If this message is not displayed properly, please click here.
13.08.2021
Sehr geehrte Damen und Herren
Im Rahmen der Totalrevision des Schweizer Datenschutzrechts hat der Bundesrat kürzlich den Entwurf der neuen Verordnung zum Datenschutzgesetz (VDSG) veröffentlicht. Der Entwurf soll die Vorschriften im revidierten DSG konkretisieren und enthält unter anderem Regelungen zu den Mindestanforderungen an die Datensicherheit und zu den Modalitäten des Auskunftsrechts. Der aktuelle Entwurf weist zahlreiche grundlegende Mängel und Ungereimtheiten auf. Dies ist in Anbetracht der grossen praktischen Bedeutung der präzisierenden Ausführungsbestimmungen bedauerlich.
Zudem enthält unser Newsletter Beiträge zu aktuellen Entwicklungen in der EU. Namentlich berichten wir über den Angemessenheitsbeschluss der EU hinsichtlich des Datenschutzniveaus im Vereinigten Königreich, sowie den Vorschlägen der EU-Kommission zur Regulierung von digitalen Diensten und Märkten (Digital Markets Act & Digital Services Act).
Abschliessend weisen wir Sie gerne noch auf unsere anstehende E-Commerce Veranstaltung "XBorder21" hin. Es freut uns insbesondere, dass wir die Veranstaltung am kommenden 25. August 2021 wieder als Präsenzveranstaltung im Moods (Schiffbau Zürich) durchführen können. Wie gewohnt ist das Programm breit angelegt mit Themen zu allen rechtlichen Aspekten des nationalen und internationalen Online-Handels. Natürlich soll auch das Networking nicht zu kurz kommen. Wir freuen uns über Ihre Anmeldung.
Wie immer finden Sie alle hier vorgestellten Informationen und noch Vieles mehr auf www.mll-news.com.
Im Rahmen der Totalrevision des Schweizer Datenschutzrechts hat der Bundesrat kürzlich den Entwurf der neuen Verordnung zum Datenschutzgesetz (VDSG) veröffentlicht. Mit der VDSG will der Bundesrat Detailregeln erlassen, welche die die Vorschriften im revidierten DSG konkretisieren. So enthält der Entwurf z.B. Regelungen zu den Mindestanforderungen an die Datensicherheit, zu den Modalitäten des Auskunftsrechts und der Informationspflicht oder zur Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Der Entwurf weist allerdings noch zahlreiche grundlegende Mängel und Unklarheiten auf. Daher ist eine detaillierte Auseinandersetzung mit dem Verordnungsentwurf für Unternehmen noch nicht empfehlenswert. Es bleibt zu hoffen, dass die Defizite durch den Bundesrat korrigiert werden, bevor die Verordnung definitiv verabschiedet wird. Der Bundesrat rechnet derzeit mit einem Inkrafttreten des DSG und der VDSG in der zweiten Jahreshälfte 2022.
Die jährliche Veranstaltungsreihe XBorder21 findet am 25. August 2021 statt, dieses Jahr wieder als Präsenzveranstaltung im Moods, Schiffbau Zürich. Wir freuen uns sehr darauf, unseren Gästen wieder eine spannende physische Veranstaltung mit einem vielseitigen Tagungsprogramm und Gelegenheiten zum persönlichen Networken bieten zu können. Wie gewohnt bieten wir Ihnen ein umfassendes Programm zu allen rechtlichen Aspekten des nationalen und internationalen Online-Handels. Dabei werden wir den Tag in eine Reihe von thematisch fokussierten Vortragsblöcken aufteilen. Für jeden dieser Blöcke können Sie sich auf den gewohnten Mix von Inputs aus der Praxis und rechtlichen Tipps aus unserer Beratungspraxis freuen. Gleichzeitig erhalten Sie ausführlich Gelegenheit, den jeweiligen Experten live Fragen zu stellen.
Die niederländische Datenschutzbehörde büsste im Mai 2021 die Betreiber von locatefamily.com, eine Plattform, die weltweit Kontaktinformationen sammelt, damit der Kontakt mit Familienmitgliedern wiederhergestellt werden kann. Die Busse in der Höhe von EUR 525’000 wurde ausgesprochen, weil Locatefamily keinen EU-Vertreter bestimmt und somit gegen die Pflicht zur Benennung eines Vertreters in der EU für im Ausland niedergelassene Unternehmen (Art. 27 DSGVO) verstossen hatte. Der Fall ruft gerade auch Schweizer Unternehmen in Erinnerung, dass sie einen EU-Vertreter benennen müssen, sobald sie ihr Angebot auf Verbraucher in der EU ausrichten. Andernfalls drohen hohe Bussgelder.
Ende 2020 veröffentlichte die Europäische Kommission ihren mit Spannung erwarteten Vorschlag zur Regulierung der digitalen Dienste. Dabei handelt es sich um den Vorschlag für das Gesetz über digitale Dienste („Digital Services Act“, DSA) und den Vorschlag für das Gesetz über digitale Märkte („Digital Markets Act“, DMA). Die vorgeschlagenen neuen Verordnungen sollen die Richtlinie über den elektronischen Geschäftsverkehr modernisieren, die seit über 20 Jahren in Kraft ist. Sollte der Vorschlag für die Modernisierung der Regulierung der digitalen Dienste angenommen werden, wird dies wahrscheinlich weitreichende Auswirkungen auf Anbieter digitaler Dienstleistungen haben. Lesen Sie in unserer untenstehenden Zusammenfassung, was Sie erwartet.
Infolge des EU-Ausritts des Vereinigten Königreichs („Brexit“), musste neu über die Angemessenheit des UK-Datenschutzniveaus entschieden werden. Mit dem Erlass der Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) sowie der Strafverfolgungsrichtlinie, schloss die europäische Kommission das Ausschussverfahren am 28. Juni 2021 ab: Danach gilt das britische Datenschutzniveau aus Sicht der EU bzw. des EWR (weiterhin) als angemessen. Auffallend ist, dass in den Angemessenheitsbeschlüssen zum ersten Mal eine Verfallsklausel verankert ist, welche vorsieht, dass die Beschlüsse vier Jahre nach Inkrafttreten auslaufen. Es muss danach neu über die Angemessenheit des britischen Datenschutzniveaus entschieden werden. Bis dahin bringen die Beschlüsse aber eine wichtige Erleichterung für den grenzüberschreitenden Datenaustausch zwischen EU- und UK-Unternehmen mit sich. Auch für Schweizer Unternehmen sind die Beschlüsse von Bedeutung, weil davon auszugehen ist, dass der EDÖB und künftig wohl auch der Bundesrat das Datenschutzniveau im UK ebenfalls (weiterhin) als angemessen ansieht. Für die grenzüberschreitende Übermittlung von Personendaten in das UK werden deshalb nach wie vor keine zusätzlichen Garantien implementiert werden müssen.
Wegen des Schrems II Urteils ist im Anwendungsbereich der EU-DSGVO umstritten, wie und gestützt auf welche Rechtsgrundlagen Personendaten weiterhin legal in Staaten ohne angemessenes Datenschutzniveau, insbesondere in die USA, übermittelt werden können. In der Praxis werden sich Unternehmen bei Datentransfers in solche Staaten meist auf Garantien nach Art. 46 DSGVO stützen, insbesondere auf die revidierten Standardvertragsklauseln. Ob die Garantien den jeweiligen Transfer legitimieren können, müssen Unternehmen aber im Einzelfall prüfen und dokumentieren. Der EDSA hat nun die finale Version der Empfehlungen veröffentlicht, was Unternehmen bei einer derartigen Prüfung (auch als Data Transfer Impact Assessment bezeichnet) berücksichtigen sollen.
Die EU-Kommission hat im April 2021 einen Verordnungs-Vorschlag veröffentlicht, mit welchem Vorschriften über Künstliche Intelligenz (KI) in der EU harmonisiert werden sollen. Mit diesem Vorschlag will sie auf Risiken reagieren, die bestimmte KI-Systeme in sich bergen. Die EU-Kommission verfolgt dabei einen Risk-Based-Approach, der auf eine vierstufige, riskoabhängige Einteilung von KI-Systemen setzt. Während gewisse KI-Anwendungen ganz verboten werden sollen, bestehen für solche mit hohen und geringen Risken unterschiedliche Pflichten. Für KI-Systeme mit minimalen Risken sind hingegen keine neuen Vorschriften vorgesehen. Bei einem allfälligen Verstoss gegen Vorschriften des Verordnungs-Vorschlags sollen Bussen von bis zu EUR 30 Mio. bzw. 6% des weltweiten Jahresumsatzes drohen. Zudem sollen Anbieter von KI-Systemen auch Produktbeobachtungspflichten treffen. Der Vorschlag der Kommission geht nun in das ordentliche Gesetzgebungsverfahren. Sollte die direkt in allen EU-Mitgliedstaaten anwendbare Verordnung angenommen werden, dürfte sie nicht ohne Auswirkungen auf Schweizer Unternehmen bleiben. Dies nicht zuletzt deshalb, weil sie für alle KI-Systeme gilt, die in der EU in Verkehr gebracht werden oder sich auf betroffene Personen in der EU auswirken.
Das Bundesgericht hat sich nach dem Bundesverwaltungsgericht mit der Frage auseinandergesetzt, wie Over-The-Top-Dienste aus Sicht des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) zu qualifizieren sind. Auslöser dafür war eine Beschwerde der Anbieterin der Telefonie- und Instant-Messaging-App Threema gegen eine Verfügung des «Dienst ÜPF». Der Dienst ÜPF verlangte von Threema die Überwachung von Randdaten der Kommunikation sowie die Entfernung der von ihr angebrachten Verschlüsselungen. Unbestritten war dabei, dass Threema als sogenannter Over-The-Top-Dienst (OTT-Dienst) einzustufen ist. In seinem Urteil entschied das Gericht, wie bereits zuvor das Bundesverwaltungsgericht, sodann, dass Anbieterinnen dieser OTT-Dienste nicht den ausgedehnten Überwachungspflichten für Fernmeldedienst-Anbieterinnen, sondern den weniger weitgehenden Überwachungspflichten für Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) unterstehen. Im Ergebnis weist es die Beschwerde des Dienst ÜPF ab und bestätigt somit das Urteil des Bundesverwaltungsgerichts.
Die Nutzung der beliebten E-Mail-Marketing-Software von Mailchimp war jüngst Gegenstand einer Entscheidung des Landesdatenschutzbeauftragten von Bayern. Im konkreten Fall verstiess ein Unternehmen gegen die DSGVO, weil es E-Mail-Adressen an Mailchimp in die USA gestützt auf Standardvertragsklauseln übermittelte, ohne zu prüfen, ob die Standardvertragsklauseln für den konkreten Transfer geeignet sind oder ob diese noch um zusätzliche Garantien ergänzt werden müssen. Auch für Schweizer Unternehmen hielt der EDÖB jüngst fest, dass der Einsatz von Mailchimp immer einer sorgfältigen Einzelfallprüfung bedarf. Der Fall zeigt exemplarisch, dass seit dem Schrems II Entscheid des EuGH Unternehmen hohe Sorgfaltspflichten einhalten müssen, wenn sie Softwaretools von US-Anbietern datenschutzkonform nutzen wollen.
Booking.com wurde von der niederländischen Datenschutzbehörde im Frühling mit einer Busse in der Höhe von € 475’000 belegt, da ein Data Breach nicht rechtzeitig gemeldet wurde. Datenschutzpannen müssen gemäss der DSGVO spätestens innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Der Fall von Booking veranschaulicht, wie schwer die Einhaltung dieser Frist in der Praxis sein kann. Diese Frist gilt ebenfalls für Schweizer Unternehmen im Anwendungsbereich der DSGVO. Zudem sind auch unter dem neuen Schweizer Datenschutzgesetz Data Breaches „so rasch als möglich“ zu melden, sodass sich auch ohne ausdrückliche Frist eine Orientierung an der 72-stündigen Frist empfiehlt.