Resultate für:

104 Resultat(e)

Elektronische Identität für die Schweiz

Fachbeitrag

Elektronische Identität für die Schweiz

Der Beitrag zeigt anhand einer typischen E-Commerce-Transaktion mittels E-ID auf, welche Akteure Daten bearbeiten und an welche gesetzlichen Rahmenbedingungen diese gebunden sind. Dabei wird ersichtlich, dass klare Unterschiede für die Identity-Provider und die E-ID-verwendenden Dienste in Bezug auf die rechtlichen Anforderungen an die Datenbearbeitung existieren. Während das BGEID einen differenzierten Pflichtenkatalog aufstellt für die Datenbearbeitung der Identity-Provider (z.B. Verbot des Verkaufs von Nutzungsprofilen, Datenbearbeitung in der Schweiz, klare Löschungspflichten), werden die E-ID-verwendenden Dienste im BGEID nur punktuell adressiert. Für Letztere gilt das DSG und somit auch die Pflicht, den Datenschutz durch technische und organisatorische Massnahmen sicherzustellen.

Identifizierung in der virtuellen Welt

Fachbeitrag

Identifizierung in der virtuellen Welt

In der virtuellen Welt geschieht die Identifizierung in der Regel anhand weniger, meist selbst deklarierter Attribute. In der realen Welt und im E-Government hingegen ist die staatliche (zivile) Identität gefordert. Während Letztere in der realen Welt durch den Staat sichergestellt ist, sollen dies nun in der virtuellen Welt private Identifizierungsdienstanbieter (IdP) im Auftrag des Staats übernehmen. Diesen IdP muss absolut vertraut werden können, da IdP nicht nur von Kunden angewählte Stellen im Internet sehen können, sondern theoretisch auch Identitätsdiebstahl begehen könnten. Die Überprüfung der Sicherheit von IdP umfasst alle Elemente und Verfahren von der Registrierung über die Authentisierung bis hin zu organisatorischen und rechtlichen Fragen wie Verfügbarkeit, Aufsicht, Haftung und Maturität.

Identität und ihre Identifikatoren

Fachbeitrag

Identität und ihre Identifikatoren

In der physischen Welt ist unsere Identität durch Abgleich innerer und äusserer Wahrnehmungen geformt. Der amtliche Name spielt nur in rechtsverbindlichen Interaktionen eine Rolle und dient als verbindlicher Identifikator. Der Mensch bleibt aber der «Anker»; von ihm werden die Attribute erfasst und an ihm können sie überprüft werden. Bei der digitalen Identität ist die physische Person durch einen meist eindeutigen Bezeichner – den Identifikator – ersetzt. Die der Person zugeordneten Merkmale werden von dem «Besitzer» des Identifikators kontrolliert. Dieser bestimmt, unter welchen Umständen Daten in die Sammlung aufgenommen respektive angepasst werden. Auch wenn die Person nicht bekannt ist, kann doch mit den gesammelten Merkmalen ein Personenprofil aufgebaut und schlussendlich die Person (wieder)erkannt werden. Dabei ist eine gewisse Ungenauigkeit tolerierbar, wie zum Beispiel beim Browser-Fingerprint – einem Identifikator, der für Marketingzwecke eine ausreichende Identifikation erlaubt.

Österreichischen Datenschutzbehörde befindet Google Analytics als nicht DSGVO-konform

Rechtsprechung

DSGVO

Österreichischen Datenschutzbehörde befindet Google Analytics als nicht DSGVO-konform

Gemäss Entscheid der österreichischen Datenschutzbehörde vom 22. Dezember 2021 würden Webseiten-Betreiber, die Google Analytics einsetzen, und Daten an Google LLC mit Sitz in den USA übermitteln, nicht dem Schutzniveau der DSGVO entsprechen. Insbesondere die von Google aufgezeigten technischen Massnahmen hätten nicht genügt, ein der DSGVO gleichwertiges Datenschutzniveau herzustellen.

Braucht die Schweiz ein CLOUD Act Executive Agreement?

Fachbeitrag

Braucht die Schweiz ein CLOUD Act Executive Agreement?

Basierend auf dem CLOUD Act können die USA Executive Agreements mit Drittstaaten über die Herausgabe von Informationen für Strafverfahren eingehen. Ein erstes solches Executive Agreement haben die USA mit dem UK abgeschlossen. Dieser Beitrag erörtert die Vor- und Nachteile eines Executive Agreement und analysiert, ob ein solches auch für die Schweiz sinnvoll wäre.

Erfüllung und Vollstreckung von Kryptowährungsforderungen

Fachbeitrag

Erfüllung und Vollstreckung von Kryptowährungsforderungen

Seit jeher und auch wieder in jüngster Vergangenheit – unter anderem aufgrund der medialen Äusserungen von Elon Musk – sind die extremen Kursschwankungen von Kryptowährungen stetiges Thema in den Medien. Die hohe Volatilität von Kryptowährungen bietet nicht nur beim Handel mit Kryptowährungen auf entsprechenden Handelsplattformen, sondern auch im gewöhnlichen Geschäftsverkehr eine Spekulationsmöglichkeit. In diesem Beitrag wird untersucht, ob die Alternativermächtigung nach Art. 84 Abs. 2 OR analog auf Kryptowährungsforderungen anwendbar ist, ob eine Kryptowährungsforderung mit einer Forderung in gesetzlicher Währung verrechnet werden kann und wie eine Kryptowährungsforderung vollstreckungsrechtlich zu behandeln ist.

Leitlinie 04/2021 zu Verhaltensregeln als Instrument für die Übermittlung - Eine Übersicht

Gesetzgebung

DSGVO

Leitlinie 04/2021 zu Verhaltensregeln als Instrument für die Übermittlung - Eine Übersicht

Die Übermittlung personenbezogener Daten von in der EU praktizierende Unternehmen und Entitäten nach oder über nicht in der EU ansässigen Entitäten benötigen Regeln zwischen den Parteien, damit der Datenschutz gewährleistet wird. Dazu hat der Europäische Datenschutzrat am 4. März 2022 die Leitlinien für Verhaltensregeln als Instrument für die Übermittlung veröffentlicht. Gemäss Art 46 DSGVO darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Kommentierung

Verantwortlicher und Auftragsdatenverarbeiter

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Die französische Datenschutzbehörde (CNIL) publizierte am 12. Januar 2022 eine Guideline, ob und unter welchen Voraussetzungen ein Auftragsverarbeiter die Daten, die er von einem für die Verarbeitung Verantwortlichen erhält, für eigene Zwecke wiederverwenden kann. Für die Praxis stellen sich einige schwierige Umsetzungsfragen: Nach den Ausführungen CNIL müssen drei Voraussetzungen erfüllt sein, insbesondere eine schriftliche Vereinbarung mit dem Auftragsverarbeiter über die Weiterverwendung von Daten, einen im Einzelfall durch den ursprünglichen Verantwortlichen durchzuführenden Kompatibilitätstest nach Artikel 6(4) DSGVO und schliesslich einer Informationspflicht des ursprünglich Verantwortlichen an die betroffenen Personen über die Weiterverarbeitung.

Olivier Heuberger

Das Fürstentum Liechtenstein verbietet Google Analytics

Fachbeitrag

Data Governance und Compliance

DSGVO

Das Fürstentum Liechtenstein verbietet Google Analytics

Schon einiges wird und wurde über Google Analytics geschrieben, die Datenschutzstelle Liechtenstein hat auf die Entscheide im europäischen Raum reagiert und kommuniziert klar, dass alternative Tools zu verwenden sind.

Google Analytics im europäischen Kreuzfeuer

Fachbeitrag

Data Analytics

DSGVO

Google Analytics im europäischen Kreuzfeuer

In einer Verflechtung von Behörden, Gesetzen, Verfahren und Technologien, einem trüben Datenschutz-Eintopf, der seit Jahren brodelt, macht der Google-Konzern mit seinen Angeboten immer wieder Schlagzeilen; allen voran sein Dienst Google Analytics. Warum?

Denis F. Berger