Daten(schutz)rechtlicher Jahresrückblick: Wichtigste Rechtsgrundlagen, Guidelines und Entscheide

2022 neigt sich dem Ende zu - aus einer daten(schutz)rechtlichen Perspektive betrachtet, war es ein sehr ereignisreiches Jahr mit zahlreichen neuen Rechtsgrundlagen, Guidelines und Entscheiden (Tendenz: steigend!). Die nachfolgende Übersicht stellt eine subjektive Auswahl daten(schutz)rechtlicher "Höhepunkte" dar und soll dem interessierten Leser eine Orientierungshilfe bieten:

Schweiz
(i) Totalrevision des schweizerischen Datenschutzgesetzes (DSG) und der dazugehörigen Verordnungen: Link
(ii) Übersicht Guidelines zu Cloud Computing: Link
(iii) Herausforderungen der künstlichen Intelligenz - Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" des Bundes an den Bundesrat: Link
(iv) FINMA: Totalrevidiertes Rundschreiben FINMA-RS 23/01: Operationelle Risiken und Resilienz - Banken: Link
(v) Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) und Privatim: Leitfaden zu Wahlen und Abstimmungen: Link
(vi) EDÖB: 29. Tätigkeitsbericht 2021/2022 ("Geringschätzung der Privatsphäre"): Link
(vii) European Union-U.S. Data Privacy Framework (EU-U.S. DPF): Link

Europa
(i) Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK): Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung: Link
(ii) European Data Protection Board (EDPB): Guidelines 9/2022 on personal data breach notification under GDPR: Link
(iii) EDPB Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority: Link
(iv) EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification: Link
(v) EDPB Guidelines 01/2022 on data subject rights - Right of access: Link
(vi) EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR: Link
(vii) EDPB Guidelines 07/2022 on certification as a tool for transfers: Link
(viii) EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space: Link
(ix) European Data Protection Supervisor (EDPS) Conference 2022 - The future of data protection: effective enforcement in the digital world: Link
(x) EDPS Opinion on the Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020: Link
(xi) UK Information Commissioner’s Office (ICO) - New Direct Marketing Guidance and Checklists: Link
(xii) ICO's Transfer risk assessments (TRA) of personal data outside the UK: Link

USA
(i) Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities: Link
(ii) Data Protection: EU Commission starts process to adopt adequacy decision for safe data flows with the USA: Link
(iii) U.S. Department of Justice Announces U.S. – UK CLOUD Act Agreement: Link

Michal Cichocki

Guidelines zu Cloud Computing: Eine Übersicht

Cloud Computing bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher Cloud Guidelines. Diese beleuchten die Cloud aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens Cloud Rechnung; die Navigation durch den Cloud-Dschungel wird aufgrund der grossen Anzahl der Guidelines nicht einfacher.

Ausserdem fehlt eine Legaldefinition der Cloud. Ferner kann aus den technischen Definitionen der Cloud nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen Cloud oftmals um Service Provider Management handelt. Dies zieht immerhin die Anwendung gewisser Rechtsnormen nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren eigenständige Übersetzung in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben)

Die nachfolgende Übersicht soll einen Kompass durch den Cloud-Dschungel bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das jeweilige Cloud-Projekt:

Cloud Guidelines Schweiz
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Link
PRIVATIM: Link
Bundesverwaltung/Bundeskanzlei: Link
Schweizerische Bankiervereinigung (SBVg): Link
Verein Unternehmens-Datenschutz (VUD): Link
Kantonsverwaltung ZH/Regierungsratsbeschluss: Link

Cloud Guidelines EU
European Banking Authority (EBA): Link
European Securities and Markets Authority (ESMA): Link
Information Commissioner's Office UK (ICO): Link
National Cyber Security Centre UK (NCSC): Link
Commission Nationale de l'Informatique et des Libertés FR (CNIL): Link
Datenschutzkonferenz Deutschlands (DSK): Link
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): Link, Link und Link
European Data Protection Supervisor (EDPS): Link
European Data Protection Board (EDPB): Link

Cloud Guidelines restliche Welt
U.S. Department of Justice (DOJ): Link
U.S. National Institute of Standards and Technology (NIST): Link und Link
Hong Kong Monetary Authority (HKMA): Link
Canadian Centre for Cyber Security (CCCS): Link

Michal Cichocki

EU Kommission veröffentlicht Entwurf für ein EU-Datengesetz

Die Umsetzung der EU-Datenstrategie schreitet weiter voran: Nach dem Daten-Governance-Gesetz aus dem Jahre 2020 legte die EU Kommission am 23. Februar 2022 ihren Entwurf für ein EU-Datengesetz vor (Proposal for a Regulation on harmonised rules on fair access to and use of data; Data Act). Das vorgeschlagene EU-Datengesetz sieht Regeln für die Nutzung nicht-personenbezogener Daten (Nicht-Personendaten) vor; dessen Geltungsbereich wird wie folgt umschrieben:

„This Regulation lays down harmonised rules on making data generated by the use of a product or related service available to the user of that product or service, on the making data available by data holders to data recipients, and on the making data available by data holders to public sector bodies or Union institutions, agencies or bodies, where there is an exceptional need, for the performance of a task carried out in the public interest“ (vgl. Art. 1 Abs. 1 E-Datengesetz).

Damit sollen u.a. folgende Anwendungsfälle adressiert werden:

i) Datenübertragbarkeit: Insbesondere im Falle eines vernetzten Gerätes ("Internet of Things"; IoT) soll offenbar nicht ausreichend klar sein, „wer was mit den Daten [die durch die Nutzung des Geräts erzeugt werden] tun darf. Oder im Kaufvertrag ist u. U. festgelegt, dass sämtliche erzeugten Daten ausschließlich vom Hersteller gesammelt und genutzt werden dürfen (…). Das Datengesetz wird sowohl Einzelpersonen als auch Unternehmen durch ein gestärktes Recht auf Datenübertragbarkeit mehr Kontrolle über ihre Daten einräumen, sodass sie Daten problemlos an verschiedene Diensteanbieter weitergeben können. Dies gilt für Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden. Beispielsweise könnte ein Auto- oder ein Maschinenbesitzer entscheiden, mit dem Auto oder der Maschine erzeugte Daten an seinen Versicherer weiterzugeben.“

ii) Blacklisting missbräuchlicher Vertragsklauseln: „Vertragsfreiheit ist nach wie vor das Grundprinzip, aber KMU sind nun vor missbräuchlichen Vertragsklauseln [zur Nutzung von Daten] geschützt, weil es eine Liste mit einseitig auferlegten Vertragsklauseln gibt, die als missbräuchlich gelten oder bei denen davon ausgegangen wird, dass sie missbräuchlich sind. Vertragsklauseln, die auf dieser Liste stehen, sind für KMU nicht bindend. Ein Beispiel sind Klauseln, wonach ein Unternehmen die Vertragsbestimmungen einseitig auslegen darf.“

Ferner will die EU Kommission unverbindliche Mustervertragsbedingungen/Standardklauseln erarbeiten, um die Verhandlungsposition insbesondere von KMU gegenüber marktmächtigen Gegenparteien zu stärken.

iii) Herausgabe von Daten an EU-Behörden: „Das Datengesetz sieht vor, dass in Ausnahmesituationen von grossem öffentlichem Belang wie etwa bei Überschwemmungen oder Waldbränden der Zugang zu Daten privater Unternehmen möglich ist (…) Die neuen Vorschriften sehen eine Verpflichtung für Unternehmen zur [teilweise kostenlosen] Bereitstellung bestimmter Daten vor (…).“

iv) Herausgabe von Daten an Nicht-EU/EWR-Behörden (Foreign Lawful Access): „Ausserdem wird das Datengesetz vertrauensbildend wirken, da es die Einführung verbindlicher Garantien zum Schutz der Daten in Cloud-Infrastrukturen vorsieht. Dadurch werden unrechtmässige Zugriffe durch Regierungen von Ländern, die nicht zur EU oder zum EWR gehören, verhindert. Mit diesen Massnahmen wird das Datengesetz die Cloud-Einführung in Europa unterstützen, was wiederum einen effizienten Datenaustausch innerhalb von und zwischen Sektoren fördern wird.“

Im Zusammenhang mit dem Entwurf des EU-Datengesetzes stellen sich bereits heute zahlreiche Abgrenzungsfragen - insbesondere zur EU DSGVO. In jüngster Zeit haben verschiedene EU-Datenschutzbehörden in immer mehr Fällen „Daten“ als personenbezogene Daten (Personendaten) qualifiziert, was die Anwendung der EU DSGVO nach sich zieht. Dieser Trend dürfte sich auch bei IoT-Anwendungsfällen fortsetzen. Infolgedessen können betroffene Personen bereits heute und gestützt auf Art. 20 EU DSGVO ihren Anspruch auf Datenportabilität (Datenübertragbarkeit) geltend machen. Schliesslich stellt sich die Frage, inwiefern im Zusammenhang mit Daten i.S. des EU-Datengesetzes eine Diskussion über einen denkbaren Foreign Lawful Access Sinn macht und ob hier ein vergleichbares Konzept mit „Garantien“ analog Schrems II (d.h. Foreign Lawful Access bei personenbezogenen Daten; vgl. C-311/18) überhaupt zielführend sein kann.

Michal Cichocki

Gutachten des Bundesamts für Justiz zum US CLOUD Act veröffentlicht

Das Bundesamt für Justiz (BJ) veröffentlichte am 17. September 2021 ein als Bericht zum US CLOUD Act bezeichnetes Gutachten. Darin geht das BJ u.a. auf folgende Themenbereiche ein:

(i) Generelle Erläuterungen zum US CLOUD Act sowie zu darauf beruhenden Executive Agreements.

(ii) Rechtsvergleichende Beleuchtung des US CLOUD Acts mit weiteren aktuellen oder geplanten Rechtsgrundlagen wie z.B. EU E-Evidence Verordnung bzw. Richtlinie, Zusatzprotokoll zur Cybercrime-Konvention des Europarats, Executive Agreement zwischen den USA und UK, EU DSGVO sowie DSG.

(iii) Rechtliche Ausführungen zur Vereinbarkeit des US CLOUD Acts bzw. Executive Agreements mit europäischem und schweizerischem Völker-, Straf-, Rechtshilfe- und Datenschutzrecht aus der Sicht des BJ.

(iv) Nicht rechtliche Ausführungen zu technischen/organisatorischen Massnahmen (TOM) im Bereich "Datensicherheit und Entschlüsselung".

Als Schlussfolgerung (vgl. Kapitel 7 Gutachten) hält das BJ unter anderem Folgendes fest:

a) Das BJ vertritt u.a. die Auffassung, dass die Schweiz nur dann am "freien Datenverkehr mit der EU teilhaben" und den "uneingeschränkten Zugang zum "digitalen Binnenmarkt" der EU behalten" könne, wenn sie ihren Status als Land mit angemessenem Datenschutzniveau aus der Sicht der EU behalte. Folglich habe das EU-Datenschutzrecht "einen grossen Einfluss auf die Schweiz".

b) Hinsichtlich des Datenschutzrechts ist das BJ u.a. folgender Meinung: "Das Ergebnis dieser Analyse legt den Schluss nahe, dass eine Herausgabe von Daten gestützt auf eine Herausgabeanordnung auf der Grundlage des CLOUD Acts nur in spezifischen Ausnahmefällen mit dem schweizerischen und europäischen Datenschutzrecht vereinbar ist".

c) Aus der Sicht des Rechtshilferechts schlussfolgert das BJ u.a. Folgendes: "Der Abschluss eines Executive Agreements würde damit zu einem Paradigmenwechsel im Bereich der internationalen Strafrechtskooperation führen: Erstmals würde ein schweizerischer Privater direkt an einem ausländischen Strafverfahren mitwirken, ohne dass dafür ein schweizerisches Verfahren oder wenigstens eine Bewilligung im Einzelfall vorliegt. Diese neue Form der Zusammenarbeit hätte Auswirkungen auf verschiedene Garantien und Prinzipien, welche im Recht der internationalen Rechtshilfe in Strafsachen gelten. Insbesondere betroffen wären die verfassungsmässigen Garantien des rechtlichen Gehörs und des Zugangs zu einem Gericht in der Schweiz, da die von der Datenherausgabe betroffene Person (...) keine Kenntnis von der Bekanntgabe mehr erlangen würde und dagegen folglich auch keine Beschwerde erheben könnte" . (...) "Auch mit Blick auf die Vereinbarkeit mit den Prinzipien des Rechtshilferechts wirft der CLOUD Act also grosse Fragen auf und scheint schwer mit dem übergeordneten schweizerischen Recht vereinbar zu sein".

Next Steps: Das Gutachten des BJ soll als Grundlage zur Diskussion mit unterschiedlichen Stakeholdern dienen. Anschliessend wird das BJ dem Generalsekretariat des EJPD einen Antrag zum weiterem Vorgehen "in Sachen US CLOUD Act im Speziellen und "E-Evidence" generell" unterbreiten.

Michal Cichocki

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) gibt weitere Guidance im Zusammenhang mit der Bekanntgabe von Personendaten in die USA

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 4. August 2021 seine Stellungnahme zur Bekanntgabe von Personendaten an die US-Börsenaufsichtsbehörde (Securities and Exchange Commission; SEC).

Darin geht der EDÖB insbesondere auf Art. 6 Abs. 2 lit. b-d DSG ein und zeigt damit Alternativen zur Abstützung einer Bekanntgabe von Personendaten auf vertragliche Garantien gemäss Art. 6 Abs. 2 lit. a DSG (und den damit zusammenhängenden Diskussionen zum Impact des Schrems II-Urteils) am oben genannten Einzelfall auf.

Konkret legt der EDÖB u.a. folgende Grundlagen für eine Bekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau aus:

(i) Datenschutzrechtliche Einwilligung (Art. 6 Abs. 2 lit. b DSG): Diese müsse freiwillig sowie informiert sein und könne einzeln oder mittels AGB abgegeben werden. Die Freiwilligkeit sei nur bei einem schweren Nachteil als Folge der verweigerten Einwilligung zu verneinen, d.h. wenn (a) zwischen dem Nachteil und der Datenbearbeitung kein Zusammenhang bestehe oder (b) wenn der Nachteil im Hinblick auf den Bearbeitungszweck unverhältnismässig sei.

(ii) Abschluss/Abwicklung eines Vertrags (Art. 6 Abs. 2 lit. c DSG): Solange die Bekanntgabe typisch sei oder im Erwartungshorizont der betroffenen Vertragspartei liege, müsse sie nicht objektiv zwingend für den Abschluss/Abwicklung der Vertragsleistung sein. Dies könne auch für eine Bekanntgabe nach einer allfälligen Vertragskündigung gelten.

(iii) Arbeitsvertrag (Art. 328b OR i.V.m. Art. 6 Abs. 2 lit. c DSG): Sofern die Bekanntgabe für die Wahrung der rechtlichen Verpflichtungen des Arbeitgebers nötig sei, könne dies unter die arbeitsrechtliche Zweckbindung von Art. 328b OR fallen und damit als Abwicklung des Arbeitsvertrags gelten - auch nach einer erfolgten Kündigung.

(iv) Überwiegendes öffentliches Interesse (Art. 6 Abs. 2 lit. d DSG): Wenn die Bekanntgabe unregelmässig, unvorhersehbar sowie zu öffentlichen Zwecken wie z.B. Betrugs- oder Geldwäschereibekämpfung erfolge, könne sie auf ein überwiegendes öffentliches Interesse abgestützt werden.

Michal Cichocki

EU & KI: EU-Kommission veröffentlicht Entwurf zum Artificial Intelligence Act

Am 21. April 2021 veröffentlichte die EU-Kommission ihren Entwurf eines Legal Frameworks zur Regulierung von Künstlicher Intelligenz (KI): Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act).

Damit sollen die (Grund)Rechte der betroffenen Personen sowie Unternehmen gewahrt und gleichzeitig ein zukunftsgerichtetes Legal Framework für die Entwicklung von KI und generell von Innovation in der EU geschaffen werden. Dies könnte auch für die Schweiz relevant sein; im Entwurf ist mindestens derzeit folgender Anknüpfungspunkt zu finden: „(…) this Regulation should also apply to providers and users of AI systems that are established in a third country, to the extent the output produced by those systems is used in the Union“.

Der Entwurf sieht u.a. einen risikobasierten Regulierungsansatz vor. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, welche sich insbesondere an bestimmten Verwendungszwecken und damit zusammenhängenden Risiken orientieren: unacceptable risk, high-risk, limited risk und minimal risk. Je nach Risikokategorie sind die Voraussetzungen an KI-Systeme strenger bzw. weniger streng:

1) Unacceptable risk: Für Zwecke, die eine Gefahr für "the safety, livelihoods and rights of people" darstellen, sollen KI-Systeme nicht genutzt werden dürfen. Darunter fallen "AI systems or applications that manipulate human behaviour to circumvent users' free will (e.g. toys using voice assistance encouraging dangerous behaviour of minors) and systems that allow ‘social scoring' by governments“.

2) High-risk: KI-Systeme, welche zu den nachfolgenden Zwecken genutzt werden, sollen unter die Kategorie high-risk fallen:
a) Critical infrastructures (e.g. transport), that could put the life and health of citizens at risk
b) Educational or vocational training, that may determine the access to education and professional course of someone's life (e.g. scoring of exams)
c) Safety components of products (e.g. AI application in robot-assisted surgery)
d) Employment, workers management and access to self-employment (e.g. CV-sorting software for recruitment procedures)
e) Essential private and public services (e.g. credit scoring denying citizens opportunity to obtain a loan)
f) Law enforcement that may interfere with people's fundamental rights (e.g. evaluation of the reliability of evidence)
g) Migration, asylum and border control management (e.g. verification of authenticity of travel documents)
h) Administration of justice and democratic processes (e.g. applying the law to a concrete set of facts)
i) In particular, all remote biometric identification systems are considered high risk and subject to strict requirements

Bevor KI-Systeme der Risikokategorie high-risk genutzt werden dürfen, sollen folgende Voraussetzungen erfüllt werden:
i) Adequate risk assessment and mitigation systems
ii) High quality of the datasets feeding the system to minimise risks and discriminatory outcomes
iii) Logging of activity to ensure traceability of results
iv) Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance
v) Clear and adequate information to the user
vi) Appropriate human oversight measures to minimise risk
vii) High level of robustness, security and accuracy

3) Limited risk: „(…) specific transparency obligations: When using AI systems such as chatbots, users should be aware that they are interacting with a machine so they can take an informed decision to continue or step back".

4) Minimal risk: „(…) allows the free use of applications such as AI-enabled video games or spam filters. The vast majority of AI systems fall into this category. The draft Regulation does not intervene here, as these AI systems represent only minimal or no risk for citizens' rights or safety".

Schliesslich sieht der Entwurf vor, dass u.a. die oben genannten Voraussetzungen direkt anwendbar sein und entlang eines Coordinated Plan on AI mit weiteren Regulierungsinitiativen der EU (z.B. new machinery regulation, European green deal) abgestimmt werden sollen. Das EU-Parlament und die EU-Mitgliedsstaaten werden nun über den vorliegenden Entwurf beraten.

Michal Cichocki

Europarat veröffentlicht Leitlinien zu Gesichtserkennung (Guidelines on Facial Recognition)

Ende Januar 2021 veröffentlichte der Europarat Leitlinien zu Gesichtserkennungstechnologien (Guidelines on Facial Recognition). Diese Leitlinien beinhalten unterschiedliche (unverbindliche) Empfehlungen („a set of reference measures“), die sich an die (i) Gesetzgeber der Mitgliedsstaaten (wie z.B. die Schweiz), (ii) an Entwickler, Hersteller sowie Service Provider von Gesichtserkennungstechnologien sowie an deren (iii) Nutzer im privaten sowie öffentlichen Sektor richten.

Sie bezwecken die Wahrung der „human dignity, human rights and fundamental freedoms of any person, including the right to protection of personal data“ im Sinne des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz: Datenschutzkonvention oder Konvention Nr. 108).

Die Bedeutung von Gesichtserkennung und damit der sachliche Anwendungsbereich der Leitlinien werden von Europarat wie folgt definiert: „Facial recognition is the automatic processing of digital images containing individuals' faces for identification or verification of those individuals by using face templates“.

Hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt der Europarat unter anderem folgende Empfehlungen ab:

(a) Zweckbeschränkung
Der Europarat empfiehlt den Verzicht auf Gesichtserkennung für bestimmte Zwecke oder aber den Einsatz von technischen/organisatorischen Massnahmen (TOM) zur Verhinderung von Diskriminierungsrisiken:

„The use of facial recognition for the sole purpose of determining a person's skin colour, religious or other beliefs, sex, racial or ethnic origin, age, health condition or social condition should be prohibited unless appropriate safeguards are provided for by law to avoid any risk of discrimination.“

„Similarly, affect recognition can also be carried out with facial recognition technologies to arguably detect personality traits, inner feelings, mental health or workers' engagement from face images. Linking recognition of affect, for instance, to hiring of staff, access to insurance, education may pose risks of great concern, both at the individual and societal levels and should be prohibited.“

(b) Einwilligung
Anders als im schweizerischen DSG, ist z.B. unter dem Regime der EU DSGVO (vgl. Art 6 ff. ) für jede Bearbeitung von Personendaten ein konkreter Rechtsgrund („Rechtmässigkeit der Verarbeitung“) nötig. Der Europarat übernimmt die Logik der EU DSGVO und empfiehlt eine ausdrückliche Einwilligung als Voraussetzung für den Einsatz von Gesichtserkennungstechnologien (mit Personendaten) im privaten Sektor. Diese Einwilligung könne aber nicht durch ein blosses Durchqueren eines Bereiches, in welchem Gesichtserkennungstechnologien verwendet werden, erteilt werden. Für die Gesichtserkennung im öffentlichen Sektor sei eine Einwilligung dagegen grundsätzlich nicht geeignet; hier müssten andere Rechtsgründe verwendet werden.

Diese Logik und die darauf beruhende Empfehlung ist mit dem schweizerischen DSG nicht kompatibel. Danach ist eine Einwilligung nicht nötig, in der Regel ist Transparenz ausreichend.

(c) Privacy by Design
Ferner seien im Zusammenhang mit Gesichtserkennung insbesondere die datenschutzrechtlichen Vorgaben der Zweckbindung, Datenminimierung, Speicherbeschränkung sowie Richtigkeit besonders wichtig. In Anwendung des Grundsatzes von „Privacy by Design“ sollen die vorgenannten Vorgaben in (nicht-rechtliche) Vorgaben für technische/organisatorische Massnahmen (TOM-Vorgaben) übersetzt und von Anfang an berücksichtigt werden.

(d) Transparenz
Gemäss Europarat komme im Zusammenhang mit Gesichtserkennung dem Grundsatz der Transparenz grösste Bedeutung zu. Konkret sollen die nachfolgenden Informationen im Rahmen von „Privacy Policies“ bzw. „informational material regarding the [facial recognition] technologies“ offengelegt werden:

i) Whether and to which extent facial recognition data can be transmitted to third parties (and where such is the case, information on the identity of the third-party contractual partners receiving the data in the course of providing the product or service);
ii) The retention, deletion or de-identification of facial recognition data;
iii) Contact points available for individuals to ask questions about the collection, use and
sharing of facial recognition data;
iv) When the collection, use and sharing practices change significantly, entities should update their privacy policy or publicise these changes in light of the context of the change and its impact on individuals.

Diese spezifisch auf Gesichtserkennungstechnologien bezogenen Empfehlungen gehen über die Informationspflichten des DSG sowie der EU DSGVO hinaus und sind damit gesetzesüberschiessend.

(e) Ethical Framework
Schliesslich empfiehlt der Europarat die Berücksichtigung ethischer Aspekte bei der Gesichtserkennung:

„In addition to the respect of legal obligations, giving an ethical framework to the use of this technology is also crucial, in particular with regard to higher risks inherent to the uses of facial recognition technologies in certain sectors“.

Im Unterschied zu rechtlichen Vorgaben, handelt es sich bei ethischen Aspekten um die freiwillige Beschränkung des rechtlich zulässigen Maximums um insbesondere Reputationsrisiken zu mitigieren.

Michal Cichocki

Schrems II (C-311/18): Empfehlungen & Stellungnahmen verschiedener Datenschutzaufsichtsbehörden - eine Übersicht

Mit Urteil C-311/18 (Schrems II) vom 16. Juli 2020 erklärte der EuGH das EU-US Privacy Shield Framework für ungültig und stellte vermeintlich weitere Anforderungen an die Verwendung der Standardvertragsklauseln "SVK" (Standard Contractual Clauses „SCC“) für eine Bekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau sowie - vereinfacht gesagt - mit „unzulässigen“ ausländischen Behördenzugriffen und ohne hinreichenden Rechtsschutz.

Im Nachgang zu diesem Urteil haben verschiedene Datenschutzaufsichtsbehörden diverse Empfehlungen sowie Stellungnahmen veröffentlicht. Darin sollen Möglichkeiten aufgezeigt werden, wie die Bekanntgabe von Personendaten in die vorgenannten Staaten auch im Lichte von Schrems II rechtskonform erfolgen könne. 

In diesem Zusammenhang werden unterschiedliche Lösungsansätze diskutiert, unter anderem die (laufende) Beurteilung der gesamten Rechtsordnung eines Staates hinsichtlich „unzulässiger“ Behördenzugriffe sowie hinrechendem Rechtsschutz. Aus Praktikabilitätsgründen dürfte der Fokus stattdessen auf der Definition sowie Durchsetzung nicht rechtlicher, sondern angemessener technischer/organisatorischer Massnahmen (TOM) liegen, welche die „unzulässigen" ausländischen Behördenzugriffe mit hoher Wahrscheinlichkeit verhindern sollen.

Die nachfolgende Übersicht ist eine Auswahl ohne Anspruch auf Vollständigkeit:

(i) Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Positionspapier vom 08. September 2020

(ii) U.S. Department of Commerce (USDOC)
FAQ vom 20. August 2020 (vgl. Blogbeitrag vom 09. August 2020)

(iii) EU Kommission
Entwurf der überarbeiteten Fassung der Standardvertragsklauseln "SVK" / Standard Contractual Clauses "SCC" ohne Datum (vgl. Blogbeitrag vom 15. November 2020)

(iv) Europäischer Datenschutzausschuss (EDSA/EDPB)
Pressemitteilung vom 17. Juli 2020
FAQ vom 23. Juli 2020 (vgl. Blogbeitrag vom 26. Juli 2020)
Stellungnahme gemäss Art. 64 DSGVO zu BCRs vom 31. Juli 2020
Pressemitteilung zu SCC-Entwurf und Recomendation 1/2020 vom 20. November 2020
Gemeinsame Stellungnahme 1/2021 des EDSA/EDPB und EDSB/EDPS zu SCC für die Verarbeitung zwischen Verantwortlichen und Auftragsverarbeitern vom 14. Januar 2021
Gemeinsame Stellungnahme 2/2021 des EDSA/EDPB und EDSB/EDPS zu SCC für die Übermittlung personenbezogener Daten in Drittländer vom 14. Januar 2021
Pressemitteilung vom 15. Januar 2021

(v) Europäischer Datenschutzbeauftragter (EDSB/EDPS)
Erklärung vom 17. Juli 2020
Strategie für EU-Institutionen 29. Oktober 2020 (vgl. Blogbeitrag vom 2. Januar 2021)
Newsletter Nr. 84 vom 21. Dezember 2020
Gemeinsame Pressemitteilung EDSA/EDPB und EDSB/EDPS vom 15. Januar 2021

(vi) Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)
Pressemitteilung vom 28. Juli 2020
Pressemitteilung vom 26. November 2020 (vgl. Blogbeitrag vom 6. Dezember 2020)

(vii) Deutscher Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)
Pressemitteilung vom 24. Juli 2020
Informationsschreiben zur Auswirkung der Rechtsprechung des EuGH auf den internationalen Datentransfer vom 8. Oktober 2020
Stellungnahme zu den überarbeiteten SCC vom 15. Januar 2021

(viii) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? vom 24. August 2020 (aktualisiert am 7. September 2020)

(ix) Der Bayerische Landesbeauftragte für den Datenschutz
Pressemitteilung: Stärkung der Nutzer-Rechte: Microsoft ergänzt Standardvertragsklauseln vom 20. November 2020

(x) Österreichische Datenschutzbehörde
Stellungnahme vom August 2020 (aktualisiert im November 2020)

(xi) The UK's Information Commissioner’s Office (ICO)
Update vom 27. Juli 2020
Guidance: Datenschutz nach der Übergangsperiode (Brexit) ohne Datum

(xii) Commission Nationale de l'Informatique et des Libertés de France (CNIL)
Pressemitteilung vom 17. Juli 2020
Urteil des obersten Verwaltungsgerichts (Conseil d´État) vom 13. Oktober 2020

Michal Cichocki

NIST veröffentlicht White Paper mit Prinzipien für Nachvollziehbarkeit von Entscheidungen durch KI-Systeme

Im Rahmen der „Foundational Research on AI Systems“ untersucht das us-amerikanische National Institute of Standards and Technology (NIST) bereits seit geraumer Zeit unterschiedliche Aspekte von Systemen mit künstlicher Intelligenz (KI-Systeme). Am 20. August 2020 veröffentlichte das NIST ein White Paper als „draft report“ mit vier Prinzipien zur Nachvollziehbarkeit von Entscheidungen durch KI-Systeme. Diese Four Principles of Explainable Artificial Intelligence (Draft NISTIR 8312) lauten wie folgt:

(i) Explanation: AI systems should deliver accompanying evidence or reasons for all outputs.
(ii) Meaningful: Systems should provide explanations that are understandable to individual users.
(iii) Explanation Accuracy: The explanation should correctly reflect the system’s process for generating the output.
(iv) Knowledge Limits: The system only operates under conditions for which it was designed or when the system reaches a sufficient level of confidence in its output.

Zu diesen Prinzipien hält das NIST u.a. folgendes fest: „(…) These principles are heavily influenced by an AI system’s interaction with the human receiving the information. The requirements of the given application, the task, and the consumer of the explanation will influence the type of explanation deemed appropriate. Our four principles are intended to capture a broad set of motivations, applications, and perspectives".

Das NIST nimmt bis 15. Oktober 2020 Kommentare zum „draft report“ entgegen.

Michal Cichocki

Cloud Computing: Modell und Berechnungstool zur Risikobeurteilung eines Lawful Access durch ausländische Behörden

Am 10. August 2020 veröffentlichte der Datenschutzexperte David Rosenthal ein Modell zur Risikobeurteilung eines Lawful Access durch ausländische Behörden auf seiner Webseite. 

Das Modell basiert im Wesentlichen auf der Aussage, dass sieben Voraussetzungen für einen erfolgreichen (foreign) Lawful Access nötig sind und auf diese mit angemessenen technischen sowie organisatorischen (und damit nicht rechtlichen) Massnahmen (TOM) eingewirkt werden kann.

Ein entsprechendes Berechnungstool samt Anleitung wird von Herrn Rosenthal im Rahmen einer kostenlosen Creative Commons "Namensnennung 4.0 International" (CC BY 4.0) Lizenz zur Verfügung gestellt.

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht FAQ zu Schrems II (C-311/18)

Am 24. Juli 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) ein Dokument mit häufig gestellten Fragen (FAQ) zum Urteil des EuGH in der Rechtssache C‑311/18 (Schrems II). Darin werden zwölf Fragen zum vorgenannten Urteil sowie der daraus folgenden Konsequenzen beantwortet.

Hinsichtlich der Nutzung von Standard Contractual Clauses (SCC) sowie Binding Corporate Rules (BCR) als Grundlage für eine Bekanntgabe von Personendaten von der EU in die USA hält der EDSA u.a. folgendes fest (vgl. FAQ Nr. 5 & 6):

„Whether or not you can transfer personal data on the basis of SCCs [BCRs] will depend on the result of your assessment, taking into account the circumstances of the transfers, and supplementary measures you could put in place. The supplementary measures along with SCCs [BCRs], following a case-by-case analysis of the circumstances surrounding the transfer, would have to ensure that U.S. law does not impinge on the adequate level of protection they guarantee.
If you come to the conclusion that, taking into account the circumstances of the transfer and possible supplementary measures, appropriate safeguards would not be ensured, you are required to suspend or end the transfer of personal data. However, if you are intending to keep transferring data despite this conclusion, you must notify your competent SA".

Bei den erwähnten "supplementary measures“ bzw. „appropriate safeguards“ handelt es sich im Wesentlichen um technische und/oder organisatorische - und nicht um rechtliche - Massnahmen (TOM), welche die im vorgenannten EuGH-Urteil beanstandeten Zugriffe von (US-)Behörden (sog. lawful access) mit hoher Wahrscheinlichkeit verhindern sollten.

Aus schweizerischer Sicht teilte der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 16.07.2020 mit, dass das oben genannte EuGH-Urteil für die Schweiz nicht direkt anwendbar sei, er das Urteil im Detail prüfe und sich zu gegebener Zeit äussern werde.

Michal Cichocki

White Paper zu Künstlicher Intelligenz (KI): Europäische Kommission veröffentlicht Konsultationsergebnisse

Am 19.02.2020 veröffentlichte die Europäische Kommission ein White Paper und skizzierte darin die möglichen Grundlagen u.a. zur Schaffung eines künftigen regulatorischen Rahmens für den Themenbereich Künstliche Intelligenz "KI" („White Paper on Artificial Intelligence - A European Approach to excellence and trust“). Konkret wurden unterschiedliche Aspekte von KI diskutiert; bspw. wurde auf die Minimierung von Risiken für Verletzungen von Grundrechten, Datenschutz, Sicherheit sowie auf Haftungsfragen beim Einsatz von KI eingegangen.

Gleichzeitig hat die Europäische Kommission zu einer öffentlichen Konsultation zum vorgenannten White Paper aufgerufen. Die Ergebnisse dieser Konsultation wurden nun am 17. Juli 2020 veröffentlicht. Hinsichtlich einer künftigen Regulierung von KI wurden u.a. folgende Konsultationsergebnisse zusammengefasst:

(i) Main concerns: „(…) Their main concerns were related to the possibility of AI breaching fundamental rights and the use of AI that may lead to discriminatory outcomes - respectively 90% and 87% of respondents find these concerns important or very important.
The possibility that AI endangers safety or takes actions that cannot be explained were also considered as (very) important by respectively 82% and 78% of respondents. Concerns over AI’s possible lack of accuracy (70%) and lack of compensations following harm caused by AI (68%) follow“.

(ii) What kind of legislation: „(…) 42% of respondents request the introduction of a new regulatory framework on AI, another 33% think that the current legislation needs to be modified in order to address the gaps identified (…). 
Respondents seemed to agree with all the mandatory requirements proposed by the White Paper with high percentages ranging from 83% to 91% for each requirement. Clear liability and safety rules (91%), (ii) information on the nature and purpose of an AI system (89%), robustness, and accuracy of AI systems (89%). Human oversight (85%), quality of training datasets (84%) and the keeping of records and data (83%)“.

(iii) High-risk applications: „Concerning the scope of this new possible legislation, opinions are less straightforward. While 42.5% agreed that the introduction of new compulsory requirements should only be limited to high-risk AI applications, another 30.6% doubt such limitation. The remaining 20.5% had other opinions and the 6.3% had no opinion at all (…)“.

(iv) Biometric identification: „Another topic under the regulatory scope of the AI White Paper is the public use of remote biometric identification systems. Respondents had doubts on the public use of such systems with 28% of them supporting a general ban of this technology in public spaces, while another 29.2% required a specific EU guideline or legislation before such systems may be used in public spaces (…)“.

In einem nächsten Schritt wird die Europäische Kommission die Konsultationsergebnisse einer gründlichen Analyse unterziehen, ein Impact Assessment durchführen und anschliessend einen Entwurf für eine Regulierung von KI vorlegen. Zum Zeithorizont werden keine Angaben gemacht.

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Jahresbericht

Der Europäische Datenschutzausschuss (EDSA/EDPB) veröffentlichte am 18. Mai 2020 seinen Jahresbericht 2019 sowie ein dazugehöriges Executive Summary. Darin fasst er seine Tätigkeit für das vergangene Jahr zusammen und gibt einen Überblick über seine Aufgaben, Stellungnahmen, Konsultationen, formelle Kommentare sowie Verfahren. Zusätzlich werden die Hauptziele für das Jahr 2020 dargelegt.

In seinem Jahresbericht geht der EDSA u.a. auf die Verabschiedung von Guidelines sowie Empfehlungen zu folgenden Themenbereichen ein: Datenschutz-Folgenabschätzungen (DSFA), Privacy by Design & Default, Recht auf Vergessenwerden, Online-Services, Zusammenspiel zwischen der EU DSGVO und der ePrivacy Richtlinie sowie Bindung Corporate Rules.

Hinsichtlich seiner Tätigkeit als Berater der EU Kommission für Datenschutzfragen hebt der EDSA u.a. folgende Gesetzgebungsprojekte hervor: EU-U.S. Privacy Shield, statement on the future ePrivacy regulation, additional protocol to the Budapest Convention on Cybercrime sowie EDPB-EDPS Joint Opinion on the eHealth Digital Service Infrastructure.

Ferner geht der EDSA auf ausgewählte datenschutzrechtliche Fälle der Aufsichtsbehörden der EU-Mitgliedsstaaten ein und hält zusammenfassend folgendes fest:

„The violations [of the GDPR] included failure to implement provisions such as privacy by default and design, right to access or right to erasure. Many cases highlighted a lack of proper technical and organisational measures for ensuring data protection, which led to data breaches. Several significant incidents involved the processing of special categories of data, such as political opinions, credit information or biometric data. The entities fined were from both the private and the public sector“.

Schliesslich legt der EDSA im Zusammenhang mit seinen Hauptzielen für 2020 folgende Schwerpunkte dar:

(i) Guidance: „In 2020, the EDPB will aim to provide guidance on data controllers and processors, data subject rights and the concept of legitimate interest. It will also intensify its work in the context of advanced technologies, such as connected vehicles, blockchain, artificial intelligence, and digital assistants. In addition (…) the EDPB is to provide guidance on the implications for data protection in the context of the fight against COVID-19 (…)“.

(ii) Advisory role to the European Commission: „The EDPB will continue to advise the European Commission on issues such as cross-border e-Evidence data access requests, the revision or adoption of adequacy decisions for data transfers to third countries and any possible revision of the EU-Canada Passenger Name Record (PNR) agreement“.

(iii) Consistency findings: „In cross-border cases where consensus between the Lead SA and Concerned SAs (...) cannot be reached, the EDPB will act as a dispute resolution body and issue binding decisions (…). In addition, the EDPB will continue to deliver Consistency Opinions (…) include any relevant draft decision from competent SAs on issues such as cross-border data transfers, Binding Corporate Rules and standard or ad-hoc contractual clauses“.

Michal Cichocki

Europarat veröffentlicht Leitlinien zu Künstlicher Intelligenz (KI)

Das Ministerkomitee des Europarates verabschiedete am 8. April 2020 Leitlinien mit Empfehlungen zur Beschaffung, Entwicklung sowie Verwendung von KI-Systemen.

Danach sollen Behörden der Mitgliedsstaaten des Europarates (die Schweiz ist seit 1963 Mitgliedsstaat) bei der Beschaffung, Entwicklung sowie Verwendung von insbesondere algorithmenbasierten KI-Systemen die Einhaltung von Menschenrechten gemäss Europäischer Menschenrechtskonvention (EMRK) wie z.B. das Recht auf ein faires Verfahren, das Recht auf Privatsphäre und Datenschutz, die Gedanken-, Gewissens- und Religionsfreiheit, die Freiheit der Meinungsäusserung und die Versammlungsfreiheit, das Recht auf Gleichbehandlung sowie wirtschaftliche und soziale Rechte erkennen und ausschliessen.

Darüber hinaus sehen die Leitlinien vor, dass dieselben Behörden aufgrund ihrer Regelungsbefugnis wirksame und vorhersehbare Rechts-, Regulierungs- und Kontrollrahmen schaffen, um Menschenrechtsverletzungen auch im privaten Bereich aufzudecken, zu verhindern, zu untersagen und schliesslich zu beheben.

Zu diesem Zweck ist unter anderem die vorgängige Durchführung einer sog. Grundrechtsfolgenabschätzung vorgesehen. Diese soll entlang des gesamten Life Cycles von KI-Systemen sicherstellen, dass bspw. bei der Auswahl, beim Sammeln, Auswerten, im Design oder im Betrieb keine Menschenrechtsverletzungen stattfinden.

Ferner werden in den Leitlinien Grundsätze wie Transparenz, Verantwortlichkeit, Rechenschaftspflicht, wirksame Rechtsbehelfe etc. erläutert. Des Weiteren wird die Schaffung von mehr Wettbewerb zwecks Verhinderung einer möglichen Abhängigkeit von wenigen, grösseren Anbietern von KI-Systemen empfohlen.

Erwähnenswert ist die Betonung der informationellen Selbstbestimmung durch „Verschleierung“: danach sollen sich betroffene Personen bspw. durch technische Massnahmen selber gegen die Aufnahme in Datenpools schützen dürfen, bspw. indem sie selber gewisse Aktivitäten vor maschineller Auslesbarkeit verschleiern.

Die vorliegenden Leitlinien sind nicht verbindlich. Ende 2019 wurde jedoch vom Europarat eine Initiative zur Erarbeitung einer KI-Konvention gestartet. Diese ist, sobald sie voraussichtlich 2021 vorliegt, für die unterzeichnenden Mitgliedsstaaten verbindlich. Die Europäische Union arbeitet derzeit ebenfalls an einem Rechtsrahmen für KI-Systeme.

Michal Cichocki

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Stellungnahme zum Brexit und dessen Folgen für den Datenschutz

Am 31. Januar 2020 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Stellungnahme zu den Folgen einer Bekanntgabe von Personendaten nach Grossbritannien (UK) nach dessen Austritt aus der Europäischen Union (Brexit).

Dabei verweist der EDÖB u.a. auf die Voraussetzungen gemäss Art. 6 DSG sowie die sog. Staatenliste. Er hält fest, dass UK aus seiner Sicht nach wie vor über ein angemessenes (Datenschutz)Niveau verfüge. Demnach seien keine zusätzlichen Massnahmen zu treffen, wenn Personendaten nach UK exportiert werden bzw. aus UK auf Personendaten in der Schweiz zugegriffen werde.

Schliesslich werde der EDÖB die Entwicklungen in UK sowie die anstehende Prüfung eines Angemessenheitsbeschlusses durch die EU-Kommission aktiv beobachten und informieren, falls er seine Meinung in Bezug auf das Datenschutzniveau in UK ändern würde.

Michal Cichocki

UK: Konsultation zur Guideline „Explaining decisions made with AI“ abgeschlossen

Am 24. Januar 2020 wurde die öffentliche Konsultation zum viel beachteten Entwurf der Guideline „Explaining decisions made with AI“ abgeschlossen. Diese Guideline wurde von der britischen Datenschutzaufsichtsbehörde, dem Information Commissioner's Office (ICO), gemeinsam mit dem Alan Turing Institute entwickelt. Sie soll als praktische Anleitung zur Beschreibung bzw. Erläuterung von Prozessen, Dienstleistungen und Entscheidungen dienen, die mittels Künstlicher Intelligenz (K.I.) vorgenommen werden.

„Explaining decisions made with AI“ besteht aus drei Teilen:

Part 1: The basics of explaining AI defines the key concepts and outlines a number of different types of explanations. It will be relevant for all members of staff involved in the development of AI systems.

Part 2: Explaining AI in practice helps you with the practicalities of explaining these decisions and providing explanations to individuals. This will primarily be helpful for the technical teams in your organisation, however your DPO and compliance team will also find it useful.

Part 3: What explaining AI means for your organisation goes into the various roles, policies, procedures and documentation that you can put in place to ensure your organisation is set up to provide meaningful explanations to affected individuals. This is primarily targeted at your organisation’s senior management team, however your DPO and compliance team will also find it useful.

Die ICO wird die Eingaben aus dem Konsultationsverfahren auswerten und in Kürze ein Update der Guideline veröffentlichen.

Michal Cichocki

Bundesrat: Botschaft zur Datenschutzkonvention des Europarats (Konvention Nr. 108) verabschiedet

Das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (kurz: Datenschutzkonvention oder Konvention Nr. 108) ist ein völkerrechtlicher Vertag. Damit verpflichten sich die Vertragsstaaten zur Sicherstellung eines einheitlichen Datenschutzniveaus insbesondere beim grenzüberschreitenden Austausch von Personendaten.

Die erste Fassung der Datenschutzkonvention ist 1985 in Kraft getreten und wurde in der Schweiz am 2. Oktober 1997 ratifiziert. Zwischenzeitlich wurde die Datenschutzkonvention erneuert; das Änderungsprotokoll liegt seit dem 10. Oktober 2018 zur Unterzeichnung auf und beinhaltet u.a. folgende, neue Vorgaben: Meldung gewisser Datenschutzverletzungen, zusätzliche Informationspflichten, Durchführung einer Datenschutz-Folgenabschätzung (in bestimmten Fällen), den Ausbau einzelner Betroffenenrechte z.B. bei automatisierten Einzelentscheidungen sowie eine Anpassung des Sanktions- und Rechtsmittelsystems. Eine detaillierte Gegenüberstellung der wichtigsten Datenschutzerlasse (inkl. E-DSG, EU DSGVO, Datenschutzkonvention etc.) hat das Bundesamt für Justiz bereits im September 2019 veröffentlicht.

Der Bundesrat hat nun an seiner Sitzung vom 6. Dezember 2019 die Botschaft über de Genehmigung des Änderungsprotokolls verabschiedet. Für die Ratifikation ist noch die Zustimmung des Parlaments erforderlich.

Schliesslich ist die Ratifikation des Änderungsprotokolls auch im Hinblick auf die anstehende Angemessenheitsprüfung des schweizerischen Datenschutzniveaus durch die EU von grosser Wichtigkeit: „Die EU berücksichtigt bei ihrem Entscheid jeweils, ob die entsprechenden Drittstaaten der Konvention beigetreten sind.“

Michal Cichocki

EU DSGVO/GDPR: Datenschutzrechtliche Guidelines im November

Im vergangenen November wurde eine Vielzahl an Guidelines von unterschiedlichen Datenschutzaufsichtsbehörden zu verschiedenen Themenbereichen veröffentlicht. Die nachfolgende Zusammenfassung gibt eine Übersicht über die wichtigsten Publikationen des vergangenen Monats:

(i) Europäischer Datenschutzausschuss (EDSA/EDPB): Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Entwurf für eine öffentliche Konsultation bis 16. Januar 2020): Link

(ii) Europäischer Datenschutzausschuss (EDSA/EDPB): finale Fassung der Guidelines 3/2018 on the territorial scope of the GDPR (Article 3): Link

(iii) Europäischer Datenschutzbeauftragter (EDSB/EDPS): Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725: Link

(iv) Europäischer Datenschutzbeauftragter (EDSB/EDPS): Newsletter Nr. 74: Link

(v) Agencia española de protección de datos (AEPD - spanische Datenschutzaufsichtsbehörde): A Guide to Privacy by Design: Link

(vi) Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): überarbeitete Fassung des Standard-Datenschutzmodells (SDM) in der Version 2.0: Link

(vii) Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): Empfehlungen für eine datenschutzkonforme Gestaltung von K.I.-Systemen: Link

(viii) Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): Empfehlungen für Gesundheitseinrichtungen betreffend den Schutz von Patientendaten: Link

(ix) Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): Empfehlungen für Gesundheitswebseiten und Gesundheits-Apps: Link

(x) Datenschutzstelle Fürstentum Leichtenstein: Fragebogen zur DSGVO-Umsetzung: Link

(xi) UK's Information Commissioner's Office (ICO) Blog Post: Data ethics and the digital economy: Link

Michal Cichocki

DSK: Neue Empfehlungen für eine datenschutzkonforme Gestaltung von K.I.-Systemen

Im April 2019 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) ihr K.I.-Grundlagenpapier (sog. Hambacher Erklärung zur Künstlichen Intelligenz) mit sieben datenschutzrechtlichen Anforderungen an K.I.-Systeme.

Anfang November 2019 publizierte die DSK weitere Empfehlungen, mit der sie die Umsetzung dieser datenschutzrechtlichen Anforderungen mittels technischer und organisatorischer Massnahmen (TOM) konkretisiert: Positionspapier der DSK zu empfohlenen technischen und organisatorischen Massnahmen bei der Entwicklung und dem Betrieb von KI-Systemen.

Dabei nimmt die DSK Rücksicht auf die unterschiedlichen Phasen der Lebenszyklen von K.I.-Systemen (d.h. Design, Veredelung, Training, Validierung, Einsatz sowie Rückkopplung) und definiert zahlreiche TOM entlang folgender datenschutzrechtlicher Gewährleistungsziele: Transparenz, Datenminimierung, Nichtverkettung, Intervenierbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit.

Michal Cichocki

Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): Version 2.0 des Standard-Datenschutzmodells (SDM) veröffentlicht

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) hat am 13. November 2019 die grundlegend überarbeitete Fassung des Standard-Datenschutzmodells (SDM) in der Version 2.0 veröffentlich.

Das SDM ist ein Werkzeug, mit dem die Auswahl sowie Bewertung technischer und organisatorischer Massnahmen (TOM) unterstützt wird, um die rechtlichen Vorgaben der EU Datenschutz-Grundverordnung (EU DSGVO) aus Sicht der DSK zu erfüllen.

Neu werden insbesondere sämtliche rechtlichen Vorgaben der EU DSGVO vom SDM erfasst und mit Hilfe der sog. Gewährleistungsziele systematisiert.

Die Anwendungsbereiche der Version 2.0 des SDM sind (i) Planung, (ii) Einführung und (iii) Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden (sog. personenbezogene Verarbeitungen) sowie deren (iv) Prüfung und (v) Beurteilung. Damit zeigt das SDM eine Möglichkeit auf, um die von der EU DSGVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Das SDM soll kontinuierlich weiterentwickelt werden. Zu diesem Zweck laden die deutschen Datenschutzaufsichtsbehörden Anwender des SDM zur Mitwirkung ein.

Michal Cichocki