Takea­ways (AI):
  • Der Leit­fa­den des EDÖB dient ledig­lich zu Infor­ma­ti­ons­zwecken und hat kei­ne Rechtsgültigkeit.
  • Er rich­tet sich pri­mär an pri­va­te Ver­ant­wort­li­che, betrifft aber auch Bun­des­or­ga­ne.
  • Die Daten­schutz-Fol­gen­ab­schät­zung ist wich­tig, aber kei­ne Min­dest­mass­nah­me der Datensicherheit.
  • Anony­mi­sie­rung ist erfolg­reich, wenn Daten ohne unver­hält­nis­mä­ssi­gen Auf­wand nicht umkehr­bar sind.
  • Die Pro­to­kol­lie­rungs­pflicht gilt aus­schließ­lich für auto­ma­ti­sier­te Daten­be­ar­bei­tung mit Per­so­nen­da­ten.

Der EDÖB hat den Leit­fa­den zu den tech­ni­schen und den orga­ni­sa­to­ri­schen Mass­nah­men der Daten­si­cher­heit in neu­er Fas­sung ver­öf­fent­licht (vom 15. Janu­ar 2024). Die Vor­auf­la­ge stamm­te vom August 2015.

Der Leit­fa­den ist ein „Leit­fa­den“, ver­wahrt sich aber gegen jede Geltungskraft:

Die­ses Doku­ment ist kein Rechts­rat­ge­ber. Zwar wer­den dar­in die wich­tig­sten Vor­ga­ben des Daten­schutz­ge­set­zes wie­der­ge­ge­ben, dies aber vor allem zu Infor­ma­ti­ons­zwecken. Der Leit­fa­den soll die­se gesetz­li­chen Vor­ga­ben weder aus­füh­ren, kom­men­tie­ren noch prä­zi­sie­ren. Er ist somit kei­ne Grund­la­ge für die Anwen­dung oder Aus­le­gung die­ser Regeln.

Der Leit­fa­den betrifft in erster Linie Pflich­ten pri­va­ter Ver­ant­wort­li­cher, spricht aber auch Bun­des­or­ga­ne an. Er ent­hält zunächst sehr knap­pe Aus­sa­gen mit eini­gen Emp­feh­lun­gen zu daten­schutz­recht­li­chen The­men, z.B. zu den Bear­bei­tungs­grund­sät­zen, dem Bear­bei­tungs­ver­zeich­nis, Betrof­fe­nen­rech­ten usw. Der Bezug zur Daten­si­cher­heit ist teil­wei­se recht lose.

Ein zwei­ter Teil ist etwas tech­ni­scher und spricht bspw. The­men wie Pseud­ony­mi­sie­rung oder Anony­mi­sie­rung an. Hier fin­den sich auch Emp­feh­lun­gen zu kon­kre­ten Mass­nah­men etwa zur Siche­rung der Infra­struk­tur, zur Iden­ti­fi­zie­rung und Authen­ti­fi­zie­rung, zur Ver­schlüs­se­lung, zur Siche­rung und Löschung von Daten, zur Netz­si­cher­heit usw.

Inhalt­lich geben die mei­sten Punk­te nicht zu Anmer­kun­gen Anlass, mit Aus­nah­me viel­leicht folgender:

  • Der Grund­satz der Recht­mä­ssig­keit ver­lan­ge, dass eine Bear­bei­tung „kei­ne Rechts­vor­schrif­ten“ ver­letzt; dies beschrän­ke „sich nicht auf das DSG, son­dern umfasst die Gesamt­heit aller Rechts­nor­men (ins­be­son­de­re das Straf­recht wie etwa die Arti­kel 138 ff. und 179 ff. StGB)“. Das ist so all­ge­mein unzu­tref­fend; der Recht­mä­ssig­keits­grund­satz kann nur durch Ver­stoss gegen Nor­men ver­letzt wer­den, die per­sön­lich­keits­schüt­zen­den Cha­rak­ter haben (Hels­a­na-Ent­scheid).
  • Der EDÖB spricht knapp die Daten­schutz-Fol­gen­ab­schät­zung (DSFA) an. Das ist natür­lich nahe­lie­gend, weil die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men (TOMs) in einer DSFA eines der wesent­li­chen Ele­men­te sind und eine DSFA oft auch das beste For­mat ist, um eine Dis­kus­si­on zwi­schen Daten­schutz und IT zu bewir­ken. Die DSFA selbst ist aber kei­ne (Mindest-)Massnahme der Daten­si­cher­heit, und ihre Unter­las­sung kann nicht über Art. 8 Abs. 3 i.V.m. 61 lit. c DSG straf­bar sein (was der EDÖB auch nicht sagt; zu den Min­dest­mass­nah­men s. auch hier).
  • Zu begrü­ssen ist der Hin­weis, dass die Anony­mi­sie­rung dann erfolg­reich ist, wenn das Anony­mi­sat nicht ohne unver­hält­nis­mä­ssi­gen Auf­wand umkehr­bar ist; Mas­stab ist hier die Iden­ti­fi­zier­bar­keit. Es gel­ten also die glei­chen Kri­te­ri­en wie bei der Fra­ge des Per­so­nen­be­zugs ganz all­ge­mein. Das liegt auf der Hand, wird aber oft anders dargestellt.
  • Zur Pro­to­kol­lie­rung (dazu auch hier) hält der EDÖB fol­gen­des fest:
    • Es wird kei­ne getrenn­te Pro­to­kol­lie­rung der Per­so­nen­da­ten und der Infor­ma­ti­ons­si­cher­heit erwar­tet. Eine Red­un­danz ist folg­lich nicht nötig.
    • Die Pro­to­kol­lie­rungs­pflicht gilt aus­schliess­lich für Per­so­nen­da­ten in Syste­men zur auto­ma­ti­sier­ten Daten­be­ar­bei­tung. Bei­spiels­wei­se muss ein manu­el­ler Zugriff auf ein Text­do­ku­ment mit per­sön­li­chen Infor­ma­tio­nen gemäss Arti­kel 4 DSV nicht zwin­gend pro­to­kol­liert wer­den. Wird hin­ge­gen im glei­chen Doku­ment ein Skript aus­ge­führt, das Per­so­nen­da­ten löscht, so muss dies pro­to­kol­liert werden.
    • Nichts­de­sto­trotz muss aber beach­tet wer­den, dass es im Inter­es­se des Ver­ant­wort­li­chen sein kann, die­se Akti­vi­tä­ten gleich­wohl zu pro­to­kol­lie­ren oder die Bear­bei­tung gewis­ser Per­so­nen­da­ten in nicht pro­to­kol­lier­ten Doku­men­ten nicht zuzulassen.
    • Unter «all­ge­mein öffent­lich zugäng­lich» sind Daten zu ver­ste­hen, die ohne Iden­ti­fi­zie­rung oder die einer gro­ssen Zahl von Per­so­nen zugäng­lich sind.

AI-generierte Takeaways können falsch sein.