iusNet Digitales Recht und Datenrecht

Schulthess Logo

Digitales Recht und Datenrecht > Stichwortverzeichnis > Verantwortlichkeit für Datenbearbeitung

Verantwortlichkeit für Datenbearbeitung

EDPB publiziert finale Fassung der Leitlinie für virtuelle Sprachassistenten

Gesetzgebung
DSGVO
EDPB publiziert finale Fassung der Leitlinie für virtuelle Sprachassistenten
Der Europäische Datenschutzausschuss (EDPB) publizierte am 14. Juli 2021 die endgültige Fassung seiner Leitlinien 02/2021 zur virtuellen Sprachunterstützung (Virtual Voice Assistant, VVA). In den Leitlinien werden die wichtigsten Herausforderungen bei der Einhaltung der anwendbaren Vorschriften aufgezeigt und Empfehlungen für die betroffenen Akteure gegeben. Der EDPB hebt die besonderen Transparenz-Herausforderungen bei virtuellen Sprachassistenten hervor, weil zahlreiche Akteure in einem komplexen System Daten austauschen. Die EDPB empfiehlt, dass die Nutzer über die Zwecke der Verarbeitung personenbezogener Daten informiert werden, die mit ihren Erwartungen an das von ihnen gekaufte Gerät übereinstimmen sollten. Sodann sollten Verantwortliche für jeden Zweck eine gesonderte Einverständniserklärung einholen, damit die Nutzer ihre Einwilligung für bestimmte Zwecke des virtuellen Sprachassistenten geben können.
iusNet DigR 28.09.2021

Mehr Transparenz im neuen DSG

Fachbeitrag

Mehr Transparenz im neuen DSG

Wie die Rechte der betroffenen Personen mit transparenteren Datenbearbeitungen gestärkt werden sollen

Das neue DSG wird vermehrt Bestimmungen aufweisen, die eine transparentere Datenbearbeitung zum Ziel haben, um die Verantwortlichkeit des Datenbearbeiters klarer zu erfassen und die Rechte der betroffenen Personen zu stärken. Damit nimmt das DSG eine Entwicklung der neuen europäischen Gesetzgebung zum Datenschutz auf. Eine Analyse der neuen Bestimmungen zeigt, dass sowohl vom Konzept als auch von der Ausführung her nicht absehbar ist, welche Wirkung sie entfalten werden. Das Parlament hat weiter dazu beigetragen, dass wenig klar wird, in welche Richtung gezielt wird. Auf jeden Fall ist nur schwer nachvollziehbar, wie mit gewissen Änderungen die Rechte der betroffenen Personen gestärkt werden sollen. Auch ein Blick auf die Umsetzung der DSGVO zeigt, dass es wohl kaum möglich sein wird, die anvisierten Ziele der Transparenz zu erreichen.
digma 1/2020

Outsourcing und Verantwortung

Fachbeitrag

Outsourcing und Verantwortung

Auftragsdatenbearbeitung ist en vogue, doch viele Fragen zur Verantwortlichkeit sind noch offen

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.
digma 3/2019

Wenn die Rechtsauslegung «nebulös» wird

Fachbeitrag

Wenn die Rechtsauslegung «nebulös» wird

Cloud-Computing in der Verwaltung verändert die Art und Weise der Datenbearbeitung – aber nicht das Recht

Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.
digma 3/2019

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Zu Begriff, Anforderungen und Rechtsfolgen der arbeitsteiligen Datenbearbeitung

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.
digma 3/2019

Erste Erfahrungen mit der DSGVO

Fachbeitrag

Erste Erfahrungen mit der DSGVO

Die Welt ist mit der Datenschutz-Grundverordnung der EU nicht untergegangen, aber komplizierter geworden

Die DSGVO gilt seit rund einem halben Jahr. In vielen Punkten besteht trotz (zum Teil auch wegen) behördlicher Leitlinien weiterhin grosse Unklarheit, bspw. beim Anwendungsbereich der DSGVO, bei den Rechtsgrundlagen, bei Datenschutzerklärungen, im Zusammenhang mit Betroffenenrechten und bei der datenschutzrechtlichen Rollenverteilung. Auch in den vielen (vor allem in Deutschland) erschienenen Kommentierungen sind viele Fragen strittig, und andere bleiben offen. Dagegen sind Abmahnwellen bisher ausgeblieben, und es sind erst wenige Sanktionsentscheide ergangen. Auch ist die Zahl von Betroffenenanfragen bisher nicht explodiert. Auf Seite der Unternehmen werden die Umsetzungsarbeiten fortgesetzt. In der Schweiz beginnt Ende November die Beratung des DSG, die hoffentlich mit Augenmass geführt wird.
digma 4/2018