30.09.2023

Totalrevidiertes Datenschutzgesetz (DSG): Neue Guidelines und Stellungnahmen unterschiedlicher Bundesbehörden

Fast 12 Jahre nachdem der Bundesrat (BR) das Bundesamt für Justiz (BJ) beauftragt hat, "gesetzgeberische Massnahmen zur Stärkung des Datenschutzes zu prüfen" ist das neue, totalrevidierte Datenschutzgesetz (DSG) nun pünktlich zum meteorologischen Herbstbeginn am 1. September 2023 in Kraft getreten.

Die lange Wartezeit konnte mit einer mittlerweile unüberblickbaren Anzahl an Publikationen im Bereich des Daten(schutz)rechts überbrückt werden. Neben den bereits länger vorliegenden Materialien zum neuen DSG haben in den vergangenen dreissig Tagen unterschiedliche Bundesbehörden weitere Guidelines und Stellungnahmen veröffentlicht:

(i) Bundesrat (BR): Neues Datenschutzrecht ab 1. September 2023 und Neues Datenschutzrecht tritt heute in Kraft  

(ii) Bundesamt für Justiz (BJ): Datenschutz und Schweizerische Anerkennung von Staaten, die einen angemessenen Datenschutz gewährleisten 

(iii) KMU-Portal des SECO: Neues Datenschutzgesetz (revDSG)

Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Hinblick auf das neue DSG seine Webseite generell aktualisiert und insbesondere folgende, neue Merkblätter hinzugefügt: 

(a) Merkblatt betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB  

(b) Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB - Anwendung von Art. 49-53 des revidierten Datenschutzgesetzes  

(c) Merkblatt zur Datenschutz-Folgenabschätzung (DSFA) nach den Art. 22 und 23 DSG

Oft zu wenig beachtet: Als weitreichende Querschnittsmaterie hat das Daten(schutz)recht zahlreiche Implikationen auf eine Vielzahl unterschiedlicher Rechtsgrundlagen. In diesem Zusammenhang wurde u.a. auch das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, BGÖ; SR 152.3) und seine Umsetzung angepasst. Auf der Webseite des EDÖB findet sich eine "Übersicht der wesentlichen Änderungen mit Inkrafttreten des revidierten DSG". Darin werden die Änderungen des BGÖ in Bezug auf den Umgang mit Personendaten und Daten juristischer Personen sowie die im BGÖ referenzierten Bestimmungen anderer Erlasse in Form einer tabellarischen Darstellung aufgezeigt.

Michal Cichocki

06.08.2023

Economiesuisse: Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht

Im Rahmen der extensiven Berichterstattung zu ChatGPT & Co haben zahlreiche Unternehmen und Verbände Dokumente mit entsprechenden Regulierungsvorschlägen publiziert. Der Dachverband der schweizerischen Wirtschaft, economiesuisse, hat nun ebenfalls ein Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht.

Im Gegensatz zu anderen Publikationen beinhaltet das Positionspapier von economisuisse eine Art von Definition - "Was ist KI": Dabei ist einerseits von der Nachbildung von "kognitiven Fähigkeiten wie Lernen, Problemlösung und Entscheidungsfindung" die Rede. Andererseits stelle KI ein "interdisziplinäres Feld dar, das verschiedene Technologien wie maschinelles Lernen, neuronale Netze, natürliche Sprachverarbeitung und Robotik" umfasse. Vor allem handle es sich aber um im "Gegensatz zu herkömmlich automatisierten Prozessen nicht um vorprogrammierte Wenn-Dann-Schemata sondern um Algorithmen, welche sich selbstständig weiterentwickeln und somit lernen können".

KI im oben genannten Sinne solle gemäss economiesuisse mindestens derzeit nicht (spezifisch) reguliert werden; eine übereilte Regulierung würde negative Auswirkungen auf Innovation, Wettbewerb sowie die globale Zusammenarbeit haben und insbesondere KMU massiv belasten. Ferner sei das schwezierische Rechtssystem prinzipienbasiert und technologieneutral ausgestaltet, so dass viele Fragen im Zusammenhang mit KI bereits heute und ohne Anpassungen von Gesetzen (wie z.B. DSG, ZGB/Persönlichkeitsrechte, UWG, StGB) begegnet werden könne. Sollte sich dennoch eine Lücke ergeben, könne diese mittels gezielter Anpassung spezifischer Rechtsgrundlagen - analog DLT-Gesetzgebung - geschlossen werden; ein KI-spezifisches Gesetz wie in der EU lehnt economiesuisse folgerichtig ab.

Schliesslich formuliert das Positionspapier die nachfolgenden Empfehlungen im Zusammenhang mit KI:

1) Ethik: KI-Systeme sollen ethisch vertretbar sein.

2) Transparenz: Von KI-Systemen getroffene Entscheidungen müssen transparent und nachvollziehbar sein, damit sie verstanden und überprüft werden können. Das Datenschutzrecht enthält generelle und im Falle von automatisierten Entscheiden verschärfte Transparenzvorschriften [Hinweis: hier ist die Informationspflicht für automatisierte Einzelentscheidung gemäss Art. 21 revDSG gemeint. Diese ist jedoch ebenfalls technologieneutral und beinhaltet keine spezifische Transparenzpflicht für KI].

3) Wirtschaftsfreiheit: Die Regulierung von KI-Systemen hat das Prinzip der Wirtschafts- und insbesondere der Vertragsfreiheit zu respektieren.

4) Geistiges Eigentum: Das geistige Eigentum muss auf Basis der heute bestehenden Regeln ausreichend geschützt bleiben.

5) Haftung: Die Haftung für KI-Systeme ist zu überprüfen. Allenfalls könnten die vorhandenen Regelungen zur Produkthaftung dahingehend ergänzt werden, dass sie einen angemessenen Schutz der Nutzer von KI-Systemen gewährleisten und Verantwortlichkeiten klar definiert sind.

Michal Cichocki

30.06.2023

Die Schweiz und die Digitalstrategie der Europäischen Union: Eine Übersicht über Rechtsgrundlagen, Massnahmen und mögliche Auswirkungen auf die Schweiz

Die interdepartementale Koordinationsgruppe EU-Digitalpolitik des Bundes (IK-EUDP) erarbeitet alle zwei Jahre eine ausführliche Analyse der regulatorischen Entwicklungen im Zusammenhang mit der EU-Digitalpolitik. Dabei fokussiert die IK-EUDP auf Massnahmen, welche in den Bereich der EU-Digitalstrategie "Europa für das digitale Zeitalter" fallen und mögliche Auswirkungen auf die Schweiz haben. Das jüngste Analysedokument wurde im März 2023 veröffentlicht und behandelt u.a. folgende EU-Rechtsgrundlagen:

(i) Digital Services Act (DSA; am 16. November 2022 in Kraft getreten)
Der DSA sieht einheitliche Regeln für die Rechte und Verantwortlichkeiten von digitalen Diensten, insbesondere auch Online-Plattformen, im Umgang mit illegalen und/oder schädlichen Online-Inhalten vor. Auch im EU-Binnenmarkt tätige Schweizer Online-Dienstanbieter werden den Verpflichtungen des DSA grundsätzlich folgen müssen. Die Auswirkungen dürften sich im Rahmen halten, können aber erst im Laufe der Umsetzung abschliessend abgeschätzt werden.

(ii) Digital Markets Act (DMA; am 1. November 2022 in Kraft getreten)
Der DMA stellt für bestimmte grosse Online-Plattformen (sog. «Gatekeeper») eine Reihe neuer ex-ante Regeln auf. Ziel des DMA ist die Gewährleistung von Bestreitbarkeit und Fairness auf digitalen Märkten. Er ergänzt das Wettbewerbsrecht. Da derzeit keine sehr grossen Plattformen oder Zugangskontroller ihren Sitz in der Schweiz haben, ist das Risiko, dass das DMA direkte Auswirkungen auf Schweizer Online-Anbieter hat, de facto sehr gering.

(iii) Data Governance Act (DGA; am 23. Juni 2022 in Kraft getreten)
Die Verordnung soll die Verfügbarkeit von Daten in allen Tätigkeitsbereichen des Binnenmarkts fördern, indem Anreize für die Weiterverwendung von sensiblen Daten (personenbezogenen und nicht- personenbezogenen Daten) geschaffen werden. Im Rechtsakt werden u. a. spezifische Bedingungen und gemeinsame Grundsätze für Datenvermittler festgelegt. Die Vorgaben für die Weitergabe von vertraulichen Daten öffentlicher Stellen sowie die gesetzlichen Anforderungen für Datenintermediäre gelten nicht für die Schweiz. Schweizer Unternehmen werden jedoch insofern betroffen sein, als Datenintermediäre, welche ihre Dienstleistungen in der EU anbieten, aber nicht in der EU niedergelassen sind, und gewisse Regeln befolgen (Ernennung eines gesetzlichen Vertreters in einem Mitgliedstaat).

(iv) Data Act (Gesetzesvorschlag der KOM vom 23. Februar 2022)
Der Vorschlag legt fest, unter welchen Umständen, in der EU erzeugte, personen- und nicht- personenbezogenen Daten in verschiedenen Wirtschaftssektoren genutzt werden können und wer darauf zugreifen darf. Im Zusammenhang mit dem Data Act stellt sich die Frage der extraterritorialen Wirkung und ob es gegebenenfalls zu Hindernissen im Datentransfer mit der Schweiz kommen könnte. Der Verordnungsvorschlag zum Data Act ist aber weiterhin im Gesetzgebungsprozess und wird noch diskutiert. Es dürften also noch Änderungen zu erwarten sein.

(v) KI-Verordnung (AI Act; Legislativpaket der KOM vom 21. April 2021)
Ein Vorschlag für eine Verordnung zur Festlegung harmonisierter Regeln für Künstliche Intelligenz. Die KI-Verordnung sieht eine Pyramide von Verpflichtungen für KI-Anwendungen vor, die sich nach ihrem Risikoniveau richten. Die Verordnung sieht ebenfalls eine extraterritoriale Wirkung vor und könnte sich daher auch auf die Schweiz auswirken. Der Legislativprozess ist jedoch noch nicht abgeschlossen und insbesondere im Parlament sind noch viele Änderungsvorschläge hängig. Es wird also auch hier noch Änderungen geben.

(vi) Europäische digitale Identität (e-ID; Vorschlag der KOM vom 3. Juni 2021; der Trilog dürfte 2023 beginnen)
Die Verordnung soll einen Rechtsrahmen für verschiedene Formen der digitalen Identifizierung schaffen (eSignature, eID usw.). Die Bürgerinnen und Bürger verfügen künftig über von den Mitgliedstaaten anerkannte digitale Brieftaschen, die ihnen Zugang zu Online-Dienstleistungen bieten. Mit Blick auf die Schaffung einer staatlichen elektronischen Identität in der Schweiz werden die Entwicklungen in der EU genau beobachtet. Damit soll sichergestellt werden, dass eine Schweizer Lösung kompatibel mit den EU-Normen ausgestaltet und ein gegenseitiger grenzüberschreitender Einsatz ermöglicht wird.

(vii) Cybersicherheitsstrategie (schrittweise Umsetzung der Massnahmen seit 2017)
Die Strategie erstreckt sich auf die Sicherheit wesentlicher Dienste wie Krankenhäuser, Energienetze, Eisenbahnen und vernetzte Geräte in Haushalt, Büros und Industrie. Sie bezweckt den Aufbau kollektiver Kapazitäten, um grössere Cyberangriffe abwehren zu können. Die Bemühungen der EU im Bereich Cybersicherheit decken sich mit jenen der Schweiz. Aufgrund der zunehmenden Bestrebungen zur Stärkung der strategischen Autonomie Europas muss die EU die Bedingungen für die Anerkennung von Zertifizierungssystemen von Drittstaaten bzw. für deren Beteiligung am Coordination Centre noch festlegen.

21.05.2023

ChatGPT & Co: Eine Übersicht über laufende Verfahren

Die Berichterstattung zu ChatGPT und verwandten KI-Phänomenen reisst nicht ab. Die Anzahl unterschiedlicher Guidelines und Whitepapers zu KI steigt mindestens gefühlt täglich an. Seit Kurzem reihen sich auch nationale (Datenschutz)Aufsichtsbehörden ein und führen Verfahren zur Überprüfung von ChatGPT durch: Von der Funktionsweise über die Umsetzung (datenschutz)rechtlicher Vorgaben mittels technischer/organisatorischer Massnahmen (TOM) bis zu einem einstweiligen Verbot werden sämtliche Aspekte von ChatGPT unter die Lupe genommen und geprüft. Die nachfolgende Auswahl bietet einen nicht abschliessenden Überblick zu den vorgenannten Verfahren:

EU: European Data Protection Board (EDPD): Link 1 und Link 2

Frankreich: Commission Nationale de l’Informatique et des Libertés (CNIL): Link 1 und Link 2

Deutschland: Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI): Link und Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI-NRW): Link

Italien: Data Protection Authority (GPDP): Link

Spanien: Data Protection Agency (AEPD): Link

Kanada:
The Office of the Privacy Commissioner of Canada (OPC): Link

USA: US Federal Trade Commission (FTC): Link

Darüber hinaus hat die Cyberspace Administration of China (CAC) generische Massnahmen zur Regulierung von generative AI-Services vorgeschlagen: Measures for the Management of Generative Artificial Intelligence Services (Draft for Comment): Link

Bereits im März 2023 wurde in UK eine allgemeine "National AI Strategy" veröffentlicht, während sich in den USA ein vergleichbares Papier ("AI Accountability Policy") bis 12. Juni 2023 in einer "öffentlichen Konsultation" befindet.

Michal Cichocki

02.04.2023

Pur-Abo-Modelle: Deutsche Datenschutzkonferenz (DSK) veröffentlicht Beschluss

In diesem Beschluss ging es im Kern um die Beantwortung folgender Frage: Ist es zulässig, dass betroffene Personen für die Nutzung einer Webseite entweder ein Entgelt bezahlen (sog. Pur-Abo abschliessen) oder aber sich auf der Grundlage einer - sofern erforderlich - Einwilligung gemäss Art. 6 Abs. 1 lit. a DS-GVO "tracken" lassen (d.h. mit ihren personenbezogenen Daten "bezahlen")?

Im Grundsatz bejahte die DSK die datenschutzrechtliche Zulässigkeit von "Pur-Abo-Modellen auf Websites" mit folgenden Argumenten:

1. Grundsätzlich kann die Nachverfolgung des Nutzendenverhaltens (Tracking) auf eine Einwilligung gestützt werden, wenn alternativ ein trackingfreies Modell angeboten wird, auch wenn dies bezahlpflichtig ist. Die Leistung, die Nutzende bei einem Bezahlmodell erhalten, muss jedoch erstens eine gleichwertige Alternative zu der Leistung darstellen, die diese durch eine Einwilligung erlangen. Zweitens muss die Einwilligung alle in der Datenschutz-Grundverordnung (DS-GVO) normierten Wirksamkeitsvoraussetzungen, d. h. insbesondere die in Art. 4 Nr. 11 sowie Art. 7 DS-GVO aufgeführten Erfordernisse, erfüllen.

2. Ob die Bezahlmöglichkeit – also z. B. ein Monats-Abo – als eine gleichwertige Alternative zur Einwilligung in das Tracking zu betrachten ist, hängt insbesondere davon ab, ob den Nutzenden gegen ein marktübliches Entgelt ein gleichwertiger Zugang zu derselben Leistung eröffnet wird. Ein gleichwertiger Zugang liegt in der Regel vor, wenn die Angebote zumindest dem Grunde nach die gleiche Leistung umfassen.

3. Nehmen Nutzende das Angebot im Rahmen eines „trackingfreien“ Abonnements wahr und erteilen keine zusätzliche Einwilligung, dürfen gemäß § 25 Abs. 1 des 2 Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) nur Speicher- und Auslesevorgänge erfolgen, die für den von ihnen ausdrücklich gewünschten Telemediendienst unbedingt erforderlich sind. Nachfolgende Verarbeitungen personenbezogener Daten sind nur dann zulässig, wenn die Anforderungen der DS-GVO, insbesondere die gesetzlichen Erlaubnistatbestände gemäß Art. 6 Abs. 1 DS-GVO und, je nach Einzelfall, Art. 9 DS-GVO, erfüllt sind. Diesbezüglich wird auf die allgemeinen Ausführungen in der Orientierungshilfe der DSK für Anbieter von Telemedien (OH Telemedien 2021, Version 1.1) Bezug genommen.

4. Die Wirksamkeit von Einwilligungen von Nicht-Abonnentinnen und Nicht-Abonnenten ist bei den sogenannten Pur-Abo-Modellen sicherzustellen. Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.

5. Darüber hinaus müssen die Einwilligungen den sonstigen Anforderungen der DS-GVO gerecht werden, insbesondere auch jenen an Transparenz, Verständlichkeit und Information für die betroffenen Personen aus Art. 4 Nr. 11 und Art. 7 Abs. 2 DS-GVO (vgl. hierzu die Orientierungshilfe der DSK für Anbieter von Telemedien (OH Telemedien 2021, Version 1.1). 

Gemäss Geschäftsordnung der DSK stellen deren Beschlüsse "Positionen" dar, die die "Auslegung datenschutzrechtlicher Regelungen bzw. Empfehlungen betreffen". Somit stellt auch der vorliegende Beschluss zur "Bewertung von Pur-Abo-Modellen auf Websites" keine (zwingende) rechtliche Vorgabe, sondern eine Behördenmeinung dar.

Michal Cichocki

25.03.2023

Künstliche Intelligenz (KI): Guidelines und Whitepapers (Update)

Künstliche Intelligenz (KI) ist nicht zuletzt dank einer intensiven Berichterstattung über Phänomene wie z.B. den Chatbot ChatGPT (wieder) in aller Munde. Aus rechtlicher Sicht interessiert vor allem der zunehmende Ruf nach einer KI-spezifischen Regulierung um vermeintlich negative Auswirkungen zu verhindern.

In diesem Zusammenhang wird oft folgendem Umstand zu wenig Beachtung geschenkt: Der Einsatz von KI-Technologien ist kein Selbstzweck, sondern ein Mittel zur Erreichung bestimmter Ziele bzw. Umsetzung bestimmter Use Cases. Insbesondere Letztere entscheiden über die anwendbaren Rechtsgrundlagen: Auf die Auswertung von z.B. Personendaten im Gesundheitswesen oder der Analyse anonymisierter Verkehrsdaten gelangen jeweils unterschiedliche Gesetze zur Anwendung. Diese tragen den Eigenheiten beider Use Cases hinreichend Rechnung und zwar unabhängig von der eingesetzten (KI-)Technologie als Mittel zu deren Umsetzung. Folglich besteht die eigentliche Herausforderung viel mehr in der Ummünzung bestehender Rechtsgrundlagen in (nicht-rechtliche) Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben), die auch durch (neue) KI-Technologien umgesetzt werden können. Die Schaffung zusätzlicher, KI-spezifischer Rechtsgrundlagen ist in der Regel nicht zielführend.

Diese Unterscheidung gilt es auch bei der Lektüre der nachfolgenden Auswahl an Guidelines, Whitepapers etc. zu beachten:

(a) UK Information Commissioner: Updated Guidance on AI and Data Protection, 2023: Link 

(b) Deutscher Ethikrat: Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz: Stellungnahme (Vorabfassung), 2023: Link 

(c) Cesluk-Grajewski Marcin, Think Tank European Parliament: Briefing: What Think Tanks are Thinking - Artificial Intelligence, 2023: Link 

(d) Swiss AI Report, 2022: Link 

(e) BAKOM: Monitoring der Leitlinien "Künstliche Intelligenz" für den Bund, 2022: Link 

(f) EDA: Künstliche Intelligenz und internationales Regelwerk, 2022: Link 

(g) Google: AI Principles Progress Update, 2022: Link 

(h) Christoph Lütge/Ellen Hohma/Auxane Boch/Franziska Poszler/Caitlin Corrigan, IEAI White Paper, TU München: On a Risk-Based Assessment Approach to AI Ethics Governance, 2022: Link 

(i) BSI/Fraunhofer-Institut für Nachrichtentechnik/Verband der TÜV e.V.: Towards Auditable AI Systems - Current status and future directions, 2021: Link   

(j) Leitlinien "Künstliche Intelligenz" für den Bund: Orientierungsrahmen für den Umgang mit künstlicher Intelligenz in der Bundesverwaltung, 2020: Link 

(k) Herausforderungen der künstlichen Intelligenz, Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" an den Bundesrat, 2019: Link 

(l) Bericht der Projektgruppe "Internationale Gremien und künstliche Intelligenz", 2019: Link 

(m) Berichte im Auftrag des SBFI: (i) Künstliche Intelligenz im Industrie- und Dienstleistungssektor, 2019: Link; (ii) Anwendung von künstlicher Intelligenz in Wissenschaft und Forschung, 2019: Link; (iii) Künstliche Intelligenz, Medien & Öffentlichkeit, 2019: Link; (iv) Automatisierte Mobilität und künstliche Intelligenz, 2019: Link 

(n) Generalsekretariat VBS: Bericht der Projektgruppe - Künstliche Intelligenz in der Cybersicherheit und Sicherheitspolitik, 2019: Link

Übrigens: Auf die Frage, ob es ein Gesetz für ChatGPT brauche, antwortete der Chatbot: "Da ChatGPT eine KI-basierte virtuelle Assistentin ist und keine eigenständige Entität mit eigenem Handeln, ist es nicht notwendig, spezifische Gesetze für ChatGPT zu erstellen".

Weitere Blog-Beiträge zu KI sind hier abrufbar. 

Michal Cichocki

05.02.2023

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht "Report of the work undertaken by the Cookie Banner Taskforce" als Reaktion auf die 700 "Cookie-Banner-Beschwerden" von NOYB

Der Europäische Datenschutzausschuss (EDSA/EDPB) hat seinen vom 17. Januar 2023 datierten "Report of the work undertaken by the Cookie Banner Taskforce" veröffentlicht. Dieser Report legt die Auffassung einer Taskforce der EU-Datenschutzaufsichtsbehörden dar, die sich mit den über 700 "Cookie-Banner-Beschwerden" der NGO des Datenschutz-Aktivisten Max Schrems, NOYB, befasst.

Kernaussagen des Reports:

(i) Der EDSA weist darauf hin, dass der mit der EU-
Datenschutzgrundverordnung (EU DSGVO) eingeführte One-Stop-Shop Mechanismus nicht für Fragen im Zusammenhang mit Cookies gelte, da Cookie-bezogene Rechtsfragen primär unter die EU Richtlinie für elektronische Kommunikation (EU ePrivacy Directive) fallen - und nicht unter die EU DSGVO.


(ii) Die Verwendung von vorangekreuzten Kästchen für die Erteilung einer Einwilligung für den Einsatz von technisch nicht notwendigen Cookies sei unzulässig.

(iii) Täuschende "Link-Design"-Praktiken, die z.B. lediglich einen Link (anstelle einer Schaltfläche) zur Ablehnung des Einsatzes von technisch nicht notwendigen Cookies enthalten, seien unzulässig. Dies gelte auch für Praktiken, die den Nutzern den Eindruck vermitteln, dass sie zustimmen müssen, um auf eine bestimmte Website zuzugreifen, oder die den Nutzer eindeutig zur Zustimmung drängen.

(iv) Irreführende Praktiken, die unterschiedliche Farben und Kontraste der Cookie-Banners verwenden, um die Schaltfläche "Alle akzeptieren" gegenüber den übrigen Schaltflächen hervorzuheben, seien unzulässig. Während die Gültigkeit eines Designs von Fall zu Fall beurteilt werden sollte, dürften alle Schaltflächen i.d.R. idealerweise die gleiche Grösse, Farbe, Schriftart und Kontrast aufweisen, um sicherzustellen, dass die Zustimmung tatsächlich "freiwillig" abgegeben werden könne.

(v) Lediglich die Mehrheit der EU-Datenschutzaufsichtsbehörden sei der Ansicht, dass auf der ersten Ebene des Cookie-Banners eine Schaltfläche "Alle ablehnen" vorhanden sein müsse, damit der Einsatz von technisch nicht notwendigen Cookies ebenso einfach akzpetiert wie abgelehnt werden könne.

(vi) Der Einsatz technisch nicht notwendiger Cookies (z. B. gezielte Werbe-Cookies) könne sich nur auf eine gültige Einwilligung und nicht auf "berechtigte Interessen" abstützen.

(vii) Die Betreiber von Websites sollten leicht zugängliche Lösungen einführen, die es den Nutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen, z. B. durch die Verwendung eines kleinen, ständig sichtbaren Symbols oder eines Links an einer sichtbaren und standardisierten Stelle.

(viii) Zusammenspiel zwischen der EU ePrivacy Directive und der EU DSGVO: Der EDSA hat auch klargestellt, dass die Nichteinhaltung der Vorgaben für den Einsatz technisch nicht notwendiger Cookies gemäss EU ePrivacy Directive dazu führe, dass eine nachgelagerte Verarbeitung personenbezogener Daten gemäss DSGVO (sofern eine solche überhaupt stattfindet), nicht zulässig sei.

(ix) Schliesslich hat der EDSA den nachfolgenden Disclaimer im Zusammenhang mit dem vorliegenden Report veröffentlicht:

"The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable".

Michal Cichocki

31.12.2022

Daten(schutz)rechtlicher Jahresrückblick: Wichtigste Rechtsgrundlagen, Guidelines und Entscheide

2022 neigt sich dem Ende zu - aus einer daten(schutz)rechtlichen Perspektive betrachtet, war es ein sehr ereignisreiches Jahr mit zahlreichen neuen Rechtsgrundlagen, Guidelines und Entscheiden (Tendenz: steigend!). Die nachfolgende Übersicht stellt eine subjektive Auswahl daten(schutz)rechtlicher "Höhepunkte" dar und soll dem interessierten Leser eine Orientierungshilfe bieten:

Schweiz
(i) Totalrevision des schweizerischen Datenschutzgesetzes (DSG) und der dazugehörigen Verordnungen: Link
(ii) Übersicht Guidelines zu Cloud Computing: Link
(iii) Herausforderungen der künstlichen Intelligenz - Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" des Bundes an den Bundesrat: Link
(iv) FINMA: Totalrevidiertes Rundschreiben FINMA-RS 23/01: Operationelle Risiken und Resilienz - Banken: Link
(v) Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) und Privatim: Leitfaden zu Wahlen und Abstimmungen: Link
(vi) EDÖB: 29. Tätigkeitsbericht 2021/2022 ("Geringschätzung der Privatsphäre"): Link
(vii) European Union-U.S. Data Privacy Framework (EU-U.S. DPF): Link

Europa
(i) Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK): Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung: Link
(ii) European Data Protection Board (EDPB): Guidelines 9/2022 on personal data breach notification under GDPR: Link
(iii) EDPB Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority: Link
(iv) EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification: Link
(v) EDPB Guidelines 01/2022 on data subject rights - Right of access: Link
(vi) EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR: Link
(vii) EDPB Guidelines 07/2022 on certification as a tool for transfers: Link
(viii) EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space: Link
(ix) European Data Protection Supervisor (EDPS) Conference 2022 - The future of data protection: effective enforcement in the digital world: Link
(x) EDPS Opinion on the Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020: Link
(xi) UK Information Commissioner’s Office (ICO) - New Direct Marketing Guidance and Checklists: Link
(xii) ICO's Transfer risk assessments (TRA) of personal data outside the UK: Link

USA
(i) Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities: Link
(ii) Data Protection: EU Commission starts process to adopt adequacy decision for safe data flows with the USA: Link
(iii) U.S. Department of Justice Announces U.S. – UK CLOUD Act Agreement: Link

Michal Cichocki

27.11.2022

Guidelines zu Cloud Computing: Eine Übersicht

Cloud Computing bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher Cloud Guidelines. Diese beleuchten die Cloud aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens Cloud Rechnung; die Navigation durch den Cloud-Dschungel wird aufgrund der grossen Anzahl der Guidelines nicht einfacher.

Ausserdem fehlt eine Legaldefinition der Cloud. Ferner kann aus den technischen Definitionen der Cloud nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen Cloud oftmals um Service Provider Management handelt. Dies zieht immerhin die Anwendung gewisser Rechtsnormen nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren eigenständige Übersetzung in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben)

Die nachfolgende Übersicht soll einen Kompass durch den Cloud-Dschungel bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das jeweilige Cloud-Projekt:

Cloud Guidelines Schweiz
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Link
PRIVATIM: Link
Bundesverwaltung/Bundeskanzlei: Link
Schweizerische Bankiervereinigung (SBVg): Link
Verein Unternehmens-Datenschutz (VUD): Link
Kantonsverwaltung ZH/Regierungsratsbeschluss: Link

Cloud Guidelines EU
European Banking Authority (EBA): Link
European Securities and Markets Authority (ESMA): Link
Information Commissioner's Office UK (ICO): Link
National Cyber Security Centre UK (NCSC): Link
Commission Nationale de l'Informatique et des Libertés FR (CNIL): Link
Datenschutzkonferenz Deutschlands (DSK): Link
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): Link, Link und Link
European Data Protection Supervisor (EDPS): Link
European Data Protection Board (EDPB): Link

Cloud Guidelines restliche Welt

U.S. Department of Justice (DOJ): Link
U.S. National Institute of Standards and Technology (NIST): Link und Link
Hong Kong Monetary Authority (HKMA): Link
Canadian Centre for Cyber Security (CCCS): Link

Michal Cichocki

02.10.2022

Tracking-Technologien: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) analysiert Handlungsbedarf

Gemäss Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 27. September 2022 wurde offenbar in den USA eine Klage gegen Oracle America Inc. im Zusammenhang mit dem Einsatz von Tracking-Technologien eingereicht. Gegen welche rechtlichen Voraussetzungen Oracle konkret verstossen haben soll, geht aus der Medienmitteilung nicht hervor. Stattdessen wird festgehalten, dass Oracle Tracking-Technologien unter anderem zur Erhebung sowie Auswertung einer Vielzahl von Internetnutzern zwecks Erstellung einer Datensammlung einsetze und dies "sogar geräteübergreifend".

Ferner wird festgehalten, dass der EDÖB die vorgenannte Klage zur Kenntnis genommen habe, diese und allfällige Auswirkungen auf die Schweiz analysiere. Ausserdem habe der EDÖB Oracle Software (Schweiz) GmbH angeschrieben und behalte sich vor, gegebenenfalls weitere Schritte einzuleiten.

Der EDÖB fokussiert laut erwähnter Medienmitteilung seine Analyse u.a. auf folgende Aspekte:

a) Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze der "Transparenz und der Verhältnismässigkeit".

b) "Erforderlichkeit einer ausdrücklichen Einwilligung für die Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten".

Der Fokus der Analyse des EDÖB ist in zweifacher Hinsicht überraschend:  

1) Vorab ist nicht primär das Datenschutzgesetz (DSG), sondern Art. 45c lit. b Fernmeldegesetz (FMG) für den Einsatz von Tracking-Technologien (d.h. einem Auslesen oder Übermitteln von Daten mittels fernmeldetechnischer Übertragung auf fremde Geräte) anwendbar. Bereits damit werden Transparenz (Information) sowie die Möglichkeit einer Ablehnung (sog. Opt-Out) technisch nicht notwendiger Trackings sichergestellt. Dies erfolgt unabhängig davon, ob Personendaten gemäss Art. 3 lit. a DSG bearbeitet werden oder nicht.

2) Falls im Rahmen eines Trackings Personendaten bearbeitet werden, also zwischen den fraglichen Daten ein Personenbezug ohne unverhältnismässig grossen Aufwand (sog. relative Methode) hergestellt werden kann, ist zusätzlich das DSG anwendbar. 

Im DSG gilt jedoch der Grundsatz der Erlaubnis mit Verbotsvorbehalt: Danach ist im Privatbereich weder eine datenschutzrechtliche Einwilligung noch ein anderer datenschutzrechtlicher Rechtfertigungsgrund als Voraussetzung für die Bearbeitung (z.B. Erstellung) von Personendaten erforderlich, sofern insbesondere die (i) Bearbeitungsgrundsätze (Art. 4 ff. DSG i.V.m. Art. 12 Abs. 2 lit. a DSG) eingehalten werden, (ii) keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile an echte Dritte bekanntgegeben werden (Art. 12 Abs. 2 lit. c DSG) und (iii) kein ausdrücklicher Widerspruch der betroffenen Person vorliegt (Art. 12 Abs. 2 lit. b DSG).

Folglich sieht das DSG keine Einwilligung für die Erstellung von Persönlichkeitsprofilen oder die Erhebung besonders schützenswerter Personendaten vor - weder im Zusammenhang mit Tracking-Technologien noch für andere Bearbeitungen.

Dieser Grundsatz gilt auch im totalrevidierten DSG, das am 01. September 2023 in Kraft tritt.

Michal Cichocki

10.09.2022

Totalrevision des schweizerischen Datenschutzrechts (DSG/DSV/VDSZ) abgeschlossen: Überblick über Materialien und Auslegungs- sowie Umsetzungshilfen

Am 9. Dezember 2011 nahm die Totalrevision des schweizerischen Datenschutzrechts ihren Anfang. Fast elf Jahre später wurden die Rechtsetzungsarbeiten abgeschlossen: Der Bundesrat hat am 31. August 2022 das Inkrafttreten des neuen, totalrevidierten Datenschutzgesetzes (DSG) samt Ausführungsbestimmungen (Datenschutzverordnung DSV und Verordnung über Datenschutzzertifizierungen VDSZ) per 01. September 2023 beschlossen.

Zu dieser Totalrevision gibt es mittlerweile eine Vielzahl von Publikationen; die nachfolgende Übersicht über Materialien und Auslegungs- sowie Umsetzungshilfen soll als Orientierungshilfe dienen. Sie ist eine Auswahl ohne Anspruch auf Vollständigkeit:


(i) Aktuelles Bundesgesetz über den Datenschutz (DSG)

Bundesgesetz über den Datenschutz (DSG)
vom 19. Juni 1992 (Stand 1. März 2019)

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23. März 1988

Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG)
vom 19. Februar 2003

Erläuterungen des EDÖB zu den Änderungen vom 17. Dezember 2004 und vom 24. März 2006 des Bundesgesetzes über den Datenschutz (DSG) (ohne Datum)

(ii) Aktuelle Verordnung zum Bundesgesetz über den Datenschutz (VDSG)

Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
vom 14. Juni 1993 (Stand am 16. Oktober 2012)

Kommentar des Bundesamts für Justiz zur VDSG vom 1. Januar 2008 (VDSG)
(ohne Datum)

(iii) Neues, totalrevidiertes Datenschutzgesetz (DSG)

Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020

Botschaft über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz
vom 15. September 2017

FAQ Datenschutzrecht des BJ vom 01. September 2022

Bericht der Begleitgruppe Revision DSG des BJ: Normkonzept zur Revision des Datenschutzgesetzes
vom 29. Oktober 2014

Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 05. Juni 2020

Parlamentarische Beratungen zum Entwurf DSG: Link 1 und Link 2 (2017-2020)

Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9. Februar 2021

Totalrevision des Datenschutzgesetzes (DSG): Übersicht des BJ zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane vom 02. September 2022

(iv) Neue Datenschutzverordnung (DSV)

Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Erläuternder Bericht zur Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Bericht über das Ergebnis des Vernehmlassungsverfahrens: Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 31. August 2022

Vergleichstabelle des BJ zum E-VDSG – VDSG – nDSG vom 23. Juni 2021

Gegenüberstellung DSV - E-VDSG - VDSG von Hannes Meyle und Anne-Sophie Morand mit David Vasella vom 31. August 2022

(v) Neue Verordnung über Datenschutzzertifizierungen (VDSZ)

Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

Erläuternder Bericht zur Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

(vi) Aufsätze


David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27. November 2017

David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020

David Rosenthal, Rohstoff zum revidierten Datenschutzgesetz, verfasst für den Verein Unternehmens-Datenschutz (VUD), 18. April 2020

David Rosenthal, Seraina Gubler, Die Strafbestimmungen des neuen DSG, in: SZW/RSDA 1/2021

David Vasella, Umsetzung des revidierten DSG (Stand 17.07.2022)

Michal Cichocki

21.08.2022

Datenschutzaufsichtsbehörden Deutschlands (DSK) veröffentlichen FAQ zu Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) veröffentlichte Ende Juni 2022 ein weiteres Dokument zum datenschutzrechtlichen Evergreen-Thema Facebook-Fanpages: „FAQ zu Facebook-Fanpages“.

Facebook-Fanpages (Facebook-Seiten) sind „Mini-Webseiten“, die „Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens“ für die eigene Präsentation auf Facebook nutzen können. Davon abzugrenzen sind "normale" Facebook-Profile für private Zwecke.

In diesem Zusammenhang geht die DSK in ihren FAQ u.a. auf den Themenbereich „Joint-Controllership“ ein: Danach müssen die Betreiber von Facebook-Fanpages und Meta Platforms u.a. die Voraussetzungen über die gemeinsame Verantwortung gemäss Art. 26 DSGVO erfüllen und diese in einem Vertrag abbilden; die DSK bemängelt u.a. das aktuelle Vertragstemplate von Meta Platforms zu Art. 26 DSGVO:

Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen [Art. 26 DSGVO] nicht. Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener Daten in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben der Art. 44 ff. Datenschutz-Grundverordnung (DSGVO) eingehalten werden“ (vgl. FAQ Nr. 2: Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?).

Hintergrund

Knacknuss „Joint-Controllership“: Insbesondere wegen der „Facebook (Audience) Insight“-Funktion qualifizierte der EuGH in einem umstrittenen Urteil (C- 210/16, „Wirtschaftsakademie“) die Betreiber von Facebook-Fanpages und Meta Platforms (Betreiberin von Facebook) als gemeinsame Verantwortliche gemäss Art. 26 DSGVO. Dies obwohl die Betreiber von Facebook-Fanpages mittels „Facebook Insight“ lediglich statistische Auswertungen der eigenen Fanpages einsehen und diese zu eigenen Zwecken (z.B. zur Durchführung für Werbeaktionen und -veranstaltungen) nutzen können. Zwar können diese statistischen Auswertungen individuell eingestellt (sog. Parametrierung) werden - die Betreiber „sehen“ jedoch nicht, welche Nutzer ausgewertet worden sind; ein Personenbezug liegt nicht vor. Dennoch vertrat der EuGH im Zusammenhang mit Facebook-Fanpages die Auffassung, dass die Möglichkeit zur Einsichtnahme von parametrierten Statistiken, die auf personenbezogenen Daten beruhen, um daraus wirtschaftliche Vorteile zu ziehen, bereits für eine gemeinsame Verantwortlichkeit ausreiche.

Weitere Dokumente der DSK im Zusammenhang mit Facebook-Fanpages

(i) Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages vom 18.03.2022

(ii) Beschluss zu Facebook Fanpages vom 23.03.2022

Diese Dokumente geben ausschliesslich die Sichtweise der deutschen DSK im Zusammenhang mit Facebook-Fanpages sowie im Anwendungsbereich der EU DSGVO wieder und sind gerichtlich nicht bestätigt.

Michal Cichocki

25.06.2022

Dark Patterns: Vernehmlassung zu Guidelines des Europäischen Datenschutzausschusses (EDSA) abgeschlossen


In diesen Draft Guidelines befasst sich der EDSA mit der Frage, wann eine gezielte Beeinflussung von Nutzern auf Social Media Plattformen durch den Einsatz von grafischen Benutzerschnittstellen (GUI) sowie User Experiences (UX) zur Preisgabe zusätzlicher Personendaten noch zulässig sei und wann diese Schwelle überschritten werde.

Der EDSA ist der Auffassung, dass von einer unzulässigen Beeinflussung durch dark patterns bereits dann gesprochen werden könne, wenn das Design von GUI und UX den Nutzer zu einer "unbeabsichtigten, ungewollten sowie potenziell schädlichen Entscheidung" hinsichtlich der Verarbeitung seiner personenbezogenen Daten verleite.

Zur Konkretisierung dieser generell-abstrakten Formel werden in den Draft Guidelines verschiedene Anwendungsfälle (dark pattern categories), Beeinflussungsmittel (dark pattern types) sowie Beispiele behandelt.

Das folgende Beispiel fällt gemäss EDSA unter die dark pattern category „overloading” sowie den dark pattern type „continuous prompting“ und sei bereits unzulässig: „In the first step of the sign-up process, users are required to choose between different options for their registration. They can either provide an email address or a phone number. When users choose the email address, the social media provider still tries to convince users to provide the phone number, by declaring that it will be used for account security, without providing alternatives on the data that could be or was already provided by the users. Concretely, several windows pop up throughout the sign-up process with a field for the phone number, along with the explanation “We’ll use your [phone] number for account security”. Although users can close the window, they get overloaded and give up by providing their phone number“ (vgl. S. 14 Draft Guidelines).

Weiter werden folgende fünf dark pattern categories in den Draft Guidelines beschrieben (vgl. S. 7 f.):

Skipping: designing the interface or user experience in a way that the users forget or do not think about all or some of the data protection aspects.

Stirring:
affects the choice users would make by appealing to their emotions or using visual nudges.

Hindering:
an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.

Fickle: the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing.

Left in the dark:
an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.

Des Weiteren führen die Draft Guidelines verschiedene DSGVO-Bestimmungen auf, die durch den Einsatz von dark patterns betroffen sein könnten: u.a. die Verarbeitungsgrundsätze (Art. 5 DSGVO), Einwilligungsbedingungen (Art. 4 Abs. 11 i.V.m. Art. 7 DSGVO), Betroffenenrechte (Art. 12 ff. DSGVO) sowie Privacy by Design and Default (Art. 25 DSGVO).

Im Rahmen der öffentlichen Vernehmlassung hat der EDSA sechsundzwanzig Eingaben verschiedener Stakeholder entgegengenommen. In diesem Zusammenhang wurde u.a. vorgebracht, dass der Begriff „Social Media Plattformen“ nicht definiert und damit der Anwendungsbereich der Guidelines unklar sei oder die Annahmen betreffend Erwartungen der Nutzer nicht „evidence-based and research-supported“ seien („as one example, the draft guidelines imply that humour easily distracts users, and that users would not expect account deletion functionalities on the bottom page of account settings“).

Next steps: Der EDSA wird die Vernehmlassungseingaben einarbeiten und die finale Version der Guidelines voraussichtlich im zweiten Halbjahr 2022 veröffentlichen.

Michal Cichocki

31.05.2022

Europäischer Datenschutzbeauftragter (EDPS) sowie Europäischer Datenschutzausschuss (EDPB) veröffentlichen ihre Tätigkeitsberichte für 2021

Diesen Monat haben der Europäische Datenschutzbeauftragte (EDPS) sowie der Europäische Datenschutzausschuss (EDPB) ihre Tätigkeitsberichte für das Jahr 2021 veröffentlicht:

Der Europäische Datenschutzbeauftragte (EDPS)
i) Annual Report 2021
ii) Executive Summary 2021
iii) Factsheet

Der Europäische Datenschutzausschuss (EDPB)

i) Annual Report 2021
ii) Executive Summary 2021

Rückblick: Sowohl der EDPS wie auch der EDPB haben 2021 eine Vielzahl an Guidances publiziert:

Der EDPS hat in seiner Eigenschaft als Datenschutzexperte der EU-Kommission u.a. folgende Stellungnahmen („opinions“) veröffentlicht bzw. verabschiedet:
i) Opinion on the Digital Services Act (DSA) 10/02/2021
ii) Opinion on the Digital Markets Act (DMA) 10/02/2021
iii) Opinion on cybersecurity 11/03/2021
iv) Opinion on distributed ledger technology 23/04/2021
v) Opinion on digital operational resilience for the financial sector (DORA) 10/05/2021
vi) Proposal for a regulation on markets in crypto-assets (MICA) 25/06/2021
vii) Proposal for a Directive on consumer credits 26/08/2021
viii) AML package 21/09/2021

Der EDPB hat im Rahmen seiner Kompetenz zur Sicherstellung der Rechtsklarheit bzw. einheitlichen Anwendung der EU DSGVO u.a. folgende sog. Allgemeine Anleitungen („general guidance“) vorgelegt:
i) Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications
ii) Guidelines 07/2020 on the concepts of controller and processor in the GDPR
iii) Guidelines 8/2020 on the targeting of social media users
iv) Guidelines 01/2021 on examples regarding data breach notification
v) Guidelines 02/2021 on virtual voice assistants
vi) Guidelines 04/2021 on codes of conduct as tools for transfers
vii) Guidelines 05/2021 on the interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V of the GDPR
viii) Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
ix) Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
x) Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions

Schliesslich haben der EDPB sowie der EDPS sog. gemeinsame Stellungnahmen („joint opinions“) veröffentlicht:
i) EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors
ii) EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries
iii) EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act)
iv) EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

Michal Cichocki

31.03.2022

Deutsche Datenschutzkonferenz (DSK): Orientierungshilfe zu Direktwerbung veröffentlicht


In diesem Zusammenhang wird der Begriff der „Werbung“ weit verstanden: Darunter fällt „jede Äusserung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschliesslich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern" (vgl. Art. 2 lit. a der EU-Richtlinie 2006/114/EG). Innerhalb dieser Definition gilt "die unmittelbare Ansprache der Zielperson” als Direktwerbung. Letztere kann in unterschiedlicher Form erfolgen, "z.B. postalisch, per E-Mail, Telefon, Fax oder SMS.

Anders als unter dem Regime des schweizerischen Datenschutzgesetzes (Grundsatz der Erlaubnis mit Verbotsvorbehalt), muss sich eine Datenverarbeitung im Anwendungsbereich der EU DSGVO stets auf eine Rechtsgrundlage (vgl. Art. 6 EU DSGVO) abstützen - hier gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt.

Die Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung stützt sich regelmässig auf Art. 6 Abs. 1 lit. f DSGVO ("Wahrung berechtigter Interessen des Verantwortlichen”). Dazu enthält die Orientierungshilfe zahlreiche Ausführungen: Danach müssen die Interessen des datenschutzrechtlich Verantwortlichen sowie der betroffenen Person im Einzelfall gegeneinander abgewogen werden. Dabei spielen die "vernünftigen Erwartungen" der betroffenen Person eine Rolle. Die DSK ist, wie immer, streng und vertritt die Meinung, dass die (stets subjektiv gefärbte) Erwartung der betroffenen Person nicht durch die Pflichtinformationen (vgl. Art. 13 ff. EU DSGVO) "erweitert" werden könne. Dies hätte zur Folge, dass der Verarbeitung bestimmter, "objektiv vernünftigerweise nicht erwartbarer" Formen der Direktwerbung die Abstützung auf das berechtigte Interesse des Verantwortlichen verwehrt bliebe - trotz einer transparenten, verständlichen Orientierung darüber.

Ferner legt die DSK ihre Auffassung zur Interessenabwägung folgender "Grobkategorien" im Zusammenhang mit Direktwerbung dar (vgl. Ziff. 1.3.2 Orientierungshilfe):

i) Zusendung von Werbung nach Bestellung ohne Selektion oder nach Selektion ohne zusätzlichen
Erkenntnisgewinn (ohne Profiling): In dieser "Grobkategorie" fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus.

ii)
Zusendung von Werbung nach Bestellung und Selektion (Profiling): Hier scheint sich die DSK am Profiling als "Vorleistung" für gezielte Werbung zu stören, weswegen die Interessenabwägung in der Regel zu Gunsten der betroffenen Person (und nicht des Verantwortlichen) ausfallen solle.

iii) Ansprache per Telefonanruf, E- Mail, Fax etc.: Die DSK verknüpft das Schicksal der datenschutzrechtlichen Interessenabwägung in Bezug auf die Auswahl des Kontaktmittels mit dessen Zulässigkeit gemäss (deutschem) UWG. Danach führe ein Verstoss gegen das (deutsche) UWG „automatisch“ zum Verlust des berechtigten Interesses gemäss DSGVO an der Datenbearbeitung durch den Verantwortlichen.

iv) Nutzen der E-Mail-Adressen von Bestandskunden: In dieser "Grobkategorie” fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus, sofern auch hier das deutsche UWG eingehalten werde.

v) Nutzen von Telefonnummern: Im B2C-Bereich fällt hier die Interessenabwägung gemäss DSK zu Gunsten der betroffenen Person, d.h. des Konsumenten, aus. Demnach sei Art. 7 Abs. 1 DSGVO i.V.m. 7a UWG anwendbar, weswegen eine ausdrückliche Einwilligung der betroffenen Person eingeholt werden müsse. Im B2B-Bereich, d.h. gegenüber "professionellen" Marktteilnehmern, geht die DSK von deren "mutmasslicher Einwilligung“ aus, wobei für den Anruf ein konkreter und aus dem Interessenbereich des Anzurufenden herzuleitender Grund vorliegen müsse (dies könne z. B. ein geschäftlicher Vorkontakt sein).

Michal Cichocki

27.02.2022

EU Kommission veröffentlicht Entwurf für ein EU-Datengesetz

Die Umsetzung der EU-Datenstrategie schreitet weiter voran: Nach dem Daten-Governance-Gesetz aus dem Jahre 2020 legte die EU Kommission am 23. Februar 2022 ihren Entwurf für ein EU-Datengesetz vor (Proposal for a Regulation on harmonised rules on fair access to and use of data; Data Act). Das vorgeschlagene EU-Datengesetz sieht Regeln für die Nutzung nicht-personenbezogener Daten (Nicht-Personendaten) vor; dessen Geltungsbereich wird wie folgt umschrieben:

This Regulation lays down harmonised rules on making data generated by the use of a product or related service available to the user of that product or service, on the making data available by data holders to data recipients, and on the making data available by data holders to public sector bodies or Union institutions, agencies or bodies, where there is an exceptional need, for the performance of a task carried out in the public interest“ (vgl. Art. 1 Abs. 1 E-Datengesetz).

Damit sollen u.a. folgende Anwendungsfälle adressiert werden:

i) Datenübertragbarkeit: Insbesondere im Falle eines vernetzten Gerätes ("Internet of Things"; IoT) soll offenbar nicht ausreichend klar sein, wer was mit den Daten [die durch die Nutzung des Geräts erzeugt werden] tun darf. Oder im Kaufvertrag ist u. U. festgelegt, dass sämtliche erzeugten Daten ausschließlich vom Hersteller gesammelt und genutzt werden dürfen (…). Das Datengesetz wird sowohl Einzelpersonen als auch Unternehmen durch ein gestärktes Recht auf Datenübertragbarkeit mehr Kontrolle über ihre Daten einräumen, sodass sie Daten problemlos an verschiedene Diensteanbieter weitergeben können. Dies gilt für Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden. Beispielsweise könnte ein Auto- oder ein Maschinenbesitzer entscheiden, mit dem Auto oder der Maschine erzeugte Daten an seinen Versicherer weiterzugeben.

ii) Blacklisting missbräuchlicher Vertragsklauseln
: Vertragsfreiheit ist nach wie vor das Grundprinzip, aber KMU sind nun vor missbräuchlichen Vertragsklauseln [zur Nutzung von Daten] geschützt, weil es eine Liste mit einseitig auferlegten Vertragsklauseln gibt, die als missbräuchlich gelten oder bei denen davon ausgegangen wird, dass sie missbräuchlich sind. Vertragsklauseln, die auf dieser Liste stehen, sind für KMU nicht bindend. Ein Beispiel sind Klauseln, wonach ein Unternehmen die Vertragsbestimmungen einseitig auslegen darf.“

Ferner will die EU Kommission unverbindliche Mustervertragsbedingungen/Standardklauseln erarbeiten, um die Verhandlungsposition insbesondere von KMU gegenüber marktmächtigen Gegenparteien zu stärken.

iii) Herausgabe von Daten an EU-Behörden:
Das Datengesetz sieht vor, dass in Ausnahmesituationen von grossem öffentlichem Belang wie etwa bei Überschwemmungen oder Waldbränden der Zugang zu Daten privater Unternehmen möglich ist (…) Die neuen Vorschriften sehen eine Verpflichtung für Unternehmen zur [teilweise kostenlosen] Bereitstellung bestimmter Daten vor (…).“

iv) Herausgabe von Daten an Nicht-EU/EWR-Behörden (Foreign Lawful Access): Ausserdem wird das Datengesetz vertrauensbildend wirken, da es die Einführung verbindlicher Garantien zum Schutz der Daten in Cloud-Infrastrukturen vorsieht. Dadurch werden unrechtmässige Zugriffe durch Regierungen von Ländern, die nicht zur EU oder zum EWR gehören, verhindert. Mit diesen Massnahmen wird das Datengesetz die Cloud-Einführung in Europa unterstützen, was wiederum einen effizienten Datenaustausch innerhalb von und zwischen Sektoren fördern wird.“

Im Zusammenhang mit dem Entwurf des EU-Datengesetzes stellen sich bereits heute zahlreiche Abgrenzungsfragen - insbesondere zur EU DSGVO. In jüngster Zeit haben verschiedene EU-Datenschutzbehörden in immer mehr Fällen „Daten“ als personenbezogene Daten (Personendaten) qualifiziert, was die Anwendung der EU DSGVO nach sich zieht. Dieser Trend dürfte sich auch bei IoT-Anwendungsfällen fortsetzen. Infolgedessen können betroffene Personen bereits heute und gestützt auf Art. 20 EU DSGVO ihren Anspruch auf Datenportabilität (Datenübertragbarkeit) geltend machen. Schliesslich stellt sich die Frage, inwiefern im Zusammenhang mit Daten i.S. des EU-Datengesetzes eine Diskussion über einen denkbaren Foreign Lawful Access Sinn macht und ob hier ein vergleichbares Konzept mit „Garantien“ analog Schrems II (d.h. Foreign Lawful Access bei personenbezogenen Daten; vgl. C-311/18) überhaupt zielführend sein kann.

Michal Cichocki

30.01.2022

Europäischer Datenschutzausschuss (EDSA/EDPB): Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO zur öffentlichen Konsultation publiziert

Am 28. Januar 2022 veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) seine Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO (Guidelines 01/2022 on data subject rights - right of access) in der Version 1.0. Dabei handelt es sich um eine Version für die öffentliche Konsultation, die bis 11. März 2022 dauert.

Die Guidelines 01/2022 beinhalten ein Executive Summary und gehen im Hauptteil auf folgende Themenbereiche ein:

1) Introduction - general observations
2) Aim of the right of access, structure of Article 15 GDPR and general principles
3) General considerations regarding the assessment of access requests
4) Scope of the right of access and the personal data and information to which it refers
5) How can a controller provide access?
6) Limits and restrictions of the right of access


Der EDSA hält in den oben genannten Guidelines u.a. folgende Aussagen bzw. Klarstellungen fest:

a) Zweck: Mit dem Auskunftsrecht soll die Einhaltung (nur) datenschutzrechtlicher Vorgaben überprüft werden können:

The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification
(...)
The controller will have to deal with the request unless  it is clear that the request is made under other rules than data protection rules"
(vgl. S. 2).

b) Abgrenzung: Das Auskunftsrecht gemäss DSGVO ist von vergleichbaren nicht-datenschutzrechtlichen Ansprüchen abzugrenzen:

The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice“ (vgl. S. 2).

In der schweizerischen Rechtsordnung wären z.B. die nicht-datenschutzrechtlichen Ansprüche nach Art. 400 OR (Rechenschaftspflicht des Beauftragten) sowie nach Art. 72 FIDLEG (Herausgabe von Dokumenten) vom Auskunftsrecht gemäss Art. 8 DSG bzw. Art. 25 revDSG abzugrenzen.

c) Kein absoluter Anspruch/Einschränkungen: Das Auskunftsrecht stellt keinen absoluten Anspruch dar; folgende Einschränkungsgründe müssen berücksichtigt werden:

The right of access is subject to the limits that result from Art. 15(4) GDPR (rights and freedoms of others) and Art. 12 (5) GDPR (manifestly unfounded or excessive requests). Furthermore, Union or Member State law may restrict the right of access in accordance with Art. 23 GDPR. Derogations regarding the processing of personal data for scientific, historical research or statistical purposes or archiving purposes in the public interest can be based on Art. 89(2) and Art. 89(3) GDPR accordingly and for processing carried out for journalistic purposes or the purpose of academic artistic or literary expression on Art. 85(2) GDPR“ (vgl. S. 49)

d) Abwicklung: Der Anhang der Guidelines 01/2022 enthält mehrere Flussdiagramme mit einem möglichen Vorgehen für die Abwicklung von eingegangenen Auskunftsgesuchen. Dabei wird zwischen folgenden Schritten unterschieden:

Step 1: How to interpret and assess the request?
Step 2: How to answer the request?
Step 3: Checking limits and restrictions


Die vorliegenden Guidelines geben die Auffassung des EDSA wieder; es handelt sich dabei insbesondere um „allgemeine Leitlinien“ um „Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen“ zu fördern. Sie beziehen sich ausschliesslich auf die DSGVO und nicht auf das schweizerische Datenschutzgesetz (DSG).

Michal Cichocki

23.12.2021

EU Kommission: Angemessenheitsbeschluss für die Republik Korea verabschiedet

Die EU Kommission hat ihre Prüfung der Angemessenheit des Datenschutzniveaus der Republik Korea formell abgeschlossen und am 17. Dezember 2021 einen entsprechenden Durchführungsrechtsakt gemäss Art. 45 Abs. 3 EU DSGVO (sog. Angemessenheitsbeschluss) verabschiedet.

Demnach können personenbezogene Daten gemäss Art. 4 Abs. 1 EU DSGVO seit dem 17. Dezember 2021 in gleicher Weise nach Korea übermittelt werden wie innerhalb des Europäischen Wirtschaftsraums (EWR), bestehend aus den 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island. Unter den Begriff der Übermittlung fallen sowohl der Export personenbezogener Daten aus dem EWR nach Korea sowie Zugriffe aus Korea auf personenbezogene Daten im EWR.

Der vorliegende Angemessenheitsbeschluss deckt sowohl die Übermittlung personenbezogener Daten an Private sowie an Behörden ab. Die EU Kommission wird ihn in zwei Jahren und danach alle vier Jahre überprüfen; der Angemessenheitsbeschluss kann angepasst oder ganz zurückgenommen werden.

Neben Korea verfügen auch folgende Staaten bzw. Gebiete über einen Angemessenheitsbeschluss der EU Kommission: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und Vereinigtes Königreich.

Im Anwendungsbereich des schweizerischen Datenschutzgesetzes (DSG) gilt Korea gemäss Staatenliste des EDÖBs als Staat ohne angemessenes Datenschutzniveau  (vgl. Art. 6 Abs. 1 DSG). Für eine Bekanntgabe (Übermittlung) von Personendaten gemäss Art. 3 lit. a DSG aus der Schweiz nach Korea müssen daher die Voraussetzungen von Art. 6 Abs. 2 DSG erfüllt werden.

Michal Cichocki

31.10.2021

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Guidelines zu Art. 23 EU DSGVO (Beschränkungen von Rechten und Pflichten)

Im Nachgang zur öffentlichen Konsultation veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) am 13. Oktober 2021 seine Guidelines zu Art. 23 EU DSGVO in der Version 2.0 (Guidelines 10/2020 on restrictions under Article 23 GDPR).

Art. 23 EU DSGVO sieht die Möglichkeit vor, dass die EU Mitgliedsstaaten die Rechte und Pflichten gemäss Art. 12 bis 22 EU DSGVO (Rechte der betroffenen Personen) sowie Art. 34 EU DSGVO (Benachrichtigung bei Data Braches) und Art. 5 EU DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) unter bestimmten Voraussetzungen beschränken können.

Diese Voraussetzungen hat der EDSA mit der oben erwähnten Guideline aktualisiert und wie folgt zusammengefasst (vgl. Conclusion/Kapitel 8):

a) Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State. 


b) Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions. 


c) The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects. 


d) SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR. 
 

e) Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.

Unter Kapitel 9 wurde ausserdem eine Checkliste mit dem Titel „Article 23 GDPR in a nutshell“ publiziert.

Michal Cichocki

© LawBlogSwitzerland.ch
Maira Gall