tag:blogger.com,1999:blog-48858125378743113772024-02-25T22:13:51.447+01:00LawBlogSwitzerland.chSchweizerisches Daten-, Technologie- und Cybersecurity-Recht für Praktiker. Neuigkeiten aus dem juristischen Berufsalltag von Rechtsanwälten und Datenschutzexperten.20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comBlogger52125tag:blogger.com,1999:blog-4885812537874311377.post-60416676701432406462023-08-06T17:12:00.017+02:002023-08-06T17:47:45.022+02:00Economiesuisse: Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht<div style="text-align: justify;">Im Rahmen der <a href="http://www.lawblogswitzerland.ch/2023/05/chatgpt-co-eine-ubersicht-uber-laufende.html">extensiven Berichterstattung zu ChatGPT & Co</a> haben zahlreiche Unternehmen und Verbände Dokumente mit entsprechenden Regulierungsvorschlägen publiziert. Der Dachverband der schweizerischen Wirtschaft, <a href="https://www.economiesuisse.ch/de">economiesuisse</a>, hat nun ebenfalls ein Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) <a href="https://www.economiesuisse.ch/sites/default/files/publications/ES_Positionspapier_KI_DE.pdf">veröffentlicht</a>. <br /></div><br />Im Gegensatz zu anderen Publikationen beinhaltet das Positionspapier von economisuisse eine Art von Definition - "W<i>as ist KI</i>": Dabei ist einerseits von der Nachbildung von "<i>kognitiven Fähigkeiten wie Lernen, Problemlösung und Entscheidungsfindung</i>" die Rede. Andererseits stelle KI ein "<i>interdisziplinäres Feld dar, das verschiedene Technologien wie maschinelles Lernen, neuronale Netze, natürliche Sprachverarbeitung und Robotik</i>" umfasse. Vor allem handle es sich aber um im "<i>Gegensatz zu herkömmlich automatisierten Prozessen nicht um vorprogrammierte Wenn-Dann-Schemata sondern um Algorithmen, welche sich selbstständig weiterentwickeln und somit lernen können</i>".<br /> <br />KI im oben genannten Sinne solle gemäss economiesuisse mindestens derzeit <b>nicht</b> (spezifisch) reguliert werden; eine übereilte Regulierung würde negative Auswirkungen auf Innovation, Wettbewerb sowie die globale Zusammenarbeit haben und insbesondere KMU massiv belasten. Ferner sei das schwezierische Rechtssystem prinzipienbasiert und technologieneutral ausgestaltet, so dass viele Fragen im Zusammenhang mit KI bereits heute und ohne Anpassungen von Gesetzen (wie z.B. DSG, ZGB/Persönlichkeitsrechte, UWG, StGB) begegnet werden könne. Sollte sich dennoch eine Lücke ergeben, könne diese mittels gezielter Anpassung spezifischer Rechtsgrundlagen - analog DLT-Gesetzgebung - geschlossen werden; ein KI-spezifisches Gesetz wie in der EU lehnt economiesuisse folgerichtig ab.<br /><br />Schliesslich formuliert das <a href="https://www.economiesuisse.ch/sites/default/files/publications/ES_Positionspapier_KI_DE.pdf">Positionspapier</a> die nachfolgenden Empfehlungen im Zusammenhang mit KI:<br /><br /><b>1) Ethik: </b><i>KI-Systeme sollen ethisch vertretbar sein.</i><br /><br /><b>2) Transparenz: </b><i>Von KI-Systemen getroffene Entscheidungen müssen transparent und nachvollziehbar sein, damit sie verstanden und überprüft werden können. Das Datenschutzrecht enthält generelle und im Falle von automatisierten Entscheiden verschärfte Transparenzvorschriften </i>[<u>Hinweis</u>: hier ist die Informationspflicht für automatisierte Einzelentscheidung gemäss <a href="https://www.fedlex.admin.ch/eli/cc/2022/491/de#art_21">Art. 21 revDSG</a> gemeint. Diese ist jedoch ebenfalls technologieneutral und beinhaltet keine spezifische Transparenzpflicht für KI].<br /><br /><b>3) Wirtschaftsfreiheit: </b><i>Die Regulierung von KI-Systemen hat das Prinzip der Wirtschafts- und insbesondere der Vertragsfreiheit zu respektieren.</i><br /><br /><b>4) Geistiges Eigentum: </b><i>Das geistige Eigentum muss auf Basis der heute bestehenden Regeln ausreichend geschützt bleiben.</i><br /><br /><b>5) Haftung:</b> <i>Die Haftung für KI-Systeme ist zu überprüfen. Allenfalls könnten die vorhandenen Regelungen zur Produkthaftung dahingehend ergänzt werden, dass sie einen angemessenen Schutz der Nutzer von KI-Systemen gewährleisten und Verantwortlichkeiten klar definiert sind.</i><br /><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-20378839264584601442023-03-25T19:16:00.050+01:002023-03-26T16:23:48.201+02:00Künstliche Intelligenz (KI): Guidelines und Whitepapers (Update)<div style="text-align: justify;">Künstliche Intelligenz (KI) ist nicht zuletzt dank einer intensiven Berichterstattung über Phänomene wie z.B. den Chatbot <a href="https://openai.com/blog/chatgpt">ChatGPT</a> (wieder) in aller Munde. Aus rechtlicher Sicht interessiert vor allem der zunehmende Ruf nach einer KI-spezifischen Regulierung um vermeintlich negative Auswirkungen zu verhindern. <br /></div><p style="text-align: justify;">In diesem Zusammenhang wird oft folgendem Umstand zu wenig Beachtung geschenkt: Der Einsatz von KI-Technologien ist kein Selbstzweck, sondern ein Mittel zur Erreichung bestimmter Ziele bzw. Umsetzung bestimmter Use Cases. Insbesondere Letztere entscheiden über die anwendbaren Rechtsgrundlagen: Auf die Auswertung von z.B. Personendaten im Gesundheitswesen oder der Analyse anonymisierter Verkehrsdaten gelangen jeweils unterschiedliche Gesetze zur Anwendung. Diese tragen den Eigenheiten beider Use Cases hinreichend Rechnung und zwar unabhängig von der eingesetzten (KI-)Technologie als Mittel zu deren Umsetzung. Folglich besteht die eigentliche Herausforderung viel mehr in der Ummünzung bestehender Rechtsgrundlagen in (nicht-rechtliche) Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben), die auch durch (neue) KI-Technologien umgesetzt werden können. Die Schaffung zusätzlicher, KI-spezifischer Rechtsgrundlagen ist in der Regel nicht zielführend.<br /></p><p style="text-align: justify;">Diese Unterscheidung gilt es auch bei der Lektüre der nachfolgenden Auswahl an Guidelines, Whitepapers etc. zu beachten:</p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"><b>(a)</b> UK Information Commissioner: Updated Guidance on AI and Data Protection, 2023: <a href="https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection/">Link</a><b> </b></p><p style="text-align: justify;"><b>(b) </b>Deutscher Ethikrat: Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz: Stellungnahme (Vorabfassung), 2023: <a href="https://www.ethikrat.org/fileadmin/Publikationen/Stellungnahmen/deutsch/stellungnahme-mensch-und-maschine.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(c) </b>Cesluk-Grajewski
Marcin, Think Tank European Parliament: Briefing: What Think Tanks are
Thinking - Artificial Intelligence, 2023: <a href="https://www.europarl.europa.eu/RegData/etudes/BRIE/2023/745695/EPRS_BRI(2023)745695_EN.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(d)</b> Swiss AI Report, 2022: <a href="https://ai-con.ch/app/uploads/swiss-ai-report-2022.pdf ">Link</a><b> </b></p><p style="text-align: justify;"><b>(e)</b> BAKOM: Monitoring der Leitlinien "Künstliche Intelligenz" für den Bund, 2022: <a href="https://cnai.swiss/wp-content/uploads/2022/12/Monitoring-der-Leitlinien-KI-DE.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(f)</b> EDA: Künstliche Intelligenz und internationales Regelwerk, 2022: <a href="https://www.newsd.admin.ch/newsd/message/attachments/71096.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(g) </b>Google: AI Principles Progress Update, 2022: <a href="https://ai.google/static/documents/ai-principles-2022-progress-update.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(h) </b>Christoph
Lütge/Ellen Hohma/Auxane Boch/Franziska Poszler/Caitlin Corrigan, IEAI
White Paper, TU München: On a Risk-Based Assessment Approach to AI
Ethics Governance, 2022: <a href="https://www.ieai.sot.tum.de/wp-content/uploads/2022/06/IEAI-White-Paper-on-Risk-Management-Approach_2022-FINAL.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(i)</b> BSI/Fraunhofer-Institut für Nachrichtentechnik/Verband der TÜV e.V.:
Towards Auditable AI Systems - Current status and future directions,
2021: <a href="https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/Towards_Auditable_AI_Systems.pdf?__blob=publicationFile&v=6, Mai 2021">Link</a> <b> </b></p><p style="text-align: justify;"><b>(j)</b> Leitlinien "Künstliche Intelligenz" für den Bund: Orientierungsrahmen für den Umgang mit künstlicher Intelligenz in der Bundesverwaltung, 2020: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2020/11/leitlinie_ki.pdf.download.pdf/Leitlinien%20Künstliche%20Intelligenz%20-%20DE.pdf ">Link</a><b> </b></p><p style="text-align: justify;"><b>(k)</b> Herausforderungen der künstlichen Intelligenz, Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" an den Bundesrat, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/bericht_idag_ki.pdf.download.pdf/bericht_idag_ki_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(l)</b> Bericht der Projektgruppe "Internationale Gremien und künstliche Intelligenz", 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/i-g_k-i.pdf.download.pdf/i-g_ki_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(m)</b> Berichte im Auftrag des SBFI: <b>(i)</b> Künstliche Intelligenz im Industrie- und Dienstleistungssektor, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/satw-k-i_i-d.pdf.download.pdf">Link</a>; <b>(ii) </b>Anwendung von künstlicher Intelligenz in Wissenschaft und Forschung, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/satw-k-i_w-f.pdf.download.pdf">Link</a>; <b>(iii)</b> Künstliche Intelligenz, Medien & Öffentlichkeit, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/k-i_m-o.pdf.download.pdf/k-i_m-o_d.pdf">Link</a>; <b>(iv)</b> Automatisierte Mobilität und künstliche Intelligenz, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/a-m_k-i.pdf.download.pdf/a-m_k-i_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(n)</b> Generalsekretariat VBS: Bericht der Projektgruppe - Künstliche Intelligenz in der Cybersicherheit und Sicherheitspolitik, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/k-i_c-s.pdf.download.pdf/k-i_c-s_d.pdf ">Link</a><br /></p><p style="text-align: justify;"></p><p style="text-align: left;">Übrigens: Auf die Frage, ob es ein Gesetz für ChatGPT brauche, antwortete der
Chatbot: "<i>Da ChatGPT eine KI-basierte virtuelle Assistentin ist und
keine eigenständige Entität mit eigenem Handeln, ist es nicht notwendig,
spezifische Gesetze für ChatGPT zu erstellen</i>". <br /></p><p style="text-align: left;">Weitere Blog-Beiträge zu KI sind <a href="http://www.lawblogswitzerland.ch/search/?q=KI">hier</a> abrufbar.<b> </b></p><p style="text-align: left;"><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-80563583388824115902023-02-05T14:09:00.003+01:002023-02-05T14:40:37.643+01:00Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht "Report of the work undertaken by the Cookie Banner Taskforce" als Reaktion auf die 700 "Cookie-Banner-Beschwerden" von NOYB <div style="text-align: justify;">Der Europäische Datenschutzausschuss (EDSA/EDPB) hat seinen vom 17. Januar 2023 datierten <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">"Report of the work undertaken by the Cookie Banner Taskforce"</a> veröffentlicht. Dieser Report legt die Auffassung einer Taskforce der EU-Datenschutzaufsichtsbehörden dar, die sich mit den über <a href="https://noyb.eu/de/woher-kommen-ploetzlich-die-ganzen-ablehnen-buttons">700 "Cookie-Banner-Beschwerden" der NGO des Datenschutz-Aktivisten Max Schrems, NOYB,</a> befasst. <br /></div><br /><b>Kernaussagen des <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">Reports</a>:</b><br /><br /><b>(i) </b>Der EDSA weist darauf hin, dass der mit der EU- Datenschutzgrundverordnung (EU DSGVO) eingeführte One-Stop-Shop Mechanismus nicht für Fragen im Zusammenhang mit Cookies gelte, da Cookie-bezogene Rechtsfragen primär unter die EU Richtlinie für elektronische Kommunikation (EU ePrivacy Directive) fallen - und nicht unter die EU DSGVO. <br /><br /><b>(ii)</b> Die Verwendung von vorangekreuzten Kästchen für die Erteilung einer Einwilligung für den Einsatz von technisch nicht notwendigen Cookies sei unzulässig.<br /><br /><b>(iii) </b>Täuschende "Link-Design"-Praktiken, die z.B. lediglich einen Link (anstelle einer Schaltfläche) zur Ablehnung des Einsatzes von technisch nicht notwendigen Cookies enthalten, seien unzulässig. Dies gelte auch für Praktiken, die den Nutzern den Eindruck vermitteln, dass sie zustimmen müssen, um auf eine bestimmte Website zuzugreifen, oder die den Nutzer eindeutig zur Zustimmung drängen.<br /><br /><b>(iv)</b> Irreführende Praktiken, die unterschiedliche Farben und Kontraste der Cookie-Banners verwenden, um die Schaltfläche "Alle akzeptieren" gegenüber den übrigen Schaltflächen hervorzuheben, seien unzulässig. Während die Gültigkeit eines Designs von Fall zu Fall beurteilt werden sollte, dürften alle Schaltflächen i.d.R. idealerweise die gleiche Grösse, Farbe, Schriftart und Kontrast aufweisen, um sicherzustellen, dass die Zustimmung tatsächlich "freiwillig" abgegeben werden könne.<br /><br /><b>(v)</b> Lediglich die Mehrheit der EU-Datenschutzaufsichtsbehörden sei der Ansicht, dass auf der ersten Ebene des Cookie-Banners eine Schaltfläche "Alle ablehnen" vorhanden sein müsse, damit der Einsatz von technisch nicht notwendigen Cookies ebenso einfach akzpetiert wie abgelehnt werden könne. <br /><br /><b>(vi)</b> Der Einsatz technisch nicht notwendiger Cookies (z. B. gezielte Werbe-Cookies) könne sich nur auf eine gültige Einwilligung und nicht auf "berechtigte Interessen" abstützen. <br /><br /><b>(vii)</b> Die Betreiber von Websites sollten leicht zugängliche Lösungen einführen, die es den Nutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen, z. B. durch die Verwendung eines kleinen, ständig sichtbaren Symbols oder eines Links an einer sichtbaren und standardisierten Stelle.<br /><br /><b>(viii)</b> Zusammenspiel zwischen der EU ePrivacy Directive und der EU DSGVO: Der EDSA hat auch klargestellt, dass die Nichteinhaltung der Vorgaben für den Einsatz technisch nicht notwendiger Cookies gemäss EU ePrivacy Directive dazu führe, dass eine nachgelagerte Verarbeitung personenbezogener Daten gemäss DSGVO (sofern eine solche überhaupt stattfindet), nicht zulässig sei.<br /><br /><b>(ix)</b> Schliesslich hat der EDSA den nachfolgenden Disclaimer im Zusammenhang mit dem vorliegenden <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">Report</a> veröffentlicht:<br /><br />"<i>The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable</i>".<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-37331788351223256062022-11-27T15:59:00.016+01:002022-12-11T10:43:06.667+01:00Guidelines zu Cloud Computing: Eine Übersicht<div><div style="text-align: justify;"><i>Cloud Computing</i> bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher <i>Cloud Guidelines</i>. Diese beleuchten die <i>Cloud</i> aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens <i>Cloud</i> Rechnung; die Navigation durch den <i>Cloud-Dschungel</i> wird aufgrund der grossen Anzahl der<i> </i>Guidelines<i> </i>nicht einfacher.<br /></div><br /></div><div style="text-align: justify;">Ausserdem fehlt eine Legaldefinition der <i>Cloud</i>. Ferner kann aus den technischen Definitionen der <i>Cloud</i> nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen <i>Cloud</i> oftmals um <a href="https://www.swissict.ch/der-teufel-steckt-im-detail/">Service Provider Management</a> handelt. Dies zieht immerhin die Anwendung gewisser <a href="http://www.lawblogswitzerland.ch/2013/08/anwendbarkeit-des-datenschutzgesetzes.html">Rechtsnormen</a> nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren <a href="http://www.lawblogswitzerland.ch/2021/06/vorentwurf-zur-totalrevidierten.html">eigenständige Übersetzung</a> in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (<a href="http://www.lawblogswitzerland.ch/2021/09/gutachten-des-bundesamts-fur-justiz-zum.html">TOM-Vorgaben</a>)<br /><br />Die nachfolgende Übersicht soll einen Kompass durch den <i>Cloud-Dschungel</i> bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das <a href="https://www.swissict.ch/der-teufel-steckt-im-detail/">jeweilige <i>Cloud-Projekt</i></a>:<br /></div> <br /><b>Cloud Guidelines Schweiz</b><br />Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): <a href="https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/cloud-computing.html">Link</a><br />PRIVATIM: <a href="https://www.privatim.ch/wp-content/uploads/2022/02/privatim_Cloud-Merkblatt_v3_0_20220203_def._DE-1.pdf ">Link</a><br />Bundesverwaltung/Bundeskanzlei: <a href="https://www.bk.admin.ch/bk/de/home/digitale-transformation-ikt-lenkung/bundesarchitektur/cloud.html">Link</a><br />Schweizerische Bankiervereinigung (SBVg): <a href="https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing">Link</a><br />Verein Unternehmens-Datenschutz (VUD): <a href="https://www.vud.ch/view/data/2124/Div.%20Dokumente/220826_VUD_FAQ%20zum%20Einsatz%20von%20Cloud.pdf">Link</a><br />Kantonsverwaltung ZH/Regierungsratsbeschluss: <a href="https://www.zh.ch/de/politik-staat/gesetze-beschluesse/beschluesse-des-regierungsrates/rrb/regierungsratsbeschluss-542-2022.html">Link</a><br /><br /><b>Cloud Guidelines EU</b><br />European Banking Authority (EBA): <a href="https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2170121/5fa5cdde-3219-4e95-946d-0c0d05494362/Final%20draft%20Recommendations%20on%20Cloud%20Outsourcing%20%28EBA-Rec-2017-03%29.pdf?retry=1">Link</a><br />European Securities and Markets Authority (ESMA): <a href="https://www.esma.europa.eu/sites/default/files/library/esma_cloud_guidelines_de.pdf">Link</a><br />Information Commissioner's Office UK (ICO): <a href="https://ico.org.uk/media/for-organisations/documents/1540/cloud_computing_guidance_for_organisations.pdf ">Link</a><br />National Cyber Security Centre UK (NCSC): <a href="https://www.ncsc.gov.uk/collection/cloud ">Link</a><br />Commission Nationale de l'Informatique et des Libertés FR (CNIL): <a href="https://www.cnil.fr/sites/default/files/typo/document/Recommendations_for_companies_planning_to_use_Cloud_computing_services.pdf">Link</a><br />Datenschutzkonferenz Deutschlands (DSK): <a href="https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf ">Link</a><br />Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): <a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Grundlagen/grundlagen_node.html">Link</a>, <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-empfehlungen-cloud-dienstleistungen.html">Link</a> und <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-exit-strategie-cloud-dienstleistungen.html und https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_2_2_Cloud-Nutzung_Edition_2021.html ">Link</a><br />European Data Protection Supervisor (EDPS): <a href="https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidelines-use-cloud-computing-services-european_en">Link</a><br />European Data Protection Board (EDPB): <a href="https://edps.europa.eu/system/files/2022-04/22-04-29_ongoing-investigation-into-the-use-of-m365-by-euis_en.pdf">Link</a><br /><b><br />Cloud Guidelines restliche Welt</b><br />U.S. Department of Justice (DOJ): <a href="https://www.justice.gov/opa/press-release/file/1153446/download">Link</a><br />U.S. National Institute of Standards and Technology (NIST): <a href="https://www.govinfo.gov/content/pkg/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada/pdf/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada.pdf">Link</a> und <a href="https://www.govinfo.gov/content/pkg/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada/pdf/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada.pdf">Link</a><br />Hong Kong Monetary Authority (HKMA): <a href="https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2022/20220831e1.pdf ">Link</a><br />Canadian Centre for Cyber Security (CCCS): <a href="https://www.cyber.gc.ca/en/guidance/guidance-cloud-security-assessment-and-authorization-itsp50105">Link</a><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br /><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-37092201510648166902022-10-02T10:21:00.004+02:002022-10-02T11:14:03.498+02:00Tracking-Technologien: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) analysiert Handlungsbedarf<div style="text-align: justify;">Gemäss <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 27. September 2022 </a>wurde offenbar in den USA eine Klage gegen Oracle America Inc. im Zusammenhang mit dem Einsatz von Tracking-Technologien eingereicht. Gegen welche rechtlichen Voraussetzungen Oracle konkret verstossen haben soll, geht aus der Medienmitteilung nicht hervor. Stattdessen wird festgehalten, dass Oracle Tracking-Technologien unter anderem zur Erhebung sowie Auswertung einer Vielzahl von Internetnutzern zwecks Erstellung einer Datensammlung einsetze und dies "<i>sogar geräteübergreifend</i>".<br /></div><br />Ferner wird <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">festgehalten</a>, dass der EDÖB die vorgenannte Klage zur Kenntnis genommen habe, diese und allfällige Auswirkungen auf die Schweiz analysiere. Ausserdem habe der EDÖB Oracle Software (Schweiz) GmbH angeschrieben und behalte sich vor, gegebenenfalls weitere Schritte einzuleiten.<br /><p style="text-align: left;">Der EDÖB fokussiert laut erwähnter <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Medienmitteilung</a> seine Analyse u.a. auf folgende Aspekte:<br /><br /><b>a)</b> Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze der <i>"Transparenz und der Verhältnismässigkeit</i>".<br /><br /><b>b)</b> "<i>Erforderlichkeit einer ausdrücklichen Einwilligung für die </i><i>Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten</i>".<br /><br />Der Fokus der <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Analyse des EDÖB</a> ist in zweifacher Hinsicht überraschend: <b> </b></p><p style="text-align: justify;"><b>1) </b>Vorab ist nicht primär das Datenschutzgesetz (DSG), sondern <a href="https://www.fedlex.admin.ch/eli/cc/1997/2187_2187_2187/de#art_45_c">Art. 45c lit. b Fernmeldegesetz (FMG) </a>für den Einsatz von Tracking-Technologien (d.h. einem Auslesen oder Übermitteln von Daten mittels fernmeldetechnischer Übertragung auf fremde Geräte) anwendbar. Bereits damit werden Transparenz (Information) sowie die Möglichkeit einer Ablehnung (sog. Opt-Out) technisch nicht notwendiger Trackings sichergestellt. Dies erfolgt unabhängig davon, ob Personendaten gemäss <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_3">Art. 3 lit. a DSG </a>bearbeitet werden oder nicht<b>.</b></p><p style="text-align: justify;"><b>2)</b> Falls im Rahmen eines Trackings Personendaten bearbeitet werden, also zwischen den fraglichen Daten ein Personenbezug ohne unverhältnismässig grossen Aufwand (sog. relative Methode) hergestellt werden kann, ist zusätzlich das DSG anwendbar. </p><p style="text-align: justify;">Im DSG gilt jedoch der Grundsatz der Erlaubnis mit Verbotsvorbehalt: Danach ist im Privatbereich weder eine datenschutzrechtliche Einwilligung noch ein anderer datenschutzrechtlicher Rechtfertigungsgrund als Voraussetzung für die Bearbeitung (z.B. Erstellung) von Personendaten erforderlich, sofern insbesondere die <b>(i)</b> Bearbeitungsgrundsätze (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_4">Art. 4 ff. DSG</a> i.V.m. <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. a DSG</a>) eingehalten werden, <b>(ii)</b> keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile an echte Dritte bekanntgegeben werden (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. c DSG</a>) und <b>(iii)</b> kein ausdrücklicher Widerspruch der betroffenen Person vorliegt (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. b DSG</a>). <br /><br />Folglich sieht das DSG <u>keine</u> Einwilligung für die Erstellung von Persönlichkeitsprofilen oder die Erhebung besonders schützenswerter Personendaten vor<i> -</i> weder im Zusammenhang mit Tracking-Technologien noch für andere Bearbeitungen.<br /><br />Dieser Grundsatz gilt auch im <a href="http://www.lawblogswitzerland.ch/2022/09/totalrevision-des-schweizerischen.html">totalrevidierten DSG, das am 01. September 2023</a> in Kraft tritt. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-17251457503825618732021-10-31T13:07:00.004+01:002021-11-01T20:10:46.052+01:00Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Guidelines zu Art. 23 EU DSGVO (Beschränkungen von Rechten und Pflichten)<div style="text-align: justify;">Im Nachgang zur öffentlichen Konsultation veröffentlichte der <a href="https://edpb.europa.eu/edpb_en">Europäische Datenschutzausschuss (EDSA/EDPB)</a> am 13. Oktober 2021 seine Guidelines zu Art. 23 EU DSGVO in der Version 2.0 <a href="https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf">(Guidelines 10/2020 on restrictions under Article 23 GDPR)</a>.<br /></div><p>Art. 23 EU DSGVO sieht die Möglichkeit vor, dass die EU Mitgliedsstaaten die Rechte und Pflichten gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2176-1-1">Art. 12 bis 22 EU DSGVO (Rechte der betroffenen Personen) </a>sowie <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3502-1-1">Art. 34 EU DSGVO (Benachrichtigung bei Data Braches)</a> und <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1825-1-1">Art. 5 EU DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten)</a> unter bestimmten Voraussetzungen beschränken können.<br /><br />Diese Voraussetzungen hat der EDSA mit der oben erwähnten Guideline aktualisiert und wie folgt zusammengefasst (vgl. Conclusion/Kapitel 8): <br /><br /><b>a) </b><i>Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State. </i><br /><br /><b>b)</b> <i>Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions. </i><br /><br /><b>c)</b> <i>The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects. </i><br /><br /><b>d)</b><i><b> </b>SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR. </i><br /></p><p><b>e)</b> <i>Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.</i><br /><br />Unter Kapitel 9 wurde ausserdem eine <a href="https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf">Checkliste</a> mit dem Titel „Article 23 GDPR in a nutshell“ publiziert.<br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br />Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-56575925283771912392021-07-31T16:38:00.003+02:002021-07-31T16:38:54.015+02:00 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Tätigkeitsbericht 2020/21<div style="text-align: justify;">Am 29. Juni 2021 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seinen <a href="https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/28--taetigkeitsbericht-2020-2021.html">28. Tätigkeitsbericht</a>, welcher den Zeitraum zwischen 1. April 2020 und 31. März 2021 abdeckt. Im Abschnitt „Datenschutz“ geht der EDÖB u.a. auf folgende Themenbereiche ein:<br /></div><p><b>a) Programm Nationale Datenbewirtschaftung: </b>Die Datenbewirtschaftung der öffentlichen Hand soll durch die Mehrfachnutzung von Daten einfacher und effizienter werden. Aus Sicht des EDÖBs berge dies „<i>erhebliche datenschutzrechtliche Risiken</i>“. So sei insbesondere sicherzustellen, dass das "Once-Only"-Prinzip nicht dazu führe, den Kreis von Zugriffsberechtigten zu erweitern. Weiter müsse zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten dürfe. Zudem sei klar zwischen Datenbearbeitungen zu statistischen Zwecken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus müsse transparent ersichtlich sein, wie die Datenerhebung, die weitere Datenbearbeitung und die Zugriffsmöglichkeiten geregelt seien (vgl. S. 19). <br /><b><br />b) eGovernment:</b> Mit Blick auf das totalrevidierte Datenschutzgesetz (DSG), das voraussichtlich ab Mitte kommenden Jahres anwendbar sein wird, bereitet der EDÖB „<i>die Einführung von zwei Online-Meldeportalen für die vom neuen DSG vorgesehenen Meldungen von Datenverlusten und Bekanntgaben von Datenschutzberaterinnen und -beratern vor</i>“ (vgl. S. 21).<br /><br /><b>c) Zulässigkeit von Background Checks im Bewerbungsverfahren:</b> Ausgedehnte Personensicherheitsprüfungen seien in Bereichen, in denen Arbeitnehmende Zugang zu sensiblen Informationen haben i.d.R. verhältnismässig und damit zulässig. Dies sei z.B. im Banken- oder Sicherheitssektor der Fall. Unabhängig davon sei der Arbeitgeber aufgrund des Transparenzgebots verpflichtet, die betroffene Person über den Background Check und die dabei erfolgenden Datenbearbeitungen und Auswertungen zu informieren (vgl. S. 47).<br /><br /><b>d) Weitergabe von Mitgliederdaten an Sponsoren: </b>Der EDÖB untersuchte die Frage, ob es für Vereine zulässig sei, einen höheren Mitgliederbeitrag von denjenigen Mitgliedern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Dabei kam er u.a. zum Schluss, dass Vereine „<i>ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben</i>“ dürfen und „<i>wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden</i>“. Gemäss EDÖB könne dann von einem unverhältnismässigen Nachteil ausgegangen werden, wenn "<i>die Erhöhung des Beitrags so hoch ist, dass sich die betroffenen Personen praktisch gezwungen fühlen, der Datenbekanntgabe zuzustimmen</i>" (vgl. S. 51). </p><p>Im Zusammenhang mit der Weitergabe von Personendaten kennt das geltende sowie künftige DSG grundsätzlich kein Einwilligungserfordernis. Solange die Weitergabe gegenüber den betroffenen Personen (i.c. den Vereinsmitgliedern) transparent gemacht worden ist, muss weder eine Einwilligung noch ein anderer Rechtfertigungsgrund geltend gemacht werden - es sei denn, bei den weitergegebenen Daten handelt es sich um besonders schützenswerte Personendaten oder Persönlichkeitsprofile (vgl. <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. c DSG</a>). Damit ist auch der Teilaspekt des „<i>unverhältnismässigen Nachteils</i>“ als vermeintliche Voraussetzung für eine freiwillige Einwilligung vorliegend irrelevant. Er müsste ohnehin im Rahmen der Privatrechtsautonomie bzw. Vereinsfreiheit und nicht nur isoliert aus der Sicht des DSG geprüft werden.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-42125429903733498052021-05-02T18:25:00.004+02:002021-05-02T18:32:38.651+02:00EU & KI: EU-Kommission veröffentlicht Entwurf zum Artificial Intelligence Act<div style="text-align: justify;">Am 21. April 2021 veröffentlichte die EU-Kommission ihren Entwurf eines Legal Frameworks zur Regulierung von Künstlicher Intelligenz (KI): <a href="https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence-artificial-intelligence">Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)</a>. <br /></div><br />Damit sollen die (Grund)Rechte der betroffenen Personen sowie Unternehmen gewahrt und gleichzeitig ein zukunftsgerichtetes Legal Framework für die Entwicklung von KI und generell von Innovation in der EU geschaffen werden. Dies könnte auch für die <b>Schweiz</b> relevant sein; im Entwurf ist mindestens derzeit folgender Anknüpfungspunkt zu finden: „(…) <a href="https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75788"><i>this Regulation should also apply to providers and users of AI systems that are established in a third country, to the extent the output produced by those systems is used in the Union</i></a>“.<br /><br />Der Entwurf sieht u.a. einen risikobasierten Regulierungsansatz vor. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, welche sich insbesondere an bestimmten Verwendungszwecken und damit zusammenhängenden Risiken orientieren: <b>unacceptable risk</b>, <b>high-risk</b>, <b>limited risk</b> und <b>minimal risk</b>. Je nach Risikokategorie sind die Voraussetzungen an KI-Systeme strenger bzw. weniger streng:<br /><br /><b>1) Unacceptable risk:</b> Für Zwecke, die eine Gefahr für "<i>the safety, livelihoods and rights of people</i>" darstellen, sollen KI-Systeme nicht genutzt werden dürfen. Darunter fallen "<i>AI systems or applications that manipulate human behaviour to circumvent users' free will (e.g. toys using voice assistance encouraging dangerous behaviour of minors) and systems that allow ‘social scoring' by governments</i>“.<br /><br /><b>2) High-risk:</b> KI-Systeme, welche zu den <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled">nachfolgenden Zwecken</a> genutzt werden, sollen unter die Kategorie high-risk<b> </b>fallen:<br />a) <i>Critical infrastructures (e.g. transport), that could put the life and health of citizens at risk</i><br />b) <i>Educational or vocational training, that may determine the access to education and professional course of someone's life (e.g. scoring of exams)</i><br />c) <i>Safety components of products (e.g. AI application in robot-assisted surgery)</i><br />d) <i>Employment, workers management and access to self-employment (e.g. CV-sorting software for recruitment procedures)</i><br />e)<i> Essential private and public services (e.g. credit scoring denying citizens opportunity to obtain a loan)</i><br />f) <i>Law enforcement that may interfere with people's fundamental rights (e.g. evaluation of the reliability of evidence)</i><br />g) <i>Migration, asylum and border control management (e.g. verification of authenticity of travel documents)</i><br />h) <i>Administration of justice and democratic processes (e.g. applying the law to a concrete set of facts) </i><br />i) <i>In particular, all remote biometric identification systems are considered high risk and subject to strict requirements</i><br /><br />Bevor KI-Systeme der Risikokategorie <b>high-risk</b> genutzt werden dürfen, sollen folgende <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>Voraussetzungen</b></a> erfüllt werden:<br />i) <i>Adequate risk assessment and mitigation systems</i><br />ii) <i>High quality of the datasets feeding the system to minimise risks and discriminatory outcomes</i><br />iii)<i> Logging of activity to ensure traceability of results</i> <br />iv) <i>Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance</i><br />v)<i> Clear and adequate information to the user</i><br />vi) <i>Appropriate human oversight measures to minimise risk</i><br />vii) <i>High level of robustness, security and accuracy</i><br /><br /><b>3) Limited risk:</b> „(…) <i>specific <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>transparency</b></a> obligations: When using AI systems such as chatbots, users should be aware that they are interacting with a machine so they can take an informed decision to continue or step back</i>". <br /><br /><b>4) Minimal risk:</b> „(…)<i> allows the <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>free</b></a> use of applications such as AI-enabled video games or spam filters. The vast majority of AI systems fall into this category. The draft Regulation does <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>not intervene here</b></a>, as these AI systems represent only minimal or no risk for citizens' rights or safety</i>".<br /><br />Schliesslich sieht der Entwurf vor, dass u.a. die oben genannten Voraussetzungen direkt anwendbar sein und entlang eines <a href="https://digital-strategy.ec.europa.eu/en/library/coordinated-plan-artificial-intelligence-2021-review">Coordinated Plan on AI</a> mit weiteren Regulierungsinitiativen der EU (z.B. <a href="https://ec.europa.eu/docsroom/documents/45508?cookies=disabled">new machinery regulation</a>, European green deal) abgestimmt werden sollen. Das EU-Parlament und die EU-Mitgliedsstaaten werden nun über den vorliegenden Entwurf beraten.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-38804645629725925142020-08-14T21:01:00.000+02:002020-08-14T21:01:11.757+02:00Cloud Computing: Modell und Berechnungstool zur Risikobeurteilung eines Lawful Access durch ausländische Behörden<div style="text-align: justify;">Am 10. August 2020 veröffentlichte der Datenschutzexperte David Rosenthal ein Modell zur Risikobeurteilung eines Lawful Access durch ausländische Behörden auf seiner <a href="https://www.rosenthal.ch/">Webseite</a>. </div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Das Modell basiert im Wesentlichen auf der Aussage, dass sieben Voraussetzungen für einen erfolgreichen (foreign) Lawful Access nötig sind und auf diese mit angemessenen technischen sowie organisatorischen (und damit nicht rechtlichen) Massnahmen (TOM) eingewirkt werden kann.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Ein entsprechendes <a href="https://www.rosenthal.ch/downloads/Rosenthal_Cloud_Lawful_Access_Risk_Assessment.xlsx">Berechnungstool</a> samt <a href="https://www.rosenthal.ch/downloads/Rosenthal-CloudLawfulAccess-Anhang.pdf">Anleitung</a> wird von Herrn Rosenthal im Rahmen einer kostenlosen <a href="https://creativecommons.org/licenses/by/4.0/">Creative Commons "Namensnennung 4.0 International" (CC BY 4.0)</a> Lizenz zur Verfügung gestellt.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><b>Michal Cichocki</b></a></div><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-62303415138337686452020-02-29T17:36:00.000+01:002020-02-29T17:36:25.641+01:00Europäische Kommission veröffentlicht White Paper zu Künstlicher Intelligenz (KI)<div style="text-align: justify;">
Im Rahmen der öffentlichen Konsultation veröffentlichte die Europäische Kommission am 19.02.2020 ihr „<a href="https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf">White Paper on Artificial Intelligence - A European Approach to excellence and trust</a>“.<br /><br />Dabei handelt es sich um ein Grundlagenpapier u.a. zur Schaffung eines künftigen regulatorischen Rahmens für den Themenbereich Künstliche Intelligenz (KI). Im White Paper werden unterschiedliche Aspekte von KI diskutiert; bspw. wird auf die Minimierung von Risiken für Verletzungen von Grundrechten, Datenschutz, Sicherheit sowie auf Haftungsfragen beim Einsatz von KI eingegangen. <br /><br />In diesem Zusammenhang wird erwähnt, dass bereits heute eine Vielzahl unterschiedlicher Rechtsgrundlagen auf KI anwendbar seien (z.B. Datenschutzrecht wie die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e40-1-1">EU DSGVO</a>, Konsumentenschutzrecht wie z.B. die Richtlinien <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32005L0029">2005/29/EC</a> oder <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32011L0083">2011/83/EC</a> und Diskriminierungsverbote wie bspw. die Richtlinien <a href="https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000L0043">2000/43/EC</a>, <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32000L0078">2000/78/EC</a>, <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32004L0113">2004/113/EC</a>, <a href="https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32006L0054">2006/54/EC</a>).<br /><br />Mit Blick auf KI-spezifische Risiken müsse der regulatorische Rahmen jedoch angepasst werden. Dabei soll ein risikobasierter Ansatz gewählt und lediglich KI-Anwendungen mit sog. „hohem Risiko“ zusätzlich reguliert werden. Ob eine KI-Anwendung ein „hohes Risiko“ beinhaltet oder nicht, bestimmt sich nach dem betroffenen <b>(a)</b> Sektor und dem jeweiligen <b>(b) </b>Einzelfall. Danach sollen das Gesundheitswesen, Transport, Energie und bestimmte Bereiche der öffentlichen Verwaltung grundsätzlich als Sektoren mit „hohem Risiko“ gelten. Werden in einem solchen Sektor KI-Anwendungen eingesetzt, muss zusätzlich eine (potentiell negative) Auswirkung auf die betroffenen Personen vorliegen (wie z.B. rechtliche Konsequenzen oder physische bzw. psychische Beeinträchtigungen), damit von einem "hohen Risiko" gesprochen werden kann; als konkretes Beispiel wird der Einsatz von KI-Anwendungen im Bewerbungsprozess erwähnt.<br /><br />Die künftige Regulierung für KI-Anwendungen mit „hohem Risiko“ soll sich u.a. auf die Guidelines der <a href="http://www.lawblogswitzerland.ch/2019/05/neue-guidelines-zu-kunstlicher.html">High Level Export Group</a> stützen und voraussichtlich rechtliche Vorgaben u.a. zu folgenden Hauptaspekten beinhalten:<br /><br /><b>(i)</b> Trainingsdaten <br /><br /><b>(ii) </b>Aufbewahrung von Daten und Aufzeichnungen<br /><br /><b>(iii)</b> Vorzulegende Informationen (Transparenz) <br /><br /><b>(iv)</b> Robustheit und Genauigkeit <br /><br /><b>(v)</b> Menschliche Aufsicht<br /><br /><b>(vi) </b>Besondere Anforderungen an bestimmte KI-Anwendungen (z.B. biometrische Fernidentifikation)<br /><br /><b>(vii) </b>Einhaltung und Durchsetzung <br /><br />Die <a href="https://ec.europa.eu/digital-single-market/en/news/white-paper-artificial-intelligence-european-approach-excellence-and-trust">öffentliche Konsultation</a> für das White Paper zu KI läuft bis 19.05.2020. Anschliessend werden die entsprechenden Eingaben ausgewertet, in die Neufassung des „<a href="https://www.consilium.europa.eu/de/press/press-releases/2019/02/18/european-coordinated-plan-on-artificial-intelligence/">koordinierten Plans für Künstliche Intelligenz</a>“ der Europäischen Union aufgenommen und voraussichtlich Ende 2020 veröffentlicht.<br /><b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-22435522505929791912020-01-26T11:16:00.001+01:002020-01-26T11:16:58.594+01:00UK: Konsultation zur Guideline „Explaining decisions made with AI“ abgeschlossen<div style="text-align: justify;">
Am 24. Januar 2020 wurde die <a href="https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-and-the-turing-consultation-on-explaining-ai-decisions-guidance/">öffentliche Konsultation</a> zum viel beachteten Entwurf der Guideline „<i>Explaining decisions made with AI</i>“ abgeschlossen. Diese Guideline wurde von der britischen Datenschutzaufsichtsbehörde, dem <a href="https://ico.org.uk/">Information Commissioner's Office (ICO)</a>, gemeinsam mit dem <a href="https://www.turing.ac.uk/">Alan Turing Institute</a> entwickelt. Sie soll als praktische Anleitung zur Beschreibung bzw. Erläuterung von Prozessen, Dienstleistungen und Entscheidungen dienen, die mittels <a href="http://www.lawblogswitzerland.ch/2019/05/neue-guidelines-zu-kunstlicher.html">Künstlicher Intelligenz (K.I.)</a> vorgenommen werden.<br />
<br />
„<i>Explaining decisions made with AI</i>“ besteht aus drei Teilen:</div>
<div style="text-align: justify;">
<b><br /><i><a href="https://ico.org.uk/media/about-the-ico/consultations/2616434/explaining-ai-decisions-part-1.pdf">Part 1: The basics of explaining AI</a> </i></b><i>defines the key concepts and outlines a number of different types of explanations. It will be relevant for all members of staff involved in the development of AI systems.<br /><b><br /><a href="https://ico.org.uk/media/about-the-ico/consultations/2616433/explaining-ai-decisions-part-2.pdf">Part 2: Explaining AI in practice</a></b> helps you with the practicalities of explaining these decisions and providing explanations to individuals. This will primarily be helpful for the technical teams in your organisation, however your DPO and compliance team will also find it useful.<br /><br /><b><a href="https://ico.org.uk/media/about-the-ico/consultations/2616436/explaining-ai-decisions-part-3.pdf">Part 3: What explaining AI means for your organisation</a></b> goes into the various roles, policies, procedures and documentation that you can put in place to ensure your organisation is set up to provide meaningful explanations to affected individuals. This is primarily targeted at your organisation’s senior management team, however your DPO and compliance team will also find it useful.</i><br />
<br />
Die <a href="https://ico.org.uk/">ICO</a> wird die Eingaben aus dem Konsultationsverfahren auswerten und in Kürze ein Update der Guideline veröffentlichen.<br />
<br />
<b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-12274435809149532192019-03-10T20:51:00.001+01:002019-03-10T20:51:28.595+01:00FATF/GAFI – Auslegungsnote zu «Virtual Assets» und «Virtual Asset Services Provider» <div style="text-align: justify;">
Die <a href="http://www.fatf-gafi.org/">Financial Action Task Force (FATF/GAFI)</a> hat am 22. Februar 2019 die <a href="http://www.fatf-gafi.org/publications/fatfrecommendations/documents/regulation-virtual-assets-interpretive-note.html">revidierte Empfehlung 15</a> veröffentlicht, die neu auch «Virtual Assets» und Anbieter von «Virtual Asset Services» erfassen soll. Die Auslegungsnote soll im Juni 2019 formell verabschiedet werden. Die revidierte Empfehlung 15 soll den Missbrauch von «Virtual Assets» für Geldwäsche und Terrorismusfinanzierung mindern. So sollen die Mitgliedstaaten der FATF sicherstellen, dass die Anbieter von Virtual Asset Services einer angemessen Regulierung und Überwachung durch eine Aufsichtsbehörde (keine SRO) unterstellt und die wirksame Kontrolle von Geldwäsche/Terrorismusfinanzierung sichergestellt wird. In Bezug auf die Massnahmen zur Verhinderung der Geldwäsche/Terrorismusfinanzierung sollen die <a href="http://www.fatf-gafi.org/publications/fatfrecommendations/?hf=10&b=0&s=desc(fatf_releasedate)">Empfehlungen 10 bis 21</a> gelten, insbesondere wurde die anwendbare Schwelle für gelegentliche Finanztransaktionen die Sorgfaltspflichten auslösen auf USD/EUR 1'000 festgelegt. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-55011287096607722672019-02-10T12:33:00.000+01:002019-02-10T12:33:39.612+01:00FINMA: Fintech-Bewilligung<div style="text-align: justify;">
Ab 1. Januar 2019 besteht die Möglichkeit, eine sog. Fintech-Bewilligung zu beantragen. Die Fintech-Bewilligung ist eine im Bankengesetz zusätzlich zur herkömmlichen Bankenbewilligung geschaffene neue Bewilligungskategorie mit erleichterten Anforderungen (Personen nach Art. 1b <a href="https://www.admin.ch/opc/de/classified-compilation/19340083/201901010000/952.0.pdf">Bankengesetz</a>; SR 952.0). Die erleichterten Anforderungen wurden ebenfalls per 1. Januar 2019 durch Anpassungen weiterer Verordnungen konkretisiert (<a href="https://www.admin.ch/opc/de/classified-compilation/20131795/201901010000/952.02.pdf">Bankenverordnung</a>, und <a href="https://www.admin.ch/opc/de/classified-compilation/20080355/201901010000/956.122.pdf">FINMA-Gebühren- und Abgabenverordnung</a>). Die Fintech-Bewilligung ist vorgesehen, für Personen, die: <br /><br /><b>(i)</b> gewerbsmässig Publikumseinlagen von bis zu CHF 100 Mio. entgegennehmen oder sich öffentlich dafür empfehlen; und<br /><br /><b>(ii)</b> diese Publikumseinlagen weder anlegen noch verzinsen. <br /><br />Die Fintech-Bewilligung ist zudem an gewisse Bedingungen betreffend Organisation, Risikomanagement, Compliance, Rechnungslegung und Mindestkapital (mind. CHF 300'000 bzw. 3% der Einlagen) gebunden. Vorausgesetzt wird beispielsweise, dass ein Institut mit Fintech-Bewilligung seinen Sitz und seine Geschäftstätigkeit in der Schweiz hat. <br /><br />Anders als insbesondere unter der <a href="http://www.lawblogswitzerland.ch/search/?q=sandbox">Sandbox-Ausnahme</a>, wonach Institute unter bestimmten Voraussetzungen Publikumsgelder bewilligungsfrei in der Höhe von bis zu CHF 1 Mio. entgegennehmen dürfen, darf ein Unternehmen jenseits dieser Schwelle erst nach erfolgter Fintech-Bewilligung durch die FINMA tätig werden. <br /><br />Die FINMA ist für die Erteilung der Bewilligung zuständig. Zur Erleichterung des Gesuchprozesses veröffentlicht die FINMA eine Wegleitung. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-65238496858664031402019-01-08T22:27:00.000+01:002019-01-08T22:35:54.709+01:00Aktuelle Guidelines zu künstlicher Intelligenz (K.I.) – eine Übersicht<div style="text-align: justify;">
Fortschritte im Bereich der <a href="https://de.wikipedia.org/wiki/K%C3%BCnstliche_Intelligenz">künstlichen Intelligenz</a> sowie eine stark angestiegene <a href="https://nzzas.nzz.ch/schwerpunkte/kuenstliche-intelligenz/">Medienberichterstattung</a> haben zahlreiche Aufsichtsbehörden, NGOs sowie Think Tanks dazu veranlasst, unterschiedliche Guidelines zum vorgenannten Themenbereich zu veröffentlichen. Die nachfolgende Übersicht ist eine Auswahl ohne Anspruch auf Vollständigkeit: <br />
<br />
<b>(i)</b> 38th International Conference of Data Protection and Privacy Commissioners: Room document on Artificial Intelligence, Robotics, Privacy and Data Protection (2016): <a href="https://edps.europa.eu/sites/edp/files/publication/16-10-19_marrakesh_ai_paper_en.pdf">Link</a><br />
<br />
<b>(ii)</b> 40th International Conference of Data Protection and Privacy Commissioners: Declaration on Ethics and Data Protection in Artificial Intelligence (2018): <a href="https://www.privacyconference2018.org/system/files/2018-10/20180922_ICDPPC-40th_AI-Declaration_ADOPTED.pdf">Link</a><br />
<br />
<b>(iii)</b> The Norwegian Data Protection Authority: Report on Artificial intelligence and privacy (2018): <a href="https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf">Link</a><br />
<br />
<b>(iv)</b> Commission Nationale de l'Informatique et des Libertés (CNIL): Algorithms and artificial intelligence - CNIL’s report on the ethical issues (2018): <a href="https://www.cnil.fr/en/algorithms-and-artificial-intelligence-cnils-report-ethical-issues">Link</a><br />
<br />
<b>(v)</b> Information Commissioner's Office (ICO): Big data, artificial intelligence, machine learning and data protection (2017): <a href="https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf">Link</a><br />
<br />
<b>(vi)</b> Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Smartes Design für KI mit Datenschutz (2018): <a href="https://www.datenschutzzentrum.de/uploads/vortraege/20180531_SmartesDesign_KuenstlicheIntelligenz_Kiel_Hansen.pdf">Link</a><br />
<br />
<b>(vii)</b> The Public Voice: Universal Guidelines for Artificial Intelligence (2018): <a href="https://thepublicvoice.org/ai-universal-guidelines/">Link</a><br />
<br />
<b>(viii)</b> Centre for Information Policy Leadership (CIPL): First Report - Artificial Intelligence and Data Protection in Tension (2018): <a href="https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_ai_first_report_-_artificial_intelligence_and_data_protection_in_te....pdf">Link</a><br />
<br />
<b>(ix)</b> High-Level Expert Group on Artificial Intelligence (AI HLEG) of the European Union: Draft ethics guidelines for trustworthy AI (2018): <a href="https://ec.europa.eu/digital-single-market/en/news/draft-ethics-guidelines-trustworthy-ai">Link</a><br />
<br />
<b>(x)</b> Europarat: Algorithms and Human Rights - Study on the human rights dimensions of automated data processing techniques and possible regulatory implications (2018): <a href="https://rm.coe.int/algorithms-and-human-rights-en-rev/16807956b5">Link</a><br />
<br />
<b>(xi)</b> Europarat: Draft Guidelines on Artificial Intelligence (2018): <a href="https://rm.coe.int/draft-guidelines-on-artificial-intelligence/16808fec19">Link</a><br />
<b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"> Michal Cichocki </a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-4980622537107612962019-01-03T19:58:00.001+01:002019-01-03T19:58:44.651+01:00IP News per 1. Januar 2019<div style="text-align: justify;">
Per 1. Januar 2019 traten folgende Neuerungen im Bereich des Immaterialgüterrechts in Kraft:<br /><br /><b>(i)</b> Neu überarbeitete <a href="https://www.ige.ch/fileadmin/user_upload/schuetzen/marken/d/richtlinien_marken/Richtlinien_Marken_D_2019.pdf">Richtlinien in Markensachen</a> des IGE.<br /><br /><b>(ii)</b> 11. Auflage der Nizza-Klassifikationen (Version 2019); die Klassifikationshilfe des IGE ist <a href="https://wdl.ige.ch/wdl/">hier</a> abrufbar.<br /><br /><b>(iii)</b> Änderungen des Patentrechts: Teilrevision des Patentgesetzes (<a href="https://www.admin.ch/opc/de/classified-compilation/19540108/index.html">PatG</a>) und Patentverordnung (<a href="https://www.admin.ch/opc/de/classified-compilation/19770250/index.html">PatV</a>) im Zusammenhang mit der ordentlichen Revision des Heilmittelgesetzes (<a href="https://www.admin.ch/opc/de/classified-compilation/20002716/index.html">HMG</a>); <b>(a) </b>Ausnahmen des Patentschutzes bei der Verschreibung von Arzneimitteln durch Ärzte im Einzelfall und Einzelzubereitung von Arzneimitteln in Apotheken, sowie <b>(b)</b> eine sechsmonatige Schutzverlängerung für Patente von Kinderarzneimitteln. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Barbara Epprecht</a></b></div>
<br /> <div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-47704472486739398492018-11-25T20:13:00.001+01:002018-11-25T20:13:20.779+01:00Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht den Entwurf seiner Guideline 3/2018 zum räumlichen Anwendungsbereich der EU DSGVO<div style="text-align: justify;">
Der Europäische Datenschutzausschuss (<a href="https://edpb.europa.eu/">EDSA/EDPB</a>) veröffentlichte per 23. November 2018 den Entwurf seiner Guideline 3/2018 zum räumlichen Anwendungsbereich gemäss Art. 3 DSGVO zur öffentlichen Stellungnahme („<a href="https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_en.pdf">Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version for public consultation</a>“). <br />
<br />
Die Guideline äussert sich u.a. zur Anwendung der DSGVO aufgrund <b>(i)</b> einer Niederlassung in der EU (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 3 Abs. 1 DSGVO</a>), <b>(ii)</b> der Angebotsausrichtung (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 3 Abs. 2 lit. a DSGVO</a>) sowie <b>(iii) </b>der Verhaltensüberwachung (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 3 Abs. 2 lit. b DSGVO</a>). Ferner werden Ausführungen zum <b>(iv) </b>Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern gemacht (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 27 DSGVO</a>). <br />
<br />
In rund 20 Beispielen legt der Europäische Datenschutzausschuss seine Auffassung des räumlichen Anwendungsbereichs der DSGVO dar. <br />
<br />
Ausgewählte Beispiele zur <b>Niederlassung</b> in der EU: <br />
<blockquote class="tr_bq">
<b>Example 2: </b>An e-commerce website operated by a company based in China, whereas the data processing activities of which are exclusively carried out in China, has established a European office in Berlin in order to lead and implement commercial prospection and marketing campaigns towards EU markets.<br />
In this case, it can be considered that the activities of the European office in Berlin are inextricably linked to the processing of personal data carried out by the Chinese e-commerce website, insofar as the commercial prospection and marketing campaign towards EU markets notably serve to make the service offered by the e-commerce website profitable. The processing of personal data by the Chinese company can therefore be considered as carried out in the context of the activities of the European office, as an establishment in the Union, and therefore be subject to the provisions of the GDPR as per its Article 3(1). <br />
<br />
<b>Example 5:</b> A pharmaceutical company with headquarters in Stockholm has located all its personal data processing activities with regards to its clinical trial data in its branch based in Singapore. According to the company structure, the branch is not a legally distinct entity and the Stockholm headquarter determines the purpose and means of the data processing carried out on its behalf by its branch based in Singapore. <br />
In this case, while the processing activities are taking place in Singapore, that processing is carried out in the context of the activities of the pharmaceutical company in Stockholm i.e. of a data controller established in the Union. The provisions of the GDPR therefore apply to such processing, as per Article 3(1). </blockquote>
Ausgewählte Beispiele zur <b>Angebotsausrichtung: </b><br />
<blockquote class="tr_bq">
<b>Example 9:</b> A U.S. citizen is travelling through Europe during his holidays. While in Europe, he downloads and uses a news app that is offered by a U.S. company. The app is exclusively directed at the U.S. market. The collection of the U.S. tourist's personal data via the app by the U.S. company is not subject to the GDPR. <br />
<br />
<b>Example 12:</b> A website, based and managed in Turkey, offers services for the creation, edition, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros or Sterling. The website indicates that photo albums can only be delivered by post mail in the UK, France, Benelux countries and Germany.<br />
In this case, it is clear that the creation, editing and printing of personalised family photo albums constitute a service within the meaning of EU law. The fact that the website is available in four languages of the EU and that photo albums can be delivered by post in six EU Member States demonstrates that there is an intention on the part of the Turkish website to offer its services to individuals in the Union. <br />
As a consequence, it is clear that the processing carried out by the Turkish website, as a data controller, relates to the offering of a service to data subjects in the Union and is therefore subject to the obligations and provisions of the GDPR, as per its Article 3(2)(a). In accordance with Article 27, the data controller will have to designate a representative in the Union. <br />
<br />
<b>Example 13:</b> A private company based in Monaco processes personal data of its employees for the purposes of salary payment. A large number of the company’s employees are French and Italian residents. <br />
In this case, while the processing carried out by the company relates to data subjects in France and Italy, it does not takes place in the context of an offer of goods or services. Indeed human resources management, including salary payment by a third-country company cannot be considered as an offer of service within the meaning of Art 3(2)a. The processing at stake does not relate to the offer of goods or services to data subjects in the Union (nor to the monitoring of behaviour) and, as a consequence, is not subject to the provisions of the GDPR, as per Article 3. This assessment is without prejudice to the applicable law of the third country concerned. </blockquote>
Ausgewählte Beispiele zur <b>Verhaltensüberwachung: </b><br />
<blockquote class="tr_bq">
<b>Example 15: </b>A marketing company established in the US provides advice on retail layout to a shopping centre in France, based on an analysis of customers’ movements throughout the centre collected through Wi-Fi tracking.<br />
The analysis of a customers’ movements within the centre through Wi-Fi tracking will amount to the monitoring of individuals’ behaviour. In this case, the data subjects’ behaviour takes place in the Union since the shopping centre is located in France. The marketing company, as a data controller, is therefore subject to the GDPR in respect of the processing of this data for this purpose as per its Article 3(2)(b). In accordance with Article 27, the data controller will have to designate a representative in the Union. <br />
<br />
<b>Example 16:</b> An app developer established in Canada with no establishment in the Union monitors the behaviour of data subject in the Union and is therefore subject to the GDPR, as per Article 3(2)b. The developer uses a processor established in the US for the app optimisation and maintenance purposes. </blockquote>
<b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-43633011183255452672018-11-21T20:41:00.000+01:002018-11-21T20:41:20.167+01:00Guidelines zur Datenethik bzw. digitaler Ethik veröffentlicht<div style="text-align: justify;">
Seit dem Inkrafttreten der <a href="http://www.lawblogswitzerland.ch/2017/07/europaische-datenschutz-grundverordnung.html">DSGVO/GDPR</a> werden zusätzlich zu rechtlichen Aspekten zunehmend Aspekte aus dem Bereich der Datenethik bzw. digitaler Ethik diskutiert. In diesem Zusammenhang haben diverse Aufsichtsbehörden entsprechende Guidelines veröffentlicht: <br />
<br />
Im Rahmen der <a href="https://www.privacyconference2018.org/en">40th International Conference of Data Protection & Privacy Commissioners</a> wurde u.a. eine <a href="https://icdppc.org/wp-content/uploads/2018/10/20180922_ICDPPC-40th_AI-Declaration_ADOPTED.pdf">Declaration on Ethics and Data Protection in Artificial Intelligence</a> veröffentlicht. Diese beinhaltet die folgenden sechs „<i>guiding principles</i>“: <br />
<blockquote class="tr_bq">
1. Artificial intelligence and machine learning technologies should be designed, developed and used in respect of fundamental human rights and in accordance with the fairness principle. <br />
<br />
2. Continued attention and vigilance, as well as accountability, for the potential effects and consequences of, artificial intelligence systems should be ensured. <br />
<br />
3. Artificial intelligence systems transparency and intelligibility should be improved, with the objective of effective implementation. <br />
<br />
4. As part of an overall “ethics by design” approach, artificial intelligence systems should be designed and developed responsibly, by applying the principles of privacy by default and privacy by design. <br />
<br />
5. Empowerment of every individual should be promoted, and the exercise of individuals’ rights should be encouraged, as well as the creation of opportunities for public engagement. <br />
<br />
6. Unlawful biases or discriminations that may result from the use of data in artificial intelligence should be reduced and mitigated. </blockquote>
Ferner hat die deutsche Bundesregierung eine <a href="https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/datenethikkommission/datenethikkommission-node.html">Datenethikkommission</a> geschaffen. Diese soll innerhalb eines Jahres Antworten auf <a href="https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/it-digitalpolitik/leitfragen-datenethikkommission.html;jsessionid=B3563F7D5B9CFF04A32F6CB41D9463D2.1_cid295">Leitfragen</a> aus folgenden Bereichen der Datenethik formulieren: <b>(i) </b>algorithmenbasierte Prognose- und Entscheidungsprozesse, <b>(ii)</b> künstliche Intelligenz und <b>(iii)</b> Daten. <br />
<br />
Schliesslich hat der Europäische Datenschutzbeauftragte (<a href="https://edps.europa.eu/edps-homepage_en">EDSB/EDPS</a>) ein <a href="https://edps.europa.eu/press-publications/comic-book_en">Comicbook zum Thema Datenethik veröffentlich</a>. Damit will der EDSB einen „<i>visuellen Einblick</i>“ in das „<i>Konzept der digitalen Ethik</i>“ vermitteln. <br />
<b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-3785004296877913732018-11-18T12:17:00.000+01:002018-11-18T12:17:48.496+01:00EU DSGVO/GDPR: Weitere Guidelines zur Datenschutz-Folgenabschätzung (DSFA/DPIA) veröffentlicht<div style="text-align: justify;">
Mit der EU Datenschutz-Grundverordnung (<a href="http://www.lawblogswitzerland.ch/2017/07/europaische-datenschutz-grundverordnung.html">DSGVO/GDPR</a>) wurde gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 35 DSGVO</a> das Instrument der Datenschutz-Folgenabschätzung (DSFA/DPIA) eingeführt. Vereinfacht gesagt, handelt es sich dabei um eine Beschreibung, Bewertung und Eindämmung von Risiken für bestimmte Datenverarbeitungen. <br /><br /> Im Sinne einer Generalklausel ist eine DSFA immer dann durchzuführen, wenn die Verarbeitung personenbezogener Daten „<i>voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge</i>“ hat. Ausserdem ist die DSFA bei Datenverarbeitungen gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 35 Abs. 3 DSGVO</a> durchzuführen. <br /><br />Beispiele von Guidelines zur DSFA von Behörden, Verbänden sowie weiteren Interessengruppen können <a href="http://www.lawblogswitzerland.ch/2018/07/eu-dsgvogdpr-diverse-guidelines-zur.html">hier</a> abgerufen werden.<br /><br /><a href="https://edpb.europa.eu/news/news/2018/press-release-third-plenary-session-eu-japan-draft-adequacy-decision-dpia-lists_en">Zwischenzeitlich</a> haben sich der Europäische Datenschutzausschuss (<a href="https://edpb.europa.eu/">EDPB</a>) sowie die Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten auf <a href="https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_en">gemeinsame Kriterien für sog. Black Lists und White Lists zur DSFA geeinigt und diese angenommen</a>. Entsprechen Datenbearbeitungen den Kriterien einer Black List, ist vorab eine DSFA durchzuführen (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 35 Abs. 4 DSGVO</a>). Entsprechend kann auf eine DSFA verzichtet werden, wenn die Kriterien einer White List erfüllt werden (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE">Art. 35 Abs. 5 DSGVO</a>). In diesem Zusammenhang wurden 260 Datenbearbeitungen geprüft und einer Black oder White List zugewiesen. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-41362524185151816962018-07-08T19:26:00.001+02:002018-07-08T19:28:03.033+02:00Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht seinen 25. Tätigkeitsbericht 2017/2018<div style="text-align: justify;">
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (<a href="https://www.edoeb.admin.ch/edoeb/de/home.html">EDÖB</a>) veröffentlichte Ende Juni 2018 gestützt auf <a href="https://www.admin.ch/opc/de/classified-compilation/19920153/index.html#a30">Art. 30 DSG</a> seinen 25. Tätigkeitsbericht für den Zeitraum 1. April 2017 und 31. März 2018.<br />
<br />
Der <a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/TB-25/Taetigkeitsbericht%202017-2018.pdf.download.pdf/TB25_de_04.pdf">Tätigkeitsbericht</a>, ein <a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/TB-25/Resume%20TB%202018.pdf.download.pdf/Res%C3%BCmee%202018%20DE.pdf">Resümee</a> sowie die dazugehörige <a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/TB-25/Medienmitteilung%20TB%202018.pdf.download.pdf/MM%20Jahresmedienkonferenz%20ED%C3%96B%202018%20DE.pdf">Medienmitteilung</a> sind online abrufbar. Im Tätigkeitsbericht geht der EDÖB insbesondere auf folgende Themenbereiche ein:<br />
<br />
<b>-</b> Grundrechte und Datenschutzfragen allgemein (S. 12) <br />
<b>-</b> Verkehr (S. 15) <br />
<b>-</b> Internet und Telekommunikation (S. 16) <br />
<b>-</b> Justiz, Polizei, Sicherheit (S. 18) <br />
<b>-</b> Gesundheit und Forschung (S. 23) <br />
<b>-</b> Versicherungen (S. 25) <br />
<b>-</b> Arbeitsbereich (S. 27) <br />
<b>-</b> Handel und Wirtschaft (S. 29) <br />
<b>-</b> Finanzen (S. 33) <br />
<b>-</b> International (S. 35) <br />
<br />
Der <a href="https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html">Datenschutzbeauftragte des Kantons Zürich (DSB ZH)</a> sowie der <a href="https://edps.europa.eu/edps-homepage_en">Europäische Datenschutzbeauftragte (EDSB)</a> haben ihre entsprechenden Berichte für das Jahr 2017 bereits im April 2018 bzw. März 2018 veröffentlicht. Beide können ebenfalls online abgerufen werden:<br />
<br />
<b>-</b> <a href="https://dsb.zh.ch/internet/datenschutzbeauftragter/de/ueber_uns/taetigkeitsbericht-2017/_jcr_content/contentPar/downloadlist/downloaditems/1607_1529325447506.spooler.download.1529492260586.pdf/taetigkeitsbericht-2017.pdf">Tätigkeitsbericht 2017</a> und <a href="https://dsb.zh.ch/internet/datenschutzbeauftragter/de/ueber_uns/taetigkeitsbericht-2017/_jcr_content/contentPar/downloadlist/downloaditems/1641_1529424225289.spooler.download.1529424155441.pdf/blick-in-den-taetigkeitsbericht-2017.pdf">Zusammenfassung</a> des DSB ZH.<br />
<b>-</b> <a href="https://edps.europa.eu/sites/edp/files/publication/18-03-15_annual_report_2017_en.pdf">Jahresbericht 2017</a> und <a href="https://edps.europa.eu/sites/edp/files/publication/18-03-15_annual_report_2017_executive_summary_de_0.pdf">Zusammenfassung</a> des EDSB.<br />
<b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-49374565499716321532018-03-11T16:38:00.001+01:002018-03-11T16:38:07.218+01:00Erleichterter Kapitalaufbau für systemrelevante Banken<div style="text-align: justify;">
Der Bundesrat hat im Februar 2018 die Botschaft zum <a href="https://www.newsd.admin.ch/newsd/message/attachments/51254.pdf">Bundesgesetz über die Berechnung des Beteiligungsabzugs bei Too-big-to-fail-Instrumenten</a> an das Parlament überwiesen (siehe <a href="https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-69781.html">Medienmitteilung</a>; <a href="https://www.newsd.admin.ch/newsd/message/attachments/51253.pdf">Botschaft</a>). Die Vorlage bezweckt die nachteiligen Auswirkungen der Ausgabe von TBTF-Instrumenten (Bail-in-Bonds, Write-off-Bonds und Contingent Convertibles) auf die Besteuerung der Beteiligungserträge bei systemrelevanten Banken zu minimieren, indem die Berechnung des Beteiligungsabzugs bei der Konzernobergesellschaft systemrelevanter Banken punktuell angepasst werden soll. Die Anpassungen der Berechnung des Beteiligungsabzugs sind auf Stufe der Konzernobergesellschaft anwendbar, da die Emission von TBTF-Instrumenten nach Vorgabe der <a href="https://www.finma.ch/">Eidg. Finanzmarktaufsicht FINMA</a> spätestens ab 1. Januar 2020 durch diese zu erfolgen hat. Folgende Anpassungen werden vorgeschlagen: <br /><br /><b>(i) </b>die auf die TBTF-Instrumente entfallenden Zinsaufwendungen sollen nicht mehr Teil des Finanzierungsaufwands sein, der den Beteiligungsabzug kürzt; und <br /><br /><b>(ii) </b>die weitergegebenen Mittel aus den TBTF-Instrumenten sollen in der Bilanz der Konzernobergesellschaft ausgeklammert werden, weil sie den Beteiligungsabzug grundsätzlich erhöhen. <br /><b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-40064308733514792562018-03-09T21:30:00.000+01:002018-03-09T21:30:15.857+01:00FINMA veröffentlicht revidierte UCITS-Gesuchvorlage<div style="text-align: justify;">
Die <a href="https://www.finma.ch/">Eidg. Finanzmarktaufsicht (FINMA)</a> hat am 21. Februar 2018 eine revidierte UCITS-Gesuchvorlage veröffentlicht. Die Gesuchvorlage gilt für: <br /><br /><b>(i)</b> die Genehmigung zum Vertrieb von neuen UCITS/Teilvermögen; <br /><br /><b>(ii)</b> die Änderung der massgebenden Dokumente bei bereits zum Vertrieb in oder von der Schweiz aus genehmigten UCITS/Teilvermögen; <br /><br /><b>(iii)</b> den Wechsel von Vertreter/Zahlstelle des UCITS; und <br /><br /><b>(iv)</b> das Ende der Unterstellung des/der UCITS/Teilvermögen/s infolge Fusion/Liquidation/Verzicht auf Vertrieb. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-72456137407351534192018-03-04T21:22:00.001+01:002018-03-04T21:22:19.723+01:00Teilrevision des FINMA-RS Video-und Online-Identifizierung<div style="text-align: justify;">
Die Eidg. Finanzmarktaufsicht <a href="https://www.blogger.com/Die%20Eidg.%20Finanzmarktaufsicht%20FINMA%20hat%20am%2013.%20Februar%202018%20einen%20Entwurf%20zum%20revidierten%20Rundschreiben%202016/7%20%E2%80%9EVideo-%20und%20Online-Identifizierung%E2%80%9C%20ver%C3%B6ffentlicht%20(siehe%20Medienmitteilung).%20Folgende%20wesentlichen%20%C3%84nderungen%20werden%20vorgeschla-gen:%20%E2%80%A2Videoidentifizierung:%20Die%20Verifikation%20der%20Vertragspartei%20im%20Identifizierungs-prozess%20mittels%20Einmalpasswort%20(TAN)%20wird%20nicht%20mehr%20verlangt%20sondern%20kann%20mittels%20Abgleich%20und%20%C3%9Cberpr%C3%BCfung%20der%20Ausweisdokumente%20sichergestellt%20wer-den.%20Daf%C3%BCr%20m%C3%BCssen%20neu%20mindestens%20drei%20zuf%C3%A4llig%20ausgew%C3%A4hlte%20optische%20Sicher-heitsmerkmale%20der%20Identifizierungsdokumente%20%C3%BCberpr%C3%BCft%20werden.%20Der%20Identifi-zierungsvorgang%20darf%20neu%20auch%20bei%20Hinweisen%20auf%20erh%C3%B6hte%20Risiken%20fortgesetzt%20werden.%20%E2%80%A2Online-Identifizierung:%20der%20Finanzintermedi%C3%A4r%20muss%20ein%20Lichtbild%20der%20Vertrags-partei%20im%20Rahmen%20des%20Identifizierungsprozesses%20erstellen%20(z.B.%20durch%20Einsatz%20einer%20Lebenderkennung).%20Unter%20bestimmten%20Voraussetzungen%20wird%20zudem%20nicht%20mehr%20zwingend%20eine%20%C3%9Cberweisung%20von%20einer%20Bank%20in%20der%20Schweiz%20ver-langt,%20sondern%20eine%20%C3%9Cberweisung%20von%20einer%20Bank%20aus%20einem%20FATF-Mitgliedstaat%20soll%20zul%C3%A4ssig%20sein.%20%20Die%20Anh%C3%B6rung%20dauert%20bis%20zum%2028.%20M%C3%A4rz%202018.%20%20Claude%20Ehrensperger">FINMA</a> hat am 13. Februar 2018 einen Entwurf zum revidierten Rundschreiben 2016/7 „Video- und Online-Identifizierung“ veröffentlicht (siehe <a href="https://www.finma.ch/de/news/2018/02/20180213-mm-rs-video-und-online-identifizierung/">Medienmitteilung</a>). Folgende wesentlichen Änderungen werden vorgeschlagen:<br /><br /><b>(i) Videoidentifizierung:</b> Die Verifikation der Vertragspartei im Identifizierungsprozess mittels Einmalpasswort (TAN) wird nicht mehr verlangt sondern kann mittels Abgleich und Überprüfung der Ausweisdokumente sichergestellt werden. Dafür müssen neu mindestens drei zufällig ausgewählte optische Sicherheitsmerkmale der Identifizierungsdokumente überprüft werden. Der Identifizierungsvorgang darf neu auch bei Hinweisen auf erhöhte Risiken fortgesetzt werden.<br /><br /><b>(ii) Online-Identifizierung: </b>der Finanzintermediär muss ein Lichtbild der Vertragspartei im Rahmen des Identifizierungsprozesses erstellen (z.B. durch Einsatz einer Lebenderkennung). Unter bestimmten Voraussetzungen wird zudem nicht mehr zwingend eine Überweisung von einer Bank in der Schweiz verlangt, sondern eine Überweisung von einer Bank aus einem FATF-Mitgliedstaat soll zulässig sein. <br /><br />Die Anhörung dauert bis zum 28. März 2018. <br /><b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-10011702910293632832018-02-20T20:55:00.001+01:002018-02-20T20:55:40.491+01:00FINMA: Wegleitung zu Initial Coin Offerings (ICO)<div style="text-align: justify;">
Die Eidg. Finanzmarktaufsicht FINMA hat am 16. Februar 2018 eine Wegleitung für Unterstellungsanfragen betreffend Initial Coin Offerings (ICOs) veröffentlicht, in welcher sie ergänzend zur Aufsichtsmitteilung 04/2017 ihre aufsichtsrechtliche Beurteilung von ICOs präzisiert (siehe auch <a href="https://www.finma.ch/de/news/2018/02/20180216-mm-ico-wegleitung/">Medienmitteilung</a>). Mit einem ICO wird basierend auf der Blockchain-Technologie in digitaler Form öffentlich Kapital für unternehmerische Zwecke beschafft. Die FINMA fokussiert bei der Frage, ob für ein ICO Finanzmarktrecht anwendbar und eine Unterstellungspflicht gegeben ist, auf die die wirtschaftliche Funktion und den Zweck der Token. Die Token unterscheidet die FINMA funktional in drei Arten und unterstellt sie den Finanzmarktgesetzen wie folgt: <br /><br /><b>(i) Zahlungs-Token</b> dienen als Zahlungsmittel für den Erwerb von Waren oder Dienstleistungen oder der Geld- und Wertübertragung. Zahlungs-Token qualifizieren als Zahlungsmittel und sind dem Geldwäschereigesetz unterstellt sobald sie auf einer Blockchain-Infrastruktur technisch übertragen werden können. Zahlungs-Token qualifizieren jedoch nicht als Effekten.<br /><br /><b>(ii) Nutzungs-Token</b> vermitteln Zugang zu einer digitalen Nutzung oder Dienstleistung, die auf oder unter Benutzung einer Blockchain-Infrastruktur erbracht wird. Nutzungs-Token qualifizieren nicht als Zahlungsmittel und sind dem Geldwäschereigesetz nicht unterstellt, wenn sie hauptsächlich Zugang zu einer Nutzung der Blockchain für Zwecke ausserhalb des Finanzbereichs ermöglichen. Nutzungs-Token qualifizieren ebenfalls nicht als Effekten, sofern sie nur einen Anspruch zum vorgenannten Zwecke vermitteln und dafür einsetzbar sind. <br /><br /><b>(iii) Anlage-Token</b> repräsentieren Vermögenswerte wie Anteile an Realwerten, Unternehmen, Erträgen oder Anspruch auf Dividenden oder Zinszahlungen. Der Token kann insbesondere eine schuldrechtliche Forderung gegenüber dem Emittenten oder ein Mitgliedschaftsrecht im gesellschaftsrechtlichen Sinne darstellen und ist seiner wirtschaftlichen Funktion nach wie eine Aktie, Obligation oder ein derivatives Finanzinstrument zu werten. Anlage-Token qualifizieren nicht als Zahlungsmittel und sind dem Geldwäschereigesetz nicht unterstellt. Anlage-Token qualifizieren demgegenüber als Effekten. <br /><br />Ist ein Token dem Geldwäschereigesetz unterstellt, sind die verschiedenen Sorgfaltspflichten aus dem Geldwäschereigesetz auf den ICO-Organisator anwendbar und er hat sich einer Selbstregulierungsorganisation (SRO) anzuschliessen oder sich direkt der FINMA für die GwG-Aufsicht zu unterstellen. Vorgenannte Pflichten sind auf den ICO-Organisator nicht anwendbar, wenn die Entgegennahme der Mittel durch einen in der Schweiz dem Geldwäschereigesetz unterstellten Finanzintermediär erfolgt. <br /><br />Ist ein Token als Effekte zu qualifizieren, ist eine Prospektpflicht nach Obligationenrecht zu prüfen. Des Weiteren müssen sich Dritte, die den Token gewerbsmässig fest oder in Kommission übernehmen und erstmalig auf dem Primärmarkt anbieten, als Derivathaus nach Börsengesetz bewilligen lassen. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Claude Ehrensperger</a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-11288648419570627142018-01-28T19:51:00.001+01:002018-01-30T20:32:31.977+01:00Musterverträge zur Auftragsdatenverarbeitung gemäss Art. 28 Datenschutz-Grundverordnung (EU DSGVO/EU GDPR)<div style="text-align: justify;">
Die Bearbeitung von Personendaten im Auftrag und für die Zwecke des Auftraggebers durch einen Dritten ist in einer arbeitsteiligen Welt von grosser Bedeutung: Cloud Computing, Webtracking, IT-Support, Auslagerung der Lohnbuchhaltung, Archivierungen, Direktmarketing, Factoring-Verträge etc. sind mögliche Anwendungsbereiche.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Aus einer datenschutzrechtlichen Sicht liegt dabei eine sog. Auftragsbearbeitung gemäss DSG und E-DSG bzw. eine <a href="https://de.wikipedia.org/wiki/Datenverarbeitung_im_Auftrag">Auftragsdatenverarbeitung (ADV) gemäss DSGVO</a> vor. Der Auftraggeber lässt dabei eine bestimmte Datenbearbeitung durch einen Dritten, einen sog. Auftragsbearbeiter (DSG und E-DSG) bzw. Auftragsdatenverarbeiter (DSGVO), vornehmen. Für eine ADV sind insbesondere folgende Bestimmungen massgebend:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.admin.ch/opc/de/classified-compilation/19920153/index.html#a10a">a) Art. 10a DSG: Datenbearbeitung durch Dritte</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.admin.ch/opc/de/federal-gazette/2017/7193.pdf">b) Art. 4 lit. j und Art. 8 E-DSG: Bearbeitung durch Auftragsbearbeiter</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://dsgvo-gesetz.de/art-28-dsgvo/">c) Art. 4 Ziff. 8 und Art. 28 DSGVO: Auftragsdatenverarbeiter </a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Alle drei Rechtsgrundlagen sehen vor, dass i.d.R. ein Vertrag zwischen Auftraggeber und Dritten geschlossen werden muss, welcher die Eckpunkte der fraglichen Datenbearbeitung regelt. Zwischenzeitlich wurden zahlreiche Musterverträge zur ADV gemäss DSGVO veröffentlicht; einige Beispiele werden nachfolgend aufgeführt:</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html">i) Bitkom e.V.: Mustervertragsanlage zur Auftragsdatenverarbeitung auf deutsch und englisch</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag.html">ii) Wirtschaftskammer Österreich: Vereinbarung über eine Auftragsverarbeitung nach Art. 28 DSGVO</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.lda.bayern.de/media/muster_adv.pdf">iii) Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Formulierungshilfe für einen Auftragsverarbeitungsvertrag </a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.activemind.de/download/av-vertrag/">iv) Active Mind: Muster für einen AV-Vertrag auf Basis der DSGVO</a><br />
<br />
<a href="https://iapp.org/media/pdf/resource_center/example_data_protection_addendum%20(1).doc">v) IRSG, DLA Piper & Clifford Chance: Example Data Protection Addendum Addressing Article 28 GDPR</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://www.bvdnet.de/wp-content/uploads/2017/07/Muster-AV-Vertrag.pdf">vi) Berufsverband der Datenschutzbeauftragten (BvD) e.V.: Muster-Auftragsverarbeitungs-Vertrag für das Gesundheitswesen</a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-5686064371177836072017-12-12T21:17:00.000+01:002017-12-12T21:17:52.370+01:00Europäische Datenschutz-Grundverordnung (EU DSGVO / EU GDPR): Art.-29-Datenschutzgruppe (WP29) veröffentlicht Arbeitspapier zur Angemessenheitsprüfung <div style="text-align: justify;">
Die <a href="http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083">Art.-29-Datenschutzgruppe (WP29)</a> hat ein Arbeitspapier zu den Kriterien der Angemessenheitsprüfung veröffentlicht: <a href="http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48827">„Adequacy Referential (updated)“</a>. <br />
<br />
Im Rahmen der Prüfung gemäss <a href="http://www.lawblogswitzerland.ch/2016/08/europaische-datenschutz-grundverordnung.html">Art. 45 EU DSGVO</a> ("Angemessenheitsprüfung") kann die EU-Kommission das Bestehen eines angemessenen (Daten-)Schutzniveaus in einem bestimmten (EU-)Drittstaat feststellen. Infolgedessen kann eine Übermittlung von Personendaten auf der Grundlage eines solchen Angemessenheitsbeschlusses stattfinden; weitere Vorkehrungen sind nicht nötig. <br />
<br />
Das <a href="http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48827">Arbeitspapier</a> enthält vier Kapitel: „<i>Chapter 1: Some broad information in relation to the concept on adequacy</i>“; „<i>Chapter 2: Procedural aspects for adequacy findings under the GDPR</i>“; „<i>Chapter 3: General Data Protection Principles</i>“ und „<i>Chapter 4: Essential guarantees for law enforcement and national security access to limit the interferences to fundamental rights</i>“. <br />
<br />
<b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b></div>
<div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>LawBlogSwitzerlandhttp://www.blogger.com/profile/06606732453370422114noreply@blogger.com