iusNet Digitales Recht und Datenrecht

Schulthess Logo

Resultate für:

0

113 Resultat(e)

Personendaten ohne Identifizierbarkeit?

Fachbeitrag

Personendaten ohne Identifizierbarkeit?

Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.
digma 4/2017

Outsourcing und Verantwortung

Fachbeitrag

Outsourcing und Verantwortung

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.
digma 3/2019

Sicherheitsmassnahmen und Vorbeugung

Fachbeitrag

Sicherheitsmassnahmen und Vorbeugung

Hergeleitet von wesentlichen Ereignissen wurde aufgezeigt, dass die traditionellen Schutzmassnahmen nicht mehr genügen, um Sicherheit zu gewährleisten. Neu braucht es Resilienz («protect, detect and respond»), um auf Vorfälle vorbereitet zu sein. Eine generelle Ausrichtung auf Angriffsszenarien ist nicht langfristig möglich, sondern es muss auf die Entwicklung der Hackerszene eingegangen werden und die Szenarien müssen auf regelmässiger Basis entsprechend angepasst werden. Neue Konzepte sind notwendig, um Antworten auf die neuen Bedrohungen zu entwickeln. Anhand von fünf «lessons learned» wurde die Entwicklung aufgezeigt.
digma 4/2020

Cloud-spezifische Risiken und Massnahmen

Fachbeitrag

Cloud-spezifische Risiken und Massnahmen

Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt.
digma 3/2019

Zum Anwendungsbereich der DSGVO

Fachbeitrag

Zum Anwendungsbereich der DSGVO

Es ist nicht abschliessend geklärt, ob die DSGVO auf schweizerische Unternehmen anwendbar ist, wenn und weil diese als Auftragsverarbeiter eines Verantwortlichen mit Niederlassung in der EU tätig sind oder umgekehrt Daten durch einen EU-Auftragsverarbeiter verarbeiten lassen. Nach hier vertretener Auffassung ist dies nicht der Fall; in solchen Konstellationen untersteht nur das Unternehmen in der EU der DSGVO.
digma 4/2017

Ist Einwilligung gleich Einwilligung?

Fachbeitrag

Ist Einwilligung gleich Einwilligung?

Stellen Sie sich vor, alle Einwilligungen sind gleich, aber einige Einwilligungen sind gleicher als andere. Wenn Sie dieser Satz an die Farm der Tiere von George Orwell erinnert, liegen Sie richtig. – Wie verhält es sich aber tatsächlich mit der Gleichheit von Einwilligungen und ist eine solche erstrebenswert?
digma 3/2017

Extraterritoriale Wirkung der DSGVO

Fachbeitrag

Extraterritoriale Wirkung der DSGVO

Die Bestimmungen der DSGVO sind für schweizerische Unternehmen relevant. Dies gilt insbesondere dann, wenn ein schweizerisches Unternehmen Personendaten im Auftrag eines Datenverantwortlichen in der EU bearbeitet, wenn ein schweizerisches Unternehmen sich mit einem Onlineshop spezifisch an EU-Bürger richtet oder auf einer Webseite die Internetaktivitäten von EU-Bürgern beobachtet. Nicht nur die DSGVO wirkt sich extraterritorial aus. Auch ohne explizite gesetzliche Regelung kann bereits das geltende schweizerische Datenschutzrecht auf internationale Verhältnisse Anwendung finden. Daran wird sich mit der Revision des schweizerischen Datenschutzgesetzes nichts ändern. Die Anwendbarkeit des schweizerischen Datenschutzgesetzes auf ausländische Unternehmen bzw. die Anwendbarkeit der DSGVO auf schweizerische Unternehmen ist das eine. In der Praxis schwieriger ist die Vollstreckung von datenschutzrechtlichen Massnahmen und Sanktionen im internationalen Verhältnis.
digma 1/2017

Whistleblowing und Datenschutz

Fachbeitrag

Whistleblowing und Datenschutz

International wie auch national gewinnt Whistleblowing immer mehr an Bedeutung. Eine gesetzliche Regelung gibt es in der Schweiz bis anhin jedoch noch nicht. Die vorgesehene Gesetzesrevision wurde vom Parlament zwecks Vereinfachung des Gesetzestextes an den Bundesrat zurückgeschickt. Trotz der fehlenden gesetzlichen Regelung steht Whistleblowing jedoch nicht völlig im rechtsfreien Raum. Arbeitsschutz- und vor allem datenschutzrechtliche Bestimmungen bestehen, die auch zwingend für Whistleblowing gelten. So sind die datenschutzrechtlichen Bearbeitungsgrundsätze wie Verhältnismässigkeit, Treu und Glauben, Zweckbindung, Erkennbarkeit, Datenrichtigkeit und Datensicherheit auch bei der Bearbeitung von Personendaten in einem Whistleblowing-System anzuwenden.
digma 1/2016

Pseudonymisierung von Bankkundendaten

Fachbeitrag

Pseudonymisierung von Bankkundendaten

Die Rechtsnatur pseudonymisierter Bankkundendaten ist lange unklar geblieben. Nach jüngster Rechtsprechung sind solche Daten prinzipiell aus Sicht des Empfängers weder vom DSG noch vom Bankgeheimnis geschützt, sofern die Pseudonymisierung die Wiedererkennung der betroffenen Kunden wirksam verhindert. Angesichts der einschlägigen Rechtsprechung sind jedoch bestimmte Vorsichtsmassnahmen (namentlich eine gründliche Risikobewertung) vor der Weitergabe pseudonymisierter Bankkundendaten empfehlenswert.
digma 4/2020

Seiten