Economiesuisse: Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht

Im Rahmen der extensiven Berichterstattung zu ChatGPT & Co haben zahlreiche Unternehmen und Verbände Dokumente mit entsprechenden Regulierungsvorschlägen publiziert. Der Dachverband der schweizerischen Wirtschaft, economiesuisse, hat nun ebenfalls ein Positionspapier zum regulatorischen Umgang mit Künstlicher Intelligenz (KI/AI) veröffentlicht.

Im Gegensatz zu anderen Publikationen beinhaltet das Positionspapier von economisuisse eine Art von Definition - "Was ist KI": Dabei ist einerseits von der Nachbildung von "kognitiven Fähigkeiten wie Lernen, Problemlösung und Entscheidungsfindung" die Rede. Andererseits stelle KI ein "interdisziplinäres Feld dar, das verschiedene Technologien wie maschinelles Lernen, neuronale Netze, natürliche Sprachverarbeitung und Robotik" umfasse. Vor allem handle es sich aber um im "Gegensatz zu herkömmlich automatisierten Prozessen nicht um vorprogrammierte Wenn-Dann-Schemata sondern um Algorithmen, welche sich selbstständig weiterentwickeln und somit lernen können".

KI im oben genannten Sinne solle gemäss economiesuisse mindestens derzeit nicht (spezifisch) reguliert werden; eine übereilte Regulierung würde negative Auswirkungen auf Innovation, Wettbewerb sowie die globale Zusammenarbeit haben und insbesondere KMU massiv belasten. Ferner sei das schwezierische Rechtssystem prinzipienbasiert und technologieneutral ausgestaltet, so dass viele Fragen im Zusammenhang mit KI bereits heute und ohne Anpassungen von Gesetzen (wie z.B. DSG, ZGB/Persönlichkeitsrechte, UWG, StGB) begegnet werden könne. Sollte sich dennoch eine Lücke ergeben, könne diese mittels gezielter Anpassung spezifischer Rechtsgrundlagen - analog DLT-Gesetzgebung - geschlossen werden; ein KI-spezifisches Gesetz wie in der EU lehnt economiesuisse folgerichtig ab.

Schliesslich formuliert das Positionspapier die nachfolgenden Empfehlungen im Zusammenhang mit KI:

1) Ethik: KI-Systeme sollen ethisch vertretbar sein.

2) Transparenz: Von KI-Systemen getroffene Entscheidungen müssen transparent und nachvollziehbar sein, damit sie verstanden und überprüft werden können. Das Datenschutzrecht enthält generelle und im Falle von automatisierten Entscheiden verschärfte Transparenzvorschriften [Hinweis: hier ist die Informationspflicht für automatisierte Einzelentscheidung gemäss Art. 21 revDSG gemeint. Diese ist jedoch ebenfalls technologieneutral und beinhaltet keine spezifische Transparenzpflicht für KI].

3) Wirtschaftsfreiheit: Die Regulierung von KI-Systemen hat das Prinzip der Wirtschafts- und insbesondere der Vertragsfreiheit zu respektieren.

4) Geistiges Eigentum: Das geistige Eigentum muss auf Basis der heute bestehenden Regeln ausreichend geschützt bleiben.

5) Haftung: Die Haftung für KI-Systeme ist zu überprüfen. Allenfalls könnten die vorhandenen Regelungen zur Produkthaftung dahingehend ergänzt werden, dass sie einen angemessenen Schutz der Nutzer von KI-Systemen gewährleisten und Verantwortlichkeiten klar definiert sind.

Michal Cichocki

Pur-Abo-Modelle: Deutsche Datenschutzkonferenz (DSK) veröffentlicht Beschluss

Die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) veröffentlichte am 29. März 2023 ihren Beschluss zur "Bewertung von Pur-Abo-Modellen auf Websites".

In diesem Beschluss ging es im Kern um die Beantwortung folgender Frage: Ist es zulässig, dass betroffene Personen für die Nutzung einer Webseite entweder ein Entgelt bezahlen (sog. Pur-Abo abschliessen) oder aber sich auf der Grundlage einer - sofern erforderlich - Einwilligung gemäss Art. 6 Abs. 1 lit. a DS-GVO "tracken" lassen (d.h. mit ihren personenbezogenen Daten "bezahlen")?

Im Grundsatz bejahte die DSK die datenschutzrechtliche Zulässigkeit von "Pur-Abo-Modellen auf Websites" mit folgenden Argumenten:

1. Grundsätzlich kann die Nachverfolgung des Nutzendenverhaltens (Tracking) auf eine Einwilligung gestützt werden, wenn alternativ ein trackingfreies Modell angeboten wird, auch wenn dies bezahlpflichtig ist. Die Leistung, die Nutzende bei einem Bezahlmodell erhalten, muss jedoch erstens eine gleichwertige Alternative zu der Leistung darstellen, die diese durch eine Einwilligung erlangen. Zweitens muss die Einwilligung alle in der Datenschutz-Grundverordnung (DS-GVO) normierten Wirksamkeitsvoraussetzungen, d. h. insbesondere die in Art. 4 Nr. 11 sowie Art. 7 DS-GVO aufgeführten Erfordernisse, erfüllen.

2. Ob die Bezahlmöglichkeit – also z. B. ein Monats-Abo – als eine gleichwertige Alternative zur Einwilligung in das Tracking zu betrachten ist, hängt insbesondere davon ab, ob den Nutzenden gegen ein marktübliches Entgelt ein gleichwertiger Zugang zu derselben Leistung eröffnet wird. Ein gleichwertiger Zugang liegt in der Regel vor, wenn die Angebote zumindest dem Grunde nach die gleiche Leistung umfassen.

3. Nehmen Nutzende das Angebot im Rahmen eines „trackingfreien“ Abonnements wahr und erteilen keine zusätzliche Einwilligung, dürfen gemäß § 25 Abs. 1 des 2 Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) nur Speicher- und Auslesevorgänge erfolgen, die für den von ihnen ausdrücklich gewünschten Telemediendienst unbedingt erforderlich sind. Nachfolgende Verarbeitungen personenbezogener Daten sind nur dann zulässig, wenn die Anforderungen der DS-GVO, insbesondere die gesetzlichen Erlaubnistatbestände gemäß Art. 6 Abs. 1 DS-GVO und, je nach Einzelfall, Art. 9 DS-GVO, erfüllt sind. Diesbezüglich wird auf die allgemeinen Ausführungen in der Orientierungshilfe der DSK für Anbieter von Telemedien (OH Telemedien 2021, Version 1.1) Bezug genommen.

4. Die Wirksamkeit von Einwilligungen von Nicht-Abonnentinnen und Nicht-Abonnenten ist bei den sogenannten Pur-Abo-Modellen sicherzustellen. Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.

5. Darüber hinaus müssen die Einwilligungen den sonstigen Anforderungen der DS-GVO gerecht werden, insbesondere auch jenen an Transparenz, Verständlichkeit und Information für die betroffenen Personen aus Art. 4 Nr. 11 und Art. 7 Abs. 2 DS-GVO (vgl. hierzu die Orientierungshilfe der DSK für Anbieter von Telemedien (OH Telemedien 2021, Version 1.1). 

Gemäss Geschäftsordnung der DSK stellen deren Beschlüsse "Positionen" dar, die die "Auslegung datenschutzrechtlicher Regelungen bzw. Empfehlungen betreffen". Somit stellt auch der vorliegende Beschluss zur "Bewertung von Pur-Abo-Modellen auf Websites" keine (zwingende) rechtliche Vorgabe, sondern eine Behördenmeinung dar.

Michal Cichocki

Guidelines zu Cloud Computing: Eine Übersicht

Cloud Computing bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher Cloud Guidelines. Diese beleuchten die Cloud aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens Cloud Rechnung; die Navigation durch den Cloud-Dschungel wird aufgrund der grossen Anzahl der Guidelines nicht einfacher.

Ausserdem fehlt eine Legaldefinition der Cloud. Ferner kann aus den technischen Definitionen der Cloud nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen Cloud oftmals um Service Provider Management handelt. Dies zieht immerhin die Anwendung gewisser Rechtsnormen nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren eigenständige Übersetzung in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben)

Die nachfolgende Übersicht soll einen Kompass durch den Cloud-Dschungel bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das jeweilige Cloud-Projekt:

Cloud Guidelines Schweiz
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Link
PRIVATIM: Link
Bundesverwaltung/Bundeskanzlei: Link
Schweizerische Bankiervereinigung (SBVg): Link
Verein Unternehmens-Datenschutz (VUD): Link
Kantonsverwaltung ZH/Regierungsratsbeschluss: Link

Cloud Guidelines EU
European Banking Authority (EBA): Link
European Securities and Markets Authority (ESMA): Link
Information Commissioner's Office UK (ICO): Link
National Cyber Security Centre UK (NCSC): Link
Commission Nationale de l'Informatique et des Libertés FR (CNIL): Link
Datenschutzkonferenz Deutschlands (DSK): Link
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): Link, Link und Link
European Data Protection Supervisor (EDPS): Link
European Data Protection Board (EDPB): Link

Cloud Guidelines restliche Welt
U.S. Department of Justice (DOJ): Link
U.S. National Institute of Standards and Technology (NIST): Link und Link
Hong Kong Monetary Authority (HKMA): Link
Canadian Centre for Cyber Security (CCCS): Link

Michal Cichocki

Tracking-Technologien: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) analysiert Handlungsbedarf

Gemäss Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 27. September 2022 wurde offenbar in den USA eine Klage gegen Oracle America Inc. im Zusammenhang mit dem Einsatz von Tracking-Technologien eingereicht. Gegen welche rechtlichen Voraussetzungen Oracle konkret verstossen haben soll, geht aus der Medienmitteilung nicht hervor. Stattdessen wird festgehalten, dass Oracle Tracking-Technologien unter anderem zur Erhebung sowie Auswertung einer Vielzahl von Internetnutzern zwecks Erstellung einer Datensammlung einsetze und dies "sogar geräteübergreifend".

Ferner wird festgehalten, dass der EDÖB die vorgenannte Klage zur Kenntnis genommen habe, diese und allfällige Auswirkungen auf die Schweiz analysiere. Ausserdem habe der EDÖB Oracle Software (Schweiz) GmbH angeschrieben und behalte sich vor, gegebenenfalls weitere Schritte einzuleiten.

Der EDÖB fokussiert laut erwähnter Medienmitteilung seine Analyse u.a. auf folgende Aspekte:

a) Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze der "Transparenz und der Verhältnismässigkeit".

b) "Erforderlichkeit einer ausdrücklichen Einwilligung für die Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten".

Der Fokus der Analyse des EDÖB ist in zweifacher Hinsicht überraschend:  

1) Vorab ist nicht primär das Datenschutzgesetz (DSG), sondern Art. 45c lit. b Fernmeldegesetz (FMG) für den Einsatz von Tracking-Technologien (d.h. einem Auslesen oder Übermitteln von Daten mittels fernmeldetechnischer Übertragung auf fremde Geräte) anwendbar. Bereits damit werden Transparenz (Information) sowie die Möglichkeit einer Ablehnung (sog. Opt-Out) technisch nicht notwendiger Trackings sichergestellt. Dies erfolgt unabhängig davon, ob Personendaten gemäss Art. 3 lit. a DSG bearbeitet werden oder nicht.

2) Falls im Rahmen eines Trackings Personendaten bearbeitet werden, also zwischen den fraglichen Daten ein Personenbezug ohne unverhältnismässig grossen Aufwand (sog. relative Methode) hergestellt werden kann, ist zusätzlich das DSG anwendbar. 

Im DSG gilt jedoch der Grundsatz der Erlaubnis mit Verbotsvorbehalt: Danach ist im Privatbereich weder eine datenschutzrechtliche Einwilligung noch ein anderer datenschutzrechtlicher Rechtfertigungsgrund als Voraussetzung für die Bearbeitung (z.B. Erstellung) von Personendaten erforderlich, sofern insbesondere die (i) Bearbeitungsgrundsätze (Art. 4 ff. DSG i.V.m. Art. 12 Abs. 2 lit. a DSG) eingehalten werden, (ii) keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile an echte Dritte bekanntgegeben werden (Art. 12 Abs. 2 lit. c DSG) und (iii) kein ausdrücklicher Widerspruch der betroffenen Person vorliegt (Art. 12 Abs. 2 lit. b DSG).

Folglich sieht das DSG keine Einwilligung für die Erstellung von Persönlichkeitsprofilen oder die Erhebung besonders schützenswerter Personendaten vor - weder im Zusammenhang mit Tracking-Technologien noch für andere Bearbeitungen.

Dieser Grundsatz gilt auch im totalrevidierten DSG, das am 01. September 2023 in Kraft tritt.

Michal Cichocki

Totalrevision des schweizerischen Datenschutzrechts (DSG/DSV/VDSZ) abgeschlossen: Überblick über Materialien und Auslegungs- sowie Umsetzungshilfen

Am 9. Dezember 2011 nahm die Totalrevision des schweizerischen Datenschutzrechts ihren Anfang. Fast elf Jahre später wurden die Rechtsetzungsarbeiten abgeschlossen: Der Bundesrat hat am 31. August 2022 das Inkrafttreten des neuen, totalrevidierten Datenschutzgesetzes (DSG) samt Ausführungsbestimmungen (Datenschutzverordnung DSV und Verordnung über Datenschutzzertifizierungen VDSZ) per 01. September 2023 beschlossen.

Zu dieser Totalrevision gibt es mittlerweile eine Vielzahl von Publikationen; die nachfolgende Übersicht über Materialien und Auslegungs- sowie Umsetzungshilfen soll als Orientierungshilfe dienen. Sie ist eine Auswahl ohne Anspruch auf Vollständigkeit:

(i) Aktuelles Bundesgesetz über den Datenschutz (DSG)

Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 (Stand 1. März 2019)

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23. März 1988

Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19. Februar 2003

Erläuterungen des EDÖB zu den Änderungen vom 17. Dezember 2004 und vom 24. März 2006 des Bundesgesetzes über den Datenschutz (DSG) (ohne Datum)

(ii) Aktuelle Verordnung zum Bundesgesetz über den Datenschutz (VDSG)

Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993 (Stand am 16. Oktober 2012)

Kommentar des Bundesamts für Justiz zur VDSG vom 1. Januar 2008 (VDSG) (ohne Datum)

(iii) Neues, totalrevidiertes Datenschutzgesetz (DSG)

Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020

Botschaft über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15. September 2017

FAQ Datenschutzrecht des BJ vom 01. September 2022

Bericht der Begleitgruppe Revision DSG des BJ: Normkonzept zur Revision des Datenschutzgesetzes vom 29. Oktober 2014

Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 05. Juni 2020

Parlamentarische Beratungen zum Entwurf DSG: Link 1 und Link 2 (2017-2020)

Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9. Februar 2021

Totalrevision des Datenschutzgesetzes (DSG): Übersicht des BJ zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane vom 02. September 2022

(iv) Neue Datenschutzverordnung (DSV)

Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Erläuternder Bericht zur Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Bericht über das Ergebnis des Vernehmlassungsverfahrens: Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 31. August 2022

Vergleichstabelle des BJ zum E-VDSG – VDSG – nDSG vom 23. Juni 2021

Gegenüberstellung DSV - E-VDSG - VDSG von Hannes Meyle und Anne-Sophie Morand mit David Vasella vom 31. August 2022

(v) Neue Verordnung über Datenschutzzertifizierungen (VDSZ)

Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

Erläuternder Bericht zur Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

(vi) Aufsätze

David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27. November 2017

David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020

David Rosenthal, Rohstoff zum revidierten Datenschutzgesetz, verfasst für den Verein Unternehmens-Datenschutz (VUD), 18. April 2020

David Rosenthal, Seraina Gubler, Die Strafbestimmungen des neuen DSG, in: SZW/RSDA 1/2021

David Vasella, Umsetzung des revidierten DSG (Stand 17.07.2022)

Michal Cichocki

Dark Patterns: Vernehmlassung zu Guidelines des Europäischen Datenschutzausschusses (EDSA) abgeschlossen

Im Mai 2022 wurde die öffentliche Vernehmlassung zu den Draft Guidelines „on dark patterns in social media platform interfaces: how to recognise and avoid them“ des Europäischen Datenschutzausschusses (EDSA) abgeschlossen.

In diesen Draft Guidelines befasst sich der EDSA mit der Frage, wann eine gezielte Beeinflussung von Nutzern auf Social Media Plattformen durch den Einsatz von grafischen Benutzerschnittstellen (GUI) sowie User Experiences (UX) zur Preisgabe zusätzlicher Personendaten noch zulässig sei und wann diese Schwelle überschritten werde.

Der EDSA ist der Auffassung, dass von einer unzulässigen Beeinflussung durch dark patterns bereits dann gesprochen werden könne, wenn das Design von GUI und UX den Nutzer zu einer "unbeabsichtigten, ungewollten sowie potenziell schädlichen Entscheidung" hinsichtlich der Verarbeitung seiner personenbezogenen Daten verleite.

Zur Konkretisierung dieser generell-abstrakten Formel werden in den Draft Guidelines verschiedene Anwendungsfälle (dark pattern categories), Beeinflussungsmittel (dark pattern types) sowie Beispiele behandelt.

Das folgende Beispiel fällt gemäss EDSA unter die dark pattern category „overloading” sowie den dark pattern type „continuous prompting“ und sei bereits unzulässig: „In the first step of the sign-up process, users are required to choose between different options for their registration. They can either provide an email address or a phone number. When users choose the email address, the social media provider still tries to convince users to provide the phone number, by declaring that it will be used for account security, without providing alternatives on the data that could be or was already provided by the users. Concretely, several windows pop up throughout the sign-up process with a field for the phone number, along with the explanation “We’ll use your [phone] number for account security”. Although users can close the window, they get overloaded and give up by providing their phone number“ (vgl. S. 14 Draft Guidelines).

Weiter werden folgende fünf dark pattern categories in den Draft Guidelines beschrieben (vgl. S. 7 f.):

Skipping: designing the interface or user experience in a way that the users forget or do not think about all or some of the data protection aspects.

Stirring: affects the choice users would make by appealing to their emotions or using visual nudges.

Hindering: an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.

Fickle: the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing.

Left in the dark: an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.

Des Weiteren führen die Draft Guidelines verschiedene DSGVO-Bestimmungen auf, die durch den Einsatz von dark patterns betroffen sein könnten: u.a. die Verarbeitungsgrundsätze (Art. 5 DSGVO), Einwilligungsbedingungen (Art. 4 Abs. 11 i.V.m. Art. 7 DSGVO), Betroffenenrechte (Art. 12 ff. DSGVO) sowie Privacy by Design and Default (Art. 25 DSGVO).

Im Rahmen der öffentlichen Vernehmlassung hat der EDSA sechsundzwanzig Eingaben verschiedener Stakeholder entgegengenommen. In diesem Zusammenhang wurde u.a. vorgebracht, dass der Begriff „Social Media Plattformen“ nicht definiert und damit der Anwendungsbereich der Guidelines unklar sei oder die Annahmen betreffend Erwartungen der Nutzer nicht „evidence-based and research-supported“ seien („as one example, the draft guidelines imply that humour easily distracts users, and that users would not expect account deletion functionalities on the bottom page of account settings“).

Next steps: Der EDSA wird die Vernehmlassungseingaben einarbeiten und die finale Version der Guidelines voraussichtlich im zweiten Halbjahr 2022 veröffentlichen.

Michal Cichocki

Europäischer Datenschutzbeauftragter (EDPS) sowie Europäischer Datenschutzausschuss (EDPB) veröffentlichen ihre Tätigkeitsberichte für 2021

Diesen Monat haben der Europäische Datenschutzbeauftragte (EDPS) sowie der Europäische Datenschutzausschuss (EDPB) ihre Tätigkeitsberichte für das Jahr 2021 veröffentlicht:

Der Europäische Datenschutzbeauftragte (EDPS)
i) Annual Report 2021
ii) Executive Summary 2021
iii) Factsheet

Der Europäische Datenschutzausschuss (EDPB)
i) Annual Report 2021
ii) Executive Summary 2021

Rückblick: Sowohl der EDPS wie auch der EDPB haben 2021 eine Vielzahl an Guidances publiziert:

Der EDPS hat in seiner Eigenschaft als Datenschutzexperte der EU-Kommission u.a. folgende Stellungnahmen („opinions“) veröffentlicht bzw. verabschiedet:
i) Opinion on the Digital Services Act (DSA) 10/02/2021
ii) Opinion on the Digital Markets Act (DMA) 10/02/2021
iii) Opinion on cybersecurity 11/03/2021
iv) Opinion on distributed ledger technology 23/04/2021
v) Opinion on digital operational resilience for the financial sector (DORA) 10/05/2021
vi) Proposal for a regulation on markets in crypto-assets (MICA) 25/06/2021
vii) Proposal for a Directive on consumer credits 26/08/2021
viii) AML package 21/09/2021

Der EDPB hat im Rahmen seiner Kompetenz zur Sicherstellung der Rechtsklarheit bzw. einheitlichen Anwendung der EU DSGVO u.a. folgende sog. Allgemeine Anleitungen („general guidance“) vorgelegt:
i) Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications
ii) Guidelines 07/2020 on the concepts of controller and processor in the GDPR
iii) Guidelines 8/2020 on the targeting of social media users
iv) Guidelines 01/2021 on examples regarding data breach notification
v) Guidelines 02/2021 on virtual voice assistants
vi) Guidelines 04/2021 on codes of conduct as tools for transfers
vii) Guidelines 05/2021 on the interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V of the GDPR
viii) Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
ix) Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
x) Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions

Schliesslich haben der EDPB sowie der EDPS sog. gemeinsame Stellungnahmen („joint opinions“) veröffentlicht:
i) EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors
ii) EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries
iii) EDPB-EDPS Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act)
iv) EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

Michal Cichocki

Deutsche Datenschutzkonferenz (DSK): Orientierungshilfe zu Direktwerbung veröffentlicht

Die deutsche Datenschutzkonferenz (DSK) veröffentlichte am 18. Februar 2022 ihre Orientierungshilfe „zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)".

In diesem Zusammenhang wird der Begriff der „Werbung“ weit verstanden: Darunter fällt „jede Äusserung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschliesslich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern" (vgl. Art. 2 lit. a der EU-Richtlinie 2006/114/EG). Innerhalb dieser Definition gilt "die unmittelbare Ansprache der Zielperson” als Direktwerbung. Letztere kann in unterschiedlicher Form erfolgen, "z.B. postalisch, per E-Mail, Telefon, Fax oder SMS.”

Anders als unter dem Regime des schweizerischen Datenschutzgesetzes (Grundsatz der Erlaubnis mit Verbotsvorbehalt), muss sich eine Datenverarbeitung im Anwendungsbereich der EU DSGVO stets auf eine Rechtsgrundlage (vgl. Art. 6 EU DSGVO) abstützen - hier gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt.

Die Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung stützt sich regelmässig auf Art. 6 Abs. 1 lit. f DSGVO ("Wahrung berechtigter Interessen des Verantwortlichen”). Dazu enthält die Orientierungshilfe zahlreiche Ausführungen: Danach müssen die Interessen des datenschutzrechtlich Verantwortlichen sowie der betroffenen Person im Einzelfall gegeneinander abgewogen werden. Dabei spielen die "vernünftigen Erwartungen" der betroffenen Person eine Rolle. Die DSK ist, wie immer, streng und vertritt die Meinung, dass die (stets subjektiv gefärbte) Erwartung der betroffenen Person nicht durch die Pflichtinformationen (vgl. Art. 13 ff. EU DSGVO) "erweitert" werden könne. Dies hätte zur Folge, dass der Verarbeitung bestimmter, "objektiv vernünftigerweise nicht erwartbarer" Formen der Direktwerbung die Abstützung auf das berechtigte Interesse des Verantwortlichen verwehrt bliebe - trotz einer transparenten, verständlichen Orientierung darüber.

Ferner legt die DSK ihre Auffassung zur Interessenabwägung folgender "Grobkategorien" im Zusammenhang mit Direktwerbung dar (vgl. Ziff. 1.3.2 Orientierungshilfe):

i) Zusendung von Werbung nach Bestellung ohne Selektion oder nach Selektion ohne zusätzlichen
Erkenntnisgewinn (ohne Profiling): In dieser "Grobkategorie" fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus.

ii) Zusendung von Werbung nach Bestellung und Selektion (Profiling): Hier scheint sich die DSK am Profiling als "Vorleistung" für gezielte Werbung zu stören, weswegen die Interessenabwägung in der Regel zu Gunsten der betroffenen Person (und nicht des Verantwortlichen) ausfallen solle.

iii) Ansprache per Telefonanruf, E- Mail, Fax etc.: Die DSK verknüpft das Schicksal der datenschutzrechtlichen Interessenabwägung in Bezug auf die Auswahl des Kontaktmittels mit dessen Zulässigkeit gemäss (deutschem) UWG. Danach führe ein Verstoss gegen das (deutsche) UWG „automatisch“ zum Verlust des berechtigten Interesses gemäss DSGVO an der Datenbearbeitung durch den Verantwortlichen.

iv) Nutzen der E-Mail-Adressen von Bestandskunden: In dieser "Grobkategorie” fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus, sofern auch hier das deutsche UWG eingehalten werde.

v) Nutzen von Telefonnummern: Im B2C-Bereich fällt hier die Interessenabwägung gemäss DSK zu Gunsten der betroffenen Person, d.h. des Konsumenten, aus. Demnach sei Art. 7 Abs. 1 DSGVO i.V.m. 7a UWG anwendbar, weswegen eine ausdrückliche Einwilligung der betroffenen Person eingeholt werden müsse. Im B2B-Bereich, d.h. gegenüber "professionellen" Marktteilnehmern, geht die DSK von deren "mutmasslicher Einwilligung“ aus, wobei für den Anruf ein konkreter und aus dem Interessenbereich des Anzurufenden herzuleitender Grund vorliegen müsse (dies könne z. B. ein geschäftlicher Vorkontakt sein).

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB): Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO zur öffentlichen Konsultation publiziert

Am 28. Januar 2022 veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) seine Guidelines 01/2022 zum Auskunftsrecht gemäss Art. 15 DSGVO (Guidelines 01/2022 on data subject rights - right of access) in der Version 1.0. Dabei handelt es sich um eine Version für die öffentliche Konsultation, die bis 11. März 2022 dauert.

Die Guidelines 01/2022 beinhalten ein Executive Summary und gehen im Hauptteil auf folgende Themenbereiche ein:

1) Introduction - general observations
2) Aim of the right of access, structure of Article 15 GDPR and general principles
3) General considerations regarding the assessment of access requests
4) Scope of the right of access and the personal data and information to which it refers
5) How can a controller provide access?
6) Limits and restrictions of the right of access

Der EDSA hält in den oben genannten Guidelines u.a. folgende Aussagen bzw. Klarstellungen fest:

a) Zweck: Mit dem Auskunftsrecht soll die Einhaltung (nur) datenschutzrechtlicher Vorgaben überprüft werden können:

„The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification
(...)
The controller will have to deal with the request unless  it is clear that the request is made under other rules than data protection rules" (vgl. S. 2).

b) Abgrenzung: Das Auskunftsrecht gemäss DSGVO ist von vergleichbaren nicht-datenschutzrechtlichen Ansprüchen abzugrenzen:

„The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice“ (vgl. S. 2).

In der schweizerischen Rechtsordnung wären z.B. die nicht-datenschutzrechtlichen Ansprüche nach Art. 400 OR (Rechenschaftspflicht des Beauftragten) sowie nach Art. 72 FIDLEG (Herausgabe von Dokumenten) vom Auskunftsrecht gemäss Art. 8 DSG bzw. Art. 25 revDSG abzugrenzen.

c) Kein absoluter Anspruch/Einschränkungen: Das Auskunftsrecht stellt keinen absoluten Anspruch dar; folgende Einschränkungsgründe müssen berücksichtigt werden:

„The right of access is subject to the limits that result from Art. 15(4) GDPR (rights and freedoms of others) and Art. 12 (5) GDPR (manifestly unfounded or excessive requests). Furthermore, Union or Member State law may restrict the right of access in accordance with Art. 23 GDPR. Derogations regarding the processing of personal data for scientific, historical research or statistical purposes or archiving purposes in the public interest can be based on Art. 89(2) and Art. 89(3) GDPR accordingly and for processing carried out for journalistic purposes or the purpose of academic artistic or literary expression on Art. 85(2) GDPR“ (vgl. S. 49)

d) Abwicklung: Der Anhang der Guidelines 01/2022 enthält mehrere Flussdiagramme mit einem möglichen Vorgehen für die Abwicklung von eingegangenen Auskunftsgesuchen. Dabei wird zwischen folgenden Schritten unterschieden:

Step 1: How to interpret and assess the request?
Step 2: How to answer the request?
Step 3: Checking limits and restrictions

Die vorliegenden Guidelines geben die Auffassung des EDSA wieder; es handelt sich dabei insbesondere um „allgemeine Leitlinien“ um „Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen“ zu fördern. Sie beziehen sich ausschliesslich auf die DSGVO und nicht auf das schweizerische Datenschutzgesetz (DSG).

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Guidelines zu Art. 23 EU DSGVO (Beschränkungen von Rechten und Pflichten)

Im Nachgang zur öffentlichen Konsultation veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) am 13. Oktober 2021 seine Guidelines zu Art. 23 EU DSGVO in der Version 2.0 (Guidelines 10/2020 on restrictions under Article 23 GDPR).

Art. 23 EU DSGVO sieht die Möglichkeit vor, dass die EU Mitgliedsstaaten die Rechte und Pflichten gemäss Art. 12 bis 22 EU DSGVO (Rechte der betroffenen Personen) sowie Art. 34 EU DSGVO (Benachrichtigung bei Data Braches) und Art. 5 EU DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) unter bestimmten Voraussetzungen beschränken können.

Diese Voraussetzungen hat der EDSA mit der oben erwähnten Guideline aktualisiert und wie folgt zusammengefasst (vgl. Conclusion/Kapitel 8):

a) Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State. 


b) Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions. 


c) The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects. 


d) SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR. 
 

e) Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.

Unter Kapitel 9 wurde ausserdem eine Checkliste mit dem Titel „Article 23 GDPR in a nutshell“ publiziert.

Michal Cichocki

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Tätigkeitsbericht 2020/21

Am 29. Juni 2021 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seinen 28. Tätigkeitsbericht, welcher den Zeitraum zwischen 1. April 2020 und 31. März 2021 abdeckt. Im Abschnitt „Datenschutz“ geht der EDÖB u.a. auf folgende Themenbereiche ein:

a) Programm Nationale Datenbewirtschaftung: Die Datenbewirtschaftung der öffentlichen Hand soll durch die Mehrfachnutzung von Daten einfacher und effizienter werden. Aus Sicht des EDÖBs berge dies „erhebliche datenschutzrechtliche Risiken“. So sei insbesondere sicherzustellen, dass das "Once-Only"-Prinzip nicht dazu führe, den Kreis von Zugriffsberechtigten zu erweitern. Weiter müsse zwingend geregelt werden, wer welche Daten zu welchem Zweck bearbeiten dürfe. Zudem sei klar zwischen Datenbearbeitungen zu statistischen Zwecken und solchen zu anderen Zwecken zu unterscheiden. Darüber hinaus müsse transparent ersichtlich sein, wie die Datenerhebung, die weitere Datenbearbeitung und die Zugriffsmöglichkeiten geregelt seien (vgl. S. 19).

b) eGovernment: Mit Blick auf das totalrevidierte Datenschutzgesetz (DSG), das voraussichtlich ab Mitte kommenden Jahres anwendbar sein wird, bereitet der EDÖB „die Einführung von zwei Online-Meldeportalen für die vom neuen DSG vorgesehenen Meldungen von Datenverlusten und Bekanntgaben von Datenschutzberaterinnen und -beratern vor“ (vgl. S. 21).

c) Zulässigkeit von Background Checks im Bewerbungsverfahren: Ausgedehnte Personensicherheitsprüfungen seien in Bereichen, in denen Arbeitnehmende Zugang zu sensiblen Informationen haben i.d.R. verhältnismässig und damit zulässig. Dies sei z.B. im Banken- oder Sicherheitssektor der Fall. Unabhängig davon sei der Arbeitgeber aufgrund des Transparenzgebots verpflichtet, die betroffene Person über den Background Check und die dabei erfolgenden Datenbearbeitungen und Auswertungen zu informieren (vgl. S. 47).

d) Weitergabe von Mitgliederdaten an Sponsoren: Der EDÖB untersuchte die Frage, ob es für Vereine zulässig sei, einen höheren Mitgliederbeitrag von denjenigen Mitgliedern zu erheben, die der Weitergabe ihrer Daten widersprochen haben. Dabei kam er u.a. zum Schluss, dass Vereine „ohne die gültige Einwilligung der betroffenen Personen keine Daten an Sponsoren weitergeben“ dürfen und „wenn die Zustimmung in Form eines Opt-out erfolgt, ist es unerlässlich, dass die Mitglieder eine einfache Möglichkeit haben, der Weitergabe ihrer Daten zu widersprechen, ohne dadurch einen unverhältnismässigen Nachteil zu erleiden“. Gemäss EDÖB könne dann von einem unverhältnismässigen Nachteil ausgegangen werden, wenn "die Erhöhung des Beitrags so hoch ist, dass sich die betroffenen Personen praktisch gezwungen fühlen, der Datenbekanntgabe zuzustimmen" (vgl. S. 51).

Im Zusammenhang mit der Weitergabe von Personendaten kennt das geltende sowie künftige DSG grundsätzlich kein Einwilligungserfordernis. Solange die Weitergabe gegenüber den betroffenen Personen (i.c. den Vereinsmitgliedern) transparent gemacht worden ist, muss weder eine Einwilligung noch ein anderer Rechtfertigungsgrund geltend gemacht werden - es sei denn, bei den weitergegebenen Daten handelt es sich um besonders schützenswerte Personendaten oder Persönlichkeitsprofile (vgl. Art. 12 Abs. 2 lit. c DSG). Damit ist auch der Teilaspekt des „unverhältnismässigen Nachteils“ als vermeintliche Voraussetzung für eine freiwillige Einwilligung vorliegend irrelevant. Er müsste ohnehin im Rahmen der Privatrechtsautonomie bzw. Vereinsfreiheit und nicht nur isoliert aus der Sicht des DSG geprüft werden.

Michal Cichocki

Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzgesetz (E-VDSG) veröffentlicht

Der Bundesrat veröffentlichte am vergangenen Mittwoch, 23. Juni 2021, den Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzgesetz (E-VDSG), den dazugehörigen erläuternden Bericht, eine Vergleichstabelle (E-VDSG – VDSG – nDSG) sowie eine Medienmitteilung.

Die E-VDSG konkretisiert die Vorgaben des totalrevidierten DSG in folgenden Bereichen:
- Datensicherheit (Art. 1 - 5 E-VDSG)
- Bearbeitung durch Auftragsbearbeiter (Art. 6 & 7 E-VDSG)
- Bekanntgabe von Personendaten ins Ausland (Art. 8 - 12 E-VDSG)
- Pflichten des Verantwortlichen und des Auftragsbearbeiters (Art. 13 - 19 E-VDSG)
- Rechte der betroffenen Person (Art. 20 - 24 E-VDSG)
- Besondere Bestimmungen zur Datenbearbeitung durch private Personen (Art. 25 & 26 E-VDSG)
- Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane (Art. 27 - 36 E-VDSG)
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (Art. 37 - 45 E-VDSG)
- Schlussbestimmungen (Art. 46 - 48 E-VDSG)

Die E-VDSG bleibt der Mechanik des schweizerischen Datenschutzrechts treu und sieht nach wie vor ein sog. risikobasiertes Vorgehen vor. Dies zeigt sich unter anderem bei den Vorgaben zur Datensicherheit: Die für die Sicherheit zuständigen Fachstellen des jeweiligen Unternehmens bzw. Bundesorgans (i.d.R. IT-Security - nicht der Datenschutzberater bzw. - beauftragte) definieren und überprüfen periodisch in Anwendung eines risikobasierten Vorgehens angemessene technische/organisatorische Massnahmen (TOM) zur Einhaltung der jeweiligen Schutzziele (Art. 2 E-VDSG, vgl. auch Protokollierung und Bearbeitungsreglemente gem. Art. 3 ff E-VDSG).

Für die Beurteilung der Angemessenheit der definierten TOM gibt die E-VDSG den genannten Fachstellen folgende Kriterien vor: Zweck, Art, Umfang und Umstände der Datenbearbeitung; Stand der Technik; Implementierungskosten und insbesondere die Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenziellen Auswirkungen für die betroffenen Personen (vgl. Art. 1 Abs. 1 lit. a - b E-VDSG).

Ferner hält der erläuternde Bericht hierzu folgendes fest:

"Da bereits im Gesetz der Ansatz einer risikobasierten Datensicherheit verfolgt wird und sich keine allgemeingültigen Mindestanforderungen für jegliche Branchen festlegen lassen, wurde im E-VDSG auf ein starres Regime von Mindestanforderungen verzichtet. Der Ansatz des E-VDSG beruht vielmehr darauf, dass es in erster Linie in der Verantwortung des Verantwortlichen liegt, die im Einzelfall notwendigen Massnahmen zu bestimmen und zu ergreifen. Diese sind stark einzelfallbezogen und abhängig vom jeweiligen Risiko zu bestimmen. So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bearbeitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kunden- oder Lieferantendaten in einer Bäckerei oder Metzgerei (...)"

"(...) An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Datensicherheit (...) auch eine Verletzung der Mindestanforderungen (...) und somit eine Verletzung der Sorgfaltspflichten (...) darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Verantwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkreten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt" (vgl. 4.1.1 Erläuternder Bericht).

Diese Mechanik muss folgerichtig auch für die Auslandsbekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau gelten (vgl. Art. 16 ff nDSG und Art. 8 ff E-VDSG). In diesem Zusammenhang dürfte der Fokus ebenfalls auf der Definition sowie Durchsetzung nicht rechtlicher, sondern angemessener technischer/organisatorischer Massnahmen (TOM) liegen, welche die Datensicherheit wahren und insbesondere „unzulässige", ausländische Behördenzugriffe mit an Sicherheit grenzender Wahrscheinlichkeit verhindern sollen.

Next Steps: Mit der Veröffentlichung der oben genannten Dokumente erfolgte zeitgleich der Startschuss für das öffentliche Vernehmlassungsverfahren zur E-VDSG, welches bis 14. Oktober 2021 dauert. Die E-VDSG soll zusammen mit dem totalrevidierten DSG in der zweiten Jahreshälfte 2022 in Kraft treten.

Michal Cichocki

Europäischer Datenschutzbeauftragter (EDPS/EDSB) und die Agencia Española de Protección de Datos (AEPD) veröffentlichen eine gemeinsame Stellungnahme zu Anonymisierung

Ende April 2021 veröffentlichten der Europäische Datenschutzbeauftragte (EDPS/EDSB) zusammen mit der spanischen Datenschutzaufsichtsbehörde (Agencia Española de Protección de Datos - AEPD) eine gemeinsame Stellungnahme zum Themenbereich Anonymisierung (von Personendaten gemäss EU DSGVO).

Darin halten die erwähnten Behörden u.a. folgende Definitionen im Zusammenhang mit „Anonymisierung“ fest:

(i) Anonymous data is “information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable”.

(ii) Datasets which include personal data may contain direct and indirect identifiers, which allow an individual to be identified or become identifiable.

(iii) A direct identifier is specific information that references to an individual, such as name or an identification number.

(iv) An indirect identifier (also called quasi-identifier) is any piece of information (e.g. a geographical position in a certain moment or an opinion about a certain topic) that could be used, either individually or in combination with other quasi-identifiers, by someone that has knowledge about that individual with the purpose of re-identifying an individual in the dataset.

(v) The re-identification likelihood is the probability in a given dataset of re-identifying an individual, by turning anonymised data back into personal data through the use of data matching or similar techniques.

Ferner gehen der EDPS/EDSB und die AEPD in ihrer gemeinsamen Stellungnahme auf folgende „top ten misunderstandings“ zur Anonymisierung ein:

Misunderstanding 1: Pseudonymisation is the same as anonymisation. Fact: Pseudonymisation is not the same as anonymisation.

Misunderstanding 2: Encryption is anonymisation. Fact: Encryption is not an anonymisation technique, but it can be a powerful pseudonymisation tool.

Misunderstanding 3: Anonymisation of data is always possible. Fact: It is not always possible to lower the re-identification risk below a previously defined threshold whilst retaining a useful dataset for a specific processing.

Misunderstanding 4: Anonymisation is forever. Fact: There is a risk that some anonymisation processes could be reverted in the future. Circumstances might change over time and new technical developments and the availability of additional information might compromise previous anonymisation processes.

Misunderstanding 5: Anonymisation always reduces the probability of re-identification of a dataset to zero. Fact: The anonymisation process and the way it is implemented will have a direct influence on the likelihood of re-identification risks.

Misunderstanding 6: Anonymisation is a binary concept that cannot be measured. Fact: It is possible to analyse and measure the degree of anonymization.

Misunderstanding 7: Anonymisation can be fully automated. Fact: Automated tools can be used during the anonymisation process, however, given the importance of the context in the overall process assessment, human expert intervention is needed.

Misunderstanding 8: Anonymisation makes the data useless. Fact: A proper anonymisation process keeps the data functional for a given purpose.

Misunderstanding 9: Following an anonymisation process that others used successfully will lead our organisation to equivalent results. Fact: Anonymisation processes need to be tailored to the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons.

Misunderstanding 10: There is no risk and no interest in finding out to whom this data refers to. Fact: Personal data has a value in itself, for the individuals themselves and for third parties. Re-identification of an individual could have a serious impact for his rights and freedoms.

Weitergehende Erläuterungen zu den einzelnen misunderstandings sind hier abrufbar.

Michal Cichocki

EU & KI: EU-Kommission veröffentlicht Entwurf zum Artificial Intelligence Act

Am 21. April 2021 veröffentlichte die EU-Kommission ihren Entwurf eines Legal Frameworks zur Regulierung von Künstlicher Intelligenz (KI): Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act).

Damit sollen die (Grund)Rechte der betroffenen Personen sowie Unternehmen gewahrt und gleichzeitig ein zukunftsgerichtetes Legal Framework für die Entwicklung von KI und generell von Innovation in der EU geschaffen werden. Dies könnte auch für die Schweiz relevant sein; im Entwurf ist mindestens derzeit folgender Anknüpfungspunkt zu finden: „(…) this Regulation should also apply to providers and users of AI systems that are established in a third country, to the extent the output produced by those systems is used in the Union“.

Der Entwurf sieht u.a. einen risikobasierten Regulierungsansatz vor. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, welche sich insbesondere an bestimmten Verwendungszwecken und damit zusammenhängenden Risiken orientieren: unacceptable risk, high-risk, limited risk und minimal risk. Je nach Risikokategorie sind die Voraussetzungen an KI-Systeme strenger bzw. weniger streng:

1) Unacceptable risk: Für Zwecke, die eine Gefahr für "the safety, livelihoods and rights of people" darstellen, sollen KI-Systeme nicht genutzt werden dürfen. Darunter fallen "AI systems or applications that manipulate human behaviour to circumvent users' free will (e.g. toys using voice assistance encouraging dangerous behaviour of minors) and systems that allow ‘social scoring' by governments“.

2) High-risk: KI-Systeme, welche zu den nachfolgenden Zwecken genutzt werden, sollen unter die Kategorie high-risk fallen:
a) Critical infrastructures (e.g. transport), that could put the life and health of citizens at risk
b) Educational or vocational training, that may determine the access to education and professional course of someone's life (e.g. scoring of exams)
c) Safety components of products (e.g. AI application in robot-assisted surgery)
d) Employment, workers management and access to self-employment (e.g. CV-sorting software for recruitment procedures)
e) Essential private and public services (e.g. credit scoring denying citizens opportunity to obtain a loan)
f) Law enforcement that may interfere with people's fundamental rights (e.g. evaluation of the reliability of evidence)
g) Migration, asylum and border control management (e.g. verification of authenticity of travel documents)
h) Administration of justice and democratic processes (e.g. applying the law to a concrete set of facts)
i) In particular, all remote biometric identification systems are considered high risk and subject to strict requirements

Bevor KI-Systeme der Risikokategorie high-risk genutzt werden dürfen, sollen folgende Voraussetzungen erfüllt werden:
i) Adequate risk assessment and mitigation systems
ii) High quality of the datasets feeding the system to minimise risks and discriminatory outcomes
iii) Logging of activity to ensure traceability of results
iv) Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance
v) Clear and adequate information to the user
vi) Appropriate human oversight measures to minimise risk
vii) High level of robustness, security and accuracy

3) Limited risk: „(…) specific transparency obligations: When using AI systems such as chatbots, users should be aware that they are interacting with a machine so they can take an informed decision to continue or step back".

4) Minimal risk: „(…) allows the free use of applications such as AI-enabled video games or spam filters. The vast majority of AI systems fall into this category. The draft Regulation does not intervene here, as these AI systems represent only minimal or no risk for citizens' rights or safety".

Schliesslich sieht der Entwurf vor, dass u.a. die oben genannten Voraussetzungen direkt anwendbar sein und entlang eines Coordinated Plan on AI mit weiteren Regulierungsinitiativen der EU (z.B. new machinery regulation, European green deal) abgestimmt werden sollen. Das EU-Parlament und die EU-Mitgliedsstaaten werden nun über den vorliegenden Entwurf beraten.

Michal Cichocki

EDÖB: Vorgehen bei Datenabflüssen bei Sozialen Netzwerken

Im Zuge der öffentlich bekannt gewordenen Data Leaks bzw. Breaches bei Facebook, LinkedIn und Clubhouse sowie anderen Sozialen Netzwerken, veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 13.04.2021 das nachfolgende Vorgehen „um festzustellen, ob man betroffen ist und um sich zu schützen“:

1. Feststellen, ob man betroffen ist mittels Identity Leak Checker Tools wie z.B. Identity Leak Checker des Hasso-Plattner-Instituts oder https://haveibeenpwned.com
2. Instruktionen von Seiten der Betreiber der Sozialen Netzwerke befolgen
3. Passwort ändern
4. Zahlungsmittel überwachen und gegebenenfalls sperren
5. Erhöhte Vorsicht bei Anzeichen auf Missbrauch der geleakten Daten, insbesondere bei E-Mails und SMS von unbekannten Absendern

Michal Cichocki

Europarat veröffentlicht Leitlinien zu Gesichtserkennung (Guidelines on Facial Recognition)

Ende Januar 2021 veröffentlichte der Europarat Leitlinien zu Gesichtserkennungstechnologien (Guidelines on Facial Recognition). Diese Leitlinien beinhalten unterschiedliche (unverbindliche) Empfehlungen („a set of reference measures“), die sich an die (i) Gesetzgeber der Mitgliedsstaaten (wie z.B. die Schweiz), (ii) an Entwickler, Hersteller sowie Service Provider von Gesichtserkennungstechnologien sowie an deren (iii) Nutzer im privaten sowie öffentlichen Sektor richten.

Sie bezwecken die Wahrung der „human dignity, human rights and fundamental freedoms of any person, including the right to protection of personal data“ im Sinne des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz: Datenschutzkonvention oder Konvention Nr. 108).

Die Bedeutung von Gesichtserkennung und damit der sachliche Anwendungsbereich der Leitlinien werden von Europarat wie folgt definiert: „Facial recognition is the automatic processing of digital images containing individuals' faces for identification or verification of those individuals by using face templates“.

Hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt der Europarat unter anderem folgende Empfehlungen ab:

(a) Zweckbeschränkung
Der Europarat empfiehlt den Verzicht auf Gesichtserkennung für bestimmte Zwecke oder aber den Einsatz von technischen/organisatorischen Massnahmen (TOM) zur Verhinderung von Diskriminierungsrisiken:

„The use of facial recognition for the sole purpose of determining a person's skin colour, religious or other beliefs, sex, racial or ethnic origin, age, health condition or social condition should be prohibited unless appropriate safeguards are provided for by law to avoid any risk of discrimination.“

„Similarly, affect recognition can also be carried out with facial recognition technologies to arguably detect personality traits, inner feelings, mental health or workers' engagement from face images. Linking recognition of affect, for instance, to hiring of staff, access to insurance, education may pose risks of great concern, both at the individual and societal levels and should be prohibited.“

(b) Einwilligung
Anders als im schweizerischen DSG, ist z.B. unter dem Regime der EU DSGVO (vgl. Art 6 ff. ) für jede Bearbeitung von Personendaten ein konkreter Rechtsgrund („Rechtmässigkeit der Verarbeitung“) nötig. Der Europarat übernimmt die Logik der EU DSGVO und empfiehlt eine ausdrückliche Einwilligung als Voraussetzung für den Einsatz von Gesichtserkennungstechnologien (mit Personendaten) im privaten Sektor. Diese Einwilligung könne aber nicht durch ein blosses Durchqueren eines Bereiches, in welchem Gesichtserkennungstechnologien verwendet werden, erteilt werden. Für die Gesichtserkennung im öffentlichen Sektor sei eine Einwilligung dagegen grundsätzlich nicht geeignet; hier müssten andere Rechtsgründe verwendet werden.

Diese Logik und die darauf beruhende Empfehlung ist mit dem schweizerischen DSG nicht kompatibel. Danach ist eine Einwilligung nicht nötig, in der Regel ist Transparenz ausreichend.

(c) Privacy by Design
Ferner seien im Zusammenhang mit Gesichtserkennung insbesondere die datenschutzrechtlichen Vorgaben der Zweckbindung, Datenminimierung, Speicherbeschränkung sowie Richtigkeit besonders wichtig. In Anwendung des Grundsatzes von „Privacy by Design“ sollen die vorgenannten Vorgaben in (nicht-rechtliche) Vorgaben für technische/organisatorische Massnahmen (TOM-Vorgaben) übersetzt und von Anfang an berücksichtigt werden.

(d) Transparenz
Gemäss Europarat komme im Zusammenhang mit Gesichtserkennung dem Grundsatz der Transparenz grösste Bedeutung zu. Konkret sollen die nachfolgenden Informationen im Rahmen von „Privacy Policies“ bzw. „informational material regarding the [facial recognition] technologies“ offengelegt werden:

i) Whether and to which extent facial recognition data can be transmitted to third parties (and where such is the case, information on the identity of the third-party contractual partners receiving the data in the course of providing the product or service);
ii) The retention, deletion or de-identification of facial recognition data;
iii) Contact points available for individuals to ask questions about the collection, use and
sharing of facial recognition data;
iv) When the collection, use and sharing practices change significantly, entities should update their privacy policy or publicise these changes in light of the context of the change and its impact on individuals.

Diese spezifisch auf Gesichtserkennungstechnologien bezogenen Empfehlungen gehen über die Informationspflichten des DSG sowie der EU DSGVO hinaus und sind damit gesetzesüberschiessend.

(e) Ethical Framework
Schliesslich empfiehlt der Europarat die Berücksichtigung ethischer Aspekte bei der Gesichtserkennung:

„In addition to the respect of legal obligations, giving an ethical framework to the use of this technology is also crucial, in particular with regard to higher risks inherent to the uses of facial recognition technologies in certain sectors“.

Im Unterschied zu rechtlichen Vorgaben, handelt es sich bei ethischen Aspekten um die freiwillige Beschränkung des rechtlich zulässigen Maximums um insbesondere Reputationsrisiken zu mitigieren.

Michal Cichocki

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Leitfaden mit den wichtigsten Neuerungen des totalrevidierten Datenschutzgesetzes (revDSG)

Am 5. März 2021 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) einen Leitfaden ("Das neue Datenschutzgesetz aus Sicht des EDÖB"; datiert vom 9. Februar 2021), worin er „auf die wichtigsten Neuerungen“ des totalrevidierten Datenschutzgesetzes (revDSG) für die Privatwirtschaft und die Bundesbehörden eingeht.

Zur Vorgeschichte und den Zielen der (Total)Revision des Datenschutzgesetzes hält der EDÖB u.a. folgendes fest:

„Nebst der Stärkung der Rechte der betroffenen Personen hebt der Bundesrat in seiner Botschaft den sog. risikobasierten Ansatz als Leitlinien der Revision hervor. (…) Hohe Risiken und die zu deren Beseitigung oder Minderung getroffenen organisatorischen und technischen Massnahmen [TOM] sind zu dokumentieren“.

„Sodann fördert das revidierte DSG auch die Selbstregulierung, indem die Mitglieder von Branchen, die einen verbindlichen Verhaltenskodex erlassen, von gewissen Pflichten entbunden werden“.

„Trotz dieser Anlehnung an das europäische Recht entspricht das neue DSG der schweizerischen Rechtstradition, indem es einen hohen Abstraktionsgrad ausweist und technologieneutral formuliert ist“.

„Die Erneuerung des aus dem Jahre 2000 stammenden Anerkennungsbeschlusses der EU gegenüber der Schweiz wird für das Frühjahr 2021 erwartet“.

Ferner bezeichnet der EDÖB die nachfolgenden Themen als "wichtigste Neuerungen des totalrevidierten Datenschutzgesetzes" und erläutert rudimentär deren Regelungsinhalt:

- Nur noch Daten von natürlichen Personen
- Besonders schützenswerte Personendaten
- Privacy by Design und by Default
- Datenschutzberater und Datenschutzberaterinnen
- Datenschutz-Folgenabschätzung
- Verhaltenskodizes
- Zertifizierungen
- Verzeichnis der Bearbeitungstätigkeiten
- Bekanntgabe von Personendaten ins Ausland
- Ausgebaute Informationspflichten
- Auskunftsrecht der betroffenen Personen
- Meldepflicht bei Verletzungen der Datensicherheit
- Recht auf Datenportabilität
- Untersuchung aller Verstösse gegen Datenschutzvorschriften durch den EDÖB
- Verfügungen durch den EDÖB
- Konsultationen beim EDÖB
- Spontane Stellungnahmen und Information der Öffentlichkeit durch den EDÖB
- Gebühren für Dienstleistungen des EDÖBs
- Sanktionen

Michal Cichocki

Schrems II (C-311/18): Empfehlungen & Stellungnahmen verschiedener Datenschutzaufsichtsbehörden - eine Übersicht

Mit Urteil C-311/18 (Schrems II) vom 16. Juli 2020 erklärte der EuGH das EU-US Privacy Shield Framework für ungültig und stellte vermeintlich weitere Anforderungen an die Verwendung der Standardvertragsklauseln "SVK" (Standard Contractual Clauses „SCC“) für eine Bekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau sowie - vereinfacht gesagt - mit „unzulässigen“ ausländischen Behördenzugriffen und ohne hinreichenden Rechtsschutz.

Im Nachgang zu diesem Urteil haben verschiedene Datenschutzaufsichtsbehörden diverse Empfehlungen sowie Stellungnahmen veröffentlicht. Darin sollen Möglichkeiten aufgezeigt werden, wie die Bekanntgabe von Personendaten in die vorgenannten Staaten auch im Lichte von Schrems II rechtskonform erfolgen könne. 

In diesem Zusammenhang werden unterschiedliche Lösungsansätze diskutiert, unter anderem die (laufende) Beurteilung der gesamten Rechtsordnung eines Staates hinsichtlich „unzulässiger“ Behördenzugriffe sowie hinrechendem Rechtsschutz. Aus Praktikabilitätsgründen dürfte der Fokus stattdessen auf der Definition sowie Durchsetzung nicht rechtlicher, sondern angemessener technischer/organisatorischer Massnahmen (TOM) liegen, welche die „unzulässigen" ausländischen Behördenzugriffe mit hoher Wahrscheinlichkeit verhindern sollen.

Die nachfolgende Übersicht ist eine Auswahl ohne Anspruch auf Vollständigkeit:

(i) Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Positionspapier vom 08. September 2020

(ii) U.S. Department of Commerce (USDOC)
FAQ vom 20. August 2020 (vgl. Blogbeitrag vom 09. August 2020)

(iii) EU Kommission
Entwurf der überarbeiteten Fassung der Standardvertragsklauseln "SVK" / Standard Contractual Clauses "SCC" ohne Datum (vgl. Blogbeitrag vom 15. November 2020)

(iv) Europäischer Datenschutzausschuss (EDSA/EDPB)
Pressemitteilung vom 17. Juli 2020
FAQ vom 23. Juli 2020 (vgl. Blogbeitrag vom 26. Juli 2020)
Stellungnahme gemäss Art. 64 DSGVO zu BCRs vom 31. Juli 2020
Pressemitteilung zu SCC-Entwurf und Recomendation 1/2020 vom 20. November 2020
Gemeinsame Stellungnahme 1/2021 des EDSA/EDPB und EDSB/EDPS zu SCC für die Verarbeitung zwischen Verantwortlichen und Auftragsverarbeitern vom 14. Januar 2021
Gemeinsame Stellungnahme 2/2021 des EDSA/EDPB und EDSB/EDPS zu SCC für die Übermittlung personenbezogener Daten in Drittländer vom 14. Januar 2021
Pressemitteilung vom 15. Januar 2021

(v) Europäischer Datenschutzbeauftragter (EDSB/EDPS)
Erklärung vom 17. Juli 2020
Strategie für EU-Institutionen 29. Oktober 2020 (vgl. Blogbeitrag vom 2. Januar 2021)
Newsletter Nr. 84 vom 21. Dezember 2020
Gemeinsame Pressemitteilung EDSA/EDPB und EDSB/EDPS vom 15. Januar 2021

(vi) Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)
Pressemitteilung vom 28. Juli 2020
Pressemitteilung vom 26. November 2020 (vgl. Blogbeitrag vom 6. Dezember 2020)

(vii) Deutscher Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)
Pressemitteilung vom 24. Juli 2020
Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer vom 8. Oktober 2020
Stellungnahme zu den überarbeiteten SCC vom 15. Januar 2021

(viii) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? vom 24. August 2020 (aktualisiert am 7. September 2020)

(ix) Der Bayerische Landesbeauftragte für den Datenschutz
Pressemitteilung: Stärkung der Nutzer-Rechte: Microsoft ergänzt Standardvertragsklauseln vom 20. November 2020

(x) Österreichische Datenschutzbehörde
Stellungnahme vom August 2020 (aktualisiert im November 2020)

(xi) The UK's Information Commissioner’s Office (ICO)
Update vom 27. Juli 2020
Guidance: Datenschutz nach der Übergangsperiode (Brexit) ohne Datum

(xii) Commission Nationale de l'Informatique et des Libertés de France (CNIL)
Pressemitteilung vom 17. Juli 2020
Urteil des obersten Verwaltungsgerichts (Conseil d´État) vom 13. Oktober 2020

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Strategie 2021 bis 2023

Der Europäische Datenschutzausschuss (EDSA/EDPB) veröffentlichte Ende Dezember 2020 sein Strategiepapier für den Zeitraum 2021 bis 2023. Darin fokussiert er auf seine Kernaufgaben, u.a. die (i) Sicherstellung der einheitlichen Anwendung der EU Datenschutz-Grundverordnung (DSGVO) sowie die (ii) effektive Zusammenarbeit der nationalen EU-Datenschutzaufsichtsbehörden und formuliert dazu vier strategische Ziele:

1) Einheitliche Praxis: Advancing Harmonization and Facilitating Compliance
Die DSGVO enthält zahlreiche unbestimmte Normen sowie Öffnungsklauseln, die von den einzelnen EU-Mitgliedsstaaten individuell konkretisiert, ergänzt oder modifiziert werden können. Infolgedessen gibt es eine uneinheitliche Praxis, was zu Rechtsunsicherheit führt.

Der EDSA hat sich vorgenommen, diese Rechtsunsicherheit zu verringern. Er wird die Erarbeitung von Guidelines zu Schlüsselthemen wie "concept of legitimate interest" und "scope of data subjects’ rights" weiter vorantreiben. Ferner will der EDSA vermehrt Kohärenzverfahren gemäss Art. 63 DSGVO durchführen, um ein einheitliches Verständnis der DSGVO bei den EU-Datenschutzaufsichtsbehörden sicherzustellen.

2) Bessere Zusammenarbeit: Supporting Effective Enforcement and Efficient Cooperation Between National Supervisory Authorities
Neben der uneinheitlichen Auslegung bzw. Praxis zur DSGVO sei auch die Zusammenarbeit zwischen den EU-Datenschutzaufsichtsbehörden verbesserungswürdig. Zu diesem Zweck will der EDSA folgende Neuerungen etablieren: das "Coordinated Enforcement Framework (CEF) to facilitate joint actions in a flexible but coordinated manner" sowie ein "Support Pool of Experts (SPE) on the basis of a pilot project, with a view of providing material support in the form of expertise that is useful for investigations and enforcement activities of significant common interest".

3) Bewertung datenschutzrechtlicher Aspekte neuer Technologien: A Fundamental Rights Approach to New Technologies
Der EDSA hat sich vorgenommen, die Entwicklung neuer Technologien proaktiv zu monitoren, zu bewerten und Guidelines mit seinen Ergebnissen zu veröffentlichen. Er will dabei auf Datenbearbeitungen fokussieren, die "the greatest risks to individuals’ rights and freedoms (e.g. to prevent discrimination)" darstellen. Der EDSA ist der Auffassung, dass diese Risiken insbesondere bei folgenden Technologien vorkommen: artificial intelligence (AI), biometrics, profiling, ad tech, cloud services und blockchain.

Anders als in der EU ist in der schweizerischen Rechtsordnung die unmittelbare Drittwirkung von Grundrechten in der Privatwirtschaft nicht vorgesehen. Diesem Umstand sollte bei der Analyse künftiger EDSA-Guidelines hinreichend Beachtung geschenkt werden.

Schliesslich betont der EDSA richtigerweise die Wichtigkeit des Grundsatzes von "Privacy by Design und Default" und stellt hier "clear guidance on how to implement data protection principles effectively" in Aussicht. Dabei werden rechtliche Vorgaben in nicht rechtliche Vorgaben für technische und/oder organisatorische Massnahmen (TOM) übersetzt und anschliessend implementiert.

4) Bekanntgabe von Personendaten ins Ausland: The Global Dimension
Im Lichte der aktuellen Diskussionen rund um das Urteil des EuGH i.S. "Schrems II" (C-311/18) will auch der EDSA "promote the use of transfer tools ensuring an essentially equivalent level ofprotection and increase awareness on their practical implementation".

Bei "Schrems II" geht es im Wesentlichen um die Definition, Vereinbarung und Kontrolle technischer und/oder organisatorischer Massnahmen (TOM), welche unzulässige ausländische Behördenzugriffe mit hoher Wahrscheinlichkeit verhindern sollen.

Michal Cichocki

Bundesrat plant Pflicht zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen

An seiner Sitzung vom 11. Dezember 2020 beauftragte der Bundesrat das Eidgenössische Finanzdepartement (EFD) mit der Erarbeitung einer Vernehmlassungsvorlage zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen bis Ende 2021. 

 

Danach soll eine zentrale Meldestelle für sämtliche Sektoren für die Entgegennahme der 
genannten Meldungen bezeichnet werden. Die Ausgestaltung der Meldepflicht 
soll dagegen unterschiedlich ausfallen, auf "sektorspezifische Gegebenheiten" angepasst und in 
unterschiedlichen Erlassen verankert werden. Ferner soll die Meldepflicht auf bereits bestehende sektorielle und (künftige) 
datenschutzrechtliche Meldepflichten abgestimmt werden. Die zentrale Meldestelle soll die 
eingegangenen Meldungen auswerten und "Frühwarnungen" absetzen (vgl. auch den Bericht "Meldepflicht für schwerwiegende Sicherheitsvorfälle bei kritischen Infrastrukturen - Rechtliche Grundlagen" des GS-EFD).

 

Bereits heute existiert eine voraussichtlich ähnliche, sektorspezifische Aufsichtsmitteilung der FINMA (vgl. Aufsichtsmitteilung 05/2020 betreffend die Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG).

 

Im geltenden Datenschutzgesetz (DSG) findet sich dagegen keine vergleichbare Vorgabe. Anders im 
totalrevidierten Datenschutzgesetz: in Art. 24 rev. DSG ist die Meldung einer Verletzung der 
Datensicherheit im Zusammenhang mit Personendaten, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Personen führt (sog. Data Breach), vorgesehen. Diese hat demnach ein anderes Aufgreifkriterium und kann, muss jedoch nicht, bspw. mit einem Cyberangriff zusammenhängen. Diesfalls erfolgt die Meldung gegenüber dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Das rev. DSG tritt voraussichtlich 2022 in Kraft.

 

Sofern künftige Cyberangriffe oder entdeckte Sicherheitslücken bei Betreibern kritischer Infrastrukturen auch mit anderen meldepflichtigen Sachverhalten zusammenfallen sollten, stellt sich die Frage, ob eine Meldung an die geplante zentrale Meldestelle ausreichen wird (sog. One-Stop-Shop) oder ob mehrere Behörden infolge unterschiedlicher Zuständigkeiten notifiziert werden müssen.

 

Michal Cichocki