Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Brexit und Datenschutz

Information
Erstmals veröffentlicht 05 Januar 2021 von Adrian Fischbacher

Mit dem Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union und dem Ende der Übergangsfrist am 31. Dezember 2020 gilt UK ab dem 1. Januar 2021 als Drittstaat. Daher sind bei der Übertragung von Personendaten aus einem EU-Land nach UK künftig die Grundsätze der Art. 45 und 46 DSGVO zu beachten. Um die Datenübertragung wie bisher weiterzuführen, müsste die Europäische Kommission einen Angemessenheitsbeschluss erlassen, in welchem sie das Datenschutzniveau von UK als angemessen beurteilt (Art. 45 Abs. 1 DSGVO).

Die Vereinbarung zwischen der EU und UK vom 24. Dezember 2020 sieht eine viermonatige Übergangsfrist vor, die auf sechs Monate verlängert werden kann. Bis Mitte 2021 sind Übertragungen von Personendaten aus der EU nach UK daher abgesichert. Ob danach bereits ein Angemessenheitsbeschluss vorliegt, ist fraglich: Die Snowden-Enthüllungen im Jahr 2013 haben gezeigt, dass die britischen und amerikanischen Geheimdienste eng zusammenarbeiten und zahlreiche Daten aus UK in die USA weitergeleitet werden. Der Europäische Gerichtshof hat mit dem sog. Schrems-II-Entscheid C-311/18 festgehalten, dass das Datenschutzniveau der USA aus europäischer Sicht unzureichend sei. Die amerikanischen Überwachungsprogramme erlaubten den Geheimdiensten, auf Daten zuzugreifen, ohne dass dieser Zugriff irgendeiner gerichtlichen Kontrolle unterläge. Diese Einschätzung könnte auch beim Angemessenheitsbeschluss für UK relevant werden: Weil die britischen Geheimdienste eng mit den amerikanischen kooperieren, besteht das Risiko, dass die EU den Angemessenheitsbeschluss verweigert. Dies würde die Übertragung von Personendaten nach UK deutlich erschweren.

Die Problematik zeigt, dass die europäische Datenschutzpolitik Mitgliedsstaaten und Drittstaaten ungleich behandelt: Solange ein Land EU-Mitglied ist, spielt es bei der Datenübertragung keine Rolle, ob sein Datenschutzniveau ausreichend ist. Erst mit dem Austritt wird die Übermittlung aufgrund der Regelung von Art. 45 und 46 DSGVO zum Problem. Der EuGH stellt einen strengen Massstab an die USA und kritisiert die weitgehenden Befugnisse der amerikanischen Geheimdienste und die fehlende gerichtliche Kontrolle. Dabei ist fraglich, ob die Befugnisse der Geheimdienste der EU-Mitgliedsstaaten nicht teilweise ebenso weit gehen.

Für die Schweiz ergibt sich folgendes Bild: Der Angemessenheitsbeschluss der EU ist bei der Übertragung von Personendaten aus der Schweiz nach UK nicht unmittelbar relevant. Gemäss Art. 6 Abs. 1 des Schweizer Datenschutzgesetzes dürfen Personendaten nur dann aus der Schweiz ins Ausland übertragen werden, wenn die Gesetzgebung im Zielland einen angemessenen Datenschutz gewährleistet. Bei seiner jüngsten Aktualisierung der Staatenliste im September 2020 beurteilte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB das Datenschutzniveau in UK als ausreichend (vgl. die Staatenliste unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html). Es bleibt abzuwarten, ob sich an dieser Einschätzung in Zukunft etwas verändert. Sollte die EU den Angemessenheitsbeschluss für UK verweigern, so dürfte der EDÖB diese Einschätzung nachvollziehen, so wie er dies bei der Einschätzung zu den USA im Nachgang zum Schrems-II-Entscheid getan hat.

Adrian Fischbacher
Information
Themen: IT-Recht, Datenschutz, Cloud, Daten Abonnieren

Rechtliche Aspekte beim Cloud-Computing

Information
Erstmals veröffentlicht 18 Dezember 2020 von Adrian Fischbacher - Co-Autor (en): Jan Kleffmann

Cloud-Computing ermöglicht es einem Unternehmen, ohne eigenes Rechenzentrum schnell und flexibel Rechenkapazität bereitzustellen und zu nutzen. Für viele Unternehmen ergibt sich dadurch ein Kostenvorteil im Vergleich zum Betrieb eines eigenen Rechenzentrums. Zudem sind viele heutige Geschäftsmodelle ohne Cloud-Computing gar nicht denkbar: Die meisten schnell wachsenden Unternehmen hätten Mühe, ohne Cloud-Computing ihre Rechenkapazität genügend schnell auszubauen. Viele Inhalte müssen weltweit zur Verfügung gestellt werden, weshalb sich ein Cloud-Netzwerk mit verschiedenen Standorten anbietet. Aus rechtlicher Sicht stellt sich beim Cloud-Computing eine Vielzahl an Fragen. Nachfolgend sollen drei wichtige Fragen kurz beleuchtet werden:

1. Cloud und Datenschutz

In der Regel werden in der Cloud nebst anderen Daten auch Personendaten verarbeitet. Daher müssen die Bestimmungen der anwendbaren Datenschutzgesetze beachtet werden.

Beim Cloud-Computing liegt ein Fall der Auftragsdatenbearbeitung vor: Der Cloud-Anbieter verarbeitet die übermittelten Daten im Auftrag des Kunden. Gemäss der europäischen Datenschutz-Grundverordnung sowie dem revidierten Schweizer Datenschutzgesetz muss die Auftragsdatenverarbeitung vertraglich geregelt werden. Es muss ein Weisungs- und Kontrollrecht des Auftraggebers sowie ein Grundstandard der Datensicherheit vereinbart werden. Grössere Cloud-Anbieter verfügen in der Regel über vorgefertigte Vertragsmuster für die Auftragsdatenverarbeitung.

Zudem müssen die Regeln zur Datenübertragung ins Ausland beachtet werden. Grundsätzlich dürfen Personendaten nur in Länder übertragen werden, die ein angemessenes Datenschutzniveau bieten. Insbesondere bei den USA ist dies nicht gewährleistet. Solche Übertragungen müssen anderweitig abgesichert werden, ansonsten sind sie zu unterlassen. Bei grösseren Cloud-Anbietern können die Serverstandorte meist regional eingegrenzt werden. Es ist empfehlenswert, diese Region auf Europa zu beschränken und vorzusehen, dass keine Personendaten diese Region verlassen.

2. Konkurs des Anbieters

Gerät der Cloud-Anbieter in Konkurs, so stellt sich das Problem, dass der Cloud-Nutzer unter Umständen nicht mehr an seine Daten gelangen kann. Nach der heute geltenden Rechtslage in der Schweiz besteht im Konkurs eines Unternehmens kein Aussonderungsrecht für Daten einer Drittperson. Das Schweizer Recht kennt auch kein Eigentumsrecht an Daten. Daten fallen nicht unter den Begriff der Sache im Zivilgesetzbuch, da ihnen die notwendige Körperlichkeit fehlt.

Der Sachverhalt kann in der Regel nicht nur mit Blick auf das Schweizer Recht geklärt werden, da die meisten grossen Cloud-Anbieter ihren Sitz im Ausland haben. Dennoch gilt auch bei Daten auf einer Cloud dasselbe wie bei jedem PC: Regelmässige Backups schützen sowohl vor technischem wie auch vor faktischem Datenverlust.

3. Zugriff von Behörden

Mit der Auslagerung von Speicherplatz in die Cloud steigt das Risiko, dass Dritte auf die gespeicherten Daten zugreifen. Besteht eine entsprechende Rechtsgrundlage, so kann eine Behörde vom Cloud-Anbieter die Herausgabe von Daten verlangen. Als Beispiel für eine solche Rechtsgrundlage ist der CLOUD Act zu nennen. Der CLOUD Act ist ein US-amerikanisches Gesetz, welches US-Unternehmen verpflichtet, den US-Behörden unter gewissen Umständen Zugriff auf gespeicherte Daten zu gewähren. Dies gilt selbst dann, wenn sich die Daten nicht in den USA befinden.

Je nach Sensitivität der Daten muss eine Abwägung getroffen werden, ob die Auslagerung auf einen Cloud-Dienst gerechtfertigt werden kann. Grosse Cloud-Anbieter raten ihren Kunden zudem, die gespeicherten Daten zu verschlüsseln. Im Idealfall werden alle Daten vor der Übermittlung auf den Cloud-Server verschlüsselt, so dass weder der Cloud-Anbieter noch ein allfälliger Dritter die Daten im Klartext lesen kann.

Falls Sie zu den obengenannten Punkten Fragen haben, helfen wir Ihnen gerne weiter. Sie erreichen uns über das Kontaktformular oder telefonisch unter +41 44 225 70 70.

Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Revision Datenschutzgesetz: Die Datenschutzerklärung

Information
Erstmals veröffentlicht 25 November 2020 von Adrian Fischbacher

Im September 2020 wurde das revidierte Schweizer Datenschutzgesetz (revDSG) beschlossen. Es wird voraussichtlich 2022 in Kraft treten. Eine wichtige Neuerung im revidierten Datenschutzgesetz betrifft die Datenschutzerklärung. Diese wird neu verpflichtend. Bei der Beschaffung von Personendaten muss die betroffene Person gemäss Art. 19 revDSG darüber informiert werden, dass ihre Daten erfasst werden.

In der Datenschutzerklärung müssen mindestens folgende Punkte thematisiert werden:

  • Die Identität und Kontaktdaten des Verantwortlichen
  • Der Bearbeitungszweck
  • Falls Daten nicht bei der betroffenen Person beschafft werden: Die Kategorien der Daten
  • Falls Daten an Dritte bekanntgegeben werden: Der Empfänger oder die Kategorien von Empfängern
  • Falls Daten ins Ausland übermittelt werden: Der Staat, in den die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist

Die betroffene Person muss auch dann informiert werden, wenn ihre Daten nicht bei ihr, sondern bei einem Dritten beschafft werden. In diesem Fall muss die betroffene Person innerhalb eines Monats nach der Beschaffung der Daten informiert werden (Art. 19 Abs. 3 und 5 revDSG).

In Art. 20 revDSG werden die Ausnahmen von der Informationspflicht festgelegt. Unter anderem ist keine Information notwendig, wenn die Bearbeitung der Daten gesetzlich vorgesehen ist, oder wenn die betroffene Person bereits über die entsprechenden Informationen verfügt. Werden die Daten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht, wenn die Information nicht möglich oder unverhältnismässig aufwendig wäre.

Die Datenschutzerklärung wird idealerweise auf der Unternehmenswebseite publiziert oder einem Vertrag beigelegt.

Die Datenschutz-Grundverordnung (DSGVO) der EU schreibt bereits seit 2018 eine Datenschutzerklärung vor. Wer bereits über eine DSGVO-konforme Datenschutzerklärung verfügt, muss diese nur geringfügig anpassen: Die Regel, dass bei der Übertragung von Daten ins Ausland das Empfängerland angegeben werden muss, besteht in der DSGVO nicht, weshalb diese Angabe ergänzt werden muss. Demgegenüber muss nach dem revidierten DSG in der Regel keine Rechtsgrundlage für die Verarbeitung von Daten angegeben werden; diese Angabe muss daher nur gemacht werden, wenn die DSGVO anwendbar ist. Es empfiehlt sich, eine Datenschutzerklärung zu verfassen, die sowohl die DSGVO als auch das revDSG abdeckt.

Adrian Fischbacher
Information
Themen: IT-Recht Abonnieren

Entwurf für ein Gesetz für die elektronische Kommunikation mit der Justiz

Information
Erstmals veröffentlicht 16 November 2020 von Adrian Fischbacher

Der Bundesrat plant, die elektronische Kommunikation mit der Justiz zu vereinfachen. Er hat am 11. November 2020 seinen Gesetzesentwurf für das geplante Bundesgesetz für die elektronische Kommunikation mit der Justiz (BEKJ) in die Vernehmlassung geschickt.

Die elektronische Kommunikation mit Gerichten ist bereits heute möglich, jedoch hat sie sich bisher nicht durchgesetzt. Mit der Strategie «Justitia 4.0» verfolgen die schweizerischen Gerichte und Justizvollzugsbehörden das Ziel, die Digitalisierung im Bereich der Justiz voranzutreiben. Die elektronische Übermittlung von Dokumenten ermöglicht es sowohl Gerichten als auch Rechtssuchenden, effizient und papierlos zu arbeiten.

Mit dem Gesetzesentwurf sollen die rechtlichen Grundlagen für eine sichere Kommunikationsplattform (E-Justiz-Plattform) geschaffen werden. Die Kommunikation würde auf der E-ID gemäss dem E-ID-Gesetz basieren, über welches am 7. März 2021 abgestimmt wird. Nach der Authentifizierung könnten Dokumente auf sicherem Weg übermittelt werden. Zudem würde die Plattform ein Adressverzeichnis enthalten. Die Vernehmlassung dauert bis am 26. Februar 2021.

Aus unserer Sicht ist die Schaffung einer einheitlichen und sicheren Zustellplattform sehr zu begrüssen. Wichtig erscheint, dass das Projekt von Anfang an professionell und unter Berücksichtigung kryptografischer Standards umgesetzt wird. Die korrekte Implementierung einer Ende-zu-Ende-Verschlüsselung ist erfahrungsgemäss komplex und darf nicht unterschätzt werden. Zudem wäre es wünschenswert, dass der Quellcode der Software offengelegt wird.

In Deutschland existiert mit dem «besonderen elektronischen Anwaltspostfach (beA)» eine vergleichbare Plattform. Bei deren Einführung kam es zu grossen Verzögerungen aufgrund von Sicherheitsproblemen. Weil es nicht quelloffen ist und keine echte Ende-zu-Ende-Verschlüsselung bietet, ist das deutsche System bis heute umstritten. Die Schweiz sollte sich an den Erfahrungen im Ausland orientieren, um solche Probleme zu vermeiden.

Adrian Fischbacher
Information
Themen: Patentrecht Abonnieren

Vernehmlassung Teilrevision Patentgesetz

Information
Erstmals veröffentlicht 16 Oktober 2020 von Adrian Fischbacher - Co-Autor (en): Moritz Hönig

Der Bundesrat hat am 14. Oktober 2020 das Vernehmlassungsverfahren zur Teilrevision des schweizerischen Patentgesetzes eröffnet. Nach dem Revisionsentwurf soll das Eidgenössische Institut für Geistiges Eigentum (IGE) prüfen, ob eine Erfindung neu und erfinderisch ist. Diese zentralen Schutzvoraussetzungen werden im Schweizer Patentrecht bisher bei der Erteilung nicht geprüft. Erst in einem späteren Streitfall zeigt sich, ob das Patent beständig ist. Dies ist beim europäischen Patent anders: Das Europäische Patentamt (EPA) prüft die Erfordernisse der Neuheit und der erfinderischen Tätigkeit bereits vor der Patenterteilung. Aus diesem Grund kommt einem erteilten europäischen Patent bisher ein höheres Gewicht zu, als einem schweizerischen Patent. Für Schweizer Erfinder besteht aber bereits bisher die Möglichkeit, direkt ein europäisches Patent zu beantragen. Beim europäischen Patent kann der Anmelder wählen, für welche Länder er den Schutz beansprucht, indem er einzelne Vertragsstaaten benennt.

Mit der Teilrevision will der Bundesrat diese Situation ändern, und eine umfassendere Prüfung der Erfindung durch das IGE einführen. Weil damit die Hürden für die Patenterteilung erhöht werden, will der Bundesrat gleichzeitig das sogenannte Gebrauchsmuster als neues Schutzinstrument einführen. Gebrauchsmuster sind im Ausland schon länger bekannt und werden häufig als «kleines Patent» bezeichnet. Das Gebrauchsmuster würde nach dem Vorschlag des Bundesrats ohne inhaltliche Prüfung und für höchstens zehn Jahre erteilt.

Damit bieten sich dem Erfinder mehr Möglichkeiten, seine Innovationen zu schützen. Zudem könnte das Gebrauchsmuster in einer Patentbox verwendet werden, was steuerliche Vorteile schafft. Weitere Informationen zur steuerlichen Absetzbarkeit durch die Patentbox sind in unserem Blogpost zur Patentbox zu finden.

Die Vernehmlassung dauert bis zum 1. Februar 2021.