Accesskeys

Behörden

Internet am Arbeitsplatz

Nutzung für private Zwecke

Darf das Internet am Arbeitsplatz zu privaten Zwecken genutzt werden? Der Arbeitgeber kann - beispielsweise in einer Dienstanweisung - die private Nutzung ganz verbieten oder mit Einschränkungen erlauben. Auch wenn die Nutzung des Internets am Arbeitsplatz zu privaten Zwecken erlaubt ist, darf sie die Arbeitsleistung nicht beeinträchtigen und kein Sicherheitsrisiko darstellen.


Datenbekanntgabe

Darf die Gemeinde politischen Parteien Namen und Adressen der 40- bis 65-Jährigen für Wahl- und Abstimmungspropaganda bekanntgeben?

Dies ist unter der Bedingung zulässig, dass der Datenempfänger begründet, weshalb er die Daten eines bestimmten Alterssegments braucht: zum Beispiel die Altersgruppe bis 25 Jahre, wenn die Abstimmung das Thema Bildung betrifft. Ausserdem müssen die Daten einem gemeinnützigen oder schutzwürdigen ideellen Zweck dienen.

Kaum begründbar unter dem Gesichtspunkt des gemeinnützigen oder schutzwürdigen ideellen Zweckes dürfte die Bekanntgabe der Geburtsdaten sein. Eine Bekanntgabe der genauen Geburtsdaten bei oben erwähnter Anfrage wäre deshalb nicht datenschutzkonform.

 

Darf die Gemeinde einer Bank Namen und Adressen aller 18-jährigen Jugendlichen bekanntgeben?

Das öffentliche Organ kann auf Anfrage Name, Vorname, Geburtsdatum, Adresse sowie Zuzug in den Kanton oder die Gemeinde und Wegzug aus dem Kanton oder der Gemeinde bekannt geben, wenn die Empfängerin oder der Empfänger Gewähr bietet und sich schriftlich verpflichtet, die Personendaten ausschliesslich für gemeinnützige oder schutzwürdige ideelle Zwecke zu verwenden und nicht weiterzugeben.

Abzugrenzen ist der gemeinnützige oder schutzwürdige ideelle Zweck vom kommerziellen Zweck. Bei oben erwähnter Frage ist anzunehmen, dass die Bank die Daten für kommerzielle Zwecke wünscht. Die Datenbekanntgabe ist deshalb nicht zulässig.

 

Dürfen Personendaten innerhalb der Verwaltung beliebig weitergegeben werden?

Beim Austausch von Personendaten innerhalb der Verwaltung ist die Datenschutzgesetzgebung ebenfalls zu beachten; Personendaten dürfen auch innerhalb der Verwaltung nicht beliebig weitergegeben werden.

Eine Weitergabe ist dann zulässig, wenn die Empfängerin oder der Empfänger die Personendaten zur Erfüllung einer gesetzlichen Aufgabe benötigt.

Handelt es sich um eine Weitergabe von besonders schützenswerten Personendaten wie Gesundheitsdaten oder Daten im Bereich der Sozialhilfe, ist eine Bekanntgabe dann zulässig, wenn die Personendaten für die Empfängerin oder den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich sind.

 

Datenbekanntgabe bei Diebstahl

Im Zusammenhang mit der Entwendung einer Geldkassette stellte sich für die betroffene Stelle die Frage, ob es zulässig sei, die Liste der Schlüsselcodes in einem bestimmten Zeitraum zu erhalten. Die Strafuntersuchung ist Sache der Polizei bzw. der Staatsanwaltschaft. Die betroffene Stelle benötigt die Liste für die eigene Aufgabenerfüllung nicht und hat deshalb keinen An­spruch darauf. Im Übrigen ist in einem laufenden Strafverfahren nicht die Datenschutzgesetz­gebung anwendbar, sondern die entsprechende Prozessgesetzgebung.

 

Datenbekanntgabe an Sozialversicherungsstelle

Ist es zulässig , dass ein Elektrizitätswerk den jährlichen Stromverbrauch eines Privatkunden der Sozialversicherungsstelle eines andern Kantons bekannt gibt? Mit der Bekanntgabe des jährlichen Stromverbrauchs einer Privatperson kann eine Aussage darüber gemacht werden, wie lange sich die Person in der Schweiz aufhält; im vorliegenden Fall bestand der Verdacht auf Betrug.

Vorerst stellt sich die Frage, ob das Unternehmen als Privater gilt, der Staatsaufgaben erfüllt. Für den Bereich der Grundversorgung mit Elektrizität ist dies der Fall. Damit ist der Elektrizitätsversorger dem öffentlichen Organ gleichgestellt und unterliegt somit dem kantonalen Datenschutzgesetz. Bei den fraglichen Daten handelt es sich nicht um besonders schützenswerte Personendaten. Es kann daraus auch kein Bewe­gungsprofil abgeleitet werden, das ein Persönlichkeitsprofil ergeben könnte. Es handelt sich demnach um Personendaten, deren Bekanntgabe sich nach Art. 11 DSG richtet. Abs. 2 besagt, dass öffentliche Organe Personendaten einer Behörde des Bundes, eines anderen Kantons oder einem anderen öffentlichen Organ bekannt geben, wenn die Empfängerin oder der Empfänger die Personendaten zur Erfüllung einer gesetzlichen Aufgabe benötigt. Den Sozialversicherungsstellen obliegt u.a. die Durchführung der eidgenössischen Alters-, Hinterlassenen- und Invali­denversicherung, d.h. die Ausrich­tung von Leistungen, die das Ge­setz vorsieht. Es geht um die Frage, ob Leistungen zu Recht bezogen werden. Zwar gehört die Bekämpfung des Missbrauchs beim Leistungs­empfang zur Aufgabe der Sozial­versicherungsstelle, sie hat aber keine polizeilichen oder untersu­chungsrichterlichen Aufgaben. Zur Abklärung des Verdachts auf Betrug muss deshalb Strafanzeige erstattet werden. Im Rahmen dieses Verfahrens kann abgeklärt werden, ob der Verdacht auf Betrug gerechtfertigt ist oder nicht. Die Abklärung ist demnach Sache der Strafverfolgungsbehörde und nicht der Sozialversicherungsstelle. Die Datenbekanntgabe ist deshalb nicht zulässig.

 

Veröffentlichung von Geburtstagen im Pfarrblatt

Dürfen runde Geburtstage im Pfarrblatt einer Kirchgemeinde veröffentlicht werden? Für die Bekanntgabe von Personendaten ist eine Rechtsgrundlage notwendig. Werden besonders schützenswerte Personendaten und Persönlichkeitsprofile bekannt gegeben, ist ein Gesetz im formellen Sinn erforderlich. Bei den Merkmalen Name, Vorname, Geburtsdatum und Adresse handelt es sich nicht um besonders schützenswerte Personendaten, weshalb eine Rechtsgrundlage auf Verordnungsstufe genügt.

Im kantonalen Recht gibt es diesbezüglich keine gesetzliche Bestimmung. Regelmässig fehlen solche Bestimmungen auch auf kommunaler Ebene, was im Einzelfall nachzuprüfen ist. Ohne Rechtsgrundlage ist die Veröffentlichung nur mit der ausdrücklichen Zustimmung der betroffenen Person zulässig. Die Datenbekanntgabe darf im Umfang der Einwilligung erfolgen. So ist es möglich, dass eine Person in die Bekanntgabe von Name, Vorname und Geburtsdatum einwilligt, jedoch nicht in die Bekanntgabe der Adresse. Um Klarheit zu schaffen, empfiehlt sich das schriftliche Einholen der Zustimmung des Jubilaren oder der Jubilarin.

 

Bekanntgabe der Lohn-Einstufung innerhalb einer Spitalregion

Darf bei einem Arbeitsplatzwechsel eines Mitarbeitenden innerhalb einer Spitalregion dem neuen Arbeitgeber die Lohn-Einstufung bekannt gegeben werden? Auch wenn es sich bei der Lohn-Einstufung nicht um besonders schützenswerte Personendaten handelt, ist dies nicht zulässig. Die Daten werden nicht zur Erfüllung einer gesetzlichen Aufgabe benötigt. Zudem darf Amtshilfe an eine andere Verwaltungsstelle nicht erteilt werden, nur weil dies für die Empfängerin oder den Empfänger der einfachere und praktikablere Weg ist, um an die Information zu gelangen.

 

 

 


Sozialversicherungen

Darf die Sozialversicherungsanstalt zur Abklärung eines Anspruchs auf Ergänzungsleistungen einen detaillierten Kontoauszug einverlangen?

Eine Datenbearbeitung muss sowohl recht- als auch verhältnismässig sein. Die Sozialversicherungsanstalt darf diejenigen Daten bearbeiten, die sie benötigt, um ihre Aufgaben erfüllen zu können, namentlich auch um Leistungsansprüche zu beurteilen.

Zur Abklärung eines Anspruchs auf Ergänzungsleistungen wird auch ein Kontoauszug benötigt. In der Regel genügt dabei die Kontoübersicht (Belege für die Steuererklärung), die Auskunft über den Kontostand per 31. Dezember gibt.

In Einzelfällen ist es jedoch nötig, dass im Rahmen der Sachverhaltsabklärung ein detaillierter Kontoauszug eingereicht werden muss. Um einen solchen Einzelfall handelt es sich zum Beispiel, wenn geprüft werden muss, ob ein allfälliger Vermögensverzicht (z.B. Schenkung) vorliegt.


Polizei

GPS-Ortungssystem in Zivilfahrzeugen der Polizei

Dürfen Zivilfahrzeuge der Polizei, die u.a. im Pikettdienst zur Anwendung kommen, mit einem GPS-Ortungssystem ausgerüstet sein? Dies ist zulässig unter der Einhaltung bestimmter Be­dingungen. Überwachungs- und Kontrollsysteme sind dann zulässig, wenn sie nicht der Ver­haltensüberwachung der Arbeitnehmenden dienen und so ausgestaltet sind, dass sie Gesund­heit und Bewegungsfreiheit der Arbeitnehmenden nicht beeinträchtigen. Zur Aufgabenerfüllung bzw. zur Vornahme der entsprechenden Einsatzdisposition müssen die Einsatzfahrzeuge unverzüglich geortet werden können. Dies rechtfertigt grundsätzlich die Ausrüstung mit GPS. Die Mitarbeitenden müssen allerdings darüber informiert sein, dass die Fahrzeuge mit GPS ausgerüstet sind. Zudem sollen die Mitarbeitenden über Art und Ziel der Datenbehand­lung informiert sein und darüber, innert welcher Frist die Daten gelöscht werden und wer Zugriff hat. Zentral ist zudem, dass das GPS tatsächlich nur die Ortung der Fahrzeuge registriert und nicht weitere Überwachungsfunktionen eingebaut sind.

 

Löschung von Daten im Personenregister der Polizei

Eine Person hat die Löschung ihrer Daten aus dem Personenregister der Polizei verlangt, da sich die Überprüfung wegen vermutetem Enkeltrick durch die Polizei als gegenstandslos erwiesen hat. Die betroffene Person hat das Recht, ihre Daten löschen zu lassen, wenn keine überwiegenden Interessen für die weitere Aufbewahrung bestehen. Erweist sich eine Überprüfung als gegenstandslos, müssen die Daten demzufolge aus den Personenregistern gelöscht werden. Nicht gelöscht werden die Daten im Journal, da es sich beim Journal nicht um ein Register, sondern um eine Art "Geschichtsschreibung" handelt. Wichtig ist, dass im Journal klar ersichtlich ist, dass sich die Polizeikontrolle als gegenstandslos erwiesen hat.

 


Anwendbarkeit des kantonalen Datenschutzgesetzes

Erfüllung einer Staatsaufgabe

Das kantonale Datenschutzgesetz re­gelt die Bearbeitung von Personen­da­ten durch öffentliche Organe. Private sind einem öffentlichen Organ gleich­gestellt, wenn sie Staatsaufgaben erfüllen. Private Personen müssen also mit der Erfüllung von Staats­aufgaben betraut sein. Entscheidend ist nicht, welcher Art die Staatsaufgabe ist oder wie intensiv die Staatsaufgabe wahrgenommen wird, sondern einzig dass im Zusammenhang mit der Erfüllung von Staatsaufgaben Personendaten bearbeitet werden. Sind diese beiden Voraussetzungen erfüllt, ist das kantonale Datenschutzgesetz anwendbar.

Konkret wurde die Frage gestellt, welches Recht auf eine Sekretariatsperson der Fachhochschule St. Gallen anwendbar ist, die sich in einem privatrechtlichen Anstellungsverhältnis befindet. Kann die Datenbearbeitung durch eine Person verschiedenen Datenschutzgesetzen unterstehen? Bearbeitet die Sekretariatsperson Daten der Studierenden im Zusammenhang mit einer Lehrveranstaltung der Fachhochschule, also im Zusammenhang mit der Erfüllung einer Staatsaufgabe, ist das kantonale Datenschutzgesetz anwendbar.

Bietet eine Lehrperson der Fachhochschule hingegen eine Weiterbildung auf dem Markt wie Private gegen kostendeckendes Entgelt nach marktgerechten Gesichtspunkten an, handelt es sich bei dieser Dienstleistung nicht um eine Staatsaufgabe. Verschickt die Sekretariatsperson den Teilnehmenden der Weiterbildungsveranstaltung Unterlagen, so gelten demnach die Vorschriften des Bundesgesetzes über den Datenschutz.

 


Informatik

Fernwartung

Ist die Fernwartung der EDV im Bereich der Opferhilfe zulässig? Im Unterschied zur Wartung vor Ort wird bei der Fernwartung der Support mittels Fernzugriff über das Netzwerk gemacht. Ein neuer Zugriff zum Rechner wird geschaffen. Die Kontroll- und Eingriffsmöglichkeiten des eigenen Personals sind kleiner als bei einer Wartung vor Ort. Mit einer Fernwartung gehen deshalb besondere Risiken einher. Wer Daten bearbeitet, ist verpflichtet, die organisatorischen und technischen Massnahmen zur Sicherung der Daten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten zu treffen. Diese Sicherheitsmassnahmen sind auch bei der Fernwartung zu gewährleisten. Nur unter Beachtung der gebotenen Massnahmen (z.B. Zugriff ist dem Stand der aktuellen Sicherheitstechnik entsprechend zu sichern) ist eine Fernwartung zulässig.

Im Bereich der Opferhilfe werden personenbezogene Daten verarbeitet, die einer besonderen Verschwiegen­heitspflicht unterliegen. Ein Zugriff des Fernwartungspersonals auf die personenbezogenen Daten aufgrund einer Datenschutz- und Geheimhaltungsvereinbarung ist deshalb unzulässig. Ist die Bearbeitung von Personendaten im Rahmen der Fernwartung unumgänglich, braucht es dafür die Einwilligung der betroffenen Personen. Vorzuziehen ist die Verschlüsselung der Daten. In diesem Fall ist der Personenbezug der gespeicherten Daten durch eine geeignete Anonymisierung aufzuheben. Das Fernwartungspersonal darf dann lediglich auf anonymisierte Daten zugreifen

 


Outsourcing

Outsourcing von Datenbearbeitungen

Das Datenschutzgesetz lässt die Bearbeitung von Personendaten durch Dritte unter bestimmten Voraussetzungen zu. Das Outsourcing darf nicht von Gesetzes wegen ausgeschlossen sein und die beauftragten Dritten müssen Gewähr für die datenschutzrechtlich einwandfreie Bearbeitung bieten. Für die Einhaltung der Datenschutzbestimmungen bleibt letztlich das öffentliche Organ zuständig, das die Datenbearbeitung auslagert. Es muss insbesondere sicherstellen, dass die Personendaten nur so bearbeitet werden, wie es dies selbst tun dürfte und dass die Personendaten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten sicher sind. Zur Sicherstellung dieser Punkte muss eine Datenschutzvereinbarung abgeschlossen werden, die unter anderem folgende Punkte regelt:

Gegenstand und Umfang der übertragenen Aufgaben, Umgang mit Personendaten, Geheimhaltungsverpflichtungen, Kontrolle der Auftragserfüllung, Vertragsdauer und Voraussetzungen der Vertragsauflösung sowie die bei Pflichtverletzung vorgesehenen Sanktionen (Konventionalstrafen). Überdies ein Hinweis auf die Strafbestimmungen im Fall eines vorsätzlich auftragswidrigen Verhaltens. Zudem müssen die einzelnen mit der Datenbearbeitung betrauten Personen des Outsourcingnehmers eine Vertraulichkeitserklärung unterzeichnen.

 

Amtsblatt

Löschung von Personendaten aus dem Amtsblatt im Internet

Suchmaschinen haben auf die Internet-Publikation des Amtsblattes des Kantons St.Gallen keinen Zugriff. Dadurch kann jedoch nicht vollständig verhindert werden, dass diese Daten im Internet auffindbar sind. Wie bei allen Web-Publikationen besteht insbesondere immer die Möglichkeit, dass Dritte die Daten aus dem Web kopieren und anderweitig im Internet speichern. Dadurch wird der Schutz vor den Suchmaschinen aufgehoben und die Personendaten sind im Internet auffindbar. Wer Daten im Internet löschen möchte, muss bei der Veröffentlichungsquelle ansetzen. Bei Google kann über folgenden Link eine Löschung erwirkt werden: http://support.google.com/webmasters/bin/answer.py?hl=de&answer=164734.