Die automatisierte Einzelentscheidung

Fachbeitrag

Die automatisierte Einzelentscheidung

Der Vorentwurf für ein neues Schweizer Datenschutzgesetz (VE-DSG) schlägt Informations- und Anhörungspflichten vor, wenn der Verantwortliche Einzelentscheidungen automatisiert trifft. Die entsprechenden Pflichten sollen sowohl im öffentlichen als auch privaten Datenschutz zur Anwendung gelangen. Im öffentlichen Bereich erweisen sich diese Bestimmungen jedoch als obsolet, weil der Grundsatz des rechtlichen Gehörs gemäss Art. 29 Abs. 2 BV dem Datensubjekt die betreffenden Rechte bereits heute gewährt, und zwar unabhängig davon, ob staatliches Handeln durch Verfügung oder durch Realakt infrage steht. Dem Privatrecht sind generelle Informations- und Anhörungspflichten heute hingegen fremd. Aus dem Grundsatz der Vertragsfreiheit folgt vielmehr, dass das Gegenüber im Privatrechtsverkehr nicht informiert oder gar angehört werden muss. Die neuen Pflichten greifen daher – entgegen der Meinung des erläuternden Berichts – in die Vertragsfreiheit ein, weil der Verantwortliche nunmehr erklären muss, wie und warum er zu einer bestimmten Entscheidung gelangt ist.

Extraterritoriale Wirkung der DSGVO

Fachbeitrag

Extraterritoriale Wirkung der DSGVO

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.

Der «Swiss Finish» im Vorentwurf des DSG

Fachbeitrag

Der «Swiss Finish» im Vorentwurf des DSG

Die Datenschutzgesetzgebung wird gegenwärtig auf europäischer und auf schweizerischer Ebene revidiert. Der Vorentwurf des DSG soll dabei nicht nur die ERK-108 und die Schengen-Richtlinie umzusetzen, sondern auch die schweizerische Datenschutzgesetzgebung der DSGVO angleichen. Der Vorentwurf geht mit seinem «Swiss Finish» aber in vielen Punkten über das von der DSGVO Geforderte hinaus. Der Vorentwurf sieht gegenüber der DSGVO weitergehende Informationspflichten vor. Restriktiver sind auch die Regelungen zur Datenbekanntgabe ins Ausland und der Datenschutz-Folgenabschätzung. Der Vorentwurf bringt zudem strengere Meldepflichten für schweizerische Unternehmen und damit einen höheren Administrativaufwand für die Unternehmen wie auch den EDÖB mit sich.

Auf dem Weg zu einem neuen DSG

Fachbeitrag

Auf dem Weg zu einem neuen DSG

In der Schweiz haben in den letzten Jahren viele abgewartet, wie die EU ihre eingeleitete Datenschutzreform zu Ende bringen wird. Das Ziel der EU war es, das Datenschutzrecht den Bedürfnissen der Informationsgesellschaft anzupassen. Dabei stand die Stärkung des Schutzes der betroffenen Personen unter gleichzeitiger Erleichterung des Datenaustauschs im Vordergrund. Dies sollte erreicht werden durch technikorientierte Bestimmungen («Privacy by Design») und die Stärkung der Rechte der betroffenen Personen. Die Datenbearbeiter haben durch eine Nachweisdokumentation und die Informationspflicht bei Datenschutzverletzungen eine angemessene Transparenz ihrer Datenbearbeitungen zu schaffen. Mit Sanktionsmöglichkeiten bei Verstössen gegen die Datenschutzbestimmungen und einer effektiven und effizienten Aufsicht durch Datenschutzbehörden sollte ein System geschaffen werden, das die Anliegen des Schutzes der Privatsphäre mit dem Bedürfnis nach der Auswertung und dem Austausch von Daten zum Ausgleich bringt.

Whistleblowing und Datenschutz

Fachbeitrag

Whistleblowing und Datenschutz

International wie auch national gewinnt Whistleblowing immer mehr an Bedeutung. Eine gesetzliche Regelung gibt es in der Schweiz bis anhin jedoch noch nicht. Die vorgesehene Gesetzesrevision wurde vom Parlament zwecks Vereinfachung des Gesetzestextes an den Bundesrat zurückgeschickt. Trotz der fehlenden gesetzlichen Regelung steht Whistleblowing jedoch nicht völlig im rechtsfreien Raum. Arbeitsschutz- und vor allem datenschutzrechtliche Bestimmungen bestehen, die auch zwingend für Whistleblowing gelten. So sind die datenschutzrechtlichen Bearbeitungsgrundsätze wie Verhältnismässigkeit, Treu und Glauben, Zweckbindung, Erkennbarkeit, Datenrichtigkeit und Datensicherheit auch bei der Bearbeitung von Personendaten in einem Whistleblowing-System anzuwenden.

Rahmenbedingungen der Datensammlung

Fachbeitrag

Rahmenbedingungen der Datensammlung

Die Verwendung von staatlichen Überwachungsmassnahmen bei strafrechtlichen Ermittlungen, die zur Verurteilung führen, sind mit dem Recht auf Achtung des Privatlebens (Art. 8 EMRK) vereinbar, wenn gewisse Rahmenbedingungen erfüllt sind. Der EGMR stellt dabei zuerst auf eine genügende gesetzliche Grundlage für die Massnahme ab, bevor die Verhältnismässigkeit des Grundrechteingriffs beurteilt wird. Für diese Abwägung sind die Dauer der Überwachung, fehlende andere Überwachungsmöglichkeiten und das Ziel der Massnahme entscheidende Faktoren.

Überwachungen am Arbeitsplatz

Fachbeitrag

Überwachungen am Arbeitsplatz

Der Schutz von Mitarbeitern, Kunden und der Öffentlichkeit erfordert Kontrollen. Marktregulierungen verstärken dieses Bedürfnis. Es besteht aber eine Vielzahl rechtlicher Schranken.

Auftragsdatenbearbeitung – zum Ersten

Fachbeitrag

Auftragsdatenbearbeitung – zum Ersten

Die Auftragsdatenbearbeitung stellt ein wiederkehrendes Element im Rahmen moderner Entwicklungen wie «Big Data», «Cloud Computing» oder «any time, anywhere and any device» dar. Da diese in mehrfacher Hinsicht Fallstricke birgt, sind Kenntnisse darüber, welche rechtlichen Vorgaben in deren Umfeld zu beachten sind, unerlässlich. Entsprechend soll die Auftragsdatenbearbeitung im Rahmen einer Artikelreihe eingehend beleuchtet werden. Der vorliegende erste Teil befasst sich schwergewichtig mit den Rechtsgrundlagen und deren inhaltlichen Ausgestaltung.

Anonymität und Gesichtserkennung

Fachbeitrag

Anonymität und Gesichtserkennung

Heute werden zahlreiche persönliche Daten, darunter auch zahllose Bilder, online gestellt. Gesichtserkennungsalgorithmen ermöglichen es dem Seitenbetreiber im grossen Stil, Bilder den darauf abgebildeten Personen zuzuordnen sowie Verbindungen zwischen Personen aufzudecken. Ein erhöhtes Problembewusstsein seitens der Nutzer ist nötig, doch können auch technische Massnahmen helfen, dieses Risiko zu minimieren. Wir stellen ein Verfahren vor, das es dem Benutzer ermöglicht, vor dem Hochladen von Bildern die Gesichter automatisch so zu modifizieren, dass sie zwar optisch nur wenig verändert wirken, gleichzeitig allerdings von gängigen Gesichtserkennungsalgorithmen nur noch schwer zugeordnet werden können. Dies kann einen Betrag dazu leisten, die Privatsphäre der Nutzer zu schützen, ohne ganz auf die Benutzung von sozialen Netzwerken verzichten zu müssen.

Du sollst Dir kein Bildnis machen ...

Fachbeitrag

Du sollst Dir kein Bildnis machen ...

«Im Bild sein» ist erstrebenswert. Es lohnt sich auch, darüber im Bild zu sein, was passiert, wenn man auf einem Bild drauf ist, das veröffentlicht wird.