Close

Newsletter abonnieren

Newsletter

Newsletter
Erhalten Sie vier Mal jährlich den Cedac-Newsletter zu aktuellen Themen.

Vier Fragen an Dr. iur. Adrian Lobsiger, Eidgenössischer Datenschutzbeauftragter

Überall, ständig und immer mehr werden Daten gesammelt, gelagert, ausgetauscht, verkauft. Seit Mitte März 2016 amtet Adrian Lobsiger als Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter.

1. Datenschutz gewinnt mit der Digitalisierung zunehmend an Bedeutung. Mit welchen Herausforderungen müssen KMUs in Zukunft rechnen? 

Ein wichtiger Punkt ist die Datensicherheit. Je mehr Datenbearbeitungen von Unternehmen ausgelagert werden, umso bedeutender werden Aspekte wie die Verschlüsselung der Daten. Entsprechende Investitionen sind unerlässlich, denn Datendiebstahl und -verlust können einem Betrieb nicht nur erhebliche finanzielle Einbussen, sondern auch Reputationsschäden zufügen. 

Weil Speicherplatz im Internet günstig ist, lagern immer mehr Schweizer Unternehmen und KMU ihre Datenverarbeitung an externe Clouddienste aus. Dass diese nicht selten ungenügende Datenverschlüsselungen bieten und sich zudem umfassende Rechte an den persönlichen Daten ihrer Kunden herausnehmen, wird leider allzu oft übersehen.

 

2. Welche Empfehlungen geben Sie Schweizer Unternehmen bezüglich Datenspeicherung im Ausland?

Wenn Daten nicht im firmeneigenen Netz-werk, sondern in einer «Datenwolke» im Ausland gespeichert werden, ist dies aus Datenschutzsicht problematisch, weil Nicht-EU-Staaten in der Regel kein genügendes Datenschutzniveau bieten. Wir führen auf unserer Website eine entsprechende Staatenliste und empfehlen Unternehmen, sich in diesem Fall vertraglich abzusichern und ihre Kundinnen und Kunden darüber zu informieren, in welcher Form ihre Daten bearbeitet werden. 

Gegenwärtig ist der Bundesrat daran, mit den USA eine analoge Regelung zu der zwischen den USA und der EU getroffenen Vereinbarung, dem sog. «framework privacy shield», zu treffen. Diese sieht unter anderem vor, dass sich die nach den Regeln dieses Frameworks zertifizierten Unternehmen in den USA, welche aus einem EU-Land stammende Personaldaten bearbeiten, an Weisungen und Vorgaben der Datenschutzorgane dieses EU-Staates halten müssen. Es ist zu hoffen, dass die vorgesehene Regelung mit der Schweiz eine analoge Lösung bringen wird.

 

3. Wir alle wissen, dass man sich vor Hackerangriffen nur bedingt schützen kann – welchen Standard sehen Sie für Unternehmen vor, die mit vertraulichen Personendaten arbeiten?

Je nachdem, welche Daten ein Unternehmen bearbeitet, kann eine ISO- oder VDSZ-Zertifizierung angezeigt sein. Während ISO 27000 ein international anerkanntes Zertifikat für die Datensicherheit ist, berücksichtigt ein VDSZ-Zertifikat der Schweizerischen Akkreditierungsstelle auch spezifische Datenschutzaspekte.

 

4. Im Assessmentbereich fallen vor, während und nach dem Assessment vertrauliche Daten an – welches sind Ihrer Erfahrung nach diejenigen Momente, denen in diesem Ablauf bezüglich Datenschutz zu wenig Aufmerksamkeit geschenkt wird?

Sowohl im Bewerbungsprozess als auch nach Vertragsabschluss darf ein Arbeitgeber nur Personendaten bearbeiten, soweit sie die Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Dass sich ein Arbeitgeber Informationen über die Kandidatinnen und Kandidaten im Internet beschafft, die frei zugänglich sind, kann je nach Art und Dauer des Arbeitsverhältnisses durchaus erforderlich erscheinen. Der Arbeitgeber sollte jedoch die betroffene Person vorgängig darüber informieren, dass er sich vorbehält, entsprechende Recherchen zu tätigen. 

Besondere Vorsicht ist im Umgang mit Gesundheitsdaten geboten, da sie als besonders schützenswerte Personendaten gelten. Ein Arbeitgeber darf beispielsweise keine Auskunft über den Gesundheitszustand verlangen. Wenn ein Arbeitnehmer einen Gesundheitsfragebogen ausfüllen muss, dürfen die erhobenen Daten nur von einem Vertrauensarzt analysiert werden. Dieser darf Dritten keine Auskunft zu einer Diagnose geben. Er darf einem Arbeitgeber lediglich mitteilen, ob der Gesundheitszustand dieser Person erlaubt, eine bestimmte Tätigkeit auszuüben.

Vielen Dank für die Informationen!

Newsletter August 2016