Personendaten sind durch angemessene technische oder organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen (vgl. DSG 8).
Beispiel: Gefahr von Daten-Hacking
Angesichts der Datenbearbeitungs-Automatisierung ist der Datenschutz ohne angemessene Datensicherheitssysteme und Datensicherheitsmechanismen gar nicht mehr möglich.
Es sind Verfügbarkeit und Integrität der Daten bestmöglich und nach dem aktuellen Stand der Technik zu gewährleisten. Die von der VDSG genannten Risiken, die zu eliminieren bzw. minimieren sind:
- Unbefugte oder zufällige Vernichtung
- Zufälliger Verlust
- Fälschung, Diebstahl oder widerrechtliche Verwendung
- Unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitung.
Bei der Festsetzung der Massnahmen sind die folgenden Kriterien zu berücksichtigen:
- Zweck der Datenbearbeitung
- Art und Umfang der Datenbearbeitung
- Einschätzung der möglichen Risiken für die betreffenden Personen
- Gegenwärtiger Stand der Technik.
Die VDSG ordnet keine konkreten Massnahmen an, da diese vom Einzelfall abhängig sind und von Art und Umfang der Daten abhängen.
Die weiteren Anforderungen an die Massnahmen sind:
- Vertraulichkeit
- Angemessenheit
- Kontroll- und Eingriffsmöglichkeit
- Zielerreichung der Massnahmen durch entsprechende Ausgestaltung
- Zugangskontrolle
- Unbefugten Personen ist der Zugang zum Datenverarbeitungssystem zu verwehren
- Berechtigungskontrolle
- Unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen
- Transportkontrolle
- Beim Datentransfer ist unbefugtes Lesen, Kopieren, Verändern und Löschen zu verhindern
- Bekanntgabekontrolle
- Datenempfänger, welchen Personendaten bekanntgegeben werden, müssen identifiziert werden
- Speicherkontrolle
- Unbefugte Eingaben in den Speicher und die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten ist zu verhindern
- Zugriffskontrolle
- Der Zugriff berechtigter Personen ist auf Personendaten zu beschränken, die sie zur Aufgabenerfüllung benötigen
- Eingabekontrolle
- Vor allem in automatisierten Systemen sollte nachträglich überprüft werden können, welche Personendaten zu welcher Zeit durch wen eingegeben wurden
- Zugangskontrolle
- Protokollierung
Die Details von nDSG 8
Art. 8 nDSG Datensicherheit
1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2 Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
Vorbehalt / Disclaimer
Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.
Urheber- und Verlagsrechte
Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.
