Resultate für:

44 Resultat(e)

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Löschen und doch nicht löschen

Fachbeitrag

Löschen und doch nicht löschen

Die Pflicht zu Löschen ist unbestritten. Doch was bedeutet «Löschen» wirklich? Die Antwort liefert der Begriff des «Personendatums»: Löschen bedeutet nicht, dass es unter keinen Umständen mehr möglich ist, an die gelöschten Daten zu gelangen. Es genügt bereits, wenn sich Personendaten nur noch mit unverhältnismässigen Mitteln wiederherstellen lassen. Eine Anonymisierung von Personendaten genügt damit ebenso wie andere Verfahren, bei denen mit aller Wahrscheinlichkeit verhindert wird, dass die betroffenen Personen re-identifiziert werden können. Das wiederum hängt davon ab, wie hoch das Interesse an einer Re-Identifikation ist und welche Methoden hierfür zur Verfügung stehen. Dies wiederum hängt zum Beispiel davon ab, wie sensitiv die Daten sind. Sind Daten in einem System zwar noch vorhanden, kann das Unternehmen (und wer sonst noch Zugang dazu hat) aber mit verhältnismässigem Aufwand nicht mehr an sie gelangen, gelten sie als gelöscht. Es ist von einer «logischen» Löschung die Rede.

Datenschutz auf der Intensivstation

Fachbeitrag

Datenschutz auf der Intensivstation

Das Datenschutzrecht wurde und wird umfassend revidiert, es beruht aber noch immer auf Konzepten aus den 1960er- und 1970er-Jahren des letzten Jahrhunderts. Es erstaunt deshalb wenig, dass das geltende (und künftige) Recht nicht in der Lage ist, die heutigen Probleme überzeugend zu lösen. Dieser Beitrag legt den Finger auf die wunden Punkte und versucht, erste Schritte hin zu einem neuen Ansatz zu skizzieren. Er ist bewusst provokativ gehalten und hofft, eine (längst überfällige) Diskussion zu den Grundfragen des Datenschutzrechts anzuregen.

Künstliche Intelligenz und die Herausforderungen einer Regulierung

Fachbeitrag

Data Governance und Compliance

Künstliche Intelligenz und die Herausforderungen einer Regulierung

Die Europäische Kommission hat am 21. April 2021 den weltweit ersten Rechtsrahmen für Künstliche Intelligenz, – kurz KI, – in Form einer Verordnung vorgelegt. Mit dem Beitrag soll beispielhaft gezeigt werden, dass die Anforderungen an einen Einsatz von KI über datenschutzrechtliche Anforderungen hinausgehen.

Caroline Danner

Sturm und Drang in der EU – die neuen Whatsapp AGBs schlagen Wellen

Fachbeitrag

DSGVO

Sturm und Drang in der EU – die neuen Whatsapp AGBs schlagen Wellen

Die App Whatsapp bzw. der Anbieter Facebook bietet stets Diskussionsstoff. Aktuell stehen dessen AGB abermals im Fokus verschiedener Behörden.

Xavier Igloi

Vorschlag der EU-Kommission für eine Verordnung über künstliche Intelligenz

Fachbeitrag

Künstliche Intelligenz

Vorschlag der EU-Kommission für eine Verordnung über künstliche Intelligenz

Vor fünf Monaten hat die Europäische Kommission ihren Entwurf eines Vorschlags für eine Verordnung über einen europäischen Ansatz für KI veröffentlicht – worum geht’s?

Alesch Staehelin

Was stellt eine Übermittlung personenbezogener Daten an ein Drittland dar?

Fachbeitrag

DSGVO

Was stellt eine Übermittlung personenbezogener Daten an ein Drittland dar?

Die DSGVO enthält keine Definition des Begriffs "Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation". Am 18. November 2021 erliess der Europäische Datenschutzausschuss (EDSA) den Entwurf der Leitlinie zur internationalen Datenübermittlung und versucht, dieses Konzept zu präzisieren.

Denis F. Berger

Rahmenbedingungen der Datensammlung

Fachbeitrag

Rahmenbedingungen der Datensammlung

Die Verwendung von staatlichen Überwachungsmassnahmen bei strafrechtlichen Ermittlungen, die zur Verurteilung führen, sind mit dem Recht auf Achtung des Privatlebens (Art. 8 EMRK) vereinbar, wenn gewisse Rahmenbedingungen erfüllt sind. Der EGMR stellt dabei zuerst auf eine genügende gesetzliche Grundlage für die Massnahme ab, bevor die Verhältnismässigkeit des Grundrechteingriffs beurteilt wird. Für diese Abwägung sind die Dauer der Überwachung, fehlende andere Überwachungsmöglichkeiten und das Ziel der Massnahme entscheidende Faktoren.

Quo vadis KI? Neues Weissbuch der EU

Fachbeitrag

Quo vadis KI? Neues Weissbuch der EU

Stellen Sie sich vor, Sie müssen Vorschläge für einen künftigen Regelungsrahmen von künstlicher Intelligenz (KI) ausarbeiten. – Die EU hat in einem im Februar 2020 veröffentlichen Weissbuch1 exakt dies getan und Ideen zur gesetzlichen Regelungen von KI vorgelegt. Diese basieren unter anderem auf den von der OECD 2019 veröffentlichten Grundsätzen zur KI2. Die EU legt den Fokus im genannten Weissbuch auf die Frage, wie sich gesetzliche Regelungen zur KI ausgestalten müssen, damit sich das Potenzial sowie aber auch die Gefahren von KI zielführend kanalisieren lassen3. Die bis zum Sommer 2020 durchgeführte Vernehmlassung zum Weissbuch ergab, dass 75 Prozent der Befragten der Ansicht sind, dass im Rahmen von KI Regelungsbedarf besteht4.

Zum Anwendungsbereich der DSGVO

Fachbeitrag

Zum Anwendungsbereich der DSGVO

Es ist nicht abschliessend geklärt, ob die DSGVO auf schweizerische Unternehmen anwendbar ist, wenn und weil diese als Auftragsverarbeiter eines Verantwortlichen mit Niederlassung in der EU tätig sind oder umgekehrt Daten durch einen EU-Auftragsverarbeiter verarbeiten lassen. Nach hier vertretener Auffassung ist dies nicht der Fall; in solchen Konstellationen untersteht nur das Unternehmen in der EU der DSGVO.