iusNet Digitales Recht und Datenrecht

Schulthess Logo

Auftragsdatenbearbeitung

Fünf Kriterien zur Abgrenzung von Verantwortlichen und Auftragsbearbeitern nach DSG und DSGVO

Fachbeitrag

Fünf Kriterien zur Abgrenzung von Verantwortlichen und Auftragsbearbeitern nach DSG und DSGVO

Das neue Schweizer Datenschutzgesetz definiert, ähnlich wie die DSGVO, die Rollen von Verantwortlichen und Auftragsbearbeitern. In der Praxis bleibt jedoch unklar, wer über Zweck und Mittel der Datenverarbeitung entscheidet. Fehlende vertragliche Regelungen können zu Bussgeldern führen. Der Beitrag bietet anhand der Leitlinien des EDSA und neuer EuGH-Rechtsprechung seit Dezember 2023 Auslegungshilfen.
Nicole Beranek Zanon
iusNet DigR 26.09.2024

Neue CNIL Guideline für Auftragsverarbeiter zum Thema die Weiterverarbeitung von anvertrauten Daten

Gesetzgebung
Data Governance und Compliance
Verantwortlicher und Auftragsdatenverarbeiter
Neue CNIL Guideline für Auftragsverarbeiter zum Thema die Weiterverarbeitung von anvertrauten Daten
Am 12. Januar 2022 hat die CNIL eine neue Guideline veröffentlicht zum Thema inwiefern Datenverarbeiter von Verantwortlichen anvertraute Daten weiterverarbeiten dürfen.
iusNet DigR 31.01.2022

Digitalisierter Arztbesuch und Cloud-Nutzung im Lichte des Datenschutzrechts des Bundes und der Kantone

Fachbeitrag

Digitalisierter Arztbesuch und Cloud-Nutzung im Lichte des Datenschutzrechts des Bundes und der Kantone

Applikationen rund um den digitalisierten Arztbesuch müssen höchsten Ansprüchen an die Verfügbarkeit, Leistungsfähigkeit und Stabilität der Dienstleistungen genügen. Der Einsatz reifer Cloud-Lösungen ist eine zunehmend gewählte Option, diesen Bedürfnissen zu begegnen. Dieser Beitrag zeigt, dass Ärztinnen und Spitäler reife Cloud-Lösungen – entgegen einem Trend in der aktuellen öffentlichen Debatte – datenschutzrechtskonform und unter Wahrung des Arztgeheimnisses einsetzen können.
sic! 12/2020

Outsourcing und Verantwortung

Fachbeitrag

Outsourcing und Verantwortung

Auftragsdatenbearbeitung ist en vogue, doch viele Fragen zur Verantwortlichkeit sind noch offen

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.
digma 3/2019

Wenn die Rechtsauslegung «nebulös» wird

Fachbeitrag

Wenn die Rechtsauslegung «nebulös» wird

Cloud-Computing in der Verwaltung verändert die Art und Weise der Datenbearbeitung – aber nicht das Recht

Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.
digma 3/2019

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Zu Begriff, Anforderungen und Rechtsfolgen der arbeitsteiligen Datenbearbeitung

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.
digma 3/2019

Erste Erfahrungen mit der DSGVO

Fachbeitrag

Erste Erfahrungen mit der DSGVO

Die Welt ist mit der Datenschutz-Grundverordnung der EU nicht untergegangen, aber komplizierter geworden

Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.
digma 4/2018

Der «Swiss Finish» im Vorentwurf des DSG

Fachbeitrag

Der «Swiss Finish» im Vorentwurf des DSG

Erhebliche Unterschiede zwischen dem Vorentwurf des DSG und der DSGVO in Bezug auf private Datenbearbeiter

Die Datenschutzgesetzgebung wird gegenwärtig auf europäischer und auf schweizerischer Ebene revidiert. Der Vorentwurf des DSG soll dabei nicht nur die ERK-108 und die Schengen-Richtlinie umzusetzen, sondern auch die schweizerische Datenschutzgesetzgebung der DSGVO angleichen. Der Vorentwurf geht mit seinem «Swiss Finish» aber in vielen Punkten über das von der DSGVO Geforderte hinaus. Der Vorentwurf sieht gegenüber der DSGVO weitergehende Informationspflichten vor. Restriktiver sind auch die Regelungen zur Datenbekanntgabe ins Ausland und der Datenschutz-Folgenabschätzung. Der Vorentwurf bringt zudem strengere Meldepflichten für schweizerische Unternehmen und damit einen höheren Administrativaufwand für die Unternehmen wie auch den EDÖB mit sich.
digma 1/2017

Auftragsdatenbearbeitung – zum Ersten

Fachbeitrag

Auftragsdatenbearbeitung – zum Ersten

Die Auftragsdatenbearbeitung stellt ein wiederkehrendes Element im Rahmen moderner Entwicklungen wie «Big Data», «Cloud Computing» oder «any time, anywhere and any device» dar. Da diese in mehrfacher Hinsicht Fallstricke birgt, sind Kenntnisse darüber, welche rechtlichen Vorgaben in deren Umfeld zu beachten sind, unerlässlich. Entsprechend soll die Auftragsdatenbearbeitung im Rahmen einer Artikelreihe eingehend beleuchtet werden. Der vorliegende erste Teil befasst sich schwergewichtig mit den Rechtsgrundlagen und deren inhaltlichen Ausgestaltung.
digma 1/2014