Aus dem Unterricht des CAS Digital Ethics  mit Dozentin  Cornelia Stengel berichtet Studentin Corinne Fleury:

Welchen Zusammenhang gibt es zwischen Cookies und schützenswerten Personendaten? Was bedeuten die neuen Gesetze zum Schutz der Personendaten für Schweizer Unternehmen? Welche Massnahmen sind zu ergreifen? Wie unterscheidet sich das E-DSG von der DSGVO?

So viele Fragen tauchen im heutigen Unterricht an der HWZ auf. Wir befürchten deshalb, dass uns ein “rechtlich” trockener Vormittag bevorstehen könnte. Doch dem ist nicht so. In sympathischer Frische begrüsst uns Rechtsanwältin Cornelia Stengel an diesem Freitag Morgen. Auf dem Stundenplan steht “Datenschutz- oder die Antworten auf die Frage- was ist legal”. In süffiger Erzählform schafft es Cornelia tatsächlich, uns in weniger als vier Stunden einen vertieften Einblick in die Datenschutzgesetzgebung zu geben. Dabei lässt sie nicht aus, uns von guten und bösen Cookies zu berichten. Aber darauf kommen wir noch später zu sprechen.

Ethik und Recht

Einführend erklärt uns Cornelia, was unter dem Begriff “Digital Ethics” zu verstehen ist:

Die Digitale Ethik beschäftigt sich mit moralischen Fragen des digitalen Wandels. Wo liegen die moralischen Grenzen, welche der Digitalisierung und dem Umgang mit Big Data gesetzt werden?

Wozu braucht es denn nun eine Digitale Ethik? Cornelia beantwortet die Frage gleich selber: “Regelwerke sind notwendig, weil das Recht alleine nicht immer die moralischen Werte schützt”. Insbesondere tauchen ethische Fragestellungen zu neuen digitalen Themen wie zum Beispiel Datenerfassung, Sensorik, Datenauswertung, Big Data, Tracking, Automatisierung, Profiling, Algorithmischen Entscheidungsprozesse auf.

Datenschutz Gesetzgebung – DSGVO und DSG

Der Bundesrat hat am 15. September 2017 den Entwurf eines total revidierten Datenschutzgesetzes (E-DSG) präsentiert, mit Ziel zu mehr Transparenz. Ausserdem sollen die Mitbestimmungsrechte der Personen, über die Daten bearbeitet werden, gestärkt werden. Der Entwurf lehnt sich stark an die Datenschutz- Grundverordnung (EU- DSGVO) an, die seit dem 25. Mai 2018 anwendbar ist. Damit soll dem technologischen Fortschritt Rechnung getragen und der Schutz persönlicher Daten von natürlichen Personen gestärkt werden. Die Revision wird sich inhaltlich an die DSGVO anlehnen. Der Umsetzungsfahrplan in der Schweiz sieht wie folgt aus:

Revision Datenschutzgesetz: Fahrplan Schweiz

Revision Datenschutzgesetz: Fahrplan Schweiz

Wo findet nun die EU- DSGVO Anwendung in der Schweiz? Die Antwort darauf lautet: “Die EU- DSGVO gilt für viele in der Schweiz”. Namentlich erwähnt seien einige Beispiele dazu:

  • Webseiten mit Preisangaben in Euro
  • Angebote für Lieferungen in die EU
  • Verarbeitung von Personendaten im Auftrag von EU- Unternehmen
  • Webseiten mit Verwendung von Cookies und Google Analytics
  • Stelleninserate im EU- Raum

Ein kurzes Video über “Datenschutz: was Schweizer Unternehmen wissen müssen” der Firma Kellerhals-Carrard erklärt in drei Minuten den wesentlichen Inhalt:

Datenschutz

Datenschutz: Was Schweizer Unternehmen wissen müssen, Quelle: www.kellerhals-carrard.ch

Unterscheidung aktuelles DSG und E-DSG in der Schweiz

Das DSG stammt aus dem Jahr 1992 und regelt den Schutz von Daten natürlicher als auch juristischer Personen. Dagegen beschränkt sich das E-DSG auf Daten natürlicher Personen.

Rechtliche Grundlagen

Um die Kriterien in der Datenschutzgesetzgebung verstehen zu können bedarf es einiger Definitionen und Befriffserkärungen:

  • Personendaten (CH): Alle Angaben, welche sich auf eine bestimmte oder bestimmbare Person beziehen. Zum Beispiel: Kunden- oder Mitarbeiterangaben, Cookies, IP- Adressen, Daten juristischer Personen (letztere entfallen gemäss E-DSG!). Erwähnt seien hier auch die besonders schützenswerten Personendaten (religiöse, politische Ansichten etc.)
  • Bearbeitungsgrundsätze (CH): Die Bearbeitung von Personendaten sind grundsätzlich erlaubt, wenn Grundsätze eingehalten werden (z.B. Bearbeitungsgrundsätze, Zweckgebundenheit, Transparenz etc.)
  • Weitere Pflichten (CH): Informationspflicht gegenüber betroffenen Personen, Auskunftspflicht, Dokumentationspflicht (neu unter E-DSG) etc.
  • Sanktionen (CH): Bussen von max. CHF 10’000 (neu unter E-DSG max. 250’000 gegen natürliche Personen)

Es gibt interessante Unterschiede zwischen der DSGVO und der E-DSG. Einer davon betrifft den Grundsatz der Bearbeitung von persönlichen Daten. Während in der E- DSG die Bearbeitung von Personendaten grundsätzlich erlaubt ist, wird diese in der DSGVO grundsätzlich verboten. Dies scheint auf den ersten Blick ein Widerspruch zu sein. Cornelia erklärt uns, dass in der Schweiz ein prinzipienbasierter, in der EU aber ein regelbasierter Ansatz Anwendung findet.

Hier ein kurzer Überblick über die wichtigsten Unterschiede zwischen der EU- DSGVO und der E-DSG:

Unterscheidung EU-DSGV und E-DSG

Unterscheidung EU-DSGV und E-DSG, Quelle: www.pwc.ch,  2018

Hierzu lassen sich ein paar Anwendungsfälle aufzeigen:

A   Zulassung von Tracking- Cookies

Es gibt zwei Arten von Cookies, die Funktionalitäts- und Performance- Cookies und die Tracking- und Targeting- Cookies. Letztere sind der DSGVO untergeordnet. Im DSG (CH) gibt es hierzu keine direkte Regelung, jedoch gibt es im Fernmeldegesetz einen entsprechenden Artikel der besagt, dass diese Cookies erlaubt sind, wenn Informationen und Opt- Out Möglichkeiten gegeben werden.

B   Newsletter Versand

Im DSG müssen Newsletter so ausgestaltet sein, dass insbesondere der Bearbeitungszweck der geforderten Angaben wie Emailadresse und Name erkennbar ist. Auch sind hierzu im Fernmeldegesetz Artikel zur Einwilligung (Opt- in) zu finden.

Newsletter Auftrgasdatenebarbeitung

C   Auftragsdatenbearbeitung

Wird eine Datenbearbeitung durch Dritte errichtet, so trägt stets der Auftraggeber die Verantwortung. Jedoch macht sich der Auftragnehmer auch mitverantwortlich. Dazu ein Beispiel: Die Firma X nutzt die Dienstleistung eines Drittanbieters für einen Newsletterversand. Dadurch werden die Kundendaten an diesen Dritten (Dienstleister) übertragen. Die Firma X ist der Auftraggeber und trägt als Controller die Verantwortung.

Wir haben heute gelernt, dass für ein Schweizer Unternehmen, in Abhängigkeit seiner spezifischen Marktaktivitäten, entweder ausschliesslich die Vorschriften des E-DSG gelten, oder aber dass sowohl das E-DSG als auch die DSGVO zur Anwendung kommen können.

Die Firma PwC hat hierzu einen Entscheidungsbaum entwickelt und publiziert:

Entscheidungsbaum für Schweizer Unternehmen, DSGVO und E-DSG

Entscheidungsbaum für Schweizer Unternehmen

 

Damit neigt sich ein intensiver und lehrreicher Vormittag dem Ende zu. Herzlichen Dank an Cornelia Stengel für diesen interessanten Exkurs in die Rechtsgebung!