Personendaten ohne Identifizierbarkeit?

Fachbeitrag

Personendaten ohne Identifizierbarkeit?

Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.

Ist Einwilligung gleich Einwilligung?

Fachbeitrag

Ist Einwilligung gleich Einwilligung?

Stellen Sie sich vor, alle Einwilligungen sind gleich, aber einige Einwilligungen sind gleicher als andere. Wenn Sie dieser Satz an die Farm der Tiere von George Orwell erinnert, liegen Sie richtig. – Wie verhält es sich aber tatsächlich mit der Gleichheit von Einwilligungen und ist eine solche erstrebenswert?

ePatientendossier und Datenschutz

Fachbeitrag

ePatientendossier und Datenschutz

Herrscht seit dem Inkrafttreten der Gesetzgebung zum elektronischen Patientendossier am 15. April 2017 Datenschutzalarm? Nein, die Gesetzgebung zum elektronischen Patientendossier ist weitgehend datenschutzkonform ausgestaltet – der Weg dorthin war allerdings lang und von Stolpersteinen geprägt. Die meisten Stolpersteine liessen sich reduzieren oder beseitigen. Einige hat der Gesetzgeber wissentlich und willentlich belassen.

Meldepflicht bei Datenschutzverletzungen

Fachbeitrag

Meldepflicht bei Datenschutzverletzungen

Mit der Totalrevision des Datenschutzgesetzes soll neu eine Meldepflicht bei Datenschutzverletzungen eingeführt werden. Die vorgesehene Regelung ist grundsätzlich zu begrüssen, doch besteht in verschiedener Hinsicht Klärungsbedarf. Der vorliegende Beitrag stellt die vorgesehene Meldepflicht in ihren Grundzügen dar und zeigt offene Fragen und Lösungsansätze auf.

Die automatisierte Einzelentscheidung

Fachbeitrag

Die automatisierte Einzelentscheidung

Der Vorentwurf für ein neues Schweizer Datenschutzgesetz (VE-DSG) schlägt Informations- und Anhörungspflichten vor, wenn der Verantwortliche Einzelentscheidungen automatisiert trifft. Die entsprechenden Pflichten sollen sowohl im öffentlichen als auch privaten Datenschutz zur Anwendung gelangen. Im öffentlichen Bereich erweisen sich diese Bestimmungen jedoch als obsolet, weil der Grundsatz des rechtlichen Gehörs gemäss Art. 29 Abs. 2 BV dem Datensubjekt die betreffenden Rechte bereits heute gewährt, und zwar unabhängig davon, ob staatliches Handeln durch Verfügung oder durch Realakt infrage steht. Dem Privatrecht sind generelle Informations- und Anhörungspflichten heute hingegen fremd. Aus dem Grundsatz der Vertragsfreiheit folgt vielmehr, dass das Gegenüber im Privatrechtsverkehr nicht informiert oder gar angehört werden muss. Die neuen Pflichten greifen daher – entgegen der Meinung des erläuternden Berichts – in die Vertragsfreiheit ein, weil der Verantwortliche nunmehr erklären muss, wie und warum er zu einer bestimmten Entscheidung gelangt ist.

Ist auf unsere digitalen Assistenten Verlass?

Fachbeitrag

Ist auf unsere digitalen Assistenten Verlass?

Maschinelles Lernen hat in den letzten Jahren eine unglaubliche Popularität erlangt. Neben spektakulären Siegen im Schach, Jeopardy! und Go gibt es zahlreiche erfolgreiche Anwendungen in der Bild- und Spracherkennung, die immer öfter menschliche Fähigkeiten übertreffen. Anlass genug, um diese Technologie in kritische Felder wie medizinische Bildgebung und selbstfahrende Autos zu integrieren. Die meisten Systeme werden aber nicht mit Blick auf Sicherheit und Resilienz entworfen und können von jedem motivierten Angreifer mit einem guten Verständnis des Systems getäuscht werden. Die Wirksamkeit von Anwendungen mit maschinellem Lernen sollte daher nicht nur an ihrer Präzision gemessen werden, sondern auch an ihrer Widerstandskraft in einer feindlichen Umgebung.

Vorteile und Probleme von Blockchains

Fachbeitrag

Vorteile und Probleme von Blockchains

Industrie, Staaten und Freiheitskämpfer sind alle an den Möglichkeiten von Blockchains interessiert. In diesem Artikel erläutern wir, was eine Blockchain eigentlich ist und welche verschiedene Typen von Blockchains prävalent sind. Anschliessend erläutern wir die derzeitigen Probleme heutiger Blockchains, wie zum Beispiel deren Skalierbarkeit und der Schutz der Privatsphäre, und beenden den Artikel mit einem Ausblick auf zukünftige Entwicklungsmöglichkeiten.

Extraterritoriale Wirkung der DSGVO

Fachbeitrag

Extraterritoriale Wirkung der DSGVO

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.

Der «Swiss Finish» im Vorentwurf des DSG

Fachbeitrag

Der «Swiss Finish» im Vorentwurf des DSG

Die Datenschutzgesetzgebung wird gegenwärtig auf europäischer und auf schweizerischer Ebene revidiert. Der Vorentwurf des DSG soll dabei nicht nur die ERK-108 und die Schengen-Richtlinie umzusetzen, sondern auch die schweizerische Datenschutzgesetzgebung der DSGVO angleichen. Der Vorentwurf geht mit seinem «Swiss Finish» aber in vielen Punkten über das von der DSGVO Geforderte hinaus. Der Vorentwurf sieht gegenüber der DSGVO weitergehende Informationspflichten vor. Restriktiver sind auch die Regelungen zur Datenbekanntgabe ins Ausland und der Datenschutz-Folgenabschätzung. Der Vorentwurf bringt zudem strengere Meldepflichten für schweizerische Unternehmen und damit einen höheren Administrativaufwand für die Unternehmen wie auch den EDÖB mit sich.

Auf dem Weg zu einem neuen DSG

Fachbeitrag

Auf dem Weg zu einem neuen DSG

In der Schweiz haben in den letzten Jahren viele abgewartet, wie die EU ihre eingeleitete Datenschutzreform zu Ende bringen wird. Das Ziel der EU war es, das Datenschutzrecht den Bedürfnissen der Informationsgesellschaft anzupassen. Dabei stand die Stärkung des Schutzes der betroffenen Personen unter gleichzeitiger Erleichterung des Datenaustauschs im Vordergrund. Dies sollte erreicht werden durch technikorientierte Bestimmungen («Privacy by Design») und die Stärkung der Rechte der betroffenen Personen. Die Datenbearbeiter haben durch eine Nachweisdokumentation und die Informationspflicht bei Datenschutzverletzungen eine angemessene Transparenz ihrer Datenbearbeitungen zu schaffen. Mit Sanktionsmöglichkeiten bei Verstössen gegen die Datenschutzbestimmungen und einer effektiven und effizienten Aufsicht durch Datenschutzbehörden sollte ein System geschaffen werden, das die Anliegen des Schutzes der Privatsphäre mit dem Bedürfnis nach der Auswertung und dem Austausch von Daten zum Ausgleich bringt.