Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Kinderrechte in der digitalen Welt

Fachbeitrag

Kinderrechte in der digitalen Welt

Der Schutz von Kindern und Jugendlichen in der digitalen Welt hat bislang wenig Beachtung erfahren. Die Empfehlungen des Europarates CM/Rec(2018)7 schliessen diese Lücke. Insbesondere die Empfehlungen zum Schutz der informationellen Selbstbestimmung zeigen, dass Politik, Eltern und Wirtschaft gleichermassen in der Verantwortung stehen: Kinder und Jugendliche dürfen nicht länger als unmündige «Datenquellen» angesehen werden, sondern als Grundrechtsträgerinnen und -träger.

Technische Gestaltung von Informed Consent

Fachbeitrag

Technische Gestaltung von Informed Consent

Die gesetzlichen Anforderungen an eine Einwilligung sind sehr hoch. Zudem gab es in den letzten zehn Jahren kaum Fortschritte in ihrer technischen Realisierung. Noch immer beruht das der Einwilligung zugrunde liegende Modell auf Transaktionen mit einen begrenzten Zweck und klar definierten Zeitpunkten für den Informationsaustausch. Die Identität der Organisationen, mit denen man es zu tun hatte, die gesammelten Informationen und wie die Informationen verwendet werden sollten, war bekannt. Im Gegensatz sind digitale Assistenten, mit denen wir reden, proaktiv und merken sich, was ihre Gesprächspartner schätzen. Dazu benötigen sie Informationen, die sie aus dem persönlichen Kalender, Telefonaten und Interaktionen in sozialen Netzwerken gewinnen. Sie werden für die unterschiedlichsten Aufgaben eingesetzt, was es für den Auftraggeber schwierig macht zu wissen, welche Unternehmen ihre Daten verarbeiten und für welche Zwecke. Dies stellt zusätzliche Herausforderungen an die technische Umsetzung von Einwilligungen.

Fähigkeiten der Gesichtserkennung

Fachbeitrag

Fähigkeiten der Gesichtserkennung

Mit den Fortschritten bei neuronalen Netzen hat die maschinelle Gesichtserkennung eine bis dato unerreichte Genauigkeit erlangt. Mit der Fähigkeit, menschliche Gesichter zu erkennen, zu unterscheiden, zu verifizieren und zu verstehen, hat sie Eingang in ein breites Spektrum von Anwendungen in den Bereichen zivile Sicherheit, Strafverfolgung und innere Sicherheit gefunden. Es sind aber immer noch erhebliche technische Hürden bei der Genauigkeit dieser Systeme zu überwinden, insbesondere in uneingeschränkten Umgebungen, zurückzuführt auf verzerrende Faktoren in Bezug auf Pose, Auflösung, Beleuchtung, Verdeckung und Blickwinkel. Auch sollten die Ergebnisse nicht für unterschiedliche Personen oder Bevölkerungsgruppen variieren, abhängig von den Daten, mit denen die Algorithmen trainiert wurden.

Klar, dich kenn‘ ich doch!

Fachbeitrag

Klar, dich kenn‘ ich doch!

Zu wissen, wer sich an einem bestimmten Ort aufhält (oder aufgehalten hat) – ein Traum für viele. Etwa für die Werbung. «Lieber Peter Muster! Schön, dass Sie uns wieder besuchen!». Wieviel freundlicher ist das doch, beim Eingang ins Warenhaus so begrüsst zu werden, statt einfach vor der Rolltreppe zu stehen und zu versuchen, auf einer Übersichtstafel herauszufinden, wo es Socken zu kaufen gibt. Vielleicht wird auch gleich: «Sie haben letztes Mal einen Freizeitanzug gekauft – wir hätten heute das passende Hemd dazu ...», und, weil ich ja ein guter Kunde bin: «... für Sie zum unschlagbaren Sonderpreis von 79 Franken!».

Gesichtserkennung im Supermarkt?

Fachbeitrag

Gesichtserkennung im Supermarkt?

Gesichtserkennung könnte dem stationären Handel ermöglichen, datentechnisch zum Online-Handel aufzuschliessen. Sie funktioniert offline so, wie es ein Cookie online tut: Ein Kunde kann wiedererkannt werden, ohne dass er etwas dafür tun muss – oder nur schon etwas davon mitbekommt. Das ist einem Grossteil der Bevölkerung nicht geheuer: Für zwei Drittel der Kunden wäre Gesichtserkennung ein Grund, das betreffende Geschäft zu meiden. Diese fehlende gesellschaftliche Akzeptanz ist einer der Gründe, weshalb Gesichtserkennung hierzulande im Detailhandel noch kaum eingesetzt wird. Ein anderer sind hohe datenrechtliche Anforderungen. Die Mehrzahl der Anwendungen von Gesichtserkennung setzt eine Einwilligung voraus und muss somit als Opt-in-Modell ausgestaltet werden – jedenfalls wenn die DSGVO zugrunde gelegt wird. Das führt zur Prognose, dass anonymes Einkaufen noch lange möglich sein wird.

Gesichtserkennung auf dem Vormarsch

Fachbeitrag

Gesichtserkennung auf dem Vormarsch

Biometrische Merkmale, wie z.B. das Gesicht, ermöglichen die Identifikation und die Verifikation von Personen. Die Gesichtserkennungstechnik ist heute unterschiedlich ausgestaltet und bereits in diversen Lebensbereichen einsetzbar. Obwohl die dabei erhobenen Daten besonders sensibel sind, werden sie gemäss der aktuellen Gesetzgebung nicht adäquat geschützt. Aufgrund des technischen Fortschritts ist jedoch davon auszugehen, dass die Gesichtserkennung zukünftig vermehrt eingesetzt werden wird. Um die Grundrechte angemessen zu schützen, erscheint deshalb eine Gesetzesänderung notwendig. Zentral ist dabei, dass der Anwendungsbereich der Gesichtserkennungstechnik klar definiert wird, die Bearbeitung der Daten auf den Zweck abstellt und die betroffenen Personen Auskunft über ihre Daten sowie deren Löschung verlangen können.

E-Persönlichkeit für Algorithmen?

Fachbeitrag

E-Persönlichkeit für Algorithmen?

Künstlich intelligente Algorithmen prägen in zuvor nie da gewesener Weise unser Leben. Sie treffen Entscheidungen und führen Handlungen aus, die bislang den Menschen vorbehalten waren. Dies wirft unter anderem die Frage auf, ob die entstehende Verantwortungslücke mit einem speziellen rechtlichen Status für diese künstlich intelligenten Algorithmen, die E-Persönlichkeit, geschlossen werden kann und soll.

Datenschutzreform in der Schweiz

Fachbeitrag

Datenschutzreform in der Schweiz

Wegen der europäischen Datenschutzreformen müssen in der Schweiz die Datenschutzgesetze von Bund und Kantonen angepasst werden. Die Umsetzung der Schengen-relevanten Richtlinie (EU) 2016/680 hätte bis zum 1. August 2018 erfolgen müssen. Dass der Bundesgesetzgeber im Rückstand ist, darüber ist in den Tagesmedien hinlänglich berichtet worden.

Erste Erfahrungen mit der DSGVO

Fachbeitrag

Erste Erfahrungen mit der DSGVO

Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.