iusNet Digitales Recht und Datenrecht

Schulthess Logo

Auftragsdatenbearbeitung

Digitalisierter Arztbesuch und Cloud-Nutzung im Lichte des Datenschutzrechts des Bundes und der Kantone

Fachbeitrag
Applikationen rund um den digitalisierten Arztbesuch müssen höchsten Ansprüchen an die Verfügbarkeit, Leistungsfähigkeit und Stabilität der Dienstleistungen genügen. Der Einsatz reifer Cloud-Lösungen ist eine zunehmend gewählte Option, diesen Bedürfnissen zu begegnen. Dieser Beitrag zeigt, dass Ärztinnen und Spitäler reife Cloud-Lösungen – entgegen einem Trend in der aktuellen öffentlichen Debatte – datenschutzrechtskonform und unter Wahrung des Arztgeheimnisses einsetzen können.
sic! 12/2020

Wenn die Rechtsauslegung «nebulös» wird

Fachbeitrag

Cloud-Computing in der Verwaltung verändert die Art und Weise der Datenbearbeitung – aber nicht das Recht

Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.
digma 3/2019

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Zu Begriff, Anforderungen und Rechtsfolgen der arbeitsteiligen Datenbearbeitung

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.
digma 3/2019

Erste Erfahrungen mit der DSGVO

Fachbeitrag

Die Welt ist mit der Datenschutz-Grundverordnung der EU nicht untergegangen, aber komplizierter geworden

Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.
digma 4/2018