftigen Beiträge können nun hier auf der Webseite der Datenschutzstelle nachgelesen werden.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO)

Neben den "gewöhnlichen" Kategorien personenbezogener Daten existiert auch eine Reihe von sensiblen, besonders schutzwürdigen personenbezogenen Daten. Es handelt sich dabei einerseits um besondere Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten, politische Meinungen, genetische und biometrische Daten, ethnische Herkunft, sexuelle Orientierung etc. (Art. 9 DSGVO) und andererseits um personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO). All diesen Daten ist gemein, dass sie höchstpersönlicher Natur sind oder gar identitätsstiftenden Charakter haben, und dass ihr Missbrauch gravierende diskriminierende oder stigmatisierende Wirkung für die Betroffenen entfalten kann. Weil mit der Verarbeitung dieser Daten somit ein hohes Risiko für die Rechte und Freiheiten einer betroffenen Person einhergeht, ist sie gemäss dem risikobasierten Ansatz der europäischen Datenschutz-Grundverordnung (DSGVO) nur ausnahmsweise oder unter strengen Voraussetzungen zulässig.

Mehr zu den Ausnahmen und erhöhten Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten sowie personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten kann hier auf der Webseite der Datenschutzstelle nachgelesen werden.