Accesskeys

Informatik

Fälle

Publikation von Personendaten im Internet, Anforderungen an Einverständniserklärung

 

Die Publikation von Personendaten im Internet ist alternativ unter zwei Voraussetzungen zulässig: Entweder bedarf es einer Rechtsgrundlage, für besonders schützenswerte Personendaten eines formellen Gesetzes. Oder es braucht die ausdrückliche Einwilligung der betroffenen Person. Da bei der Publikation von Schülerfotos, Klassenlisten etc. keine Rechtsgrundlagen vorhanden sind, braucht es die Einwilligung der betroffenen Schülerinnen und Schüler bzw. deren Erziehungsberechtigten bei nicht urteilsfähigen Schülerinnen und Schülern. Daher stellt sich die Frage der Anforderungen an die Einwilligung: Die Einwilligung muss sich auf den konkreten Einzelfall beziehen, beispielsweise auf die Publikation von Fotos eines Schullagers. Die Einwilligung muss zeitlich befristet sein und die betroffene Person muss die Möglichkeit haben, diese jederzeit zu widerrufen. Aus Beweisgründen ist die schriftliche Einverständniserklärung zu empfehlen.

 

Fernwartung

 

Ist die Fernwartung der EDV im Bereich der Opferhilfe zulässig? Im Unterschied zur Wartung vor Ort wird bei der Fernwartung der Support mittels Fernzugriff über das Netzwerk gemacht. Ein neuer Zugriff zum Rechner wird geschaffen. Die Kontroll- und Eingriffsmöglichkeiten des eigenen Personals sind kleiner als bei einer Wartung vor Ort. Mit einer Fernwartung gehen deshalb besondere Risiken einher. Wer Daten bearbeitet, ist verpflichtet, die organisatorischen und technischen Massnahmen zur Sicherung der Daten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten zu treffen. Diese Sicherheitsmassnahmen sind auch bei der Fernwartung zu gewährleisten. Nur unter Beachtung der gebotenen Massnahmen (z.B. Zugriff ist dem Stand der aktuellen Sicherheitstechnik entsprechend zu sichern) ist eine Fernwartung zulässig.

Im Bereich der Opferhilfe werden personenbezogene Daten verarbeitet, die einer besonderen Verschwiegen­heitspflicht unterliegen. Ein Zugriff des Fernwartungspersonals auf die personenbezogenen Daten aufgrund einer Datenschutz- und Geheimhaltungsvereinbarung ist deshalb unzulässig. Ist die Bearbeitung von Personendaten im Rahmen der Fernwartung unumgänglich, braucht es dafür die Einwilligung der betroffenen Personen. Vorzuziehen ist die Verschlüsselung der Daten. In diesem Fall ist der Personenbezug der gespeicherten Daten durch eine geeignete Anonymisierung aufzuheben. Das Fernwartungspersonal darf dann lediglich auf anonymisierte Daten zugreifen.

 

Löschung von Personendaten aus dem Amtsblatt im Internet

 

Suchmaschinen haben auf die Internet-Publikation des Amtsblattes des Kantons St.Gallen keinen Zugriff. Dadurch kann jedoch nicht vollständig verhindert werden, dass diese Daten im Internet auffindbar sind. Wie bei allen Web-Publikationen besteht insbesondere immer die Möglichkeit, dass Dritte die Daten aus dem Web kopieren und anderweitig im Internet speichern. Dadurch wird der Schutz vor den Suchmaschinen aufgehoben und die Personendaten sind im Internet auffindbar. Wer Daten im Internet löschen möchte, muss bei der Veröffentlichungsquelle ansetzen. Bei Google kann über folgenden Link eine Löschung erwirkt werden: https://support.google.com/webmasters/answer/1663691?hl=de.

 

Outsourcing von Datenbearbeitungen

 

Das Datenschutzgesetz lässt die Bearbeitung von Personendaten durch Dritte unter bestimmten Voraussetzungen zu. Das Outsourcing darf nicht von Gesetzes wegen ausgeschlossen sein und die beauftragten Dritten müssen Gewähr für die datenschutzrechtlich einwandfreie Bearbeitung bieten. Für die Einhaltung der Datenschutzbestimmungen bleibt letztlich das öffentliche Organ zuständig, das die Datenbearbeitung auslagert. Es muss insbesondere sicherstellen, dass die Personendaten nur so bearbeitet werden, wie es dies selbst tun dürfte und dass die Personendaten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten sicher sind. Zur Sicherstellung dieser Punkte muss eine Datenschutzvereinbarung abgeschlossen werden, die unter anderem folgende Punkte regelt:

Gegenstand und Umfang der übertragenen Aufgaben, Umgang mit Personendaten, Geheimhaltungsverpflichtungen, Kontrolle der Auftragserfüllung, Vertragsdauer und Voraussetzungen der Vertragsauflösung sowie die bei Pflichtverletzung vorgesehenen Sanktionen (Konventionalstrafen). Überdies ein Hinweis auf die Strafbestimmungen im Fall eines vorsätzlich auftragswidrigen Verhaltens. Zudem müssen die einzelnen mit der Datenbearbeitung betrauten Personen des Outsourcingnehmers eine Vertraulichkeitserklärung unterzeichnen.