Privacy Legal | Daniela Fabian






Datenschutz ist zu einem entscheidenden Erfolgsfaktor für jedes Unternehmen geworden

Die stetige Weiterentwicklung des Internet, neue Technologien zur einfachen Datenverfolgung und zum weltweiten Informationsaustausch sowie diverse Technologien zur Datenauswertung haben vielen Unternehmen neue Geschäftsmöglichkeiten eröffnet. Gleichzeitig verabschieden zahlreiche Länder, darunter die EU und die Schweiz, laufend neue oder strengere Gesetze, um der rasanten Entwicklung neuer Technologien und der wachsenden Besorgnis von Konsumenten, Angestellten und anderen Interessengruppen bezüglich Erhebung, Nutzung, Bekanntgabe und Sicherheit ihrer Personendaten gerecht zu werden.


Was ist Datenschutz?

Datenschutz ist das Recht jedes Einzelnen, über die Verwendung der ihn betreffenden Personendaten zu entscheiden und die Erhebung, Nutzung und Bekanntgabe seiner Personendaten selbst zu kontrollieren.

Personendaten sind alle Informationen, die sich auf eine Person beziehen, unabhängig davon ob die Person bestimmt ist, beispielsweise durch den Namen, oder bloss bestimmbar ist, beispielsweise durch eine Passnummer oder durch einen Code.


Weshalb geht Datenschutz Unternehmen etwas an?

Jedes Unternehmen ist gesetzlich verpflichtet, Personendaten und Persönlichkeitsrechte zu schützen. Insbesondere wenn eine Gesellschaft IT-Systeme oder neue Geschäftsmodelle plant und entwickelt, wie zum Beispiel weltweite Datenmanagementsysteme oder die Auslagerung von Aktivitäten, müssen die Anforderungen in Bezug auf Datenschutz sowie Transferrestriktionen von Anfang an berücksichtigt werden.

Die Nichteinhaltung gesetzlicher Verpflichtungen birgt erhebliche Risiken und die Konsequenzen können schwerwiegend sein.

Unzureichendes Datenschutzmanagement kann den Ruf eines Unternehmens schwer schädigen und das Vertrauen der verschiedenen Interessengruppen beeinträchtigen. Weitere mögliche Folgen sind unter anderem hohe Geldstrafen, gerichtliche Verfügungen, Audits durch staatliche Behörden sowie strafrechtliche Verantwortlichkeit.


Was sollten Unternehmen tun?

Unternehmen sollten darauf vorbereitet sein, auf die wachsenden Herausforderungen zu reagieren. Ein gut strukturiertes Datenschutzkonzept vereinfacht das Datenschutzmanagement, denn es unterstützt Unternehmen, proaktiv auf die stetig wachsenden Herausforderungen im Bereich Datenschutz zu reagieren und sowohl rechtliche als auch organisatorische und strategische Anforderungen zu erfüllen und so Risiken zu minimieren. Zugleich bietet ein gut funktionierendes Datenschutzmanagement die Grundlage, Verantwortungsbewusstsein zu zeigen und das Vertrauen der verschiedenen Interessengruppen zu steigern.


Wie können wir Sie unterstützen?

Wir helfen Ihnen durch strukturierte und risikobasierte Massnahmen, die Einhaltung von Datenschutzvorschriften zu gewährleisten und so rechtliche als auch unternehmerische Risiken zu vermeiden. Dabei berücksichtigen wir sowohl die für Ihr Unternehmen geltenden gesetzlichen und behördlichen Vorgaben als auch Ihre individuellen Bedürfnisse.

Entwicklungen:

Privacy by Design als Chance für Unternehmen


Das Schweizer Parlament hat kürzlich das revidierte Datenschutzgesetz verabschiedet. Neu gilt der Grundsatz des sogenannten «Privacy by Design». Die korrekte Umsetzung dieses Prinzips ist die Grundvoraussetzung für einen verantwortungsvollen und effektiven Datenschutz und trägt entscheidend zum Erfolg eines Unternehmens bei. In einem Artikel im Magazin Bilanz (Fokus Business Success) erläutert Daniela Fábián den Grundsatz und seine praktische Umsetzung.

Um den Artikel als PDF herunterzuladen klicken Sie bitte hier.

 

 

 

Das neue Schweizer Datenschutzgesetz - Die wichtigsten Neuerungen für Unternehmen


Das Schweizer Parlament hat am 25. September 2020 das revidierte Datenschutzgesetz (DSG-neu) verabschiedet. Über das Inkrafttreten entscheidet der Bundesrat nach Ablauf der 100-tägigen Referendumsfrist. Dieser Artikel fasst die wichtigsten Neuerungen für Unternehmen zusammen.

Um den Artikel zu lesen, klicken Sie bitte hier

 

Das revidierte Schweizer Datenschutzgesetz ist verabschiedet


Das revidierte Schweizer Datenschutzgesetz ist verabschiedet 

Das Schweizer Parlament hat am 25. September 2020, das revidierte DSG (DSG-neu) verabschiedet (angenommener Schlussabstimmungstext DSG). Das Bundesgesetz untersteht dem fakultativen Referendum. Über das Inkrafttreten entscheidet der Bundesrat nach Ablauf der 100-tägigen Referendumsfrist. 

Nachdem sich die Räte bis zuletzt beim Thema Profiling uneinig waren, konnten sie sich schliesslich auf die Einführung des Konzepts «Profiling mit hohem Risiko» einigen. Die Konsequenz dieser Art von Profiling ist, dass die Einwilligung, sofern erforderlich, ausdrücklich erfolgen muss (siehe unten die relevanten Gesetzesartikel betreffend Profiling und Einwilligung). 

Wie die Risikoprüfung beim Profiling in der Praxis erfolgen soll, wird sich zeigen müssen, wird aber sicherlich für Unternehmen eine Herausforderung sein. 

Zu beachten ist, dass das revidierte DSG kein Einwilligungserfordernis für das Profiling mit hohem Risiko einführt, sondern lediglich fordert, dass eine Einwilligung, sofern diese als Rechtfertigungsgrund nach Art. 31 DSG-neu überhaupt erforderlich ist, ausdrücklich erfolgen muss. Es sei daran erinnert, dass die Grundkonzeption des DSG und DSG-neu anders ist als diejenige der DSGVO. Während nach der DSGVO für die Verarbeitung von personenbezogenen Daten immer ein Rechtsgrund erforderlich ist (Art. 6 und 9 DSGVO), ist die Bearbeitung von Personendaten nach dem DSG und DSG-neu grundsätzlich erlaubt, solange die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzt wird. Nach dem DSG-neu gilt demnach weiterhin das «Erlaubnisprinzip mit Verbotsvorbehalt» während nach der DSGVO das «Verbotsprinzip mit Erlaubnisvorbehalt» gilt. 

Das revidierte Datenschutzgesetz gilt künftig für die Bearbeitung von Personendaten natürlicher Personen (heute auch juristischer Personen). Es führt spezifische Begriffe, wie "Verantwortlicher" und "Auftragsbearbeiter" ein und erweitert den Begriff der "besonders schützenswerten Personendaten" um "genetische Daten" und "biometrische Daten, die eine natürliche Person eindeutig identifizieren". Konzepte, wie bereits aus der DSGVO bekannt, sind nun im Gesetz verankert, wie beispielsweise Privacy by Design, das Verzeichnis der Bearbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, die allgemeine Informationspflicht bei der Beschaffung von Personendaten und die Meldung von Verletzungen der Datensicherheit. Künftig müssen auch im Ausland ansässige Verantwortliche unter bestimmten Voraussetzungen einen Vertreter in der Schweiz benennen, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Das neue Gesetz verschärft die Strafbestimmungen mit Bussen von bis zu 250 000 Franken für Privatpersonen, die gegen gewisse Bestimmungen verstossen, wie die Informations-, Auskunfts- und Mitwirkungspflicht mit dem EDÖB, die Bestimmungen über die Bekanntgabe von Personendaten ins Ausland und die Beauftragung von Auftragsbearbeitern sowie die Nichteinhaltung der Mindestanforderungen an die Datensicherheit.

Eine detaillierte Zusammenfassung und Analyse des revidierten Gesetzes und seiner Grundsätze wird folgen.

 

Relevante Artikel im DSG-neu betreffend Profiling: 

Art. 5 lit f

Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Art. 5 lit g

Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

Art. 6 Abs. 6

Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird. 

Art. 6 Abs. 7

Die Einwilligung muss ausdrücklich erfolgen für: 

a. die Bearbeitung von besonders schützenswerten Personendaten; 

b. ein Profiling mit hohem Risiko durch eine private Person; oder 

c. ein Profiling durch ein Bundesorgan. 

Art. 30

Persönlichkeitsverletzungen

1 Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. 

2 Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn: 

a. Personendaten entgegen den Grundsätzen nach den Artikeln 6 und 8 bearbeitet werden; 

b. Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden; 

c. Dritten besonders schützenswerte Personendaten bekanntgegeben werden. 

3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Art. 31 Abs. 1

Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. 

Privacy by Design as a Fundamental Requirement for the Processing of Personal Data


Dieser Artikel ist nur auf Englisch verfügbar. 

 

Bitte klicken Sie hier, um den Artikel als PDF herunterzuladen.

Bitte klicken Sie hier, um den Artikel online zu lesen.


Artikel zu grenzüberschreitenden Datenübermittlungen im Fokus Rechtsguide


In einem Artikel im Fokus Rechtsguide erklärt Daniela Fábián Masoch, worauf bei grenzüberschreitenden Datenübermittlungen geachtet werden muss und welche Auswirkungen das Urteil des EuGH in Sachen Schrems II für Schweizer Unternehmen hat.


Um das PDF herunterzuladen klicken Sie bitte hier: Fokus Rechtsguide 2020.pdf 

Um den Artikel online zu lesen, klicken Sie bitte hier.

 

 

 

Urteil des EuGH zu grenzüberschreitenden Datenübermittlungen aus der EU in Drittländer - was nun?


Am 16. Juli 2020 verkündete der Gerichtshof der Europäischen Union (EuGH) sein Urteil in der Rechtssache C-311/18 — Data Protection Commissioner v. Facebook Irland und Maximillian Schrems (Schrems II). In diesem Fall ersuchte M. Schrems die Kommission, die Übermittlung seiner personenbezogenen Daten durch Facebook Irland an die in den USA ansässige Facebook Inc. zu verbieten oder auszusetzen, mit der Begründung, dass dieses Drittland kein angemessenes Schutzniveau gewährleiste. Dieses Urteil hat weitreichende Konsequenzen für jegliche Datenübermittlung aus der EU in Drittländer.

 

Der folgende Artikel erläutert die Ergebnisse der Entscheidung des EuGH, die Reaktionen der Datenschutzbehörden sowie die Konsequenzen für Unternehmen, die personenbezogene Daten aus der EU in Drittländer übermitteln. Bitte klicken Sie hier um den Artikel zu lesen.

Privacy by design in digital health


Dieser Artikel ist nur auf Englisch vefügbar. Um ihn zu lesen, klicken Sie bitte hier.

Warum sollten Unternehmen in Binding Corporate Rules investieren?


Privacy in Practice Workshops


Privacy in Practice, ein Training, der aus einer Reihe von Workshops von Praktikern für Praktiker besteht, wurde kürzlich von FABIAN PRIVACY LEGAL ins Leben gerufen. Privacy in Practice zielt darauf ab, Unternehmen das Wissen und die Werkzeuge zur Verfügung zu stellen, die sie benötigen, um Datenschutz- und Sicherheitsanforderungen effektiv und nachhaltig umzusetzen. Die Workshops werden in Form von Vorträgen von ausgewiesenen Datenschutzexperten und langjährigen Praktikern, Praxisbeispielen sowie interaktiven Gruppenarbeiten und Diskussionen durchgeführt. Die ersten Workshops finden am 3. September, 15. Oktober und 14. November 2019 in Basel statt. Die Anmeldung ist über www.privacyinpractice.ch möglich.

Privacy by Design in practice


Privacy by Design in practice.pdf

Das Konzept des Verantwortlichen und des Auftragsverarbeiters in der Praxis


Das Konzept des Verantwortlichen und Auftragsverarbeiters in der Praxis.pdf

12. November 2020: Die Europäische Kommission veröffentlicht Entwurf der revidierten Standardvertragsklauseln


Am 12. November 2020 hat die Europäische Kommission einen Entwurf der revidierten Standardvertragsklauseln veröffentlicht. Die öffentliche Konsultation dauert bis zum 10. Dezember 2020.

Die Entscheidung der Kommission sowie der Anhang mit den vorgeschlagenen Vertragsklauseln sind nur in englischer Sprache verfügbar. Um die Dokumente herunterzuladen, klicken Sie bitte auf die folgenden Links:

Commission implementing decision

Annex

11. November 2020: Der Europäische Datenschutzausschuss gibt Empfehlungen zu grenzüberschreitenden Datentransfers heraus


Am 11. November 2020 hat der Europäische Datenschutzausschuss zwei Empfehlungen zu grenzüberschreitenden Datentransfers herausgegeben. Die öffentliche Konsultation dauert bis zum 30. November 2020.

  • Empfehlungen 01/2020 zu Massnahmen, welche die Instrumente für internationale Datentransfers ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten (diese Empfehlungen beinhalten ein mehrstufiges Vorgehen für Datenexporteure, mögliche Ressourcen sowie Beispiele für zusätzliche Massnahmen, die getroffen werden können) und
  • Empfehlungen 02/2020 zu wesentlichen Garantien für Überwachungsmassnahmen (diese Empfehlungen listen Punkte auf, anhand derer festgestellt werden kann, ob Überwachungsmassnahmen, die Behörden in Drittländern Zugriff auf personenbezogene Daten gewähren, als gerechtfertigter Eingriff betrachtet werden können oder nicht).

Die Empfehlungen sind nur in englischer Sprache verfügbar. Um die Dokumente herunterzuladen, klicken Sie bitte auf die folgenden Links:


4. Mai 2016: EU Datenschutz-Grundverordnung veröffentlicht


Am 4. Mai 2016 hat die Europäische Union die Endfassung der EU Datenschutz-Grundverordnung (DSGVO) veröffentlicht.  Die DSGVO wird die EU Datenschutz-Direktive ersetzen und nach einer zweijährigen Umsetzungsfrist ab dem 25. Mai 2018 in allen EU Staaten unmittelbar und direkt gelten. Unternehmen haben bis dahin Zeit, ihr Datenschutz Management System den neuen Anforderungen anzupassen.

Die DSGVO sieht strengere und neue Rechte für Datensubjekte vor, beispielsweise ein Recht auf Vergessen oder ein Recht auf Datenübertragbarkeit, sowie neue Verpflichtungen für verantwortliche Unternehmen (Controller) und Auftragsdatenbearbeiter (Processor).

Hier sind ein paar der wichtigsten Änderungen:

1. Der räumliche Anwendungsbereich hat sich insofern geändert, dass nun neben Controllers neu auch Processors in der EU der Verordnung unterstehen. Wichtig ist, dass neu auch Unternehmen, die NICHT in der EU niedergelassen sind, der Verordnung unterstehen, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das (online) Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

2. Verantwortliche Unternehmen müssen die Einhaltung der Verordnung nachweisen können und haben somit neu eine Rechenschaftspflicht (accountability). Diese beinhaltet Pflichten, wie:

  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • Einführung einer Datenschutzpolitik und Richtlinien
  • Bestellung eines Datenschutzverantwortlichen in bestimmten Fällen
  • Umsetzung von technischen und organisatorischen Sicherheitsmassnahmen
  • Umsetzung von „privacy by design“ und „privacy by default“
  • Durchführung von Datenschutzfolgeabschätzungen

Verantwortliche Unternehmen können die Einhaltung der Verordnung auf verschiedene Weise bewiesen, beispielsweise durch Unternehmensrichtlinien, sog. Binding Corporate Rules (BCR), Zertifizierungen oder Verhaltens Kodizes.

3.     Die Bedingungen für die Einwilligung sind strenger. Verantwortliche Unternehmen müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese muss freiwillig, spezifisch, eindeutig und aufgrund von genügend Informationen und für besonders schützenwerten Daten explizit erfolgen. Die Einwilligung muss jederzeit widerrufbar sein. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sich von den anderen Sachverhalten klar unterscheiden. Die Einwilligung ist nicht gültig, wenn ein klares Missverhältnis zwischen dem Datensubjekt und dem verantwortlichen Unternehmen besteht, was beispielsweise in einem Arbeitsverhältnis der Fall sein könnte. Schliesslich ist eine Einwilligung ungültig, wenn die Erfüllung eines Vertrages, einschliesslich die Erbringung einer Dienstleistung, von einer solchen Einwilligung abhängt, wenn für die Erfüllung des Vertrages die Verarbeitung der personenbezogenen Daten nicht erforderlich ist.

4. Auftragsdatenbearbeiter unterstehen ebenfalls der Verordnung und haben nun direkte gesetzliche Pflichten.

5. Im Falle einer Verletzung des Schutzes personenbezogener Daten, welche voraussichtlich zu einem Risiko für die betroffenen Personen führt, muss das verantwortliche Unternehmen die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden. Hat die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge, dann muss das verantwortliche Unternehmen die betroffenen Personen unverzüglich von der Verletzung benachrichtigen.

6. Datensubjekte können ihre Ansprüche auf immateriellen Schadenersatz geltend machen, wobei das verantwortliche Unternehmen die Beweislast trägt. Bussgelder für Verletzungen, beispielsweise Nichtbeachtung der Rechte der betroffenen Personen oder die Übermittlung von personenbezogenen Daten an einen Empfänger in einem Drittland ohne adäquaten Datenschutz, können bis zu 20 Millionen Euro oder 4% des weltweit jährlichen Umsatzes betragen.

Was sollten Unternehmen jetzt tun?

Unternehmen, welche der DSGVO unterstehen, sollten jetzt damit beginnen, ihren Datenschutz den neuen Anforderungen anzupassen und insbesondere:

  1. Sich mit der DSGVO auseinandersetzen und ihre Verpflichtungen verstehen
  2. Eine Gefährdungsanalyse und einen Soll-Ist-Vergleich durchführen, um allfällige Lücken zwischen ihrem jetzigen Datenschutz Management System und den neuen Anforderungen zu identifizieren.
  3. Notwendige Massnahmen definieren und einen entsprechenden Zeit- und Umsetzungsplan erstellen
  4. Richtlinien und Meinungen von nationalen Datenschutzbehörden und der Artikel 29 Arbeitsgruppe (WP29), welche in den nächsten Monaten erlassen werden, beachten.

Wir unterstützen Sie gerne bei der Erarbeitung der Grundlagen und eines vertieften Verständnisses der Anforderungen sowie bei der Durchführung von Gefährdungsanalysen, Soll-Ist Analysen, Entwicklung oder Anpassung von Datenschutz Management Systemen, Richtlinien und Prozessen um eine optimale Basis zur Einhaltung der neuen DSGVO zu erschaffen und gleichzeitig Risiken zu minimieren.

Den finalen Text der DSGVO finden Sie in verschiedenen Sprachen hier:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

Möchten Sie mehr erfahren? Dann kontaktieren Sie uns via E-Mail unter daniela.fabian@privacylegal.ch oder via Telefon unter +41 61 564 01 08.