Meldepflicht bei Datenschutzverletzungen

Fachbeitrag

Meldepflicht bei Datenschutzverletzungen

Mit der Totalrevision des Datenschutzgesetzes soll neu eine Meldepflicht bei Datenschutzverletzungen eingeführt werden. Die vorgesehene Regelung ist grundsätzlich zu begrüssen, doch besteht in verschiedener Hinsicht Klärungsbedarf. Der vorliegende Beitrag stellt die vorgesehene Meldepflicht in ihren Grundzügen dar und zeigt offene Fragen und Lösungsansätze auf.

ePatientendossier und Datenschutz

Fachbeitrag

ePatientendossier und Datenschutz

Herrscht seit dem Inkrafttreten der Gesetzgebung zum elektronischen Patientendossier am 15. April 2017 Datenschutzalarm? Nein, die Gesetzgebung zum elektronischen Patientendossier ist weitgehend datenschutzkonform ausgestaltet – der Weg dorthin war allerdings lang und von Stolpersteinen geprägt. Die meisten Stolpersteine liessen sich reduzieren oder beseitigen. Einige hat der Gesetzgeber wissentlich und willentlich belassen.

Vorteile und Probleme von Blockchains

Fachbeitrag

Vorteile und Probleme von Blockchains

Industrie, Staaten und Freiheitskämpfer sind alle an den Möglichkeiten von Blockchains interessiert. In diesem Artikel erläutern wir, was eine Blockchain eigentlich ist und welche verschiedene Typen von Blockchains prävalent sind. Anschliessend erläutern wir die derzeitigen Probleme heutiger Blockchains, wie zum Beispiel deren Skalierbarkeit und der Schutz der Privatsphäre, und beenden den Artikel mit einem Ausblick auf zukünftige Entwicklungsmöglichkeiten.

Ist auf unsere digitalen Assistenten Verlass?

Fachbeitrag

Ist auf unsere digitalen Assistenten Verlass?

Maschinelles Lernen hat in den letzten Jahren eine unglaubliche Popularität erlangt. Neben spektakulären Siegen im Schach, Jeopardy! und Go gibt es zahlreiche erfolgreiche Anwendungen in der Bild- und Spracherkennung, die immer öfter menschliche Fähigkeiten übertreffen. Anlass genug, um diese Technologie in kritische Felder wie medizinische Bildgebung und selbstfahrende Autos zu integrieren. Die meisten Systeme werden aber nicht mit Blick auf Sicherheit und Resilienz entworfen und können von jedem motivierten Angreifer mit einem guten Verständnis des Systems getäuscht werden. Die Wirksamkeit von Anwendungen mit maschinellem Lernen sollte daher nicht nur an ihrer Präzision gemessen werden, sondern auch an ihrer Widerstandskraft in einer feindlichen Umgebung.

Die automatisierte Einzelentscheidung

Fachbeitrag

Die automatisierte Einzelentscheidung

Der Vorentwurf für ein neues Schweizer Datenschutzgesetz (VE-DSG) schlägt Informations- und Anhörungspflichten vor, wenn der Verantwortliche Einzelentscheidungen automatisiert trifft. Die entsprechenden Pflichten sollen sowohl im öffentlichen als auch privaten Datenschutz zur Anwendung gelangen. Im öffentlichen Bereich erweisen sich diese Bestimmungen jedoch als obsolet, weil der Grundsatz des rechtlichen Gehörs gemäss Art. 29 Abs. 2 BV dem Datensubjekt die betreffenden Rechte bereits heute gewährt, und zwar unabhängig davon, ob staatliches Handeln durch Verfügung oder durch Realakt infrage steht. Dem Privatrecht sind generelle Informations- und Anhörungspflichten heute hingegen fremd. Aus dem Grundsatz der Vertragsfreiheit folgt vielmehr, dass das Gegenüber im Privatrechtsverkehr nicht informiert oder gar angehört werden muss. Die neuen Pflichten greifen daher – entgegen der Meinung des erläuternden Berichts – in die Vertragsfreiheit ein, weil der Verantwortliche nunmehr erklären muss, wie und warum er zu einer bestimmten Entscheidung gelangt ist.

Extraterritoriale Wirkung der DSGVO

Fachbeitrag

Extraterritoriale Wirkung der DSGVO

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.

Der «Swiss Finish» im Vorentwurf des DSG

Fachbeitrag

Der «Swiss Finish» im Vorentwurf des DSG

Die Datenschutzgesetzgebung wird gegenwärtig auf europäischer und auf schweizerischer Ebene revidiert. Der Vorentwurf des DSG soll dabei nicht nur die ERK-108 und die Schengen-Richtlinie umzusetzen, sondern auch die schweizerische Datenschutzgesetzgebung der DSGVO angleichen. Der Vorentwurf geht mit seinem «Swiss Finish» aber in vielen Punkten über das von der DSGVO Geforderte hinaus. Der Vorentwurf sieht gegenüber der DSGVO weitergehende Informationspflichten vor. Restriktiver sind auch die Regelungen zur Datenbekanntgabe ins Ausland und der Datenschutz-Folgenabschätzung. Der Vorentwurf bringt zudem strengere Meldepflichten für schweizerische Unternehmen und damit einen höheren Administrativaufwand für die Unternehmen wie auch den EDÖB mit sich.

Auf dem Weg zu einem neuen DSG

Fachbeitrag

Auf dem Weg zu einem neuen DSG

In der Schweiz haben in den letzten Jahren viele abgewartet, wie die EU ihre eingeleitete Datenschutzreform zu Ende bringen wird. Das Ziel der EU war es, das Datenschutzrecht den Bedürfnissen der Informationsgesellschaft anzupassen. Dabei stand die Stärkung des Schutzes der betroffenen Personen unter gleichzeitiger Erleichterung des Datenaustauschs im Vordergrund. Dies sollte erreicht werden durch technikorientierte Bestimmungen («Privacy by Design») und die Stärkung der Rechte der betroffenen Personen. Die Datenbearbeiter haben durch eine Nachweisdokumentation und die Informationspflicht bei Datenschutzverletzungen eine angemessene Transparenz ihrer Datenbearbeitungen zu schaffen. Mit Sanktionsmöglichkeiten bei Verstössen gegen die Datenschutzbestimmungen und einer effektiven und effizienten Aufsicht durch Datenschutzbehörden sollte ein System geschaffen werden, das die Anliegen des Schutzes der Privatsphäre mit dem Bedürfnis nach der Auswertung und dem Austausch von Daten zum Ausgleich bringt.

Whistleblowing und Datenschutz

Fachbeitrag

Whistleblowing und Datenschutz

International wie auch national gewinnt Whistleblowing immer mehr an Bedeutung. Eine gesetzliche Regelung gibt es in der Schweiz bis anhin jedoch noch nicht. Die vorgesehene Gesetzesrevision wurde vom Parlament zwecks Vereinfachung des Gesetzestextes an den Bundesrat zurückgeschickt. Trotz der fehlenden gesetzlichen Regelung steht Whistleblowing jedoch nicht völlig im rechtsfreien Raum. Arbeitsschutz- und vor allem datenschutzrechtliche Bestimmungen bestehen, die auch zwingend für Whistleblowing gelten. So sind die datenschutzrechtlichen Bearbeitungsgrundsätze wie Verhältnismässigkeit, Treu und Glauben, Zweckbindung, Erkennbarkeit, Datenrichtigkeit und Datensicherheit auch bei der Bearbeitung von Personendaten in einem Whistleblowing-System anzuwenden.

Rahmenbedingungen der Datensammlung

Fachbeitrag

Rahmenbedingungen der Datensammlung

Die Verwendung von staatlichen Überwachungsmassnahmen bei strafrechtlichen Ermittlungen, die zur Verurteilung führen, sind mit dem Recht auf Achtung des Privatlebens (Art. 8 EMRK) vereinbar, wenn gewisse Rahmenbedingungen erfüllt sind. Der EGMR stellt dabei zuerst auf eine genügende gesetzliche Grundlage für die Massnahme ab, bevor die Verhältnismässigkeit des Grundrechteingriffs beurteilt wird. Für diese Abwägung sind die Dauer der Überwachung, fehlende andere Überwachungsmöglichkeiten und das Ziel der Massnahme entscheidende Faktoren.