Datenschutzhinweis
Nachfolgend informieren wir Sie gemäss Art. 13 und Art. 14 der EU-Datenschutz-Grundverordnung (DSGVO) über die Art und Weise und die Hintergründe der Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit unseren Tätigkeiten.
Verantwortliche Stelle
Stabsstelle Cyber-Sicherheit
Zollstrasse 45
9490 Vaduz
Telefon: + 423 236 63 11
E-Mail: [email protected]
Webseite: https://scs.llv.li oder https://csirt.li
Fragen zum Datenschutz können Sie direkt an uns richten oder auch an die Fachstelle Datenschutz als unsere Datenschutzbeauftragte.
Kontaktdaten Datenschutzbeauftragte
Fachstelle Datenschutz
Peter-Kaiser-Platz 1
9490 Vaduz
Telefon: +423 236 73 08
E-Mail: [email protected]
Webseite: https://www.llv.li/de/landesverwaltung/fachstelle-datenschutz
Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten hat vornehmlich den Zweck, den gesetzliche Auftrag zu erfüllen, der uns obliegt. Dieser umfasst insbesondere die Aufsicht und den Vollzug des Cyber-Sicherheitsgesetzes (CSG, https://gesetze.li/konso/2023269000).
Vornehmlich üben wir folgende verarbeitende Tätigkeiten aus:
- Überprüfung der Sicherheitsanforderungen nach Art. 4 und 6 CSG sowie die Einhaltung der Meldepflichten nach Art. 5 und 7 CSG bei den Betreibern wesentlicher Dienste und den Anbietern digitaler Dienste;
- Entgegennahme und Analyse von Meldungen über Risiken oder Sicherheitsvorfälle;
- Erstellung von (Cyber-)Lagebildern;
- Zur Gewährleistung der Sicherheit von Netz- und Informationssystemen oder zur Vorbeugung von Sicherheitsvorfällen die Weiterleitung relevanter Informationen an inländische Behörden oder andere betroffene Stellen nach Bedarf;
- Koordination der öffentlich-privaten Zusammenarbeit im Bereich der Sicherheit von Netz- und Informationssystemen;
- Unterrichtung der Öffentlichkeit über Sicherheitsvorfälle;
- Sensibilisierung der Öffentlichkeit zur Verhütung oder Bewältigung von Sicherheitsvorfällen;
- Grenzüberschreitende Zusammenarbeit und der grenzüberschreitende Informationsaustausch;
- Koordination der Erstellung einer NIS-Strategie nach Art. 20 CSG;
- Vertretung Liechtensteins in der Kooperationsgruppe, dem CSIRTs-Netzwerk sowie in anderen grenzüberschreitenden Gremien im EWR und internationalen Gremien für die Sicherheit von Netz- und Informationssystemen.
Rechtsgrundlagen
Die Rechtsgrundlagen für die verarbeitenden Tätigkeiten sind insbesondere in den Artikeln 12, 13 und 19 CSG in Verbindung mit Art. 11 CSG sowie Art. 16 bis 18 Cyber-Sicherheitsverordnung (CSV) festgehalten. Werden die personenbezogenen Daten nicht auf Basis des öffentlichen Auftrags verarbeitet, ist im Einzelfall die Rechtsgrundlage Art. 6 Abs. 1 Bst. a DSGVO, z. B. Newsletter.
Zu verarbeitende Daten
Folgende Kategorien personenbezogener Daten werden bei der Ausübung unserer Tätigkeiten erhoben, erfasst und weiterverarbeitet:
- Kontaktdaten, wie insbesondere E-Mail-Adressen, physische Postadresse, Telefonnummern und URLs;
- Technische Indikatoren, wie beispielsweise IP-Adressen sowie andere Kompromittierungsindikatoren (IOCs), welche auf Schadsoftware oder Cyberangriffe hindeuten.
Bei der Verarbeitung personenbezogener Daten handelt es sich vor allem um solche, welche in der Regel nicht direkt einer natürlichen Person zugeordnet werden können. Der Informationsaustausch im Hinblick auf die Verhütung, Erkennung, Identifizierung, Eindämmung, Analyse und Bewältigung von Sicherheitsvorfällen, zur Sensibilisierung für spezifische Cyberbedrohungen und der koordinierten Offenlegung von IOCs, von Taktiken, Vorgehensweisen und Verfahren erfordert regelmässig die Verarbeitung bestimmter Kategorien personenbezogener Daten wie etwa IP-Adressen, URL-Adressen, Domänennamen oder E-Mail-Adressen, Nicknamen im Internet oder andere technische Kennnummern, sofern diese als personenbezogene Daten zu qualifizieren sind.
Herkunft der Daten
Sofern die Daten nicht bei Ihnen persönlich erhoben werden, stammen die Angaben zu den personenbezogenen Daten aus folgenden Quellen:
- Betreiber wesentlicher Dienste und Anbietern digitaler Dienste, die bspw. der Meldepflicht gemäss CSG nachkommen;
- Andere Einrichtungen, die gemäss Art. 8 CSG Risiken und Sicherheitsvorfälle melden;
- Einrichtungen mit denen eine öffentlich-private Zusammenarbeit im Bereich der Sicherheit von Netz- und Informationssystemen gepflegt wird;
- Informations- und Kommunikationstechnik-Lösungen (IKT-Lösungen) die gemäss Art. 17 betrieben werden;
- Inländischen Behörden und Stellen, insbesondere der Landespolizei, der Staatsanwaltschaft, der Datenschutzstelle, dem Amt für Informatik, dem Amt für Kommunikation, der Stabsstelle FIU und der Finanzmarktaufsicht Liechtenstein, basierend auf dem Informationsaustausch gemäss Art. 13 Abs. 1 Bst. i CSG;
- Einrichtungen und Stellen im Zusammenhang mit der grenzüberschreitenden Zusammenarbeit und des grenzüberschreitenden Informationsaustauschs gemäss Art. 13 Abs. 1 Bst. k CSG.
Empfänger
Wir übermitteln ausschliesslich technische Indikatoren, wie beispielsweise IP-Adressen sowie andere IOCs, welche auf Schadsoftware oder Cyberangriffe hindeuten oder der Verhütung, Erkennung, Identifizierung, Eindämmung, Analyse und Bewältigung von Sicherheitsvorfällen dienen und nur in gesetzlich vorgeschriebenen oder zulässigen Fällen an andere öffentliche oder private Stellen mit denen wir zusammenarbeiten.
Drittländer
Wir übermitteln ausschliesslich technische Indikatoren, wie beispielsweise IP-Adressen sowie andere IOCs, welche auf Schadsoftware oder Cyberangriffe hindeuten oder der Verhütung, Erkennung, Identifizierung, Eindämmung, Analyse und Bewältigung von Sicherheitsvorfällen dienen und nur in gesetzlich vorgeschriebenen oder zulässigen Fällen in ein Drittland. Die Übermittlung erfolgt aufgrund Art. 13 Abs. 1 Bst. l CSG zwecks der grenzüberschreitenden Zusammenarbeit. Die Übermittlung in dieses Drittland (insbesondere die Schweiz) wird ermöglicht durch einen Angemessenheitsbeschluss der EU-Kommission gemäss Artikel 45 DSGVO.
Speicherdauer
Die Speicherdauer der Datenverarbeitung richtet sich nach spezialgesetzlichen Vorgaben zu den Aufbewahrungsfristen bzw. dem Archivgesetz. Ist der Zweck der Datenverarbeitung erreicht und stehen der Vernichtung Ihrer Daten keine gesetzlichen Aufbewahrungsfristen entgegen, werden die personenbezogenen gelöscht.
Rechte der betroffenen Personen
Bei der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen aus dem Datenschutz verschiedene Rechte zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Beschwerde gegenüber der Aufsichtsbehörde.
Sie können die Ausübung Ihrer Rechte als formlosen Antrag bzw. Gesuch und ohne Begründung gegenüber dem Verantwortlichen geltend machen. Empfohlen wird jedoch, den Antrag bzw. das Gesuch schriftlich oder in einer sicheren elektronischen Form einzureichen.
1. Recht auf Auskunft
Mit dem Auskunftsrecht nach Art. 15 DSGVO können Sie als betroffene Person von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten beim Verantwortlichen über Sie gespeichert sind bzw. verarbeitet werden.
Zudem erhalten Sie vom Verantwortlichen ergänzende Informationen, z.B. über die Verarbeitungszwecke, die Herkunft der Daten, soweit diese nicht direkt bei Ihnen erhoben wurden, oder über Empfänger, an die Ihre Daten übermittelt werden.
Durch das Auskunftsrecht werden Sie in die Lage versetzt, den Überblick und damit auch die Kontrolle darüber zu behalten, welche Ihrer personenbezogenen Daten zu welchem Zweck und aufgrund welcher Rechtsgrundlage verarbeitet werden.
2. Recht auf Berichtigung
Wenn Sie feststellen, dass Ihre personenbezogenen Daten unrichtig sind, können Sie nach Art. 16 DSGVO deren unverzügliche Berichtigung gegenüber dem Verantwortlichen verlangen. Unverzüglich meint eine nicht- schuldhafte Verzögerung des Verantwortlichen, das bedeutet, mit einem gewissen Zeitaufwand für die Bearbeitung des Gesuchs muss gerechnet werden.
3. Recht auf Löschung
Mit dem Recht auf Löschung nach Art. 17 DSGVO können Sie grundsätzlich die unverzügliche Entfernung Ihrer personenbezogenen Daten beim Verantwortlichen verlangen, sofern einer der Gründe aus Art. 17 Abs. 1 a) bis f) vorliegt, z. B. die Daten für die Zwecke der Verarbeitung nicht mehr notwendig sind, die Einwilligung widerrufen wurde, erfolgreicher Widerspruch eingelegt wurde, die Verarbeitung unrechtmässig erfolgte, etc.
Dem Löschungsanspruch können allerdings Ausnahmen entgegenstehen, die in Art. 17 Abs. 3 DSGVO gelistet sind. Regelmässig zu prüfen hat der Verantwortliche, ob gesetzliche Aufbewahrungsfristen oder das Archivgesetz einer Löschung widersprechen.
4. Recht auf Einschränkung der Verarbeitung
Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO kann nur unter bestimmten Voraussetzungen geltend gemacht werden, die in den Buchstaben a) bis d) des Artikels gelistet sind. Wenn Sie z.B. die Berichtigung Ihrer falschen Daten verlangen oder Widerspruch gegen die Verarbeitung eingelegt haben, muss die Verarbeitung Ihrer Daten vom Verantwortlichen bis zum Abschluss seiner Prüfung eingeschränkt werden. Weiterhin muss die Verarbeitung eingeschränkt werden, wenn Sie wegen ungerechtfertigter Verarbeitung die Einschränkung ausdrücklich statt einer Löschung verlangen. Auch ist die Verarbeitung einzuschränken, wenn der Verantwortliche Ihre Daten zwar nicht mehr für eigene Zwecke benötigt, Sie diese aber noch für die Verfolgung eigener Ansprüche nutzen möchten.
5. Recht auf Datenübertragbarkeit
Haben Sie Ihre Daten dem Verantwortlichen bereitgestellt, können Sie nach Art. 20 DSGVO verlangen, dass Sie diese Daten in einem gängigen maschinenlesbaren Format herausgegeben bekommen. Damit soll Ihnen die eigene Übermittlung zu einem anderen Verantwortlichen erleichtert werden. Das Recht auf Datenübertragbarkeit gilt, wenn die Verarbeitung aufgrund Einwilligung oder Vertrag basiert und mithilfe automatisierter Verfahren erfolgte.
6. Recht auf Widerspruch
Art. 21 Abs. 1 DSGVO gewährt Ihnen das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, ausnahmsweise auch gegen eine an sich rechtmässige Datenverarbeitung Widerspruch einzulegen, sofern Rechtsgrundlage der Verarbeitung Ihrer Daten eine erfolgte Interessenabwägung seitens dem Verantwortlichen ist, dessen Interessen bei der vorgenommenen Abwägung überwogen haben.
7. Recht auf Beschwerde
Sofern Sie als von der Datenverarbeitung betroffene Person der Annahme sind, dass eine unrechtmässige Datenverarbeitung vorliegt, können Sie jederzeit Beschwerde bei der zuständigen Aufsichtsbehörde einreichen.
Kontaktdaten Datenschutz-Aufsichtsbehörde
Die in Liechtenstein zuständige Aufsichtsbehörde für den Datenschutz ist die Datenschutzstelle mit den Kontaktdaten:
Datenschutzstelle Fürstentum Liechtenstein
Städtle 38
Postfach 684
9490 Vaduz
Telefon: +423 236 60 90
E-Mail: [email protected]
Webseite: https://datenschutzstelle.li
Weitere Informationen zum Datenschutz, insbesondere betreffend der Webseite der Liechtensteinischen Landesverwaltung finden Sie in der Datenschutzerklärung.