Categories
Blog EN

European General Data Protection Regulation: New legal situation for Swiss exporters

European General Data Protection Regulation: new legal situation for Swiss exporters

The European General Data Protection Regulation (GDPR) has regulated the processing of personal data in the EU since 2018. A court ruling now extends the scope to include personal data of EU citizens that are transferred to third countries. For Swiss SMEs, this can already be the case when processing payments via international service providers or when using cloud services.

Categories
Blog EN

What to pay attention to when it comes to data protection against the backdrop of an unregulated Brexit?

What to pay attention to when it comes to data protection against the backdrop of an unregulated Brexit?

Brexit und die Auswirkungen im Datenschutzgesetz

After the United Kingdom (UK) leaves the EU, the transition period ends on December 31, 2020. This article draws the attention to during and especially after the transition period and the subjects to be prepared – only in case if UK might slip into the status of a “third country” that does not comply with the European level of data protection. When is the subject relevant for a Swiss SME?

  • You have a branch office in the UK.
  • Use service providers from the UK to perform your services (goods suppliers).
  • You use UK-based cloud/SaaS services, online marketing tools.

Affected groups of people:

  • Your customers.
  • Users of your online services or website visitors.
  • Employees or applicants to online application services.

If the UK becomes a third country that is insecure in terms of data protection law, the above-mentioned conditions will be at risk of data protection breaches after the transition phase. According to GDPR, all countries outside the EU and the EEA are so-called “third countries”, i.e. personal data may not be transferred to these countries without further ado.

If the EU Commission declares the UK to be a safe third country under data protection law, such as Switzerland, the adequacy decision would have to be made at record speed. If this does not happen, you have to take care of the data protection level yourself.

UK will be cut off from EU in terms of data protection without adequacy decision and will have to be treated like Russia, China…. But even then, there are ways to securely regulate data transfers and cooperation with UK companies under data protection law, such as through

  • Contractually required data transfers
  • Consents from data subjects
  • Other guarantees (Binding Corporate Rules…)

We recommend reviewing data processing procedures, privacy statements, consents and access procedures regarding transfers of personal data. Be prepared that UK may lose its secure level of data protection.

Categories
Blog EN

Data Protection Act – total revision and amendments to further data protection decrees

Data Protection Act - Total Revision and amendments to further data protection decrees

Verschlüsselung im Datentransfer.

 

The GDPR will be enshrined in the Swiss DPA. On September 24, 2020, the National Council also approved the long-controversial stricter profiling rules (of the SR), thus preventing the bill from crashing. The compromise proposal now adopted on the profiling rules means that a distinction will be made between “normal” profiling and “high risk” profiling. For the latter, explicit consent of the data subjects is required.

The present draft law aims to strengthen data protection – and how?

  • Improving transparency in data processing, control options for data subjects
  • Increasing the sense of responsibility, e.g., by requiring compliance with data protection regulations to be taken into account as early as the planning stage of new data processing systems. Training of employees should also increase awareness of the dangers of cyber-attacks.
  • Facilitating the international transfer of data
  • Promotion and development of new economic sectors in the area of digitalization.
  • Supervision of compliance with data protection standards by the SWISS DPO.

The GDPR provides not only the occasion but also the necessary support to reflect on new principles in terms of data security in order to future-proof business in a digitalized world. The GDPR is already recognized as “best practice” in many companies and is one of the most essential prerequisites for users trust in the Internet – in combination with the introduction of innovative Internet-based services in a global economy, this supports economic growth. Implement GDPR compliance in your business. It is your competitive advantage and a quality feature too!

Categories
Blog EN

The cookie ruling and its consequences

The European Court of Justice: no cookie storage without active consent of the internet user

Cookies - einwilligen oder nicht?

The user does not effectively consent to the storage of cookies if the user of the web page uses a checkbox with a pre-set check mark. The permission to set cookies rather requires the active consent of the Internet user, the Court of Justice of the European Union stated in a judgment of October 1, 2019 (Case No. C-673/17). If the storage/collection of information from cookies is based on consent, a pre-set checkbox does not constitute effective consent.

Acceptance of cookies must not be preset

The Court of Justice has ruled that the consent required for the storage and retrieval of cookies on the device of the visitor to a website is not effectively given by a pre-set checkbox which the user must deselect in order to refuse his consent. In this respect, it makes no difference whether the information stored or accessed on the user’s device is personal data or not. Neither an “opt-out” nor a “soft opt-in” (continue surfing) solution constitutes legally effective consent.

People must give their consent for any kind of data transfer, tracking ….

Union law was intended to protect users from any intrusion into their privacy, in particular, against the risk of “hidden identifiers” or similar instruments entering their device. The consent must therefore be given for the specific case. Pressing the button to enter the competition does not yet constitute effective consent of the user to the storage of cookies. In this context, the service provider is obligated to the user to provide information regarding the function duration and the access possibility of third parties about his cookies. It makes no difference whether it is personal or anonymous data that is stored.

Categories
Blog EN

Future-oriented data policy: data protection and cybersecurity are a perfect pair …

Future-oriented data policy: data protection and cybersecurity are a perfect pair …

Schadsoftware Trojaner - datenschutzrechtliche Anforderungen

Stress in the workplace due to insufficient resources and negligence are the greatest risk factor. «… .88% of the participants recognize that digitization is associated with additional cyber risks and that in addition to the visible opportunities, the invisible dangers are also growing. According to bsi.bund.de, only 29% of the institutions surveyed see cyber security and data protection as a competitive advantage … »

An example: after a local control room of the company went down, it became clear that the computers were infected with ransomware. The trigger was the “smart” coffee machine, connected to the Internet, which independently ordered reorders. The coffee maker was not only connected to an isolated Wi-Fi network, but also to the local control room network. The endpoint security, network segmentation and application network communication control were missing.

“Best practice” for the systematic identification of risks is the neutral risk assessment that ensures systematics and objectivity. The result is an overview of the hazard potential and a risk assessment for preventive measures:

  • So that failures in digital supply chains are no longer a cause of business interruptions;
  • So that the advantages of new technologies – artificial intelligence, IoT etc. – and digitization can be used to increase efficiency.
  • So that fires, explosions and natural disasters no longer threaten IT systems, data centers and cloud services, but instead protect redundancies, fail-safety and recoverability.
  • And cybersecurity largely serves as protection for digital transformation and data protection.

Future-proof your business with a data policy of trust for progress and innovation. It’s a quality attribute. It positively influences the success of the company and leads to higher employee satisfaction.

Categories
Blog DSGVO

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Das EuGH Urteil Schrems II oder das Ende des Privacy Shield

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Die Kernaussage:

  • Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
  • Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
  • Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.

Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.  

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist. Das muss nicht sein – wir unterstützen Sie! Rufen Sie uns an T. 079 348 55 63.

Categories
Blog

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten? Sind Sie vorbereitet?

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten?

Brexit und die Auswirkungen im Datenschutzgesetz

Nach dem Austritt von Grossbritannien (UK) aus der EU endet die Übergangsphase am 31.12.2020. Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich vorbereiten müssen, erfahren Sie in diesem Beitrag.

Wann ist der Brexit für ein Schweizer KMU relevant?

  • Sie verfügen über eine Niederlassung in UK.
  • setzen Dienstleister aus UK zur Ausführung Ihrer Leistungen ein (Warenlieferanten).
  • Sie nutzen in UK basierte Cloud/SaaS-Dienste, Onlinemarketing-Tools.

Betroffene Personengruppen:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen bei Onlinebewerbungsdiensten.

Wenn UK zu einem datenschutzrechtlich unsicheren Drittland wird, drohen nach der Übergangsphase in diesen Fällen Datenschutzverstösse. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden.

Wenn die EU-Kommission UK zu einem datenschutzrechtlich sicheren Drittland wie bspw. die Schweiz erklärt, müsste der Angemessenheitsbeschluss im Rekordtempo erfolgen. Passiert das nicht, müssen Sie sich um das Datenschutzniveau selbst kümmern.

UK wird ohne Angemessenheitsbeschluss datenschutzrechtlich von der EU abgeschnitten und muss wie Russland, China… behandelt werden. Aber auch dann gibt es Möglichkeiten, Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln, wie durch

  • Vertraglich erforderliche Datentransfers
  • Einwilligungen von Betroffenen
  • Sonstige Garantien (Binding-Corporate-Rules..)

Wir empfehlen, Datenverarbeitungsprozesse, Datenschutzerklärungen, Einwilligungen und Auskunftsverfahren bezüglich der Übermittlung von Personendaten zu überprüfen. Seien Sie vorbereitet, dass UK sein sicheres Datenschutzniveau verlieren kann.

Categories
Blog

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Verschlüsselung im Datentransfer.

Die DSGVO wird im schweizerischen DSG verankert. Am 24. September 2020 hat der Nationalrat auch den lange umstrittenen schärferen Profiling-Regeln zugestimmt und damit einen Absturz der Vorlage verhindert. Der nun angenommene Kompromissvorschlag bei den Profiling-Regeln bedeutet, dass zwischen «normalem» Profiling und Profiling mit «hohem Risiko» unterschierden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.

​Der vorliegende Gesetzesentwurf hat das Ziel, den Datenschutz zu stärken – wodurch?

  • Verbesserung der Transparenz in der Datenbearbeitung, Kontrollmöglichkeiten der betroffenen Personen
  • Erhöhung des Verantwortungsbewusstsein z.B. durch die Verpflichtung, bereits bei der Planung von neuen Datenverarbeitungssystemen die Einhaltung der Datenschutzvorschriften zu berücksichtigen. Schulungen der Mitarbeiter sollen auch das Gefahrenbewusstsein von Cyberangriffen stärken.
  • Erleichterung des internationalen Datentransfer
  • Förderung und Entwicklung neuer Wirtschaftszweige im Bereich Digitalisierung 
  • Aufsicht über die Einhaltung der Datenschutznormen durch den EDÖB.

Die EU-DSGVO liefert nicht nur den Anlass sondern auch die notwendige Unterstützung zur Reflexion über neue Grundsätze in puncto Datensicherheit, um das Business zukunftssicher aufzustellen in einer digitalisierten Welt. Die DSGVO ist bereits in vielen Unternehmen als “best practice” anerkannt und eine der wesentlichsten Voraussetzungen für das Vertrauen der Benutzer in das Internet – im Zusammenspiel mit der Einführung innovativer internetbasierter Dienste in einer globalen Wirtschaft wird somit das Wirtschaftswachstum unterstützt. 

Implementieren Sie die DSGVO Compliance in Ihrem Unternehmen. Sie bietet Rechtskonformität und ist Ihr Wettbewerbsvorteil gegenüber Ihren Mitbewerbern.

Categories
Blog

Das Cookie-Urteil und seine Folgen

EuGH: Keine Cookie-Speicherung ohne aktive Einwilligung des Internetnutzers

Cookies - einwilligen oder nicht?

Es liegt keine wirk­sa­me Ein­wil­li­gung des In­ter­net­nut­zers in das Spei­chern von Coo­kies vor, wenn der An­bie­ter der Web-Seite ein An­kreuz­käst­chen mit einem vor­ein­ge­stell­ten Häk­chen ver­wen­det. Die Er­laub­nis zum Set­zen von Coo­kies er­for­de­rt viel­mehr die ak­ti­ve Ein­wil­li­gung des In­ter­net­nut­zers, be­ton­te der Ge­richts­hof der Eu­ro­päi­schen Union in einem Ur­teil vom 01.10.2019 (Az.: C-673/17).

Ein Akzeptieren von Cookies darf nicht voreingestellt sein

Der Gerichtshof hat entschieden, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. Es mache insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht. Weder eine «Opt-Out» noch eine «Soft-Opt-In» (weitersurfen) Lösung stellen eine rechtswirksame Einwilligung dar.

Die Einwilligung muss immer für den konkreten Fall erteilt werden

Das Unionsrecht solle den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass “Hidden Identifiers” oder ähnliche Instrumente in sein Gerät eindringen. Die Einwilligung müsse deshalb für den konkreten Fall erteilt werden. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar. In diesem Zusammenhang sei der Dienstanbieter gegenüber dem Nutzer verpflichtet, hinsichtlich der Cookies Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter zu machen. Es macht keinen Unterschied, ob es sich um personenbezogene oder anonyme Daten, die gespeichert werden, handelt.

Categories
Blog

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Schadsoftware Trojaner - datenschutzrechtliche Anforderungen

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Stress am Arbeitsplatz durch zu geringe Ressourcen und Fahrlässikeiten sind der grösste Risikofaktor. «….88 % der Teilnehmenden erkennen, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergeht, und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen. Laut bsi.bund.de  erkennen nur 29 % der befragten Institutionen Cyber- Sicherheit und den Datenschutz als Wettbewerbsvorteil…»

Ein Beispiel: nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand fest, dass die Rechner mit einer Ransomeware infiziert waren. Auslöser war die «smarte» Kaffeemaschine,  mit dem Internet verbunden, die selbständig Nachbestellungen orderte. Die Kaffeemaschine war nicht nur mit einem isolierten Wi-Fi Netzwerk verbunden, sondern auch mit dem Netzwerk des lokalen Kontrollraums. Es fehlte die Endpoint Security, Netzwerksegmentierung und eine Application Network Communication Control.

“Best practice” zur systematischen Identifikation von Risiken ist die neutrale Risikoaufnahme, die Systematik und Objektivität sichert. Das Ergebnis ist eine Übersicht des Gefahrenpotentials und eine Risikobewertung für Präventionsmassnahmen:

  • damit Ausfälle in digitalen Lieferketten keine Ursachen mehr für Betriebsunterbrechungen (BU) sind;
  • damit die Vorteile neuer Technologien – Künstliche Intelligenz, IoT etc. – und die Digitalisierung effizienzsteigernd genutzt werden können,
  • damit Feuer, Explosionen und Naturkatastrophen IT-Systeme, Rechenzentren und Cloud-Dienste nicht mehr bedrohen, sondern Redundanzen Ausfallsicherheit und Wiederherstellbarkeit schützen,
  • und Cybersicherheit weitestgehend als Schutz dient für digitale Transformation und Datenschutz. 

Stellen Sie Ihr Unternehmen  zukunftssicher auf mit einer Datenpolitik des Vertrauens für Fortschritt und Innovation. Es ist ein Qualitätsmerkmal. Sie beeinflusst positiv den Erfolg des Unternehmens und führt zu höherer Mitarbeiterzufriedenheit.