Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Prinzipien des Datenschutzes – Kapitel 5 – ANHANG 1

Anhang 1 zu Kapitel 5 „Prinzipien des Datenschutzes“ mit Fokus auf „Verbindliche und unverbindliche Datenschutzstandards“

Die zehn Mindeststandards des Datenschutzes

  1. Fairness und Rechtmässigkeit: Personenbezogene Daten sollten fair und rechtmässig erhoben (und danach gespeichert und verwendet) werden. Das bedeutet, dass Daten nach Möglichkeit nur mit Wissen und Zustimmung der betroffenen Person und immer in Übereinstimmung mit dem Gesetz erhoben (und gespeichert und verwendet) werden sollten. Es sollte beispielsweise nicht zulässig sein, jemanden dazu zu bringen, personenbezogene Daten zur Verfügung zu stellen, oder sie unrechtmässig durch Diebstahl oder Hacken in ihre Geräte zu erlangen. Das Übereinkommen 108 enthält eine weitere Anforderung, die nicht in den OECD-Datenschutzrichtlinien enthalten ist, nämlich, dass bestimmte besondere Kategorien von personenbezogenen Daten, die die rassische Herkunft, politische Meinungen oder religiöse oder andere Überzeugungen einer Person offenbaren, sowie personenbezogene Daten über Gesundheit oder Sexualleben oder Daten über strafrechtliche Verurteilungen überhaupt nicht automatisch verarbeitet werden sollten, es sei denn, das Gesetz sieht angemessene Garantien vor
  2. Datenqualität: Personenbezogene Daten sollten angemessen, relevant und nicht übermässig im Verhältnis zu den Zwecken, für die sie gespeichert und verwendet werden, sein. Das bedeutet, dass sie genau, vollständig und, wo nötig, auf dem neuesten Stand sein müssen. Um ein Beispiel zu nennen: Ein Arbeitgeber hätte ein berechtigtes Interesse daran, bestimmte Informationen über Behinderungen und den Gesundheitszustand seines Personals zu erfahren, um Behinderungen zu berücksichtigen oder aus Gründen der Gesundheit und Sicherheit. Bestimmte Gesundheitsinformationen – wie Blutgruppe oder genetische Störungen – erfüllen jedoch keinen dieser Zwecke, und es wäre übertrieben, wenn der Arbeitgeber sie verlangen und speichern würde. Wenn sich der Behinderten- oder Gesundheitszustand eines Mitarbeiters geändert hat, sollte der Arbeitgeber sicherstellen, dass sich dies in den von ihm gespeicherten Informationen widerspiegelt. Darüber hinaus sollten personenbezogene Daten nicht länger aufbewahrt werden, als es für den oder die Zwecke, für die sie gespeichert sind, erforderlich ist. Um das obige Beispiel weiter zu verwenden, sind Informationen über die Behinderung oder den Gesundheitszustand eines Mitarbeiters nur während seiner Tätigkeit in diesem Unternehmen erforderlich. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten die Informationen aus den Unterlagen des Arbeitgebers gelöscht werden.
  3. Zweckbindung: Personenbezogene Daten sollten nur für legitime Zwecke erhoben, gespeichert und verwendet werden und nicht in einer Weise, die mit diesen Zwecken unvereinbar ist. Die Zwecke, für die die personenbezogenen Daten erhoben werden, sollten zum Zeitpunkt der Datenerhebung oder vor diesem Zeitpunkt festgelegt werden. Während ein Krankenhaus also ein berechtigtes Interesse daran hätte, die Kontaktdaten der Patienten zu sammeln, um mit ihnen über Fragen im Zusammenhang mit ihrer Behandlung in diesem Krankenhaus zu kommunizieren, wäre es kein legitimer Zweck für einen Mitarbeiter, diese Daten zu verwenden, um die Patienten zu kontaktieren, um sie über die Physiotherapieklinik eines Freundes zu informieren, um das Geschäft zu fördern.
  4. Zweckinformation: Die betroffene Person sollte über die Zwecke informiert werden, für die ihre Daten zum Zeitpunkt der Erhebung, Speicherung und Nutzung oder vor dem Zeitpunkt der Erhebung erhoben, gespeichert und verwendet werden. Sie sollte auch über die Rechte informiert werden, die sie in Bezug auf diese Daten hat, einschliesslich des Widerrufs der Einwilligung zu ihrer Verwendung, des Erhalts einer Kopie der Daten zu jedem Zeitpunkt und der Berichtigung oder Löschung dieser Daten.
  5. Gebrauchseinschränkung: Personenbezogene Daten dürfen nur mit Zustimmung der betroffenen Person oder durch eine gesetzliche Vollmacht für andere als die zum Zeitpunkt der Erhebung angegebenen Zwecke verwendet oder verbreitet werden. Wenn eine Universität beispielsweise die Wohnadressen ihrer Studierenden ausschliesslich zur Kontaktaufnahme mit ihnen in studienbezogenen Angelegenheiten besitzt, sollte es der Hochschule nicht erlaubt sein, diese Daten ohne Zustimmung der Studierenden an Dritte, wie z.B. Personalvermittler, weiterzugeben. Wenn jedoch eine gesonderte Gesetzgebung es der Polizei ermöglicht, Informationen über vermisste Personen zu verlangen, und die Polizei die Wohnadresse eines verschwundenen Studenten verlangt, würde die Universität nicht gegen diesen Grundsatz verstossen, wenn sie diese Informationen bereitstellt.
  6. Sicherheit: Als Folge der Risiken für die Privatsphäre einer Person, die entstehen können, wenn deren personenbezogene Daten verloren gehen, gestohlen oder weitergegeben werden, sollten die Datenschutzgesetze die für die Datenverarbeitung Verantwortlichen verpflichten, geeignete Sicherheitsmassnahmen zu ergreifen. Diese Massnahmen sollten auch diejenigen umfassen, die vernünftigerweise erforderlich sind, um den Schutz personenbezogener Daten vor versehentlicher oder unbefugter Zerstörung, versehentlichem Verlust und unbefugtem Zugriff, Veränderung oder Verbreitung zu gewährleisten. Wie diese Massnahmen in der Praxis aussehen werden, hängt von der Grösse des Unternehmens, der Art der Informationen und Daten, die gesammelt, verarbeitet und gespeichert werden, der Form dieser Informationen und Daten (z.B. auf Computerservern, der Cloud oder physischen Dateien) ab. Dazu gehören die Schulung des Personals zum Datenschutz, technische Sicherheitsmassnahmen wie die Verwendung von Passwörtern und Verschlüsselung, die Beschränkung des Zugangs auf bestimmte Mitarbeiter und organisatorische Massnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen gewährleisten.
  7. Offenheit: Da personenbezogene Daten von Einzelpersonen ohne deren Wissen erhoben werden können, sollten die Datenschutzgesetze eine Stelle – ob Behörde, Privatunternehmen oder andere – verpflichten, Einzelpersonen zu informieren, wenn sie personenbezogene Daten über sie sammelt. Es sollten auch Mittel zur Verfügung stehen, mit denen eine Person das Vorhandensein und die Art der gesammelten personenbezogenen Daten, die Zwecke ihrer Speicherung und Verwendung sowie die Identität und den gewöhnlichen Aufenthalt des für die Datenverarbeitung Verantwortlichen feststellen kann.
  8. Zugang: Einzelpersonen sollten auch in der Lage sein, ohne übermässige Verzögerung oder Kosten alle gesammelten personenbezogenen Daten in verständlicher Form anzufordern. Lehnt ein für die Datenverarbeitung Verantwortlicher einen solchen Antrag ab, sollten Gründe angegeben werden, und die Person sollte in der Lage sein, die Ablehnung anzufechten.
  9. Korrektur oder Löschung: Eine Person sollte in der Lage sein, unrichtige oder entgegen den oben genannten Grundsätzen verarbeitete Daten korrigieren oder löschen zu lassen.
  10. Rechenschaftspflicht, Sanktionen und Rechtsbehelfe: Die für die Datenverarbeitung Verantwortlichen sollten für die Einhaltung der Anforderungen der Datenschutzgesetzgebung verantwortlich sein. Es ist ein allgemein anerkannter Grundsatz des Völkerrechts, dass es angemessene Rechtsbehelfe und Sanktionen geben sollte, wenn die Menschenrechte einer Person verletzt wurden. Die Datenschutzgesetze sollten daher Einzelpersonen Rechtsbehelfe einräumen, wenn ein Antrag auf Erhalt oder Berichtigung personenbezogener Daten nicht erfüllt wird. In den Rechtsvorschriften sollten auch die Sanktionen festgelegt werden, die verhängt werden können, wenn ein Datenverantwortlicher oder -verarbeiter gegen geltendes Recht verstösst, wie z.B. Geldstrafen oder die Verpflichtung, Massnahmen zur Behebung der Verletzung zu ergreifen.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf
02.12.2019


© Swiss Infosec AG 2024