Resultate für:

129 Resultat(e)

Personendaten ohne Identifizierbarkeit?

Fachbeitrag

Personendaten ohne Identifizierbarkeit?

Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.

Outsourcing und Verantwortung

Fachbeitrag

Outsourcing und Verantwortung

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.

Cybersecurity und Cyberresilienz

Fachbeitrag

Cybersecurity und Cyberresilienz

Stellen Sie sich vor, Ihre IT-Systeme sind Opfer eines Cyberangriffes. – Aktuell werden täglich mehrere Millionen Cyberangriffe weltweit gestartet, wobei selbstverständlich nicht alle erfolgreich verlaufen. Besonders gefährdet sind kritische Infrastrukturen wie Wasser- und Elektrizitätswerke oder Unternehmen im Gesundheitsbereich (insbesondere Spitäler).

Transparenz – aber doch nicht bei mir …

Fachbeitrag

Transparenz – aber doch nicht bei mir …

Sicherheitsmassnahmen und Vorbeugung

Fachbeitrag

Sicherheitsmassnahmen und Vorbeugung

Hergeleitet von wesentlichen Ereignissen wurde aufgezeigt, dass die traditionellen Schutzmassnahmen nicht mehr genügen, um Sicherheit zu gewährleisten. Neu braucht es Resilienz («protect, detect and respond»), um auf Vorfälle vorbereitet zu sein. Eine generelle Ausrichtung auf Angriffsszenarien ist nicht langfristig möglich, sondern es muss auf die Entwicklung der Hackerszene eingegangen werden und die Szenarien müssen auf regelmässiger Basis entsprechend angepasst werden. Neue Konzepte sind notwendig, um Antworten auf die neuen Bedrohungen zu entwickeln. Anhand von fünf «lessons learned» wurde die Entwicklung aufgezeigt.

Quo vadis KI? Neues Weissbuch der EU

Fachbeitrag

Quo vadis KI? Neues Weissbuch der EU

Stellen Sie sich vor, Sie müssen Vorschläge für einen künftigen Regelungsrahmen von künstlicher Intelligenz (KI) ausarbeiten. – Die EU hat in einem im Februar 2020 veröffentlichen Weissbuch1 exakt dies getan und Ideen zur gesetzlichen Regelungen von KI vorgelegt. Diese basieren unter anderem auf den von der OECD 2019 veröffentlichten Grundsätzen zur KI2. Die EU legt den Fokus im genannten Weissbuch auf die Frage, wie sich gesetzliche Regelungen zur KI ausgestalten müssen, damit sich das Potenzial sowie aber auch die Gefahren von KI zielführend kanalisieren lassen3. Die bis zum Sommer 2020 durchgeführte Vernehmlassung zum Weissbuch ergab, dass 75 Prozent der Befragten der Ansicht sind, dass im Rahmen von KI Regelungsbedarf besteht4.

Cloud-spezifische Risiken und Massnahmen

Fachbeitrag

Cloud-spezifische Risiken und Massnahmen

Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt.

Gesichtserkennung im Supermarkt?

Fachbeitrag

Gesichtserkennung im Supermarkt?

Gesichtserkennung könnte dem stationären Handel ermöglichen, datentechnisch zum Online-Handel aufzuschliessen. Sie funktioniert offline so, wie es ein Cookie online tut: Ein Kunde kann wiedererkannt werden, ohne dass er etwas dafür tun muss – oder nur schon etwas davon mitbekommt. Das ist einem Grossteil der Bevölkerung nicht geheuer: Für zwei Drittel der Kunden wäre Gesichtserkennung ein Grund, das betreffende Geschäft zu meiden. Diese fehlende gesellschaftliche Akzeptanz ist einer der Gründe, weshalb Gesichtserkennung hierzulande im Detailhandel noch kaum eingesetzt wird. Ein anderer sind hohe datenrechtliche Anforderungen. Die Mehrzahl der Anwendungen von Gesichtserkennung setzt eine Einwilligung voraus und muss somit als Opt-in-Modell ausgestaltet werden – jedenfalls wenn die DSGVO zugrunde gelegt wird. Das führt zur Prognose, dass anonymes Einkaufen noch lange möglich sein wird.

Klar, dich kenn‘ ich doch!

Fachbeitrag

Klar, dich kenn‘ ich doch!

Zu wissen, wer sich an einem bestimmten Ort aufhält (oder aufgehalten hat) – ein Traum für viele. Etwa für die Werbung. «Lieber Peter Muster! Schön, dass Sie uns wieder besuchen!». Wieviel freundlicher ist das doch, beim Eingang ins Warenhaus so begrüsst zu werden, statt einfach vor der Rolltreppe zu stehen und zu versuchen, auf einer Übersichtstafel herauszufinden, wo es Socken zu kaufen gibt. Vielleicht wird auch gleich: «Sie haben letztes Mal einen Freizeitanzug gekauft – wir hätten heute das passende Hemd dazu ...», und, weil ich ja ein guter Kunde bin: «... für Sie zum unschlagbaren Sonderpreis von 79 Franken!».

Zum Anwendungsbereich der DSGVO

Fachbeitrag

Zum Anwendungsbereich der DSGVO

Es ist nicht abschliessend geklärt, ob die DSGVO auf schweizerische Unternehmen anwendbar ist, wenn und weil diese als Auftragsverarbeiter eines Verantwortlichen mit Niederlassung in der EU tätig sind oder umgekehrt Daten durch einen EU-Auftragsverarbeiter verarbeiten lassen. Nach hier vertretener Auffassung ist dies nicht der Fall; in solchen Konstellationen untersteht nur das Unternehmen in der EU der DSGVO.