DATA PROTECTION & LEGAL TECH

 

Aktuell für Unternehmen

  • Datenschutz ist heute ein zentrales Anliegen für Unternehmen und Organisationen, insbesondere angesichts verschärfter Gesetze wie dem revidierten Datenschutzgesetz (DSG). Es ist wichtig zu verstehen, wer für Verstöße gegen den Datenschutz verantwortlich ist und welche Konsequenzen dies haben kann.

    1. Täter: Die Person, die den Verstoß tatsächlich verübt hat

    Die Identifizierung des Täters ist entscheidend, um Verantwortlichkeiten klar zuzuweisen. Gemäss dem revidierten DSG kann nur die Person, die den Verstoss tatsächlich begangen hat, rechtlich zur Verantwortung gezogen werden. Personen, die lediglich Anweisungen befolgen oder in untergeordneter Funktion zum Verstoss beitragen, sind nach dem Gesetz nicht strafbar.

    2. Management: Verantwortliche für die Verhinderung von Verletzungen

    Das Management trägt eine besondere Verantwortung im Datenschutz. Personen, die rechtlich verpflichtet sind, Verletzungen zu verhindern und über die erforderlichen Befugnisse verfügen, können zur Rechenschaft gezogen werden, wenn sie es versäumen, Massnahmen zur Verhinderung von Verstößen zu ergreifen oder die Folgen angemessen zu mildern. Dabei ist es unerheblich, ob diesen Personen formell Entscheidungsbefugnisse zugewiesen wurden oder ob sie diese faktisch ausüben oder beanspruchen.

    Schlussfolgerung

    Die Unterscheidung zwischen Täter und Management ist entscheidend für die klare Zuweisung von Verantwortlichkeiten im Datenschutz. Durch ein besseres Verständnis dieser Konzepte können Unternehmen und Organisationen effektive Datenschutzmaßnahmen implementieren und Verstösse vermeiden. Es ist ratsam, rechtliche Beratung in Anspruch zu nehmen, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind und Datenschutzverletzungen vermieden werden.

  • Datenschutz kann für Start-Ups eine Herausforderung sein, insbesondere angesichts begrenzter Ressourcen und Budgets. Unser Mini-Paket bietet eine pragmatische Lösung, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, ohne die finanziellen Mittel zu strapazieren.

    1. Datenschutzerklärung für Online-Plattformen und Mitarbeitende

    Eine Datenschutzerklärung ist ein Muss für jedes Start-Up. Wir bieten eine maßgeschneiderte Datenschutzerklärung sowohl für Ihre Online-Plattform als auch für interne Zwecke, um den Schutz personenbezogener Daten zu gewährleisten.

    2. Datenschutz-One-Pager mit den wichtigsten Do's and Dont's

    Unser leicht verständlicher One-Pager zum Datenschutz enthält die wichtigsten Best Practices und Verhaltensregeln für Ihre Mitarbeiterinnen und Mitarbeiter. So erhalten sie einen klaren Leitfaden darüber, wie sie mit personenbezogenen Daten umgehen sollen.

    3. Auftragsbearbeitungsvereinbarung (ABV) für Datenweitergabe

    Wenn Sie Daten an Dritte weitergeben, ist eine Auftragsbearbeitungsvereinbarung unerlässlich. Wir helfen Ihnen bei der Erstellung einer ABV, um sicherzustellen, dass Ihre Daten bei externen Partnern sicher und gemäß den Datenschutzbestimmungen behandelt werden.

    4. Umsetzung von Datensicherheitsmassnahmen

    Wir unterstützen Sie bei der Umsetzung von praktischen Maßnahmen zur Datensicherheit, um Daten vor unbefugtem Zugriff und Missbrauch zu schützen.

    5. Datenlöschung und Aufbewahrungsfristen

    Wir helfen Ihnen dabei, sicherzustellen, dass Daten ordnungsgemäß gelöscht werden und klare Aufbewahrungsfristen festgelegt sind, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

    Unser Datenschutz-Mini-Paket bietet Ihnen alles, was Sie für eine effektive und kostengünstige Datenschutz-Compliance benötigen. Kontaktieren Sie uns noch heute, um Ihr Start-Up vor rechtlichen Risiken zu schützen und das Vertrauen Ihrer Kunden zu stärken.

  • Hier sind die Vor- und Nachteile einer externen bzw. internen Lösung für einen Datenschutzbeauftragten (DPO) kurz zusammengefasst:

    Vorteile eines externen DPO:

    Unabhängig und neutral: Ein externer DPO ist unabhängig und neutral, da er nicht direkt im Unternehmen angestellt ist und keine Weisungen von internen Stakeholdern erhält.

    Spezialisierte Expertise: Externe DPOs sind auf Datenschutz spezialisiert und bringen daher ein hohes Maß an Fachwissen und Erfahrung mit.

    Vermeidung von Interessenkonflikten: Durch die externe Position des DPOs werden potenzielle Interessenkonflikte vermieden, da er keine internen Hierarchien oder Interessen berücksichtigen muss.

    Kontinuität: Externe DPOs bieten eine gewisse Kontinuität, da sie auch im Falle von Personalwechseln im Unternehmen bestehen bleiben.

    Reduzierter Aufwand: Die Beauftragung eines externen DPOs kann zu reduziertem internen Aufwand führen, da das Unternehmen nicht für die Ausbildung und Schulung eines internen DPOs verantwortlich ist.

    Effizienz und Kompetenz: Externe DPOs bringen oft eine höhere Effizienz und Kompetenz mit, da sie über eine breitere Erfahrungsbasis verfügen und auf bewährte Verfahren zurückgreifen können.

    Nachteile eines externen DPO:

    Mitarbeiterkenntnisse: Ein interner Mitarbeiter, der als DPO fungiert, kennt das Unternehmen möglicherweise besser und hat ein tieferes Verständnis für interne Abläufe und Bedürfnisse.

    Keine unmittelbaren zusätzlichen Kosten: Die Beauftragung eines externen DPOs bedeutet zusätzliche Kosten für das Unternehmen, während ein interner Mitarbeiter als DPO keine unmittelbaren zusätzlichen Kosten verursacht.

    Die Wahl zwischen einem internen und einem externen DPO hängt von den individuellen Anforderungen, Ressourcen und Prioritäten des Unternehmens ab.

  • Auf der Excellence in Compliance Veranstaltung der ZHAW School of Management and Law am 3. Februar 2022 hatte Volker Dohr, ein Experte für Datenschutz und Compliance, die Gelegenheit, Bauunternehmer über die neuen digitalen Herausforderungen im Zusammenhang mit Smart Metern und Datenschutz bei Bauausführungen zu informieren.

    In seinem Vortrag ging Dohr auf die zunehmende Digitalisierung im Bauwesen ein und die damit verbundenen Datenschutzfragen, insbesondere im Zusammenhang mit der Verwendung von Smart Metern. Diese modernen Messgeräte ermöglichen eine präzise Erfassung von Energie- und Ressourcenverbrauch, stellen jedoch auch neue Anforderungen an den Datenschutz und die Sicherheit der erhobenen Daten.

    Dohr präsentierte praxisorientierte Ansätze und Lösungen, wie Bauunternehmer diese Herausforderungen erfolgreich bewältigen können. Dazu gehörten unter anderem die Implementierung geeigneter Datenschutzmaßnahmen, die Schulung der Mitarbeiterinnen und Mitarbeiter im Umgang mit sensiblen Daten sowie die Zusammenarbeit mit vertrauenswürdigen Partnern und Dienstleistern, die hohe Standards in Bezug auf Datenschutz und Sicherheit gewährleisten.

    Die Teilnehmerinnen und Teilnehmer der Veranstaltung erhielten wertvolle Einblicke und Handlungsempfehlungen, um die neuen digitalen Möglichkeiten im Bauwesen effektiv zu nutzen, ohne dabei die Datenschutzanforderungen aus den Augen zu verlieren. Volker Dohrs praxisnahe Expertise trug dazu bei, das Bewusstsein für die Bedeutung von Datenschutz und Compliance in dieser zunehmend digitalisierten Branche zu schärfen.

  • Volker Dohr, Experte für Datenschutz, klärt über die Do's & Dont's im Datenschutz auf, insbesondere im Verhältnis zwischen Arbeitgeber und Mitarbeitenden.

    Datenschutzbestimmungen im Arbeitsverhältnis

    Datenschutzbestimmungen gelten auch im Verhältnis zwischen Arbeitgeber und Mitarbeitenden. Bei der Verarbeitung von Mitarbeitendendaten im Rahmen interner Untersuchungen oder anderer Prozesse müssen Arbeitgeber die Pflichten gemäß Art. 8–10 und Art. 14 des Datenschutzgesetzes (DSG) beachten. Verstöße gegen diese Bestimmungen können Sanktionen gemäß Art. 34 bzw. Art. 35 des DSG nach sich ziehen.

    Do's & Dont's im Datenschutz

    Do: Einhaltung der Datenschutzbestimmungen: Arbeitgeber sollten sicherstellen, dass bei der Verarbeitung von Mitarbeitendendaten alle gesetzlichen Vorschriften eingehalten werden, um Verstöße und daraus resultierende Sanktionen zu vermeiden.

    Do: Transparente Informationspolitik: Arbeitgeber sollten Mitarbeitende transparent über die Verarbeitung ihrer Daten informieren, insbesondere im Rahmen interner Untersuchungen oder anderen Prozessen, die ihre Daten betreffen.

    Do: Datensparsamkeit und Zweckbindung: Es sollten nur diejenigen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck notwendig sind. Zudem sollten die Daten nur für den festgelegten Zweck verwendet werden.

    Dont: Unberechtigter Zugriff auf Mitarbeiterdaten: Arbeitgeber sollten sicherstellen, dass nur befugte Personen Zugriff auf Mitarbeitendendaten haben und diese Daten vertraulich behandelt werden.

    Dont: Missbrauch von Mitarbeiterdaten: Es ist untersagt, Mitarbeiterdaten für andere Zwecke zu verwenden als für diejenigen, für die sie erhoben wurden. Jeglicher Missbrauch von Mitarbeiterdaten kann rechtliche Konsequenzen nach sich ziehen.

    Fazit

    Die Einhaltung der Datenschutzbestimmungen im Arbeitsverhältnis ist von entscheidender Bedeutung, um die Rechte der Mitarbeitenden zu wahren und rechtliche Konsequenzen zu vermeiden. Volker Dohr betont die Bedeutung einer transparenten und rechtskonformen Datenverarbeitung im Unternehmen und hilft Arbeitgebern dabei, die richtigen Schritte im Datenschutz zu unternehmen.

  • Die Zunahme von Cyberangriffen und versuchten Cyberattacken ist besorgniserregend und unterstreicht die Notwendigkeit für Unternehmen, sich besser gegen diese Bedrohungen zu wappnen. Insbesondere in der Schweiz sind viele Unternehmen nicht optimal auf solche Angriffe vorbereitet. Es gibt jedoch zwei wichtige Massnahmen, die Unternehmen ergreifen können, um sich besser zu schützen und Lösegeldforderungen von Kriminellen zu vermeiden:

    1. Spezialisierte Back-up-Technologien

    Der Einsatz spezialisierter Back-up-Technologien ist entscheidend, um im Falle eines Cyberangriffs die Datenintegrität zu bewahren und einen schnellen Wiederherstellungsprozess zu ermöglichen. Insbesondere sollten diese Technologien Sicherheitskopien physisch vom Netzwerk trennen, um sicherzustellen, dass sie vor potenziellen Angriffen isoliert sind. Dadurch wird verhindert, dass Kriminelle auf Back-up-Daten zugreifen und diese ebenfalls verschlüsseln oder löschen können.

    2. Detaillierte Netzwerk-Überwachung

    Eine umfassende und detaillierte Überwachung des Netzwerks ist unerlässlich, um potenzielle Eindringlinge frühzeitig zu erkennen und ihre Aktivitäten zu verhindern. Durch den Einsatz von fortschrittlichen Überwachungstools und -technologien können verdächtige Aktivitäten identifiziert und entsprechende Gegenmassnahmen ergriffen werden, bevor grösserer Schaden entsteht. Dies ermöglicht es Unternehmen, proaktiv auf Bedrohungen zu reagieren und potenzielle Angriffe abzuwehren, bevor sie kritische Systeme und Daten beeinträchtigen können.

    Fazit

    Die steigende Anzahl von Cyberangriffen erfordert eine verstärkte Wachsamkeit und Vorbereitung seitens der Unternehmen. Durch den Einsatz spezialisierter Back-up-Technologien und eine detaillierte Netzwerk-Überwachung können Unternehmen nicht nur ihre Datenintegrität bewahren, sondern auch Lösegeldforderungen von Kriminellen vermeiden. Es ist entscheidend, dass Unternehmen diese Maßnahmen ernst nehmen und ihre Cyberabwehrstrategien entsprechend stärken, um sich effektiv gegen die wachsende Bedrohung aus dem Cyberraum zu verteidigen.

  • Kann man auf Ihrer Homepage einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie darauf achten, in den entsprechenden Formularen nur die personenbezogenen Daten zu erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Für eine Newsletter-Anmeldung wird beispielsweise nur die E-Mail-Adresse benötigt.

  • Die zunehmend verschärften rechtlichen Vorgaben machen Datenschutz-Compliance für Unternehmen unerlässlich. Um optimale Ergebnisse aus Governance-, Risiko- und wirtschaftlicher Sicht zu erzielen, ist es entscheidend, Datenschutz-Compliance nahtlos in bestehende Unternehmensabläufe zu integrieren. Diese Integration kann Unternehmen jedoch vor große Herausforderungen stellen.

    Fabio Babey gewährleistet die erfolgreiche Integration von Datenschutz-Compliance in bestehende Unternehmensabläufe, Risikomanagement und Internes Kontrollsystem (IKS). Durch seine Expertise und Erfahrung unterstützt er Unternehmen dabei, die folgenden Ziele zu erreichen:

    Compliance mit rechtlichen Vorgaben: Fabio Babey sorgt dafür, dass Unternehmen die einschlägigen Datenschutzgesetze und -vorschriften vollständig einhalten und potenzielle rechtliche Risiken minimieren.

    Risikomanagement: Durch eine umfassende Analyse identifiziert und bewertet er Datenschutzrisiken und entwickelt Strategien zur Risikominderung und -kontrolle.

    Integration in Unternehmensabläufe: Fabio Babey arbeitet eng mit den verschiedenen Abteilungen und Teams eines Unternehmens zusammen, um Datenschutz-Compliance nahtlos in die bestehenden Abläufe zu integrieren. Dies umfasst Schulungen für Mitarbeiter, die Implementierung geeigneter Richtlinien und Verfahren sowie die Überwachung und regelmäßige Überprüfung der Datenschutzmaßnahmen.

    Stärkung des Internen Kontrollsystems (IKS): Er unterstützt Unternehmen dabei, ihr Internes Kontrollsystem zu stärken, um die Einhaltung von Datenschutzstandards zu gewährleisten und mögliche Schwachstellen frühzeitig zu erkennen und zu beheben.

    Durch Fasio Babeys ganzheitlichen Ansatz können Unternehmen sicherstellen, dass Datenschutz-Compliance nicht nur als separate Anforderung betrachtet wird, sondern als integraler Bestandteil der Unternehmenskultur und -strategie verankert ist. Dies trägt nicht nur zur Einhaltung gesetzlicher Vorgaben bei, sondern stärkt auch das Vertrauen der Kunden und Partner in das Unternehmen.

Entwicklungen: International

  • Die Ankündigung des Bundeskartellamts (BKartA) zeigt, dass der Druck auf grosse Internetkonzerne wie Google, verantwortungsvoller mit den Daten ihrer Nutzer umzugehen, weiter zunimmt. Durch die neuen Maßnahmen wird den Nutzern mehr Kontrolle über ihre Daten eingeräumt, was ein wichtiger Schritt in Richtung Datenschutz und Privatsphäre ist.

    Gemäss der Erklärung von Behördenchef Andreas Mundt wird Google künftig die Nutzer um freiwillige und informierte Einwilligungen für die Verwendung ihrer Daten bitten. Dies bedeutet, dass die Nutzer mehr Transparenz darüber erhalten, wie ihre Daten genutzt werden und ob sie über verschiedene Google-Dienste hinweg geteilt werden.

    Die Initiative des Bundeskartellamts zeigt, dass Regulierungsbehörden weltweit die Datenschutzpraktiken großer Technologieunternehmen genau im Blick behalten und Massnahmen ergreifen, um die Privatsphäre der Nutzer zu schützen. Die Verpflichtung von Google-Mutter Alphabet, die Einwilligung der Nutzer einzuholen, ist ein wichtiger Schritt, um das Vertrauen der Verbraucher in die Datennutzungspraktiken des Unternehmens zu stärken.

    Es bleibt jedoch abzuwarten, wie effektiv diese Massnahmen in der Praxis umgesetzt werden und inwieweit sie tatsächlich dazu beitragen, die Datenschutzrechte der Nutzer zu schützen. Dennoch ist die Ankündigung ein positives Signal dafür, dass Datenschutz und Privatsphäre zunehmend in den Fokus gerückt werden und dass Unternehmen wie Google mehr Verantwortung für den Schutz der Daten ihrer Nutzer übernehmen müssen.

  • Die Entscheidung des Europäischen Gerichtshofs (EuGH) markiert einen bedeutenden Schritt im Bereich des Datenschutzes und der Wettbewerbsregulierung. Die Feststellung, dass Kartellbehörden auch die Einhaltung von Datenschutzvorschriften prüfen dürfen, zeigt die wachsende Bedeutung von Datenschutzaspekten im Rahmen von Wettbewerbsuntersuchungen.

    In dem konkreten Fall erlitt Facebooks Mutterkonzern Meta eine Niederlage vor dem EuGH, der entschied, dass das deutsche Bundeskartellamt (BKartA) berechtigt war, die Zusammenführung von Nutzerdaten zu verbieten. Diese Entscheidung unterstreicht die zunehmende Sensibilität der Regulierungsbehörden für Datenschutzfragen, insbesondere im Zusammenhang mit großen Technologieunternehmen, die eine enorme Menge an persönlichen Daten verarbeiten.

    Die Möglichkeit für Kartellbehörden, die Einhaltung von Datenschutzvorschriften zu überprüfen, eröffnet neue Wege für den Schutz der Privatsphäre der Verbraucher und die Gewährleistung eines fairen Wettbewerbs. Unternehmen wie Meta werden zunehmend dazu angehalten, nicht nur die kartellrechtlichen Bestimmungen einzuhalten, sondern auch sicherzustellen, dass ihre Geschäftspraktiken den geltenden Datenschutzgesetzen entsprechen.

    Diese Entscheidung des EuGH sendet ein starkes Signal an große Technologieunternehmen, dass Verstöße gegen Datenschutzbestimmungen nicht nur rechtliche, sondern auch wettbewerbsrechtliche Konsequenzen haben können. Es unterstreicht die Notwendigkeit für Unternehmen, Datenschutz als integralen Bestandteil ihrer Geschäftsstrategie zu betrachten und sicherzustellen, dass Datenschutzpraktiken mit den geltenden Vorschriften im Einklang stehen.

  • Die Klarstellung des Europäischen Gerichtshofs zur immateriellen Schadensersatzansprüchen gemäß der Datenschutz-Grundverordnung (DSGVO) ist ein wichtiger Schritt zur Stärkung des Datenschutzes in der Europäischen Union. Die Entscheidung besagt, dass nicht jeder Verstoß gegen die DSGVO automatisch zu Schadensersatzansprüchen führt. Vielmehr muss ein konkreter Schaden vorliegen, der vom Kläger nachgewiesen werden muss.

    Es ist jedoch bemerkenswert, dass das Gericht feststellt, dass ein immaterieller Schaden, wie etwa Ärger, Vertrauensverlust oder das Gefühl, blossgestellt zu werden, ausreichen kann, um einen Schadensersatzanspruch geltend zu machen. Es gibt keine festgelegte "Erheblichkeitsschwelle", was bedeutet, dass der Schaden nicht besonders intensiv sein muss, um eine Entschädigung zu rechtfertigen. Es genügt, dass der Betroffene über den Datenschutzverstoß erheblich verärgert ist oder belastet wird.

    Die Stärkung der immateriellen Schadensersatzansprüche nach der DSGVO sendet ein klares Signal an Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Es unterstreicht die Bedeutung der Einhaltung von Datenschutzbestimmungen und die Verantwortung der Unternehmen, die Privatsphäre ihrer Nutzer zu respektieren. Die Entscheidung des Europäischen Gerichtshofs betont auch die Bedeutung von wirksamen Datenschutzmaßnahmen und die Notwendigkeit, Datenschutzverstösse ernst zu nehmen und angemessen darauf zu reagieren.

  • Das Urteil des Obersten Gerichtshofs in Wien (Urteil 6 Ob 217/19h) bietet wichtige Einblicke in die Schadensersatzansprüche, die sich aus Verstössen gegen die Datenschutz-Grundverordnung (DSGVO) ergeben können, insbesondere gemäß Artikel 82 DSGVO.

    Beweislast für Höhe und Kausalität: Gemäss dem Urteil trägt der Geschädigte die Beweislast für die Höhe des Schadens und die Kausalität zwischen dem Datenschutzverstoss und dem erlittenen Schaden. Dies bedeutet, dass der Geschädigte nachweisen muss, welcher Schaden ihm konkret entstanden ist und dass dieser Schaden direkt auf den Datenschutzverstoss zurückzuführen ist.

    Verschulden des Verantwortlichen: Gemäss Artikel 82 Absatz 3 DSGVO besteht eine Vermutung des Verschuldens des Verantwortlichen für den Datenschutzverstoss. Dies bedeutet, dass es dem Verantwortlichen obliegt, diese Vermutung zu widerlegen und nachzuweisen, dass er alle erforderlichen Maßnahmen ergriffen hat, um die Daten rechtmäßig zu verarbeiten.

    Es ist wichtig zu beachten, dass diese Regelungen spezifisch für Ansprüche aus Verstössen gegen die DSGVO gelten. Im Rahmen des Datenschutzgesetzes (revDSG) oder anderen Rechtsvorschriften können möglicherweise andere Bestimmungen zur Anwendung kommen. Es bleibt jedoch festzuhalten, dass die Beweislastregelungen gemäss Artikel 82 DSGVO eine wichtige Rolle spielen, um die Rechte der Betroffenen zu schützen und die Verantwortlichkeit der Datenverarbeiter zu betonen.

  • Die von der luxemburgischen Datenschutzbehörde gegen Amazon verhängte Rekordstrafe in Höhe von EUR 746 Millionen wirft ein Schlaglicht auf die Bedeutung der Einhaltung der Datenschutzgrundverordnung (DSGVO) und die Folgen von Verstößen gegen diese Vorschriften. Der Grund für die Strafe liegt im Online-Targeting, bei dem Amazon-Nutzer personalisierte Werbung nicht abschalten konnten, was als Verstoß gegen die DSGVO angesehen wird.

    Amazon hat in ihrer Stellungnahme darauf hingewiesen, dass ihrer Ansicht nach ihre personalisierte Werbung keinen Verstoss gegen die DSGVO darstellt und die Auslegung der Datenschutzbehörde subjektiv und ungeprüft sei. Diese Stellungnahme verdeutlicht die oft kontroversen Interpretationen und Meinungsverschiedenheiten bei der Anwendung der Datenschutzgesetze, insbesondere bei komplexen Fragen wie dem Online-Targeting und der personalisierten Werbung.

    Die Rekordstrafe gegen Amazon zeigt jedoch auch, dass Datenschutzbehörden entschlossen sind, Verstösse gegen die DSGVO konsequent zu ahnden und Unternehmen zur Rechenschaft zu ziehen, die die Datenschutzrechte ihrer Nutzer nicht respektieren. Die Strafe gegen Amazon unterstreicht die Bedeutung einer transparenten und rechtlich konformen Datenverarbeitung sowie die Notwendigkeit für Unternehmen, ihre Datenschutzpraktiken kontinuierlich zu überprüfen und anzupassen, um den sich ständig ändernden rechtlichen Anforderungen gerecht zu werden.

  • Die Umsetzung der EU-Whistleblower-Richtlinie bringt für Unternehmen ab dem 17. Dezember 2021 neue Pflichten mit sich, insbesondere in Bezug auf die Einrichtung von Whistleblowing-Hotlines. Unternehmen mit mehr als 250 Mitarbeitern müssen ab diesem Datum eine solche Hotline einrichten, während Unternehmen mit mehr als 50 Mitarbeitern bis zum 17. Dezember 2023 Zeit haben.

    Es ist wichtig zu beachten, dass bei der Einrichtung und Nutzung dieser Hotlines der Datenschutz eine zentrale Rolle spielt. Die Verletzung der Datenschutzgrundverordnung (DSGVO) wird wesentlich stärker sanktioniert als Verstösse gegen die Whistleblower-Richtlinie. Daher müssen Unternehmen sicherstellen, dass bei der Implementierung und dem Betrieb der Whistleblowing-Hotlines alle datenschutzrechtlichen Bestimmungen eingehalten werden.

    Um den anstehenden Compliance-Herausforderungen gerecht zu werden, sollten Unternehmen frühzeitig Massnahmen ergreifen. Dazu gehört nicht nur die Einrichtung von Whistleblowing-Hotlines gemäss den gesetzlichen Anforderungen, sondern auch die Implementierung entsprechender Datenschutzmasnahmen. Dies kann beispielsweise die Schulung von Mitarbeitern zur ordnungsgemäßen Handhabung von Whistleblower-Meldungen und zum Schutz personenbezogener Daten umfassen.

    Durch eine proaktive Herangehensweise können Unternehmen sicherstellen, dass sie die gesetzlichen Anforderungen erfüllen, potenzielle Risiken minimieren und das Vertrauen ihrer Mitarbeiter in den Whistleblower-Prozess stärken. Letztendlich trägt dies nicht nur zur Einhaltung der rechtlichen Vorgaben bei, sondern auch zur Förderung einer offenen und transparenten Unternehmenskultur.

  • Das Gutachten der Gutachter am Europäischen Gerichtshof (EuGH), wonach Verbraucherverbände bei Datenschutzverstössen durch Internet-Riesen wie Facebook klageberechtigt sind, auch ohne einen konkreten Auftrag von betroffenen Nutzern, ist ein bedeutender Schritt für den Datenschutz und den Rechtsschutz der Verbraucher. Obwohl das Gutachten nicht bindend ist, folgen den Empfehlungen der Gutachter die Luxemburger Richter oft, was darauf hindeutet, dass das Urteil mit Spannung erwartet wird.

    Diese Entscheidung hat praktische Auswirkungen für den Rechtsschutz, da sie es Verbraucherverbänden ermöglicht, effektiver gegen Datenschutzverstösse vorzugehen, insbesondere durch große Internetunternehmen wie Facebook. Durch die Möglichkeit für Verbraucherverbände, Klagen im Namen von Verbrauchern einzureichen, können Datenschutzverstösse wirksamer bekämpft und die Rechte der Verbraucher gestärkt werden.

    Das Urteil des EuGH wird daher mit Interesse erwartet und könnte einen wichtigen Präzedenzfall für den Datenschutz und den Rechtsschutz in der Europäischen Union schaffen. Es unterstreicht die Bedeutung einer wirksamen Durchsetzung der Datenschutzgesetze und zeigt, dass Verbraucherverbände eine wichtige Rolle bei der Wahrung der Datenschutzrechte der Bürger spielen können.

  • Die Bestätigung durch die Europäische Kommission in ihrem Bericht vom 15. Januar 2024, dass das Datenschutzrecht der Schweiz weiterhin dem europäischen Standard entspricht, ist eine wichtige Nachricht für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz. Diese Feststellung ermöglicht es, dass Personendaten ohne zusätzliche Garantien aus einem EU- oder EWR-Mitgliedstaat in die Schweiz übermittelt werden können.

    Die Tatsache, dass die Schweiz weiterhin als angemessen betrachtet wird, erleichtert die unbürokratische grenzüberschreitende Datenübermittlung und stärkt die Vertrauensbasis zwischen der Schweiz und den EU- bzw. EWR-Ländern. Dies ist von großer Bedeutung für Unternehmen und Organisationen, die auf einen reibungslosen Datenaustausch angewiesen sind.

    Die Schweiz selbst trifft ebenfalls Entscheidungen darüber, welche Staaten aus ihrer Sicht ein angemessenes Datenschutzniveau gewährleisten. Der Bundesrat veröffentlicht eine entsprechende Länderliste, die für Datenverantwortliche rechtsverbindlich ist. Durch die Anerkennung des Datenschutzniveaus der EU- und EWR-Staaten erleichtert die Schweiz die Zusammenarbeit und den Datenaustausch mit diesen Partnern.

    Insgesamt trägt die Bestätigung des Datenschutzstandards der Schweiz durch die Europäische Kommission dazu bei, die Rechtssicherheit zu stärken und den Datentransfer zwischen der Schweiz und der EU bzw. dem EWR aufrechtzuerhalten, was wiederum von entscheidender Bedeutung für die Wettbewerbsfähigkeit und den wirtschaftlichen Erfolg der Schweiz ist.

Entwicklungen: Schweiz

  • Spannende Ausführungen zu Videoaufnahmen einer Bar im Aussenbereich. Die Vorinstanz (Kantonsgericht Luzern) und das Bundesgericht mit differenzierten Hinweisen:

    Kantonsgericht Luzern (Urteil vom 26. Oktober 2021): Die Videoaufnahmen der Tat stammten vom Bereich vor dem Eingang der Bar, dem dort befindlichen Vorplatz an der Kreuzung. Ein Teil dieser Fläche werde von der Betreiberin der Bar im Rahmen eines gesteigerten Gemeingebrauchs genutzt. Überwacht werde ein sehr eingeschränkter Bereich unmittelbar vor der Bar. Bei geöffneter Bar hielten sich an diesem Ort in der Regel nicht eine Vielzahl von Gästen längere Zeit auf. […] Überwacht werde bloss per Bild, ohne Aufzeichnung von Ton und es finde keine vollständige und dauerhafte Überwachung der Gäste statt. Das Kantonsgericht Luzern erachtet die Videoüberwachung als mit dem Datenschutzgesetz (in der bis zum 28. Februar 2019 geltenden Fassung) vereinbar, da sie überwiegende private und öffentliche Interessen gemäss Art. 13 aDSG bejaht.

    Bundesgericht (Urteil 7B_179/2022 vom 24. Oktober 2023): Aus den vorinstanzlichen Erwägungen ergibt sich nicht, ob die Bar die Videoüberwachung gekennzeichnet hat; die Vorinstanz lässt diese Frage offen und schreitet direkt zur Interessenabwägung nach Art. 13 DSG. Zur Rechtfertigung der Videoaufnahmen argumentiert die Vorinstanz mit öffentlichen Interessen, indem sie ausführt, es komme um die genannte Lokalität abends und in der Nacht regelmässig zu teils gewaltsamen Auseinandersetzungen, dieser öffentlich zugängliche Bereich sei risikobehaftet, der Überwachung komme eine abschreckende Wirkung hinsichtlich möglicher Straftaten zu und vor allem während und nach den Schliessungszeiten der Bar handle es sich um einen „hot spot“, an welchem sich gerichtsnotorisch ein Teil des Nachtlebens abspiele, welches schon in Strafverfahren gemündet habe und das Sicherheitspersonal der Bar sei in dieser Phase besonders gefordert und habe für Ruhe und Ordnung zu sorgen, bis sich die Gäste auf den Heimweg machten. Mit diesen Überlegungen lässt sich jedoch ein überwiegendes Interesse des Datenbearbeiters nicht begründen, da es nicht Aufgabe des Barbetreibers ist, Straftaten zu verhindern oder zu verfolgen. Damit ist nicht gesagt, dass die Videoüberwachung gestützt auf das Datenschutzgesetz unzulässig gewesen wäre, sondern lediglich, dass die Begründung der Vorinstanz lückenhaft ist und für eine solche Annahme nicht ausreicht.

  • Die geplante Einführung des neuen Datenschutzrechts zum 1. September 2023, für die noch der Entscheid des Bundesrates aussteht, markiert einen wichtigen Schritt zur Modernisierung des Datenschutzgesetzes in der Schweiz. Das bestehende Bundesgesetz über den Datenschutz (DSG) wird aufgrund der raschen technologischen Entwicklungen als nicht mehr zeitgemäß angesehen. Die Totalrevision des DSG ist daher notwendig, um es den veränderten technologischen und gesellschaftlichen Verhältnissen anzupassen.

    Mit der Totalrevision des DSG sollen insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen gestärkt werden. Dies ist von entscheidender Bedeutung, um den Datenschutz auf einem zeitgemäßen Niveau zu gewährleisten und das Vertrauen der Bürgerinnen und Bürger in die Verarbeitung ihrer personenbezogenen Daten zu stärken.

    Die Anpassungen des Datenschutzrechts sind auch vor dem Hintergrund der zunehmenden Digitalisierung und Vernetzung von grosser Relevanz. Neue Technologien wie Künstliche Intelligenz, Big Data und das Internet der Dinge erfordern eine aktualisierte rechtliche Grundlage, um den Schutz der Privatsphäre und der persönlichen Daten der Bürgerinnen und Bürger zu gewährleisten.

    Die geplante Totalrevision des Datenschutzgesetzes zeigt das Bemühen der Schweiz, den Datenschutz auf einem aktuellen und angemessenen Niveau zu halten und die Rechte der Bürgerinnen und Bürger in einer digitalen Welt zu schützen. Es bleibt abzuwarten, wie die neuen Bestimmungen konkret ausgestaltet werden und welchen Einfluss sie auf die Praxis haben werden.n über ihre Daten gestärkt.

  • Die Einführung von Geldstrafen von bis zu CHF 250.000 für natürliche Personen bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten gemäß dem revidierten Datenschutzgesetz (DSG) ist ein bedeutender Schritt, um die Einhaltung der Datenschutzbestimmungen in der Schweiz zu stärken. Im Gegensatz zur Datenschutz-Grundverordnung (DSGVO), die sich hauptsächlich auf Unternehmen oder Organisationen konzentriert, können nach dem revidierten DSG nun auch Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden.

    Es ist wichtig zu betonen, dass für die Strafbarkeit nach dem revidierten DSG bereits der Eventualvorsatz ausreicht, was bedeutet, dass eine Straftat bereits dann vorliegt, wenn eine Verletzung der Datenschutzbestimmungen bewusst in Kauf genommen wurde. Diese strengeren Sanktionen sollen die Verantwortlichen dazu ermutigen, die Datenschutzbestimmungen ernst zu nehmen und entsprechende Maßnahmen zum Schutz der Privatsphäre und der persönlichen Daten der Betroffenen zu ergreifen.

    Die Zuständigkeit zur Durchsetzung dieser Sanktionen liegt bei den kantonalen Staatsanwaltschaften, was sicherstellt, dass Verstöße gegen das Datenschutzgesetz effektiv verfolgt und geahndet werden können. Diese Entwicklung zeigt die Entschlossenheit der Schweiz, den Datenschutz zu stärken und die Einhaltung der Datenschutzbestimmungen durch konkrete Maßnahmen und Sanktionen zu fördern.

    Insgesamt unterstreicht die Einführung von Geldstrafen für natürliche Personen bei vorsätzlichen Datenschutzverletzungen die Bedeutung eines verantwortungsvollen Umgangs mit personenbezogenen Daten und die Notwendigkeit, Datenschutzbestimmungen ernst zu nehmen und einzuhalten, um das Vertrauen der Bürgerinnen und Bürger in den Umgang mit ihren Daten zu stärken.

  • Die Anerkennung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist eine wichtige Entwicklung für den Datentransfer aus der Schweiz in Länder ohne angemessenes Datenschutzniveau. Standardvertragsklauseln bieten eine rechtliche Grundlage für solche Datenübermittlungen und ermöglichen es Unternehmen, die Anforderungen des Schweizer Datenschutzrechts zu erfüllen.

    Der EDÖB betont jedoch, dass bestimmte Anpassungen und Ergänzungen erforderlich sind, um die Standardvertragsklauseln an die Anforderungen des Schweizer Datenschutzrechts anzupassen. Diese Anpassungen sollen sicherstellen, dass die übermittelten personenbezogenen Daten angemessen geschützt sind und den hohen Standards des Schweizer Datenschutzrechts entsprechen.

    Die Ausführungen des EDÖB geben Aufschluss darüber, welche spezifischen Anpassungen und Ergänzungen vorgenommen werden müssen, um die Standardvertragsklauseln für die Verwendung unter Schweizer Datenschutzrecht geeignet zu machen. Dies kann beispielsweise die Klärung von Zuständigkeiten, die Festlegung von Informationspflichten und die Definition von Datensicherheitsmaßnahmen umfassen.

    Insgesamt bietet die Anerkennung der Standardvertragsklauseln durch den EDÖB eine wichtige Möglichkeit für Unternehmen, den Datentransfer in Länder ohne angemessenes Datenschutzniveau zu ermöglichen, während gleichzeitig die Anforderungen des Schweizer Datenschutzrechts eingehalten werden. Es ist wichtig, dass Unternehmen die Ausführungen des EDÖB sorgfältig prüfen und die erforderlichen Anpassungen vornehmen, um sicherzustellen, dass die Standardvertragsklauseln wirksam und rechtskonform sind.