Details
Zugriffe: 2247
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Neuauflage des US-Swiss Privacy Shield in Sicht?

Information
Erstmals veröffentlicht 14 Dezember 2022 von Adrian Fischbacher

Seit dem Dahinfallen des US-EU Privacy Shield ist der Transfer von Personendaten zwischen der EU und den USA eingeschränkt. Auf politischer Ebene laufen intensive Bestrebungen, eine Nachfolgelösung für den Privacy Shield zu finden. Im März 2022 teilte die Europäische Kommission mit, dass sie mit den USA eine grundsätzliche Einigung erzielt habe (siehe unseren Blogpost New Trans-Atlantic Data Privacy Framework announced (en.)). Am 7. Oktober 2022 unterzeichnete US-Präsident Biden eine Executive Order, in welcher er den Rechtsschutz bei der Überwachung durch US-Geheimdienste stärkte.

Am 13. Dezember 2022 publizierte die EU nun einen Entwurf für den Angemessenheitsbeschluss, mit welchem das Datenschutz-Niveau in den USA als (aus Sicht der EU) angemessen beurteilt würde. Liegt ein Angemessenheitsbeschluss vor, so erlaubt Art. 45 DSGVO die Übermittlung von Personendaten ins entsprechende Land. In einem nächsten Schritt muss der Europäische Datenschutz-Ausschuss (EDSA) zum Entwurf Stellung nehmen.

In der Schweiz ist die grenzüberschreitende Bekanntgabe von Personendaten in Art. 6 DSG geregelt. Die Bekanntgabe ist zulässig, wenn das Zielland einen angemessenen Schutz gewährleistet. Der EDÖB führt gemäss Art. 7 VDSG die sogenannte Staatenliste, in welcher er Länder mit (aus Schweizer Sicht) angemessenem Datenschutz-Niveau auflistet. Als Reaktion auf den Schrems-II-Entscheid hatte der EDÖB die USA Ende 2020 von der Staatenliste gestrichen (vgl. Mitteilung vom 8. September 2020). Damit hat auch der US-Swiss Privacy Shield an Bedeutung verloren. Es ist gut denkbar, dass sich die Position des EDÖB wieder ändern könnte, sollte der Angemessenheitsbeschluss der EU in Kraft treten. Dies würde hoffentlich auch Schweizer Unternehmen den Export von Personendaten in die USA erleichtern.

Details
Zugriffe: 3289
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Auftragsdatenbearbeitung

Information
Erstmals veröffentlicht 29 März 2022 von Adrian Fischbacher

English version below

Dieser Blogpost ist der fünfte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Im revidierten Schweizer Datenschutzgesetz wird die Datenbearbeitung im Auftrag erstmals explizit geregelt (Art. 9 revDSG). Ein Auftragnehmer darf Personendaten nur so bearbeiten, wie dies der Auftraggeber auch dürfte. Der Auftragsdatenbearbeiter muss in der Lage sein, die Datensicherheit zu gewährleisten. Er darf die Datenbearbeitung nur mit vorgängiger Genehmigung des Auftraggebers an einen Subunternehmer übertragen.

Die Datenbearbeitung im Auftrag kommt im Alltag sehr häufig und in vielen verschiedenen Konstellationen vor. Sie liegt typischerweise vor, wenn Personendaten an einen externen Dienstleister übertragen werden. Beispiele von Auftragsdatenbearbeitungen sind:

  • Hosting: Ein Kunde (Auftraggeber) lässt seine Webseite von einem Webhoster (Auftragnehmer) betreiben. Die IP-Adressen der Besucher sind teilweise Personendaten, welche vom Hoster im Auftrag des Kunden bearbeitet werden.
  • Logistik: Ein Versandunternehmen (Auftragnehmer) übernimmt für einen Verkäufer (Auftraggeber) den Versand von Waren an die Endabnehmer. Die Adressdaten der Endabnehmer sind Personendaten, die vom Versandunternehmen im Auftrag des Verkäufers bearbeitet werden.
  • Buchhaltung: Ein Treuhandunternehmen (Auftragnehmer) erstellt für seinen Kunden (Auftraggeber) die Buchhaltung. Die Personalinformationen in der Lohnbuchhaltung sind Personendaten, die das Treuhandunternehmen im Auftrag des Kunden bearbeitet.
  • Call-Center: Ein Call-Center (Auftragnehmer) führt für seinen Kunden (Auftraggeber) Telefongespräche. Wenn in den Gesprächen Personendaten ausgetauscht werden, findet eine Datenbearbeitung im Auftrag des Kunden statt.
  • IT-Support: Ein IT-Unternehmen (Auftragnehmer) greift auf die Systeme seines Kunden (Auftraggeber) zu, um die Systeme zu warten. Sofern sich auf den Systemen Personendaten befinden, liegt eine Auftragsdatenbearbeitung durch den Support vor.

Um den Anforderungen der Datenschutzgesetzgebung gerecht zu werden, wird zwischen dem Auftraggeber und dem Auftragnehmer typischerweise ein Auftragsdatenbearbeitungsvertrag (ADV) abgeschlossen. Darin wird vertraglich sichergestellt, dass der Auftragnehmer seine Kompetenzen nicht überschreitet und die Daten nur so bearbeitet, wie der Auftraggeber dies selbst tun würde. Auftragsdatenbearbeitungsverträge sind damit ein wichtiges Instrument der Datenschutz-Compliance.

Wenn ein Schweizer Unternehmen der europäischen DSGVO unterliegt, so muss es bereits heute die Regelung von Art. 28 DSGVO zum Auftragsdatenbearbeitungsvertrag einhalten. Art. 28 DSGVO gibt vor, welche Regelungen ein ADV mindestens enthalten muss.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

English version:

Series revDSG: Data processing by order

This blogpost is the fifth in our new series on the revised Swiss Data Protection Act.

In the revised Swiss Data Protection Act, data processing by order is explicitly regulated for the first time (Art. 9 revDSG). A contractor may only process personal data in the same way as the client would be permitted to do. The data processor must be able to guarantee data security. He may only transfer data processing to a subcontractor with the prior approval of the client.

Data processing by order occurs very frequently in everyday life and in many different constellations. It typically occurs when personal data is transferred to an external service provider. Examples of commissioned data processing are:

  • Hosting: a customer (client) has its website operated by a web hoster (contractor). The IP addresses of the visitors are partly personal data, which are processed by the hoster on behalf of the customer.
  • Logistics: A shipping company (contractor) handles the shipping of goods to end users on behalf of a seller (client). The address data of the end buyers is personal data that is processed by the shipping company on behalf of the seller.
  • Accounting: A fiduciary company (contractor) prepares accounting for its customer (client). Payroll personnel information is personal data processed by the fiduciary company on behalf of the client.
  • Call Center: A call center (contractor) makes telephone calls for its customer (client). If personal data is exchanged in the calls, data processing takes place on behalf of the customer.
  • IT support: An IT company (contractor) accesses the systems of its customer (client) in order to maintain the systems. If there is personal data on the systems, this is data processing on behalf of the support.

In order to meet the requirements of data protection legislation, a data processing agreement (DPA) is typically concluded between the client and the contractor. This contractually ensures that the contractor does not exceed its competencies and only processes the data in the same way as the client would do itself. Commissioned data processing contracts are therefore an important instrument for data protection compliance.

If a Swiss company is subject to the European GDPR, it must already comply with the provision of Art. 28 GDPR on data processing agreements. Art. 28 GDPR specifies which regulations a DPA must contain as a minimum.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Details
Zugriffe: 2578
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Verzeichnis der Datenbearbeitungen

Information
Erstmals veröffentlicht 25 März 2022 von Adrian Fischbacher

English version below

Dieser Blogpost ist der vierte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Das revidierte Schweizer Datenschutzgesetz verpflichtet zur Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten. Es handelt sich dabei um eine Liste, in welchem ein Unternehmen alle Prozesse auflistet, in welchen Personendaten bearbeitet werden.

Art. 12 revDSG gibt vor, welche Angaben das Verzeichnis enthalten muss. Konkret sollte für jeden Prozess die folgenden Angaben ermittelt werden:

  • Wer ist für die Bearbeitung verantwortlich?
  • Wer ist der Auftragsdatenbearbeiter?
  • Zu welchem Zweck werden die Daten bearbeitet?
  • Welche Kategorien von Personen sind betroffen?
  • Welche Kategorien von Daten sind betroffen?
  • An welche Kategorien von Empfängern werden Daten übertragen?
  • Wie lange werden die Daten aufbewahrt?
  • Mit welchen Massnahmen wird die Datensicherheit gewährleistet?
  • In welche Länder werden Daten übertragen? Welche Garantien zur Sicherstellung des Datenschutzes bestehen beim Transfer in diese Länder?

Nach der Revision muss das Verzeichnis von Unternehmen mit mehr als 250 Mitarbeitern zwingend geführt werden. Kleinere Unternehmen oder Privatpersonen müssen nur dann ein Verzeichnis führen, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen (Art. 26 revVDSG). Diese Regelung entstammt dem Entwurf der Verordnung zum revDSG und könnte bis zum Inkrafttreten des Gesetzes allenfalls noch verändert werden.

Unternehmen die der europäischen DSGVO unterliegen, müssen aufgrund der Regelung in Art. 30 DSGVO bereits heute ein solches Verzeichnis führen.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

English version:

Series revDSG: Directory of data processing operations

This blogpost is the fourth in our new series on the revised Swiss Data Protection Act.

The revised Swiss Data Protection Act requires the creation of a register of processing activities. This is a list in which a company lists all processes in which personal data are processed.

Art. 12 revDSG specifies what information the directory must contain. Specifically, the following information should be identified for each process:

  • Who is responsible for the processing?
  • Who is the commissioned data processor?
  • For what purpose is the data processed?
  • What categories of individuals are affected?
  • What categories of data are affected?
  • To which categories of recipients is data transferred?
  • How long will the data be stored?
  • What measures are taken to ensure data security?
  • To which countries is data transferred? What guarantees are in place to ensure data protection when transferring to these countries?

After the revision, it will be mandatory for companies with more than 250 employees to maintain the directory. Smaller companies or private individuals only have to keep a directory if they extensively process particularly sensitive personal data or carry out high-risk profiling (Art. 26 revVDSG). This regulation originates from the draft of the ordinance to the revDSG and could still be changed until the law enters into force.

Companies that are subject to the European GDPR must already maintain such a directory today due to the regulation in Art. 30 GDPR.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Details
Zugriffe: 3459
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Informationspflichten

Information
Erstmals veröffentlicht 14 März 2022 von Adrian Fischbacher

Dieser Blogpost ist der dritte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Das revidierte Schweizer Datenschutzgesetz enthält als Kernelement den Ausbau der Informationspflichten gegenüber den Betroffenen. Wer Personendaten bearbeitet, muss die betroffenen Personen darüber informieren. Die Information ist künftig bei allen Personendaten zwingend; bisher war dies bloss bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen der Fall.

Mit der Informationspflicht wird ein zentrales Anliegen des Datenschutzrechts verwirklicht: Das Datenschutzrecht hat nicht zum Ziel, Datenbearbeitungen per se zu verhindern. Vielmehr ist die Datenbearbeitung grundsätzlich erlaubt, solange die Betroffenen davon wissen und notfalls widersprechen oder ihre Rechte geltend machen können. Mit einer transparenten Information lassen sich daher viele datenschutzrechtliche Probleme und Ängste vermeiden.

Typischerweise erfolgt die Information in einer Datenschutzerklärung. Folgende Punkte müssen gemäss Art. 19 revDSG offengelegt werden:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • Empfänger der Daten, falls diese an Dritte übermittelt werden
  • Kategorien der Daten, falls die Daten nicht direkt bei der betroffenen Person beschafft werden
  • Länder, in welche die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist

Auf unserer Seite zum ICT-Recht stellen wir Ihnen eine Muster-Datenschutzerklärung zum Download bereit.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

 

English version:

Series revDSG: Information requirements

This blogpost is the third in our new series on the revised Swiss Data Protection Act.

The revised Swiss Data Protection Act contains as a core element the expansion of the information obligations towards the data subjects. Anyone who processes personal data must inform the persons that are affected. With the revised act, the information will be mandatory for all personal data; previously, this was only the case for personal data requiring special protection and personality profiles.

The obligation to provide information implements a central concern of data protection law: data protection law does not aim to prevent data processing altogether. Rather, data processing is generally permitted as long as the data subjects know about it and can object or assert their rights if necessary. Transparent information can therefore avoid many data protection problems and fears.

Typically, the information is provided in a privacy policy. The following points must be disclosed according to article 19 revDSG:

  • Identity and contact details of the data controller
  • Purpose of processing
  • Recipients of the data, if the data is transferred to third parties
  • Categories of data, if the data is not obtained directly from the data subject
  • Countries to which the data is transferred and, if applicable, additional guarantees if the level of data protection in that country is insufficient

On our page on ICT law, we provide a sample privacy policy for download [in German].

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Details
Zugriffe: 2174
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Revidiertes Schweizer Datenschutzgesetz tritt voraussichtlich per 1. September 2023 in Kraft

Information
Erstmals veröffentlicht 03 März 2022 von Adrian Fischbacher

English version below

Vor Kurzem haben wir an dieser Stelle die Roadmap bis zum Inkrafttreten des revidierten Schweizer Datenschutzgesetzes beleuchtet (siehe den Blogpost vom 16. Februar 2022). Bis heute war nicht festgelegt, an welchem Datum das revidierte Gesetz in Kraft gesetzt wird. Nun hat die Bundesverwaltung den 1. September 2023 genannt, wobei der Bundesrat dies noch bestätigen muss. Dies ist später als erwartet, bisher ging man vom 1. Januar 2023 aus. Damit verbleibt den Schweizer Unternehmen noch ein Zeitraum von rund 1.5 Jahren, um sich auf die Neuerungen vorzubereiten. Wir empfehlen, diese Vorbereitung so bald wie möglich anzugehen.

English version:

We recently highlighted the roadmap to the entry into force of the revised Swiss Data Protection Act here (see the blog post dated February 16, 2022). Until today, it had not been determined on which date the revised law would enter into force. Now, the federal administration has mentioned September 1, 2023, although the Federal Council has yet to confirm this. This is later than expected, previously it was assumed that the date would be January 1, 2023. This leaves Swiss companies a period of around 1.5 years to prepare for the changes. We recommend to start this preparation as soon as possible.