EuGH Entscheid One Stop Shop C-645/19

Rechtsprechung

DSGVO

C-645/19

Europäischer Gerichtshof (EuGH)

EuGH Entscheid One Stop Shop C-645/19

Die Zentralen Fragen drehen sich um die Abgrenzung zwischen wann die federführende Behörde im Sinne des sogenannten "One Stop Shop" Prinzips ausschliesslich für eine Angelegenheit zuständig ist, und wann eine andere Aufsichtsbehörde die Befugnis hat, Klage zu erheben und Abklärungen vorzunehmen, sprich vom Prinzip One Stop Shop abgewichen werden kann.

Digitalisierter Arztbesuch und Cloud-Nutzung im Lichte des Datenschutzrechts des Bundes und der Kantone

Fachbeitrag

Digitalisierter Arztbesuch und Cloud-Nutzung im Lichte des Datenschutzrechts des Bundes und der Kantone

Applikationen rund um den digitalisierten Arztbesuch müssen höchsten Ansprüchen an die Verfügbarkeit, Leistungsfähigkeit und Stabilität der Dienstleistungen genügen. Der Einsatz reifer Cloud-Lösungen ist eine zunehmend gewählte Option, diesen Bedürfnissen zu begegnen. Dieser Beitrag zeigt, dass Ärztinnen und Spitäler reife Cloud-Lösungen – entgegen einem Trend in der aktuellen öffentlichen Debatte – datenschutzrechtskonform und unter Wahrung des Arztgeheimnisses einsetzen können.

Das Recht auf Datenportabilität

Fachbeitrag

Das Recht auf Datenportabilität

Ein neues datenschutzrechtliches Instrument: Inhalt, Gegenstand sowie Hinweise zur Umsetzung in der Praxis

Die Konturen des neuen Rechts auf Datenportabilität sind zwar noch zu schärfen, aber die Datenschutzpraktiker blicken bereits jetzt gespannt auf die Möglichkeiten, die sich aus dem neuen Instrument ergeben. Mit der Datenportabilität kommt es zu einem Paradigmenwechsel im Datenschutzrecht: Statt formeller Compliance-Massnahmen (wie z.B. Mitteilungspflichten und Dokumentationsvorschriften) erhält die betroffene Person ein Instrument, um zu einer interessanten Anlaufstelle zu werden, wenn es um die eigenen Personendaten geht. Die betroffene Person wird mit der Datenportabilität ganz pointiert ins Zentrum gestellt. Deswegen muss die Datenportabilität als genuin datenschutzrechtliches Instrument verstanden werden. Es geht nicht nur um konsumentenschützerische bzw. wettbewerbspolitische Ziele.

Datenschutz auf der Intensivstation

Fachbeitrag

Datenschutz auf der Intensivstation

Das Datenschutzrecht wurde und wird umfassend revidiert, es beruht aber noch immer auf Konzepten aus den 1960er- und 1970er-Jahren des letzten Jahrhunderts. Es erstaunt deshalb wenig, dass das geltende (und künftige) Recht nicht in der Lage ist, die heutigen Probleme überzeugend zu lösen. Dieser Beitrag legt den Finger auf die wunden Punkte und versucht, erste Schritte hin zu einem neuen Ansatz zu skizzieren. Er ist bewusst provokativ gehalten und hofft, eine (längst überfällige) Diskussion zu den Grundfragen des Datenschutzrechts anzuregen.

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Zu Begriff, Anforderungen und Rechtsfolgen der arbeitsteiligen Datenbearbeitung

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Kinderrechte in der digitalen Welt

Fachbeitrag

Kinderrechte in der digitalen Welt

Der Schutz von Kindern und Jugendlichen in der digitalen Welt hat bislang wenig Beachtung erfahren. Die Empfehlungen des Europarates CM/Rec(2018)7 schliessen diese Lücke. Insbesondere die Empfehlungen zum Schutz der informationellen Selbstbestimmung zeigen, dass Politik, Eltern und Wirtschaft gleichermassen in der Verantwortung stehen: Kinder und Jugendliche dürfen nicht länger als unmündige «Datenquellen» angesehen werden, sondern als Grundrechtsträgerinnen und -träger.

Technische Gestaltung von Informed Consent

Fachbeitrag

Technische Gestaltung von Informed Consent

Herausforderungen bei der Umsetzung der informierten Einwilligung bei modernen Mensch-Maschine-Schnittstellen

Die gesetzlichen Anforderungen an eine Einwilligung sind sehr hoch. Zudem gab es in den letzten zehn Jahren kaum Fortschritte in ihrer technischen Realisierung. Noch immer beruht das der Einwilligung zugrunde liegende Modell auf Transaktionen mit einen begrenzten Zweck und klar definierten Zeitpunkten für den Informationsaustausch. Die Identität der Organisationen, mit denen man es zu tun hatte, die gesammelten Informationen und wie die Informationen verwendet werden sollten, war bekannt. Im Gegensatz sind digitale Assistenten, mit denen wir reden, proaktiv und merken sich, was ihre Gesprächspartner schätzen. Dazu benötigen sie Informationen, die sie aus dem persönlichen Kalender, Telefonaten und Interaktionen in sozialen Netzwerken gewinnen. Sie werden für die unterschiedlichsten Aufgaben eingesetzt, was es für den Auftraggeber schwierig macht zu wissen, welche Unternehmen ihre Daten verarbeiten und für welche Zwecke. Dies stellt zusätzliche Herausforderungen an die technische Umsetzung von Einwilligungen.

Erste Erfahrungen mit der DSGVO

Fachbeitrag

Erste Erfahrungen mit der DSGVO

Die Welt ist mit der Datenschutz-Grundverordnung der EU nicht untergegangen, aber komplizierter geworden

Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.

Datenschutzreform in der Schweiz

Fachbeitrag

Datenschutzreform in der Schweiz

Der Stand der Anpassungen des Datenschutzrechts von Bund und Kantonen an die europäischen Anforderungen

Wegen der europäischen Datenschutzreformen müssen in der Schweiz die Datenschutzgesetze von Bund und Kantonen angepasst werden. Die Umsetzung der Schengen-relevanten Richtlinie (EU) 2016/680 hätte bis zum 1. August 2018 erfolgen müssen. Dass der Bundesgesetzgeber im Rückstand ist, darüber ist in den Tagesmedien hinlänglich berichtet worden.

Orientierungshilfe im DSGVO-Literatur-Wald

Fachbeitrag

Orientierungshilfe im DSGVO-Literatur-Wald

Die junge EU-Datenschutz-Grundverordnung (DSGVO) wurde erst im Mai dieses Jahres wirksam, und schon erscheint eine Vielzahl der Kommentare in der 2. Auflage. Allein in meinem Regal stehen elf DSGVO-Kommentare (ein Anspruch auf Vollständigkeit sei ausgeschlossen, und die Anzahl der Praxishandbücher bleibe unerwähnt). In der Praxis ist dieser Überfluss an Literatur nicht nur ein Segen. Die Vielzahl der Lehrmeinungen müssen vor dem Hintergrund gelesen werden, dass sie sich weder auf Rechtsprechung noch auf etablierte Behördenpraxis stützen. Folglich stellt sich die Frage, inwiefern die Werke sich voneinander unterscheiden können. Die nachfolgenden Ausführungen sollen Ihnen die Wahl erleichtern. Hierbei vertritt die Autorin ihre persönliche Erfahrung aus der täglichen Praxis – andere Praktiker mögen andere Schwerpunkte setzen.

EU-Datenschutzgrundverordnung