Die Datenschutzstelle (DSS) publiziert regelmässig kurze Hinweise und Informationen aus ihrer Praxis im Rahmen des Newsletters. Dabei handelt es sich jeweils um drei Themen, welche mehrfach in der DSS aufkamen bzw. von ihr in Verfahren gerügt wurden.
- Hinweis zum Zugriff auf E-Mail-Accounts von ehemaligen Mitarbeitenden
Wenn Mitarbeitende aus dem Unternehmen ausscheiden, stellt sich sehr häufig die Frage, wie mit ihren E-Mail-Accounts umzugehen ist und ob der Arbeitgeber darauf zugreifen darf. Die DSS hat in mehreren Fällen die Zulässigkeit des Zugriffs bejaht, wenn die folgenden Voraussetzungen erfüllt sind: Der/dem Mitarbeitenden wurde Gelegenheit gegeben, private E-Mails auszusortieren und private Kontakte entsprechend zu informieren. In kritischen Fällen können bei diesem «Aufräumen» des E-Mail-Accounts auch der Datenschutzbeauftragte oder ein Vorgesetzter etc. anwesend sein, wenn Gefahr besteht, dass etwa geschäftliche E-Mails unrechtmässig gelöscht werden könnten. Zudem sollte eine entsprechende Abwesenheitsnotiz im E-Mail-Account eingerichtet werden. Daraufhin kann der Zugriff des Arbeitsgebers durch Art. 6 Abs. 1 Bst. f DSGVO gerechtfertigt sein, wenn der Arbeitgeber konkrete unternehmerische Interessen am Zugriff geltend machen kann. Diese konkreten Interessen bestimmen auch die Dauer der Speicherung des E-Mail-Accounts. Sobald die Aufbewahrung durch keine konkreten unternehmerischen Interessen, etwa der Abwicklung eines Auftrags, gerechtfertigt werden können, ist dieser zu löschen.
- Information zur Weitergabe personenbezogener Daten durch Gemeinden
Die «Verordnung vom 11. Dezember 2018 über die Offenlegung bestimmter personenbezogener Daten durch die Gemeinden» erlaubt es den liechtensteinischen Gemeinden, auf schriftliche Anfrage und bei Vorliegen gewisser Voraussetzungen bestimmte personenbezogene Daten ihrer Einwohner und Einwohnerinnen an Dritte (nicht-öffentliche Stellen) weiterzugeben: Name und Vorname; Adresse; Geburtsdatum; Staatsbürgerschaft. Eine der Voraussetzungen dafür ist, dass die Offenlegung der Daten zur Förderung des sozialen, kulturellen und religiösen Lebens im Sinne von Art. 12 Abs. 2 Bst. f des Gemeindegesetzes erfolgt. Darüber hinaus hat für jeden Einzelfall gesondert eine Abwägung der berechtigten Interessen des anfragenden Dritten mit den schutzwürdigen Interessen der betroffenen Person zu erfolgen. Und schliesslich dürfen die Daten vom Dritten auch nicht weitergegeben, sondern ausschliesslich für den im Gesuch angegeben Zweck verwendet werden. Danach sind sie zu löschen. Als betroffene Person hat man jedenfalls das Recht, gegen die Verarbeitung der eigenen personenbezogenen Daten gemäss Art. 21 der Datenschutz-Grundverordnung (DSGVO) Widerspruch einzulegen. Für eine Offenlegung der Daten in gedruckten oder elektronischen Medien durch die Gemeindebehörden gelten noch strengere Bedingungen. So darf ausdrücklich kein Widerspruch der betroffenen Person vorliegen und in gewissen Fällen ist sogar eine Einwilligung derselben erforderlich (sofern die Daten nicht allgemein zugänglich sind).
Die Verordnung der Gemeinden kann hier abgerufen werden.
- Hinweis zum Verlust der Vertraulichkeit von Daten auf Webseiten
Immer wieder erhält die DSS Meldung von Verletzungen der Vertraulichkeit sensibler personenbezogener Daten, da diese nur unzureichend durch technische und organisatorische Massnahmen, wie etwa Verschlüsselung bei der Speicherung, verschlüsselte Datenübertragung oder die Vergabe möglichst restriktiver Zugriffsrechte, geschützt waren. Besondere Vorsicht ist beim Datenaustausch über Browser geboten. Gerade bei Webanwendungen kommt es nach den Erfahrungen der DSS häufiger vor, dass schützenswerte Daten, zum Beispiel durch falsch konfigurierte Zugriffsrechte, von unberechtigten Personen unbefugt eingesehen und womöglich kopiert werden könnten. Sind keine weiteren Zugriffsbeschränkungen (z.B. Passworteingabe) vorgesehen, könnten zum Beispiel Nutzerdaten aus Kontaktformularen oder Bewerberdaten aus Online-Bewerbungstools durch einfachen Abruf der entsprechenden Webadressen abgerufen werden. Es lohnt sich daher, die IT- und Datensicherheit von Webapplikationen und Webservern von Zeit zu Zeit zu überprüfen bzw. überprüfen zu lassen, da diese in der Regel Veränderungen unterliegen (z.B. System-Update oder Weiterentwicklungen) und technische Massnahmen wie etwa Zugriffsrechte wieder neu angepasst werden müssen.
Auf der Internetseite der DSS finden Sie weitere Informationen zu technischen und organisatorischen Massnahmen (TOMs) oder dem Stand der Technik.