- Der Leitfaden des EDÖB dient lediglich zu Informationszwecken und hat keine Rechtsgültigkeit.
- Er richtet sich primär an private Verantwortliche, betrifft aber auch Bundesorgane.
- Die Datenschutz-Folgenabschätzung ist wichtig, aber keine Mindestmassnahme der Datensicherheit.
- Anonymisierung ist erfolgreich, wenn Daten ohne unverhältnismässigen Aufwand nicht umkehrbar sind.
- Die Protokollierungspflicht gilt ausschließlich für automatisierte Datenbearbeitung mit Personendaten.
Der EDÖB hat den Leitfaden zu den technischen und den organisatorischen Massnahmen der Datensicherheit in neuer Fassung veröffentlicht (vom 15. Januar 2024). Die Vorauflage stammte vom August 2015.
Der Leitfaden ist ein „Leitfaden“, verwahrt sich aber gegen jede Geltungskraft:
Dieses Dokument ist kein Rechtsratgeber. Zwar werden darin die wichtigsten Vorgaben des Datenschutzgesetzes wiedergegeben, dies aber vor allem zu Informationszwecken. Der Leitfaden soll diese gesetzlichen Vorgaben weder ausführen, kommentieren noch präzisieren. Er ist somit keine Grundlage für die Anwendung oder Auslegung dieser Regeln.
Der Leitfaden betrifft in erster Linie Pflichten privater Verantwortlicher, spricht aber auch Bundesorgane an. Er enthält zunächst sehr knappe Aussagen mit einigen Empfehlungen zu datenschutzrechtlichen Themen, z.B. zu den Bearbeitungsgrundsätzen, dem Bearbeitungsverzeichnis, Betroffenenrechten usw. Der Bezug zur Datensicherheit ist teilweise recht lose.
Ein zweiter Teil ist etwas technischer und spricht bspw. Themen wie Pseudonymisierung oder Anonymisierung an. Hier finden sich auch Empfehlungen zu konkreten Massnahmen etwa zur Sicherung der Infrastruktur, zur Identifizierung und Authentifizierung, zur Verschlüsselung, zur Sicherung und Löschung von Daten, zur Netzsicherheit usw.
Inhaltlich geben die meisten Punkte nicht zu Anmerkungen Anlass, mit Ausnahme vielleicht folgender:
- Der Grundsatz der Rechtmässigkeit verlange, dass eine Bearbeitung „keine Rechtsvorschriften“ verletzt; dies beschränke „sich nicht auf das DSG, sondern umfasst die Gesamtheit aller Rechtsnormen (insbesondere das Strafrecht wie etwa die Artikel 138 ff. und 179 ff. StGB)“. Das ist so allgemein unzutreffend; der Rechtmässigkeitsgrundsatz kann nur durch Verstoss gegen Normen verletzt werden, die persönlichkeitsschützenden Charakter haben (Helsana-Entscheid).
- Der EDÖB spricht knapp die Datenschutz-Folgenabschätzung (DSFA) an. Das ist natürlich naheliegend, weil die technischen und organisatorischen Massnahmen (TOMs) in einer DSFA eines der wesentlichen Elemente sind und eine DSFA oft auch das beste Format ist, um eine Diskussion zwischen Datenschutz und IT zu bewirken. Die DSFA selbst ist aber keine (Mindest-)Massnahme der Datensicherheit, und ihre Unterlassung kann nicht über Art. 8 Abs. 3 i.V.m. 61 lit. c DSG strafbar sein (was der EDÖB auch nicht sagt; zu den Mindestmassnahmen s. auch hier).
- Zu begrüssen ist der Hinweis, dass die Anonymisierung dann erfolgreich ist, wenn das Anonymisat nicht ohne unverhältnismässigen Aufwand umkehrbar ist; Masstab ist hier die Identifizierbarkeit. Es gelten also die gleichen Kriterien wie bei der Frage des Personenbezugs ganz allgemein. Das liegt auf der Hand, wird aber oft anders dargestellt.
- Zur Protokollierung (dazu auch hier) hält der EDÖB folgendes fest:
- Es wird keine getrennte Protokollierung der Personendaten und der Informationssicherheit erwartet. Eine Redundanz ist folglich nicht nötig.
- Die Protokollierungspflicht gilt ausschliesslich für Personendaten in Systemen zur automatisierten Datenbearbeitung. Beispielsweise muss ein manueller Zugriff auf ein Textdokument mit persönlichen Informationen gemäss Artikel 4 DSV nicht zwingend protokolliert werden. Wird hingegen im gleichen Dokument ein Skript ausgeführt, das Personendaten löscht, so muss dies protokolliert werden.
- Nichtsdestotrotz muss aber beachtet werden, dass es im Interesse des Verantwortlichen sein kann, diese Aktivitäten gleichwohl zu protokollieren oder die Bearbeitung gewisser Personendaten in nicht protokollierten Dokumenten nicht zuzulassen.
- Unter «allgemein öffentlich zugänglich» sind Daten zu verstehen, die ohne Identifizierung oder die einer grossen Zahl von Personen zugänglich sind.