Dieser Artikel wurde in Zusammenarbeit mit der Datenschutzstelle Liechtenstein erarbeitet. Damit soll aus der umfangreichen Thematik des Datenschutzes ein Einstiegspunkt in jene Bereiche geboten werden, welche für proIT Mitglieder im eigenen Unternehmen relevanten sein können.
Fachbeitrag von Michael Valersi, Datenschutzstelle Fürstentum Liechtenstein
Der Datenschutz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Datensicherheit ist ein wesentlicher Bestandteil des Datenschutzes. Unter Datensicherheit werden im weitesten Sinne jene angemessenen technischen und organisatorischen Massnahmen verstanden, die den Schutz der Personendaten bei der Datenbearbeitung sicherstellen. Neben den aus der IT-Sicherheit bekannten Schutzzielen (Vertraulichkeit, Verfügbarkeit und Integrität) ergeben sich aus den bestehenden Rechtsnormen bestimmte Anforderungen an die Systemgestaltung (Intervenierbarkeit, Nichtverkettbarkeit und Transparenz). Sämtliche technischen und organisatorischen Massnahmen sind primär auf den Schutz der Betroffenen auszurichten. Als Datenbearbeiter gibt es keinen Weg vorbei am Datenschutz bzw. der Datensicherheit.
Themenbereiche in denen Datenschutz für proIT Mitglieder von Relevanz sind, sind vielfältig. Sie beginnen beim eigenen Webauftritt sowie dem Schutz der Privatsphäre der eigenen Mitarbeiter und enden bei der Auftragsdatenbearbeitung und dem Auslandsdatentransfer für Kunden.
Die sich dabei stellenden konkreten Fragen sind in vielen Fällen nicht einfach zu beantworten. Gerade die Anforderungen an die Datensicherheit orientieren sich insbesondere am Zweck sowie der Art und dem Umfang einer Datenbearbeitung als auch an den bearbeiteten Datenkategorien. Zur Prüfung und Beurteilung der Anforderungen an den Datenschutz sollte der Datenbearbeiter im Vorfeld zumindest folgende Fragen beantworten können.
- Für welchen Zweck sollen die Personendaten bearbeitet werden?
- Sind bei der Art und dem Umfang der Datenbearbeitung entsprechende einschlägige spezialgesetzliche Regelungen einzuhalten? (z. B. BankG im Finanzbereich)
- Welche Daten sind zur Zweckerfüllung unbedingt notwendig? (Verhältnismässigkeit, Datensparsamkeit)
- Wie und mit welchen Informatikmitteln soll die Datenbearbeitung erfolgen? Systemgestaltung (Konfiguration der Informatikmittel);
- Wie sehen die Verfahrensabläufe und insbesondere die Informationsflüsse aus? Schnittstellen beschreiben;
- Risikoanalyse; Besteht Handlungsbedarf zur Begrenzung von Risiken für die betroffenen Personen bei der Datenbearbeitung
- Stand der Technik; Werden die umgesetzten Massnahmen periodisch überprüft und dem aktuellen Stand der Technik angepasst?
In den meisten Fällen wird ein Bearbeitungsreglement zu erstellen sein, welches das System transparent und damit kontrollierbar beschreibt. Die Datenschutzstelle hat auf deren Internetseite neben einem Musterreglement weitere Dokumente und Anleitungen veröffentlicht, die den Datenbearbeiter bei der Beurteilung eines Sachverhalts und zur Bestimmung der konkreten Anforderungen an den Datenschutz helfen.
In der heutigen Informationsgesellschaft spielt gerade der Schutz der Privatsphäre eine zentrale Rolle. Vor fast 10 Jahren wurden folgende 10 Thesen für eine datenschutzfreundliche Informationstechnik formuliert, die auch heute noch Anwendung finden:
- Informationstechnik transparent gestalten
- Entscheidungsfreiheit des Betroffenen stärken
- Datenschutzanforderungen frühzeitig berücksichtigen
- Datenvermeidung und Datensparsamkeit
- Nachprüfbarer Datenschutz
- Voreingestellte Sicherheit
- Vertraulichkeit der Kommunikation stärken
- Datenschutz-Werkzeuge
- Keine Persönlichkeitsprofile
- Informationelle Selbstbegrenzung von Staat und Wirtschaft
Mit einem klaren Statement zum Datenschutz sollte jeder Unternehmer gegenüber Dritten unmissverständlich erklären, dass der Schutz der Privatsphäre zentraler Bestandteil der Firmenpolitik ist. Dies steigert die Attraktivität des Unternehmens sowohl für Kunden und Geschäftspartner als auch für Angestellte. Gegenüber Kunden und Geschäftspartnern ist ein Bekenntnis zum Datenschutz und die Einhaltung sämtlicher relevanter Bestimmungen ein wichtiges Vertrauen schaffendes Argument der Kundenbindung.
Wie weiter mit der Thematik Datenschutz
Mit diesem Fachbeitrag von Michael Valersi starten wir in diesem Forum eine Informationsreihe zum Themenkreis Datenschutz. Es ist unser Ziel, aktuelle und interessante Themen aufzugreifen, welche für proIT Mitgliedsunternehmen selber und/oder für deren Kunden mit Sitz in Liechtenstein von Interesse sein können, z.B:
Datenzugriff via Remote Support auf Daten von FL-Finanzinstituten
- Darf Remote Support aus der Schweiz durchgeführt werden
- Darf Remote Support aus dem EU Raum durchgeführt werden
Datenschutzzertifizierung
- Möglichkeiten der Zertifizierung im Bereich Datenschutz
- Vorteile aus dieser Zertifizierung für das eigene Unternehmen
Protokollierung der Benutzeraktivitäten innerhalb einer CRM Anwendung
- Wie müssen die Benutzer informiert werden
- Was muss generell beachtet werden
Webauftritte
- Was bedeutet „Datenschutzkonformer Webauftritt“
Unterschiede Datenschutzgesetz FL, CH, EU, USA
- Ein grober Überblick zu den Unterschieden
- Wieweit betreffen uns die ausländischen Datenschutzgesetze
Datenzugriff aus FL, via Remote Support, auf Kundendaten eines Schweizer Kunden
- Was muss diesbezüglich aus rechtlicher Sicht beachtet werden
- Wieweit betrifft dies ggf. weitere Länder
Wie ist der umgekehrte Fall
- Remote Support Zugriff aus CH auf FL Daten generell
- wieweit betrifft dies ggf. weitere Länder
Online Backups
- Dürfen Daten Backups von FL-Unternehmen in CH oder weiterem Ausland gespeichert werden
Juli 2015
Alfred Fehr