Digitalisierung

Digitale Datenschutz-Instrumente

Die umfassende Digitalisierung ist eine Herausforderung für den Schutz und die Sicherheit der Personendaten. Unter dem Stichwort «Privacy by design» bietet das Informations- und Datenschutzgesetz (IDG) zahlreiche Bestimmungen, wie der Schutz und die Sicherheit gewährleistet werden können. Mit der Revision des IDG werden diese ergänzt.

Datenvermeidung und Datensparsamkeit

Datenbearbeitungen sind so zu konzipieren, dass möglichst wenig Personendaten anfallen, die zur Aufgabenerfüllung nicht notwendig sind (§ 11 IDG) (Datenvermeidung und Datensparsamkeit). Damit sind die vielen «Datenspuren» gemeint, die bei der elektronischen Kommunikation anfallen und zahlreiche Aussagen zum Verhalten einer Person zulassen. Soweit solche Daten nicht vermeidbar sind, sind sie deshalb so bald wie möglich zu löschen, zu anonymisieren oder zu pseudonymisieren.

Datenschutz-Folgenabschätzung

Neu wird § 10 IDG vorsehen, dass ein öffentliches Organ bei beabsichtigten Datenbearbeitungen die Risiken für die Grundrechte der betroffenen Personen zu evaluieren hat. Diese so genannte Datenschutz-Folgenabschätzung (DSFA) ergänzt dabei die allgemeine Risikoanalyse, wie sie in jedem Digitalisierungsprojekt vorzusehen ist. Im Rahmen des Projektmanagementtool Hermes werden die dazu notwendigen Angaben erfasst werden können.

Vorabkontrolle

Ist bei Datenbearbeitungen von besonderen Risiken für die Grundrechte der betroffenen Personen auszugehen – beispielsweise beim Einsatz neuer Technologie oder neuer Datenbearbeitungsmethoden – ist der Datenschutzbeauftragte beizuziehen, um eine vertiefte Prüfung vorzunehmen (Vorabkontrolle).

Informationssicherheits-Managementsystem

Weiter kann jedes öffentliche Organ seine Datenbearbeitungen zertifizieren lassen (§ 13 IDG). Damit fördert das IDG die Verwendung von internationalen Standards wie den Aufbau eines Informationssicherheits-Managementsystems (ISMS; ISO 27001). Neu gehören hierzu auch Organisationsvorschriften, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.

Meldepflicht bei Sicherheitsvorfällen

Weil Sicherheitsvorfälle nie auszuschliessen sind, wird das IDG neu auch eine Meldepflicht solcher Vorfälle an den Datenschutzbeauftragten vorsehen (§ 12a IDG). Damit kann sichergestellt werden, dass mit einer kompetenten Unterstützung organisatorische und technische Prozesse angepasst werden, und eine weitere Gefährdung der Grundrechte der betroffenen Personen vermieden wird.

Im Übrigen definiert das IDG die Schutzziele, welche mit entsprechenden organisatorischen und technischen Massnahmen sicherzustellen sind (§ 7 IDG). Nach wie vor liefert die Informatiksicherheitsverordnung (ISV) die weiteren Konkretisierungen hierzu.

Als Technikfolgenrecht liefert das IDG mit seinen Instrumenten auch in der Digitalisierung die notwendigen Rahmenbedingungen für den Schutz der Grundrechte der Bürgerinnen und Bürger.