Clou­dan­bie­ter: Risi­ko­ma­nage­ment und Vertragsverhandlung

Ein­lei­ten­de Über­le­gun­gen Dass Cloud-Dien­­ste das The­ma der Stun­de sind, ist kein Geheim­nis, und eben­so wenig, dass dies alle Indu­strien betrifft – ein­ge­schlos­sen regu­lier­te Bran­chen wie z.B. Ban­ken, Ver­si­che­rer und Play­er im Gesund­heits­be­reich, eben­so wie Behör­den auf Bundes‑, auf kan­to­na­ler und auf kom­mu­na­ler Ebe­ne. Beson­ders Gross­kun­den neh­men ver­stärkt Dienst­lei­stun­gen auch von aus­län­di­schen Anbie­tern … wei­ter­le­sen

Der rich­ti­ge Umgang mit Daten: Com­pli­an­ce als Pflicht, Ethik als Kür

Daten sind ent­schei­den­de Inno­va­ti­ons­trei­ber. Unter­neh­men set­zen des­halb stär­ker auf eine bewuss­te Daten­nut­zung. Um den ver­ant­wort­li­chen Umgang mit Daten zu unter­stüt­zen, hat der Wirt­schafts­ver­band der ICT- und Online-Bran­che Swi­co Ende Novem­ber 2021 eine Char­ta für einen ethi­schen Umgang mit Daten lan­ciert. Daten sind “the new (s)oil” Um Pro­duk­te zu ent­wickeln, Trends zu pro­gno­sti­zie­ren, … wei­ter­le­sen

Wie Goog­le, Micro­soft und Sales­for­ce die neu­en SCC umset­zen und was dies für Ver­ant­wort­li­che im EWR und in der Schweiz bedeutet

Ein Bei­trag von Lena Göt­zin­ger und Han­nes Meyle Seit dem 27. Sep­tem­ber 2021 sind für den Trans­fer von per­so­nen­be­zo­ge­nen Daten in Län­der ausser­halb des EWR, wel­che aus Sicht der DSGVO kein ange­mes­se­nes Daten­schutz­ni­veau bie­ten, grund­sätz­lich die mit Datum vom 4. Juni 2021 ver­öf­fent­lich­ten «neu­en» Stan­dard­ver­trags­klau­seln («SCC») ein­zu­set­zen. Eine Über­gangs­frist für die Wei­ter­ver­wen­dung der … wei­ter­le­sen

Zum Ent­wurf der revi­dier­ten VDSG: eine ver­pass­te Chance

All­ge­mei­nes Am 23. Juni 2021 wur­de der Ent­wurf der total­re­vi­dier­ten Ver­ord­nung zum DSG (E‑VDSG) ver­öf­fent­licht. Nach der Lek­tü­re muss man ent­täuscht sein: Der bzw. die E‑VDSG (Online-Ver­­­si­on) ist eine ver­pass­te Chan­ce. Wie schon der Vor­ent­wurf des DSG (VE-DSG) ist sie inhalt­lich unprä­zi­se und oft unnö­tig restrik­tiv. Das gilt für den Erläu­te­rungs­be­richt noch … wei­ter­le­sen

Über­le­gun­gen zum Pro­filing mit hohem Risiko

Das neue “Pro­filing mit hohem Risi­ko” nach Art. 5 lit. g revDSG wirft eini­ge Fra­gen auf, beson­ders was das Gesetz unter hohem Risi­ko ver­steht und wel­che Fol­gen ein sol­ches Pro­filing hat. Defi­niert ist das Pro­filing mit hohem Risi­ko wie folgt: Pro­filing, das ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit … wei­ter­le­sen

EDSA: 2. Ver­si­on der Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default / Anmer­kun­gen zur Systematik

Der EDSA hat eine neue Ver­si­on 2.0 der bereits 2019 erschie­nen Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default ver­öf­fent­licht. Eine Ver­gleichs­fas­sung (Del­ta­view, PDF) fin­det sich hier. Die Leit­li­ni­en sind in vie­len Punk­ten nach wie vor recht luf­tig, ent­hal­ten aber Hin­wei­se, auf wel­che Wei­se die Ein­hal­tung der Bear­bei­tungs­grund­sät­ze kon­kret sicher­ge­stellt wer­den kann. … wei­ter­le­sen

Neu­es DSG: kein grund­sätz­li­ches Ein­wil­li­gungs­er­for­der­nis beim Pro­filing, auch nicht bei hohem Risiko

Wie berich­tet hat das Par­la­ment das E‑DSG in der heu­ti­gen Schluss­ab­stim­mung ange­nom­men. Eine Fra­ge, die die zähen Ver­hand­lun­gen der Räte beglei­tet hat, war jene nach der Ein­wil­li­gung beim Pro­filing. Der EDÖB hat schon wie­der­holt die Hal­tung ein­ge­nom­men (vgl. hier), die Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und von Per­sön­lich­keits­pro­fi­len sei stets nur mit … wei­ter­le­sen

Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter: Zu den Leit­li­ni­en des EDSA (Ent­wurf) zum “Con­trol­ler” und “Pro­ces­sor”

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den Ent­wurf neu­er Leit­li­ni­en zu den Begrif­fen von Con­trol­ler und Pro­ces­sor (des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters) ver­öf­fent­licht (Gui­de­li­nes 07/2020 on the con­cepts of con­trol­ler and pro­ces­sor in the GDPR, Ver­si­on 1.0, 2. Sep­tem­ber 2020). Der Ent­wurf befin­det sich bis zum 19. Okto­ber 2020 in der Ver­nehm­las­sung. Die … wei­ter­le­sen

Vor­schlag für ein zwei­stu­fi­ges Modell des Daten­aus­tau­sches zwi­schen Verantwortlichen

Beim Aus­tausch von Per­so­nen­da­ten zwi­schen zwei Ver­ant­wort­li­chen gilt – wie immer – der Ver­hält­nis­mä­ssig­keits­grund­satz. Oft ist es aber – aus ope­ra­ti­ven Grün­den – schwie­rig oder kaum mög­lich, den Daten­aus­tausch auf die Not­wen­dig­kei­ten des Emp­fän­gers zu beschrän­ken. Es kann z.B. sein, dass ein Kon­zern­un­ter­neh­men Trans­ak­ti­ons­da­ten oder das Ergeb­nis einer Ana­ly­se sol­cher Daten an … wei­ter­le­sen