{"id":20018,"date":"2019-01-05T22:38:44","date_gmt":"2019-01-05T21:38:44","guid":{"rendered":"https:\/\/143bis.ch\/?page_id=20018"},"modified":"2019-09-03T14:43:13","modified_gmt":"2019-09-03T12:43:13","slug":"verantwortlichkeit-fur-datensicherheit","status":"publish","type":"page","link":"https:\/\/143bis.ch\/whistleblowing\/verantwortlichkeit-fur-datensicherheit\/","title":{"rendered":"Ver\u00adant\u00adwort\u00adlich\u00adkeit f\u00fcr Datensicherheit"},"content":{"rendered":"
Um die Rolle der Daten\u00adsi\u00adcher\u00adheits\u00adpflicht bei Whist\u00adle\u00adb\u00adlo\u00adwing erfas\u00adsen zu k\u00f6n\u00adnen, muss fest\u00adge\u00adhal\u00adten wer\u00adden, zwi\u00adschen wel\u00adchen Par\u00adteien sie \u00fcber\u00adhaupt zum Tra\u00adgen kommt und wo sich die Ver\u00adlet\u00adzung der Daten\u00adsi\u00adcher\u00adheits\u00adpflicht auswirkt.<\/p>\n
DSG<\/span> 7 ist ein Gebot. Es ver\u00adlangt f\u00fcr die Ver\u00adtrau\u00adlich\u00adkeit der Daten zu sor\u00adgen und stellt somit eine Hand\u00adlungs\u00adpflicht dar.1<\/sup><\/a> Gegen DSG<\/span> 7 ver\u00adst\u00f6sst, wer die ange\u00admes\u00adse\u00adnen Mass\u00adnah\u00admen nicht trifft, sie also unter\u00adl\u00e4sst<\/em>. Aus dem Wort\u00adlaut l\u00e4sst sich nicht erschlies\u00adsen, wen diese Pflicht trifft. Auf Grund der all\u00adge\u00admei\u00adnen Gel\u00adtung der Bear\u00adbei\u00adtungs\u00adgrund\u00ads\u00e4tze, wie ihn DSG<\/span> 7 dar\u00adstellt, ist dar\u00adauf zu schlies\u00adsen, dass jede Per\u00adson, die Umgang mit Daten hat, Adres\u00adsat ist.2<\/sup><\/a> Jeder Bear\u00adbei\u00adter ist f\u00fcr Daten\u00adsi\u00adcher\u00adheit verantwortlich.<\/p>\n Die Per\u00adson des Ver\u00adant\u00adwort\u00adli\u00adchen ist in zwei\u00ader\u00adlei Hin\u00adsicht bedeu\u00adtungs\u00advoll: Bei der Ergrei\u00adfung eines Rechts\u00adbe\u00adhelfs stellt sich die grund\u00ads\u00e4tz\u00adli\u00adche Frage, wer pas\u00adsiv\u00adle\u00adgi\u00adti\u00admiert ist. Nur gegen jene Per\u00adson, die \u00fcber\u00adhaupt eine Daten\u00adsi\u00adcher\u00adheits\u00adpflicht trifft und diese auch ver\u00adletzt, kann aus DSG<\/span> 12 II<\/span> lit. a i.V.m. DSG<\/span> 7 I und DSG<\/span> 15 erfolg\u00adreich vor\u00adge\u00adgan\u00adgen wer\u00adden (siehe ins\u00adbe\u00adson\u00addere nach\u00adfol\u00adgen\u00addes Kapi\u00adtel \u201cIm Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und der betrof\u00adfe\u00adnen Per\u00adson\u201d<\/a>).<\/p>\n Dar\u00ad\u00fcber hin\u00adaus spielt die Per\u00adson des Ver\u00adant\u00adwort\u00adli\u00adchen eine wich\u00adtige Rolle, weil sich in Abh\u00e4n\u00adgig\u00adkeit der ver\u00adpflich\u00adte\u00adten Per\u00adson eine inhalt\u00adlich unter\u00adschied\u00adli\u00adche Umschrei\u00adbung der Daten\u00adsi\u00adcher\u00adheits\u00adpflicht ergibt. Den \u201egew\u00f6hn\u00adli\u00adchen\u201c Bear\u00adbei\u00adter trifft eine andere, meist weni\u00adger umfas\u00adsende Pflicht als den Inha\u00adber der Daten\u00adsamm\u00adlung. Es sei denn, beide tref\u00adfen in der\u00adsel\u00adben Per\u00adson zusam\u00admen. Der Inha\u00adber der Daten\u00adsamm\u00adlung stellt bspw. ein Bear\u00adbei\u00adtungs\u00adre\u00adgle\u00adment (orga\u00adni\u00adsa\u00adto\u00adri\u00adsche Mass\u00adnah\u00admen) auf, wel\u00adches die Bear\u00adbei\u00adter ein\u00adzu\u00adhal\u00adten haben. Der Inha\u00adber der Daten\u00adsamm\u00adlung steht in der Regel mit sei\u00adner Wei\u00adsungs\u00adbe\u00adfug\u00adnis \u00fcber dem gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adter. Ihn trifft ent\u00adspre\u00adchend eine gr\u00f6s\u00adsere Anzahl an Pflich\u00adten (vgl. Abbil\u00addung 3<\/a>).3<\/sup><\/a><\/p>\n Der (poten\u00adti\u00adelle) Whist\u00adle\u00adb\u00adlower ist solange gew\u00f6hn\u00adli\u00adcher Bear\u00adbei\u00adter, wie er die Daten im Rah\u00admen sei\u00adner nor\u00adma\u00adlen T\u00e4tig\u00adkeit bear\u00adbei\u00adtet und nicht \u00fcber seine Befug\u00adnis hin\u00adaus von Daten Kennt\u00adnis nimmt, Daten erh\u00e4lt (kopiert, ent\u00adwen\u00addet usf.) oder bekannt\u00adgibt (Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten). Ihn als \u201eaus\u00adser\u00adge\u00adw\u00f6hn\u00adli\u00adchen\u201c Bear\u00adbei\u00adter zu bezeich\u00adnen, ist im Hin\u00adblick auf die Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten gegen Whist\u00adle\u00adb\u00adlo\u00adwing nicht not\u00adwen\u00addig, wie sich im Fol\u00adgen\u00adden zei\u00adgen wird.4<\/sup><\/a><\/p>\n Als gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adter von Per\u00adso\u00adnen\u00adda\u00adten (bspw. im Rah\u00admen sei\u00adner arbeits\u00adver\u00adtrag\u00adli\u00adchen T\u00e4tig\u00adkeit) trifft auch den Whist\u00adle\u00adb\u00adlower die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht. Grund\u00ads\u00e4tz\u00adlich ist er daf\u00fcr ver\u00adant\u00adwort\u00adlich, Mass\u00adnah\u00admen zu tref\u00adfen, die eine ange\u00admes\u00adsene Daten\u00adsi\u00adcher\u00adheit gew\u00e4hr\u00adleis\u00adten (DSG<\/span> 3 lit. e und 7 I) und ins\u00adbe\u00adson\u00addere den Vor\u00adga\u00adben des Daten\u00adsamm\u00adlungs\u00adin\u00adha\u00adbers nachzukommen.<\/p>\n Der Whist\u00adle\u00adb\u00adlower bear\u00adbei\u00adtet unbe\u00adfugt, sobald er sei\u00adnen Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten nach\u00adkommt: Er nimmt bspw. Ein\u00adsicht in Daten\u00ads\u00e4tze, die nicht in sei\u00adnem T\u00e4tig\u00adkeits\u00adbe\u00adreich lie\u00adgen, womit er durch seine Bear\u00adbei\u00adtung gegen das Ver\u00adh\u00e4lt\u00adnis\u00adm\u00e4s\u00adsig\u00adkeits\u00adprin\u00adzip (DSG<\/span> 4 II<\/span>) und das Zweck\u00adbin\u00addungs\u00adge\u00adbot (DSG<\/span> 4 III<\/span>) ver\u00adst\u00f6sst. Das\u00adselbe gilt, wenn er Kopien die\u00adser Daten erstellt. Im Falle der Bekannt\u00adgabe gibt er regel\u00adm\u00e4s\u00adsig Daten ent\u00adge\u00adgen dem Zweck bekannt, wel\u00adcher bei der Beschaf\u00adfung ange\u00adge\u00adben wurde. Es liegt wie\u00adderum ein Ver\u00adstoss gegen den Grund\u00adsatz der Zweck\u00adbin\u00addung (DSG<\/span> 4 III<\/span>) vor. Diese Bear\u00adbei\u00adtungs\u00advor\u00adg\u00e4nge haben eine Per\u00ads\u00f6n\u00adlich\u00adkeits\u00adver\u00adlet\u00adzung der betrof\u00adfe\u00adnen Per\u00adson zur Folge (DSG<\/span> 12 II<\/span> lit. a).<\/p>\n Im sel\u00adben Zug wird vom Whist\u00adle\u00adb\u00adlower die Ver\u00adtrau\u00adlich\u00adkeit ver\u00adletzt: Einer\u00adseits, indem er von Daten aus\u00adser\u00adhalb sei\u00adnes Zust\u00e4n\u00addig\u00adkeits\u00adbe\u00adreichs Kennt\u00adnis nimmt oder diese erh\u00e4lt, ande\u00adrer\u00adseits, indem er Drit\u00adten diese Daten bekannt gibt.<\/p>\n DSG<\/span> 7 I sta\u00adtu\u00adiert aber kein Ver\u00adbot die Daten\u00adsi\u00adcher\u00adheit zu ver\u00adlet\u00adzen, son\u00addern eine Hand\u00adlungs\u00adpflicht, sie zu sch\u00fct\u00adzen. Der Whist\u00adle\u00adb\u00adlower ver\u00adletzt durch seine Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten<\/em> die Daten\u00adsi\u00adcher\u00adheit, nicht aber die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht. Die fol\u00adgende Abbil\u00addung 3 soll das Beschrie\u00adbene veranschaulichen:<\/p>\n1. Im Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und der betrof\u00adfe\u00adnen Person<\/h5>\n