Technische und organisatorische Massnahmen: EDÖB in der Schweiz veröffentlicht aktualisierten Leitfaden

Rechtsanwalt Martin Steiger
Bild: Arbeitnehmer in Anzug und Krawatte, der seinen Computer mit Kette und Vorhängeschloss sichert (KI-generiert)

Haben Sie Ihren Computer im Büro angekettet, damit er nicht gestohlen werden kann?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen Leitfaden zu den technischen und organisatorischen Massnahmen (TOM) aktualisiert und erweitert. Eine Massnahme, die der EDÖB nennt, ist das Anketten von Computern im Büro.

Mit den TOM bezieht sich der EDÖB nicht allein auf die Gewährleistung der Datensicherheit (Art. 8 Abs. 1 DSG), sondern auf das Datenschutz-Management im Allgemeinen (Art. 7 Abs. 1 DSG).

«Der Leitfaden soll», so der EDÖB, «dabei helfen, Massnahmen zu realisieren, die einen optimalen und angemessenen Schutz der Personendaten sicherstellen und den aktuellen Regulierungen und Standards entsprechen.»

Gleichzeitig soll der Leitfaden keinerlei Verbindlichkeit haben:

«[Der Leitfaden] ist kein Rechtsratgeber. Zwar werden darin die wichtigsten Vorgaben des Datenschutzgesetzes wiedergegeben, dies aber vor allem zu Informationszwecken. Der Leitfaden soll diese gesetzlichen Vorgaben weder ausführen, kommentieren noch präzisieren. Er ist somit keine Grundlage für die Anwendung oder Auslegung dieser Regeln.»

Die fehlende Verbindlichkeit ist bedeutsam, denn einiges im Leitfaden entspricht nicht dem geltenden Datenschutzrecht in der Schweiz. Dabei ist problematisch, dass der EDÖB nicht zwischen der Rechtslage und seinen Wünschen unterscheidet.

So wünscht der EDÖB, dass Cookie-Banner nach europäischem Vorbild verwendet werden, was im Widerspruch zum neuen Datenschutzgesetz (DSG) und zum Fernmeldegesetz (FMG) in der Schweiz steht. Im Zusammenhang mit der Nutzung von Cloud-Software wirkt der Leitfaden einseitig und erinnert an Diskussionen aus den Anfangszeiten von Software as a Service (SaaS). Beim Grundsatz der Rechtmässigkeit geht der EDÖB klar über die Rechtslage gemäss «Helsana+»-Rechtsprechung hinaus.

Gleichzeitig bieten beispielsweise die Klarstellung zur Anonymisierung («Personendaten unumkehrbar so zu verändern, dass sie ohne unverhältnismässigen Aufwand nicht mehr Rückschlüsse auf eine konkrete Person zulassen») und die Übersicht, welche Bedeutung ISO 27001 und andere Standards haben können, eine nützliche Orientierungshilfe.

EDÖB-Leitfaden: Hilfreich trotz fehlender Verbindlich­keit?

Wie hilfreich ist der Leitfaden unter diesen Umständen für Verantwortliche, die das schweizerische Datenschutzrecht umsetzen müssen?

An einem Webinar für Mitglieder der Datenschutzpartner Academy beleuchtete ich ausführlich diese Frage.

Im Webinar erklärte ich, wie der Leitfaden funktioniert (Informationen, Massnahmen) und präsentierte aufgrund von neun Themen, was im Leitfaden – im Guten wie im Schlechten – bemerkenswert ist:

  1. Grundsatz der Rechtmässigkeit 🤔
  2. Identifizierbarkeit von Personen 💡
  3. Standards bzw. Zertifizierungen 💡
  4. Grundsatz der Datenminimierung 🤔
  5. Recht auf Auskunft 💡
  6. Infrastruktur: Arbeitsplatz, Cloud, Räumlichkeiten  🙄
  7. Auftragsbearbeitung 💡
  8. Datenvernichtung 🙄
  9. Cookies auf Websites 😬

Fazit: Hilfreicher Leitfaden, aber mit kritischem Mitdenken

Mein Fazit zum Leitfaden, der gar kein Leitfaden sein möchte:

  • Es ist hilfreich zu erfahren, wie der EDÖB und sein Team denken ✅
  • Nicht hilfreich ist die fehlende Unterscheidung zwischen Rechtslage und Wünschen ❌
  • Hilfreich sind die vielen Denkanstösse und Hinweise auf weiterführende Informationen ✅
  • Manche Informationen und Massnahmen sind realitätsfremd oder veraltet ❌

Alles in allem muss man den Leitfaden kennen, aber immer kritisch mitdenken können.

Wer den Leitfaden umsetzt, wird gegenüber dem EDÖB oder sonstigen Behörden bei einem Verfahren darauf verweisen können. Der EDÖB wird sich trotz der behaupteten Unverbindlichkeit nicht ohne Weiteres vom eigenen Leitfaden distanzieren können. Wer den Leitfaden nicht kritisch genug umsetzt, betreibt aber allenfalls Aufwand für Massnahmen, die nicht erforderlich oder nicht zielführend sind.

Weiterführende Informationen: «Datenschutz Plaudereien» und Webinar

Mitglieder der Datenschutzpartner Academy können das aufgezeichnete Webinar mit den Folien und weiterführenden Informationen abrufen.

Im «Datenschutz Plaudereien»-Podcast thematisierte ich den Leitfaden im Nachgang zum erwähnten Webinar im Gespräch mit Andreas Von Gunten, Unternehmer und Mitgründer von Datenschutzpartner:

In den «Datenschutz Plaudereien» diskutierte ich ferner mit David Rosenthal (VISCHER), wie verbindlich die Meinung des EDÖB zu Themen wie Cookies oder Künstlicher Intelligenz ist:

Siehe auch: EDÖB: Neuauflage des Leitfadens zu den TOMs (datenrecht.ch)

Bild: OpenAI / ChatGPT 4.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.