Datenschutz

Hilfestellung zu ArcGIS

Zusammenfassung

Das Datenschutzgesetz (DSG) überträgt Organisationen, die personenbezogene Daten verarbeiten, eine erhebliche Verantwortung. Wir verpflichten uns zur Einhaltung des DSG, einschliesslich der Unterstützung von Kund:innen bei der Einhaltung ihrer Verpflichtungen, die aus dem DSG erwachsen. 

Viele unserer Kund:innen nutzen ArcGIS, um Geodaten zu verwalten, die möglicherweise Personendaten enthalten. 

ArcGIS enthält viele Tools und Funktionen, die Kund:innen dabei helfen können, ihren aus dem DSG resultierenden Verpflichtungen bei der Verarbeitung von Personendaten nachzukommen. 

In diesem Dokument werden diese Aspekte behandelt und es wird zusätzlich aufgezeigt, wie die Verwendung von GIS durch das DSG beeinflusst werden kann. 

Ausserdem werden die Beziehungen und Interaktionen zwischen uns, unseren Kund:innen und Esri Inc. in Zusammenhang mit der Bereitstellung von ArcGIS erläutert.

Einführung

Das revidierte Bundesgesetz über den Datenschutz (revDSG) ist am 1. September 2023 in Kraft getreten. Es gilt für die Bearbeitung von Personendaten natürlicher Personen. Das Gesetz regelt die Rechte betroffener Personen in Bezug auf die Bearbeitung ihrer Personendaten sowie die Pflichten derjenigen, die Personendaten entweder als Verantwortlicher (Controller) oder als Auftragsbearbeiter (Processor) bearbeiten. 

ArcGIS wird von vielen unserer Kund:innen zur Verwaltung, Verarbeitung und Analyse einer Vielzahl von Daten, einschliesslich Personendaten verwendet. 

Das Dokument beantwortet die wichtigsten Fragen, die Kund:innen bisher zu ihren Interaktionen mit uns und Esri Inc. und zur Verwendung von ArcGIS im Kontext des DSG gestellt haben.

RevDSG

Bei der Erörterung des DSG sind einige Begriffe wichtig. In der folgenden Liste sind diese Begriffe aufgeführt.

  • Betroffene Person ist eine natürliche Person, über die Personendaten bearbeitet werden.
  • Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie z. B. Name oder Adresse usw. 
  • Verantwortlicher ist eine private Person oder ein Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.  
  • Auftragsbearbeiter ist eine private Person oder ein Bundesorgan, die personenbezogene Daten im Auftrag eines Verantwortlichen bearbeitet.

Nach dem DSG haben Verantwortlicher und Auftragsbearbeiter bestimmte Pflichten und betroffene Personen haben bestimmte Rechte.

Nach Art. 6 DSG müssen Organisationen die folgenden Grundsätze einhalten:

  • Personendaten müssen rechtmässig bearbeitet werden. 
  • Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
  • Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
  • Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.
  • Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

Zusätzlich ist nach Art. 7 DSG der Verantwortliche verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

Organisationen, die Personendaten mithilfe von ArcGIS bearbeiten, können verschiedene Rollen einnehmen. Diese können in die folgenden Szenarien eingeteilt werden:

 
TypSzenarioRolle der OrganisationRolle Esri SchweizRolle Esri Inc.
AOrganisation nutzt ArcGIS Software "on premise" zur Bearbeitung von Personendaten (ArcGIS Enterprise)Verantwortlicher (Data Controller)nicht involviertnicht involviert
BOrganisation nutzt von Esri Inc. gehostete Software oder Online-Services von Esri Inc. zur Bearbeitung von Personendaten (Beispiel: ArcGIS Online)Verantwortlicher (Data Controller)nicht involviertDatenbearbeiter (Data Processor)

Jede Organisation, die Daten bearbeitet, muss eine Bewertung vornehmen, ob die von ihr bearbeiteten Informationen in die Kategorie der Personendaten fallen. GIS-Systeme und die ihnen zugrunde liegenden Technologien werden häufig zur Verwaltung von Daten verwendet, die als Personendaten einzustufen sind.  

Beispiele hierfür sind: 

  • Adressinformationen, die an Einzelpersonen gebunden und in einem CRM mit Darstellung des Raumbezuges gespeichert sind 
  • Informationen zum Aufenthaltsort von Mitarbeitern 
  • Benutzerprofilinformationen zu Benutzern eines GIS-Systems 
  • Personendaten, die im Online-Support-System zur Meldung von Softwarefehlern erfasst werden 

Ein Verantwortlicher im Sinne des DSG muss durch entsprechende Konzeption und Konfiguration des GIS-Systems sicherstellen, dass er seinen Verpflichtungen bei der Bearbeitung von Personendaten nachkommt.

ArcGIS bietet eine Reihe von Funktionen, die dabei helfen, Personendaten in einem GIS rechtskonform zu verarbeiten.

ArcGIS und das DSG

ArcGIS ist ein System zum Verwalten, Analysieren und Visualisieren von Geodaten und enthält als solches viele verschiedene Komponenten. In den folgenden Abschnitten wird erläutert, wie den Anforderungen des DSG bei der Nutzung von ArcGIS nachgekommen werden kann. Wenn ArcGIS zum Verwalten von Personendaten verwendet wird, sind die folgenden Fragen wichtig: 

  • Welche technologischen Sicherheitsmassnahmen stehen zur Gewährleistung der Datensicherheit zur Verfügung? 
  • Welche Tools stehen zur Verfügung, um festzustellen, welche Daten Personendaten sind? 
  • Welche Tools gibt es, um ungenaue oder unvollständige Personendaten zu korrigieren? 
  • Welche Tools gibt es, um die Bearbeitung von Personendaten einzuschränken? 
  • Welche Tools gibt es, mit denen Personendaten in strukturierter Form in ein maschinenlesbares, häufig verwendetes Format extrahiert werden können? 
  • Wie kann ich Benutzer von Apps, die ich bereitstelle, über den Schutz der mir anvertrauten Daten informieren?
  • Welche Tools gibt es zum Entfernen oder Löschen von Personendaten?

ArcGIS On Premises (Szenario A)

Viele Organisationen stellen ArcGIS Software in ihrer eigenen Infrastruktur bereit und verwalten diese einschliesslich der Infrastruktur oder nutzen die Infrastruktur eines Drittanbieters bzw. eines Cloud-Infrastrukturanbieters. In diesem Szenario ist die Organisation selbst dafür verantwortlich, die Anforderungen aus dem DSG zu erfüllen und ggf. entsprechende Vereinbarungen mit dem Drittanbieter als Auftragsbearbeiter zu treffen (vgl. DSG – Rollen bei der Bearbeitung von Personendaten mit ArcGIS

Eine typische Bereitstellung von ArcGIS vor Ort (on premise) umfasst ArcGIS Enterprise-Komponenten und ArcGIS Desktop-Anwendungen wie z. B. ArcGIS Pro. Wenn Sie Personendaten verwalten, verwenden Sie wahrscheinlich auch eine relationale Datenbank (RDBMS) wie Oracle, SQL Server oder Postgres zum Speichern und Verwalten dieser Daten. Sie können entscheiden, ob und wie Sie Personendaten im System speichern und es liegt in Ihrer Verantwortung, sicherzustellen, dass Sie alle geltenden Bestimmungen des DSG erfüllen. 

Um Ihnen bei der Formulierung von Anforderungen für ArcGIS Enterprise zu helfen, die beim Aufbau eines Managementsystems für Informationssicherheit erfüllt werden müssen, haben unsere Kolleg:innen bei der Esri Deutschland GmbH basierend auf den Vorschriften der DSGVO auf den Seiten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einen benutzerdefinierten Baustein ArcGIS Enterprise bereitgestellt.

Die Erstellung eines robusten Systems zur Verwaltung von Personendaten beginnt bereits in der Entwurfsphase. Es ist wichtig, ein transparentes Datenmodell mit Unternehmensstandards für Daten und Metadaten einzurichten.  

Wichtige Aspekte sind: 

  • ein gut gestaltetes Datenmodell
  • verbindliche Metadatenstandards
  • ein Data Dictionary mit einer Beschreibung der verwalteten Datentypen 
  • ein gut gestaltetes Benutzerzugriffsmodell 
  • das Verstehen der wichtigsten Geschäftsprozesse, die von Ihrem GIS unterstützt werden 
  • Unternehmensrichtlinien für Informationsstandards 

Neben Geodaten mit personenbezogenen Informationen, die Sie im System speichern und verwalten möchten, benötigt ArcGIS auch grundlegende Informationen über die Benutzer des Systems. Auf diese Weise können Sie zuverlässige Workflows für Sicherheit und Datenaustausch in Ihrer Organisation implementieren.

ArcGIS Enterprise wird mit einem Named-User-Modell bereitgestellt und jeder Named User erhält ein eigenes Profil im System. 

Die erforderlichen Komponenten eines Benutzerprofils sind: 

  • Vorname 
  • Nachname 
  • E-Mail-Adresse 
  • Nutzername 
  • ArcGIS Lizenzstufe 
  • ArcGIS Rolle  

Diese Daten werden vom System verwendet, um die Sicherheit zu gewährleisten und um dem Benutzer die gemeinsame Nutzung von Daten und die Zusammenarbeit zu ermöglichen. 

Die Informationen zu Vorname und Nachname können auch pseudonymisiert werden und müssen nicht den Informationen einer realen Person entsprechen. Da diese Informationen auch zur Kommunikation der Benutzer untereinander dienen, kann eine Pseudonymisierung die Zusammenarbeit erschweren. Die E-Mail-Adresse kann eine generelle Mail Adresse sein, Sie wird zur Kommunikation des ArcGIS Systems mit dem Anwender benutzt, z.B. zur Passwortrücksetzung und muss deshalb von Ihrer Organisation erreichbar sein.

ArcGIS stellt eine Reihe von Tools zur Verfügung, mit denen ein Administrator diese Informationen verwalten kann. 

  • Mitglieder suchen (Search Users) - nach bestimmten Benutzern suchen 
  • Mitglieder einladen (Add User) - neue Benutzer zum System einladen 
  • Profil verwalten (Profile) - zusätzliche Benutzerprofilinformationen verwalten 
  • Mitglied löschen (Delete User) - ein Benutzerprofil aus dem System entfernen

ArcGIS enthält eine Reihe Sicherheitsmechanismen, mit denen Sie den Zugriff auf gespeicherte Personendaten schützen können.

Dies umfasst auch Funktionen, die vom zugrunde liegenden RDBMS bereitgestellt werden. 

  • Mit der RDBMS Benutzersicherheit können Sie einschränken, wer Zugriff auf bestimmte Tabellen in der Datenbank hat. Dies ermöglicht es Ihnen zu kontrollieren, wer Zugang zu Personendaten haben kann. 
  • Sie können zusätzliche RDMBS Sicherheitstechnologien wie die Datenverschlüsselung für Ihr ArcGIS System verwenden. 
  • Das ArcGIS Named User Modell ermöglicht es, jeden Benutzer des Systems eindeutig zu identifizieren und Datenzugriffe auf individueller Ebene zu ermöglichen und zu steuern. 
  • Das ArcGIS Named User Modell kann mit Ihrem Corporate Identity-System wie Active Directory oder LDAP verknüpft werden. Damit können Sie die Benutzer in Ihrem Unternehmen sicher verwalten. 
  • ArcGIS kann zusätzliche Sicherheitsmechanismen wie die PKI-Authentifizierung unterstützen.

ArcGIS enthält zwar keine Tools, die speziell zur Identifizierung von Persondendaten entwickelt wurden, bietet jedoch eine Reihe von Werkzeugen zur Datensuche und -analyse, mit denen Daten und Metadaten nach Personendaten durchsucht werden können. Diese Tools können kombiniert werden mit gutem Datendesign und Unternehmensstandards rund um Data Dictionary und Metadatenverwaltung.

  • ArcGIS bietet die Möglichkeit, Metadatendokumente zu speichern, die mit Ihren Daten verbunden sind und die Inhalte und Datentypen beschreiben. 
  • ArcGIS Metadatendokumente sind mit den entsprechenden Daten verknüpft und werden mit den Daten verschoben, während sie von ArcGIS verarbeitet werden. 
  • ArcGIS Metadatendokumente können nach Schlüsselwörtern und Inhalten durchsucht werden, die personenbezogene Daten beschreiben. 
  • ArcGIS enthält Datenbankabfragetools, mit denen Sie in Ihren GIS-Daten nach Datensätzen suchen können, die mit spezifischen Kriterien übereinstimmen. 
  • Zusätzlich zu formalen Metadatenbeschreibungen bietet ArcGIS die Möglichkeit, Tags zum Kategorisieren von Daten zuzuweisen. Diese können verwendet werden, um Elemente und Ebenen zu kennzeichnen, die personenbezogene Daten enthalten und dann in zukünftige Suchvorgänge einbezogen werden.

ArcGIS enthält Standardwerkzeuge, mit denen Benutzer mit den passenden Berechtigungen den Inhalt von im System gespeicherten Daten bearbeiten können. Mit diesen Tools können Sie Personendaten in ArcGIS korrigieren oder ergänzen. 

  • Die Datenbearbeitung wird durch Benutzerberechtigungen gesteuert und steht nur autorisierten Benutzern zur Verfügung 
  • Mit den ArcGIS Geometrie-Bearbeitungswerkzeugen können Standortdaten bearbeitet werden. 
  • Mit den ArcGIS Werkzeugen zur Attributbearbeitung können im GIS gespeicherte Attributdaten bearbeitet werden.  
  • Das Toolset Felder kann verwendet werden, um Massenänderungen an Daten vorzunehmen.

Ein im DSG normiertes Recht auf Löschung gibt es nicht. Stattdessen wird auf das allgemeine Zivilrecht zurückgegriffen und es kann lediglich gestützt auf die Persönlichkeitsrechte gegen (mutmasslich) widerrechtliche persönlichkeitsverletzende Personendatenbearbeitung vorgegangen werden.

ArcGIS enthält Standardwerkzeuge zum Löschen einzelner Datensätze und Datentabellen in ArcGIS, kombiniert mit der Suche und mit Identifikationswerkzeugen. Diese Tools können verwendet werden, um Personendaten aus Ihrem System zu entfern

  • Mit dem Werkzeug Feature löschen können einzelne Datensätze aus dem ArcGIS-System entfernt werden.
  • Mit den Tools zum Löschen von Tabellen und Feature-Classes können Sie Datensätze mit Personendaten entfernen.

Eine Reihe von Tools, die im vorherigen Abschnitt erläutert wurden, können verwendet werden, um festzulegen, wie Personendaten im System bearbeitet werden können. 

  • Metadaten-Tools und -Tags können verwendet werden, um Personendaten zu identifizieren, damit diese nicht unangemessen bearbeitet werden.
  • Durch die Steuerung von Benutzerzugriffsrechten kann der Zugriff auf Personendaten auf bestimmte Benutzer beschränkt werden. 
  • Zusätzliche Metadaten wie Verwendungsbeschränkungen können auf Datasets in ArcGIS angewendet werden.

ArcGIS enthält eine Reihe von Tools, mit denen Sie Daten in strukturierter Form aus Ihrem Datenbestand extrahieren können. Das Recht Daten zu exportieren kann auch eingeschränkt werden. 

Mit Datenexport-Werkzeugen können Sie Daten in verschiedene maschinenlesbare Formate exportieren, einschliesslich 

  • JSON 
  • CSV 
  • Shape-Datei

Wenn ArcGIS zum Veröffentlichen einer Webanwendung verwendet wird, die Informationen von Nutzern sammelt, ist es möglicherweise erforderlich, die Nutzer der App darüber zu informieren, dass Personendaten erhoben werden. Zusätzlich soll die App eventuell mit einer entsprechenden Datenschutzerklärung verknüpft werden. ArcGIS enthält eine Reihe von Mechanismen, um Nutzer zu informieren.

  • Mit Portal for ArcGIS können Sie die Startseite sowie Kopf- und Fusszeilenseiten anpassen. Damit können Sie Ihre Datenschutzerklärung oder Links einbinden. 
  • In vielen ArcGIS Anwendungsvorlagen können Sie eine Begrüssungsseite für Benutzer konfigurieren, die vor dem Zugriff auf die App angezeigt wird. 
  • Benutzerdefinierte Anwendungen können eine Datenschutzerklärung enthalten, die mit den ArcGIS SDKs erstellt wurde. 
  • In ArcGIS Enterprise gespeicherte Elemente können Beschreibungen und Hinweise zu Verwendungsbeschränkungen oder Datenschutzhinweise enthalten.

 ⠀ 

ArcGIS Online - von Esri verwaltete Software (Szenario B)

ArcGIS ist als Software-as-a-Service (SaaS) in Form von ArcGIS Online verfügbar. In diesem Szenario bleiben Sie der Verantwortliche (engl.: Data Controller) für alle Personendaten, die Sie in ArcGIS Online speichern möchten. Esri Inc. in Kalifornien ist hier der Auftragsbearbeiter (engl.: Data Processor). 

In diesem Fall gibt es zusätzliche Unterauftragsbearbeiter (Sub-Processors), die in die Bereitstellung des ArcGIS Online-Dienstes eingebunden sind.

Die ArcGIS Online Infrastruktur wird in Rechenzentren in den Vereinigten Staaten von Amerika gehostet. Dazu gehören Rechenzentren von Esri Inc., Microsoft Azure und Amazon Web Services. In ArcGIS Online gespeicherte Personendaten können auf eines oder mehrere dieser Rechenzentren übertragen werden. 

Daten, die Sie selbst speichern, können auch in Datenzentren in Europa gespeichert werden. 

Alle zuvor beschriebenen Tools, mit Ausnahme der RDBMS spezifischen Tools, gelten auch für ArcGIS Online. Damit können Sie als Verantwortlicher festlegen, welche Personendaten Sie in ArcGIS Online speichern möchten. Sie können diese Daten in ähnlicher Weise verwalten, wie Sie dies in einer On-Premise-Lösung tun würden (vgl. ArcGIS On Premises (Szenario A)). 

Für die Verwendung von ArcGIS Online müssen Sie Benutzerkonten erstellen. Die damit verbundenen Benutzerprofildaten sind in ArcGIS Online gespeichert. Diese Daten werden zur Gewährleistung der Sicherheit und zur Bereitstellung des Dienstes verwendet und unterliegen den nachfolgend beschriebenen Sicherheits- und Datenschutzmassnahmen. Sie können Benutzer verwalten, indem Sie eine Verknüpfung zu einem unternehmensinternen Identitätsverwaltungssystem wie ADFS herstellen oder indem Sie die im vorherigen Abschnitt beschriebenen Benutzerverwaltungstools verwenden. 

Auftragsverarbeitung in ArcGIS

Für eine datenschutzkonforme Regelung der Auftragsdatenbearbeitung in ArcGIS stellt Esri Inc. ein Vertragsdokument mit  dem Titel Anhang zur Datenverarbeitung, in der englischen Fassung Data Processing Addendum, zum Download bereit. Mit diesem Dokument werden vertragliche Bestimmungen zur Auftragsbearbeitung festgelegt und Standarddatenschutzklauseln (Standardvertragsklauseln bzw. Standard Contractual Clauses – SCC gemäss Artikel 26 Absatz 2 der Richtlinie 95/46/EG, bzw. gemäss Art. 16 DSG) vereinbart. Wenn Sie ArcGIS Online nutzen und Personendaten bearbeiten, können Sie diesen Anhang zur Datenverarbeitung auch in Ihr Verzeichnis von Verarbeitungstätigkeiten aufnehmen. 

Weitere Informationen zur Datensicherheit und zum Datenschutz in Verbindung mit der Nutzung von ArcGIS Online finden Sie über die folgenden Links:

Benutzer von ArcGIS Online können entscheiden, keine Geodaten mit personenbezogenen Informationen in ArcGIS Online zu verarbeiten oder ArcGIS Online in einem Hybrid-Cloud-Deployment zu nutzen. Eine hybride Lösung ermöglicht es einer Organisation, wichtige Datenbanken und Dienste in ihrer eigenen Infrastruktur zu hosten und gleichzeitig die Funktionen und die Skalierbarkeit der in der Cloud gehosteten ArcGIS Online-Dienste zu nutzen. Dies ermöglicht es einem Unternehmen, sensible Daten oder Personendaten in seiner eigenen Infrastruktur zu speichern.

Eine der Hauptpflichten eines Auftragsbearbeiters besteht nach DSG darin, eine angemessene Sicherheit für alle bearbeiteten Personendaten zu gewährleisten. ArcGIS Online ist ein sicheres skalierbares System, für das mehrere externe IT-Sicherheitszertifizierungen vorliegen.

Details zu Sicherheits- und Compliance-Aspekten finden Sie auf den Internetseiten von Esri Inc. unter https://trust.arcgis.com/.

Details zu entsprechenden Sicherheitsmassnahmen, die Esri Inc. getroffen hat, sind im ArcGIS Online Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ) dokumentiert.

Eine allgemeine Datenschutzerklärung von Esri Inc. (Esri Datenschutzbestimmungen/Esri Privacy Statement), Informationen zur Datenschutzgarantie von Esri Inc. für Esri Produkte und Dienstleistungen (Ergänzende Datenschutzbestimmungen für Esri Produkte und Services/Esri Products & Services Privacy Statement Supplement) sowie zur Gewährleistung des Datenschutzes in ArcGIS Online finden Sie auf der Internetseite ArcGIS Trust Center unter dem Register Datenschutz sowie in Dokumenten, die auf dieser Internetseite verlinkt sind.

Fazit

Jede Organisation, die Personendaten bearbeitet, muss sicherstellen, dass sie alle Vorgaben des Datenschutzes einhält.  

Wenn Sie entscheiden, Personendaten in ArcGIS zu speichern, bleiben Sie für diese Daten und die Art und Weise, wie diese bearbeitet werden, verantwortlich. 

ArcGIS ist ein leistungsstarkes System für die Verwaltung von Personendaten und bietet Tools und Funktionen, die Ihnen dabei helfen, spezifischen Anforderungen des Datenschutzgesetzes zu erfüllen.  

Wenn Sie Cloud-Services als Teil Ihres ArcGIS Systems verwenden, unabhängig davon, ob es sich um Services von Esri Schweiz AG, Esri Inc. oder einem anderen Dritten handelt oder wenn Sie Software-as-a-Service nutzen, ist es wichtig, dass Sie verstehen, wie sich dies auf Ihre Verantwortlichkeiten gemäss DSG auswirkt.

Esri Schweiz AG, Esri Inc. und unsere Auftragsbearbeiter (oder Subprozessoren) setzen geeignete technische und organisatorische Massnahmen um und bieten vertragliche Lösungen, die es Ihnen ermöglichen, die Anforderungen des DSG bei der Nutzung von ArcGIS zu erfüllen.