Was bei der Nutzung von Cloud Services zu beachten ist

Die Datenschutzstelle wird immer wieder mit der Frage konfrontiert, ob und wie Cloud Services datenschutzkonform eingesetzt werden können, insbesondere wenn darin auch personenbezogene Daten gespeichert bzw. verarbeitet werden sollen.

Wenngleich diese Fragen immer nur bezogen auf die konkrete Situation im Einzelfall beantwortet werden können, hat die Datenschutzstelle nun auf ihrer Internetseite die wichtigsten datenschutzrechtlichen Fragen bzw. Anforderungen an Cloud Services zusammengestellt, die bei einer Einschätzung oder Auswahl eines bestimmten Systems in Betracht gezogen werden müssen. Darüber hinaus steht die Datenschutzstelle für eine Beratung rund um diese Beurteilung sowie zu eventuell erforderlichen Anpassungen der Systeme gerne zur Verfügung.

Mehr zu den datenschutzrechtlichen Anforderungen an Cloud Services kann neu hier auf der Internetseite der Datenschutzstelle nachgelesen werden.

Gastbeiträge der Datenschutzstelle in den Medien

Datenschutz ist ein Anliegen, das von verschiedenen Voraussetzungen abhängig ist, damit es überhaupt an Relevanz gewinnt und wichtig wird: Nur wo vielerlei Daten - und insbesondere personenbezogene Daten - in einem sich ständig wandelnden, Technologie-geprägten Umfeld automatisiert verarbeitet werden, wo also die so genannte Digitalisierung vorangetrieben wird, da wird auch der verantwortungsvolle Umgang mit der Ressource Daten zentral. Dies trifft bereits auf viele unserer Lebensbereiche zu.

Gerade dieses technologische Umfeld aber, in dem sich Datenverarbeitungen heute abspielen, besteht aus den unterschiedlichsten Bereichen und Komponenten, die nicht selten mit bedeutungsschweren, schillernden Namen bezeichnet sind. Obwohl wir alle immer wieder darüber sprechen und diese Begriffe verwenden, verstehen nur die wenigsten von uns deren tatsächliche Funktionsweise oder Eigenschaften genau und könnten sie auch erklären.

Aus diesem Grund hat das Volksblatt zusammen mit der Datenschutzstelle eine Reihe von Gastkommentaren ins Leben gerufen, die sich nicht direkt dem Datenschutz selbst, sondern dem technologischen Umfeld davon widmet. Ruben Rheinberger, ein Techniker der Datenschutzstelle, wird dabei in regelmässigen Abständen die technischen Hintergründe z.B. von Fingerabdruck-Scannern oder Gesichtserkennungssoftware, dem "Darknet", der "Cloud", dem Internet der Dinge, von künstlicher Intelligenz, Quantencomputern, Cookies, Verschlüsselungstechniken und vielem mehr erklären.

Die bereits im Volksblatt erschienen Gastbeiträge der DSS zu den Themen "Fingerabdruck und Gesichtserkennung bei Smartphones" und "Was ist das Darknet?" wie auch alle künftigen Beiträge können nun hier auf der Webseite der Datenschutzstelle nachgelesen werden.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO)

Neben den "gewöhnlichen" Kategorien personenbezogener Daten existiert auch eine Reihe von sensiblen, besonders schutzwürdigen personenbezogenen Daten. Es handelt sich dabei einerseits um besondere Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten, politische Meinungen, genetische und biometrische Daten, ethnische Herkunft, sexuelle Orientierung etc. (Art. 9 DSGVO) und andererseits um personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO). All diesen Daten ist gemein, dass sie höchstpersönlicher Natur sind oder gar identitätsstiftenden Charakter haben, und dass ihr Missbrauch gravierende diskriminierende oder stigmatisierende Wirkung für die Betroffenen entfalten kann. Weil mit der Verarbeitung dieser Daten somit ein hohes Risiko für die Rechte und Freiheiten einer betroffenen Person einhergeht, ist sie gemäss dem risikobasierten Ansatz der europäischen Datenschutz-Grundverordnung (DSGVO) nur ausnahmsweise oder unter strengen Voraussetzungen zulässig.

Mehr zu den Ausnahmen und erhöhten Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten sowie personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten kann hier auf der Webseite der Datenschutzstelle nachgelesen werden.

FAQs zur DSGVO

Die Datenschutzstelle hat die "FAQs zur DSGVO" auf ihrer Internetseite neu überarbeitet. Die häufig gestellten Fragen wurden aktualisiert und um weitere Themen sowie um in jüngster Zeit wiederholt an die Datenschutzstelle gestellte Fragen ergänzt. Bei fast jeder Frage finden sich ausserdem Links zu den entsprechenden ausführlichen Themen-Beiträgen an anderem Ort auf der Internetseite der Datenschutzstelle.

Die überarbeiteten FAQs können hier auf der Webseite der Datenschutzstelle nachgelesen werden.

Update zum Datenschutz nach dem Brexit

Das Vereinigte Königreich hat die Europäische Union am 31. Januar 2020 verlassen. Im Rahmen des Austrittsabkommens zwischen der EU und dem Vereinigten Königreich wurde zunächst eine Übergangsfrist vereinbart, während der das Unionsrecht - einschliesslich des Datenschutzrechts gemäss Datenschutz-Grundverordnung (DSGVO) - für das Vereinigte Königreich weiterhin galt. Diese Übergangsfrist endete am 31. Dezember 2020.

Am 24. Dezember 2020 wurde nun ein Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich erzielt, welches bereits seit dem 1. Januar 2021 vorläufig zur Anwendung kommt. Darin wurde unter anderem die Absicht bekräftigt, baldmöglichst einen Angemessenheitsbeschluss der Europäischen Kommission für die Übermittlung personenbezogener Daten aus EU/EWR-Mitgliedstaaten ins Vereinigten Königreich zu erzielen, um auch künftig einen möglichst reibungslosen Datenaustausch zu gewährleisten. Da ein solcher Angemessenheitsbeschluss jedoch noch nicht vorliegt, wurde im Handelsabkommen eine Überbrückungsperiode von 6 Monaten beschlossen, während der das bisher im Vereinigten Königreich geltende Datenschutzrecht unverändert fort gilt sowie eine Datenübermittlung dorthin als "nicht-international" und damit als ungehindert durchführbar angesehen wird.

Den EWR-Mitgliedstaaten wurde mit entsprechender Klausel im Handelsabkommen ermöglicht, die Regelungen zur Überbrückungsperiode in gleicher Weise zu übernehmen. Liechtenstein wie auch die anderen EWR-Mitgliedstaaten haben ihre Zustimmung dazu bereits formell gegeben. Als völkerrechtliches Abkommen stellt diese Zustimmung die rechtliche Grundlage für den künftigen Datenaustausch mit dem Vereinigten Königreich dar.

Wichtigste Konsequenzen während der Überbrückungsperiode

In Bezug auf den rechtlichen Rahmen für den Schutz personenbezogener Daten ändert sich folglich für die Betroffenen und datenverarbeitenden Stellen während der Überbrückungsperiode bis zum 30. Juni 2021, oder bis zum vorzeitigen Erzielen eines Angemessenheitsbeschlusses, noch nichts:

- Es sind keine zusätzlichen Formalitäten für Verantwortliche und Auftragsverarbeiter in den EU/EWR-Mitgliedstaaten oder im Vereinigten Königreich erforderlich;

- Es ist noch nicht erforderlich, dass für die Übermittlung personenbezogener Daten in das Vereinigte Königreich die gesonderten Voraussetzungen des Kapitel V DSGVO (Datenübermittlung in Drittstaaten) beachtet werden müssen.

Was passiert nach Ablauf der Überbrückungsperiode?

Nach Ablauf der Überbrückungsperiode wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt dazu, dass bei einer Übermittlung personenbezogener Daten das Kapitel V DSGVO beachtet werden muss. Bis zu diesem Zeitpunkt sollte jedoch ein Angemessenheitsbeschluss der Europäischen Kommission für den Transfer personenbezogener Daten ins Vereinigte Königreich gemäss Art. 45 DSGVO vorliegen. Damit sollten Datenübermittlungen ins Vereinigte Königreich auch künftig relativ unproblematisch erfolgen können. Liegt jedoch noch kein Angemessenheitsbeschluss vor, muss auf alternative Massnahmen des Kapitel V DSGVO zurückgegriffen werden. Weitere Informationen dazu finden Sie hier auf unserer Internetseite.

Wir werden Sie rechtzeitig informieren, sobald es neue Entwicklungen gibt. Allgemeine aktuelle Informationen zum Handelsabkommen der EU mit dem Vereinigten Königreich erhalten Sie zudem auf der Seite der Europäischen Kommission.