Details
Zugriffe: 1587
Adrian Fischbacher
Information
Themen: Daten Abonnieren

EU: Entwurf für ein künftiges Datengesetz publiziert

Information
Erstmals veröffentlicht 24 Februar 2022 von Adrian Fischbacher

English version below

Am 23. Februar 2022 hat die Europäische Kommission den ersten Entwurf für ein künftiges Datengesetz vorgestellt. Mit diesem Gesetz soll die europäische Datenstrategie umgesetzt werden, welche klare Regeln für den Zugang zu Daten und die Weiterverwendung von Daten fordert.

Aktuell wird der Zugang und die Weitergabe von Daten kaum reguliert, solange es sich nicht um Personendaten handelt. Im Zuge der fortschreitenden Digitalisierung stellt sich immer häufiger die Frage, wer das Recht hat, auf bestimmte Daten zuzugreifen. Die Thematik ist beispielsweise bei der Reparatur und Weiterentwicklung von Geräten relevant: Früher konnte ein mechanisches Gerät geöffnet und analysiert werden, um anschliessend eine Reparatur oder Modifikation vorzunehmen. Heute erfassen Geräte zwar immer mehr Daten, allerdings schotten die Hersteller ihre Produkte meist so ab, dass nur sie selbst auf diese Daten zugreifen können. Die Europäische Kommission plant, mit dem Datengesetz neue Rechte zu schaffen. So müssten neue Geräte darauf ausgerichtet sein, dass der Benutzer direkt auf die Nutzungsdaten zugreifen kann (Art. 3). Ist dies nicht möglich, so darf der Nutzer die Daten beim Hersteller herausverlangen (Art. 4) und an Dritte weitergeben (Art. 5). Ein Nutzer könnte somit Zugriff auf die Gerätedaten verlangen, um selbst oder mit Hilfe eines Dritten eine Reparatur oder ggf. Modifikation des Geräts durchzuführen.

Der Gesetzesentwurf führt damit Überlegungen fort, die seit einigen Jahren durch die «Right to repair»-Bewegung sowohl in Europa als auch in den USA propagiert werden. Die Konsumenten geben sich nicht mehr damit zufrieden, von den Herstellern aus ihren Geräten (deren Eigentümer sie sind) ausgesperrt zu werden. Ein wichtiger Punkt ist dabei auch die Vermeidung von Elektroschrott durch Produkte, die nicht repariert werden können. Bisherige Meilensteine in diesem Bereich sind beispielsweise die EU Gruppenfreistellungsverordnung Nr. 461/2010 (Reparatur von Fahrzeugen durch freie Werkstätten) oder die Richtlinie 2009/125/EG (Ökodesign-Richtlinie).

Für Unternehmen wäre eine EU-Datengesetzgebung – wenn sie denn in dieser Form eingeführt wird – ein zusätzlicher Baustein, der in der IP-Strategie berücksichtigt werden sollte. Eine ausgewogene IP-Strategie sollte die Bereiche Patente, Urheberrechte, Designs, Marken, Datenschutz und (künftig) Datenrechte abdecken.

 

English version:

On February 23, 2022, the European Commission presented the first draft of a future Data Act. This law is intended to implement the European Data Strategy, which calls for clear rules on access to data and the further use of data.

Currently, access to and reuse of data is hardly regulated as long as it is not personal data. As digitization progresses, the question of who has the right to access certain data arises more and more frequently. The issue is relevant, for example, in the repair and further development of devices: In the past, a mechanical device could be opened and analyzed in order to subsequently carry out a repair or modification. Today, devices are collecting more and more data, but manufacturers usually seal off their products so that only they can access this data. With the Data Act, the European Commission plans to create new rights. For example, new devices would have to be designed to allow the user direct access to usage data (Art. 3). If this is not possible, the user could request the data from the manufacturer (Art. 4) and would be allowed to pass it on to third parties (Art. 5). A user could thus demand access to the device data in order to repair or, if necessary, modify the device himself or with the help of a third party.

The draft law thus continues considerations that have been propagated for some years by the "right to repair" movement both in Europe and in the USA. Consumers no longer accept to be locked out of their devices (that they own) by the manufacturers. An important point here is also the avoidance of electronic waste caused by products that cannot be repaired. Previous milestones in this field include EU Block Exemption Regulation No. 461/2010 (repair of vehicles by independent repair shops) or Directive 2009/125/EC (Ecodesign Directive).

For companies, EU data legislation – if introduced in this form – would be a topic that should be addressed in the IP strategy. A balanced IP strategy should cover patents, copyrights, designs, trademarks, data protection and (future) data rights.

Details
Zugriffe: 1812
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Schutzobjekt Personendaten

Information
Erstmals veröffentlicht 23 Februar 2022 von Adrian Fischbacher

Serie revDSG: Schutzobjekt Personendaten

Dieser Blogpost ist der zweite unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Das Schutzobjekt des Schweizer Datenschutzgesetzes sind Personendaten, d.h. Angaben die sich auf eine bestimmte oder bestimmbare Person beziehen. Eine Person ist bestimmt, wenn anhand der Daten direkt auf sie geschlossen werden kann. In diese Kategorie fällt beispielsweise der Name, das Geburtsdatum oder die Fotografie einer Person. Eine Person ist bestimmbar, wenn zumindest unter Zuhilfenahme von zusätzlichen Informationen auf sie geschlossen werden kann. Hier ist die IP-Adresse als Beispiel zu nennen, welche nur mit zusätzlichen Informationen mit einer einzelnen Person verknüpft werden kann.

Die Definition der Personendaten bildet den Kern des Datenschutzrechts. Im Zuge der Revision wird eine Besonderheit des Schweizer Datenschutzrechts beseitigt: Bisher wurden in der Schweiz auch Personendaten von juristischen Personen geschützt. Ein Unternehmen konnte sich demnach auf den Schutz seiner Personendaten berufen. Im revidierten DSG entfällt dieser Schutzbereich, es sind nunmehr nur noch Daten natürlicher Personen vom Begriff der Personendaten erfasst. Damit wird die Datenschutz-Compliance im B2B-Kontakt vereinfacht. Zudem wird die Abweichung gegenüber der europäischen DSGVO beseitigt, so dass die Begriffe (CH: Personendaten, EU: personenbezogene Daten) nun inhaltlich übereinstimmen.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

 

English version:

Series revDSG: Personal Data

This blogpost is the second in our new series on the revised Swiss Data Protection Act.

The Swiss Data Protection Act protects personal data, i.e., information that relates to an identified or identifiable person. A person is identified if direct conclusions about them can be drawn from the data. This category includes, for example, the name, date of birth or photograph of a person. A person is identifiable if they can be identified at least with the help of additional information. An example is the IP address, which can only be linked to an individual person with additional information.

The definition of personal data forms the core of data protection law. In the course of the revision, a special feature of Swiss data protection law will be eliminated: Previously, personal data of legal entities was also protected in Switzerland. Accordingly, a company could invoke the protection of its personal data. In the revised Data Protection Act, this scope of protection is eliminated; the definition of personal data now only includes data of natural persons. This simplifies data protection compliance in B2B relationships. In addition, the deviation from the European GDPR is eliminated, so that the terms are now consistent in their meaning.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Details
Zugriffe: 1976
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

Serie revDSG: Roadmap neues Datenschutzgesetz

Information
Erstmals veröffentlicht 16 Februar 2022 von Adrian Fischbacher

Dieser Blogpost ist der erste unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.

Nach intensiver Verhandlung wurde das revidierte Schweizer Datenschutzgesetz in der Herbstsession 2020 vom Parlament verabschiedet. Damit stand gegen Ende 2020 fest, dass die Überarbeitung erfolgreich war, und dass das revidierte Gesetz bald in Kraft treten würde. Der genaue Zeitpunkt des Inkrafttretens ist derzeit noch nicht bestimmt, aktuell geht man vom 1. Januar 2023 aus. Damit bleiben Schweizer Unternehmen noch einige Monate, um sich auf die Neuerungen vorzubereiten.

Hintergrund

Das bisherige Datenschutzgesetz stammt aus dem Jahr 1992. Ein massgeblicher Treiber der Revision war die Tatsache, dass die Politik das nun 30-jährige Gesetz als nicht mehr zeitgemäss betrachtete. Man ging insbesondere davon aus, dass die rasante technologische Entwicklung in den vergangenen 30 Jahren die bisherige Regulierung überholt habe. Zudem wurde das Ziel verfolgt, den Datenschutz zu stärken, indem Datenbearbeitungen für die Betroffenen transparenter gemacht, und die Rechte der Betroffenen gestärkt werden sollten. Bei den Unternehmen sollte das Verantwortungsbewusstsein für den Schutz der Personendaten erhöht werden. Ein Vorbild stellt dabei sicherlich die Europäische Union dar, die mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 den Datenschutz in Europa deutlich gestärkt hat. Nicht zuletzt ging es der Schweiz auch darum, von der EU weiterhin als Land mit angemessenem Datenschutzniveau anerkannt zu werden; diese Anerkennung ermöglicht einen relativ ungehinderten Datentransfer zwischen der Schweiz und der EU.

Pendenzen

Vor dem Inkrafttreten des revidierten Schweizer Datenschutzgesetzes muss auch die Verordnung zum Datenschutzgesetz (VDSG) revidiert werden. Die Vernehmlassung zur VDSG dauerte von Juni bis Oktober 2021. Auch der Verordnungsentwurf wurde im Verlauf der Vernehmlassung kontrovers diskutiert.

Ausblick für Schweizer Unternehmen

Schweizer Unternehmen sollten jetzt beginnen, sich auf die neuen Regeln des Schweizer Datenschutzgesetzes vorzubereiten. Wer die europäische DSGVO umgesetzt hat, dürfte einen guten Teil der neuen Pflichten bereits heute erfüllen. Angesichts der aufwendigen und teilweise komplexen Dokumentationspflichten lohnt sich eine frühzeitige Umsetzung auf jeden Fall.

In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.

English Version:

This blogpost is the first in our new series on the revised Swiss Data Protection Act.

After intensive negotiations, the revised Swiss Data Protection Act was passed by Parliament in the 2020 fall session. Thus, towards the end of 2020, it was clear that the revision had been successful and that the revised law would soon enter into force. The exact date of entry into force has not yet been determined; the current assumption is January 1, 2023. This means that Swiss companies still have a few months to prepare for the changes.

Background

The previous data protection law dates back to 1992. A key driver of the revision was the fact that the now 30-year-old law was widely considered to be no longer up to date. In particular, it was assumed that the rapid technological development over the past 30 years had made the previous regulation obsolete. In addition, the aim was to strengthen data protection by making data processing more transparent for the data subjects and strengthening their rights. The aim was to increase companies' sense of responsibility for protecting personal data. The European Union, which significantly strengthened data protection in Europe with the introduction of the General Data Protection Regulation (GDPR) in 2018, certainly provides a model in this regard. Last but not least, Switzerland was also concerned with continuing to be recognized by the EU as a country with an adequate level of data protection; this recognition enables relatively unhindered data transfers between Switzerland and the EU.

Pending issues

Before the revised Swiss Data Protection Act enters into force, the Ordinance to the Data Protection Act (VDSG) must also be revised. The consultation on the VDSG lasted from June to October 2021, and the draft ordinance was also the subject of controversy during the consultation process.

Outlook for Swiss companies

Swiss companies should start preparing now for the new rules of the Swiss Data Protection Act. Those who have implemented the European GDPR should already be fulfilling a good part of the new obligations. Given the elaborate and sometimes complex documentation requirements, early implementation is definitely worthwhile.

In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.

Details
Zugriffe: 4353
Adrian Fischbacher
Information
Themen: Datenschutz Abonnieren

EDÖB anerkennt revidierte SCC

Information
Erstmals veröffentlicht 30 August 2021 von Adrian Fischbacher

Nachdem der Europäische Gerichtshof mit dem Schrems-II-Entscheid im Juli 2020 den EU-US Privacy Shield für ungültig erklärt hatte, bestand eine grosse Unsicherheit darüber, unter welchen Umständen noch Personendaten in Länder wie die USA übermittelt werden dürfen. Die Europäische Kommission hat auf diese Unsicherheit reagiert und am 4. Juni 2021 ihre revidierten Standardvertragsklauseln (SCC) veröffentlicht. Die Standardvertragsklauseln sehen vertragliche Garantien vor, die den Export von Daten in Länder mit tieferem Datenschutzniveau absichern sollen. Wer Daten in solche Länder exportiert, kann mit dem Empfänger der Daten einen entsprechenden Vertrag schliessen und zusätzliche Schutzmassnahmen vorsehen.

Das schweizerische Datenschutzgesetz sieht in Art. 6 Abs. 2 lit. a DSG vor, dass ein Export mittels solcher Verträge legitimiert werden kann. Das revidierte DSG, welches voraussichtlich per 1.1.2023 in Kraft treten wird, sieht dies ebenfalls in Art. 16 Abs. 2 lit. d revDSG vor. Werden Standardvertragsklauseln eingesetzt, so muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) gegenwärtig gemäss Art. 6 Abs. 3 DSG gemeldet werden. Mit dem revidierten DSG entfällt diese Meldepflicht, wenn Standardvertragsklauseln verwendet werden, die der EDÖB zuvor genehmigt, ausgestellt oder anerkannt hat.

Die revidierten SCC der Europäischen Kommission wurden vom EDÖB am 27. August 2021 anerkannt. Gleichzeitig hat der EDÖB ein Informationspapier publiziert, in welchem er die Verwendung der revidierten SCC erläutert. Die europäischen SCC sind für den Einsatz unter der europäischen DSGVO ausgelegt. Für Schweizer Datenexporteure müssen die SCC gemäss den Angaben des EDÖB angepasst werden, so dass sie mit dem Schweizer Recht harmonieren.

Details
Zugriffe: 2257
Adrian Fischbacher
Information
Themen: IT-Recht Abonnieren

Lokale Backups trotz Cloud-Storage

Information
Erstmals veröffentlicht 06 August 2021 von Adrian Fischbacher

Viele Unternehmen gehen derzeit dazu über, ihre Geschäftsdaten in die Cloud zu verlagern. Ein Cloudanbieter übernimmt dabei die gesamte Speicherung der Daten. Grosse Cloudanbieter gewährleisten in der Regel ein hohes Mass an Datensicherheit. Trotzdem kommt regelmässig die Frage auf, ob man die Erstellung von Backups ganz dem Cloudanbieter überlässt, oder ob das Unternehmen selbst noch lokale Backups anlegen soll.

Aus rechtlicher Sicht war diese Frage bis vor Kurzem relativ klar zu beantworten: Lokale Backups waren unabdingbar, denn beim Konkurs des Cloudanbieters bestand nach der Rechtslage in der Schweiz kein Aussonderungsrecht für Daten. Per 1. August 2021 wurde mit Art. 242b SchKG eine neue Regelung ins Konkursrecht eingefügt: Neu kann bei einem Konkurs die Herausgabe von Daten verlangen, wer eine gesetzliche oder vertragliche Berechtigung nachweisen kann. Damit wurde die parlamentarische Initiative Nr. 17.410 umgesetzt, welche die Datenherausgabe im Konkurs gefordert hatte.

Trotz der rechtlichen Verbesserung würden wir in jedem Fall dazu raten, lokale Backups anzufertigen: Bei geschäftskritischen Daten können bereits kurze Verzögerungen zu grossen Umsatzeinbussen führen. Hinzu kommt die Problematik, dass die grossen Cloudanbieter ihren Sitz in der Regel im Ausland haben. In der Folge entsteht ein komplexer internationaler Sachverhalt, der ggf. wiederum zu Schwierigkeiten und Verzögerungen führt. Sowohl aus rechtlicher wie auch aus praktischer Sichtweise sind Unternehmen daher gut beraten, die Herrschaft über ihre Geschäftsdaten nicht vollständig aus der Hand zu geben.