Datenschutz, Sicherheitstechnik und Gebäudeplanungen
Welche Auswirkungen hat das revidierte Schweizer Datenschutzgesetz (revDSG) auf die digitale Sicherheitstechnik und Gebäudeplanungen? Dieser Artikel zeigt auf, was datenschutzrechtlich auf Anbieter- und Kundenseite zu berücksichtigen ist.
Mit Inkrafttreten des revDSG im Jahr 2022 müssen auch diejenigen Unternehmen, die bisher nicht der DSGVO unterstellt waren, höhere datenschutzrechtliche Anforderungen berücksichtigen. Auch bereits DSGVO-konforme Unternehmen haben zusätzlich die abweichenden Anforderungen des revDSG umzusetzen. Somit sind sämtliche Schweizer Unternehmen mit Berührungspunkten zur digitalen Sicherheitstechnik und Gebäudeplanung betroffen, sei dies auf Anbieter- oder Kundenseite.
Erweiterung besonders schützenswerte Personendaten: Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten wie beispielsweise Fingerabdruck, Retina-Scan oder Venenmuster erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, sei dies bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte. Insbesondere die für Sicherheitslösungen sehr wichtigen biometrischen Daten gehören künftig bereits per Definition stets zu den besonders schützenswerten Personendaten und nicht wie bisher, allenfalls indirekt (Hinweise auf die ethnische Herkunft oder den Gesundheitszustand).
Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen. Aus sicherheitstechnischer Sicht ist jede automatisierte Überwachung von Personen, sei dies durch Kameras, Eintrittskontrollsystemen oder anderweitig, mindestens als Profiling zu werten, je nach Ausgestaltung gar als Profiling mit hohem Risiko.
Auftragsbearbeiter: Ein Auftragsbearbeitungsverhältnis wie zum Beispiel im Rahmen eines Outsourcings wie Datenhaltung in der Cloud oder Gebäudeüberwachung – kann unter anderem durch Vertrag begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen. Mit entsprechenden Dienstleistungen wird der Sicherheitsanbieter zum Auftragsbearbeiter des Kunden und ist gehalten, die entsprechenden rechtlichen, technischen und organisatorischen Massnahmen umzusetzen.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellung: Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so vorgenommen werden, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default). Somit muss Sicherheitstechnik und Gebäudeplanung die Anforderungen von Privacy by Design und by Default ab Planungsstadium bis hin zur täglichen Anwendung berücksichtigen.
Datenschutzanforderungen auf die Anwendung digitaler Sicherheitssysteme?
Zusammenfassend steht fest, dass sämtliche wichtigen Neuerungen des revDSG Auswirkungen auf die moderne Sicherheitstechnik haben. Die Implementierung solcher Lösungen hat für Anbieter und Kunden direkte datenschutzrechtliche Auswirkungen, weshalb der erforderliche Handlungsbedarf zu ermitteln ist. Für Planung, Realisierung und Einsatz multifunktionaler, vernetzter Sicherheitssysteme haben sich Anbieter somit bereits heute vertieft mit den neuen Datenschutzanforderungen zu befassen, um Kunden ausreichend beraten und bestmögliche Umsetzungslösungen finden zu können. Dies auch dann, wenn bereits DSGVO-Massnahmen umgesetzt wurden, da beim revDSG gewisse Unterschiede zu berücksichtigen und abzubilden sind. Ausgehend vom festgestellten Handlungsbedarf können die erforderlichen Umsetzungsmassnahmen bestimmt, priorisiert und projektspezifisch implementiert werden.
Den vollständigen Fachbericht lesen Sie in der gedruckten Ausgabe SicherheitsForum 1-2021.
Sie wollen die Artikel dieser Ausgabe lesen? Dann schliessen Sie gleich hier ein Abonnement ab.