SlideShare ist ein Scribd-Unternehmen logo
1 von 47
Downloaden Sie, um offline zu lesen
Betrachtung verschiedener rechtlicher Fragen
Reto C. Zbinden, Rechtsanwalt, Chief Executive Officer
Hacking Day - Datenschutz 2014
Datenschutzrechtliche Anforderungen und deren Umsetzung
Einführung
Datenschutz
 Das Bundesgesetz über den Datenschutz (DSG) bezweckt den Schutz der
Persönlichkeit und der Grundrechte von Personen, über welche Daten bearbeitet
werden.
 Personendaten:
 Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Zweck und Begriffserläuterungen I
2014 Digicomp Hacking Day 3
Datenschutz
Besonders schützenswerte
Personendaten:
 die religiösen, weltanschaulichen,
politischen oder gewerkschaftlichen
Ansichten oder Tätigkeiten,
 die Gesundheit, die Intimsphäre oder
die Rassenzugehörigkeit,
 Massnahmen der sozialen Hilfe,
 administrative oder strafrechtliche
Verfolgungen und Sanktionen
Persönlichkeitsprofil:
 Zusammenstellung von Daten, die
eine Beurteilung wesentlicher Aspekte
der Persönlichkeit einer natürlichen
Person erlaubt.
Zweck und Begriffserläuterungen II
2014 Digicomp Hacking Day 4
Datenschutz- Registrierung einer Datensammlung
 Bestand von Personendaten, der auf mehr als eine Person Bezug nimmt und nach
betroffenen Personen erschlossen werden kann.
 Datensammlungen müssen beim EDÖB zur Registrierung angemeldet werden,
wenn ohne gesetzliche Pflicht:
 Entweder besonders schützenswerte Personendaten oder Bearbeitung von
Persönlichkeitsprofilen oder
 Bekanntgabe von Personendaten an Dritte.
 Diverse Ausnahmen von der Registrierungspflicht, u.a.
 Wenn der Dateninhaber einen Datenschutzverantwortlichen bezeichnet hat, der
unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und
ein Verzeichnis der Datensammlungen führt.
Datensammlung
2014 Digicomp Hacking Day 5
„Betrieblicher Datenschutzverantwortlicher “ Int. Datenschutzbeauftragter
 Inventar der Datensammlungen
 Überprüfung der Einhaltung des DSG
 Koordination des Auskunftsprozedere
 Erarbeitung und Durchsetzung der technischen und organisatorischen
Massnahmen
 Periodische Kontrollen
 Ausbildung, Information und Sensibilisierung relevanter Stelle
 Förderung des integralen Sicherheitsdenkens
2014 Digicomp Hacking Day 7
Auskunftsrecht 1/2
Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber
verlangen, ob Daten über sie bearbeitet werden.
Der Inhaber der Datensammlung muss ihr mitteilen:
 alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der
verfügbaren Angaben über die Herkunft der Daten;
 den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie
 die Kategorien der bearbeiteten Personendaten, der an der Sammlung
Beteiligten und der Datenempfänger.
Daten über die Gesundheit kann der Inhaber der Datensammlung der
betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen.
2014 Digicomp Hacking Day 8
Auskunftsrecht 2/2
 Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten
bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig,
wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der
Schweiz hat.
 Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer
Fotokopie sowie kostenlos zu erteilen. Der Bundesrat regelt die Ausnahmen.
 Niemand kann im Voraus auf das Auskunftsrecht verzichten.
2014 Digicomp Hacking Day 9
 Bei grenzüberschreitenden Bekanntgaben sind
strenge Vorgaben zu beachten
 Das Gesetz listet abschliessend auf, unter welchen
Voraussetzungen Personendaten an ausländische
Staaten bekanntgegeben werden dürfen, wenn diese
keine Datenschutzgesetzgebung kennen, die einen
angemessenen Schutz gewährleistet.
 Bei der Beauftragung von Dritten muss sich der
Auftraggeber über die Einhaltung der
Sicherheitsmassnahmen vergewissern.
Outsourcing: Transfer ins Ausland
Datenschutz
Digicomp Hacking Day2014
DSG Datensicherheit
Personendaten sind durch angemessene
technische und organisatorische
Massnahmen gegen unbefugtes
Bearbeiten zu schützen.
Art. 7 DSG
2014 Digicomp Hacking Day 11
DSG & Datensicherheit: Massnahmen
Sie tragen folgenden Aspekten Rechnung:
 Zweck der Bearbeitung
 Art und Umfang der Bearbeitung
 Schätzung der möglichen Risiken für die betroffenen Personen
 gegenwärtiger Stand der Technik
Die Massnahmen müssen verhältnismässig sein.
2014 Digicomp Hacking Day 12
 wer den Auskunfts-, Melde- und Mitwirkungs-
pflichten vorsätzlich nicht, falsch oder unvollständig
nachkommt,
 vorsätzlich eine falsche oder unvollständige Auskunft
erteilt,
 wer vorsätzlich geheime, besonders schützenswerte
Personendaten oder
 Persönlichkeitsprofile unbefugt bekannt gibt
(Geheimhaltungspflicht).
Strafbar macht sich (auf Antrag):
Strafbestimmungen des DSG
2014 Digicomp Hacking Day
Datenschutz
 Vereinbarung und regelmässige Überprüfung der Sicherheitsmassnahmen mit
Outsourcing-Partnern
 Vorsicht bei der Weitergabe oder Bekanntgabe von Daten an Dritte oder ins
Ausland
 Erarbeitung und Kommunikation einer Privacy Policy
 Aufnahme der jeweiligen Verarbeitungen in die AGB‘s
 Speichern Sie keine besonders schützenswerten Informationen, wenn nicht
unbedingt notwendig
 Bezeichnen Sie einen Datenschutzverantwortlichen, der ein Inventar der
Datensammlungen führen muss
Zusammenfassung
2014 Digicomp Hacking Day 14
Elektronische Archivierung
Einige ausgewählte Fragen
Rechtsbereiche
 Historische Gründe
 Beweiszweck
 Begründung von Ansprüchen
 Unberechtigte Ansprüche abwehren
Forderungen durch den Gesetzgeber
 OR 957-962 (10 Jahre, Art. 958f OR)
 Darstellung der Vermögenslage
 Buchungsbelege (Rechnungen)
 BÜPF ?
 Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs
 Eng auszulegen
 Spezialgesetze
Allgemeine Anforderungen
2014 Digicomp Hacking Day 16
Übersicht Revision GeBüV
 Allg. Geschäftsbücher, Belege und Korrespondenz können in elektronischer
Form geführt, bearbeitet, aufgezeichnet und aufbewahrt werden
 Bei der Aufzeichnung und Aufbewahrung von Geschäftsunterlagen sind die
Grundsätze der ordnungsgemässen Buchführung einzuhalten
 Ordnungsgemäss aufgezeichnete und aufbewahrte elektronische
Geschäftsunterlagen haben die gleiche Beweiskraft wie ohne Hilfsmittel
lesbare Dokumente
 Elektronische Aufzeichnungen werden strafrechtlich als Urkunden anerkannt
und geniessen dadurch rechtlich den Schutz gegen unerlaubten Zugriff,
Zerstörung und Veränderung
Seit dem 1. Juni 2002
2014 Digicomp Hacking Day 17
Beweiskraft II
Mit der Revision ist der
Kreis der Unterlagen, die denselben Beweiswert wie
Schrifturkunden haben, auf Dokumente ausgedehnt
worden, die den Anforderungen der GeBüV bzw. der
EIDI-V entsprechen.
Grundsatz der freien Beweiswürdigung
Beweiskraft
 Nachweis der ordnungsgemässen Aufzeichnung
und Aufbewahrung
 Erhebungen über die Entstehung und die näheren
Umstände der Aufzeichnung
 Wahrheitsgehalt der auf den Medien
aufgezeichneten Informationen
Unklar ist Art der Eingabe des Beweismittels
 Sachverständigengutachten oder
 Eigene richterliche Infrastruktur
Pflicht zur Vorlegung von Originalen
 Entfällt, wenn Aufbewahrung auf Bild- und
Datenträgern erlaubt ist
 keine nachteiligen Rechtsfolgen für eine Partei oder
einen Dritten zulässig sind
Fazit:
Zur Stärkung des Beweiswertes muss vor
Gericht die umfassende Einhaltung der
einschlägigen Vorschriften, insbesondere
GeBüV, aufgezeigt werden können, dies
bedingt u.a. die umfassende
Dokumentation der Verfahren und Prozesse.
18
Geschäftsbücherverordnung (GeBüV)
Neben einem Verweis auf die allgemeinen Grundsätze der ordnungsgemässen
Buchführung, die in jedem Falle eingehalten werden müssen, bestimmt Art. 2
Abs. 2, dass bei elektronischer Führung und Aufbewahrung der Bücher, Belege
und Geschäftskorrespondenz überdies die Grundsätze der ordnungsgemässen
Datenverarbeitung zu beachten sind. Die Ordnungsmässigkeit der Führung und
der Aufbewahrung der Bücher richtet sich gemäss Abs. 3 nach den allgemein
anerkannten Regelwerken und Fachempfehlungen, sofern diese Verordnung
oder darauf gestützte Erlasse keine Vorschrift enthalten
Ordnungsgemässe Datenverarbeitung
2014 Digicomp Hacking Day 19
Geschäftsbücherverordnung (GeBüV)
Archivierte Informationen müssen so erfasst und aufbewahrt werden, dass sie
nicht geändert werden können, ohne dass sich dies feststellen lässt
Inventarisierung, Zugriff, Zutritt
Gemäss Art. 8 sind die Informationen systematisch zu inventarisieren und vor
unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen.
Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die
Datenträger.
Schutz Integrität
2014 Digicomp Hacking Day 20
Geschäftsbücherverordnung (GeBüV)
Die archivierten Informationen sind sorgfältig, geordnet und vor schädlichen
Einwirkungen geschützt aufzubewahren.
Die aufbewahrten Unterlagen müssen ausserdem jederzeit innert angemessener
Frist eingesehen und geprüft werden können.
Trennung, Verantwortung
Archivierte Informationen sind von den aktuellen Informationen zu trennen
bzw. so zu kennzeichnen, dass eine Unterscheidung möglich ist.
Die Verantwortung für die archivierten Informationen ist klar zu regeln und zu
dokumentieren.
Schutz
2014 Digicomp Hacking Day 21
Geschäftsbücherverordnung (GeBüV)
Die Organisation, die Zuständigkeiten, die Abläufe und Verfahren und die
Infrastruktur (Maschinen und Programme), die bei der Archivierung zur
Anwendung kommen, sind in Arbeitsanweisungen so zu dokumentieren, dass
die Geschäftsbücher und die Buchungsbelege verstanden werden können.
Zur Stärkung des Beweiswertes muss vor Gericht die umfassende Einhaltung der
einschlägigen Vorschriften, insbesondere GeBüV, aufgezeigt werden können,
dies bedingt u.a. die hier dargestellte umfassende Dokumentation der Verfahren
und Prozesse.
Dokumentation
2014 Digicomp Hacking Day 22
Detailbetrachtung E-Mail ( I )
 Technische Kapazitätsprobleme
 Zunahme des externen und internen E-Mail Verkehrs (Tendenz steigend)
 Rechtliche Vorgaben
 Gesetzliche Pflicht zur Archivierung, Probleme bei privaten Mails
 Telefonnotizen, Interne Schriftstücke und E-Mails, sofern
 für die interne Verwaltung eines Unternehmens oder Rechtsbeziehung mit Dritten
von Bedeutung sind.
 Regulatorische Verschärfung absehbar
 Beweiskraft
 Beweiskraft von ungeschützten Speicherungen (lokal/Server) und Papierausdrucken
ist nicht gegeben, da nicht fälschungssicher
 Begründung von Rechten und Pflichten ist nach schweizerischem Recht an keine
bestimmte Form, insbesondere nicht an die Schriftform gebunden (Art. 11 Abs. 1 OR),
können mit E-Mails ohne weiteres rechtsverbindliche Erklärungen abgegeben werden,
analog für Telefon
Motivation der E-Mail-Archivierung
2014 Digicomp Hacking Day 25
Regeln der digitalen Forensik und ihre Grenzen
Was tun wenn es Probleme gibt?
Beweisrecht
 Beweisgegenstand
 Zu beweisen sind Tatsachen (Zustände, Handlungen, Ursachen und Wirkungen), bei
deren Verwirklichung die Rechtsfolge eintritt
 Beweislast
 Die Beweislast für eine bestimmte Tatsache trägt derjenige, der aus dieser Tatsache für
sich eine Rechtsfolge ableitet
 Recht auf Beweis
 Es besteht Anspruch auf Abnahme von Beweisen, die dem Gericht zum Nachweis einer
rechtserheblichen Tatsache frist- und formgerecht angeboten worden sind
 Beweismittel (Urkunden)
 Schriften, die bestimmt und geeignet sind, oder Zeichen, die bestimmt sind, eine
Tatsache von rechtlicher Bedeutung zu beweisen. Die Aufzeichnung auf Bild- und
Datenträgern steht der Schriftform gleich, sofern sie demselben Zweck dient.
2014 Digicomp Hacking Day 27
Beweisrechtliche Aspekte der Schweizerischen Strafprozessordnung
 Jede Person gilt bis zu ihrer rechtskräftigen Verurteilung als unschuldig.
 Das Gericht würdigt die Beweise frei nach seiner aus dem gesamten Verfahren
gewonnenen Überzeugung. (Art. 10 StPO)
 Die Strafbehörden setzen zur Wahrheitsfindung alle nach dem Stand von
Wissenschaft und Erfahrung geeigneten Beweismittel ein, die rechtlich zulässig
sind. (Art. 139 StPO)
 Die Strafbehörden nehmen die Beweisgegenstände vollständig und im
Original zu den Akten. Von Urkunden und weiteren Aufzeichnungen werden
Kopien erstellt, wenn dies für die Zwecke des Verfahrens genügt. Die Kopien
sind nötigenfalls zu beglaubigen. (Art. 192 StPO)
 Zwangsmassnahmen sind Verfahrenshandlungen der Strafbehörden, die in
Grundrechte der Betroffenen eingreifen und die dazu dienen: Beweise zu
sichern. (Art. 196 StPO)
 Zur Durchsetzung von Zwangsmassnahmen darf als äusserstes Mittel Gewalt
angewendet werden; diese muss verhältnismässig sein. (Art. 200 StPO)
2014 Digicomp Hacking Day 28
Ziele einer forensischen Untersuchung
 Definition
IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf
Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter
Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus
der Sicht des Anlagenbetreibers eines IT-Systems.
Leitfaden „IT-Forensik“, Version 1.0.1 (März 2011), BSI
 Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt
haben könnte
 Ermittlung des entstandenen Schadens nach einem Systemeinbruch
 Identifikation des Angreifers
 Sicherung der Beweise für weitere juristische Aktionen
2014 Digicomp Hacking Day 29
Ziel der forensischen Untersuchung
 Was ist geschehen?
 Wo ist es passiert?
 Wann ist es passiert?
 Wie ist es passiert?
Zusätzlich evtl. (Strafverfolgung, Sicherheitsbewertung)
 Wer hat es getan?
 Was kann gegen eine Wiederholung getan werden?
2014 Digicomp Hacking Day 30
Methoden forensische Untersuchung
 Post-mortem-Analyse (Offline-Forensik)
 Nachträgliche Aufklärung Vorfall
 Untersuchung von Datenträgerabbildern («Images») auf nichtflüchtige Spuren
 Gewinnung und Untersuchung von gelöschten, umbenannten sowie anderweitig
versteckten und verschlüsselten Dateien von/auf Massenspeichern.
 Live-Forensik (Online-Forensik)
 während Laufzeit des Vorfalls
 Gewinnung und Untersuchung flüchtiger Daten
 Hauptspeicherinhalt
 Informationen über bestehende Netzwerkverbindungen
 gestartete Prozesse.
2014 Digicomp Hacking Day 31
Die Schritte einer forensischen Untersuchung
 Strategische Vorbereitung (mit was?)
 Operationale Vorbereitung (wie?)
 Datensammlung
 Datenuntersuchung
 Datenanalyse
 Dokumentation
2014 Digicomp Hacking Day 32
Anforderungen forensische Untersuchung
 Akzeptanz
 Methoden und Schritte in der Fachwelt beschrieben und akzeptiert
 Glaubwürdigkeit
 Die Robustheit und Funktionalität der Methoden, ggfs. nachzuweisen
 Wiederholbarkeit
 Hilfsmittel und Methoden müssen bei Wiederholung mit demselben Material
dieselben Ergebnisse ergeben
 Integrität
 Sichergestellte Spuren dürfen durch die Untersuchung nicht unbemerkt verändert
worden sein. Die Sicherung der Integrität digitaler Beweise muss jederzeit belegbar
sein.
 Ursache und Auswirkungen
 Die Auswahl der Methoden muss logisch nachvollziehbare Verbindungen zwischen
Ereignissen und Beweisspuren und evtl. Personen herstellen.
 Dokumentation
 Jeder Schritt des Ermittlungsprozesses muss angemessen dokumentiert werden.
2014 Digicomp Hacking Day 33
Anforderungen forensische Untersuchung - Dokumentation
 Die Authentizität der erhobenen Daten und des Vorgehens des Forensikers
muss gewährleistet sein.
 Die Dokumentation muss die unternommenen Schritte innerhalb der
gesamten forensischen Untersuchung (d.h. wer tat wann was) und daraus
gewonnenen Resultate darlegen.
 Zusätzlich muss ein lückenloser Nachweises über den Verbleib von digitalen
Spuren und der Ergebnisse der daran vorgenommenen Untersuchungen
(engl. Chain of custody) erbracht werden.
 Es muss sichergestellt werden, dass zu jedem Zeitpunkt beginnend mit der
Erfassung der digitalen Beweisspuren ein potentieller Missbrauch bzw. eine
Verfälschung nachgewiesen werden kann.
2014 Digicomp Hacking Day 34
Die Datensammlung
 Sammlung wichtiger Daten potentiell betroffener Komponenten
 Durchführung der Datensammlung ist zu dokumentieren
 Sammlung muss derart erfolgen, dass vollständige Erfassung und Speicherung
erfolgt und keine Datenverfälschung vorkommt
 Dokumentation von Veränderungen bzw. unvollständigen Datensammlungen
Erläuterung im Rahmen der abschliessenden Dokumentation
 Bewertung von Verfälschungsgrad und dessen Bedeutung beeinflusst Beweiskraft
 Datensammlung in der Reihenfolge ihrer Flüchtigkeit
 Forensisches Duplikat von allen betroffenen Massenspeichern
 Ablauf der Datengewinnung ist umfassend zu dokumentieren
2014 Digicomp Hacking Day 35
Die forensische Duplikation eines Datenträgerabbildes ( Image ) 1/3
 Forensische Duplikation generell erforderlich
 Resultat ist 1:1-Kopie des Datenträgers, an welchem verschiedene
Untersuchungsschritte mehrfach und ohne Veränderung der Originaldaten
ausgeführt werden können
 Gibt auch Möglichkeit der Parallelisierung, d. h. mehrere Personen können
denselben Datenträgerinhalt nach unterschiedlichen Gesichtspunkten und mit
unterschiedlichen Methoden und Werkzeugen untersuchen
 Die Unverändertheit des Dateninhalts eines Datenträgers ist eine absolute
Notwendigkeit, wenn dieser ein Beweisstück eines juristischen Prozesses ist
2014 Digicomp Hacking Day 36
Die forensische Duplikation eines Datenträgerabbildes ( Image ) 2/3
Anforderungen an eine forensische Duplikation:
 Physische Kopie - Eine physische Kopie des Datenträgers ist herzustellen, d. h. der
gesamte Sektorinhalt aller Sektoren des Datenträgers wird in die Datei
hineingeschrieben
 Fehlerbehandlung - Lesefehler müssen eindeutig erkannt und protokolliert werden
und durch vorher festgelegte Füllmuster ersetzt werden
 Vollständigkeit des Abbildes – Damit ein vollständiges Abbild erhalten wird, müssen
reservierte Bereiche von Massenspeichern sicher erkannt und für den Zeitpunkt
der Abbilderstellung deaktiviert werden
 Unverändertheit - Die Erstellung des Abbildes muss mit der Berechnung einer
kryptographischen Checksumme abgeschlossen werden, um die Unverändertheit
nachweisen zu können
2014 Digicomp Hacking Day 37
Die forensische Duplikation eines Datenträgerabbildes ( Image ) 3/3
 Einsatz von Hardware-basierten Writeblockern zu Sicherstellung, dass auf
betroffene Datenträger nur lesend zugegriffen werden kann
 Nur der Writeblocker-Einsatz, zwischen Datenträger und Schnittstelle des
betroffenen Systems, unterbindet Schreibzugriff wirksam
 Nach Erstellung des Abbildes Berechnung einer kryptographischen Hashsumme
über Originaldatenträger UND Image
 Übereinstimmende Checksummen belegen korrekte Ausführung der forensischen
Duplikation und liefern so beweissichere Basis für die weiteren forensischen
Untersuchungen
2014 Digicomp Hacking Day 38
Die Benutzerweisung als Problemlöser
Obelix’ Zaubertrank?
Schaffen Sie eine Win - Win - Situation !
 Benutzungsweisung IT Mittel, unter Einschluss Internet und E-Mail
 Erfüllung der gesetzlichen Vorgaben
 Wahrnehmung der Sorgfalt seitens Management
zum Schutz der unternehmenseigenen Informationen
 Vereinbarung der Zugriffsrechte im Notfall und Verfahren
 Schutz der Administratoren durch Festlegung der
Rechte und Pflichten der IT-Abteilung und Administratoren
 Klare Festlegung der Verfahren: Wer entscheidet auf
wessen Antrag über welche Zugriffe und Datenempfänger
 Darlegung sämtlicher Protokollierungen
 Darlegung der Archivierungsregeln
 Einverständniserklärung des Mitarbeitenden notwendig
 ‚Jeder weiss, was Sache ist.‘
Schaffen Sie Transparenz und Sicherheit
2014 Digicomp Hacking Day 42
Anforderungen seitens Arbeitgeber
 Wer hat was wann wo gemacht?
 Schutz der Systeme und der Reputation
 Legalisierung bereits bestehender Überwachungsmechanismen und
Verdachtsmomente
Archivierung
Nachvollziehbarkeit
Zurechenbarkeit, Beweiskraft
Zugriff im Notfall
 Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden
falls keine Stellvertreter-Regelung besteht
 Private Laufwerk des Arbeitnehmenden
Systemprotokollierung
2014 Digicomp Hacking Day 43
Anforderungen ( ohne «Deal »)
 Wahrung des Briefgeheimnisses
 Achtung persönlicher Sachen
 Keine systematische Leistungskontrolle
 Kein Zugriff auf private E-Mails und keine
personenbezogene Auswertung des „Surfens“
 Personenbezogene Protokollierung nur zulässig basierend auf
Überwachungsreglement und „Vorwarnung“
 Schutz der Privatsphäre
 Protokollierung der privaten Kommunikation ist i.d.R. unzulässig
 Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines
Rechtfertigungsgrundes zulässig (Art. 13 DSG)
Privatsphäre des Arbeitnehmers
2014 Digicomp Hacking Day 44
Zulässige Protokollierung durch Arbeitgeber
 Rechtfertigungsgründe
 Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung
und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich
beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.
 Einblick in private Daten durch Arbeitgeber: unzulässig
 Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden
wird, ist der höhere Schutzstandard zu beachten!
 Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig
 Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als
widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich
beurteilt werden
 Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B.
missbräuchliche Kündigung nach Art. 336 OR)
(ohne «Deal»)
2014 Digicomp Hacking Day 45
Monitoring / Logging im Arbeitsverhältnis
 Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen
sowie stichprobenartige pseudonymisierte Auswertungen der Protokollierungen,
um zu überprüfen, ob das Nutzungsreglement eingehalten wird
 Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt sich
in zwei Phasen:
 Nichtpersonenbezogene Überwachung;
 Personenbezogene Überwachung.
Auswertung von Protokolldaten im Arbeitsverhältnis (1/3)
2014 Digicomp Hacking Day 46
Monitoring / Logging im Arbeitsverhältnis
 Grundsatz: Statt die Arbeitnehmer zu überwachen sollen technische
Schutzmassnahmen gesetzt, die unerwünschtes Surfen in Grenzen halten und das
Unternehmen vor technischem Schaden schützen. Nur wenn ein Missbrauch so
nicht verhindert werden kann, dürfen nach Erlass eines Nutzungsreglementes und
nach vorheriger Information im Einzelfall personenbezogene Auswertungen der
Protokollierungen vorgenommen werden.
 Fehlt ein Missbrauch und eine vorherige Information,
dürfen die Internet- und E-Mail-Protokollierungen
nur in anonymer oder pseudonymer Weise
ausgewertet werden.
Auswertung von Protokolldaten im Arbeitsverhältnis (2/3)
2014 Digicomp Hacking Day 47
Monitoring / Logging im Arbeitsverhältnis
 Ob Protokollierungen eingesetzt werden dürfen, wer und wie lange darauf Zugriff
hat, muss nach den Kriterien der Zweck- und Verhältnismässigkeit entschieden
werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren Zweck, Inhalt
und Aufbewahrungsdauer sollte aus Transparenzgründen im internen
Überwachungsreglement erwähnt werden.
 Wenn präventive Massnahmen den Schutz sensibler
Personendaten nicht gewährleisten, können
Protokollierungen notwendig sein
(Art. 10 Verordnung zum Datenschutzgesetz,
VDSG, SR 235.11).
Auswertung von Protokolldaten im Arbeitsverhältnis (3/3)
2014 Digicomp Hacking Day 48
Inhalt Acceptable Use Policy
 Information, dass Auswertungen stattfinden.
 Information, dass personenbezogene, teilweise automatisierte
Auswertungen stattfinden.
 Somit werden auch intensivere Inhouse-Ermittlungen ermöglicht und
legalisiert
 Einverständnis des Mitarbeitenden
AUP
2014 Digicomp Hacking Day 49
Wichtige Anmerkungen
 Mitarbeitende müssen schriftlich ihr Einverständnis geben
 Beweiszeck
 Achtung: Einverständniserklärung könnte widerrufen werden
 Mitarbeitende können Löschung privater Daten verlangen
 Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt
 E Mail Archivierung!
 Sollten private oder als privat markierte E-Mails der Mitarbeitenden
archiviert worden sein, haben die MA das Recht, diese löschen zu lassen
(selbst einzelne E-Mails)
 Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass
Management seinerseits hinter den definierten Regeln steht, diese
vorlebt und selber auch einhält
!!!
2014 Digicomp Hacking Day 50
Resultat
 Privatsphäre der Mitarbeiter ist geschützt
 Unternehmensinteressen bleiben gewahrt
 Handelnde Personen kennen ihre Rechte und Pflichten und
verstossen nicht gegen Gesetze oder die Rechte der Betroffenen
 Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang
mit IT Mitteln sind klar definiert.
2014 Digicomp Hacking Day 51
Ihre Lösung beginnt mit einem Kontakt bei uns:
+41 41 984 12 12, infosec@infosec.ch
reto.zbinden@infosec.ch | +41 (0)79 446 83 00
VIELEN DANK

Weitere ähnliche Inhalte

Was ist angesagt?

EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzMichael Lanzinger
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerPraetor Intermedia
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Michael Lanzinger
 

Was ist angesagt? (20)

EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Wpcgn dsgvo
Wpcgn dsgvoWpcgn dsgvo
Wpcgn dsgvo
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Jugsauerland dsgvo
Jugsauerland dsgvoJugsauerland dsgvo
Jugsauerland dsgvo
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für Webworker
 
2011 01 06 13-00 maria winkler
2011 01 06 13-00 maria winkler2011 01 06 13-00 maria winkler
2011 01 06 13-00 maria winkler
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
 

Andere mochten auch

B&IT-Broschüre: Training Projektmanagement (2 Tage)
B&IT-Broschüre: Training Projektmanagement (2 Tage)B&IT-Broschüre: Training Projektmanagement (2 Tage)
B&IT-Broschüre: Training Projektmanagement (2 Tage)Wolfgang Hornung
 
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...AllFacebook.de
 
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...Digicomp Academy AG
 
12 Schritte zum Social Media Auftritt für KMU
12 Schritte zum Social Media Auftritt für KMU12 Schritte zum Social Media Auftritt für KMU
12 Schritte zum Social Media Auftritt für KMUDigicomp Academy AG
 
Lunch Briefing: Innovation Skills
Lunch Briefing: Innovation SkillsLunch Briefing: Innovation Skills
Lunch Briefing: Innovation SkillsDigicomp Academy AG
 
XING LearningZ: Keine angst vor pivot
XING LearningZ: Keine angst vor pivotXING LearningZ: Keine angst vor pivot
XING LearningZ: Keine angst vor pivotDigicomp Academy AG
 

Andere mochten auch (6)

B&IT-Broschüre: Training Projektmanagement (2 Tage)
B&IT-Broschüre: Training Projektmanagement (2 Tage)B&IT-Broschüre: Training Projektmanagement (2 Tage)
B&IT-Broschüre: Training Projektmanagement (2 Tage)
 
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...
Redaktion und Reichweite – Erfolgreiche Facebook Mediaschaltung durch redakti...
 
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...
Xing LearningZ: In 5 Schritten mit StoryPower mehr Sichtbarkeit am Markt erzi...
 
12 Schritte zum Social Media Auftritt für KMU
12 Schritte zum Social Media Auftritt für KMU12 Schritte zum Social Media Auftritt für KMU
12 Schritte zum Social Media Auftritt für KMU
 
Lunch Briefing: Innovation Skills
Lunch Briefing: Innovation SkillsLunch Briefing: Innovation Skills
Lunch Briefing: Innovation Skills
 
XING LearningZ: Keine angst vor pivot
XING LearningZ: Keine angst vor pivotXING LearningZ: Keine angst vor pivot
XING LearningZ: Keine angst vor pivot
 

Ähnlich wie Aktuelle Rechtsfragen rund um IT und Sicherheit

Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteMichael Lanzinger
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzDigicomp Academy AG
 
Datenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalbDatenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalbJoanna Ludmila Rycko
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft bizVÖGB
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenMichael Danisch
 
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Dr. Oliver Massmann
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - RechtsfragenMichael Lanzinger
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016ehlaw
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Michael Lanzinger
 
datenschutz & web 3.0 28.04.2012
datenschutz & web 3.0   28.04.2012datenschutz & web 3.0   28.04.2012
datenschutz & web 3.0 28.04.2012Nancy Weber
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberEinführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberPraetor Intermedia
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCAllFacebook.de
 

Ähnlich wie Aktuelle Rechtsfragen rund um IT und Sicherheit (20)

Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutz
 
Datenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalbDatenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalb
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO Versicherungen
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
datenschutz & web 3.0 28.04.2012
datenschutz & web 3.0   28.04.2012datenschutz & web 3.0   28.04.2012
datenschutz & web 3.0 28.04.2012
 
Datenschutz 2014
Datenschutz 2014Datenschutz 2014
Datenschutz 2014
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberEinführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
DSGVO für Webworker
DSGVO für WebworkerDSGVO für Webworker
DSGVO für Webworker
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Aktuelle Rechtsfragen rund um IT und Sicherheit

  • 1. Betrachtung verschiedener rechtlicher Fragen Reto C. Zbinden, Rechtsanwalt, Chief Executive Officer Hacking Day - Datenschutz 2014
  • 2. Datenschutzrechtliche Anforderungen und deren Umsetzung Einführung
  • 3. Datenschutz  Das Bundesgesetz über den Datenschutz (DSG) bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über welche Daten bearbeitet werden.  Personendaten:  Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Zweck und Begriffserläuterungen I 2014 Digicomp Hacking Day 3
  • 4. Datenschutz Besonders schützenswerte Personendaten:  die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,  die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,  Massnahmen der sozialen Hilfe,  administrative oder strafrechtliche Verfolgungen und Sanktionen Persönlichkeitsprofil:  Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Zweck und Begriffserläuterungen II 2014 Digicomp Hacking Day 4
  • 5. Datenschutz- Registrierung einer Datensammlung  Bestand von Personendaten, der auf mehr als eine Person Bezug nimmt und nach betroffenen Personen erschlossen werden kann.  Datensammlungen müssen beim EDÖB zur Registrierung angemeldet werden, wenn ohne gesetzliche Pflicht:  Entweder besonders schützenswerte Personendaten oder Bearbeitung von Persönlichkeitsprofilen oder  Bekanntgabe von Personendaten an Dritte.  Diverse Ausnahmen von der Registrierungspflicht, u.a.  Wenn der Dateninhaber einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt. Datensammlung 2014 Digicomp Hacking Day 5
  • 6. „Betrieblicher Datenschutzverantwortlicher “ Int. Datenschutzbeauftragter  Inventar der Datensammlungen  Überprüfung der Einhaltung des DSG  Koordination des Auskunftsprozedere  Erarbeitung und Durchsetzung der technischen und organisatorischen Massnahmen  Periodische Kontrollen  Ausbildung, Information und Sensibilisierung relevanter Stelle  Förderung des integralen Sicherheitsdenkens 2014 Digicomp Hacking Day 7
  • 7. Auskunftsrecht 1/2 Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss ihr mitteilen:  alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten;  den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie  die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger. Daten über die Gesundheit kann der Inhaber der Datensammlung der betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen. 2014 Digicomp Hacking Day 8
  • 8. Auskunftsrecht 2/2  Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der Schweiz hat.  Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Der Bundesrat regelt die Ausnahmen.  Niemand kann im Voraus auf das Auskunftsrecht verzichten. 2014 Digicomp Hacking Day 9
  • 9.  Bei grenzüberschreitenden Bekanntgaben sind strenge Vorgaben zu beachten  Das Gesetz listet abschliessend auf, unter welchen Voraussetzungen Personendaten an ausländische Staaten bekanntgegeben werden dürfen, wenn diese keine Datenschutzgesetzgebung kennen, die einen angemessenen Schutz gewährleistet.  Bei der Beauftragung von Dritten muss sich der Auftraggeber über die Einhaltung der Sicherheitsmassnahmen vergewissern. Outsourcing: Transfer ins Ausland Datenschutz Digicomp Hacking Day2014
  • 10. DSG Datensicherheit Personendaten sind durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen. Art. 7 DSG 2014 Digicomp Hacking Day 11
  • 11. DSG & Datensicherheit: Massnahmen Sie tragen folgenden Aspekten Rechnung:  Zweck der Bearbeitung  Art und Umfang der Bearbeitung  Schätzung der möglichen Risiken für die betroffenen Personen  gegenwärtiger Stand der Technik Die Massnahmen müssen verhältnismässig sein. 2014 Digicomp Hacking Day 12
  • 12.  wer den Auskunfts-, Melde- und Mitwirkungs- pflichten vorsätzlich nicht, falsch oder unvollständig nachkommt,  vorsätzlich eine falsche oder unvollständige Auskunft erteilt,  wer vorsätzlich geheime, besonders schützenswerte Personendaten oder  Persönlichkeitsprofile unbefugt bekannt gibt (Geheimhaltungspflicht). Strafbar macht sich (auf Antrag): Strafbestimmungen des DSG 2014 Digicomp Hacking Day
  • 13. Datenschutz  Vereinbarung und regelmässige Überprüfung der Sicherheitsmassnahmen mit Outsourcing-Partnern  Vorsicht bei der Weitergabe oder Bekanntgabe von Daten an Dritte oder ins Ausland  Erarbeitung und Kommunikation einer Privacy Policy  Aufnahme der jeweiligen Verarbeitungen in die AGB‘s  Speichern Sie keine besonders schützenswerten Informationen, wenn nicht unbedingt notwendig  Bezeichnen Sie einen Datenschutzverantwortlichen, der ein Inventar der Datensammlungen führen muss Zusammenfassung 2014 Digicomp Hacking Day 14
  • 15. Rechtsbereiche  Historische Gründe  Beweiszweck  Begründung von Ansprüchen  Unberechtigte Ansprüche abwehren Forderungen durch den Gesetzgeber  OR 957-962 (10 Jahre, Art. 958f OR)  Darstellung der Vermögenslage  Buchungsbelege (Rechnungen)  BÜPF ?  Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs  Eng auszulegen  Spezialgesetze Allgemeine Anforderungen 2014 Digicomp Hacking Day 16
  • 16. Übersicht Revision GeBüV  Allg. Geschäftsbücher, Belege und Korrespondenz können in elektronischer Form geführt, bearbeitet, aufgezeichnet und aufbewahrt werden  Bei der Aufzeichnung und Aufbewahrung von Geschäftsunterlagen sind die Grundsätze der ordnungsgemässen Buchführung einzuhalten  Ordnungsgemäss aufgezeichnete und aufbewahrte elektronische Geschäftsunterlagen haben die gleiche Beweiskraft wie ohne Hilfsmittel lesbare Dokumente  Elektronische Aufzeichnungen werden strafrechtlich als Urkunden anerkannt und geniessen dadurch rechtlich den Schutz gegen unerlaubten Zugriff, Zerstörung und Veränderung Seit dem 1. Juni 2002 2014 Digicomp Hacking Day 17
  • 17. Beweiskraft II Mit der Revision ist der Kreis der Unterlagen, die denselben Beweiswert wie Schrifturkunden haben, auf Dokumente ausgedehnt worden, die den Anforderungen der GeBüV bzw. der EIDI-V entsprechen. Grundsatz der freien Beweiswürdigung Beweiskraft  Nachweis der ordnungsgemässen Aufzeichnung und Aufbewahrung  Erhebungen über die Entstehung und die näheren Umstände der Aufzeichnung  Wahrheitsgehalt der auf den Medien aufgezeichneten Informationen Unklar ist Art der Eingabe des Beweismittels  Sachverständigengutachten oder  Eigene richterliche Infrastruktur Pflicht zur Vorlegung von Originalen  Entfällt, wenn Aufbewahrung auf Bild- und Datenträgern erlaubt ist  keine nachteiligen Rechtsfolgen für eine Partei oder einen Dritten zulässig sind Fazit: Zur Stärkung des Beweiswertes muss vor Gericht die umfassende Einhaltung der einschlägigen Vorschriften, insbesondere GeBüV, aufgezeigt werden können, dies bedingt u.a. die umfassende Dokumentation der Verfahren und Prozesse. 18
  • 18. Geschäftsbücherverordnung (GeBüV) Neben einem Verweis auf die allgemeinen Grundsätze der ordnungsgemässen Buchführung, die in jedem Falle eingehalten werden müssen, bestimmt Art. 2 Abs. 2, dass bei elektronischer Führung und Aufbewahrung der Bücher, Belege und Geschäftskorrespondenz überdies die Grundsätze der ordnungsgemässen Datenverarbeitung zu beachten sind. Die Ordnungsmässigkeit der Führung und der Aufbewahrung der Bücher richtet sich gemäss Abs. 3 nach den allgemein anerkannten Regelwerken und Fachempfehlungen, sofern diese Verordnung oder darauf gestützte Erlasse keine Vorschrift enthalten Ordnungsgemässe Datenverarbeitung 2014 Digicomp Hacking Day 19
  • 19. Geschäftsbücherverordnung (GeBüV) Archivierte Informationen müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt Inventarisierung, Zugriff, Zutritt Gemäss Art. 8 sind die Informationen systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die Datenträger. Schutz Integrität 2014 Digicomp Hacking Day 20
  • 20. Geschäftsbücherverordnung (GeBüV) Die archivierten Informationen sind sorgfältig, geordnet und vor schädlichen Einwirkungen geschützt aufzubewahren. Die aufbewahrten Unterlagen müssen ausserdem jederzeit innert angemessener Frist eingesehen und geprüft werden können. Trennung, Verantwortung Archivierte Informationen sind von den aktuellen Informationen zu trennen bzw. so zu kennzeichnen, dass eine Unterscheidung möglich ist. Die Verantwortung für die archivierten Informationen ist klar zu regeln und zu dokumentieren. Schutz 2014 Digicomp Hacking Day 21
  • 21. Geschäftsbücherverordnung (GeBüV) Die Organisation, die Zuständigkeiten, die Abläufe und Verfahren und die Infrastruktur (Maschinen und Programme), die bei der Archivierung zur Anwendung kommen, sind in Arbeitsanweisungen so zu dokumentieren, dass die Geschäftsbücher und die Buchungsbelege verstanden werden können. Zur Stärkung des Beweiswertes muss vor Gericht die umfassende Einhaltung der einschlägigen Vorschriften, insbesondere GeBüV, aufgezeigt werden können, dies bedingt u.a. die hier dargestellte umfassende Dokumentation der Verfahren und Prozesse. Dokumentation 2014 Digicomp Hacking Day 22
  • 22. Detailbetrachtung E-Mail ( I )  Technische Kapazitätsprobleme  Zunahme des externen und internen E-Mail Verkehrs (Tendenz steigend)  Rechtliche Vorgaben  Gesetzliche Pflicht zur Archivierung, Probleme bei privaten Mails  Telefonnotizen, Interne Schriftstücke und E-Mails, sofern  für die interne Verwaltung eines Unternehmens oder Rechtsbeziehung mit Dritten von Bedeutung sind.  Regulatorische Verschärfung absehbar  Beweiskraft  Beweiskraft von ungeschützten Speicherungen (lokal/Server) und Papierausdrucken ist nicht gegeben, da nicht fälschungssicher  Begründung von Rechten und Pflichten ist nach schweizerischem Recht an keine bestimmte Form, insbesondere nicht an die Schriftform gebunden (Art. 11 Abs. 1 OR), können mit E-Mails ohne weiteres rechtsverbindliche Erklärungen abgegeben werden, analog für Telefon Motivation der E-Mail-Archivierung 2014 Digicomp Hacking Day 25
  • 23. Regeln der digitalen Forensik und ihre Grenzen Was tun wenn es Probleme gibt?
  • 24. Beweisrecht  Beweisgegenstand  Zu beweisen sind Tatsachen (Zustände, Handlungen, Ursachen und Wirkungen), bei deren Verwirklichung die Rechtsfolge eintritt  Beweislast  Die Beweislast für eine bestimmte Tatsache trägt derjenige, der aus dieser Tatsache für sich eine Rechtsfolge ableitet  Recht auf Beweis  Es besteht Anspruch auf Abnahme von Beweisen, die dem Gericht zum Nachweis einer rechtserheblichen Tatsache frist- und formgerecht angeboten worden sind  Beweismittel (Urkunden)  Schriften, die bestimmt und geeignet sind, oder Zeichen, die bestimmt sind, eine Tatsache von rechtlicher Bedeutung zu beweisen. Die Aufzeichnung auf Bild- und Datenträgern steht der Schriftform gleich, sofern sie demselben Zweck dient. 2014 Digicomp Hacking Day 27
  • 25. Beweisrechtliche Aspekte der Schweizerischen Strafprozessordnung  Jede Person gilt bis zu ihrer rechtskräftigen Verurteilung als unschuldig.  Das Gericht würdigt die Beweise frei nach seiner aus dem gesamten Verfahren gewonnenen Überzeugung. (Art. 10 StPO)  Die Strafbehörden setzen zur Wahrheitsfindung alle nach dem Stand von Wissenschaft und Erfahrung geeigneten Beweismittel ein, die rechtlich zulässig sind. (Art. 139 StPO)  Die Strafbehörden nehmen die Beweisgegenstände vollständig und im Original zu den Akten. Von Urkunden und weiteren Aufzeichnungen werden Kopien erstellt, wenn dies für die Zwecke des Verfahrens genügt. Die Kopien sind nötigenfalls zu beglaubigen. (Art. 192 StPO)  Zwangsmassnahmen sind Verfahrenshandlungen der Strafbehörden, die in Grundrechte der Betroffenen eingreifen und die dazu dienen: Beweise zu sichern. (Art. 196 StPO)  Zur Durchsetzung von Zwangsmassnahmen darf als äusserstes Mittel Gewalt angewendet werden; diese muss verhältnismässig sein. (Art. 200 StPO) 2014 Digicomp Hacking Day 28
  • 26. Ziele einer forensischen Untersuchung  Definition IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems. Leitfaden „IT-Forensik“, Version 1.0.1 (März 2011), BSI  Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte  Ermittlung des entstandenen Schadens nach einem Systemeinbruch  Identifikation des Angreifers  Sicherung der Beweise für weitere juristische Aktionen 2014 Digicomp Hacking Day 29
  • 27. Ziel der forensischen Untersuchung  Was ist geschehen?  Wo ist es passiert?  Wann ist es passiert?  Wie ist es passiert? Zusätzlich evtl. (Strafverfolgung, Sicherheitsbewertung)  Wer hat es getan?  Was kann gegen eine Wiederholung getan werden? 2014 Digicomp Hacking Day 30
  • 28. Methoden forensische Untersuchung  Post-mortem-Analyse (Offline-Forensik)  Nachträgliche Aufklärung Vorfall  Untersuchung von Datenträgerabbildern («Images») auf nichtflüchtige Spuren  Gewinnung und Untersuchung von gelöschten, umbenannten sowie anderweitig versteckten und verschlüsselten Dateien von/auf Massenspeichern.  Live-Forensik (Online-Forensik)  während Laufzeit des Vorfalls  Gewinnung und Untersuchung flüchtiger Daten  Hauptspeicherinhalt  Informationen über bestehende Netzwerkverbindungen  gestartete Prozesse. 2014 Digicomp Hacking Day 31
  • 29. Die Schritte einer forensischen Untersuchung  Strategische Vorbereitung (mit was?)  Operationale Vorbereitung (wie?)  Datensammlung  Datenuntersuchung  Datenanalyse  Dokumentation 2014 Digicomp Hacking Day 32
  • 30. Anforderungen forensische Untersuchung  Akzeptanz  Methoden und Schritte in der Fachwelt beschrieben und akzeptiert  Glaubwürdigkeit  Die Robustheit und Funktionalität der Methoden, ggfs. nachzuweisen  Wiederholbarkeit  Hilfsmittel und Methoden müssen bei Wiederholung mit demselben Material dieselben Ergebnisse ergeben  Integrität  Sichergestellte Spuren dürfen durch die Untersuchung nicht unbemerkt verändert worden sein. Die Sicherung der Integrität digitaler Beweise muss jederzeit belegbar sein.  Ursache und Auswirkungen  Die Auswahl der Methoden muss logisch nachvollziehbare Verbindungen zwischen Ereignissen und Beweisspuren und evtl. Personen herstellen.  Dokumentation  Jeder Schritt des Ermittlungsprozesses muss angemessen dokumentiert werden. 2014 Digicomp Hacking Day 33
  • 31. Anforderungen forensische Untersuchung - Dokumentation  Die Authentizität der erhobenen Daten und des Vorgehens des Forensikers muss gewährleistet sein.  Die Dokumentation muss die unternommenen Schritte innerhalb der gesamten forensischen Untersuchung (d.h. wer tat wann was) und daraus gewonnenen Resultate darlegen.  Zusätzlich muss ein lückenloser Nachweises über den Verbleib von digitalen Spuren und der Ergebnisse der daran vorgenommenen Untersuchungen (engl. Chain of custody) erbracht werden.  Es muss sichergestellt werden, dass zu jedem Zeitpunkt beginnend mit der Erfassung der digitalen Beweisspuren ein potentieller Missbrauch bzw. eine Verfälschung nachgewiesen werden kann. 2014 Digicomp Hacking Day 34
  • 32. Die Datensammlung  Sammlung wichtiger Daten potentiell betroffener Komponenten  Durchführung der Datensammlung ist zu dokumentieren  Sammlung muss derart erfolgen, dass vollständige Erfassung und Speicherung erfolgt und keine Datenverfälschung vorkommt  Dokumentation von Veränderungen bzw. unvollständigen Datensammlungen Erläuterung im Rahmen der abschliessenden Dokumentation  Bewertung von Verfälschungsgrad und dessen Bedeutung beeinflusst Beweiskraft  Datensammlung in der Reihenfolge ihrer Flüchtigkeit  Forensisches Duplikat von allen betroffenen Massenspeichern  Ablauf der Datengewinnung ist umfassend zu dokumentieren 2014 Digicomp Hacking Day 35
  • 33. Die forensische Duplikation eines Datenträgerabbildes ( Image ) 1/3  Forensische Duplikation generell erforderlich  Resultat ist 1:1-Kopie des Datenträgers, an welchem verschiedene Untersuchungsschritte mehrfach und ohne Veränderung der Originaldaten ausgeführt werden können  Gibt auch Möglichkeit der Parallelisierung, d. h. mehrere Personen können denselben Datenträgerinhalt nach unterschiedlichen Gesichtspunkten und mit unterschiedlichen Methoden und Werkzeugen untersuchen  Die Unverändertheit des Dateninhalts eines Datenträgers ist eine absolute Notwendigkeit, wenn dieser ein Beweisstück eines juristischen Prozesses ist 2014 Digicomp Hacking Day 36
  • 34. Die forensische Duplikation eines Datenträgerabbildes ( Image ) 2/3 Anforderungen an eine forensische Duplikation:  Physische Kopie - Eine physische Kopie des Datenträgers ist herzustellen, d. h. der gesamte Sektorinhalt aller Sektoren des Datenträgers wird in die Datei hineingeschrieben  Fehlerbehandlung - Lesefehler müssen eindeutig erkannt und protokolliert werden und durch vorher festgelegte Füllmuster ersetzt werden  Vollständigkeit des Abbildes – Damit ein vollständiges Abbild erhalten wird, müssen reservierte Bereiche von Massenspeichern sicher erkannt und für den Zeitpunkt der Abbilderstellung deaktiviert werden  Unverändertheit - Die Erstellung des Abbildes muss mit der Berechnung einer kryptographischen Checksumme abgeschlossen werden, um die Unverändertheit nachweisen zu können 2014 Digicomp Hacking Day 37
  • 35. Die forensische Duplikation eines Datenträgerabbildes ( Image ) 3/3  Einsatz von Hardware-basierten Writeblockern zu Sicherstellung, dass auf betroffene Datenträger nur lesend zugegriffen werden kann  Nur der Writeblocker-Einsatz, zwischen Datenträger und Schnittstelle des betroffenen Systems, unterbindet Schreibzugriff wirksam  Nach Erstellung des Abbildes Berechnung einer kryptographischen Hashsumme über Originaldatenträger UND Image  Übereinstimmende Checksummen belegen korrekte Ausführung der forensischen Duplikation und liefern so beweissichere Basis für die weiteren forensischen Untersuchungen 2014 Digicomp Hacking Day 38
  • 36. Die Benutzerweisung als Problemlöser Obelix’ Zaubertrank?
  • 37. Schaffen Sie eine Win - Win - Situation !  Benutzungsweisung IT Mittel, unter Einschluss Internet und E-Mail  Erfüllung der gesetzlichen Vorgaben  Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen  Vereinbarung der Zugriffsrechte im Notfall und Verfahren  Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren  Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger  Darlegung sämtlicher Protokollierungen  Darlegung der Archivierungsregeln  Einverständniserklärung des Mitarbeitenden notwendig  ‚Jeder weiss, was Sache ist.‘ Schaffen Sie Transparenz und Sicherheit 2014 Digicomp Hacking Day 42
  • 38. Anforderungen seitens Arbeitgeber  Wer hat was wann wo gemacht?  Schutz der Systeme und der Reputation  Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente Archivierung Nachvollziehbarkeit Zurechenbarkeit, Beweiskraft Zugriff im Notfall  Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht  Private Laufwerk des Arbeitnehmenden Systemprotokollierung 2014 Digicomp Hacking Day 43
  • 39. Anforderungen ( ohne «Deal »)  Wahrung des Briefgeheimnisses  Achtung persönlicher Sachen  Keine systematische Leistungskontrolle  Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“  Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“  Schutz der Privatsphäre  Protokollierung der privaten Kommunikation ist i.d.R. unzulässig  Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG) Privatsphäre des Arbeitnehmers 2014 Digicomp Hacking Day 44
  • 40. Zulässige Protokollierung durch Arbeitgeber  Rechtfertigungsgründe  Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.  Einblick in private Daten durch Arbeitgeber: unzulässig  Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten!  Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig  Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden  Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR) (ohne «Deal») 2014 Digicomp Hacking Day 45
  • 41. Monitoring / Logging im Arbeitsverhältnis  Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen sowie stichprobenartige pseudonymisierte Auswertungen der Protokollierungen, um zu überprüfen, ob das Nutzungsreglement eingehalten wird  Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt sich in zwei Phasen:  Nichtpersonenbezogene Überwachung;  Personenbezogene Überwachung. Auswertung von Protokolldaten im Arbeitsverhältnis (1/3) 2014 Digicomp Hacking Day 46
  • 42. Monitoring / Logging im Arbeitsverhältnis  Grundsatz: Statt die Arbeitnehmer zu überwachen sollen technische Schutzmassnahmen gesetzt, die unerwünschtes Surfen in Grenzen halten und das Unternehmen vor technischem Schaden schützen. Nur wenn ein Missbrauch so nicht verhindert werden kann, dürfen nach Erlass eines Nutzungsreglementes und nach vorheriger Information im Einzelfall personenbezogene Auswertungen der Protokollierungen vorgenommen werden.  Fehlt ein Missbrauch und eine vorherige Information, dürfen die Internet- und E-Mail-Protokollierungen nur in anonymer oder pseudonymer Weise ausgewertet werden. Auswertung von Protokolldaten im Arbeitsverhältnis (2/3) 2014 Digicomp Hacking Day 47
  • 43. Monitoring / Logging im Arbeitsverhältnis  Ob Protokollierungen eingesetzt werden dürfen, wer und wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck- und Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren Zweck, Inhalt und Aufbewahrungsdauer sollte aus Transparenzgründen im internen Überwachungsreglement erwähnt werden.  Wenn präventive Massnahmen den Schutz sensibler Personendaten nicht gewährleisten, können Protokollierungen notwendig sein (Art. 10 Verordnung zum Datenschutzgesetz, VDSG, SR 235.11). Auswertung von Protokolldaten im Arbeitsverhältnis (3/3) 2014 Digicomp Hacking Day 48
  • 44. Inhalt Acceptable Use Policy  Information, dass Auswertungen stattfinden.  Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.  Somit werden auch intensivere Inhouse-Ermittlungen ermöglicht und legalisiert  Einverständnis des Mitarbeitenden AUP 2014 Digicomp Hacking Day 49
  • 45. Wichtige Anmerkungen  Mitarbeitende müssen schriftlich ihr Einverständnis geben  Beweiszeck  Achtung: Einverständniserklärung könnte widerrufen werden  Mitarbeitende können Löschung privater Daten verlangen  Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt  E Mail Archivierung!  Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails)  Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese vorlebt und selber auch einhält !!! 2014 Digicomp Hacking Day 50
  • 46. Resultat  Privatsphäre der Mitarbeiter ist geschützt  Unternehmensinteressen bleiben gewahrt  Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen  Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert. 2014 Digicomp Hacking Day 51
  • 47. Ihre Lösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, infosec@infosec.ch reto.zbinden@infosec.ch | +41 (0)79 446 83 00 VIELEN DANK