Datenmonster Informatik

Artikel erschienen in IT Magazine 2010/07

Seite 2

Grundsätze des Datenschutzes

Die Grundsätze des Datenschutzes sind eigentlich einfach. Probleme bereitet in der Praxis, insbesondere in der Informatik, oft deren praktische Umsetzung. Es reicht nicht, lediglich die hehren Grundsätze in Privacy-Policies auf der Homepage zu publizieren. Die Grundsätze müssen in allen Geschäftsabläufen eines Unternehmens konkret angewandt werden. Dafür ist es ratsam, in der Firma selbst eine Person zu bestimmen, die für die Umsetzung der Datenschutzgrundsätze verantwortlich ist und bei Bedarf mit externen Datenschutzspezialisten zusammenarbeitet.


Personendaten dürfen sowohl von Privaten wie von staatlichen Stellen nur erhoben werden, wenn dafür eine gesetzliche Grundlage oder ein Rechtfertigungsgrund besteht. Ein Rechtfertigungsgrund ist regelmässig die Einwilligung des Betroffenen. Zudem gilt auch im Datenschutz der universelle Grundsatz von Treu und Glauben. Dies bedeutet, dass Daten für den Betroffenen erkennbar und transparent erhoben und bearbeitet werden müssen.


Als man Daten noch mühsam von Hand oder mit der Schreibmaschine erfassen und in der Folge auf Papier archivieren musste, hat man sich zweimal überlegt, ob man eine zusätzliche Information über eine Person festhalten möchte. Mit dem Einsatz der Informatik ist die Erfassung und Archivierung von Daten äusserst einfach und günstig geworden. Damit ist der Datenhunger der Unternehmen und des Staates gestiegen. Immer mehr will man von seinen Kunden und Einwohnern wissen. Damit steigt die Gefahr, den datenschutzrechtlichen Grundsatz der Verhältnismässigkeit zu verletzen. Dieser besagt, dass Daten nur dann er-hoben und verarbeitet werden dürfen, wenn dies für den entsprechenden, den Betroffenen kommunizierten Zweck notwendig und geeignet ist.

Das wohl prominenteste Beispiel Verletzung dieses Grundsatzes ist der Fall der zweckfremden Verwendung von Umzugsdaten der Schweizerischen Post. Der Grundsatz der Zweckbindung besagt, dass Daten nur für den Zweck erhoben und bearbeitet respektive gebraucht werden dürfen, der bei der Erhebung der Daten den Betroffenen kommuniziert wurde. Die Schweizerische Post hat die neuen Adressen der Leute, die umgezogen sind und dies der Post gemeldet haben, aber ungefragt an Unternehmen weitergegeben, die die Daten mit ihren eigenen Stämmen abgeglichen haben. Die Post hat ihr Vorgehen damit begründet, dass es durch diese Massnahme zu weniger Fehlzustellungen komme. Da diese Drittverwendung den Betroffenen jedoch nicht oder zu wenig deutlich kommuniziert wurde und diese darum davon ausgehen mussten, dass ihre Daten lediglich für Nachsendungen verwendet werden, wurde der datenschutzrechtliche Grundsatz der Zweckbindung verletzt. Kommuniziert wurde also ein anderer Zweck als derjenige, zu dem die Daten dann noch zusätzlich verwendet wurden. Zwischenzeitlich hat die Post ihre Praxis in Absprache mit dem Eidgenössischen Datenschutzbeauftragten geändert. Die Betroffenen können nun ihr explizites Einverständnis für die Verwendung zum Datenabgleich bei Dritten geben. Problematisch ist nun aber, dass ein Nachsendeauftrag mit Einverständnis der Drittverwendung nichts kostet, währenddem bei der Verweigerung eine Gebühr für die Nachsendung erhoben wird.


Falls die übrigen datenschutzrechtlichen Grundsätze erfüllt sind, das heisst also Daten rechtmässig erhoben und bearbeitet wurden, ist auch der Grundsatz der Integrität der Daten einzuhalten. Der Grundsatz der Integrität verlangt, dass die bearbeiteten Daten richtig und, soweit es der Zweck verlangt, auch vollständig sind. Unrichtige Daten sind auch nachträglich zu korrigieren.


Persönlichkeitsschutz durch Datensicherung

Im Zeitalter der Informatik ist Datenschutz im wesentlichen Datensicherung. Die Datenlecks bei Banken und Telekommunikationsunternehmen zeigen dies immer wieder exemplarisch. Wenn ein entsprechendes Leck auftritt, fühlen sich die Kunden wie nackt und in ihrer Persönlichkeit verletzt. Der Imageschaden der Unternehmen ist enorm. Das Gesetz verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Diese Massnahmen haben die Vertraulichkeit, die Verfügbarkeit, die Integrität und Authentizität der Daten zu sichern. Sie müssen verhältnismässig sein und dem Stand der Technik entsprechen. Je intimer die Daten, desto höher sind die Anforderungen an die Sicherheit. Da das Gesetz wenig konkret ist, müssen die Massnahmen zur Datensicherung entsprechend der individuellen Situation in einem Unternehmen definiert und umgesetzt werden.


Seite 2 von 4

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
ARTIKEL VERWALTUNG