In den vergangenen Monaten haben die Datenschutzbehörden in der EU und der Schweiz zahlreiche Entscheidungen zu weit verbreiteter Software gefällt. In der Schweiz betraf dies namentlich Microsoft 365. Dessen Einsatz wurde vom Eidg. Datenschutzbeauftragten (EDÖB) für problematisch erklärt. Auch wenn sich der EDÖB nicht abschliessend festlegte, war die Stossrichtung seiner Stellungnahme klar und auch wenig überraschend: Unternehmen müssen bei der Auslagerung von Personendaten an Dienstleister mit Bezug zu den USA bis auf Weiteres von einer Verletzung der Bestimmungen zum grenzüberschreitenden Datentransfer ausgehen – sofern keine ausreichenden zusätzlichen Schutzmassnahmen implementiert werden können – und dies bei der Entscheidfindung im Sinne einer Risikoabwägung berücksichtigen.
Diese Schwierigkeiten bei Datentransfers in die USA haben auch mehrere Entscheidungen in der EU bekräftigt. Betroffen war allen voran die Nutzung von Google Analytics durch Website-Betreiber. In vier koordinierten Entscheidungen in Österreich, Frankreich und Italien wurden die mit dem Analyse-Tool verbundenen Datenbearbeitungen für unzulässig erklärt.
Darüber hinaus freuen wir uns, Sie auf zwei Veranstaltungen hinzuweisen, die wir in den kommenden Monaten gemeinsam mit unseren Co-Veranstaltern durchführen werden: die XBorder22 am 5. Oktober 2022 und die Alpine Privacy Days vom 14. - 17. September 2022. In unserem aktuellen Newsletter finden Sie ferner u.a. auch Beiträge zur Revision des EU-Vertriebskartellrechts, zum EU-Data-Act sowie zu den neuen deutschen Vorschriften für den Einsatz von Cookies.
Wie immer finden Sie alle hier vorgestellten Informationen und noch vieles mehr auf www.mll-news.com.
MLL Legal, Signatu and BULL are co-organising a privacy conference out of the ordinary: Alpine Privacy Days, 14 – 17 September 2022 in Zuoz, Switzerland.
Highly professional, practical, intimate discussions and unique networking in a fun and interactive format. All sessions are led by leading lecturers and practitioners.
Click on the button below for more information and registration on the dedicated website.
Die jährliche Veranstaltungsreihe XBorder22 findet am 5. Oktober 2022 im Moods, Schiffbau Zürich statt.
Wir freuen uns sehr darauf, unseren Gästen wieder eine spannende physische Veranstaltung mit einem vielseitigen Tagungsprogramm und Gelegenheiten zum persönlichen Networken bieten zu können. Wie gewohnt bieten wir Ihnen ein umfassendes Programm zu allen rechtlichen Aspekten des nationalen und internationalen Online-Handels. Dabei werden wir den Tag in eine Reihe von thematisch fokussierten Vortragsblöcken aufteilen. Für jeden dieser Blöcke können Sie sich auf den gewohnten Mix von Inputs aus der Praxis und rechtlichen Tipps aus unserer Beratungspraxis freuen. Gleichzeitig erhalten Sie ausführlich Gelegenheit, den jeweiligen Experten live Fragen zu stellen.
Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat in einer aktuellen Stellungnahme Zweifel gegenüber der Anwendung des risikobasierten Ansatzes bei der Datenübermittlung in ein Land ohne angemessenes Schutzniveau angemeldet, ohne die Zulässigkeit desselbigen jedoch absolut auszuschliessen. Mit einer Auslagerung von Personendaten an einen von US-Konzernen betriebenen Cloud-Dienst geht nach Ansicht des EDÖB jeweils die Möglichkeit einer Datenbekanntgabe in die USA einher, also einem Staat ohne angemessenes Datenschutzniveau. Der EDÖB bezeichnet solche Auslagerungen bzw. Bekanntgaben als problematisch und weist auf die fehlende Verankerung des risikobasierten Ansatzes im Bundesdatenschutzgesetz hin. Auch wenn er auf die Eröffnung einer formellen Untersuchung gegen die anfragende Schweizer Unfallversicherungsanstalt (Suva) verzichtet, rät er dieser zur Vornahme einer Neubeurteilung. Die Stellungnahme bekräftigt insofern die (unbefriedigende) Rechtslage. Auch wenn die Begründung des EDÖB an verschiedenen Stellen nicht überzeugt, ist die Stossrichtung der Stellungahme wenig überraschend und korrekt. Sie deckt sich mit denjenigen der Behörden in der EU und bildet, wenn auch leider nicht mit hinreichender Deutlichkeit, die Rechtslage ab, die spätestens seit dem Schrems-II-Urteil bekannt ist. Mangels politischer Lösung muss diese bis auf Weiteres hingenommen werden. Daran vermag auch der verbreitete Einsatz von Tabellen zur Berechnung von Risiken und Wahrscheinlichkeiten nichts zu ändern. Schweizer Unternehmen müssen bei der Auslagerung von Personendaten an Dienstleister mit Bezug zu den USA somit von einer Verletzung der Bestimmungen zum grenzüberschreitenden Datentransfer ausgehen. Die Inkaufnahme einer solchen Verletzung und der damit verbundenen Risiken ist schlussendlich eine unternehmerische Entscheidung.
Drei EU-Datenschutzbehörden sind in aufeinander abgestimmten Entscheidungen zum Schluss gelangt, dass die Implementierung von Google Analytics durch Website-Betreiber gegen die EU-Datenschutzgrundverordnung (DSGVO) verstösst. Im Kern der Entscheidungen aus Österreich (DSB), Frankreich (CNIL) und Italien (GPDP) gehen die Behörden davon aus, dass bei der Verwendung von Google Analytics eine Übermittlung von personenbezogenen Daten in die USA erfolgt und keine hinreichenden Massnahmen für einen angemessenen Datenschutz ergriffen wurden bzw. werden können. Bei der entscheidenden Frage, ob im Rahmen von Google Analytics überhaupt Daten mit Personenbezug bearbeitet werden, befürworten sie (mehr oder weniger deutlich) das Konzept der Singularisierung. Danach genügt es für das Vorliegen von personenbezogenen Daten, dass eine Individualisierung von Website-Besuchern anhand von spezifischen und einzigartigen Kennnummern erfolgt. In Bezug auf die Datenübermittlung in Drittländer, wie die USA, wurde von den Behörden die Anwendung eines risikobasierten Ansatzes (wenig überraschend) ausgeschlossen, da dieser keinerlei Stütze im Text der DSGVO finde. Die Entscheidungen verdeutlichen die Stossrichtung im Umgang mit Google Analytics auf europäischer Ebene. Als Folge davon verstärkt sich die Einschätzung, dass der Einsatz von Google Analytics in seiner aktuellen Form mit erheblichen Risiken behaftet ist. Bis zu einer höchstrichterlichen Klärung sollten Website-Betreiber deshalb sorgfältig prüfen, inwieweit diese Risiken in Kauf genommen oder ob alternative Dienste genutzt werden sollen.
Seit dem 1. Juni 2022 gilt in der EU ein neues kartellrechtliches Regelwerk für Vertriebsverträge. Der Kern dieser sogenannten Vertikal-GVO wurde dabei unverändert aus der bisherigen Fassung übernommen. Allerdings wurde namentlich für den Online-Vertrieb und die Plattform-Wirtschaft eine Vielzahl von Neuerungen eingeführt. Insgesamt wird damit wichtige Klarheit darüber geschaffen, inwieweit Hersteller und Grosshändler den Einzelhändlern Vorgaben für den Online-Vertrieb machen dürfen. So wurde bspw. klar gestellt, dass der Weiterverkauf über Amazon und andere Plattformen verboten werden kann (sog. Plattformverbot) und dies in allen Vertriebssystemen und für alle Produkte, solange die Beteiligten nicht mehr als 30 Prozent Marktanteil haben. Auch die Grenzen der Zulässigkeit von Qualitätsanforderungen für den Online-Vertrieb sind nun (etwas) klarer definiert und die Kriterien müssen insbesondere nicht mehr gleichwertig sein wie die "Offline-Kriterien". Eine Auseinandersetzung mit diesen neuen unionsrechtlichen Wettbewerbsregeln empfiehlt sich nicht nur für grenzüberschreitend tätige Schweizer Unternehmen, sondern auch für nur im Inland tätige Anbieter. Denn die Neuerungen in der EU werden mit grosser Wahrscheinlichkeit auch in die Praxis zum Schweizer Kartellrecht einfliessen.
Das Bundesamt für Gesundheit (BAG) hat in einem revidierten Kreisschreiben (Nr. 7.1) die besonderen datenschutzrechtlichen Vorgaben im Bereich der obligatorischen Krankenversicherung konkretisiert. Die aktuelle Fassung ist am 1.1.2022 in Kraft getreten und verdeutlicht, dass gewisse personalisierte Marketingmassnahmen und die Zielgruppenselektion basierend auf Gesundheitsdaten oder Persönlichkeitsprofilen für die (obligatorischen) Krankenversicherer unzulässig sind. Es fehlt gemäss Kreisschreiben an der gesetzlichen Grundlage. Zugleich bekräftigt das BAG zu Recht, dass für eine gültige Einwilligung auch unter dem Krankenversicherungsgesetz (KVG) keine eigenhändige Unterschrift erforderlich ist. Diese wichtige Konkretisierung basiert explizit auf der Einschätzung der Rechtslage, die Lukas Bühlmann und Michael Schüepp in einer Publikation von 2021 aufgezeigt hatten. Das für Versicherer im KVG-Bereich verbindliche Kreisschreiben bringt letztlich in diesem und weiteren Punkten mehr Klarheit, wobei anzumerken ist, dass im Streitfalle die Gerichte das letzte Wort haben werden und diese nicht an das Kreisschreiben gebunden sind.
Am 31. Mai 2022 haben Meyerlustenberger Lachenal Froriep AG (MLL Legal) und Advance Metrics AG gemeinsam den Workshop «Darf ich Google Analytics noch verwenden?» online mit rund 200 angemeldeten Teilnehmenden durchgeführt.
Evelyn Thar (Advance Metrics AG) und Michael Reinle (MLL Legal) zeigten im Workshop auf, welche rechtlichen Risiken beim Einsatz von Google Analytics durch schweizerische Website-Betreiberinnen bestehen und was für Alternativen es zu Google Analytics gibt. Im Webinar wurden neueste Entscheide von EU-Datenschutzbehörden zum Einsatz von Google Analytics analysiert und mit Blick auf die datenschutzrechtlichen Anforderungen Vor- und Nachteile von Alternativen für Google Analytics besprochen.
Die EU-Kommission legte im Februar den Verordnungsentwurf für den Data Act vor. Mit dem neuen Regelwerk sollen ungenützte Potentiale von Daten ausgeschöpft werden. Zu diesem Zweck verpflichtet der Data Act Unternehmen zur Zugänglichmachung ihrer Daten und gewährt Nutzern mehr Rechte für den Zugang, zu den von ihnen bei der Nutzung von Diensten generierten Daten. Durch den Data Act soll – gemeinsam mit dem Data Governance Act – die Europäische Datenstrategie umgesetzt werden.
On 2 February 2022, the Belgian Data Protection Authority found that the transparency and consent framework developed by the Interactive Advertising Bureau Europe (IAB Europe) does not comply with GDPR and imposed a fine of EUR 250’000.00 on the company as well as coercive measures. If you work in marketing or even just use the widespread mechanism of IAB Europe, check out our article on the reasoning of the Belgian Data Protection Authority to find out what to do to avoid a fine yourself.
The European Data Protection Board (hereafter ‘EDPB’) has published Guidelines for the calculation of fines under the General Data Protection Regulation (GDPR). In a series of six articles, we will explain the key topics of the guidelines and what companies can learn from them. Four articles are already online.
In part 3, we will go through how the EDPB identifies a harmonised starting point for the calculation of GDPR fines from which the further calculation should commence.
In part 4, we will go through how the supervisory authority must consider the aggravating, neutral and mitigating factors (as listed in Article 83(2) GDPR,) for the further calculation of the GDPR fine.
Das Bundesamt für Justiz hat kürzlich publiziert, dass das totalrevidierte Schweizer Datenschutzgesetz am 1. September 2023 in Kraft treten wird. Das Datum des Inkrafttretens muss vom Bundesrat noch in einem Entscheid formell bestätigt werden, damit dieses endgültig feststeht. Zwar bringt das nun publizierte Datum für die Unternehmen, welche Personendaten bearbeiten etwas mehr Zeit für die Umsetzung, dennoch sind Unternehmen gut beraten spätestens jetzt mit den Umsetzungsarbeiten zu beginnen, insbesondere weil das revidierte Datenschutzgesetz keine Übergangsfristen vorsieht.
Die spanische Datenschutzbehörde (AEPD) büsste im August 2021 einen Auftragsverarbeiter, weil dieser nach Abschluss des Dienstleistungsvertrags nicht alle personenbezogenen Daten an den Verantwortlichen zurückgegeben hatte. Für diesen Verstoss gegen die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) sanktionierte die AEPD den Auftragsverarbeiter mit einer Busse in der Höhe von 100'000 EUR. Der Fall führt vor Augen, wie weit die Pflichten im Rahmen von Auftragsverarbeitungsvereinbarungen (AVV) gehen können und dass bei deren Nichteinhaltung empfindliche Bussen drohen.
Seit Dezember 2021 gelten in Deutschland die neuen Vorschriften für Cookies und Tracking-Methoden des "Telekommunikation-Telemedien-Datenschutz-Gesetz", kurz TTDSG. Das TTDSG ist aufgrund seines weiten und unklaren räumlichen Anwendungsbereiches auch für Schweizer Unternehmen ohne Niederlassung in Deutschland relevant. In einer neuen Orientierungshilfe gibt die Konferenz der deutschen Datenschutzbehörden (DSK) Aufschluss über die neue Rechtslage. Darin wird der aktuelle Stand der Behördenpraxis ausführlich und mit zahlreichen Beispielen veranschaulicht. Verdeutlicht wird dadurch zwar namentlich, wie hoch die Anforderungen an eine gültige "Cookie-Einwilligung" sind und wie eng die technische Erforderlichkeit als Ausnahme vom Opt-In-Prinzip verstanden wird. Gleichwohl ist die Orientierungshilfe für die Praxis aber wertvoll und verschafft weitere Klarheit über den (wenn auch strengen) Standpunkt der Aufsichtsbehörden.