Categories
Blog DSGVO

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Das EuGH Urteil Schrems II oder das Ende des Privacy Shield

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Die Kernaussage:

  • Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
  • Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
  • Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.

Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.  

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist. Das muss nicht sein – wir unterstützen Sie! Rufen Sie uns an T. 079 348 55 63.

Categories
Blog

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten? Sind Sie vorbereitet?

Worauf ist beim Datenschutz vor dem Hintergrund eines ungeregelten Brexit zu achten?

Brexit und die Auswirkungen im Datenschutzgesetz

Nach dem Austritt von Grossbritannien (UK) aus der EU endet die Übergangsphase am 31.12.2020. Was Sie in und vor allem nach der Übergangsphase beachten und wie Sie sich vorbereiten müssen, erfahren Sie in diesem Beitrag.

Wann ist der Brexit für ein Schweizer KMU relevant?

  • Sie verfügen über eine Niederlassung in UK.
  • setzen Dienstleister aus UK zur Ausführung Ihrer Leistungen ein (Warenlieferanten).
  • Sie nutzen in UK basierte Cloud/SaaS-Dienste, Onlinemarketing-Tools.

Betroffene Personengruppen:

  • Ihre Kund/innen.
  • Nutzer/innen Ihrer Onlinedienste oder Websitebesucher.
  • Mitarbeiter/innen oder Bewerber/innen bei Onlinebewerbungsdiensten.

Wenn UK zu einem datenschutzrechtlich unsicheren Drittland wird, drohen nach der Übergangsphase in diesen Fällen Datenschutzverstösse. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden.

Wenn die EU-Kommission UK zu einem datenschutzrechtlich sicheren Drittland wie bspw. die Schweiz erklärt, müsste der Angemessenheitsbeschluss im Rekordtempo erfolgen. Passiert das nicht, müssen Sie sich um das Datenschutzniveau selbst kümmern.

UK wird ohne Angemessenheitsbeschluss datenschutzrechtlich von der EU abgeschnitten und muss wie Russland, China… behandelt werden. Aber auch dann gibt es Möglichkeiten, Datentransfers und die Zusammenarbeit mit britischen Unternehmen datenschutzrechtlich sicher zu regeln, wie durch

  • Vertraglich erforderliche Datentransfers
  • Einwilligungen von Betroffenen
  • Sonstige Garantien (Binding-Corporate-Rules..)

Wir empfehlen, Datenverarbeitungsprozesse, Datenschutzerklärungen, Einwilligungen und Auskunftsverfahren bezüglich der Übermittlung von Personendaten zu überprüfen. Seien Sie vorbereitet, dass UK sein sicheres Datenschutzniveau verlieren kann.

Categories
Blog

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Datenschutzgesetz – Totalrevision und Änderungen weiterer Erlasse zum Datenschutz

Verschlüsselung im Datentransfer.

Die DSGVO wird im schweizerischen DSG verankert. Am 24. September 2020 hat der Nationalrat auch den lange umstrittenen schärferen Profiling-Regeln zugestimmt und damit einen Absturz der Vorlage verhindert. Der nun angenommene Kompromissvorschlag bei den Profiling-Regeln bedeutet, dass zwischen «normalem» Profiling und Profiling mit «hohem Risiko» unterschierden wird. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig.

​Der vorliegende Gesetzesentwurf hat das Ziel, den Datenschutz zu stärken – wodurch?

  • Verbesserung der Transparenz in der Datenbearbeitung, Kontrollmöglichkeiten der betroffenen Personen
  • Erhöhung des Verantwortungsbewusstsein z.B. durch die Verpflichtung, bereits bei der Planung von neuen Datenverarbeitungssystemen die Einhaltung der Datenschutzvorschriften zu berücksichtigen. Schulungen der Mitarbeiter sollen auch das Gefahrenbewusstsein von Cyberangriffen stärken.
  • Erleichterung des internationalen Datentransfer
  • Förderung und Entwicklung neuer Wirtschaftszweige im Bereich Digitalisierung 
  • Aufsicht über die Einhaltung der Datenschutznormen durch den EDÖB.

Die EU-DSGVO liefert nicht nur den Anlass sondern auch die notwendige Unterstützung zur Reflexion über neue Grundsätze in puncto Datensicherheit, um das Business zukunftssicher aufzustellen in einer digitalisierten Welt. Die DSGVO ist bereits in vielen Unternehmen als “best practice” anerkannt und eine der wesentlichsten Voraussetzungen für das Vertrauen der Benutzer in das Internet – im Zusammenspiel mit der Einführung innovativer internetbasierter Dienste in einer globalen Wirtschaft wird somit das Wirtschaftswachstum unterstützt. 

Implementieren Sie die DSGVO Compliance in Ihrem Unternehmen. Sie bietet Rechtskonformität und ist Ihr Wettbewerbsvorteil gegenüber Ihren Mitbewerbern.

Categories
Blog

Das Cookie-Urteil und seine Folgen

EuGH: Keine Cookie-Speicherung ohne aktive Einwilligung des Internetnutzers

Cookies - einwilligen oder nicht?

Es liegt keine wirk­sa­me Ein­wil­li­gung des In­ter­net­nut­zers in das Spei­chern von Coo­kies vor, wenn der An­bie­ter der Web-Seite ein An­kreuz­käst­chen mit einem vor­ein­ge­stell­ten Häk­chen ver­wen­det. Die Er­laub­nis zum Set­zen von Coo­kies er­for­de­rt viel­mehr die ak­ti­ve Ein­wil­li­gung des In­ter­net­nut­zers, be­ton­te der Ge­richts­hof der Eu­ro­päi­schen Union in einem Ur­teil vom 01.10.2019 (Az.: C-673/17).

Ein Akzeptieren von Cookies darf nicht voreingestellt sein

Der Gerichtshof hat entschieden, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. Es mache insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht. Weder eine «Opt-Out» noch eine «Soft-Opt-In» (weitersurfen) Lösung stellen eine rechtswirksame Einwilligung dar.

Die Einwilligung muss immer für den konkreten Fall erteilt werden

Das Unionsrecht solle den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass “Hidden Identifiers” oder ähnliche Instrumente in sein Gerät eindringen. Die Einwilligung müsse deshalb für den konkreten Fall erteilt werden. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar. In diesem Zusammenhang sei der Dienstanbieter gegenüber dem Nutzer verpflichtet, hinsichtlich der Cookies Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter zu machen. Es macht keinen Unterschied, ob es sich um personenbezogene oder anonyme Daten, die gespeichert werden, handelt.

Categories
Blog

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Schadsoftware Trojaner - datenschutzrechtliche Anforderungen

Zukunftsorientierte Datenpolitik: Datenschutz und Cybersecurity sind ein perfektes Paar…

Stress am Arbeitsplatz durch zu geringe Ressourcen und Fahrlässikeiten sind der grösste Risikofaktor. «….88 % der Teilnehmenden erkennen, dass die Digitalisierung mit zusätzlichen Cyber-Risiken einhergeht, und dass neben den sichtbaren Chancen auch die unsichtbaren Gefahren wachsen. Laut bsi.bund.de  erkennen nur 29 % der befragten Institutionen Cyber- Sicherheit und den Datenschutz als Wettbewerbsvorteil…»

Ein Beispiel: nachdem ein lokaler Kontrollraum des Unternehmens ausgefallen war, stand fest, dass die Rechner mit einer Ransomeware infiziert waren. Auslöser war die «smarte» Kaffeemaschine,  mit dem Internet verbunden, die selbständig Nachbestellungen orderte. Die Kaffeemaschine war nicht nur mit einem isolierten Wi-Fi Netzwerk verbunden, sondern auch mit dem Netzwerk des lokalen Kontrollraums. Es fehlte die Endpoint Security, Netzwerksegmentierung und eine Application Network Communication Control.

“Best practice” zur systematischen Identifikation von Risiken ist die neutrale Risikoaufnahme, die Systematik und Objektivität sichert. Das Ergebnis ist eine Übersicht des Gefahrenpotentials und eine Risikobewertung für Präventionsmassnahmen:

  • damit Ausfälle in digitalen Lieferketten keine Ursachen mehr für Betriebsunterbrechungen (BU) sind;
  • damit die Vorteile neuer Technologien – Künstliche Intelligenz, IoT etc. – und die Digitalisierung effizienzsteigernd genutzt werden können,
  • damit Feuer, Explosionen und Naturkatastrophen IT-Systeme, Rechenzentren und Cloud-Dienste nicht mehr bedrohen, sondern Redundanzen Ausfallsicherheit und Wiederherstellbarkeit schützen,
  • und Cybersicherheit weitestgehend als Schutz dient für digitale Transformation und Datenschutz. 

Stellen Sie Ihr Unternehmen  zukunftssicher auf mit einer Datenpolitik des Vertrauens für Fortschritt und Innovation. Es ist ein Qualitätsmerkmal. Sie beeinflusst positiv den Erfolg des Unternehmens und führt zu höherer Mitarbeiterzufriedenheit.