Mirjam Trottmann hat folgenden Blogbeitrag im Rahmen eines Leistungsnachweises des CAS Legal Tech verfasst, welcher subjektive Färbungen enthält. Ioannis Martinis hat den Beitrag bewertet und die Redaktion des Institute for Digital Business hat diesen redigiert. 

Rechtliche Rahmenbedingungen

Caroline Danner von ONLAW erklärt uns heute das Wichtigste zu Datenschutz und Legal Tech in der Schweiz. Hierzu ist vor allem das Bundesgesetz über den Datenschutz (DSG) relevant. In gewissen Konstellationen kommen ausländische Datenschutzregelungen zur Anwendung. Häufig ist es die Datenschutz Grundverordnung der Europäischen Union (DSGVO). Auch in anderen Kursen werden Blogs zum Thema DSGVO geschrieben (Big Data und DSGVO). Die Totalrevision des DSG ist derzeit im Gange. In Kraft tritt das neue DSG voraussichtlich in der zweiten Jahreshälfte 2022.

Datenschutz und Legal Tech: Wieso?

Wenn private Personen und Bundesorgane Personendaten bearbeiten gilt das DSG. Zu den privaten Personen gehören auch Unternehmen. Zweck des DSG ist der Schutz der Persönlichkeit und der Grundrechte von uns Menschen. Demzufolge geht es um fundamentale Rechte von Menschen und Unternehmen.

In der Schweiz ist die Datenbearbeitung grundsätzlich zulässig. Es sind folgende Grundsätze (Art. 4 DSG) einzuhalten:

1. Rechtmässigkeit

Bei der Bearbeitung von Personendaten muss die geltende Rechtsordnung eingehalten werden. Dann ist die Rechtmässigkeit erfüllt.

2. Verhältnismässigkeit

Die Verhältnismässigkeit ist erfüllt, wenn die Daten benötigt und geeignet sind, um den vorgesehenen Zweck zu erfüllen.

3. Zweckgebundenheit

Wer Daten bearbeitet, muss den angegebenen Zweck bei deren Beschaffung, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist, wahren. Folglich ist dies ein wichtiger Grundsatz, vor allem wenn es um die Weitergabe oder den Verkauf von Daten geht.

4. Transparenz / Erkennbarkeit

Hier muss die betroffene Person erkennen können, wer welche Daten wofür verwendet. In diesem Bereich gibt es mit dem neuen DSG strengere Vorschriften. Weshalb in Zukunft eine Informationspflicht bezüglich Datenbearbeitung besteht.

Datenschutz im Supermarkt zum Anschauen auf YouTube.

Welche Daten sind geschützt?

Geschützt sind ausschliesslich Personendaten. Dazu gehören in jedem Fall der Name, Adresse, Geburtstagsdatum oder das Foto. Ferner gehören auch weitere Daten dazu. Namentlich Daten welche direkt oder indirekt auf eine Person zurück schliessen. Heute sind dies auch die Unternehmensdaten. Jedoch fällt der Schutz für juristische Personen mit dem neuen DSG weg.

Indessen gelten IP-Adressen heutzutage in der Regel als Personendaten, weil sie einer Person zugeordnet werden können.

Datenschutz und Legal Tech: die relevanten Fragen

Bei der Einführung von neuen Tools, stellen sich bzgl. Datenschutz und Legal Tech folgende Fragen:

  • Sind Personendaten betroffen? Falls ja, welche?
  • Welche Formen einer Datenbearbeitung spielen eine Rolle?
  • Was wird mit den Daten gemacht?
  • Wer bearbeitet die Personendaten? Werden diese weitergegeben?
  • Wo werden die Personendaten bearbeitet?
  • Wer hat in welcher Art Zugriff zu den Personendaten?

Automatisierte Entscheidfindung

Wenn eine Maschine aufgrund von Informationen selbst einen Entscheid fällt, besteht mit der neuen DSG eine Informationspflicht gegenüber der betroffenen Person. Insbesondere in diesem Bereich fällt Datenschutz und Legal Tech zusammen. Heute erfolgen solche automatisierte Entscheidfindungen beispielsweise beim Abschluss von Leasing- oder Versicherungsverträgen. Weiter hat die betroffene Person die Möglichkeit, ihren Standpunkt darzulegen. Überdies darf die betroffene Person die Überprüfung des Entscheides durch eine natürliche Person verlangen. Schlussendlich darf der Entscheid als solches aber derselbe sein.

Datentransfer ins Ausland

Der Datentransfer von Personendaten ins Ausland ist verboten, wenn dort der Datenschutz nicht angemessen Schutz bietet. In der Praxis betrifft dies vor allem Cloud Lösungen in einem anderen Land. Bei einem Datentransfern in ein Land ohne angemessenen Schutz, müssen Massnahmen ergriffen werden. Mitunter sind dies vertragliche Garantien oder die Einwilligung der betroffenen Personen (von Allen!). Bereits heute gilt in gewissen Fällen eine Informationspflicht an den EDÖB. Im spezifischen Fall mit der USA gab es bis letztes Jahr ein “Privacy Shield”. In der Schweiz geht man heute allgemein davon aus, dass die USA ein Land mit ungenügendem Datenschutz ist. D.h. in diesem Bereich müssen Massnahmen ergriffen werden. Standartklauseln reichen in der Regel alleine nicht mehr aus. Es gilt eine Risikoabschätzung vorzunehmen.

Strafbestimmungen

Schliesslich sind im neuen DSG verschärfte Strafbestimmungen vorgesehen. Kurz gesagt: Die Bussen erhöhen und die Tatbestände erweitern sich. Zukünftig richten sich die Bussen an die verantwortliche Person selbst (persönliche Haftung). Infolgedessen können in Zukunft Personen auch ausserhalb der Geschäftsleitung oder des Verwaltungsrates Bussen erhalten.

Fazit

Die heutigen Ausführungen zeigen, dass der Datenschutz Legal Tech Grenzen setzt. Jedoch geht es bei diesen Grenzen um den Schutz von fundamentalen Rechten, die uns Menschen zustehen. Aus meiner Sicht ist ein Schutz sinnvoll, soll aber nicht als Verhinderungsgrund für neue Tools herhalten.