tag:blogger.com,1999:blog-48858125378743113772024-02-25T22:13:51.447+01:00LawBlogSwitzerland.chSchweizerisches Daten-, Technologie- und Cybersecurity-Recht für Praktiker. Neuigkeiten aus dem juristischen Berufsalltag von Rechtsanwälten und Datenschutzexperten.20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comBlogger199125tag:blogger.com,1999:blog-4885812537874311377.post-60416676701432406462023-08-06T17:12:00.017+02:002023-08-06T17:47:45.022+02:00Economiesuisse: Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht<div style="text-align: justify;">Im Rahmen der <a href="http://www.lawblogswitzerland.ch/2023/05/chatgpt-co-eine-ubersicht-uber-laufende.html">extensiven Berichterstattung zu ChatGPT & Co</a> haben zahlreiche Unternehmen und Verbände Dokumente mit entsprechenden Regulierungsvorschlägen publiziert. Der Dachverband der schweizerischen Wirtschaft, <a href="https://www.economiesuisse.ch/de">economiesuisse</a>, hat nun ebenfalls ein Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) <a href="https://www.economiesuisse.ch/sites/default/files/publications/ES_Positionspapier_KI_DE.pdf">veröffentlicht</a>. <br /></div><br />Im Gegensatz zu anderen Publikationen beinhaltet das Positionspapier von economisuisse eine Art von Definition - "W<i>as ist KI</i>": Dabei ist einerseits von der Nachbildung von "<i>kognitiven Fähigkeiten wie Lernen, Problemlösung und Entscheidungsfindung</i>" die Rede. Andererseits stelle KI ein "<i>interdisziplinäres Feld dar, das verschiedene Technologien wie maschinelles Lernen, neuronale Netze, natürliche Sprachverarbeitung und Robotik</i>" umfasse. Vor allem handle es sich aber um im "<i>Gegensatz zu herkömmlich automatisierten Prozessen nicht um vorprogrammierte Wenn-Dann-Schemata sondern um Algorithmen, welche sich selbstständig weiterentwickeln und somit lernen können</i>".<br /> <br />KI im oben genannten Sinne solle gemäss economiesuisse mindestens derzeit <b>nicht</b> (spezifisch) reguliert werden; eine übereilte Regulierung würde negative Auswirkungen auf Innovation, Wettbewerb sowie die globale Zusammenarbeit haben und insbesondere KMU massiv belasten. Ferner sei das schwezierische Rechtssystem prinzipienbasiert und technologieneutral ausgestaltet, so dass viele Fragen im Zusammenhang mit KI bereits heute und ohne Anpassungen von Gesetzen (wie z.B. DSG, ZGB/Persönlichkeitsrechte, UWG, StGB) begegnet werden könne. Sollte sich dennoch eine Lücke ergeben, könne diese mittels gezielter Anpassung spezifischer Rechtsgrundlagen - analog DLT-Gesetzgebung - geschlossen werden; ein KI-spezifisches Gesetz wie in der EU lehnt economiesuisse folgerichtig ab.<br /><br />Schliesslich formuliert das <a href="https://www.economiesuisse.ch/sites/default/files/publications/ES_Positionspapier_KI_DE.pdf">Positionspapier</a> die nachfolgenden Empfehlungen im Zusammenhang mit KI:<br /><br /><b>1) Ethik: </b><i>KI-Systeme sollen ethisch vertretbar sein.</i><br /><br /><b>2) Transparenz: </b><i>Von KI-Systemen getroffene Entscheidungen müssen transparent und nachvollziehbar sein, damit sie verstanden und überprüft werden können. Das Datenschutzrecht enthält generelle und im Falle von automatisierten Entscheiden verschärfte Transparenzvorschriften </i>[<u>Hinweis</u>: hier ist die Informationspflicht für automatisierte Einzelentscheidung gemäss <a href="https://www.fedlex.admin.ch/eli/cc/2022/491/de#art_21">Art. 21 revDSG</a> gemeint. Diese ist jedoch ebenfalls technologieneutral und beinhaltet keine spezifische Transparenzpflicht für KI].<br /><br /><b>3) Wirtschaftsfreiheit: </b><i>Die Regulierung von KI-Systemen hat das Prinzip der Wirtschafts- und insbesondere der Vertragsfreiheit zu respektieren.</i><br /><br /><b>4) Geistiges Eigentum: </b><i>Das geistige Eigentum muss auf Basis der heute bestehenden Regeln ausreichend geschützt bleiben.</i><br /><br /><b>5) Haftung:</b> <i>Die Haftung für KI-Systeme ist zu überprüfen. Allenfalls könnten die vorhandenen Regelungen zur Produkthaftung dahingehend ergänzt werden, dass sie einen angemessenen Schutz der Nutzer von KI-Systemen gewährleisten und Verantwortlichkeiten klar definiert sind.</i><br /><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-32391256131056676202023-06-30T20:58:00.006+02:002023-06-30T21:11:01.892+02:00Die Schweiz und die Digitalstrategie der Europäischen Union: Eine Übersicht über Rechtsgrundlagen, Massnahmen und mögliche Auswirkungen auf die Schweiz<div style="text-align: justify;">Die interdepartementale Koordinationsgruppe EU-Digitalpolitik des Bundes (IK-EUDP) erarbeitet alle zwei Jahre eine ausführliche Analyse der regulatorischen Entwicklungen im Zusammenhang mit der EU-Digitalpolitik. Dabei fokussiert die IK-EUDP auf Massnahmen, welche in den Bereich der EU-Digitalstrategie "Europa für das digitale Zeitalter" fallen und mögliche Auswirkungen auf die Schweiz haben. Das jüngste <a href="https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjomtypzOv_AhV_hP0HHdg7DTAQFnoECBUQAQ&url=https%3A%2F%2Fwww.bakom.admin.ch%2Fdam%2Fbakom%2Fde%2Fdokumente%2F2023%2Feudigitalstrategie.pdf.download.pdf%2FAnalysedokument%2520EU-Digitalstrategie.pdf&usg=AOvVaw2pQTymSEsdQ7UauKtUazrw&opi=89978449">Analysedokument</a> wurde im März 2023 veröffentlicht und behandelt u.a. folgende EU-Rechtsgrundlagen:</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(i) Digital Services Act (DSA; am 16. November 2022 in Kraft getreten)</b></div><div style="text-align: justify;"><i>Der DSA sieht einheitliche Regeln für die Rechte und Verantwortlichkeiten von digitalen Diensten, insbesondere auch Online-Plattformen, im Umgang mit illegalen und/oder schädlichen Online-Inhalten vor. Auch im EU-Binnenmarkt tätige Schweizer Online-Dienstanbieter werden den Verpflichtungen des DSA grundsätzlich folgen müssen. Die Auswirkungen dürften sich im Rahmen halten, können aber erst im Laufe der Umsetzung abschliessend abgeschätzt werden.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(ii) Digital Markets Act (DMA; am 1. November 2022 in Kraft getreten)</b></div><div style="text-align: justify;"><i>Der DMA stellt für bestimmte grosse Online-Plattformen (sog. «Gatekeeper») eine Reihe neuer ex-ante Regeln auf. Ziel des DMA ist die Gewährleistung von Bestreitbarkeit und Fairness auf digitalen Märkten. Er ergänzt das Wettbewerbsrecht. Da derzeit keine sehr grossen Plattformen oder Zugangskontroller ihren Sitz in der Schweiz haben, ist das Risiko, dass das DMA direkte Auswirkungen auf Schweizer Online-Anbieter hat, de facto sehr gering.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(iii) Data Governance Act (DGA; am 23. Juni 2022 in Kraft getreten)</b></div><div style="text-align: justify;"><i>Die Verordnung soll die Verfügbarkeit von Daten in allen Tätigkeitsbereichen des Binnenmarkts fördern, indem Anreize für die Weiterverwendung von sensiblen Daten (personenbezogenen und nicht- personenbezogenen Daten) geschaffen werden. Im Rechtsakt werden u. a. spezifische Bedingungen und gemeinsame Grundsätze für Datenvermittler festgelegt. Die Vorgaben für die Weitergabe von vertraulichen Daten öffentlicher Stellen sowie die gesetzlichen Anforderungen für Datenintermediäre gelten nicht für die Schweiz. Schweizer Unternehmen werden jedoch insofern betroffen sein, als Datenintermediäre, welche ihre Dienstleistungen in der EU anbieten, aber nicht in der EU niedergelassen sind, und gewisse Regeln befolgen (Ernennung eines gesetzlichen Vertreters in einem Mitgliedstaat).</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(iv) Data Act (Gesetzesvorschlag der KOM vom 23. Februar 2022)</b></div><div style="text-align: justify;"><i>Der Vorschlag legt fest, unter welchen Umständen, in der EU erzeugte, personen- und nicht- personenbezogenen Daten in verschiedenen Wirtschaftssektoren genutzt werden können und wer darauf zugreifen darf. Im Zusammenhang mit dem Data Act stellt sich die Frage der extraterritorialen Wirkung und ob es gegebenenfalls zu Hindernissen im Datentransfer mit der Schweiz kommen könnte. Der Verordnungsvorschlag zum Data Act ist aber weiterhin im Gesetzgebungsprozess und wird noch diskutiert. Es dürften also noch Änderungen zu erwarten sein.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(v) KI-Verordnung (AI Act; Legislativpaket der KOM vom 21. April 2021)</b></div><div style="text-align: justify;"><i>Ein Vorschlag für eine Verordnung zur Festlegung harmonisierter Regeln für Künstliche Intelligenz. Die KI-Verordnung sieht eine Pyramide von Verpflichtungen für KI-Anwendungen vor, die sich nach ihrem Risikoniveau richten. Die Verordnung sieht ebenfalls eine extraterritoriale Wirkung vor und könnte sich daher auch auf die Schweiz auswirken. Der Legislativprozess ist jedoch noch nicht abgeschlossen und insbesondere im Parlament sind noch viele Änderungsvorschläge hängig. Es wird also auch hier noch Änderungen geben.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(vi) Europäische digitale Identität (e-ID; Vorschlag der KOM vom 3. Juni 2021; der Trilog dürfte 2023 beginnen)</b></div><div style="text-align: justify;"><i>Die Verordnung soll einen Rechtsrahmen für verschiedene Formen der digitalen Identifizierung schaffen (eSignature, eID usw.). Die Bürgerinnen und Bürger verfügen künftig über von den Mitgliedstaaten anerkannte digitale Brieftaschen, die ihnen Zugang zu Online-Dienstleistungen bieten. Mit Blick auf die Schaffung einer staatlichen elektronischen Identität in der Schweiz werden die Entwicklungen in der EU genau beobachtet. Damit soll sichergestellt werden, dass eine Schweizer Lösung kompatibel mit den EU-Normen ausgestaltet und ein gegenseitiger grenzüberschreitender Einsatz ermöglicht wird.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b>(vii) Cybersicherheitsstrategie (schrittweise Umsetzung der Massnahmen seit 2017)</b></div><div style="text-align: justify;"><i>Die Strategie erstreckt sich auf die Sicherheit wesentlicher Dienste wie Krankenhäuser, Energienetze, Eisenbahnen und vernetzte Geräte in Haushalt, Büros und Industrie. Sie bezweckt den Aufbau kollektiver Kapazitäten, um grössere Cyberangriffe abwehren zu können. Die Bemühungen der EU im Bereich Cybersicherheit decken sich mit jenen der Schweiz. Aufgrund der zunehmenden Bestrebungen zur Stärkung der strategischen Autonomie Europas muss die EU die Bedingungen für die Anerkennung von Zertifizierungssystemen von Drittstaaten bzw. für deren Beteiligung am Coordination Centre noch festlegen.</i></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b></div><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-42645106038480867532023-05-21T17:22:00.008+02:002023-05-21T17:40:22.823+02:00ChatGPT & Co: Eine Übersicht über laufende Verfahren <div style="text-align: justify;">Die Berichterstattung zu <a href="https://openai.com/blog/chatgpt">ChatGPT</a> und verwandten <a href="http://www.lawblogswitzerland.ch/search/?q=KI">KI-Phänomenen</a> reisst nicht ab. Die Anzahl unterschiedlicher <a href="http://www.lawblogswitzerland.ch/2023/03/kunstliche-intelligenz-ki-guidelines.html">Guidelines und Whitepapers zu KI</a> steigt mindestens gefühlt täglich an. Seit Kurzem reihen sich auch nationale (Datenschutz)Aufsichtsbehörden ein und führen Verfahren zur Überprüfung von ChatGPT durch: Von der Funktionsweise über die Umsetzung (datenschutz)rechtlicher Vorgaben mittels technischer/organisatorischer Massnahmen (TOM) bis zu einem einstweiligen Verbot werden sämtliche Aspekte von ChatGPT unter die Lupe genommen und geprüft. Die nachfolgende Auswahl bietet einen nicht abschliessenden Überblick zu den vorgenannten Verfahren: <br /></div><br /><b>EU: </b>European Data Protection Board (<a href="https://edpb.europa.eu/edpb_de">EDPD</a>): <a href="https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en">Link 1</a> und <a href="https://www.reuters.com/technology/spains-data-regulator-asks-eu-data-protection-committee-evaluate-chatgpt-issues-2023-04-11/ ">Link 2</a><br /><br /><b>Frankreich: </b>Commission Nationale de l’Informatique et des Libertés (<a href="https://www.cnil.fr/">CNIL</a>): <a href="https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil ">Link 1</a> und <a href="https://newsinfrance.com/chatgpt-the-cnil-is-investigating-five-complaints/">Link 2</a><a href="#"> </a><br /><br /><b>Deutschland:</b> Hessischer Beauftragter für Datenschutz und Informationsfreiheit (<a href="https://datenschutz.hessen.de/">HBDI</a>): <a href="https://datenschutz.hessen.de/presse/hbdi-prueft-datenverarbeitung-der-anwendung-chatgpt">Link</a> und Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (<a href="https://www.ldi.nrw.de/">LDI-NRW</a>): <a href="https://www.ldi.nrw.de/nach-dem-verbot-von-chatgpt-italien">Link</a><br /><br /><b>Italien:</b> Data Protection Authority (<a href="https://www.garanteprivacy.it/web/garante-privacy-en/home_en">GPDP</a>): <a href="https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english">Link</a><br /><br /><b>Spanien: </b>Data Protection Agency (<a href="https://www.aepd.es/es">AEPD</a>): <a href="https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-inicia-de-oficio-actuaciones-de-investigacion-a-openai ">Link</a><br /><b><br />Kanada: </b>The Office of the Privacy Commissioner of Canada (<a href="https://www.priv.gc.ca/en/">OPC</a>): <a href="https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230404/ ">Link</a><br /><br /><b>USA: </b>US Federal Trade Commission (<a href="https://www.ftc.gov/">FTC</a>): <a href="https://www.caidp.org/app/download/8450269463/CAIDP-FTC-Complaint-OpenAI-GPT-033023.pdf">Link</a> <br /><br />Darüber hinaus hat die Cyberspace Administration of <b>China</b> (<a href="http://www.cac.gov.cn/">CAC</a>) generische Massnahmen zur Regulierung von <i>generative AI-Services</i> vorgeschlagen: Measures for the Management of Generative Artificial Intelligence Services (Draft for Comment): <a href="https://digichina.stanford.edu/work/translation-measures-for-the-management-of-generative-artificial-intelligence-services-draft-for-comment-april-2023/ ">Link</a> <br /><br />Bereits im März 2023 wurde in <b>UK </b>eine allgemeine <a href="https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1020402/National_AI_Strategy_-_PDF_version.pdf">"National AI Strategy"</a> veröffentlicht, während sich in den <b>USA</b> ein vergleichbares Papier (<a href="https://ntia.gov/issues/artificial-intelligence/request-for-comments">"AI Accountability Policy"</a>) bis 12. Juni 2023 in einer "öffentlichen Konsultation" befindet.<br /><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-13883594645670504382023-04-02T16:00:00.019+02:002023-04-02T19:14:27.080+02:00Pur-Abo-Modelle: Deutsche Datenschutzkonferenz (DSK) veröffentlicht Beschluss<div style="text-align: justify;">Die <a href="https://www.datenschutzkonferenz-online.de">deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK)</a> veröffentlichte am 29. März 2023 ihren <a href="https://datenschutzkonferenz-online.de/media/pm/DSK_Beschluss_Bewertung_von_Pur-Abo-Modellen_auf_Websites.pdf">Beschluss zur "<i>Bewertung von Pur-Abo-Modellen auf Websites</i>"</a>.<br /></div><p style="text-align: justify;">In diesem Beschluss ging es im Kern um die Beantwortung folgender Frage: Ist es zulässig, dass betroffene Personen für die Nutzung einer Webseite entweder ein Entgelt bezahlen (sog. Pur-Abo abschliessen) oder aber sich auf der Grundlage einer - sofern erforderlich - Einwilligung gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId10">Art. 6 Abs. 1 lit. a DS-GVO </a>"tracken" lassen (d.h. mit ihren personenbezogenen Daten "bezahlen")?</p><p style="text-align: left;">Im Grundsatz bejahte die DSK die datenschutzrechtliche Zulässigkeit von "<i>Pur-Abo-Modellen auf Websites</i>" mit folgenden Argumenten:<br /></p><p style="text-align: left;"><i></i></p><blockquote style="text-align: left;"><div style="text-align: justify;"><i>1. Grundsätzlich kann die Nachverfolgung des Nutzendenverhaltens (Tracking) auf eine Einwilligung gestützt werden, wenn alternativ ein trackingfreies Modell angeboten wird, auch wenn dies bezahlpflichtig ist. Die Leistung, die Nutzende bei einem Bezahlmodell erhalten, muss jedoch erstens eine gleichwertige Alternative zu der Leistung darstellen, die diese durch eine Einwilligung erlangen. Zweitens muss die Einwilligung alle in der Datenschutz-Grundverordnung (DS-GVO) normierten Wirksamkeitsvoraussetzungen, d. h. insbesondere die in <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId7">Art. 4 Nr. 11</a> sowie <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId11">Art. 7 DS-GVO</a> aufgeführten Erfordernisse, erfüllen.</i><br /></div><div><i><br /></i></div><div style="text-align: justify;"><i>2. Ob die Bezahlmöglichkeit – also z. B. ein Monats-Abo – als eine gleichwertige Alternative zur Einwilligung in das Tracking zu betrachten ist, hängt insbesondere davon ab, ob den Nutzenden gegen ein marktübliches Entgelt ein gleichwertiger Zugang zu derselben Leistung eröffnet wird. Ein gleichwertiger Zugang liegt in der Regel vor, wenn die Angebote zumindest dem Grunde nach die gleiche Leistung umfassen.<br /></i></div><div style="text-align: left;"><i><br /></i><div style="text-align: justify;"><i>3. Nehmen Nutzende das Angebot im Rahmen eines „trackingfreien“ Abonnements wahr und erteilen keine zusätzliche Einwilligung, dürfen gemäß <a href="https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%5b@attr_id=%27bgbl121s1982.pdf%27%5d#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1982.pdf%27%5D__1680442558926">§ 25 Abs. 1 des 2 Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)</a> nur Speicher- und Auslesevorgänge erfolgen, die für den von ihnen ausdrücklich gewünschten Telemediendienst unbedingt erforderlich sind. Nachfolgende Verarbeitungen personenbezogener Daten sind nur dann zulässig, wenn die Anforderungen der DS-GVO, insbesondere die gesetzlichen Erlaubnistatbestände gemäß <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId10">Art. 6 Abs. 1 DS-GVO</a> und, je nach Einzelfall, <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId13">Art. 9 DS-GVO</a>, erfüllt sind. Diesbezüglich wird auf die allgemeinen Ausführungen in der Orientierungshilfe der DSK für Anbieter von Telemedien (<a href="https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_Version_1.1.pdf">OH Telemedien 2021, Version 1.1</a>) Bezug genommen.</i><br /></div></div><div><i><br /></i></div><div style="text-align: justify;"><i>4. Die Wirksamkeit von Einwilligungen von Nicht-Abonnentinnen und Nicht-Abonnenten ist bei den sogenannten Pur-Abo-Modellen sicherzustellen. Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.<br /></i></div><div><i><br /></i></div><div style="text-align: justify;"><i>5. Darüber hinaus müssen die Einwilligungen den sonstigen Anforderungen der DS-GVO gerecht werden, insbesondere auch jenen an Transparenz, Verständlichkeit und Information für die betroffenen Personen aus <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId7">Art. 4 Nr. 11</a> und <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE#tocId11">Art. 7 Abs. 2 DS-GVO</a> (vgl. hierzu die Orientierungshilfe der DSK für Anbieter von Telemedien (<a href="https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_Version_1.1.pdf">OH Telemedien 2021, Version 1.1</a>). </i></div></blockquote><p style="text-align: left;"></p><p style="text-align: justify;">Gemäss <a href="https://www.datenschutzkonferenz-online.de/media/dsk/Geschaeftsordnung_DSK_09-2022.pdf">Geschäftsordnung der DSK</a> stellen deren Beschlüsse "<i>Positionen</i>" dar, die die "<i>Auslegung datenschutzrechtlicher Regelungen bzw. Empfehlungen betreffen</i>". Somit stellt auch der vorliegende Beschluss zur "<i>Bewertung von Pur-Abo-Modellen auf Websites</i>" keine (zwingende) rechtliche Vorgabe, sondern eine Behördenmeinung dar.<br /></p><p style="text-align: justify;"><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b><br /> </p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-20378839264584601442023-03-25T19:16:00.050+01:002023-03-26T16:23:48.201+02:00Künstliche Intelligenz (KI): Guidelines und Whitepapers (Update)<div style="text-align: justify;">Künstliche Intelligenz (KI) ist nicht zuletzt dank einer intensiven Berichterstattung über Phänomene wie z.B. den Chatbot <a href="https://openai.com/blog/chatgpt">ChatGPT</a> (wieder) in aller Munde. Aus rechtlicher Sicht interessiert vor allem der zunehmende Ruf nach einer KI-spezifischen Regulierung um vermeintlich negative Auswirkungen zu verhindern. <br /></div><p style="text-align: justify;">In diesem Zusammenhang wird oft folgendem Umstand zu wenig Beachtung geschenkt: Der Einsatz von KI-Technologien ist kein Selbstzweck, sondern ein Mittel zur Erreichung bestimmter Ziele bzw. Umsetzung bestimmter Use Cases. Insbesondere Letztere entscheiden über die anwendbaren Rechtsgrundlagen: Auf die Auswertung von z.B. Personendaten im Gesundheitswesen oder der Analyse anonymisierter Verkehrsdaten gelangen jeweils unterschiedliche Gesetze zur Anwendung. Diese tragen den Eigenheiten beider Use Cases hinreichend Rechnung und zwar unabhängig von der eingesetzten (KI-)Technologie als Mittel zu deren Umsetzung. Folglich besteht die eigentliche Herausforderung viel mehr in der Ummünzung bestehender Rechtsgrundlagen in (nicht-rechtliche) Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben), die auch durch (neue) KI-Technologien umgesetzt werden können. Die Schaffung zusätzlicher, KI-spezifischer Rechtsgrundlagen ist in der Regel nicht zielführend.<br /></p><p style="text-align: justify;">Diese Unterscheidung gilt es auch bei der Lektüre der nachfolgenden Auswahl an Guidelines, Whitepapers etc. zu beachten:</p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"></p><p style="text-align: justify;"><b>(a)</b> UK Information Commissioner: Updated Guidance on AI and Data Protection, 2023: <a href="https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection/">Link</a><b> </b></p><p style="text-align: justify;"><b>(b) </b>Deutscher Ethikrat: Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz: Stellungnahme (Vorabfassung), 2023: <a href="https://www.ethikrat.org/fileadmin/Publikationen/Stellungnahmen/deutsch/stellungnahme-mensch-und-maschine.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(c) </b>Cesluk-Grajewski
Marcin, Think Tank European Parliament: Briefing: What Think Tanks are
Thinking - Artificial Intelligence, 2023: <a href="https://www.europarl.europa.eu/RegData/etudes/BRIE/2023/745695/EPRS_BRI(2023)745695_EN.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(d)</b> Swiss AI Report, 2022: <a href="https://ai-con.ch/app/uploads/swiss-ai-report-2022.pdf ">Link</a><b> </b></p><p style="text-align: justify;"><b>(e)</b> BAKOM: Monitoring der Leitlinien "Künstliche Intelligenz" für den Bund, 2022: <a href="https://cnai.swiss/wp-content/uploads/2022/12/Monitoring-der-Leitlinien-KI-DE.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(f)</b> EDA: Künstliche Intelligenz und internationales Regelwerk, 2022: <a href="https://www.newsd.admin.ch/newsd/message/attachments/71096.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(g) </b>Google: AI Principles Progress Update, 2022: <a href="https://ai.google/static/documents/ai-principles-2022-progress-update.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(h) </b>Christoph
Lütge/Ellen Hohma/Auxane Boch/Franziska Poszler/Caitlin Corrigan, IEAI
White Paper, TU München: On a Risk-Based Assessment Approach to AI
Ethics Governance, 2022: <a href="https://www.ieai.sot.tum.de/wp-content/uploads/2022/06/IEAI-White-Paper-on-Risk-Management-Approach_2022-FINAL.pdf?ref=datalaw.ch">Link</a><b> </b></p><p style="text-align: justify;"><b>(i)</b> BSI/Fraunhofer-Institut für Nachrichtentechnik/Verband der TÜV e.V.:
Towards Auditable AI Systems - Current status and future directions,
2021: <a href="https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/Towards_Auditable_AI_Systems.pdf?__blob=publicationFile&v=6, Mai 2021">Link</a> <b> </b></p><p style="text-align: justify;"><b>(j)</b> Leitlinien "Künstliche Intelligenz" für den Bund: Orientierungsrahmen für den Umgang mit künstlicher Intelligenz in der Bundesverwaltung, 2020: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2020/11/leitlinie_ki.pdf.download.pdf/Leitlinien%20Künstliche%20Intelligenz%20-%20DE.pdf ">Link</a><b> </b></p><p style="text-align: justify;"><b>(k)</b> Herausforderungen der künstlichen Intelligenz, Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" an den Bundesrat, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/bericht_idag_ki.pdf.download.pdf/bericht_idag_ki_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(l)</b> Bericht der Projektgruppe "Internationale Gremien und künstliche Intelligenz", 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/i-g_k-i.pdf.download.pdf/i-g_ki_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(m)</b> Berichte im Auftrag des SBFI: <b>(i)</b> Künstliche Intelligenz im Industrie- und Dienstleistungssektor, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/satw-k-i_i-d.pdf.download.pdf">Link</a>; <b>(ii) </b>Anwendung von künstlicher Intelligenz in Wissenschaft und Forschung, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/satw-k-i_w-f.pdf.download.pdf">Link</a>; <b>(iii)</b> Künstliche Intelligenz, Medien & Öffentlichkeit, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/k-i_m-o.pdf.download.pdf/k-i_m-o_d.pdf">Link</a>; <b>(iv)</b> Automatisierte Mobilität und künstliche Intelligenz, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/a-m_k-i.pdf.download.pdf/a-m_k-i_d.pdf">Link</a><b> </b></p><p style="text-align: justify;"><b>(n)</b> Generalsekretariat VBS: Bericht der Projektgruppe - Künstliche Intelligenz in der Cybersicherheit und Sicherheitspolitik, 2019: <a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/k-i_c-s.pdf.download.pdf/k-i_c-s_d.pdf ">Link</a><br /></p><p style="text-align: justify;"></p><p style="text-align: left;">Übrigens: Auf die Frage, ob es ein Gesetz für ChatGPT brauche, antwortete der
Chatbot: "<i>Da ChatGPT eine KI-basierte virtuelle Assistentin ist und
keine eigenständige Entität mit eigenem Handeln, ist es nicht notwendig,
spezifische Gesetze für ChatGPT zu erstellen</i>". <br /></p><p style="text-align: left;">Weitere Blog-Beiträge zu KI sind <a href="http://www.lawblogswitzerland.ch/search/?q=KI">hier</a> abrufbar.<b> </b></p><p style="text-align: left;"><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-80563583388824115902023-02-05T14:09:00.003+01:002023-02-05T14:40:37.643+01:00Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht "Report of the work undertaken by the Cookie Banner Taskforce" als Reaktion auf die 700 "Cookie-Banner-Beschwerden" von NOYB <div style="text-align: justify;">Der Europäische Datenschutzausschuss (EDSA/EDPB) hat seinen vom 17. Januar 2023 datierten <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">"Report of the work undertaken by the Cookie Banner Taskforce"</a> veröffentlicht. Dieser Report legt die Auffassung einer Taskforce der EU-Datenschutzaufsichtsbehörden dar, die sich mit den über <a href="https://noyb.eu/de/woher-kommen-ploetzlich-die-ganzen-ablehnen-buttons">700 "Cookie-Banner-Beschwerden" der NGO des Datenschutz-Aktivisten Max Schrems, NOYB,</a> befasst. <br /></div><br /><b>Kernaussagen des <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">Reports</a>:</b><br /><br /><b>(i) </b>Der EDSA weist darauf hin, dass der mit der EU- Datenschutzgrundverordnung (EU DSGVO) eingeführte One-Stop-Shop Mechanismus nicht für Fragen im Zusammenhang mit Cookies gelte, da Cookie-bezogene Rechtsfragen primär unter die EU Richtlinie für elektronische Kommunikation (EU ePrivacy Directive) fallen - und nicht unter die EU DSGVO. <br /><br /><b>(ii)</b> Die Verwendung von vorangekreuzten Kästchen für die Erteilung einer Einwilligung für den Einsatz von technisch nicht notwendigen Cookies sei unzulässig.<br /><br /><b>(iii) </b>Täuschende "Link-Design"-Praktiken, die z.B. lediglich einen Link (anstelle einer Schaltfläche) zur Ablehnung des Einsatzes von technisch nicht notwendigen Cookies enthalten, seien unzulässig. Dies gelte auch für Praktiken, die den Nutzern den Eindruck vermitteln, dass sie zustimmen müssen, um auf eine bestimmte Website zuzugreifen, oder die den Nutzer eindeutig zur Zustimmung drängen.<br /><br /><b>(iv)</b> Irreführende Praktiken, die unterschiedliche Farben und Kontraste der Cookie-Banners verwenden, um die Schaltfläche "Alle akzeptieren" gegenüber den übrigen Schaltflächen hervorzuheben, seien unzulässig. Während die Gültigkeit eines Designs von Fall zu Fall beurteilt werden sollte, dürften alle Schaltflächen i.d.R. idealerweise die gleiche Grösse, Farbe, Schriftart und Kontrast aufweisen, um sicherzustellen, dass die Zustimmung tatsächlich "freiwillig" abgegeben werden könne.<br /><br /><b>(v)</b> Lediglich die Mehrheit der EU-Datenschutzaufsichtsbehörden sei der Ansicht, dass auf der ersten Ebene des Cookie-Banners eine Schaltfläche "Alle ablehnen" vorhanden sein müsse, damit der Einsatz von technisch nicht notwendigen Cookies ebenso einfach akzpetiert wie abgelehnt werden könne. <br /><br /><b>(vi)</b> Der Einsatz technisch nicht notwendiger Cookies (z. B. gezielte Werbe-Cookies) könne sich nur auf eine gültige Einwilligung und nicht auf "berechtigte Interessen" abstützen. <br /><br /><b>(vii)</b> Die Betreiber von Websites sollten leicht zugängliche Lösungen einführen, die es den Nutzern ermöglichen, ihre Einwilligung jederzeit zu widerrufen, z. B. durch die Verwendung eines kleinen, ständig sichtbaren Symbols oder eines Links an einer sichtbaren und standardisierten Stelle.<br /><br /><b>(viii)</b> Zusammenspiel zwischen der EU ePrivacy Directive und der EU DSGVO: Der EDSA hat auch klargestellt, dass die Nichteinhaltung der Vorgaben für den Einsatz technisch nicht notwendiger Cookies gemäss EU ePrivacy Directive dazu führe, dass eine nachgelagerte Verarbeitung personenbezogener Daten gemäss DSGVO (sofern eine solche überhaupt stattfindet), nicht zulässig sei.<br /><br /><b>(ix)</b> Schliesslich hat der EDSA den nachfolgenden Disclaimer im Zusammenhang mit dem vorliegenden <a href="https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf">Report</a> veröffentlicht:<br /><br />"<i>The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable</i>".<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-47602284631350480402022-12-31T18:14:00.001+01:002022-12-31T18:16:18.232+01:00Daten(schutz)rechtlicher Jahresrückblick: Wichtigste Rechtsgrundlagen, Guidelines und Entscheide<div style="text-align: justify;">2022 neigt sich dem Ende zu - aus einer daten(schutz)rechtlichen Perspektive betrachtet, war es ein sehr ereignisreiches Jahr mit zahlreichen neuen Rechtsgrundlagen, Guidelines und Entscheiden (Tendenz: steigend!). Die nachfolgende Übersicht stellt eine <i>subjektive</i> Auswahl daten(schutz)rechtlicher "Höhepunkte" dar und soll dem interessierten Leser eine Orientierungshilfe bieten:<br /></div><p><b>Schweiz</b><br /><b>(i)</b> Totalrevision des schweizerischen Datenschutzgesetzes (DSG) und der dazugehörigen Verordnungen: <b><a href="http://www.lawblogswitzerland.ch/2022/09/totalrevision-des-schweizerischen.html">Link</a></b><br /><b>(ii)</b> Übersicht Guidelines zu Cloud Computing: <b><a href="http://www.lawblogswitzerland.ch/2022/11/guidelines-zu-cloud-computing-eine.html">Link</a></b><br /><b>(iii)</b> Herausforderungen der künstlichen Intelligenz - Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" des Bundes an den Bundesrat: <b><a href="https://www.sbfi.admin.ch/dam/sbfi/de/dokumente/2019/12/bericht_idag_ki.pdf.download.pdf/bericht_idag_ki_d.pdf">Link</a></b><br /><b>(iv)</b> FINMA: Totalrevidiertes Rundschreiben FINMA-RS 23/01: Operationelle Risiken und Resilienz - Banken:<b> </b><a href="https://www.finma.ch/de/news/2022/12/20221213-mm-anh-rs-op-risks/"><b>Link</b> </a><br /><b>(v)</b> Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) und Privatim: Leitfaden zu Wahlen und Abstimmungen: <b><a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/medien/medienmitteilungen.msg-id-92237.html">Link</a></b><br /><b>(vi)</b> EDÖB: 29. Tätigkeitsbericht 2021/2022 ("Geringschätzung der Privatsphäre"): <b><a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/medien/medienmitteilungen.msg-id-89489.html">Link</a></b><br /><b>(vii)</b> European Union-U.S. Data Privacy Framework (EU-U.S. DPF): <b><a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1719342237 ">Link</a></b><br /><br /><b>Europa</b><br /> <b>(i) </b>Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK): Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung: <b><a href="https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf">Link</a></b><br /><b>(ii)</b> European Data Protection Board (EDPB): Guidelines 9/2022 on personal data breach notification under GDPR: <b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-92022-personal-data-breach_en">Link</a></b><br /><b>(iii)</b> EDPB Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority: <b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-82022-identifying-controller-or_en">Link</a></b><br /><b>(iv) </b>EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification: <b><a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en">Link</a></b><br /><b>(v)</b> EDPB Guidelines 01/2022 on data subject rights - Right of access: <b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en">Link</a></b><br /><b>(vi) </b>EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR: <b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en">Link</a></b><br /><b>(vii)</b> EDPB Guidelines 07/2022 on certification as a tool for transfers: <b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en">Link</a></b><br /><b>(viii) </b>EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space: <b><a href="https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032022-proposal_en">Link</a></b><br /><b>(ix) </b>European Data Protection Supervisor (EDPS) Conference 2022 - The future of data protection: effective enforcement in the digital world:<b> <a href="https://edps.europa.eu/system/files/2022-11/22-11-10-edps-conference-report-2022_en.pdf ">Link</a></b><br /><b>(x)</b> EDPS Opinion on the Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020: <b><a href="https://edps.europa.eu/data-protection/our-work/publications/opinions/2022-11-10-horizontal-cybersecurity-requirements-products-digital-elements_en">Link</a></b><br /><b>(xi) </b>UK Information Commissioner’s Office (ICO) - New Direct Marketing Guidance and Checklists: <b><a href="https://ico.org.uk/for-organisations/direct-marketing-guidance-and-resources/">Link</a></b><br /><b>(xii) </b>ICO's Transfer risk assessments (TRA) of personal data outside the UK: <b><a href="https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/">Link</a></b><br /><br /><b>USA</b><br /><b>(i)</b> Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities:<b> <a href="https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/">Link</a></b><br /><b>(ii) </b>Data Protection: EU Commission starts process to adopt adequacy decision for safe data flows with the USA: <b><a href="https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631">Link </a></b><br /><b>(iii)</b> U.S. Department of Justice Announces U.S. – UK CLOUD Act Agreement: <b><a href="https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force">Link</a></b><br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-37331788351223256062022-11-27T15:59:00.016+01:002022-12-11T10:43:06.667+01:00Guidelines zu Cloud Computing: Eine Übersicht<div><div style="text-align: justify;"><i>Cloud Computing</i> bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher <i>Cloud Guidelines</i>. Diese beleuchten die <i>Cloud</i> aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens <i>Cloud</i> Rechnung; die Navigation durch den <i>Cloud-Dschungel</i> wird aufgrund der grossen Anzahl der<i> </i>Guidelines<i> </i>nicht einfacher.<br /></div><br /></div><div style="text-align: justify;">Ausserdem fehlt eine Legaldefinition der <i>Cloud</i>. Ferner kann aus den technischen Definitionen der <i>Cloud</i> nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen <i>Cloud</i> oftmals um <a href="https://www.swissict.ch/der-teufel-steckt-im-detail/">Service Provider Management</a> handelt. Dies zieht immerhin die Anwendung gewisser <a href="http://www.lawblogswitzerland.ch/2013/08/anwendbarkeit-des-datenschutzgesetzes.html">Rechtsnormen</a> nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren <a href="http://www.lawblogswitzerland.ch/2021/06/vorentwurf-zur-totalrevidierten.html">eigenständige Übersetzung</a> in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (<a href="http://www.lawblogswitzerland.ch/2021/09/gutachten-des-bundesamts-fur-justiz-zum.html">TOM-Vorgaben</a>)<br /><br />Die nachfolgende Übersicht soll einen Kompass durch den <i>Cloud-Dschungel</i> bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das <a href="https://www.swissict.ch/der-teufel-steckt-im-detail/">jeweilige <i>Cloud-Projekt</i></a>:<br /></div> <br /><b>Cloud Guidelines Schweiz</b><br />Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): <a href="https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/cloud-computing.html">Link</a><br />PRIVATIM: <a href="https://www.privatim.ch/wp-content/uploads/2022/02/privatim_Cloud-Merkblatt_v3_0_20220203_def._DE-1.pdf ">Link</a><br />Bundesverwaltung/Bundeskanzlei: <a href="https://www.bk.admin.ch/bk/de/home/digitale-transformation-ikt-lenkung/bundesarchitektur/cloud.html">Link</a><br />Schweizerische Bankiervereinigung (SBVg): <a href="https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing">Link</a><br />Verein Unternehmens-Datenschutz (VUD): <a href="https://www.vud.ch/view/data/2124/Div.%20Dokumente/220826_VUD_FAQ%20zum%20Einsatz%20von%20Cloud.pdf">Link</a><br />Kantonsverwaltung ZH/Regierungsratsbeschluss: <a href="https://www.zh.ch/de/politik-staat/gesetze-beschluesse/beschluesse-des-regierungsrates/rrb/regierungsratsbeschluss-542-2022.html">Link</a><br /><br /><b>Cloud Guidelines EU</b><br />European Banking Authority (EBA): <a href="https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2170121/5fa5cdde-3219-4e95-946d-0c0d05494362/Final%20draft%20Recommendations%20on%20Cloud%20Outsourcing%20%28EBA-Rec-2017-03%29.pdf?retry=1">Link</a><br />European Securities and Markets Authority (ESMA): <a href="https://www.esma.europa.eu/sites/default/files/library/esma_cloud_guidelines_de.pdf">Link</a><br />Information Commissioner's Office UK (ICO): <a href="https://ico.org.uk/media/for-organisations/documents/1540/cloud_computing_guidance_for_organisations.pdf ">Link</a><br />National Cyber Security Centre UK (NCSC): <a href="https://www.ncsc.gov.uk/collection/cloud ">Link</a><br />Commission Nationale de l'Informatique et des Libertés FR (CNIL): <a href="https://www.cnil.fr/sites/default/files/typo/document/Recommendations_for_companies_planning_to_use_Cloud_computing_services.pdf">Link</a><br />Datenschutzkonferenz Deutschlands (DSK): <a href="https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf ">Link</a><br />Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): <a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Grundlagen/grundlagen_node.html">Link</a>, <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-empfehlungen-cloud-dienstleistungen.html">Link</a> und <a href="https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-exit-strategie-cloud-dienstleistungen.html und https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_2_2_Cloud-Nutzung_Edition_2021.html ">Link</a><br />European Data Protection Supervisor (EDPS): <a href="https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidelines-use-cloud-computing-services-european_en">Link</a><br />European Data Protection Board (EDPB): <a href="https://edps.europa.eu/system/files/2022-04/22-04-29_ongoing-investigation-into-the-use-of-m365-by-euis_en.pdf">Link</a><br /><b><br />Cloud Guidelines restliche Welt</b><br />U.S. Department of Justice (DOJ): <a href="https://www.justice.gov/opa/press-release/file/1153446/download">Link</a><br />U.S. National Institute of Standards and Technology (NIST): <a href="https://www.govinfo.gov/content/pkg/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada/pdf/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada.pdf">Link</a> und <a href="https://www.govinfo.gov/content/pkg/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada/pdf/GOVPUB-C13-74cdc274b1109a7e1ead7185dfec2ada.pdf">Link</a><br />Hong Kong Monetary Authority (HKMA): <a href="https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2022/20220831e1.pdf ">Link</a><br />Canadian Centre for Cyber Security (CCCS): <a href="https://www.cyber.gc.ca/en/guidance/guidance-cloud-security-assessment-and-authorization-itsp50105">Link</a><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br /><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-37092201510648166902022-10-02T10:21:00.004+02:002022-10-02T11:14:03.498+02:00Tracking-Technologien: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) analysiert Handlungsbedarf<div style="text-align: justify;">Gemäss <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 27. September 2022 </a>wurde offenbar in den USA eine Klage gegen Oracle America Inc. im Zusammenhang mit dem Einsatz von Tracking-Technologien eingereicht. Gegen welche rechtlichen Voraussetzungen Oracle konkret verstossen haben soll, geht aus der Medienmitteilung nicht hervor. Stattdessen wird festgehalten, dass Oracle Tracking-Technologien unter anderem zur Erhebung sowie Auswertung einer Vielzahl von Internetnutzern zwecks Erstellung einer Datensammlung einsetze und dies "<i>sogar geräteübergreifend</i>".<br /></div><br />Ferner wird <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">festgehalten</a>, dass der EDÖB die vorgenannte Klage zur Kenntnis genommen habe, diese und allfällige Auswirkungen auf die Schweiz analysiere. Ausserdem habe der EDÖB Oracle Software (Schweiz) GmbH angeschrieben und behalte sich vor, gegebenenfalls weitere Schritte einzuleiten.<br /><p style="text-align: left;">Der EDÖB fokussiert laut erwähnter <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Medienmitteilung</a> seine Analyse u.a. auf folgende Aspekte:<br /><br /><b>a)</b> Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze der <i>"Transparenz und der Verhältnismässigkeit</i>".<br /><br /><b>b)</b> "<i>Erforderlichkeit einer ausdrücklichen Einwilligung für die </i><i>Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten</i>".<br /><br />Der Fokus der <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#2080007344">Analyse des EDÖB</a> ist in zweifacher Hinsicht überraschend: <b> </b></p><p style="text-align: justify;"><b>1) </b>Vorab ist nicht primär das Datenschutzgesetz (DSG), sondern <a href="https://www.fedlex.admin.ch/eli/cc/1997/2187_2187_2187/de#art_45_c">Art. 45c lit. b Fernmeldegesetz (FMG) </a>für den Einsatz von Tracking-Technologien (d.h. einem Auslesen oder Übermitteln von Daten mittels fernmeldetechnischer Übertragung auf fremde Geräte) anwendbar. Bereits damit werden Transparenz (Information) sowie die Möglichkeit einer Ablehnung (sog. Opt-Out) technisch nicht notwendiger Trackings sichergestellt. Dies erfolgt unabhängig davon, ob Personendaten gemäss <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_3">Art. 3 lit. a DSG </a>bearbeitet werden oder nicht<b>.</b></p><p style="text-align: justify;"><b>2)</b> Falls im Rahmen eines Trackings Personendaten bearbeitet werden, also zwischen den fraglichen Daten ein Personenbezug ohne unverhältnismässig grossen Aufwand (sog. relative Methode) hergestellt werden kann, ist zusätzlich das DSG anwendbar. </p><p style="text-align: justify;">Im DSG gilt jedoch der Grundsatz der Erlaubnis mit Verbotsvorbehalt: Danach ist im Privatbereich weder eine datenschutzrechtliche Einwilligung noch ein anderer datenschutzrechtlicher Rechtfertigungsgrund als Voraussetzung für die Bearbeitung (z.B. Erstellung) von Personendaten erforderlich, sofern insbesondere die <b>(i)</b> Bearbeitungsgrundsätze (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_4">Art. 4 ff. DSG</a> i.V.m. <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. a DSG</a>) eingehalten werden, <b>(ii)</b> keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile an echte Dritte bekanntgegeben werden (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. c DSG</a>) und <b>(iii)</b> kein ausdrücklicher Widerspruch der betroffenen Person vorliegt (<a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. b DSG</a>). <br /><br />Folglich sieht das DSG <u>keine</u> Einwilligung für die Erstellung von Persönlichkeitsprofilen oder die Erhebung besonders schützenswerter Personendaten vor<i> -</i> weder im Zusammenhang mit Tracking-Technologien noch für andere Bearbeitungen.<br /><br />Dieser Grundsatz gilt auch im <a href="http://www.lawblogswitzerland.ch/2022/09/totalrevision-des-schweizerischen.html">totalrevidierten DSG, das am 01. September 2023</a> in Kraft tritt. <br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-52705113352159776592022-09-10T16:33:00.020+02:002022-09-11T10:28:09.824+02:00Totalrevision des schweizerischen Datenschutzrechts (DSG/DSV/VDSZ) abgeschlossen: Überblick über Materialien und Auslegungs- sowie Umsetzungshilfen<div style="text-align: justify;">Am <a href="https://www.bj.admin.ch/ejpd/de/home/aktuell/news/2011/2011-12-09.html">9. Dezember 2011</a> nahm die Totalrevision des schweizerischen Datenschutzrechts ihren Anfang. Fast elf Jahre später wurden die Rechtsetzungsarbeiten abgeschlossen: Der Bundesrat hat am 31. August 2022 das Inkrafttreten des neuen, totalrevidierten Datenschutzgesetzes (<a href="https://www.fedlex.admin.ch/eli/fga/2020/1998/de">DSG</a>) samt Ausführungsbestimmungen (Datenschutzverordnung <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vo-datenschutz.pdf.download.pdf/vo-datenschutz-d.pdf">DSV</a> und Verordnung über Datenschutzzertifizierungen <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vo-ds_zertif.pdf">VDSZ</a>) per <a href="https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90134.html">01. September 2023</a> beschlossen.<br /></div><p style="text-align: justify;">Zu dieser Totalrevision gibt es mittlerweile eine Vielzahl von Publikationen; die nachfolgende Übersicht über Materialien und Auslegungs- sowie Umsetzungshilfen soll als Orientierungshilfe dienen. Sie ist eine Auswahl ohne Anspruch auf Vollständigkeit: <br /></p><p style="text-align: left;"><br /><b>(i) Aktuelles Bundesgesetz über den Datenschutz (DSG)</b><br /><a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de "><br />Bundesgesetz über den Datenschutz (DSG) </a>vom 19. Juni 1992 (Stand 1. März 2019) <br /><br /><a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2010/10/botschaft_zum_bundesgesetzueberdendatenschutzdsgvom23maerz1988.pdf.download.pdf/botschaft_zum_bundesgesetzueberdendatenschutzdsgvom23maerz1988.pdf">Botschaft zum Bundesgesetz über den Datenschutz (DSG) </a>vom 23. März 1988<br /><a href="https://www.fedlex.admin.ch/eli/fga/2003/267/de"><br />Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) </a>vom 19. Februar 2003<br /><br /><a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2007/10/erlaeuterungen_zudenaenderungenvom17dezember2004undvom24maerz200.pdf.download.pdf/erlaeuterungen_zudenaenderungenvom17dezember2004undvom24maerz200.pdf">Erläuterungen des EDÖB zu den Änderungen vom 17. Dezember 2004 und vom 24. März 2006 des Bundesgesetzes über den Datenschutz (DSG)</a> (ohne Datum)<br /><br /><b>(ii) Aktuelle Verordnung zum Bundesgesetz über den Datenschutz<b> (</b>VDSG)</b><br /><a href="https://www.fedlex.admin.ch/eli/cc/1993/1962_1962_1962/de "><br />Verordnung zum Bundesgesetz über den Datenschutz (VDSG) </a>vom 14. Juni 1993 (Stand am 16. Oktober 2012)<br /><a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2011/06/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf.download.pdf/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf"><br />Kommentar des Bundesamts für Justiz zur VDSG vom 1. Januar 2008 (VDSG)</a> (ohne Datum)<br /><br /><b>(iii) Neues, totalrevidiertes Datenschutzgesetz (DSG)</b><br /><br /><a href="https://www.fedlex.admin.ch/eli/fga/2020/1998/de">Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)</a> vom 25. September 2020<br /><a href="https://www.fedlex.admin.ch/eli/fga/2017/2057/de"><br />Botschaft über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz </a>vom 15. September 2017 <br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/faq-dsr.pdf.download.pdf/faq-dsr-d.pdf">FAQ Datenschutzrecht des BJ </a>vom 01. September 2022 <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ber-normkonzept-d.pdf.download.pdf/ber-normkonzept-d.pdf"><br /><br />Bericht der Begleitgruppe Revision DSG des BJ: Normkonzept zur Revision des Datenschutzgesetzes </a>vom 29. Oktober 2014 <br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf">Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz</a> vom 05. Juni 2020<br /><br />Parlamentarische Beratungen zum Entwurf DSG: <a href="https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059">Link 1</a> und <a href="https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059">Link 2</a> (2017-2020)<br /><br /><a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2021/revdsg.pdf.download.pdf/revDSG_DE.pdf">Das neue Datenschutzgesetz aus Sicht des EDÖB </a>vom 9. Februar 2021<br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/dsg-uebersicht-aenderungen.pdf.download.pdf/dsg-uebersicht-aenderungen-d.pdf">Totalrevision des Datenschutzgesetzes (DSG): Übersicht des BJ zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane </a>vom 02. September 2022<br /><b><br /></b><b><b>(iv) Neue </b>Datenschutzverordnung (DSV)<br /> </b><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vo-datenschutz.pdf.download.pdf/vo-datenschutz-d.pdf">Verordnung über den Datenschutz (Datenschutzverordnung; DSV)</a> vom 31. August 2022<br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/erl-vo-datenschutz.pdf.download.pdf/erl-vo-datenschutz-d.pdf">Erläuternder Bericht zur Verordnung über den Datenschutz (Datenschutzverordnung; DSV)</a> vom 31. August 2022</p><p style="text-align: left;"><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber.pdf.download.pdf/ve-ber-d.pdf">Bericht über das Ergebnis des Vernehmlassungsverfahrens: Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG)</a> vom 31. August 2022<br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/vergleichstabelle.pdf.download.pdf/vergleichstabelle-d.pdf">Vergleichstabelle des BJ zum E-VDSG – VDSG – nDSG</a> vom 23. Juni 2021</p><p style="text-align: left;"><a href="https://datenrecht.ch/wp-content/uploads/220831-DSV-Gegenuberstellung.pdf">Gegenüberstellung DSV - E-VDSG - VDSG </a>von Hannes Meyle und Anne-Sophie Morand mit David Vasella vom 31. August 2022<br /><br /><b>(v) Neue Verordnung über Datenschutzzertifizierungen (VDSZ)<br /></b><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vo-ds_zertif.pdf ">Verordnung über Datenschutzzertifizierungen (VDSZ) </a>vom 31. August 2022<br /><br /><a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/erl-vo-ds_zertif.pdf ">Erläuternder Bericht zur Verordnung über Datenschutzzertifizierungen (VDSZ) </a>vom 31. August 2022<br /><b><br />(vi) Aufsätze</b><br /><br /><a href="http://www.rosenthal.ch/downloads/Rosenthal-Entwurf-DSG-Jusletter.pdf">David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz</a>, in: Jusletter 27. November 2017<br /><br /><a href="https://www.rosenthal.ch/downloads/Rosenthal-revidiertesDSG.pdf">David Rosenthal, Das neue Datenschutzgesetz</a>, in: Jusletter 16. November 2020<br /><br /><a href="http://www.vud.ch/view/data/2124/Downloads/vud_rohstoff_revidiertes_dsg.pdf">David Rosenthal, Rohstoff zum revidierten Datenschutzgesetz</a>, verfasst für den Verein Unternehmens-Datenschutz <a href="https://www.vud.ch/">(VUD)</a>, 18. April 2020<br /><br /><a href="https://www.rosenthal.ch/downloads/Rosenthal-Gubler-DSG-Strafrecht.pdf ">David Rosenthal, Seraina Gubler, Die Strafbestimmungen des neuen DSG</a>, in: SZW/RSDA 1/2021<br /><br /><a href="https://datenrecht.ch/wp-content/uploads/220718-datenrecht-Umsetzung-DSG.pdf ">David Vasella, Umsetzung des revidierten DSG </a>(Stand 17.07.2022)<br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br />Michal Cichocki </a></b><br /></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-70834357635157913062022-08-21T18:45:00.007+02:002022-08-21T18:59:44.492+02:00Datenschutzaufsichtsbehörden Deutschlands (DSK) veröffentlichen FAQ zu Facebook-Fanpages<div style="text-align: justify;">Die <a href="https://datenschutzkonferenz-online.de/">Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) </a>veröffentlichte Ende Juni 2022 ein weiteres Dokument zum datenschutzrechtlichen Evergreen-Thema Facebook-Fanpages: <a href="https://www.datenschutzkonferenz-online.de/media/oh/20220622_oh_10_FAQ_Facebook_Fanpages.pdf">„FAQ zu Facebook-Fanpages“</a>.<br /></div><br /><a href="https://de-de.facebook.com/business/help/473994396650734?id=939256796236247">Facebook-Fanpages (Facebook-Seiten)</a> sind „Mini-Webseiten“, die „<i>Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens</i>“ für die eigene Präsentation auf Facebook nutzen können. Davon abzugrenzen sind "normale" Facebook-Profile für private Zwecke.<br /><br />In diesem Zusammenhang geht die DSK in ihren FAQ u.a. auf den Themenbereich „Joint-Controllership“ ein: Danach müssen die Betreiber von Facebook-Fanpages und Meta Platforms u.a. die Voraussetzungen über die gemeinsame Verantwortung gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3098-1-1">Art. 26 DSGVO</a> erfüllen und diese in einem Vertrag abbilden; die DSK bemängelt u.a. das <a href="https://www.facebook.com/legal/terms/page_controller_addendum/">aktuelle Vertragstemplate</a> von Meta Platforms zu <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3098-1-1">Art. 26 DSGVO</a>:<br /><br />„<i>Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen </i>[Art. 26 DSGVO]<i> nicht. Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener Daten in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben der <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e4249-1-1">Art. 44 ff. Datenschutz-Grundverordnung (DSGVO) </a>eingehalten werden</i>“ (vgl. <a href="https://www.datenschutzkonferenz-online.de/media/oh/20220622_oh_10_FAQ_Facebook_Fanpages.pdf">FAQ Nr. 2: Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?</a>).<br /><br /><b>Hintergrund</b><br /><br />Knacknuss „Joint-Controllership“: Insbesondere wegen der „Facebook (Audience) Insight“-Funktion qualifizierte der EuGH in einem umstrittenen Urteil (<a href="https://curia.europa.eu/juris/liste.jsf?language=de&num=C-210/16">C- 210/16, „Wirtschaftsakademie“</a>) die Betreiber von Facebook-Fanpages und Meta Platforms (Betreiberin von Facebook) als gemeinsame Verantwortliche gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3098-1-1">Art. 26 DSGVO</a>. Dies obwohl die Betreiber von Facebook-Fanpages mittels „Facebook Insight“ lediglich statistische Auswertungen der eigenen Fanpages einsehen und diese zu eigenen Zwecken (z.B. zur Durchführung für Werbeaktionen und -veranstaltungen) nutzen können. Zwar können diese statistischen Auswertungen individuell eingestellt (sog. Parametrierung) werden - die Betreiber „sehen“ jedoch nicht, welche Nutzer ausgewertet worden sind; ein Personenbezug liegt nicht vor. Dennoch vertrat der EuGH im Zusammenhang mit Facebook-Fanpages die Auffassung, dass die Möglichkeit zur Einsichtnahme von parametrierten Statistiken, die auf personenbezogenen Daten beruhen, um daraus wirtschaftliche Vorteile zu ziehen, bereits für eine gemeinsame Verantwortlichkeit ausreiche.<br /><br /><b>Weitere Dokumente der DSK im Zusammenhang mit Facebook-Fanpages</b><br /><br /><b>(i)</b> <a href="https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK_Kurzgutachten_Facebook-Fanpages_V1_18.03.2022.pdf">Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages </a>vom 18.03.2022 <br /><br /><b>(ii)</b> <a href="https://datenschutzkonferenz-online.de/media/dskb/DSK_Beschluss_Facebook_Fanpages.pdf">Beschluss zu Facebook Fanpages </a>vom 23.03.2022<br /><br />Diese Dokumente geben ausschliesslich die Sichtweise der deutschen DSK im Zusammenhang mit Facebook-Fanpages sowie im Anwendungsbereich der EU DSGVO wieder und sind gerichtlich nicht bestätigt. <br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br />Michal Cichocki</a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-66148944616475768782022-06-25T11:38:00.005+02:002022-06-25T11:48:49.274+02:00Dark Patterns: Vernehmlassung zu Guidelines des Europäischen Datenschutzausschusses (EDSA) abgeschlossen<div style="text-align: justify;">Im Mai 2022 wurde die öffentliche Vernehmlassung zu den <a href="https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf">Draft Guidelines „<i>on dark patterns in social media platform interfaces: how to recognise and avoid them</i>“</a> des <a href="https://edpb.europa.eu/edpb_en">Europäischen Datenschutzausschusses (EDSA)</a> abgeschlossen.<br /></div><br />In diesen Draft Guidelines befasst sich der EDSA mit der Frage, wann eine gezielte Beeinflussung von Nutzern auf Social Media Plattformen durch den Einsatz von grafischen Benutzerschnittstellen (GUI) sowie User Experiences (UX) zur Preisgabe zusätzlicher Personendaten noch zulässig sei und wann diese Schwelle überschritten werde.<br /><br />Der EDSA ist der Auffassung, dass von einer unzulässigen Beeinflussung durch dark patterns bereits dann gesprochen werden könne, wenn das Design von GUI und UX den Nutzer zu einer "<i>unbeabsichtigten, ungewollten sowie potenziell schädlichen Entscheidung</i>" hinsichtlich der Verarbeitung seiner personenbezogenen Daten verleite.<br /><br />Zur Konkretisierung dieser generell-abstrakten Formel werden in den Draft Guidelines verschiedene Anwendungsfälle (dark pattern categories), Beeinflussungsmittel (dark pattern types) sowie Beispiele behandelt.<br /><br />Das folgende Beispiel fällt gemäss EDSA unter die dark pattern category „overloading” sowie den dark pattern type „continuous prompting“ und sei bereits unzulässig: „<i>In the first step of the sign-up process, users are required to choose between different options for their registration. They can either provide an email address or a phone number. When users choose the email address, the social media provider still tries to convince users to provide the phone number, by declaring that it will be used for account security, without providing alternatives on the data that could be or was already provided by the users. Concretely, several windows pop up throughout the sign-up process with a field for the phone number, along with the explanation “We’ll use your</i> [phone]<i> number for account security”. Although users can close the window, they get overloaded and give up by providing their phone number</i>“ (vgl. S. 14 Draft Guidelines).<br /><br />Weiter werden folgende fünf dark pattern categories in den Draft Guidelines beschrieben (vgl. S. 7 f.):<br /><br /><b>Skipping:</b> <i>designing the interface or user experience in a way that the users forget or do not think about all or some of the data protection aspects.</i><br /><b><br />Stirring:</b> <i>affects the choice users would make by appealing to their emotions or using visual nudges. </i><br /><b><br />Hindering:</b><i> an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.</i><br /><br /><b>Fickle:<i> </i></b><i>the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing.</i><br /><b><br />Left in the dark:</b><i> an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.</i><br /><br />Des Weiteren führen die Draft Guidelines verschiedene DSGVO-Bestimmungen auf, die durch den Einsatz von dark patterns betroffen sein könnten: u.a. die Verarbeitungsgrundsätze (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1825-1-1">Art. 5 DSGVO</a>), Einwilligungsbedingungen (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1508-1-1">Art. 4 Abs. 11</a> i.V.m. <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2019-1-1">Art. 7 DSGVO</a>), Betroffenenrechte (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2197-1-1">Art. 12 ff. DSGVO</a>) sowie Privacy by Design and Default (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3078-1-1">Art. 25 DSGVO</a>).<br /><br />Im Rahmen der öffentlichen Vernehmlassung hat der EDSA sechsundzwanzig <a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en">Eingaben</a> verschiedener Stakeholder entgegengenommen. In diesem Zusammenhang wurde u.a. vorgebracht, dass der Begriff „Social Media Plattformen“ nicht definiert und damit der Anwendungsbereich der Guidelines unklar sei oder die Annahmen betreffend Erwartungen der Nutzer nicht „evidence-based and research-supported“ seien („<a href="https://edpb.europa.eu/sites/default/files/webform/public_consultation_reply/Meta’s%20comments%20EDPB%20draft%20Guidelines%203%3A2022.pdf">as one example, the draft guidelines imply that humour easily distracts users, and that users would not expect account deletion functionalities on the bottom page of account settings</a>“).<br /><br /><b>Next steps: </b>Der EDSA wird die Vernehmlassungseingaben einarbeiten und die finale Version der Guidelines voraussichtlich im zweiten Halbjahr 2022 veröffentlichen.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-33763456278246137182022-05-31T19:44:00.004+02:002022-05-31T19:47:58.519+02:00Europäischer Datenschutzbeauftragter (EDPS) sowie Europäischer Datenschutzausschuss (EDPB) veröffentlichen ihre Tätigkeitsberichte für 2021<div style="text-align: justify;">Diesen Monat haben der Europäische Datenschutzbeauftragte (EDPS) sowie der Europäische Datenschutzausschuss (EDPB) ihre Tätigkeitsberichte für das Jahr 2021 veröffentlicht:<br /></div><p><b>Der Europäische Datenschutzbeauftragte (EDPS)</b><br /><b>i) </b><a href="https://edps.europa.eu/annual-reports_de">Annual Report 2021</a><br /><b>ii) </b><a href="https://edps.europa.eu/system/files/2022-04/2022-04-20-edps-annual-report-2021-executive-summary_en.pdf">Executive Summary 2021</a><br /><b>iii)</b> <a href="https://edps.europa.eu/system/files/2022-04/ar21_infographic_en.pdf ">Factsheet</a><br /><b><br />Der Europäische Datenschutzausschuss (EDPB)</b><br /><b>i) </b><a href="https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf">Annual Report 2021</a><br /><b>ii)</b> <a href="https://edpb.europa.eu/system/files/2022-05/edpb_2021_executive_summary_en.pdf">Executive Summary 2021 </a><br /><br />Rückblick: Sowohl der EDPS wie auch der EDPB haben 2021 eine Vielzahl an Guidances publiziert: <br /><br />Der <b>EDPS</b> hat in seiner Eigenschaft als Datenschutzexperte der EU-Kommission u.a. folgende <b>Stellungnahmen</b> („opinions“) veröffentlicht bzw. verabschiedet:<br /><b>i) </b><a href="https://edps.europa.eu/system/files/2021-02/21-02-10-opinion_on_digital_services_act_en.pdf">Opinion on the Digital Services Act (DSA) 10/02/2021 </a><br /><b>ii)</b> <a href="https://edps.europa.eu/system/files/2021-02/21-02-10-opinion_on_digital_markets_act_en.pdf ">Opinion on the Digital Markets Act (DMA) 10/02/2021</a><br /><b>iii) </b><a href="https://edps.europa.eu/system/files/2021-03/21-03-11_edps_nis2-opinion_en.pdf ">Opinion on cybersecurity 11/03/2021</a><br /><b>iv) </b><a href="https://edps.europa.eu/system/files/2021-04/2021-0219_d0912_opinion_6_2021_en_0.pdf">Opinion on distributed ledger technology 23/04/2021 </a><br /><b>v) </b><a href="https://edps.europa.eu/system/files/2021-05/2021-0203_d0943_opinion_digital_operational_resilience_for_the_financial_sector_en.pdf">Opinion on digital operational resilience for the financial sector (DORA) 10/05/2021</a><br /><b>vi) </b><a href="https://edps.europa.eu/system/files/2021-06/21-06-24_edps_opinion_mica_en.pdf">Proposal for a regulation on markets in crypto-assets (MICA) 25/06/2021</a><br /><b>vii)</b> <a href="https://edps.europa.eu/system/files/2021-08/opinion_consumercredit-final_en.pdf">Proposal for a Directive on consumer credits 26/08/2021</a><br /><b>viii) </b><a href="https://edps.europa.eu/system/files/2021-09/21-09-22_edps-opinion-aml_en.pdf">AML package 21/09/2021</a><br /><br />Der <b>EDPB</b> hat im Rahmen seiner Kompetenz zur Sicherstellung der Rechtsklarheit bzw. einheitlichen Anwendung der EU DSGVO u.a. folgende sog. <b>Allgemeine Anleitungen </b>(„general guidance“) vorgelegt:<br /><b>i) </b><a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012020-processing-personal-data-context_en">Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications</a><br /><b>ii)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en">Guidelines 07/2020 on the concepts of controller and processor in the GDPR</a><br /><b>iii)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_en">Guidelines 8/2020 on the targeting of social media users </a><br /><b>iv) </b><a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en">Guidelines 01/2021 on examples regarding data breach notification</a><br /><b>v) </b><a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-022021-virtual-voice-assistants_en">Guidelines 02/2021 on virtual voice assistants</a><br /><b>vi)</b> <a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-042021-codes-conduct-tools-transfers_en">Guidelines 04/2021 on codes of conduct as tools for transfers</a><br /><b>vii)</b> <a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en">Guidelines 05/2021 on the interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V of the GDPR</a><br /><b>viii)</b> <a href="https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidance-certification-criteria-assessment_en">Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)</a><br /><b>ix)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en">Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data</a><br /><b>x)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022021-legal-basis-storage-credit-card_en">Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions</a><br /><br />Schliesslich haben der <b><b>EDPB</b></b> sowie der <b>EDPS</b> sog. <b>gemeinsame Stellungnahmen </b>(„joint opinions“) veröffentlicht:<br /><b>i) </b><a href="https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12021-standard_en">EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors</a><br /><b>ii)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_en">EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries</a><br /><b>iii)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_en">EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act)</a><br /><b>iv)</b> <a href="https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-52021-proposal_en">EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)</a><br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-83141061765016075582022-02-27T10:13:00.014+01:002022-02-27T10:48:02.872+01:00EU Kommission veröffentlicht Entwurf für ein EU-Datengesetz<div style="text-align: justify;">Die Umsetzung der <a href="https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de">EU-Datenstrategie</a> schreitet weiter voran: Nach dem <a href="https://digital-strategy.ec.europa.eu/en/policies/data-governance-act">Daten-Governance-Gesetz</a> aus dem Jahre 2020 legte die EU Kommission am 23. Februar 2022 ihren Entwurf für ein EU-Datengesetz vor (<a href="https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data">Proposal for a Regulation on harmonised rules on fair access to and use of data; Data Act</a>). Das vorgeschlagene EU-Datengesetz sieht Regeln für die Nutzung nicht-personenbezogener Daten (Nicht-Personendaten) vor; dessen Geltungsbereich wird wie folgt umschrieben:<br /></div><br />„<i>This Regulation lays down harmonised rules on making data generated by the use of a product or related service available to the user of that product or service, on the making data available by data holders to data recipients, and on the making data available by data holders to public sector bodies or Union institutions, agencies or bodies, where there is an exceptional need, for the performance of a task carried out in the public interest</i>“ (vgl. <a href="https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data">Art. 1 Abs. 1 E-Datengesetz</a>).<br /><br />Damit sollen u.a. folgende Anwendungsfälle adressiert werden:<br /><br /><b>i) Datenübertragbarkeit</b>: Insbesondere im Falle eines vernetzten Gerätes ("Internet of Things"; IoT) soll offenbar nicht ausreichend klar sein, <a href="https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_1114">„<i>wer was mit den Daten</i> [die durch die Nutzung des Geräts erzeugt werden] <i>tun darf. Oder im Kaufvertrag ist u. U. festgelegt, dass sämtliche erzeugten Daten ausschließlich vom Hersteller gesammelt und genutzt werden dürfen (…). Das Datengesetz wird sowohl Einzelpersonen als auch Unternehmen durch ein gestärktes Recht auf Datenübertragbarkeit mehr Kontrolle über ihre Daten einräumen, sodass sie Daten problemlos an verschiedene Diensteanbieter weitergeben können. Dies gilt für Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden. Beispielsweise könnte ein Auto- oder ein Maschinenbesitzer entscheiden, mit dem Auto oder der Maschine erzeugte Daten an seinen Versicherer weiterzugeben.</i>“</a><br /><b><br />ii) Blacklisting missbräuchlicher Vertragsklauseln</b>: <a href="https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_1114">„<i>Vertragsfreiheit ist nach wie vor das Grundprinzip, aber KMU sind nun vor missbräuchlichen Vertragsklauseln</i> [zur Nutzung von Daten] <i>geschützt, weil es eine Liste mit einseitig auferlegten Vertragsklauseln gibt, die als missbräuchlich gelten oder bei denen davon ausgegangen wird, dass sie missbräuchlich sind. Vertragsklauseln, die auf dieser Liste stehen, sind für KMU nicht bindend. Ein Beispiel sind Klauseln, wonach ein Unternehmen die Vertragsbestimmungen einseitig auslegen darf</i>.“ </a><br /><br />Ferner will die EU Kommission <a href="https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_1114">unverbindliche Mustervertragsbedingungen/Standardklauseln</a> erarbeiten, um die Verhandlungsposition insbesondere von KMU gegenüber marktmächtigen Gegenparteien zu stärken.<br /><b><br />iii) Herausgabe von Daten an EU-Behörden: </b><a href="https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_1114">„<i>Das Datengesetz sieht vor, dass in Ausnahmesituationen von grossem öffentlichem Belang wie etwa bei Überschwemmungen oder Waldbränden der Zugang zu Daten privater Unternehmen möglich ist (…) Die neuen Vorschriften sehen eine Verpflichtung für Unternehmen zur</i> [teilweise kostenlosen] <i>Bereitstellung bestimmter Daten</i> <i>vor </i>(…).“</a><br /><br /><b>iv) Herausgabe von Daten an Nicht-EU/EWR-Behörden (Foreign Lawful Access)</b>: <a href="https://ec.europa.eu/commission/presscorner/detail/de/qanda_22_1114">„<i>Ausserdem wird das Datengesetz vertrauensbildend wirken, da es die Einführung verbindlicher Garantien zum Schutz der Daten in Cloud-Infrastrukturen vorsieht. Dadurch werden unrechtmässige Zugriffe durch Regierungen von Ländern, die nicht zur EU oder zum EWR gehören, verhindert. Mit diesen Massnahmen wird das Datengesetz die Cloud-Einführung in Europa unterstützen, was wiederum einen effizienten Datenaustausch innerhalb von und zwischen Sektoren fördern wird</i>.“</a><br /><br />Im Zusammenhang mit dem Entwurf des EU-Datengesetzes stellen sich bereits heute zahlreiche Abgrenzungsfragen - insbesondere zur EU DSGVO. In jüngster Zeit haben verschiedene EU-Datenschutzbehörden in immer mehr Fällen „Daten“ als personenbezogene Daten (Personendaten) qualifiziert, was die Anwendung der EU DSGVO nach sich zieht. Dieser Trend dürfte sich auch bei IoT-Anwendungsfällen fortsetzen. Infolgedessen können betroffene Personen bereits heute und gestützt auf <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2768-1-1">Art. 20 EU DSGVO</a> ihren Anspruch auf Datenportabilität (Datenübertragbarkeit) geltend machen. Schliesslich stellt sich die Frage, inwiefern im Zusammenhang mit Daten i.S. des EU-Datengesetzes eine Diskussion über einen denkbaren Foreign Lawful Access Sinn macht und ob hier ein vergleichbares Konzept mit <a href="http://www.lawblogswitzerland.ch/2020/11/schrems-ii-eu-kommission-veroffentlicht.html">„Garantien“</a> analog <a href="http://www.lawblogswitzerland.ch/2021/02/schrems-ii-empfehlungen-stellungnahmen.html">Schrems II</a> (d.h. Foreign Lawful Access bei personenbezogenen Daten; vgl. <a href="https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=9729736">C-311/18</a>) überhaupt zielführend sein kann.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki </a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-17251457503825618732021-10-31T13:07:00.004+01:002021-11-01T20:10:46.052+01:00Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Guidelines zu Art. 23 EU DSGVO (Beschränkungen von Rechten und Pflichten)<div style="text-align: justify;">Im Nachgang zur öffentlichen Konsultation veröffentlichte der <a href="https://edpb.europa.eu/edpb_en">Europäische Datenschutzausschuss (EDSA/EDPB)</a> am 13. Oktober 2021 seine Guidelines zu Art. 23 EU DSGVO in der Version 2.0 <a href="https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf">(Guidelines 10/2020 on restrictions under Article 23 GDPR)</a>.<br /></div><p>Art. 23 EU DSGVO sieht die Möglichkeit vor, dass die EU Mitgliedsstaaten die Rechte und Pflichten gemäss <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2176-1-1">Art. 12 bis 22 EU DSGVO (Rechte der betroffenen Personen) </a>sowie <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e3502-1-1">Art. 34 EU DSGVO (Benachrichtigung bei Data Braches)</a> und <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1825-1-1">Art. 5 EU DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten)</a> unter bestimmten Voraussetzungen beschränken können.<br /><br />Diese Voraussetzungen hat der EDSA mit der oben erwähnten Guideline aktualisiert und wie folgt zusammengefasst (vgl. Conclusion/Kapitel 8): <br /><br /><b>a) </b><i>Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State. </i><br /><br /><b>b)</b> <i>Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions. </i><br /><br /><b>c)</b> <i>The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects. </i><br /><br /><b>d)</b><i><b> </b>SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR. </i><br /></p><p><b>e)</b> <i>Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.</i><br /><br />Unter Kapitel 9 wurde ausserdem eine <a href="https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf">Checkliste</a> mit dem Titel „Article 23 GDPR in a nutshell“ publiziert.<br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br />Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-41789701718054400592021-09-19T15:51:00.005+02:002021-09-19T15:59:14.071+02:00Gutachten des Bundesamts für Justiz zum US CLOUD Act veröffentlicht<div style="text-align: justify;">Das Bundesamt für Justiz (BJ) veröffentlichte am 17. September 2021 ein als Bericht zum <a href="https://www.bj.admin.ch/dam/bj/de/data/publiservice/publikationen/berichte-gutachten/gutachten/2021-09-17-us-cloud-act.pdf.download.pdf/2021-09-17-us-cloud-act.pdf">US CLOUD Act</a> bezeichnetes Gutachten. Darin geht das BJ u.a. auf folgende Themenbereiche ein: <br /></div><br /><b>(i)</b> Generelle Erläuterungen zum US CLOUD Act sowie zu darauf beruhenden Executive Agreements.<br /><br /><b>(ii)</b> Rechtsvergleichende Beleuchtung des US CLOUD Acts mit weiteren aktuellen oder geplanten Rechtsgrundlagen wie z.B. EU E-Evidence Verordnung bzw. Richtlinie, Zusatzprotokoll zur Cybercrime-Konvention des Europarats, Executive Agreement zwischen den USA und UK, EU DSGVO sowie DSG.<br /><b><br />(iii)</b> Rechtliche Ausführungen zur Vereinbarkeit des US CLOUD Acts bzw. Executive Agreements mit europäischem und schweizerischem Völker-, Straf-, Rechtshilfe- und Datenschutzrecht aus der Sicht des BJ.<br /><br /><b>(iv)</b> Nicht rechtliche Ausführungen zu technischen/organisatorischen Massnahmen (TOM) im Bereich "<i>Datensicherheit und Entschlüsselung</i>".<br /><br />Als <b>Schlussfolgerung</b> (vgl. Kapitel 7 Gutachten) hält das BJ unter anderem Folgendes fest:<br /><b><br />a)</b> Das BJ vertritt u.a. die Auffassung, dass die Schweiz nur dann am "<i>freien Datenverkehr mit der EU teilhaben</i>" und den "<i>uneingeschränkten Zugang zum "digitalen Binnenmarkt" der EU behalten</i>" könne, wenn sie ihren Status als Land mit angemessenem Datenschutzniveau aus der Sicht der EU behalte. Folglich habe das EU-Datenschutzrecht "<i>einen grossen Einfluss auf die Schweiz</i>". <br /><br /><b>b)</b> Hinsichtlich des Datenschutzrechts ist das BJ u.a. folgender Meinung: "<i>Das Ergebnis dieser Analyse legt den Schluss nahe, dass eine Herausgabe von Daten gestützt auf eine Herausgabeanordnung auf der Grundlage des CLOUD Acts nur in spezifischen Ausnahmefällen mit dem schweizerischen und europäischen Datenschutzrecht vereinbar ist</i>".<br /><br /><b>c)</b> Aus der Sicht des Rechtshilferechts schlussfolgert das BJ u.a. Folgendes: "<i>Der Abschluss eines Executive Agreements würde damit zu einem Paradigmenwechsel im Bereich der internationalen Strafrechtskooperation führen: Erstmals würde ein schweizerischer Privater direkt an einem ausländischen Strafverfahren mitwirken, ohne dass dafür ein schweizerisches Verfahren oder wenigstens eine Bewilligung im Einzelfall vorliegt. Diese neue Form der Zusammenarbeit hätte Auswirkungen auf verschiedene Garantien und Prinzipien, welche im Recht der internationalen Rechtshilfe in Strafsachen gelten. Insbesondere betroffen wären die verfassungsmässigen Garantien des rechtlichen Gehörs und des Zugangs zu einem Gericht in der Schweiz, da die von der Datenherausgabe betroffene Person </i>(...) <i>keine Kenntnis von der Bekanntgabe mehr erlangen würde und dagegen folglich auch keine Beschwerde erheben könnte</i>" . (...) "<i>Auch mit Blick auf die Vereinbarkeit mit den Prinzipien des Rechtshilferechts wirft der CLOUD Act also grosse Fragen auf und scheint schwer mit dem übergeordneten schweizerischen Recht vereinbar zu sein</i>". <br /><br /><b>Next Steps:</b> Das Gutachten des BJ soll als Grundlage zur Diskussion mit unterschiedlichen Stakeholdern dienen. Anschliessend wird das BJ dem Generalsekretariat des EJPD einen Antrag zum weiterem Vorgehen "<i>in Sachen US CLOUD Act im Speziellen und "E-Evidence" generell</i>" unterbreiten. <br /><b><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-47299235013718249642021-09-13T19:15:00.002+02:002021-09-13T19:19:55.394+02:00Europäischer Datenschutzbeauftragter (EDSB/EDPS) veröffentlicht Stellungnahme zur Revision der EU-Richtlinie über Verbraucherkreditverträge (directive on consumer credits)<div style="text-align: justify;">Im Rahmen der Beratungen zur <a href="https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3242">Revision der EU-Richtlinie über Verbraucherkreditverträge (2008/48/EG) </a>hat der <a href="https://edps.europa.eu/_en">europäische Datenschutzbeauftragte (EDSB/EDPS)</a> seine Stellungnahme abgegeben: <a href="https://edps.europa.eu/system/files/2021-08/opinion_consumercredit-final_en.pdf">Opinion 11/2021 on the Proposal for a Directive on consumer credits</a>. Darin äussert er sich vor allem zu datenschutzrechtlichen Aspekten bei der Kreditprüfung und hält u.a. folgendes fest:<br /></div><br />Die Digitalisierung im EU Consumer Credit Sector (EU-Verbraucherkreditmarkt) ziehe gemäss EDPS einen zusätzlichen Schutzbedarf für die Persönlichkeitsrechte der betroffenen Personen (Kreditnehmer) nach sich, insbesondere in den Bereichen der <i>Peer-to-Peer Lending Platforms</i>, <i>Online Sales</i>, S<i>hort-Term High-Cost Loans</i> und <i>Automated Decision-Making for Credit Scoring</i>. Der EDPS <i>empfiehlt</i> in diesem Zusammenhang u.a. folgende Anpassungen der vorgenannten EU-Richtlinie:<br /><br /><b>(i)</b> Von der Verarbeitung besonderer Kategorien personenbezogener Daten (<a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e2066-1-1">Art. 9 DSGVO</a>) solle gänzlich abgesehen werden.<br /><br /><b>(ii)</b> Auf die Auswertung von <i>Search Queries</i> oder das Herauslesen von <i>Online Browsing Activities</i> der Kreditnehmer solle ebenfalls verzichtet werden.<br /><br /><b>(iii)</b> Dem Kreditnehmer solle im Voraus mitgeteilt werden, welche externen Quellen (Datenbanken, Auskunfteien) beigezogen würden, welche Betroffenenrechte er ausüben könne und an welche Kontaktperson er sich hierfür wenden könne.<br /><br /><b>(iv)</b> Der Grundsatz der Datenrichtigkeit bzw. - qualität spiele eine wichtige Rolle und müsse mit angemessenen technischen/organisatorischen Massnahmen (TOM) sichergestellt werden.<br /><br /><b>(v)</b> Für Profiling oder andere automatisierte Bearbeitungen solle nicht nur eine <i>Human Intervention </i>vorgesehen, sondern ein offenbar weitergehendes <i>Assessment</i> durch den Kreditgeber durchgeführt werden.<br /><br /><b>(vi) </b>Diejenigen Kategorien personenbezogener Daten, welche als Parameter für die Erstellung einer <i>personal offer</i> verwendet werden sollen, müssten begrenzt, klar umschrieben und zusammen mit der verwendeten Logik offengelegt werden.<br /><br /><b>(vii)</b> Personenbezogene Daten, welche im Zusammenhang mit der Prüfung der Kreditwürdigkeit bearbeitet werden, sollen nicht für Werbe- und Marketingzwecke verwendet werden dürfen.<br /><br /><b>(viii) </b>Die vorliegenden Überlegungen sollen im Rahmen des laufenden Rechtsetzungsverfahrens zum <a href="http://www.lawblogswitzerland.ch/2021/05/eu-ki-eu-kommission-veroffentlicht.html">EU Artificial Intelligence Act</a>, insbesondere bei der Zertifizierung von KI-Systemen, berücksichtigt und koordiniert werden.<br /><br /><b>(ix)</b> Schliesslich ist der EDPS der Meinung, das EU-Datenschutzrecht übe eine komplementäre Rolle zum EU-Konsumentenschutzrecht aus; auf welche Rechtsgrundlage sich diese Aussage stützen soll, wird jedoch nicht erwähnt.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-33066508264745527012021-08-16T20:22:00.010+02:002021-08-16T20:40:47.768+02:00Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) gibt weitere Guidance im Zusammenhang mit der Bekanntgabe von Personendaten in die USA<div style="text-align: justify;">Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 4. August 2021 seine <a href="https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2021/Memorandum%20SEC.pdf.download.pdf/Memorandum%20SEC.pdf">Stellungnahme</a> zur Bekanntgabe von Personendaten an die US-Börsenaufsichtsbehörde (Securities and Exchange Commission; SEC).<br /></div><br />Darin geht der EDÖB insbesondere auf <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_6">Art. 6 Abs. 2 lit. b-d DSG</a> ein und zeigt damit Alternativen zur Abstützung einer Bekanntgabe von Personendaten auf vertragliche Garantien gemäss Art. 6 Abs. 2 lit. a DSG (und den damit zusammenhängenden Diskussionen zum <a href="http://www.lawblogswitzerland.ch/2021/02/schrems-ii-empfehlungen-stellungnahmen.html">Impact des Schrems II-Urteils</a>) am oben genannten Einzelfall auf. <br /><br />Konkret legt der EDÖB u.a. folgende Grundlagen für eine Bekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau aus: <br /> <b><br />(i) Datenschutzrechtliche Einwilligung (Art. 6 Abs. 2 lit. b DSG): </b>Diese müsse freiwillig sowie informiert sein und könne einzeln oder mittels AGB abgegeben werden. Die Freiwilligkeit sei nur bei einem schweren Nachteil als Folge der verweigerten Einwilligung zu verneinen, d.h. wenn (a) zwischen dem Nachteil und der Datenbearbeitung kein Zusammenhang bestehe oder (b) wenn der Nachteil im Hinblick auf den Bearbeitungszweck unverhältnismässig sei.<br /><br /><b>(ii) Abschluss/Abwicklung eines Vertrags (Art. 6 Abs. 2 lit. c DSG): </b>Solange die Bekanntgabe typisch sei oder im Erwartungshorizont der betroffenen Vertragspartei liege, müsse sie nicht objektiv zwingend für den Abschluss/Abwicklung der Vertragsleistung sein. Dies könne auch für eine Bekanntgabe nach einer allfälligen Vertragskündigung gelten.<br /><br /><b>(iii) Arbeitsvertrag (Art. 328b OR i.V.m. Art. 6 Abs. 2 lit. c DSG):</b> Sofern die Bekanntgabe für die Wahrung der rechtlichen Verpflichtungen des Arbeitgebers nötig sei, könne dies unter die arbeitsrechtliche Zweckbindung von <a href="https://www.fedlex.admin.ch/eli/cc/27/317_321_377/de#art_328_b">Art. 328b OR </a>fallen und damit als Abwicklung des Arbeitsvertrags gelten - auch nach einer erfolgten Kündigung.<br /><br /><b>(iv) Überwiegendes öffentliches Interesse (Art. 6 Abs. 2 lit. d DSG)</b>: Wenn die Bekanntgabe unregelmässig, unvorhersehbar sowie zu öffentlichen Zwecken wie z.B. Betrugs- oder Geldwäschereibekämpfung erfolge, könne sie auf ein überwiegendes öffentliches Interesse abgestützt werden.<br /><br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><b>Michal Cichocki</b></a><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-56575925283771912392021-07-31T16:38:00.003+02:002021-07-31T16:38:54.015+02:00 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Tätigkeitsbericht 2020/21<div style="text-align: justify;">Am 29. Juni 2021 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seinen <a href="https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/28--taetigkeitsbericht-2020-2021.html">28. Tätigkeitsbericht</a>, welcher den Zeitraum zwischen 1. April 2020 und 31. März 2021 abdeckt. Im Abschnitt „Datenschutz“ geht der EDÖB u.a. auf folgende Themenbereiche ein:<br /></div><p><b>a) Programm Nationale Datenbewirtschaftung: </b>Die Datenbewirtschaftung der öffentlichen Hand soll durch die Mehrfachnutzung von Daten einfacher und effizienter werden. Aus Sicht des EDÖBs berge dies „<i>erhebliche datenschutzrechtliche Risiken</i>“. So sei insbesondere sicherzustellen, dass das "Once-Only"-Prinzip nicht dazu führe, den Kreis von Zugriffsberechtigten zu erweitern. Weiter müsse zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten dürfe. Zudem sei klar zwischen Datenbearbeitungen zu statistischen Zwecken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus müsse transparent ersichtlich sein, wie die Datenerhebung, die weitere Datenbearbeitung und die Zugriffsmöglichkeiten geregelt seien (vgl. S. 19). <br /><b><br />b) eGovernment:</b> Mit Blick auf das totalrevidierte Datenschutzgesetz (DSG), das voraussichtlich ab Mitte kommenden Jahres anwendbar sein wird, bereitet der EDÖB „<i>die Einführung von zwei Online-Meldeportalen für die vom neuen DSG vorgesehenen Meldungen von Datenverlusten und Bekanntgaben von Datenschutzberaterinnen und -beratern vor</i>“ (vgl. S. 21).<br /><br /><b>c) Zulässigkeit von Background Checks im Bewerbungsverfahren:</b> Ausgedehnte Personensicherheitsprüfungen seien in Bereichen, in denen Arbeitnehmende Zugang zu sensiblen Informationen haben i.d.R. verhältnismässig und damit zulässig. Dies sei z.B. im Banken- oder Sicherheitssektor der Fall. Unabhängig davon sei der Arbeitgeber aufgrund des Transparenzgebots verpflichtet, die betroffene Person über den Background Check und die dabei erfolgenden Datenbearbeitungen und Auswertungen zu informieren (vgl. S. 47).<br /><br /><b>d) Weitergabe von Mitgliederdaten an Sponsoren: </b>Der EDÖB untersuchte die Frage, ob es für Vereine zulässig sei, einen höheren Mitgliederbeitrag von denjenigen Mitgliedern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Dabei kam er u.a. zum Schluss, dass Vereine „<i>ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben</i>“ dürfen und „<i>wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden</i>“. Gemäss EDÖB könne dann von einem unverhältnismässigen Nachteil ausgegangen werden, wenn "<i>die Erhöhung des Beitrags so hoch ist, dass sich die betroffenen Personen praktisch gezwungen fühlen, der Datenbekanntgabe zuzustimmen</i>" (vgl. S. 51). </p><p>Im Zusammenhang mit der Weitergabe von Personendaten kennt das geltende sowie künftige DSG grundsätzlich kein Einwilligungserfordernis. Solange die Weitergabe gegenüber den betroffenen Personen (i.c. den Vereinsmitgliedern) transparent gemacht worden ist, muss weder eine Einwilligung noch ein anderer Rechtfertigungsgrund geltend gemacht werden - es sei denn, bei den weitergegebenen Daten handelt es sich um besonders schützenswerte Personendaten oder Persönlichkeitsprofile (vgl. <a href="https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#art_12">Art. 12 Abs. 2 lit. c DSG</a>). Damit ist auch der Teilaspekt des „<i>unverhältnismässigen Nachteils</i>“ als vermeintliche Voraussetzung für eine freiwillige Einwilligung vorliegend irrelevant. Er müsste ohnehin im Rahmen der Privatrechtsautonomie bzw. Vereinsfreiheit und nicht nur isoliert aus der Sicht des DSG geprüft werden.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-89885348793943884092021-06-27T19:02:00.004+02:002021-06-27T19:07:53.855+02:00Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzgesetz (E-VDSG) veröffentlicht<div style="text-align: justify;">Der Bundesrat veröffentlichte am vergangenen Mittwoch, 23. Juni 2021, den <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/vorentw.pdf">Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzgesetz (E-VDSG)</a>, den dazugehörigen <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/vn-ber.pdf">erläuternden Bericht</a>, eine <a href="https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/vergleichstabelle.pdf">Vergleichstabelle (E-VDSG – VDSG – nDSG) </a>sowie eine <a href="https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-84103.html">Medienmitteilung</a>.<br /></div><br />Die E-VDSG konkretisiert die Vorgaben des totalrevidierten DSG in folgenden Bereichen:<br />- Datensicherheit (Art. 1 - 5 E-VDSG)<br />- Bearbeitung durch Auftragsbearbeiter (Art. 6 & 7 E-VDSG)<br />- Bekanntgabe von Personendaten ins Ausland (Art. 8 - 12 E-VDSG)<br />- Pflichten des Verantwortlichen und des Auftragsbearbeiters (Art. 13 - 19 E-VDSG)<br />- Rechte der betroffenen Person (Art. 20 - 24 E-VDSG)<br />- Besondere Bestimmungen zur Datenbearbeitung durch private Personen (Art. 25 & 26 E-VDSG)<br />- Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane (Art. 27 - 36 E-VDSG)<br />- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (Art. 37 - 45 E-VDSG)<br />- Schlussbestimmungen (Art. 46 - 48 E-VDSG)<br /><br />Die E-VDSG bleibt der Mechanik des schweizerischen Datenschutzrechts treu und sieht nach wie vor ein sog. risikobasiertes Vorgehen vor. Dies zeigt sich unter anderem bei den Vorgaben zur Datensicherheit: Die für die Sicherheit zuständigen Fachstellen des jeweiligen Unternehmens bzw. Bundesorgans (i.d.R. IT-Security - nicht der Datenschutzberater bzw. - beauftragte) definieren und überprüfen periodisch in Anwendung eines risikobasierten Vorgehens angemessene technische/organisatorische Massnahmen (TOM) zur Einhaltung der jeweiligen Schutzziele (Art. 2 E-VDSG, vgl. auch Protokollierung und Bearbeitungsreglemente gem. Art. 3 ff E-VDSG). <br /><br />Für die Beurteilung der Angemessenheit der definierten TOM gibt die E-VDSG den genannten Fachstellen folgende Kriterien vor: Zweck, Art, Umfang und Umstände der Datenbearbeitung; Stand der Technik; Implementierungskosten und insbesondere die Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenziellen Auswirkungen für die betroffenen Personen (vgl. Art. 1 Abs. 1 lit. a - b E-VDSG).<br /><br />Ferner hält der erläuternde Bericht hierzu folgendes fest: <br /><blockquote><div><i>"Da bereits im Gesetz der Ansatz einer risikobasierten Datensicherheit verfolgt wird und sich keine allgemeingültigen Mindestanforderungen für jegliche Branchen festlegen lassen, wurde im E-VDSG auf ein starres Regime von Mindestanforderungen verzichtet. Der Ansatz des E-VDSG beruht vielmehr darauf, dass es in erster Linie in der Verantwortung des Verantwortlichen liegt, die im Einzelfall notwendigen Massnahmen zu bestimmen und zu ergreifen. Diese sind stark einzelfallbezogen und abhängig vom jeweiligen Risiko zu bestimmen. So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bearbeitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kunden- oder Lieferantendaten in einer Bäckerei oder Metzgerei </i>(...)<i>"<br /><br /></i></div><i>"</i>(...) <i>An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Datensicherheit </i>(...)<i> auch eine Verletzung der Mindestanforderungen </i>(...) <i>und somit eine Verletzung der Sorgfaltspflichten (...) darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Verantwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkreten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt" </i>(vgl. 4.1.1 Erläuternder Bericht)<i>.</i><br /></blockquote><div style="text-align: justify;">Diese Mechanik muss folgerichtig auch für die Auslandsbekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau gelten (vgl. Art. 16 ff nDSG und Art. 8 ff E-VDSG). In diesem Zusammenhang dürfte der Fokus ebenfalls auf der Definition sowie Durchsetzung nicht rechtlicher, sondern angemessener technischer/organisatorischer Massnahmen (TOM) liegen, welche die Datensicherheit wahren und insbesondere <a href="http://www.lawblogswitzerland.ch/2021/02/schrems-ii-empfehlungen-stellungnahmen.html">„unzulässige", ausländische Behördenzugriffe mit an Sicherheit grenzender Wahrscheinlichkeit verhindern</a> sollen.<br /><br />Next Steps: Mit der Veröffentlichung der oben genannten Dokumente erfolgte zeitgleich der Startschuss für das öffentliche <a href="https://www.blogger.com/#">Vernehmlassungsverfahren</a> zur E-VDSG, welches bis 14. Oktober 2021 dauert. Die E-VDSG soll zusammen mit dem totalrevidierten DSG in der zweiten Jahreshälfte 2022 in Kraft treten.<br /><a href="http://www.lawblogswitzerland.ch/p/blog-page.html"><br /><b>Michal Cichocki</b></a></div><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-2938605423862469682021-05-30T15:29:00.002+02:002021-05-30T15:30:31.383+02:00Europäischer Datenschutzbeauftragter (EDPS/EDSB) und die Agencia Española de Protección de Datos (AEPD) veröffentlichen eine gemeinsame Stellungnahme zu Anonymisierung<div style="text-align: justify;">Ende April 2021 veröffentlichten der Europäische Datenschutzbeauftragte (EDPS/EDSB) zusammen mit der spanischen Datenschutzaufsichtsbehörde (Agencia Española de Protección de Datos - AEPD) eine <a href="https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anonymisation_en_5.pdf">gemeinsame Stellungnahme</a> zum Themenbereich Anonymisierung (von Personendaten gemäss EU DSGVO).<br /></div><p>Darin halten die erwähnten Behörden u.a. folgende Definitionen im Zusammenhang mit „Anonymisierung“ fest:</p><p><b>(i)</b> Anonymous data is “<i>information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable</i>”.<br /><br /><b>(ii)</b> <i>Datasets which include personal data may contain direct and indirect identifiers, which allow an individual to be identified or become identifiable. </i><br /><br /><b>(iii)</b><i> A direct identifier is specific information that references to an individual, such as name or an identification number. </i><br /><br /><b>(iv)</b> <i>An indirect identifier (also called quasi-identifier) is any piece of information (e.g. a geographical position in a certain moment or an opinion about a certain topic) that could be used, either individually or in combination with other quasi-identifiers, by someone that has knowledge about that individual with the purpose of re-identifying an individual in the dataset.</i><br /><br /><b>(v)</b><i> The re-identification likelihood is the probability in a given dataset of re-identifying an individual, by turning anonymised data back into personal data through the use of data matching or similar techniques. </i><br /><br />Ferner gehen der EDPS/EDSB und die AEPD in ihrer <a href="https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anonymisation_en_5.pdf">gemeinsamen Stellungnahme </a>auf folgende „top ten misunderstandings“ zur Anonymisierung ein:<br /><br /><i><b>Misunderstanding 1</b>: Pseudonymisation is the same as anonymisation. <b>Fact:</b> Pseudonymisation is not the same as anonymisation.<br /><br /><b>Misunderstanding 2:</b> Encryption is anonymisation. <b>Fact:</b> Encryption is not an anonymisation technique, but it can be a powerful pseudonymisation tool.<br /><br /><b>Misunderstanding 3: </b>Anonymisation of data is always possible. <b>Fact:</b> It is not always possible to lower the re-identification risk below a previously defined threshold whilst retaining a useful dataset for a specific processing.<br /><br /><b>Misunderstanding 4: </b>Anonymisation is forever. <b>Fact: </b>There is a risk that some anonymisation processes could be reverted in the future. Circumstances might change over time and new technical developments and the availability of additional information might compromise previous anonymisation processes.<br /><b><br />Misunderstanding 5:</b> Anonymisation always reduces the probability of re-identification of a dataset to zero. <b>Fact: </b>The anonymisation process and the way it is implemented will have a direct influence on the likelihood of re-identification risks.<br /><b><br />Misunderstanding 6: </b>Anonymisation is a binary concept that cannot be measured. <b>Fact: </b>It is possible to analyse and measure the degree of anonymization.<br /><b><br />Misunderstanding 7: </b>Anonymisation can be fully automated. <b>Fact:</b> Automated tools can be used during the anonymisation process, however, given the importance of the context in the overall process assessment, human expert intervention is needed.<br /><b><br />Misunderstanding 8:</b> Anonymisation makes the data useless. <b>Fact: </b>A proper anonymisation process keeps the data functional for a given purpose.<br /><b><br />Misunderstanding 9:</b> Following an anonymisation process that others used successfully will lead our organisation to equivalent results. <b>Fact:</b> Anonymisation processes need to be tailored to the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons.<br /><b><br />Misunderstanding 10:</b> There is no risk and no interest in finding out to whom this data refers to. <b>Fact: </b>Personal data has a value in itself, for the individuals themselves and for third parties. Re-identification of an individual could have a serious impact for his rights and freedoms.</i><br /><br />Weitergehende Erläuterungen zu den einzelnen misunderstandings sind <a href="https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anonymisation_en_5.pdf">hier</a> abrufbar.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-42125429903733498052021-05-02T18:25:00.004+02:002021-05-02T18:32:38.651+02:00EU & KI: EU-Kommission veröffentlicht Entwurf zum Artificial Intelligence Act<div style="text-align: justify;">Am 21. April 2021 veröffentlichte die EU-Kommission ihren Entwurf eines Legal Frameworks zur Regulierung von Künstlicher Intelligenz (KI): <a href="https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence-artificial-intelligence">Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)</a>. <br /></div><br />Damit sollen die (Grund)Rechte der betroffenen Personen sowie Unternehmen gewahrt und gleichzeitig ein zukunftsgerichtetes Legal Framework für die Entwicklung von KI und generell von Innovation in der EU geschaffen werden. Dies könnte auch für die <b>Schweiz</b> relevant sein; im Entwurf ist mindestens derzeit folgender Anknüpfungspunkt zu finden: „(…) <a href="https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=75788"><i>this Regulation should also apply to providers and users of AI systems that are established in a third country, to the extent the output produced by those systems is used in the Union</i></a>“.<br /><br />Der Entwurf sieht u.a. einen risikobasierten Regulierungsansatz vor. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, welche sich insbesondere an bestimmten Verwendungszwecken und damit zusammenhängenden Risiken orientieren: <b>unacceptable risk</b>, <b>high-risk</b>, <b>limited risk</b> und <b>minimal risk</b>. Je nach Risikokategorie sind die Voraussetzungen an KI-Systeme strenger bzw. weniger streng:<br /><br /><b>1) Unacceptable risk:</b> Für Zwecke, die eine Gefahr für "<i>the safety, livelihoods and rights of people</i>" darstellen, sollen KI-Systeme nicht genutzt werden dürfen. Darunter fallen "<i>AI systems or applications that manipulate human behaviour to circumvent users' free will (e.g. toys using voice assistance encouraging dangerous behaviour of minors) and systems that allow ‘social scoring' by governments</i>“.<br /><br /><b>2) High-risk:</b> KI-Systeme, welche zu den <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled">nachfolgenden Zwecken</a> genutzt werden, sollen unter die Kategorie high-risk<b> </b>fallen:<br />a) <i>Critical infrastructures (e.g. transport), that could put the life and health of citizens at risk</i><br />b) <i>Educational or vocational training, that may determine the access to education and professional course of someone's life (e.g. scoring of exams)</i><br />c) <i>Safety components of products (e.g. AI application in robot-assisted surgery)</i><br />d) <i>Employment, workers management and access to self-employment (e.g. CV-sorting software for recruitment procedures)</i><br />e)<i> Essential private and public services (e.g. credit scoring denying citizens opportunity to obtain a loan)</i><br />f) <i>Law enforcement that may interfere with people's fundamental rights (e.g. evaluation of the reliability of evidence)</i><br />g) <i>Migration, asylum and border control management (e.g. verification of authenticity of travel documents)</i><br />h) <i>Administration of justice and democratic processes (e.g. applying the law to a concrete set of facts) </i><br />i) <i>In particular, all remote biometric identification systems are considered high risk and subject to strict requirements</i><br /><br />Bevor KI-Systeme der Risikokategorie <b>high-risk</b> genutzt werden dürfen, sollen folgende <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>Voraussetzungen</b></a> erfüllt werden:<br />i) <i>Adequate risk assessment and mitigation systems</i><br />ii) <i>High quality of the datasets feeding the system to minimise risks and discriminatory outcomes</i><br />iii)<i> Logging of activity to ensure traceability of results</i> <br />iv) <i>Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance</i><br />v)<i> Clear and adequate information to the user</i><br />vi) <i>Appropriate human oversight measures to minimise risk</i><br />vii) <i>High level of robustness, security and accuracy</i><br /><br /><b>3) Limited risk:</b> „(…) <i>specific <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>transparency</b></a> obligations: When using AI systems such as chatbots, users should be aware that they are interacting with a machine so they can take an informed decision to continue or step back</i>". <br /><br /><b>4) Minimal risk:</b> „(…)<i> allows the <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>free</b></a> use of applications such as AI-enabled video games or spam filters. The vast majority of AI systems fall into this category. The draft Regulation does <a href="https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682?cookies=disabled"><b>not intervene here</b></a>, as these AI systems represent only minimal or no risk for citizens' rights or safety</i>".<br /><br />Schliesslich sieht der Entwurf vor, dass u.a. die oben genannten Voraussetzungen direkt anwendbar sein und entlang eines <a href="https://digital-strategy.ec.europa.eu/en/library/coordinated-plan-artificial-intelligence-2021-review">Coordinated Plan on AI</a> mit weiteren Regulierungsinitiativen der EU (z.B. <a href="https://ec.europa.eu/docsroom/documents/45508?cookies=disabled">new machinery regulation</a>, European green deal) abgestimmt werden sollen. Das EU-Parlament und die EU-Mitgliedsstaaten werden nun über den vorliegenden Entwurf beraten.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-13919766197681670542021-04-18T17:45:00.003+02:002021-04-18T17:52:10.362+02:00EDÖB: Vorgehen bei Datenabflüssen bei Sozialen Netzwerken<div style="text-align: justify;">Im Zuge der öffentlich bekannt gewordenen <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1677761427">Data Leaks bzw. Breaches bei Facebook, LinkedIn und Clubhouse sowie anderen Sozialen Netzwerken</a>, veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 13.04.2021 das nachfolgende <a href="https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1677761427">Vorgehen</a> „<i>um festzustellen, ob man betroffen ist und um sich zu schützen</i>“:<br /></div><br />1. Feststellen, ob man betroffen ist mittels Identity Leak Checker Tools wie z.B. <a href="https://sec.hpi.de/ilc/">Identity Leak Checker des Hasso-Plattner-Instituts</a> oder <a href="https://haveibeenpwned.com">https://haveibeenpwned.com</a><br />2. Instruktionen von Seiten der Betreiber der Sozialen Netzwerke befolgen <br />3. Passwort ändern<br />4. Zahlungsmittel überwachen und gegebenenfalls sperren<br />5. Erhöhte Vorsicht bei Anzeichen auf Missbrauch der geleakten Daten, insbesondere bei E-Mails und SMS von unbekannten Absendern<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-23627223258183317192021-04-11T18:30:00.001+02:002021-04-11T19:07:27.217+02:00EU & KI: Entwurf einer Regulierung für Künstliche Intelligenz für Q2/2021 vorgesehen<div style="text-align: justify;">Seit geraumer Zeit wird in der EU an einem Legal Framework für die Entwicklung und Nutzung von Technologien, die als <a href="https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=56341">Künstliche Intelligenz (K.I.)</a> bezeichnet werden, gearbeitet.<br /></div><p><br />Bereits 2019 hat die EU-Kommission <a href="https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=60419">„Ethics Guidelines“</a> zu K.I. veröffentlicht. Dabei handelt es sich im Wesentlichen um ein programmatisches Papier, das zur Einhaltung der (ohnehin verbindlichen) rechtlichen Vorgaben (wie z.B. DSGVO) aufruft, die schon heute auf K.I. anwendbar sind. 2020 folgten der <a href="https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=36608">„Report“</a> sowie das <a href="http://www.lawblogswitzerland.ch/2020/07/white-paper-zu-kunstlicher-intelligenz.html">„White Paper“</a> zu K.I.<br />Der <a href="https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=36608">„Report“</a> befasst sich vor allem mit Fragen zu „Safety and Liability“ von K.I. Er kommt zum Ergebnis, dass die Rechtsordnungen der EU-Mitgliedsstaaten bereits heute über eine Vielzahl an Rechtsgrundlagen verfügen, die auf K.I. anwendbar seien und den Themenbereich „Safety and Liability“ regulieren; Handlungsbedarf gäbe es jedoch insbesondere im Bereich der „Product Liability“. <br />Das <a href="http://www.lawblogswitzerland.ch/2020/07/white-paper-zu-kunstlicher-intelligenz.html">„White Paper“</a> ist ein Grundsatzpapier und dient als Basis zur Schaffung eines künftigen regulatorischen Rahmens für K.I. Es fokussiert dabei auf <a href="http://www.lawblogswitzerland.ch/2020/07/white-paper-zu-kunstlicher-intelligenz.html">K.I.-Anwendungen mit einem sog. „hohen Risiko“</a>.<br /><br />In der Folge bejahte das EU-Parlament einen Handlungsbedarf hinsichtlich der Regulierung von K.I. und veröffentlichte im Oktober 2020 seinerseits einen Bericht mit Empfehlungen an die EU-Kommission für einen <a href="https://www.europarl.europa.eu/doceo/document/A-9-2020-0186_DE.html#title1">„Rahmen für die ethischen Aspekte von Künstlicher Intelligenz, Robotik und damit zusammenhängenden Technologien“</a>.<br /><br />Der Ball liegt nun wieder bei der EU-Kommission. Sie wird einen neuerlichen Entwurf zu vermeintlich ethischen sowie rechtlichen Fragen im Zusammenhang mit K.I. im Q2/2021 vorlegen. Damit wird sich zeigen, ob der Paradigmenwechsel weg von einer technologieneutralen hin zu einer KI-spezifischen Regulierung sinnvoll und praktikabel sein wird - oder ob damit eine <a href="https://jusletter-it.weblaw.ch/en/issues/2021/25-Februar-2021/guidelines-fur-kunst_15796ce88e.html__ONCE&login=false">weitgehende Wiederholung bereits heute geltender (KI-unabhängiger) Rechtsgrundlagen</a> formuliert wird.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /></p><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.comtag:blogger.com,1999:blog-4885812537874311377.post-17067141684788365732021-04-04T17:26:00.004+02:002021-04-05T10:06:46.859+02:00Europarat veröffentlicht Leitlinien zu Gesichtserkennung (Guidelines on Facial Recognition)<div style="text-align: justify;">Ende Januar 2021 veröffentlichte der Europarat Leitlinien zu Gesichtserkennungstechnologien <a href="https://rm.coe.int/guidelines-on-facial-recognition/1680a134f3">(Guidelines on Facial Recognition)</a>. Diese Leitlinien beinhalten unterschiedliche (unverbindliche) Empfehlungen („a<i> set of reference measures</i>“), die sich an die <b>(i)</b> Gesetzgeber der Mitgliedsstaaten (wie z.B. die Schweiz), <b>(ii) </b>an Entwickler, Hersteller sowie Service Provider von Gesichtserkennungstechnologien sowie an deren <b>(iii) </b>Nutzer im privaten sowie öffentlichen Sektor richten. <br /></div><br />Sie bezwecken die Wahrung der „<i>human dignity, human rights and fundamental freedoms of any person, including the right to protection of personal data</i>“ im Sinne des <a href="http://www.lawblogswitzerland.ch/2019/12/bundesrat-botschaft-zur.html">Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz: Datenschutzkonvention oder Konvention Nr. 108)</a>.<br /><br />Die Bedeutung von Gesichtserkennung und damit der sachliche Anwendungsbereich der Leitlinien werden von Europarat wie folgt definiert: „<i>Facial recognition is the automatic processing of digital images containing individuals' faces for identification or verification of those individuals by using face templates</i>“.<br /><br />Hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt der Europarat unter anderem folgende Empfehlungen ab: <br /><br /><b>(a) Zweckbeschränkung</b><br />Der Europarat empfiehlt den Verzicht auf Gesichtserkennung für bestimmte Zwecke oder aber den Einsatz von technischen/organisatorischen Massnahmen (TOM) zur Verhinderung von Diskriminierungsrisiken:<br /><br />„<i>The use of facial recognition for the sole purpose of determining a person's skin colour, religious or other beliefs, sex, racial or ethnic origin, age, health condition or social condition should be prohibited unless appropriate safeguards are provided for by law to avoid any risk of discrimination</i>.“<br /><br />„<i>Similarly, affect recognition can also be carried out with facial recognition technologies to arguably detect personality traits, inner feelings, mental health or workers' engagement from face images. Linking recognition of affect, for instance, to hiring of staff, access to insurance, education may pose risks of great concern, both at the individual and societal levels and should be prohibited.</i>“<br /><br /><b>(b) Einwilligung</b><br />Anders als im schweizerischen DSG, ist z.B. unter dem Regime der EU DSGVO (vgl. <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE#d1e1906-1-1">Art 6 ff. </a>) für jede Bearbeitung von Personendaten ein konkreter Rechtsgrund („<i>Rechtmässigkeit der Verarbeitung</i>“) nötig. Der Europarat übernimmt die Logik der EU DSGVO und empfiehlt eine ausdrückliche Einwilligung als Voraussetzung für den Einsatz von Gesichtserkennungstechnologien (mit Personendaten) im privaten Sektor. Diese Einwilligung könne aber nicht durch ein blosses Durchqueren eines Bereiches, in welchem Gesichtserkennungstechnologien verwendet werden, erteilt werden. Für die Gesichtserkennung im öffentlichen Sektor sei eine Einwilligung dagegen grundsätzlich nicht geeignet; hier müssten andere Rechtsgründe verwendet werden. <br /><br />Diese Logik und die darauf beruhende Empfehlung ist mit dem schweizerischen DSG nicht kompatibel. Danach ist eine Einwilligung nicht nötig, in der Regel ist Transparenz ausreichend. <br /><br /><b>(c) Privacy by Design</b><br />Ferner seien im Zusammenhang mit Gesichtserkennung insbesondere die datenschutzrechtlichen Vorgaben der Zweckbindung, Datenminimierung, Speicherbeschränkung sowie Richtigkeit besonders wichtig. In Anwendung des Grundsatzes von „<i>Privacy by Design</i>“ sollen die vorgenannten Vorgaben in (nicht-rechtliche) Vorgaben für technische/organisatorische Massnahmen (TOM-Vorgaben) übersetzt und von Anfang an berücksichtigt werden. <br /><br /><b>(d) Transparenz</b><br />Gemäss Europarat komme im Zusammenhang mit Gesichtserkennung dem Grundsatz der Transparenz grösste Bedeutung zu. Konkret sollen die nachfolgenden Informationen im Rahmen von „<i>Privacy Policies</i>“ bzw. „<i>informational material regarding the </i>[facial recognition] <i>technologies</i>“ offengelegt werden:<br /><br /><i>i) Whether and to which extent facial recognition data can be transmitted to third parties (and where such is the case, information on the identity of the third-party contractual partners receiving the data in the course of providing the product or service);<br />ii) The retention, deletion or de-identification of facial recognition data;<br />iii) Contact points available for individuals to ask questions about the collection, use and<br />sharing of facial recognition data;<br />iv) When the collection, use and sharing practices change significantly, entities should update their privacy policy or publicise these changes in light of the context of the change and its impact on individuals.</i><br /><br />Diese spezifisch auf Gesichtserkennungstechnologien bezogenen Empfehlungen gehen über die Informationspflichten des DSG sowie der EU DSGVO hinaus und sind damit gesetzesüberschiessend.<br /><br /><b>(e) Ethical Framework</b><br />Schliesslich empfiehlt der Europarat die Berücksichtigung ethischer Aspekte bei der Gesichtserkennung:<br /><br />„<i>In addition to the respect of legal obligations, giving an ethical framework to the use of this technology is also crucial, in particular with regard to higher risks inherent to the uses of facial recognition technologies in certain sectors</i>“.<br /><br />Im Unterschied zu rechtlichen Vorgaben, handelt es sich bei ethischen Aspekten um die freiwillige Beschränkung des rechtlich zulässigen Maximums um insbesondere Reputationsrisiken zu mitigieren.<br /><br /><b><a href="http://www.lawblogswitzerland.ch/p/blog-page.html">Michal Cichocki</a></b><br /><div class="blogger-post-footer">http://www.lawblogswitzerland.ch</div>20130202http://www.blogger.com/profile/14467798160923821135noreply@blogger.com