August 16, 2024

Schweiz erkennt U.S. Data Privacy Framework an- Datenschutz News KW 33/2024

17 minutes

Was ist in der KW 33 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

Schnupper-Workshop: LEGO® Serious Play® – 5 Einsatzmöglichkeiten im Arbeitskontext (E-Mail: [email protected])

Schweizer Entscheidungen_ Swiss-U.S. Data Privacy Framework

Schweizer Entscheidungen (2C_275/2023 12.06.2024 (bger.ch))

Mustergültige Umsetzung des Ludwigshafener Pilotprojekt zur mobilen Videoüberwachung gegen illegale Müllablagerungen

Urteil des Landesgerichts Hamburg Az. 327 O 250/22 gegen Verbraucherzentrale: DSK Beschluss

Empfehlungen & Lesetipps:

Datenschutzaufsicht Bayern (BayLDA): datenschutzgerechten Einsatz von KI-Technologien im Unternehmen

BfDI: Konsultationsverfahren zum Prüfkatalog von Messengerdiensten

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/schweiz-erkennt-u-s-data-privacy-framework-an-datenschutz-news-kw-33-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Dann habe ich Swif oder Swiss gesagt.

Du hast Swiff gesagt, ich wollte gerade fragen, ob wir jetzt putzen müssen, aber.

Hat nix mit dem zu tun.

Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz-Update.

Mein Name ist Heiko Gossen.

Und mein Name ist Laura Tuschinski.

Gemeinsam schauen wir wieder auf die Woche des Datenschutzes

Zurück natürlich. Wie immer behalten wir hier bei den für euch und für uns die News der Woche im Blick und gucken dann hier am Ende der Woche gemeinsam drauf.

Heute ist Freitag, der sechzehnte August vierundzwanzig und unser Redaktionsschluss war wieder um zehn Uhr,

Bevor wir aber jetzt mit unseren äh Themen starten, noch einen Hinweis in eigener Sache. Am 24. September, also vierundzwanzigster neunter von neun bis dreizehn Uhr, haben wir ein Angebot und zwar ein Schnupperworkshop zum Arbeiten mit Lego Series Play.

Warum das jetzt aber auch für Datenschützer natürlich hochgradig interessant ist, das ist die spannende Frage. Daher habe ich äh unsere Expertin hier in der MiguSenz schlechthin für die Methode eingeladen

Und äh ja, gebeten uns das in der Geburtenkürz mal zu erläutern. Elisa Messerschmidt arbeitet im Bereich Work Smart der Migosenz und ist zertifizierte Lego Series Play Trainerin. Elisa

Wieso ist das Spielen mit Lego im Unternehmen hilfreich? Was ist der Kern von diesem Workshop.

Da Spielen mit Lego ist hilfreich bei allen Prozessen, wo es um sehr komplexe Themen geht. Da, wo man im Workshop feststellt, okay, mit Zettel kleben und Post-Hits beschreiben, kommen wir nicht weiter.

Lego die Möglichkeit in Modellen die Themen wirklich sichtbar auf die Platte zu bringen und besprechbar zu machen,

Also es eignet sich wunderbar, wenn wir zum Beispiel an Datenschutzstrategien denken, ein Leitbildentwicklung an Visionsarbeit, aber auch natürlich, wenn wir innovativ werden wollen oder Konflikte im Team besprechen wollen.

Also gerade die Beispiele, die du genannt hast, Visionsarbeit, Leitbild sind natürlich Themen, die wir auch schon in der Praxis bei Kunden einsetzen, auch ähm im obersten Management zusammen, was halt auch hervorragend äh funktioniert,

als Methode, um daran letztendlich dann diese Themen auch mit einer Gesamtheit sozusagen auch zu erarbeiten

wie läuft das in dem Workshop ab? Also was ist sozusagen das was die Teilnehmer danach mitnehmen können aus diesem Workshop?

Ja, also wir sind wirklich begeistert von der Methode und wollen sie einfach ganz, ganz vielen Menschen zugänglich machen und äh deswegen geben wir Einblick in alle Felder und Anwendungsmöglichkeiten der Methode. Das heißt,

Wir machen die Methode erlebbar. Wir werden wirklich mit

Lego bauen und uns zum Beispiel von der Strategiearbeit über Feedback geben, Probleme damit lösen, alles angucken und im besten Fall gehen die Menschen wirklich raus und haben für sich eine Idee, wie sie damit nachher im Unternehmen arbeiten.

Aus eigener Erfahrung kann ich sagen, die Methode funktioniert. Es hat schon einen spielerischen Anteil natürlich, aber es ist halt schon ernsthaft, deswegen auch Leo Series Play. Das kann man äh wirklich unterstreichen und von daher auch meine Empfehlung sich dann

mal zu beschäftigen und vielleicht

wie gesagt auch im Rahmen von diesem Seminar, was wir anbieten. Den Link zur Anmeldung packen wir natürlich in die Shownotes. Wer mag, guckt sich das an und meldet sich auch an. Ein paar Plätze sind noch frei. Es ist mit

Teil, also das heißt, wir werden wenig Plätze dort nur haben. Man ist gut beraten, sich daran zu halten.

Und damit starten wir in unsere Themen. Laura, was hast du heute im Angebot.

Ja im Angebot habe ich aber natürlich das Topthema zum Datentransfer in die USA, aus der Schweiz heraus. Außerdem geht’s weiter zu einem neuen,

Überwachungsprojekt oder Videoüberwachungsprojekt in Rheinland-Pfalz und ja, wir scheinen ein bisschen Sommerloch zu haben, dann komme ich schon zu zwei Lesetipps

Wie ist es bei dir? Ich glaube, so viele Nachrichten hast du heute auch nicht aufm Zettel.

Nee, ich hätte auch einmal was zur Schweiz und da geht es um das Thema,

Ortung und noch ein Urteil, was äh auch schon ein paar Tage älter ist, aber was aus aktuellem Anlass gerade auch wieder an verschiedenen Stellen diskutiert wird und wir deswegen hier nochmal aufgreifen. Es geht um das Thema,

Gastzugang bei Onlineshops. Dann würde ich vorschlagen, wir steigen ein.

Ich habe als Erstes eine wichtige Entscheidung des Bundesrats aus der Schweiz mitgebracht. Diese hat nämlich am 14. August beschlossen, dass der Datenaustausch zwischen der Schweiz und den USA zukünftig auf das neue

Swiss US Data Privacy Framework gestützt werden kann.

Es ermöglicht, dass personenbezogene Daten ohne zusätzliche Garantien an zertifizierte US-Unternehmen übermittelt werden können und eben die Zertifizierung für die US-Unternehmen, das neu,

US-Datenschutzgericht, aber auch die Schutzmechanismen gegen unzulässige Zugriffe durch US-Behörden sind auch für die Schweizer maßgebend für die Entscheidung.

Außerdem dürfen die betroffenen Unternehmen die Daten nur für diejenigen Zwecke bearbeiten, für die sie erhoben wurden

Und Weitergabe an Dritte wie beispielsweise an nicht zertifizierte Unternehmen ist im Rahmen dessen nicht zulässig.

Die Änderung der Datenschutzverordnung tritt in der Schweiz ab dem 15. September in Kraft und mit diesem Schritt stellt die Schweiz sicher, dass der Datenaustausch mit den USA

ähnlich wie innerhalb der EU geregelt ist, die bereits ja seit

2023 oder wir hier eben seit 2023 das vergleichbare Abkommen mit den USA geschlossen haben.

Das finde ich erfreulich,

Schöne Nachricht für die Schweizer und damit komme ich dann auch direkt zu meinem Schweizer Thema. Also wir haben einen kleinen Schweizblock heute. Liebe Grüße gehen raus in die Schweiz.

Das Schweizer Bundesgericht hat die Zulässigkeit von GPS-Überwachungssystemen in Taxen bestätigt,

Das Schweizer Bundesgericht hatte eine Beschwerde mehrerer Taxiunternehmen und Fahrer sowie ihrer Verbände gegen das Taxi-Regelwerk des Kantons Genf

Abgelehnt. Die Beschwerdeführer wollten bestimmte Artikel des Reglements aufheben lassen, da sie diese als Verletzung ihrer wirtschaftlichen Freiheit und ihres Rechts auf Privatsphäre betrachteten.

Die Regelungen betreffen unter anderem die Verpflichtung zur Installation eines GPS-Überwachungssystems für Taxifahrten.

Das Bundesgericht entschied nun, dass die angefochtenen Bestimmungen rechtmäßig sein, da sie im öffentlichen Interesse liegen, um entsprechend Missbrauch und soziale Ungleichheiten zu verhindern.

Zudem wurde die GPS-Überwachung als verhältnismäßig eingestuft, da sie nur während der beruflichen Nutzung der Fahrer greifen soll.

Die Dauer der Speicherung der GPS-Daten sei wohl ebenfalls angemessen, so das Gericht, insbesondere im Fall von Rechtsstreitigkeiten.

Hintergrund im Januar 22 schon hatte der große Rat der Republik und des Kantons Genf das Gesetz über Taxis und Transportfahrzeuge mit Fahrer verabschiedet. Es sieht neben der Erfassung der GPS-Daten eine anlasslose Speicherung von

Insgesamt sechs Monaten vor.

Nach Auffassung des Gerichts den Speicherung von privaten Fahrten nicht zu erwarten, da das GPS-Überwachungssystem laut den geltenden Regelungen nur für Fahrzeuge im Dienst gilt, also während der tatsächlich beruflichen Nutzung der Taxis.

Und somit sei wohl klar unterschieden zwischen der beruflichen und der privaten Nutzung und die Überwachung sowie Speicherung der Daten sollten sie halt auch nur auf diese erstrecken, in denen das Fahrzeug halt beruflich eingesetzt wird.

Finde ich jetzt, also ohne jetzt vertiefen in die gesetzlichen Anforderungen eingestiegen zu sein, was dieses Überwachungssystem angeht, zumindest mal jetzt von der reinen logischen Seite muss ja damit hin die Aktivierung des Systems möglich sein.

Also sprich, wenn ich da unterscheiden kann zwischen beruflichen, privaten Faden ist natürlich dann die Frage, greift,

der Zweck dieses Systems unterm Strich, wenn ich halt damit Schwarzfahrten zum Beispiel vermeiden möchte, wenn ich das System auch ausschalten kann.

Aber gut, da wie gesagt, so tief bin ich nicht eingestiegen, ist jetzt eine Frage, die mir in in Sinn kam, aber vielleicht ist er von unseren Schweizer Zuhörern da jemand deutlich tiefer drin und hat auch eine gute Idee

wie das äh vermieden werden soll. Deswegen freuen wir uns natürlich über Feedback.

Nutzt gerne die üblichen Kommentarmöglichkeiten auf der Podcast-Seite. Den Link findet ihr immer unten in den Shownotes zur Podcast-Seite in die Kommentare, einfach reinschreiben, freuen wir uns mega.

So ist es. Ich gehe wieder zurück nach Deutschland und zwar die Stadt Ludwigshafen,

startete am 15. August ein neues Pilotprojekt und zwar zur mobilen Videoüberwachung

Um illegale Müllablagerungen zu bekämpfen. Das Projekt wird durch den Landesdatenschutzbeauftragten in Rheinland-Pfalz eng begleitet.

Die Videoüberwachung wird an ausgewählten Orten im Stadtgebiet durchgeführt und verfolgt den klar definierten Zweck Gefahren durch Müllverschmutzung abzuwehren und eben Verursacher in Folge dessen zu identifizieren.

Wie die Datenschutzbehörde Rheinland-Pfalz auch in dieser Woche berichtet hat, gibt es verschiedene Mechanismen, um aus ihrer Sicht dem Datenschutz im

ausreichenden Maße dort auch Rechnung zu tragen. Unter anderem sind die Kameras mobil und dürfen keine Eingangsbereiche oder Spielplätze erfassen. Zudem sind die Aufnahmen verpixelt und eine M Pixelung ist nur bei konkretem Verdacht und unter

Einhaltung eines besonderen Vieraugenprinzips erlaubt,

und die Aufnahmen sind natürlich auch nur begrenzt gespeichert. Spätestens nach 30 Tagen werden diese gelöscht. Es sei denn, sie sind eben für Ordnungswidrigkeitsverfahren notwendig.

Das Projekt soll jetzt erstmal sechs Monate laufen und wird auch in dieser Zeit weiterhin von der Landesdatenschutzbehörde eng überwacht und evaluiert und am Ende soll diese Überprüfung eben zeigen,

Ob es im Rahmen dieser Videoüberwachung oder aufgrund der Videoüberwachung eben zu einem Rückgang der Müllverschmutzung kommt.

Ich persönlich finde ganz schön, wenn man auf die Internetseite der Stadt Ludwigshafen schaut, dass eben zu dem ganzen Konzept und zu der ganzen datenschutzrechtlichen Bewertung sie echt

Nicht umfassend Auskunft geben, also sei es wie gesagt das Konzept grundsätzlich, aber auch die Datenschutzfolgenabschätzung. Es ist alles einsehbar für die Bürgerinnen und Bürger. Ähm nicht nur bei ihnen, auch eben auf der Transparenzplattform. Also ich finde ein schönes Beispiel und

Ich glaube, im Rahmen dessen, dass auch dann die Akzeptanz bei den Bürgern eben steigt für solche Art und Weise der Videoüberwachung.

Glaube ich auch. Ich frage mich, wie Sie mit dem Hinweispflichten umgehen bei so einer mobilen Überwachung,

Und ob auch da am Ende,

Jemand da noch so dumm ist, seinen Müll da abzuladen, wo entsprechende Überwachungsschilder für Videoüberwachung sind. Aber gut. Sie werden sich das überlegt haben,

auch interessant finde ich die die Aufbewahrungsdauer 30 Tage, weil ich

halt vor, man findet auch schneller heraus ähm als innerhalb von 30 Tagen, ob irgendwo illegal Müll entsorgt wurde.

Darf ich da mal einen Blick rein in diese Datenschutzfolgenabschätzung? Würde mich echt interessieren,

Das Landgericht Hamburg hat entschieden, dass Onlinehändler unter bestimmten Bedingungen keinen Gastzugang anbieten müssen.

Das Gericht befand, dass in dem verhandelten Fall die Registrierung über ein Kundenkonto notwendig ist, um die Kommunikation zwischen Käufern und Verkäufern sowie Garantie und Rücksenderechte zu gewährleisten.

Hintergrund hier ist eine Handelsplattform, das heißt also nicht ein reiner Onlineshop eines,

Anbieters, sondern es ist halt eine Plattform, ähnlich wie wir das auch von Amazon kennen, wo also verschiedene Händler dann zusätzlich zu dem eigenen Angebot des Anbieters auch

Verkaufen können,

Der Beschluss von 2022 der Datenschutzkonferenz, der einen Gastzugang ja empfiehlt oder quasi verbindlich fast fordert, muss man sagen.

Sieht das Gericht als nicht bindend an. Der hamburgische Datenschutzbeauftragte, der bestätigte zwar den Beschluss der Datenschutzkonferenz, der einen Gastzugang empfiehlt, räumte aber auch Ausnahmen im Einzelfall ein.

Entscheidend ist, dass die Datenerhebung im Einklang mit der DSGVO steht. Ich glaube

Das ist unbestritten. Insbesondere wenn sie aber für die Abwicklung des Geschäfts halt erforderlich ist, dann betonte das Gericht

können hier auch Unterschiede zwischen einem Gastzugang und einem Kundenkonto notwendig sein, beziehungsweise kann das Kundenkonto damit auch notwendig sein. Insbesondere wie jetzt hier in dem Fall auch der einzige Unterschied sozusagen das Passwort ist.

Ja? Also die Daten, die benötigt werden für die Abwicklung, die werden ja ohnehin gespeichert und das Gericht hat gesagt, okay, hier ist es jetzt halt nur noch das Kennwort zusätzlich und ansonsten ergibt sich daraus halt,

keine weitere Datenspeicherung und somit kommt es auch zu dem Ergebnis, dass die Grundsätze der Datenminimierung und der datenschutzfreundlichen Voreinstellungen erfüllt sind,

da halt die erhobenen Daten auch für den Vertragszweck erheblich sind

Ein Verstoß gegen das Kopplungsverbot, der wurde ebenfalls nicht festgestellt, denn auch hier kann ein berechtigtes Interesse an der Nutzung von Kundendaten für Werbung bestehen.

Wenn es sich um eigene Waren handelt. Hier ist ja das Gesetz gegen Wettbewerb, das UWG ausschlaggebend und ich denke, das ist auch soweit nachvollziehbar.

Das Urteil verdeutlicht unter bestimmten Umständen kann halt diese unternehmerische Freiheit Vorrang vor dem Grundsatz der Datenminimierung haben.

Was allerdings offen bleibt, ist unter welchen Umständen dann auf einen Gastzugang konkret verzichtet werden kann. Also

Klar hat das Gericht hier die Gesamtumstände und die Darlegung des Unternehmens äh gewürdigt und auch entschieden, aber es ist jetzt keine klaren Kriterien dabei rausgekommen, wann drauf verzichtet werden kann und wann

nicht. Das heißt also Unternehmen sollten weiterhin sorgfältig prüfen, ob sie einen Gaszugang anbieten können und wenn nicht,

Ich glaube, das ist auch noch mal wichtig, dass ich halt immer unterscheide zwischen den Daten, die halt wirklich für die Abwicklung auch benötigt werden, auch bis wann sie benötigt werden, also typischerweise habe ich das ja vielleicht bis zum Ablauf einer Gewährleistungsfrist und dann

Könnte ich ja theoretisch auch vielleicht die Daten im Benutzerkonto eigentlich löschen,

dass man da vielleicht dann auch überlegt, ob man da dann nicht mal eine Einwilligung einholt von den Betroffenen, ob sie die Daten länger erfasst haben möchten oder nicht. Ja

Das war’s jetzt so von mir zu der Meldung.

Er hört sich schlüssig an,

Finde ich gut. Ja, also im Sinne der Transparenz, ne. Ich glaube, die Informationsflächen, das ist immer das, was, glaube ich, den das eine oder andere Unternehmen dann auch eben vor dieser Herausforderung stellt, aber am Ende muss man sich ja mal fragen, wie transparent kann man das eben den Betroffenen dann auch darlegen?

Und ich glaube, dann ist es auch gut, wenn man sich die einzelnen Verarbeitungsschritte auch nochmal im Detail ansieht.

Im Moment äh ist ja das Thema Gaszugang durchaus bei einigen ein Thema und ähm ich dachte, da macht’s vielleicht auch Sinn, dass wir das hier nochmal aufgreifen und nochmal über dieses Urteil berichten. Ihnen steht übrigens da mal die Entscheidung auch von der Datenschutzkonferenz nochmal verlinken in den Shownotes,

reingucken.

Genau. Was wir auch in die Shownotes packen sind zwei Veröffentlichungen, die im Laufe der Woche es ins World Wide Web geschafft haben und somit auch hier in dem Podcast nämlich zum einen ist es,

eine Nachricht vom Bayerischen Landesamt für Datenschutzaufsicht. Die haben nämlich nun ihr Informationsangebot zur künstlichen Intelligenz und Datenschutz erweitert.

Und wie gesagt hier jetzt auf der Internetplattform der Behörde können jetzt nun eben sich Unternehmen weitreichend informieren zum datenschutzgerechten Einsatz von KI-Technologien. Denn ja die Behörde hat das eben zum Anlass genommen,

Weil die Verfügbarkeit nun mal jetzt so rasant ansteigt und ja auch die KI-Verordnung in Kraft getreten ist, dass sie hier das Bedürfnis hatte, eben den Unternehmen auch eine Hilfestellung zu geben.

Auf der Webseite, ich habe mal reingeschaut, gibt’s also aktuell ja erste Orientierung zum Thema Technik, aber auch Einzelfragen zu künstlichen Intelligenz in Kombination mit

wird Rechnung getragen, sei es Thema Rechtsgrundlagen, Datenschutzfolgenabschätzung, Verarbeitungsverzeichnis, alles findet man dort gerade ganz schön aufgearbeitet und auch Flyer und Checklisten stehen da für die Web

Besucher zur Verfügung. Ganz schön. Aber man merkt ja, dass immer mehr Aufsichtsbehörden jetzt auch auf den Zug aufspringen. Müssen. Genauso ist es

Die nächste Veröffentlichung hat jetzt nichts mehr mit KI zu tun, sondern mitm Messengerdiensten und zwar äh

beauftragt oder die Behörde für Datenschutz und Informationsfreiheit haben das Konsultationsverfahren zum Prüfkatalog von Messengerdiensten gestartet und ja Fachanwendende sowie die Zivilgesellschaft sind nun eingeladen

den Katalog zu kommentieren.

Messengerdienste finden immer weiter Verbreitung, sowohl im privaten als auch im Arbeitsalltag und um eben hier den einheitlichen Standard

Prüfung dieser Dienste anzulegen. Er hat der BFTI nun die Entwicklung eines Prüfkatalogs angestoßen.

Dass Konsultationsverfahren läuft noch bis Ende des Jahres, um genau zu sein, 15. November,

Und ja, die Ergebnisse werden dann auch weiterhin dort auf der Webseite veröffentlicht. Das, wie gesagt, packen wir sehr gerne in die Shownotes, wer dort mitkommentieren möchte.

Finde ich eine gute Sache, passt sehr schön zu unserer Meldung von letzter Woche mit den Messengerdiensten auch im Rahmen der Sozialarbeit. Vielleicht,

Kommt daher noch was Gutes bei raus? Damit sind wir durch für heute. Dir ganz herzlichen Dank, Laura.

War mir wie meine Freude, euch da draußen wünschen wir schon mal ein schönes Wochenende, würde sagen,

Es wird wieder sommerlich, von daher genießt die Zeit, vergesst natürlich nicht, hier unseren äh Links zu folgen und vielleicht in der ruhigen Minute auch noch mal ein Review für unseren Podcast dazulassen, ob das,

immer sehr und nicht zu vergessen die Anmeldung für den Lego-Workshop. In diesem Sinne bleibt uns gewogen und auf bald.

Der Beitrag Schweiz erkennt U.S. Data Privacy Framework an- Datenschutz News KW 33/2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz