Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Informations- und Kommunikationsrecht > 5.) Datenschutzrecht > Flashcards

5.) Datenschutzrecht Flashcards

1
Q

Um was geht es? Zweck?

A

DSG 1: dieses Gesetz bezweckt:

  1. ) den Schutz der Persönlichkeit (ZGB 28ff)
  2. ) den Schutz der Grundrechte von Personen über die Daten bearbeitet werden (BV 13 II)

Im ZGB ist eine gewisse Schiefheit, Betroffenheit erforderlich (nicht jede Handlung die ein Bezug zu einer bestimmten Person hat ist eine Persönlichkeitsverletzung).
Das ist im Datenschutzrecht NICHT so => JEDE Bearbeitung von Personendaten untersteht den Vorgaben des Datenschutzes. ALSO: das Datenschutzrecht greift viel tiefer!

Man kann sagen, das DSG:
- schliesst “Lücken” des allgemeinen privatrechtlichen Persönlichkeitsschutzes und des Verfassungsrechts

  • ist eine Konkretisierung und Erweiterung des allgemeinen Persönlichkeitsschutzes.

Die Idee ist eigentlich, dass mit der Reglung des DSG schon im Vorfeld eingegriffen wird, also mögliche Persönlichkeitsverletzungen schon erfasst werden, bevor sie sich verwirklichen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Rechtsgrundlagen, International:

A
  1. ) UN:
    - Richtlinie zur Verarbeitung personenbezogener Daten in automatisierten Dateien (04.12.90): nicht völkerrechtlich verbindbar und unmittelbar anwendbar.
  2. ) OECD:
    - Privacy Guidelines: «The OECD privacy framework booklet»: nicht völkerrechtlich verbindbar und unmittelbar anwendbar. Die Vorgaben der OECD müssen in das nationale Recht umgesetzt werden.
  3. ) Europarat:
    - Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108): => für die Schweiz unmittelbar anwendbar. Sie datiert von 1981 und sie ist immer noch in Revision. Die Schweiz hat die Revision noch nicht ratifiziert-
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Rechtsgrundlagen EU:

A
  1. ) Datenschutzrichtlinie (RL 95/46/EG): wird aufgehoben durch die DSGVO. Ziel dieser Richtlinie damals, war die grossen Unterschiede in Europa etwas einzuheben. Aber, die nationalen Traditionen waren nicht einfach auszuradieren  es gab immer noch maßgebende Unterschiede.
  2. ) Datenschutzgrundverordnung (DSGVO) (VO (EU) 2016/679):
  • Annahme am 27. April 2016
  • Anwendbarkeit ab 25. Mai 2018

Es ist eine Verordnung also => direkt anwendbares Recht in der ganzen EU  damit wird quasi eine vollständige Harmonisierung der Rechtsfragen herbeigeführt. (Im Gegensatz zu Richtlinien die ein Instrument sind, dass dazu führen soll, das die nationalen Gesetzgeber aktiv werden).

ACHTUNG: Vollharmonisierung des datenschutzrecht als Grundziel der DSGVO ist sicher richtig aber, an mehreren Stellen, hat der europäische Gesetzgeber Türen geöffnet für den nationalen Gesetzgeber um abweichend Vorschriften vorzusehen. Diese Vollharmonisierung konnte also nicht wirklich verwirklicht werden.

ZEITRAUM von mehr als 2 Jahren bis zur Anwendbarkeit: dient dazu, dass die betroffenen Unternehmen in EU und auch außerhalb (z.B., in der Schweiz) Zeit brauchen um Ihre Prozesse so anzupassen und umzustellen, dass sie die Vorgaben der DSGVO einhalten können.

3.) E-Privacy-Richtlinie (RL 2009/136/EG): Soll durch ePrivacy-Verordnung aufgehoben werden.

Die Idee dort ist das spezifische Aspekte über spezifische datenschutzrechtliche Fragen aus dem Bereich der Elektronischen Kommunikation spezifisch geregelt werden.

Die Richtlinie hat z.B. den Popup, dass eine Seite “Cookies” setzt eingeführt (Verpflichtung aufmerksam zu machen, dass Cookies eingesetzt werden). Wird deshalb auch Cookie-Richtlinie genannt.

Anderer zentraler Punkt: Schutz der Vertraulichkeit von Kommunikationsinhalte (Fernmeldegeheimnis) => niemand darf in unsere Emails schauen oder unsere Telefongespräche anhören.

4.) Vorschlag für eine Verordnung über Privatsphäre und elektronische Kommunikation (2017/0003 (COD)) vom 10.01.2017 (ePrivacy-Verordnung):

  • Präzisierung und Ergänzung der DSGVO
  • Soll am 25. Mai 2018 in Kraft treten (ABER im Moment = nur Vorschlag!)
  1. ) Richtlinie zur Netz- und Informationssicherheit (EU) (RL 2016/1148): die Informationssicherheit ist fundamental, weil wenn wir nicht verhindern können, dass Dritte auf gespeicherte Daten zugreifen, dann nützt das ganze Datenschutzrecht letztlich auch nichts. ABER es ist in erster Linie eine technische Frage und nicht eine rechtliche.
  2. ) Richtlinie zum Datenschutz in Strafsachen (RL 2016/680/EG):
  3. ) Richtlinie zur Vorratsdatenspeicherung (RL 2006/24/EG): Durch den EuGH rückwirkend auf den Zeitpunkt des Inkrafttretens für ungültig erklärt.

Gegenstand dieser Richtlinie war, dass Telefonkummunikationsdaten gespeichert werden  wann wir mit welchem Mobile welche Nummer angerufen haben und wie lange dieses Gespräch gedauert hat usw. Also, diese Daten werden gespeichert aber nicht der Inhalt der Kommunikation. Das soll der Strafverfolgung dienen.

In der Schweiz ist das im Büpf geregelt => Interessant hier ist der Gegenstand den wir in der Schweiz als zulässig angeschaut haben.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Rechtsgrundlagen Schweiz:

A
  1. ) BV 13
  2. ) ZGB 28ff
  3. ) Datenschutzgesetz (DSG): in Revision!! Zwei zentrale Ziele:
    - Anpassung an veränderte technologische und gesellschaftliche Verhältnisse: Das DSG ist so grundsatzorientiert, basiert auf sehr allgemeine Prinzipien, dass man sie durchaus weiter anwenden kann. ABER, die Veränderung der Technik führt zu neuen Problemen, für die man adäquate Lösungen schaffen muss.
    - Anpassung an die Anforderungen der DSGVO: Sicherstellen, dass das DSG das gleiche Schutzniveau hat wie das europäischen Datenschutzrecht => zentral für die Frage der Datenübermittlung (unproblematisch wenn das Ausland einen gleichwertigen Schutz hat wie das Inland)!!

Grosse Kontroverse über wie weit die Schweiz gehen muss?

4.) Verordnung zum DSG (VDSG): wichtige Aspekte werden dort wieder konkretisiert, z.B. Auskunftsrecht.

5.) Diverse weitere Datenschutzbestimmungen im öffentlichen Recht des Bundes, der Kantone und der Gemeinden
=> z.B.: StPO, StGB, KVG, HFG (59 I)

Also das datenschutzrecht ist letztlich eine ausgeprägte Queerschnitsmaterie => es gibt zahlreiche Gesetzte in denen wir Spezialbestimmungen finden.

Die Kernfunktion dieser weiteren Bestimmungen ist die eine gesetzliche Grundlage zu erschaffen für Datenbearbeitung durch Bundesorgane.

Datenbearbeitung ist nur zulässig, wenn sie rechtmäßig erfolgt und das heißt für Datenbearbeitung durch Bundesorgane, dass sie eine konkrete gesetzliche Grundlage brauchen um das zu tun und diese Grundlagen finden wir in einzelnen Spezial Erlassen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Geltungsbereich des DSG:

A
  1. ) DSG 2
  2. ) Bearbeiten von Daten natürlicher und juristischer Personen: es geht um alle Arten von Bearbeitungen.

Das juristische Personen geschützt sind = Schweizer Spezialität die im Zuge der Revision wegfallen wird.
Obwohl das Persönlichkeitsrecht im Sinne von ZGB 28 auch für juristische Personen gilt, wird man hier das Datenschutzrecht auf natürliche Personen einschränken.

Internationaler Standard: Schutz von Daten von juristischen Personen macht datenschutzrechtlich keinen Sinn.

  1. ) Bearbeiten durch Private und Bundesorgane:
    - Durch Private: solange sie nicht ausschließlich zum Privatgebrauch erfolgt!!

Zeigt, dass der Anwendungsbereich fast unbegrenzt wie ist!! Es gibt fast keine Unternehmen die keine Personendaten bearbeiten (wenn man Kunden hat, hat man ihre Kontaktinformationen = Bearbeitung von Personendaten).

Praktisch kein Unternehmen kann sich heute darauf berufen, dass das DSG für dieses Unternehmen nicht relevant ist. Früher, waren sich dem nicht bewusst. Hat sich geändert mit dem Beudeutungszuwachs des DSG und jetzt erst recht mit dem Eintreten der DSGVO (sieht massive Sanktionen vor => bis 4% des weltlichen jährlichen Umsatzes oder 10 respektive 20 Millionen, je nach dem was höher ist)

  • Durch Bundesorgane: muss natürlich aus konform sein!
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

DSG nicht anwendbar auf:

A

cf. DSG 2 II => tous listés
- Bearbeiten zum ausschließlichen Privatgebrauch: = was wir nur für unsere Privatzwecke tun, also nicht kommerziell und diese Daten auch nicht an Dritte bekannt geben.
- Beratungen in Eidgenössischen Räten und parlamentarischen Kommissionen (nicht aber im Bundesrat): spezifische Regelungen wo natürlich die Bearbeitung von Personendaten vereinfacht sein muss! Diese Ausnahme gilt NICHT für den Bundesrat.
- Hängige Zivil-, Straf- und Verwaltungsverfahren (ausser erstinstanzliche Verwaltungsverfahren): dort gelten spezifischen Bestimmungen (StPO/ZPO/VWVG) außer wenn es um erstinstanzliche Verwaltungsverfahren geht.

Straf- oder Zivilprozess = nichts anderes als die Bearbeitung von Daten.

  • Öffentliche Register des Privatrechtsverkehrs (z.B. Handelsregister oder das Grundbuch): z.B. auch: die Patent, Marken und Designregister die das IGR in Bern führt.

Alle diese Register enthalten auch Personendaten => Das alles sind Personendaten Bearbeitungen aber hier gelten spezielle Regeln für diese Register die gerade darauf ausgerichtet sind, Personendaten zu bearbeiten.

  • Personendaten, die das IKRK bearbeitet: untersteht einer sondergesetzlichen Regelung
  • Kantonale Datenbearbeitung: unterstehen den kantonalen Datenschutzgesetzen (ZH = IDG).

ALSO: wenn wir es mit kantonalen Behörden zu tun haben, z.B., mit Universität dann unterstehen diese nicht dem Datenschutzgesetz des Bundes, sondern der entsprechenden kantonalen Gesetzgebung.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Privat/Bund/Kanton:

A
  1. ) Private:
    - unterstehen den Bestimmungen für Privatpersonen im DSG. d.H., insbesondere art. 4-11a (was getan werden darf und was nicht) und art. 12-15 (die Persönlichkeitsverletzungen und Rechtfertigungen).
    - Wenn private als juristische oder natürliche Personen öffentliche Aufgaben des Bundes erfüllen, dann gelten für sie die Bestimmungen die für die Bundesorgane vorgesehen sind. Das sind wieder die allgemeinen Grundsätze (art. 4-11a) und dann art- 16-25bis.
  2. ) Bund:
    - Wenn der Bund tätig ist und die Bundesorgane privatrechtlich handeln, dann ist es offensichtlich, dass die gleichgestellt sein sollen, auch Datenschutzrechtlich, mit den Aktivitäten von Privaten –> dort gelten auch für die Aktivitäten des Bundes die Bestimmungen für Privatpersonen.
    - Bearbeitung von Personendaten im Rahmen eines öffentlich-rechtlichen Rechtsverhältnis => Bestimmungen die für die Bundesorgane vorgesehen sind => allgemeinen Grundsätze (art. 4-11a) und dann art- 16-25bis.
  3. ) Kantone: es gibt 2 relevante Splits:
    - Vollzug von Bundesrecht: dann stellt sich die Frage, sieht das kantonale Recht einen minimalen Schutz vor?

=> Wenn nein, dann gilt das DSG (DSG 37 I) (DSG 1-11a; 16, 17, 18-22, 25), weil sichergestellt werden muss, dass auch beim Vollzug von Bundesrecht, die bundesrechtlichen Vorgaben im Bereich Datenschutz eingehalten werden.

=> Wenn ein minimaler Schutz aber gewährleistet ist, dann gilt das kantonale Datenschutzgesetzt, ebenso bei allen anderen Datenbearbeitungen durch kantonale Behörden.

  • Allgemeine Datenbearbeitung durch kantonale Behörden: Kantonale Regelung.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Begriffe: Was sind Daten und was sind Personendaten?

A

Wichtige Frage, weil erfasst wird nur die Bearbeitung von Personendaten, die Bearbeitung von anderen Daten untersteht nicht dem DSG!

Wichtig ist aber zu sehen, dass der Begriff der Personendaten wie der Geltungsbereich des DSG sehr weit ist => Personendaten liegen nämlich nicht nur dann vor wenn es um den Namen oder die Adresse, Telefonnummer einer bestimmten Person geht, also nicht nur eine Situation in der eine Person bestimmt ist und einfach bestimmt werden kann, sondern Daten die auch einen etwas entlegenen Bezug zu einer Person haben sind Personendaten sofern dieser Bezug hergestellt werden kann und die Informationen einer bestimmten Person zugeordnet werden.

cf. Bundesentscheid Logistep

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Sachdaten:

A

= Daten ohne jeglichen Personenbezug.

z.B. die Information, dass der Uetliberg 869m hoch ist  diese nackte Information ist keine Personendaten aber, wenn man sie verbindet mit der Information, dass wir ein Ticket kaufen um auf den Berg zu gehen, dann wird es schon Personendaten.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

“Normale” Personendaten:

A

= Alle Daten die als Personendaten qualifiziert werden können ohne, dass weitere qualifizierende Merkmale zukommen. Dann gibt es den normalen, Standardschutz des DSG.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Besonders schützenswerte Personendaten:

A

= Daten über die religiöse weltanschauliche, politische oder gewerkschaftliche Aktivität. Alle Daten welche die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit betreffen sind besonders Schützenswerte Personendaten. Informationen darüber, dass wir irgendwelche Maßnahmen der sozialen Hilfe, also Sozialhilfe Bezüger waren sind oder sein werden + alle Daten über administrative und strafrechtliche Verfolgungen und Sanktionen.

=> Sind als besonders schützenswerte Personendaten dargestellt und haben also ein erhöhtes Schutzniveau.

Was bedeutet das? z.B. Rassenzugehörigkeit => bedeutet, dass jedes Bild von Ihrem Gesicht erlaubt zu identifizieren was ihre Rassenzugehörigkeit ist. Das heisst ein Bild von einer Person ist bereits ein besonders Schützenswertes Datum. Es geht also sehr sehr weit.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Persönlichkeitsprofile:

A

= geht es darum, dass eine Reihe, eine große Menge von Daten gesammelt werden über eine bestimmte Person die es dann erlaubt diese Person in ihrer Gesamtheit oder in relevanten Teilaspekten ihrer Persönlichkeit zu beurteilen.

Sie profitieren auch von einem erhöhten Schutz.

Der Schutz ist hier allerdings schon heute begrenzt auf Persönlichkeitsprofile von natürlichen Personen. Persönlichkeitsprofilen von juristischen Personen qualifizieren nicht als Persönlichkeitsprofilen und unterstehen damit auch nicht einem erhöhten Schutz.

Im Moment ist das noch so => mit der Revision wird die Unterscheidung zwischen besonders schützenswerte Personen und Persönlichkeitsprofilen wegfallen. In Übereinstimmung mit dem europäischem Recht gibt es dann noch normale Personen Daten und besonders schützenswerte Personendaten. Das Erstellen von Persönlichkeitsprofilen untersteht allerdings als Profiling einer besonderen Regelung.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Logistep (BGE 136 II 508):

A

= Fall der Datenschutzrecht + Urheberrecht mit einander verbindet.

  • Es geht um die Frage ob und wie Inhaber von Urheberrechten vorgehen können gegen die Benutzung von Urheberrechtlich geschützten Werken in peer to peer Systemen.
  • Schweiz: wir dürfen solche geschützten Werke aus peer to peer Systemen runterladen aber nicht hochladen! => wenn wir Werke zur Nutzung durch Dritte zur Verfügung stellen, dann ist das urheberrechtlich auch nach Schweizer Recht unzulässig
  • Problem: das Verfolgen dieser Personen Online ist sehr schwierig.
  • Logistep: hat eine Software entwickelt die es erlaubt diese Personen zu tracken, herauszufinden wer wann und wie lange in diesen peer to peer Systemen welche Aktivitäten vorgenommen hat, insbesondere wer Werke zugänglich gemacht hat, die dann Dritte nutzen konnten.
  • Jedes Gerät ist über eine IP-Adresse erreichbar (Folge von Zahlen)
    => Manche haben eine feste IP-Adresse = folge von Zahlen unter der ein bestimmter Rechner immer erreichbar ist

=> Manche haben eine dynamische IP-Adrese (weil man nicht immer online ist, Sonder online & offline usw). Das heisst wir bekommen auch so eine Adresse und die bleibt bleibt solange wir online sind und so bald wir Offline sind, geht die Adresse zurück an den Service Provider und die Adresse kann dann 10 Minuten später von jemandem Anderen verwendet werden.

  • Das heisst, die IP-Adresse verändert sich laufend und genau um diese Frage ging es. Mit dieser Software von Logistep war es möglich heraus zu finden welche IP Adresse wie lange in welchem peer to peer Netzwerk welche Aktivität vorgenommen hat. Aber weil die IP-Adresse sich bei jeder neuen Aktivität ändert, war es nicht möglich heruaszufinden wer konkret hinter dieser IP-Adresse steht => das weiss nur unser IP telecom Provider => er kann mit seinen Protokollen überprüfen an welchen Moment seine Kunde X welche IP-Adresse verwendet hat.
  • Trick: Logistep konnte dann Strafantrag gegen Unbekannt stellen => dann muss die Strafverfolgungsbehörden aktiv werden und dafür muss sie wissen gegen wenn sie vorgehen muss => dieses Wissen konnten sie bei den Telecom Providern bekommen
  • Die Rechtsinhaber waren grundsätzlich nicht Verfahrensbeteiligte aber haben als Betroffene ein Akteneinsichtsrecht und haben über dieses Recht herausfinden können wer das konkret war. Basierend auf diesen Informationen konnten sie dann Zivilrechtliche Klage auf Schadensersatz und Unterlassung einreichen.
  • Frage hier: ist das eine Bearbeitung von Personendaten und ist das rechtmässig?

=> EDOB sagt: unzulässige Bearbeitung von Personendaten und hat Logistep empfohlen es wieder aufzugeben

Die Frage ist: ist diese IP Adresse ein Personendata?

  • Das BG hat klargestellt, dass Personendaten nicht nur Daten sind die ganz bestimmt auf eine bestimmte Person verweisen, sondern auch Daten die es erlauben die dahinerstehende Person zu bestimmen => Bestimmbarkeit reicht aus! Bestimmbarkeit im Moment der Bearbeitung ist nicht erforderlich.
  • BG sagt: es ist gerade das Ziel von Logisteps Software, dass man eine Person identifiziert und deshalb ist diese dynamische IP-Adresse bereits als Personendatum zu qualifizieren.
  • hat insbesondere dazu geführt, dass das in diesem Zeitpunkt einzige Mittel um solchen Urheberrechtsverletzungen auf die Spur zu kommen in sich zusammengefallen ist aus datenschutzrechtlichen Gründen
  • Grosser Schritt dieses Entschiede: es reicht aus, für die Qualifikation als Personendaten, wenn der Zweck der ganzen Übungsauslage ist, dass jemand identifiziert und erkannt werden kann. Aus Sicht des BG, spielt es keine Rolle, ob das Logistep ist oder ein Dritter.
  • Das Bundesgericht hat nicht gesagt dynamische IP Adresse sind immer Personendaten SONDERN, es können Personendaten sein. Sie sind es in dieser Konstellation, weil die ganze Konstellation darauf ausgerichtet ist, dass am Ende eine Person individualisiert wird.
  • Wenn es um staatliche IP-Adressen geht die fix einer Person zugeordnet sind, dann ist die Diskussion ganz einfach: es ist klar, dass es eine Information über eine bestimmte Person ist.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Bearbeiten (DSG 3 e):

A

Dieser Begriff ist auch sehr weit!

  • Jeder Umgang mit Personendaten: im Datenschutzrecht sprechen wir oft von „Data life circle“ => die Daten entstehen, werden gesammelt, bearbeitet und am Ende wieder gelöscht. Bei diesem ganze Data life circle, sobald wir irgendwie mit diesen Daten umgehen, liegt ein Bearbeiten im Sinne des DSG vor was Datenschutzrechtlich konform sein muss
  • Insbesondere das:
    a. ) Beschaffen: das Aufnehmen durch die Videokamera z.B.

b. ) Aufbewahren: wenn sie gespeichert werden. Selbst wenn NIE jemand diese Daten benutzt!
c. ) Verwenden
d. ) Umarbeiten: also Veränderung
e. ) Bekanntgeben: an Dritte
f. ) Archivieren: es gint eine Archivierungspflicht im OR => Verpflichtung Geschäftsdaten 10 Jahre aufzubewahren. Das heisst, wir sind verpflichtet sie zu archivieren und diese Archivierung ist aber eine Bearbeitung von Personendaten. Auch hier, selbst wenn nie jemand sie wieder herausholt und benutz.
g. ) Vernichten von Daten: also wenn wir sie quasi löschen oder physisch Zerstören.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Datensammlung (DSG 3 g):

A

= Bestand von Personendaten die nach der betroffenen Person erschließbar sind => man muss irgendwie nach der Person suchen können

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Inhaber der Datensammlung (DSG 3 i):

A

= Private Person oder Bundesorgan, die über Zweck und Inhalt der Datensammlung bestimmt

Der zentrale Player der sehen muss, dass die Vorgaben des DSG eingehalten sind, der verantwortlich ist, heisst im Schweizer Recht „Inhaber der Datensammlung“

Der Begriff „Inhaber der Datensammlung“ ist nicht sehr glücklich. Im europäischen Kontext wird von „Verantwortlichen“ geredet (DSGVO verwendet auch diesen Begriff).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Grundsätze:

A

GRUNDSAETZE:
- Rechtmässigkeit (DSG 4 I)

  • Bearbeitung nach Treu und Glauben (DSG 4 II)
  • Verhältnismässigkeit (DSG 4 II)
  • Erkennbarkeit (DSG 4 IV)
  • Zweckbindung (DSG 4 III)
  • Richtigkeit der Daten (DSG 5 I)
  • Datensicherheit (DSG 7 I=

IN DER SCHWEIZ:
- Personendaten dürfen bearbeitet werden, wenn die Bearbeitung mit diesen Grundsätzen übereinstimmt (wenn wir sie einhalten).

  • ABER, diese Grundsätze sind sehr breit gefasst une sind extrem Abstrakt => es ist schwer für ein Unternehmen im voraus feststellen, ob das BG auch findet, dass es Verhältnismäßig ist (z.B.).
    Wir haben also ein relevantes Risiko, weil hier die Rechtsunsicherheit sehr hoch ist.
  • Das ist ein guter Grund warum wir in der Schweiz, am besten die betroffenen Personen fragen, ob sie einverstanden sind mit der Bearbeitung ihrer Personendaten. Rechtlich ist es aber nicht erforderlich: solange wir konform sind mit diesen Grundsätzen dürfen wir Personendaten bearbeiten.

IN EUROPA:
- Im europäischen Recht ist es ist nicht alternativ, sondern kumulativ => die Grundsätze müssen eingehalten werden UND sie brauchen einen Rechtfertigungsgrund (Einwilligung, ein überwiegendes Interesse oder eine rechtliche Grundlage)

  • Das ist dogmatisch ein zentraler Unterschied. Ob das dann in der Praxis so große Unterschiede machen wird muss sich noch weisen werden, weil auch in der Schweiz sind diese Grundsätze derart unkonturiert, dass immer ein großes Risiko besteht, das die Grundsätze nicht vollständig eingehalten werde, und dass wir dann doch eine Einwilligung oder einen anderen Rechtfertigungsgrund brauchen.

ZWEITE VORBEMERKUNG:
- Diese Grundsätze gelten für ALLE Datenbearbeitungen (durch Private UND Bundesorgane) = das ist der Kern. Daran knüpfen dann die Regelungen für Private & Bundesorgane an die unterschiedlich sind.

  • Problem: diese Grundsätze passen teilweise auf das öffentliche recht, und wenige auf die Privaten
  • 80er: 2 separate Erlasse waren vorgesehen (einen für Private & einen für den Bund).

In diesem Entwurf für die Datenbearbeitung durch den Bund war z.B., vorgesehen, dass Datenbearbeitung muss Rechtmäßig sein (= der Bund brauch eine rechtliche Grundlage), verhältnismäßig sein => macht Sinn! Andere Grundätze haben nicht eine derartig klare Wurzel im öffentlichen Recht; Treu und Glauben war damals nur im ZGB und heute finden wir das auch in der BV.

Man hat am Ende, diese beiden Entwürfe zusammengeführt, gesagt es ist einfacher wenn man einen Erlass haben  hat dazu geführt, dass Grundsätze wie Rechtmäßigkeit oder Verhältnismäßigkeit die eigentlich gedacht waren für die öffentlich-rechtliche Regelung auch auf Private Anwendung finden => das ist teilweise absurd!

z.B.: Verhältnissmässigkeit = problematisch, weil das Ziel der Unternehmen ist die Gewinnmaximierung => nur möglich wenn sie so viele Daten wie möglich bearbeiten. Dieser Grundsatz macht Sinn für den Staat aber nicht für Unternehmen!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Rechtmässigkeit

A

= DSG 4 I

  1. ) Geltung für Bearbeitung (insbesondere Beschaffung) von Daten
  2. ) Private: Keine Verletzung einer in der Schweiz rechtlich bindenden Norm => Norm, die den Schutz der Persönlichkeit bezweckt (strittig)
  3. ) Bundesorgane: i.d.R. gesetzliche Grundlage erforderlich (Gesetz im materiellen Sinn reicht). Ausnahmen:
    - DSG 17 II: man braucht ein Gesetz im formellen Sinn für die Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen => eine Verordnung, ein Gesetz im materiellen Sinn reicht hier also nicht aus.
    - DSG 19: ein Gesetz im formellen Sinn, es gibt hier ein ganzer Katalog von Ausnahmen.
    - DSG 22: die Bearbeitung von Personendaten für Forschung, Planung und Statistik durch den Bund braucht keine gesetzliche Grundlage. Die Idee ist da, dass sie zwar Personendaten brauchen, aber nachher nutzen sie sie in anonymisierter und agreierter Form.

ALSO: Auch ein Grundsatz der viel Sinn für die Datenbearbeitung durch die öffentlichen Organe macht = brauchen eine konkrete gesetzliche Grundlage um Personendaten zu bearbeiten.

Für Private schwieriger, weil nicht ganz klar was das heissen soll? Entweder es bedeutet, dass die Bearbeitung von Personendaten mit der Rechtsordnung übereinstimmen muss (ist aber eine Selbstverständlichkeit). Oder es heisst, dass die Rechtmäßigkeit nur sagen will, dass nicht eine Norm verletzt werden darf, die den Schutz der Persönlichkeitsrechte bezweckt (kein Verstoß gegen ZGB 28 z.B.) aber auch dann ist die Frage was ist der Sinn und Zweck dieser Rechtmäßigkeit?

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Bearbeitung nach Treu und Glauben

A

= DSG 4 II

  1. ) Generalklausel: Die Idee ist hier, dass es sich um eine Generalklausel handelt die dann erlaubt, im Einzelfall zu beurteilen, ob eine Bearbeitung dem Treu und Glaube entspricht.
    - Diese Klausel hatte während einer gewissen Zeit eine relevante Bedeutung, weil der Grundsatz der Erkennbarkeit in der ersten Verfassung des DSG nicht ausdrücklich geregelt war.
    - Man kann sagen, das damit gesagt sein soll, die Datenbearbeitung muss Loyal erfolgen und auf einem Vertrauenswürdigen Verhalten beruhen aber was das dann konkret heißt in einem Einzelfall lässt sich sehr schwer ex ante bestimmen.
  2. ) Bedeutung für alle sonstigen Formen der Bearbeitung von Personendaten nach dem Beschaffen
  3. ) Ableitung einer allgemeinen Informationspflicht (auch bzgl. «Datenpannen» = databreaches): ist im europäischen Recht ausdrücklich vorgesehen.

Die Unternehmen die gehackt werden, müssen die Öffentlichkeit informieren, weil die Leute in der Lage sein müssen zu reagieren (z.B. Kreditkarte sperren lassen, wenn Kreditkartenprovider gehackt wurde).

Was sich auch ableiten lässt, ist die Pflicht die Person zu informieren, wenn die Daten nicht bei uns selbst, sondern bei einem Dritten beschafft werden.

Dieser Grundsatz ist also sehr offen und unklar. Wir haben einen parallelen Grundsatz im europäischen Recht. Die Rechtsunsicherheit die wir in der Schweiz finden, finden wir also auch in Europa.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Verhältnismäßigkeit

A

= DSG 4 II

Macht viel Sinn mit Bezug auf der Bearbeitung von Bundesorganen; problematisch mit Bezug auf die Bearbeitung durch Private

  1. ) Geeignet und erforderlich:
    - Mit der Geeignetheit ist der Bezug zu einem gewissen Zweck der erreicht werden soll durch die Datenbearbeitung gemeint.
    - Erforderlichkeit: gibt es ein milderes Mittel, um diesen Zweck zu erreichen als diese konkrete Datenbearbeitung?
  2. ) Abwägung von öffentlichen Interessen und betroffenen privaten Interessen (einzelfallabhängig, nach objektiven Kriterien)
  3. ) Datenbearbeitung zur Erreichung des Zwecks geeignet
  4. ) Datenbearbeitung muss das mildeste Mittel für den Zweck sein (Erforderlichkeit)
  5. ) Zumutbarkeit der Datenbearbeitung für den Betroffenen

WAS LAESST SICH ABLEITEN?:
dass Personendaten grundsätzlich so schnell wie möglich gelöscht und anonymisiert werden sollten oder in ein Archiv verschoben. Hintergedanke: Bearbeitung von Personendaten = Bedrohung weil kann zu Persönlichkeitsverletzungen führen.

In der Schweiz lässt sich also von der Verhältnismässigkeit ableiten. In Europa => ausdrücklichen Grundsatz => Datenminimisierung: man muss die Anzahl an Daten, so klein wie möglich halten um den bestimmten Zweck zu erreichen.

Es lassen sich also 2 Grundsätze ableiten: der Grundsatz der Speicherbegrenzung & der Grundsatz der Datenminimierung => werden mit dem revidierten DSG explizit geregelt sein!

DIESER GRUNDSATZ FUEHRT ZU EINEM PROBLEM: Vorratsdatenspeicherung! => auf Grund dieses Grundsatz, dürfen wir nicht Daten einfach mal sammeln und speichern (selbst wenn wir noch nicht einmal wissen für was wir diese Daten haben) => müssten die Daten von Anfang an gerade löschen.

Problematisch, weil wir heute genau in einem Umfeld sind wo das passiert.

UM WELCHE KONKRETE FAELLE GEHT ES?:

  • Unternehmen das Standardmässig seinen Lehrlingen Drogentests unterzogen hat => Das BG hat gesagt, dass ist nicht verhältnismäßig; es muss ein konkreter Anlass bestehen.
  • Aufbewahrung von Video Überwachungsdaten (Bankomaten, Verkehrsmittel usw) während 100 Tagen => das BG hat gesagt = verhältnismässig weil die Bilder werden gemacht um die Sicherheit zu erhöhen.
  • Aufbewahrung von Strafalten während 5 Jahren nachdem das Strafverfahren eingestellt wurde, weil jemand den Strafantrag zurückgezogen hat. Diese 5 Jahre sind angeordnet im Fall eine Einstellung mangels Beweisen. BG hat gesagt: bei einer Einstellung wegen Rückzug des Strafantrages ist das zu lange => müsste eine kürzere Frist sein!
21
Q

Erkennbarkeit

A

= DSG 4 IV

Das ist der wichtigste Grundsatz des Datenschutzrecht der auch Überzeugt.

  1. ) Beschaffung und Zweck der Datenbearbeitung müssen erkennbar sein: was auch erkennbar sein muss, ist welche Art von Datenbearbeitung vorgenommen wird.
  2. ) Geltung primär für private Datenbearbeiter => DSG 18a enthält strengere Voraussetzungen für Bundesorgane (gesetzliche Grundlage): erhöht für die Bundesorgane, weil eine allgemeine Informationspflicht besteht!! => die Bundesorgane die Personendaten bearbeiten, müssen uns aktiv informieren über die Bearbeitung von Personendaten während es für die privaten Datenbearbeiter ausreicht, wenn konkret für die betroffene Person erkennbar ist das Daten bearbeitet werden.
  3. ) Beurteilung einzelfallabhängig
  4. ) Enges Zusammenspiel mit Grundsatz von Treu und Glauben: wurde lange von diesem Grundsatz abgeleitet.
  5. ) Erkennbarkeit ≠ aktive Informationspflicht (aber in gewissen Fällen kann sich eine Informationspflicht ergeben): aktive Informationspflicht für Private wenn die betroffene Person aus dem Umständen nicht erkennen kann, dass ihre Daten bearbeitet werden.
    z. B. Cookies => macht Sinn, dass wir ausdrücklich darauf hingewiesen werden.

Aktive Informationspflichten bestehen dann auch wenn besonders Schützenswerte Daten beschafft werden oder Persönlichkeitsprofile erstellt werden und wenn die Beschaffung und der Zweck der Bearbeitung aus den Umständen nicht erkennbar ist.

  1. ) Geltung auch, wenn Daten bei Dritten beschafft werden: Aktive Informationspflichten bestehen dann wenn die Daten von einem Dritten beschafft werden.
  2. ) Beschaffen ohne Erkennbarkeit möglich, wenn gesetzliche Grundlage vorliegt (z.B. im Bereich Polizei oder Strafverfolgung) => Nachträgliche Information muss erfolgen.
22
Q

Zweckbindung

A

= DSG 4 III

Ist der zweit wichtigste Grundsatz. Die Idee ist die, dass die Daten jeweils zu einem bestimmten Zweck bearbeitet werden, und dass dieser Zweck nicht wesentlich verändert werden darf. Der Hintergrund ist typischerweise der, dass ganz oft die Einwilligung erforderlich ist um eine Datenverarbeitung als rechtmäßig erscheinen zu lassen. Wenn man dann die Daten für etwas Anderes benutzt, dann ist es von der Einwilligung nicht mehr gedeckt.

  1. ) Datenbearbeitung:
    - nur zum angegebenen Zweck (formlos);
    - aus den Umständen ersichtlich; oder
    - gesetzlich vorgesehen

2.) Wichtig: Unterscheidung zwischen Zweckbindung der Datenbearbeitung und Beurteilung des Zwecks selbst:
Es geht bei der Zweckbindung nicht um die Frage, ob der Zweck zu dem wir die Daten Bearbeiten zulässig oder unzulässig ist (wäre eine Frage der Rechtmäßigkeit). Bei der Zweckbindung geht es also nicht um den Inhalt des Zwecks, sondern quasi um die Identität des Zwecks (das wir eben die Daten nicht zu einem ganz anderen Zweck bearbeiten dürfen).

3.) Vorratsdatenbeschaffung in der Schweiz unzulässig (da ohne Ziel/Zweck): Problematik= Data Warehousing, Data Mining, Big Data

Heute erfassen wir das alles unter dem Stichwort „Big Data“ und Big Data beruht im Kern auf die Idee, dass wir ganz unterschiedliche Datenbestände miteinander kombinieren können und aus diesen Datenbeständen heraus dann Informationen gewinnen können für irgendwelche Zwecke.

Big Data ist das Gegenteil von Datenminimierung, weil die Idee ist dort, umso mehr Daten wir haben umso besser sind die Ergebnisse.

  1. ) Modifikation des Zwecks möglich bei Information und Einwilligung des Betroffenen:
  2. ) Zweckbindung gilt auch für Dritte
23
Q

Richtigkeit der Daten

A

= DSG 5 I

  1. ) Grundidee: 80er Jahre als noch alles auf Papier war. Heute können wir auf verschiedene Datenbanken zugreifen und vergleichen.
  2. ) Ziel: Personendaten müssen immer korrekt sein und dürfen nicht verfälscht werden

Gilt auch für die Datensicherheit: da bestehen vielleicht eher Risiken für Fehler als bei der Falschen Eingabe/Speichern von einzelnen Datensätze.

  1. ) Pflichten:
    - Verifizierung der Richtigkeit der bearbeiteten Personendaten: ergibt sich auch eine Pflicht zur Nachführung der Daten (= wenn sich die Daten über die Zeit verändern, wenn wir umziehen z.B., muss er sie nachführen solange die Veränderung für seine Bearbeitung Konsequenzen hat).

Er ergibt sich aber daraus kein allgemeiner Verbot der Verarbeitung von unrichtigen Daten

  • Massnahmen treffen, um unrichtige und unvollständige Daten zu berichtigen/zu löschen
  • Richtigkeit: «[…] wenn [Personendaten] eine Tatsache mit Bezug auf die betroffene Person und im Hinblick auf den Verwendungszweck sachgerecht wiedergeben.»:

Mit Bezug auf die Person & den Zweck = Kontextabhängig!! Es können Fehler bestehen die aber irrelevant sind für die konkrete Datenbearbeitung und sind in diesem Sinn nicht falsch sondern Datenrechtlich in irrelevanter Weise unzutreffend

4.) Die Vernichtungspflicht die unter Umständen besteht, liegt vor, wenn die Daten nicht mehr richtig sind. Diese Vernichtungspflicht kann sich aber auch aus dem Grundsatz der Verhältnismäßigkeit ergeben => daraus lässt sich der Grundsatz der Speicherbegrenzung ableiten => die Daten müssen gelöscht werden, sobald sie nicht mehr gebraucht werden (also abgesehen von der Frage ob richtig oder unrichtig!).

24
Q

Datensicherheit

A

= DSG 7 I

1.) Massnahmen gegen unbefugtes Bearbeiten:

  • Technisch: z.B. IT-Sicherheitsmassnahmen (Passwort, Verschlüsselung etc.), bauliche Massnahmen (abschliessbarer Raum etc.)
    = wie die Sicherheit technisch gewährleistet werden kann z.B., gegen Veränderungen oder Zugriff von Dritten auf Datensätze durch Hacking => müssen Massnahmen treffen.
    ACHTUNG: das ist eine Dauerpflicht!

Wir müssen als Datenbearbeiter sicherstellen, dass in technischer Sicht unser Sicherheitskonzept auf dem neusten Stand ist.

  • Organisatorisch: z.B. => Instruktion Mitarbeiter wie sie sich verhalten müssen um die Sicherheit der Daten zu gewährleisten;
    => Dokumentation (dass wir sie instruiert haben, sie weiterbilden, wer Zugriff auf die physische Infrastruktur hat usw)
  1. ) Befugnis hat drei Aspekte (nicht erschöpfend):
    - Vertraulichkeit (Zugriff nur, wenn Berechtigung erteilt): ist zentral, dass wir Maßnahmen treffen, damit nicht jedermann darauf zugreifen kann. Sonst ist die Vertraulichkeit nicht gewährleistet.
    - Verfügbarkeit (bzgl. gewünschte Zeit, Ort und Form): wir müssen technisch mit Redundanzen arbeiten => die Daten müssen an verschiedenen Orten gespeichert sein um sicherzustellen zu können, dass die Daten verfügbar sind, wenn sie verfügbar sein müssen.
    - Datenintegrität (Daten müssen richtig sein): knüpft unmittelbar am Grundsatz der Datenrichtigkeit an.
  2. ) Mindestanforderungen: Art. 8–12 VDSG & Art. 20–23 VDSG: dort steht z.B., dass die Daten gesichert sein müssen gegen unbefugter oder zufälliger Vernichtung, gegen zufällige Verluste, technische Fehler, Fälschung & Diebstahl, unbefugtes ändern, Kopieren und Zugreifen usw…

Es gibt eine ganze Reihe von Kontrollmaßnahmen die wir ergreifen sollten um diese Datensicherheit zu gewährlisten, z.B.:

  • Zugangskontrolle
  • Transportkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugrifskontrolle
  • Eingabekontrolle

4.) Massnahmen an Verhältnismässigkeitsprinzip gebunden: .H., die Maßnahmen die wir treffen müssen geeignet sein um den Schutz zu gewährleisten, die müssen erforderlich und Zumutbar sein.

25
Q

Persönlichkeitsverletzung:

A

SCHWEIZ: Grundsätzlich dürfen wir Daten bearbeiten sofern wir die Grundsätze einhalten. Wenn wir das nicht tun, fingiert das Gesetz, dass eine Persönlichkeitsverletzung vorliegt (egal ob tatsächlich Konsequenzen vorliegen).

UNTERSCHIED zum Persönlichkeitsrecht wo wo für eine Persönlichkeitsverletzung ein Mindestmaß an Intensität erforderlich ist => nicht jeder Eingriff in die Persönlichkeit reicht aus. Hier nicht der Fall.

  1. ) Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen, insb:
    - Keine Bearbeitung von Personendaten entgegen den Grundsätzen der Datenbearbeitung (Art. 4, 5 Abs. 1 und 7 DSG)
    - Keine Bearbeitung gegen den ausdrücklichen Willen der Betroffenen (selbst wenn Grundsätze eingehalten).
    - Keine Bekanntgabe von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen an Dritte wietergegeben werden
  2. ) Rechtfertigung in allen drei Fällen möglich
  3. ) Annahme: i.d.R. keine Persönlichkeitsverletzung, wenn betroffene Person Daten allgemein zugänglich gemacht und Bearbeitung nicht ausdrücklich untersagt hat:

Wenn wir jetzt z.B. Daten über uns Online allgemein zugänglich machen, dann ist die gesetzliche Annahme die, dass keine Persönlichkeitsverletzung vorliegt, wenn jemand diese Daten bearbeitet.

26
Q

Persönlichkeitsverletzung - Rechtfertigung:

A
  1. ) Gesetzliche Grundlage
  2. ) überwiegendes Interesse
  3. ) Einwilligung
27
Q

Gesetzliche Grundlage:

A

Wenn wir von gesetzenswegen die Pflicht haben Personendaten in einer bestimmten Art und Weise zu bearbeiten, kann das keine Persönlichkeitsverletzung sein sonst würden wir ja in ein Dilemma geraten.

Typischer Anwendungsfall: Datenbearbeitung durch Bundesorgane => brauchen Ehe eine gesetzliche Grundlage für ihre Tätigkeit und diese Grundlage reicht dann auch, um eine Datenbearbeitung zu rechtfertigen und ein Verstoß gegen das DSG auszuschließen. Manchmal reicht ein gesetz im materiellen Sinn aus.

28
Q

Einwilligung:

A

= Kernbereich der Rechtfertigung!

1.) Rechtliche Perspektive:
Wir werden hier sehen, dass wir regelmäßig die Einwilligung geben müssen, die Einwilligung von uns verlangt wird, auch wenn die Datenbearbeitung die da hinter steht möglicherweise gar nicht gegen die Grundsätze verstößt. In einem Online-Kontext macht es sicherheitshalber Sinn, für die Unternehmen, um sich nicht in das Risiko einzulassen, dass sie in einem Streitfall argumentieren müssen, dass ohne Einwilligung, ein überwiegendes Interesse für die Datenbearbeitung besteht.

ALSO: Die Einwilligung ist quasi zum Standard geworden, sogar wenn sie aus Sicht des Schweizer Rechtes nicht immer erforderlich wäre.

  1. ) Ethische Perspektive: außerhalb der Rechtsordnung ist es eigentlich klar, dass Informed Consent der Standard ist, wenn eine Bearbeitung von Personendaten auch ethisch rechtfertigt.
  2. ) EU: System der GTPR = anders!! dort müssen wir die Grundsätze einhalten UND zusätzlich einen Rechtfertigungsgrund haben.

4.) Konzept der informierten Einwilligung (Informed Consent) (DSG 4 V): Voraussetzung für die Gültigkeit der Einwilligung, ist dass wir wissen was wir Einwilligen. Wir müssen Informationen haben => müssen uns nicht aktiv zugespielt werden, sondern wir können sie auch passiv erhalten wenn wir aus dem Kontext heraus wissen könne, dass unsere Daten bearbeitet werden.
Das heisst, wir müssen wissen was mit den Personendaten passiert. Nur wenn wir es einschätzen können, können wir rechtsgültig Einwilligen. Wenn der Consent nicht informed ist, dann ist er auch nicht gültig.

5.) Conset kann explizit aber auch konlkudent oder schweigend gegeben werden (z.B.: wir steigen in einen Bus mit CCTV Kamera ein)

ABER: die Einwilligung kann nicht weitergehen als so weit wie wir verstehen können was mit diesen Daten passiert.
=> Beispiel mit dem Parkhaus: gehen davon aus, dass die Daten für die Sicherheit benutzt werden & nicht für Analysen z.B.

ALSO: Auch bei konkludenter Einwilligung, geht die Einwilligung nur so weit wie sie sinnvollerweise davon ausgehen können das Daten tatsächlich bearbeitet werden. Für weitere Zwecke, brauchen wir entsprechende Information um den Konsens informiert abgeben zu können. Wenn die Information fehlt, ist die Einwilligung auf diesen Teil der Bearbeitung ungültig und es liegt damit eine Persönlichkeitsverletzung vor

Ausnahme hier: bei der Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen brauchen wir immer eine Ausdrückliche Zustimmung

  1. ) Die Einwilligung kann JEDERZEIT widerrufen werden! cf. Erotik Fall => gilt auch für das DSG
  2. ) Natürlich müssen wir die Einwilligung vor der Datenbearbeitung geben; oft passiert es gleichzeitig. Solange wir noch keine Einwilligung haben, haben wir eine Persönlichkeitsverletzung. Wir können auch rückwirkend Einwilligen.
29
Q

überwiegendes Interesse (DSG 13 II):

A

Manchmal, möchte mann nicht nach der Einwilligung fragen, weil das auffällig ist. Stellt sich dann die Frage, ob die Datenbearbeitung aus überwiegenden privaten Interessen gerechtfertigt werden können?

Beispiele (nicht abschliessend):

1.) Unmittelbarer Zusammenhang mit Vertragsschluss oder Wettbewerb:

Wenn wir mit jemanden einen Vertrag abschließen möchten, haben wir Interesse daran ein bisschen etwas über unseren Partner zur erfahren (sei es eine natürliche Person oder ein Unternehmen). z.B.: ist er kreditwürdig?

Wenn wir im Wettbewerb stehen (geht auch um Unternehmen) => da dürfen wir Daten bearbeiten um uns Kenntnisse zu beschaffen über unsere Wettbewerber, also über die Konkurrenten auf dem Markt.

  1. ) Vorbereitung einer Veröffentlichung: Hier geht es um den Schutz der Medienfreiheit. Journalisten Bearbeiten regelmäßig Personendaten in der Vorbereitung einer Publikation => das müssen sie machen können und dürfen, damit sie überhaupt ihr Job machen können.
  2. ) Bearbeitung zu nicht personen-bezogenen Zwecken, insb. Statistik: wenn wir Daten bearbeiten nicht um über eine bestimmte Person Kenntnisse zu bekommen, sondern zum Zweck der Forschung, Statistik usw => dann dürfen wir das machen!

Voraussetzung ist dann aber, dass die betroffenen Personen in der Veröffentlichung, Publikation nicht erkennbar sind.

4.) Personen des öffentlichen Lebens: die genießen einen weniger weitergehenden Schutz, auch im Rahmen des DSG. Solange Daten bearbeitet werden über Personen dieses öffentlichen Lebens und diese Daten einen Bezug haben zum Wirken dieser Person im öffentlichen Rahmen, ist eine solche Datenbearbeitung zulässig.

30
Q

Informationspflicht:

A
  1. ) Gesetzliche Grundlagen:
    - DSG 14: für Unternehmen
    - DSG 18a & 18b: für Bundesorgane => gehen deutliche weiter als die für die Unternehmen

2.) Zweck: Stärkung des Erkennbarkeitsprinzips (wie es sich bereits aus DSG 4 ergibt). Für die betroffenen Personen ist es zentral, dass sie verstehen, was mit ihren Personendaten geschieht.

Soll gestärkt werden durch gewisse aktive Informationspflichten.

  1. ) Geltung:
    - Für Private: art. 14 sieht vor, dass nur bei Bearbeitung von besonders schützenswerten Personendaten und beim Erstehen von Persönlichkeitsprofilen eine aktive Informationspflicht besteht => sonst reicht es, dass die Erkennbarkeit sich aus den Umständen der Datenbearbeitung ergibt (z.B.: Parkhaus).
  • Für Bundesorgane: 18a & 18b => umfassende Informationspflichten für die Bearbeitung von allen Personendaten.
    4. ) Im Gegensatz zu «erkennbar sein» bedeutet die Informationspflicht eine «aktive Information» der Betroffenen Stärkere Pflicht als nach Art. 4 Abs. 4 DSG
    5. ) Präventive Wirkung?: Die Idee ist quasi, dass es Informationspflichten gibt und das man deswegen erst recht überlegt ob man besonders schützenswerte Personendaten bearbeitet oder Persönlichkeitsprofile erstellen möchte oder muss um einen gewissen Zweck zu erreichen oder ob man nicht besser auf diese Art von Datenbearbeitungen verzichtet um sich von diesen Informationspflichten zu entlassen.
31
Q

Informationspflicht für Privatpersonen (DSG 14):

A
  1. ) Ausschliesslich für Sachverhalte in der Schweiz: ist die Pflicht öffentlich-rechtlicher oder privat-rechtlicher Natur? Bestritten:
    - Wenn öffentlich-rechtlich: DSG 14 kann nur geltend beansprucht werden, wenn die Bearbeitung in der Schweiz durchgeführt wird.
    - Wenn privat-rechtlich: dann muss die Frage durch IPRG 39 geregelt werden => die Informationspflicht stellt sich dann nach dem anwendbaren Recht.
  2. ) Keine systematische Erhebung notwendig => Informationspflicht greift bereits bei Erhebung einzelner Daten: sofern es sich um besonders schützenwerte Daten handelt die erhoben werden. Bei Persönlichkeitsprofilen, per Definition greifen eine ganze Reihe von Daten.
  3. ) Im Zweifel: Informationspflicht zu bejahen

4.) Mindestinhalt (worüber müssen wir informieren?)(DSG 14 II), einzelfallabhängig:
=> aber Grundregel: wir müssen soviel Information erhalten wie wir benötigen um die Datenbearbeitung einschätzen zu können

  • Inhaber der Datensammlung: man muss wissen wer über den Zweck unser Datenbearbeitung entscheidet
  • Zweck des Bearbeitens: wissen welche Art von Personendaten bearbeitet werden
  • Kategorien der Datenempfänger: wen die Daten an einen Dritten herausgegeben werden, dann müssen auch die Kategorien der Datenempfänger angegeben werden.

Nicht angeben werden muss: die Identität der Datenempfänger (Geschäftsgeheimnisse = höher gewichtet).

5.) Form: aktiv und ausdrücklich:
Wir können es auch mündlich machen aber => das Problem ist dann, wie wir in einem Streit beweisen können, dass wir die Information kommuniziert haben.

6.) BUNDESORGANE: die gleichen Grundsätze gelten! ABER, für Bundesorgane => Informationspflicht für JEDE Bearbeitung von Personendaten.

Der Inhalt der Information ist der selbe ABER müssen aktiv auch über das Bestehen des Auskunftsrecht informieren.
UND müssen die betroffene Person darüber informieren, was die Folgen sind.

6.) Problematik: Informationspflicht nur beim Beschaffen der Daten oder auch wenn sich Zweck nachträglich ändert oder unvorhergesehene Datenbekanntgabe an Dritte erfolgt?:
eigentlich wieder Informationspflicht aber in der Praxis sind diese Vorgaben nicht immer eingehalten. Relativiert dadurch, dass wir ein Auskunftsrecht haben.

  1. ) Ausnahmen (DSG 14 IV):
    - Betroffener wurde bereits informiert
  • Wenn Daten bei Dritten beschafft werden: unter zweit zusätzlichen Voraussetzungen:
    a. ) Gesetzliche Grundlage für Speicherung oder Bekanntgabe der Daten oder

b. ) Wenn der Aufwand für Information unverhältnismässiger wäre
8. ) Falsche oder unvollständige Information (Art. 34 Abs. 1 lit. a & b DSG): Busse bis zu CHF 10’000.-
9. ) Verweigerung der Informationspflicht möglich nach Art. 14 Abs. 4 f. i.V.m. Art. 9 Abs. 1 und 4 DSG: Eine Informationspflicht besteht nämlich nicht, wenn Einschränkungen bestehen, die auch für das Auskunftsrecht greifen würden.

32
Q

Auskunftsrecht:

A

= Parallelrecht zur Informationspflicht => das Recht der Datensubjekte von den Datenbearbeitern aktiv bestimmte Informationen zu erhalten.

  1. ) Kontroll- und Präventivfunktion: die Datensubjekte können jederzeit Informationen herausverlangen und sind damit in der Lage zu überprüfen ob die Datenbearbeitung mit dem DSG übereinstimmt. Und weil diese Gefahr einer Überprüfung besteht, sollten die Unternehmen anreize haben um das DSG einzuhalten.
  2. ) Berechtigt: nat./jur. Person bzgl. eigener Daten => kein Nachweis eines schützenswerten Interesses erforderlich: gilt auch für Unternehmen ABER nach der Revision wird das Auskunftsrecht nur noch für natürliche Personen bestehen.

Ein zentraler Punkt: das Auskunftsrecht ist bedingungslos => wir müssen nicht nachweisen, dass wir ein bestimmtes Interesse daran haben, dass diese Informationen uns erteilt wird.

3.) Verpflichtet: Inhaber einer Datensammlung (Private und Bundesorgane): = “Kontroller” in der europäischen Terminologie

  1. ) Höchstpersönliches Recht: kein Verzicht im Voraus (DSG 8 VI) und die Ausübung durch Erben ist problematisch. Eigentlich => höchst persönliche Rechte enden mit dem Tot der betroffenen Person. ABER, hier: Rechte gehen insofern aus die Erben über, dass sie Informationen erhalten dürfen ABER NUR, wenn die ein Interesse nachweisen können!!
    (z. B.: wenn Informationen im Nachlass fehlen. Interesse = Devolvieren des Nachlasses).
  2. ) Gegenstand (DSG 8 II):
    - sämtliche vorhandenen Daten und deren Herkunft
    - Zweck der Bearbeitung
    - Ggf. Rechtsgrundlage der Bearbeitung: Es bezieht vor allem auf die Geltendmachung des Auskunftsrechts gegenüber dem Bund der sich auf eine Rechtsgrundlage stützen muss => muss uns auch bekannt geben was diese Grundlage ist.
  3. ) Form: schriftlich (auch elektronisch):
  4. ) Inhalt: wahrheitsgetreu und vollständig: es gibt keine Rechtfertigung gewisse Daten zurückzuhalten außer es gibt Geschäftsgeheimnisse.
  5. ) Grundsätzlich kostenlos: aber es gibt Einschränkungen => Kosten bis CHF 300 wenn, innerhalb von 12 Monaten schon wieder ein Auskunftsgesuch erstellt worden ist zum gleichen Gegenstand und wenn wir nicht einen Schutz, ein gewisses Interesse dazu legen.

Kosten dürfen uns auch auferlegt werden, wenn der Aufwand zur Erteilung der Auskunft außerordentlich hoch wäre oder wenn kein angemessenes Verhältnis zu den Interessen des Berechtigten vorliegen würde.

  1. ) Einschränkungen (DSG 9):
    - Gesetzliche Grundlage
    - Überwiegende Drittinteressen
    - Öffentliches Interesse (nur für Bundesorgane)
    - Strafuntersuchung oder anderes Untersuchungsverfahren (nur für Bundesorgane)
    - Überwiegende Eigeninteressen (nur für Private)

10.) Verletzungen durch Private (Art. 34 Abs. 1 lit. a DSG): Busse bis zu CHF 10’000.-:

DSG ist so weit gefasst, dass in der Praxis das Auskunftsrecht für Zwecke eingesetzt wurde an die der Gesetzgeber nicht gedacht hatte => z.B. “fishing Expeditions”.

33
Q

Auskunftsrecht - Medienprivileg (DSG 10):

A

1.) Zweck: Ausgleich zwischen Medienfreiheit, Meinungs- und Informationsfreiheit einerseits und Recht auf informationelle Selbstbestimmung andererseits

  1. ) Voraussetzungen:
    - Ausschliesslich
    - für die Veröffentlichung
    - im redaktionellen Teil
    - eines periodisch erscheinendes Medium
  2. ) Zur Einschränkung Berechtigte:
    - Inhaber einer qualifiziert zwecklimitierten Datensammlung (Abs. 1)
    - Medienschaffende (Abs. 2)
  3. ) Einschränkungsgründe:
    - Quellenschutz
    - Publikationsschutz
    - Schutz der freien Meinungsbildung
    - Persönliches Arbeitsinstrument (für Medienschaffende)
  4. ) Arten der Einschränkung:
    - Verweigerung
    - Einschränkung
    - Aufschub
    - Beachtung Verhältnismässigkeitsprinzip
34
Q

Google Street View (BGE 138 II 346):

A

1.) Auf Bildern wurden Gesichter der aufgenommenen Personen und Kennzeichen der Fahrzeuge automatisch verwischt (sog. Blurring)

EDÖB hielt automatische Bearbeitung der Bilder mit Anonymisierungssoftware für ungenügend, weil nur ein Teil der Gesichter und Kennzeichen verwischt (nicht wenn Personen am Boden liegen z.B.; man hat Statuen verpixelt usw).

  1. ) Gegenstand von Empfehlung und Klage des EDÖB: der EDOB hat verlangt:
    - Vollständiges Unkenntlichmachen von Gesichtern und Autokennzeichen: eben Vollständig 100% und nicht wie Google gesagt hat 98-99%!!
    - Gewährleistung der Anonymität von Personen im Bereich sensibler Einrichtungen, bspw. Schulen, Spitälern, Altersheimen, Gefängnissen, Frauenhäusern, etc.:
    - Keine Aufnahme von Privatbereichen, insb. Gärten, umfriedete Höfe, etc.: Kamera war auf dem Dach vom googleauto montiert => Einsicht in Gärte.
    - Keine Aufnahmen von Privatstrassen aus
    - Information über Aufnahmen eine Woche im Voraus: darüber, dass das Google Auto zu einer bestimmten Zeit eine bestimme Strecke abfährt. So kann man verhindern aufgenommen zu werden.
    - Information über Aufschaltung der Aufnahmen eine Woche im Voraus

Google hat die Empfehlung abgelehnt. der EDOB erhebt dann klage vor dem BVGer. Und dann Klage von Google an das BG.

Das BG hat gesagt:
- Es kann nicht von Google erlangt werden, dass eine 100% Anonymisierung erreicht wird. Rechtlich absurd, weil heisst, das ein “fast einhalten” des DSG möglich ist.
ABER, wenn man 100% verlangen würde => wäre für Google ökonomisch nicht durchhaltbar, weil sie Personen einstellen müssten => müssten dann den Dienst in der Schweiz abschalten.

Also Fehlerquote von zk. 1% = okay.

  • Sie müssen so viel tun wie sie können => Google wurde auch dazu verpflichtet die Anonymisierungstools weiterhin zu verbessern.
  • Beschwerde des EDOB für die besonders heiklen Institutionen gutgeheissen! => 100% Anonymität nötig. ABER, problematisch für die Frauenhäuser z.B. => keine Liste (für die Sicherheit der Frauen), also keine Quellen um herauszufinden wo die Häuser sich überhaupt befinden.
35
Q

Internationale Datenübermittlung:

A

1.) DSG 6: das DSG versucht für die Bewohner der Schweiz gewisse Schutzstandards festzulegen. Wenn die Daten jetzt aber im Ausland bearbeitet werden, stellt sich die Frage: „das DSG ist nicht anwendbar, wie können wir sicherstellen, dass die betroffenen Personen trotzdem angemessen geschützt sind?“.

Deshalb sieht DSG 6 vor, dass Personendaten grundsätzlich nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeitsrechte der betroffenen Person schwer gefährdet werden, insbesondere wenn kein angemessener Schutz durch Besetzung gewehrleistet ist.

  1. ) Bekanntgabe von Personendaten ins Ausland nur, wenn:
    - Persönlichkeit der Betroffenen nicht schwerwiegend gefährdet,
    - namentlich weil kein angemessener Schutz durch Gesetzgebung

ALSO: die Grundidee ist, der Transfer von Personendaten ins Ausland und die Bearbeitung im Ausland sind dann unproblematisch, wenn die ausländische Gesetzgebung einen vergleichbaren Schutz vorsieht wie die nationale

3.) Anwendbarkeit der allgemeinen Datenschutzgrundsätze auf die Übermittlung von Personendaten ins Ausland

36
Q

Es liegt keine Grenzen überschreitende Datenbekanntgae vor, wenn:

A
  • Wir unser Laptop mit ins Ausland nehmen. In der Regel werden wir das ohnehin für uns privat tun => also vom Anwendungsbereich des DSG ausgeschlossen.
  • Wenn wir unsere Emails im Ausland abrufen. Es wird auch nicht als internationale Datenübermittlung angesehen obwohl das technisch der Fall ist => wir kriegen Daten übermittelt im Ausland wo wir uns befinden.
  • Veröffentlichung von Information auf einer Website: obwohl die Inhalte weltweit abgerufen werden können. Aber hier ist wohl die Konzession des Gesetzgebers die, dass das Internet nur funktionieren kann, wenn so etwas nicht als internationale Datenübermittlung gesehen wird.
37
Q

Schema Internationale Datenübermittlung; ist sie zulässig oder nicht?

A

1.) Angemessener Schutz im Zielland?

Wie wird festgelegt, dass es einen angemessenen Schutz im Zielland gibt? => „Äquivalenzprüfung“ die in der Schweiz von EDOB vorgenommen wird. Vergleichen die schweizerische mit der ausländischen Datenschutzordnung und überprüfen ob das Schutzniveau vergleichbar ist; ob die beiden Ordnungen äquivalent sind.

Der EDOB nimmt eine solche Prüfung regelmäßig vor und veröffentlicht auf seiner Website eine Liste von den Ländern die aus seiner Sicht einen angemessenen Schutz bieten.

  • JA: DSG 6 nicht verletzt. Allgemeine Grundsätze müssen eigehalten werden (weil Übermittlung ins Ausland = Bearbeitung)
  • NEIN: punkt 2
  1. ) Geeignete Garantien? =
    a. ) Binding Corporate Rules: Wenn wir ein Weltkonzern sind und Tochtergesellschaften überall auf der Welt haben mit deinen wir kommunizieren => es kann Sinn machen, dass quasi im ganzen Konzern so genannte „Binding Corporate Rules“ erlassen werden, die die Bearbeitung von Personendaten innerhalb des Konzerns verbindlich regeln und dazu gibt es Richtlinien die von der sogenannten art. 29 Datenschutzgruppe entwickelt wurden.

b. ) Vertragliche Garantien: im Vertrag werden Garantien vorgesehen, dass die Personendaten in diesem Land äquivalent zu den Vorgaben in der Schweiz bearbeitet werden.
- JA: DSG 6 nicht verletzt. Allgemeine Grundsätze müssen eigehalten werden + Meldung an EDOB
- NEIN: punkt 3

  1. ) Ausnahmetatbestand? =
    - Einwilligung im Einzelfall
  • Unmittelbarer Zusammenhang mit Vertragsschluss: : beispielsweise wir buchen eine Hotelübernachtung in Kenia oder eine Safari, dann übermitteln wir Personendaten ohne davon auszugehen, dass Kenia ein vergleichbares Datenschutzniveau hat wie die Schweiz
  • Unerlässlich für Wahrung d. öff. Interesses
  • Erforderlich zum Schutz des Lebens/der körperlichen Integrität des Betroffenen: vor wir verunfallen auf dieser Safari, müssen medizinisch behandelt werden => dafür braucht das Spital in Kenia Informationen aus der Schweiz.
  • Daten auch Betroffenen selbst allg. zugänglich gemacht und Bearbeitung nicht ausdrücklich untersagt: beispielsweise, wenn wir Information auf einer Webseite zur Verfügung stellen.

JA: DSG 6 nicht verletzt. Allgemeine Grundsätze müssen eigehalten werden + Meldung an EDOB

NEIN: DSG 6 verletzt!

38
Q

Safe Harbor Abkommen CH-USA:

A
  • „Künftig können sich US Unternehmen beim Handelsministerium der USA unter diesem Abkommen zertifizieren (beim DOC => Department of Commerce).
  • Damit verpflichten sie sich, die darin festgehaltenen Datenschutzgrundsätze einzuhalten.
  • Für zertifizierte Unternehmen gewährleistet dies in den USA einen angemessenen Datenschutz.
  • Damit kann ein freier Datenverkehr zwischen Schweizer und U.S. Unternehmen stattfinden.»

Es ist an sich unbestritten, dass die USA kein Datenschutz kennen das dem schweizerischen oder dem europäischen vergleichbar ist. Die Äquivalenzprüfung führt also zu einem negativen Resultat; es besteht kein angemessener Schutz im Zielland USA!

Lösung die wir vor 20 Jahren gefunden haben: Unternehmen sich in den USA selber verpflichten konnten gewisse Regeln einzuhalten die mehr oder weniger den Grundsätzen des europäischen Datenschutzrechts entsprechen.

Da sind Grundsätze drin wie z.B.:

  • Notice: man muss die Betroffenen informieren über die Datenbearbeitung;
  • Choice: das sie Einwilligen oder sich wiedersetzen können gegenüber der Datenbearbeitung
  • Regeln über den onward transfer, also die Weitergabe von Daten
  • Über die Datensicherheit
  • Über die Integrität von Daten
  • Ein Datenzugangsrecht (was mehr oder weniger unserem Auskunftsrecht entspricht
  • Gewiesse Regeln über Durchsetzung (enforcement).

Das war das Konzept der EU und die Schweiz ist da aufgesprungen und hat mehr oder weniger deckungsgleich ein Safe Harbour Abkommen mit der USA geschlossen

39
Q

Safe Harbor Urteil (EuGH C-362/14):

A

Safe Harbour hat ab 2000 funktioniert aber dann kamen die Snowden-Revelations und parallel dazu eine Beschwerde von Max Schrems (österreichischer Datenschutzaktivist) => hat im Juni 2013 Facebook angeklagt, weil sie Daten in die USA übermitteln und es aus seiner Sicht nicht konform ist mit den europäischen Datenschutzrecht.

Irland war der Ort der Klage, weil der europäische Sitz von FB dort ist

  • Sagt: Safe Harbour Abkommen ist unzulässig, weil die US-Unternehmen die sich diesem Abkommen unterwerfen, gewisse Regeln unangewendet lassen und gewisse Personendaten an die US-überwachungsbehörden herausgeben müssen (wurde klar mit den Snowden Revelations, 2013).
  • Problem: amerikanische Unternehmen müssen das US-Amerikanische Recht einhalten => dort gibt es Verpflichtungen, Zugang zu Daten zu beschaffen, insbesondere aus Gründen der Nationalen Sicherheit.
  • Zusätzliches Problem: die Eingriffe waren nicht begrenzt & es war kein kein wirksamer gerichtlicher Schutz vor Händen. Es fehlen wirksame Rechtsmittel um die Ansprüche der betroffenen Personen durchzusetzen
  • Die Irishe Hight Court hat dem EuGH Fragen vorgelegt
    => Der Entscheid der EU-Kommission von 2000 die gesagt hat, dass dieses Safe Harbour Abkommen einen angemessenen Datenschutz gewährleistet, ist ungültig, weil insbesondere die NSA auf diese Daten zugreifen kann und die Personen in den USA keinen angemessenen Rechtschutz haben.
  • Damit war plötzlich die Rechtsgrundlage weg, um Daten in die USA zu übermitteln! Das heißt, alle Unternehmen die über den Atlantik Daten übermittelt haben (= ALLE größeren Unternehmen) die waren in einer Situation, dass sie das europäische Datenschutzrecht nicht mehr eingehalten haben.
  • Die Alternative die dann vorgeschlagen wurde von der EU-Kommission, war dass man Standard Vertragsklauseln aufsetzen soll (die art.29-Gruppe hat solche Standards Vertragsklauseln schon lange entwickelt gehabt) ABER, das hiess, ab Anfang Oktober 2015, dass mit allen diesen Unternehmen mit den sie zusammenarbeiten, entsprechende Standard Vertragsklauseln ausgehandelt oder in die Verträge integriert werden mussten => braucht Zeit!
40
Q

Auswirkung des Safe Harbor Urteils auf die Schweiz:

A

Die Schweiz hatte ihr eigenes Safe Harbour Abkommen mit den USA, dass dem europäischen im wesentlichen entspricht.

Entsprechen hat der EDOB nach dem Entschied sagen müssen, dass dieser Entschied zwar nicht Rechtswirksam für die Schweiz ist, aber ist innhaltig richtig auch für die Schweiz

=> er hat entsprechend seine Staatenlose aktualisiert am 22.10.15 : der Schutz ist an dann ungenügend!

=> der Schutz ist also nicht mehr nach DSG 6 I zulässig aber muss nach DSG 6 II zulässig sein = nämlich bei geeigneten vertraglichen Garantien oder wenn einer dieser Ausnahme Fälle vorliegt wie Einwilligung etc…

=> Reaktion? Unternehmen haben tatsächlich versucht, mit vertraglichen Garantien, die Vorgaben des DSG einzuhalten + man hat so schnell wie möglich einen ersatz für das Sage Harbor gefunden => das Swiss-US Privacy Schild!

41
Q

Swiss-US Privacy Schield:

A

Der Privacy Schield ist auch wieder Primär zwischen der EU und den USA ausgehadelt worden und die Schweiz ist auch hier auf den Zug aufgesprungen.

  • Ersetzt das Safe - Harbor - Abkommen
  • Im Wesentlichen ist er auch inhaltlich nicht sehr anders; es wurde „nur“ gewisse Rechtsweggarantien vorgesehen die vorher gefehlt haben aber der Umstand, dass die NSA weiter auf die Daten zugreifen wird, liess sich auch mit dem Privacy Schield nicht aus der Welt schaffen.
  • Gleiche Standards für die Datenübermittlung aus der Schweiz in die USA wie für die Datenübermittlung aus der EU in die USA
  • Zusammenarbeit zwischen DOC und EDÖB
  • Zertifizierte US - Unternehmen auf Liste des DOC

Es ist vorzusehen, dass der EuGH in relativ absehbarer Zeit auch wieder darüber entscheiden wird, ob der Privacy Schield den Vorgaben des europäischen Datenschutzrechtes entspricht oder nicht.

Für die Schweiz hat das bedeutet Aktualisierung der Statenliste => per 12.01.17 wurde das Kreuz wieder verschoben = angemessener Schutz im Sinne von DSG 6 I (für die Unternehmen die dem Privacy Spielt beigetreten sind)

42
Q

Rechtsansprüche - Liste:

A
  1. ) Unterlassungs -, Beseitigungs - & Feststellungsklage (Art. 25 Abs. 1 lit . a DSG)
  2. ) Bestreitungsvermerk (Art. 15 Abs. 2 DSG, Art. 25 Abs. 2 DSG): wenn man bestreitet, dass eine Information so wie sie in einer bestimmten Datenbank ist, richtig ist und man es nicht mit Sicherheit nachweisen kann, kann man verlangen, dass ein Bestreitungsbermerk angebracht wird bei der entsprechenden Information = das wir als betroffene Person sie bestreiten.
  3. ) Berichtigungsrecht (Art. 15 Abs. 1 DSG, Art. 25 Abs. 3 lit . a DSG):
  4. ) Vernichtung (Art. 15 Abs. 1 DSG, Art. 25 Abs. 3 lit . a DSG): in Europa hat eine Diskussion über das Recht auf Vergessen stattgefunden => haben wir ein Recht darauf, dass gewisse Dinge der Vergangenheit größeren Personenkreisen nicht mehr zugänglich sind? Das kann durchgesetzt werden durch einen Vernichtungsanspruch => ich habe einen Anspruch darauf, dass gewisse Personendaten über mich vernichtet werden, wenn nicht überwiegende Interesse bestehen für die beibehaltenden. Diesen Anspruch haben wir schon längst im schweizerischen Recht.
  5. ) Verbot der Bekanntgabe an Dritte (Art. 15 Abs. 1 DSG, Art. 25 Abs. 3 lit . a DSG)
  6. ) Urteilspublikation (Art. 15 Abs. 3 DSG, Art. 25 Abs. 3 lit . b DSG)
  7. ) Schadenersatz (Art. 41 ff. OR), Genugtuung (Art. 47 OR), Herausgabe des Gewinns
  8. ) Vorsorgliche Massnahmen
43
Q

Fallbeispiel “Recht auf Vergessen(-werden), Costeja Gonzales (Google Spain): Tatsachenbestand:

A

Costeja González (EuGH C - 131/12)

1) Es sind hier 2 Konstellationen auseinander zu halten:
- Die eine Frage ist die ob wie einen Anspruch darauf haben, dass Daten über uns gelöscht werden (die effektiv weg sein sollen)?
- Die andere Frage, um die es hier ging, ist die ob wir einen Anspruch darauf haben, dass gewisse Treffer die Suchmaschinen (z.B. Google) anzeigen, wenn jemand unseren Namen in die Suchmaske eingibt, aus der Trefferliste entfernt werden? = “Delisting”

Es geht hier um die 2. Konstellation!

  1. ) Es ging hier um Herrn Mario Costeja Gonzalez.
    - Ende 90er, finanzielle Schwierigkeiten, konnte insbesondere Beträge die er an die spanische Sozialversicherung zahlen musste nicht begleichen
    - Deshalb wurde sein Haus zwangsversteigert
    - Nach spanischem Recht, wird auf eine solche Zwangsversteigerung in Zeitungen öffentlich hingewiesen
    - Publikation, mit seinem Namen 2x in La Vanguardia (1998).
    - Problem: jedes Mal wo man seinen Namen in Google eingegeben hat, erschien ganz oben in der Trefferliste dieser Artikel in La Vanguardia
    - November 2009: Löschantrag an die Zeitung (Quelle soll nicht weiter zugänglich sein)
    - Februar 2010: Löschantrag an Google (von der Trefferliste)
    - Beide haben abgelehnt. Er ist deshalb im März 2010 mit einer Beschwerde an die spanische Datenschutzbehörde.
    - Juli 2010 hat sie entschieden: Beschwerde gegen la Vanguardia abgewiesen aber die gegen Google gutgeheißen. Begründung: die Zeitung war gesetzlich verpflichtet diese Information zu publizieren und das es ein öffentliches Interesse daran gibt, dass insbesondere auch Zeitungen für die Nachwelt vollumfänglich über Jahre hinweg zugänglich sind, z.B. um Forschungen an diesen Publikationen zu ermöglichen.
    - Google fand das problematisch, hat ein Verfahren eingeleitet vor dem entsprechenden staatlichen Gerichtshof. Der hat im März 2011 den EuGH angefragt
    - Mai 2014, EuGH hat entschieden
44
Q

Fallbeispiel “Recht auf Vergessen(-werden), Costeja Gonzales (Google Spain): Inhalt der Entscheidung:

A
  1. ) Ist Google überhaupt als Datenbearbeiter zu qualifizieren? Ist er der Kontroller (Pflichten = nur für ihn)?
    - Google sagt nein, der Kontroller ist eigentlich die Person die Über den Zweck und die Mittel der Datenbearbeitung entscheidet und sie spiegeln in ihrer Trefferliste nur die Realität die es auf dem Web gibt => d.H., sie haben gar keinen Einfluss auf was in dieser Trefferliste gezeigt wird. Die echte Ansprechperson = La Vanguardia.
    - EuGH sagt: die Tätigkeit einer Suchmaschine ist als Verarbeitung von Personendaten einzustufen und der Betreiber dieser Suchmaschine ist deshalb auch als verantwortlicher anzusehen.

Für Google heisst das: was sie mit ihrer Suchmaschine machen, muss immer auch Compliant sein mit den Vorgaben des Datenschutzrecht.

  1. ) Materiell zentraler Teil: der Suchmaschinenbetreiber ist den Rechten die sich in der Richtlinie befinden verpflichtet: art. 12 b = Rechtsgrundlage für die Befugnis zum Löschen und berichtigen von Daten. Also, sie muss links von ihrer Trefferliste entfernen wenn man den Namen einer Person eingibt und die Informationen aus bestimmten Gründen problematisch sein können:
    - Daten Schalich unrichtig
    - Nicht den Zwecken der Verarbeitung entsprechend
    - Dafür nicht erheblich sind
    - Darüber hinaus gehen
    - Nicht auf den neusten Stand gebracht sind
    - Länger als erforderlich aufbewahrt werden (ausser es sei für historische, statistische oder wissenschaftliche Zwecke erforderlich)
  2. ) Hier konkret war das Problem: die Information in diesem Link wurde länger als erforderlich aufbewahrt => 16 Jahre!!
  3. ) Aber wie weit geht dieses Recht?:
    - Musste er nicht einen Anspruch gegen La Vanguardia erheben (Ursprungsquelle)?: NEIN =>es gibt hier ein überwiegendes öffentliches Interesse, dass solche öffentlichen Quellen wie Zeitungen und darauf auf gesetzlicher Grundlage publizierte Informationen auch für die Nachwelt noch zugänglich ist => also so weit geht dieses Recht auf vergessen nicht.
    - Darf Google nicht mehr auf den Artikel hinweisen? Auch hier hat der EuGH gesagt so weit geht der Anspruch auf vergessen nicht, sondern es geht nur um sehr beschränkten Anspruch, dass wenn wir den Namen einer Person eingeben, dass dann der entsprechende Link nicht angezeigt wird. Nochmals: wenn wir den Namen + Zwangsversteigerung eingeben, dann finden wir die Ergebnisse nach wie vor.
  4. ) Problem das sich für Google ergab: zahlreiche Personen wollten dann auch ihre Trefferliste etwas bereinigen. Google hat deshalb in sehr kurzer Frist ein Interface aufgebaut wo beliebige Personen sich melden konnten und sagen, diesen Treffer über mich müsst ihr aus der Hitliste entfernen mit einer kurzen Begründung.
  5. ) Wann wird denn gelöscht? Google hat dann auch eine Expertengruppe zusammengerufen die gemeinsam versucht haben einen Kriterienkatalog zu entwickeln. Einige der Kriterien sind z.B.:
    - Die Art der Information: um was geht es überhaupt? Ist es etwas besonders Persönlichkeitsverletzendes?
    - Die Interessen der Öffentlichkeit
    - Von welcher Quelle kommt es (private Website oder Zeitung die Über Vertrauen verfügt?)
45
Q

Fallbeispiel “Recht auf Vergessen(-werden)” - Vorabentscheidungsersuchen zu Google Inc. Vs. CNIL (C-507/17)

A

Vorabentscheidungsersuchen zu Google Inc. Vs. CNIL (C-507/17)

= eine jüngere Ergänzung

Problem das sich in der Folge des Urteils Google Spain gestellt hat und Fragen die die französische Datenschutzbehörde dem EuGH vorgelegt hat:

  1. Entfernung von Links auf sämtlichen Domains der Suchmaschine, unabhängig vom Ort, an dem eine Suche durchgeführt wird, auch ausserhalb des räumlichen Anwendungsbereichs der Richtlinie 95/46? (Domains = google.ch/ google.fr /google.usa usw

Falls nein: stellen sich zwei Folgefragen:

  1. Nur Links entfernen auf der Domain, die dem Staat entspricht, in dem der Antrag auf Löschung gestellt wurde (Gonzales = nur die spanische Domain von Google), oder auf allen länderspezifischen Top - Level - Domains der Mitgliedstaaten der Europäischen Union?
  2. Ergänzende Frage: Muss Geoblocking eingesetzt werden um sicherzustellen, dass wir nicht von einer IP-Adresse die sich im betreffenden Land (hier Spanien) oder in einem Mitgliedstaat der EU befindet aus auf die Trefferliste zugreifen können auch wenn wir einen fremden Domain benutzen => ob der Anknüpfungspunkt nicht der Domain sondern die IP-Adresse sein muss?

Dieses Vorabentscheidungsersuchen wurde erst jetzt vor kurzem vorgelegt (21.08.17) => EuGH hat die Frage noch nicht entschieden.

46
Q

Datenbearbeitung durch Bundesorgane:

A
  1. ) DSG 16-25bis: die Bundesorgane unterstehen grundsätzlich dem öffentlichen Recht, wenn sie nicht privatrechtliche Aufgaben vornehmen.
  2. ) Bundesorgane i.S. des DSG (DSG 3 h):
  • Behörden und Dienststellen des Bundes
  • Natürliche und juristische Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind
  1. ) Strengere Datenschutzregeln für Bundesorgane, u.a.:
    - Notwendigkeit einer gesetzlichen Grundlage für Datenbearbeitung (DSG 17, Ausnahmen in Art. 17 Abs. 2, Art. 19, Art. 22 DSG):

=> Schärfung: wir brauchen ein formelles Gesetz für die Bearbeitung von besonders schützenswerte Personendaten

=> Wir brauchen keine gesetzliche Grundlage nach DSG 22 für die Bearbeitung von Personendaten für die Zwecke Forschung, Planung & Statistik.

  • Aktive Informationspflicht (DSG 18a, Einschränkungen in DSG 18b):
  • Notwendigkeit einer gesetzlichen Grundlage für Bekanntgabe von Personendaten (DSG 19, mit Ausnahmen)
  • Bundesarchiv (DSG 21): Der Bund ist rechenschaftspflichtig = was er tut sollte später auch von der Nachwelt überprüft werden können. Deshalb werden relevante Unterlagen im Bundesarchiv gelagert => das heißt, bevor Bundesbehörden Daten löschen die sie produziert haben, müssen sie sie dem Bundesarchiv zur Speicherung anbieten; das Bundesarchiv entscheidet dann ob sie erhalten werden für die Nachwelt (dann werden sie quasi eingesperrt und nach 30 Jahren der Öffentlichkeit zugänglich gemacht) oder können diese Daten gelöscht oder anonymisiert werden.

ACHTUNG:  Keine Anwendung dieser Bestimmungen bei privatrechtlicher Tätigkeit eines Bundesorgans (DSG 23).

47
Q

Der EDÖB: Stellung und Aufgaben:

A
  1. ) Stellung (DSG 26-26b):
    - Wahl durch Bundesrat für jeweils 4 Jahre (Art. 26 Abs. 1 DSG): er steht quasi außerhalb der Verwaltungshierarchie
    - Unabhängigkeit (Art. 26 Abs. 3 DSG): seine Funktion auf Bundesebene ist insbesondere auch die Datenschutzrechtliche Aufsicht über die Bundesorgane => also zu überwachen was der Bund mit Personendaten tun. Das kann er nur glaubenswürdig tun, wenn er unabhängig ist.
  2. ) Aufgabenbereich:
  • Datenschutz (DSG):
    => - Datenschutzrechtliche Aufsicht über Bundesorgane (DSG 27) und Private (DSG 29): schaut was passiert und welche Personendatenbearbeitung besonders problematisch sein könnten und wenn ein bestimmtes Verhalten identifiziert hat, dann kann er von sich aus gegen dieses Verhalten vorgehen (z.B. => im Fall Google Street View).

=> Beratung von Privaten (DSG 28) und Bundesorganen (DSG 31):

=> Information und Berichterstattung (DSG 30): über seine Tätigkeit

=> Weitere Aufgaben (DSG 31)

  • Öffentlichkeitsprinzip (BGÖ): Ö in EDÖB => verweist auf das Öffentlichkeitsprinzip => hat auch gewisse Aufgaben im Rahmen des Öffentlichkeitgesetzes.
48
Q

Der EDÖB: Abklärungen und Empfehlungen bei Privaten (DSG 29):

A
  1. ) Beschränkte Aufsicht bei Privaten:
  2. ) Tätigwerden von sich aus oder auf Meldung Dritter nur bei:
    - Systemfehlern (Abs. 1 lit. a)
    - Registrierung von Datensammlungen (Abs. 1 lit. b)
    - Informationspflicht im Rahmen grenzüberschreitender Datenbekanntgabe (Abs. 1 lit. c)

Wichtig ist: bis jetzt (wird sich mit der Revision des DSG ändern) hat der EDÖB keine Befugnis zu Entscheiden (er darf keine Verfügung erlassen) => er kann nur rechtlich unverbindlich Empfehlen.

Er beobachtet etwas auf dem Markt geschieht (wird auch informiert durch betroffene Personen) und wenn er der Meinung ist, dass bestimmte Datenbearbeitung besonders problematisch sind (das sogenannte „Systemfehler“ vorliegen), dann kann er von ich aus, oder auf Meldung von Dritten tätig werden.

Er macht dann Sachverhaltsanalysen, sucht das Gespräch mit den betroffenen Unternehmen, man versucht sich zu einigen und wenn das nicht der Fall ist, dann kann der EDÖB eine Empfehlung erlassen wo er formell festhält was aus seiner Sicht getan oder vielmehr nicht getan werden soll.

Wird seine Empfehlung nicht Folge geleistet, hat er nur die Möglichkeit zu klagen; er kann nicht entscheiden. Er hat keine Verfügungs- und Sanktionskompetenzen; er kann die Sache einfach dem Bundesverwaltungsgericht vorlegen. . Er ist dann in diesem Fall eine Partei (quasi wie im Zivilprozess).

Informations- und Kommunikationsrecht (5 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions