13.11.2015 Entwicklungen im privaten Datenschutzrecht (April 2013 bis März 2015) Schweizer Anwaltskongress 2015 David Rosenthal 5. Juni 2015 Version 1.01 | 1 13.11.2015 Was den Datenschutz bewegte — NSA-Affäre (ab Juni 2013) — Beschaffung von kritischen IKT-Infrastrukturen — Safe Harbor Abkommen — Datenlieferungen im Rahmen des Steuerstreits mit den USA — Kategorie 1-Banken — "US-Programm" vom August 2013 — Recht auf Vergessen — Entscheid EuGH vom Mai 2014 — Google-Programm zur Umsetzung — Big Data — Drohnen — Revision des Datenschutzrechts in Europa Version 1.01 Quellen: weblogit, 20min.ch 5. Juni 2015 | 2 2 13.11.2015 Anpassung des DSG — Projekt zur Schaffung einer Datenschutzgrundverordnung in der EU — Modernisierung der Konvention 108 des Europarats — Arbeiten zur Revision des DSG — Evaluationsbericht und Expertenpapier gibt es; Vorentwurf bis August 2016 — Womit muss (mindestens) gerechnet werden? — Gendaten und biometrische Informationen neu als besonders schützenswert — Einwilligung muss "free, specific, informed and unambiguous" sein — Ausbau der Informationspflichten (z.B. neu auch Rechtsgrundlagen, Rechte) — Auskunftspflicht neu auch betr. Berechnungsweise von Resultaten — Recht auf Anhörung durch Menschen bei computergestützten Entscheiden — Datenverluste neu meldepflichtig — Pflicht zur vorgängigen Durchführung von "Privacy Impact Assessments" — Einführung von Verwaltungssanktionen, EDÖB soll verfügen können Version 1.01 5. Juni 2015 | 3 3 13.11.2015 Version 1.01 5. Juni 2015 | 4 4 13.11.2015 Urteile: Auskunftsrecht — Hintergrund: Banken müssen Unterlagen zum US-Geschäft den USA liefern und dürfen involvierte Mitarbeiter nicht schwärzen; Mitarbeiter wurden informiert und konnten Einsicht nehmen; einige wollten Kopien der gelieferten Dokumente — Art. 8 Abs. 5 DSG: "Die Auskunft ist in der Regel schriftlich … zu erteilen." — Banken erlaubten Einsicht, aber verweigerten Kopien wegen Bankgeheimnis, überwiegenden Eigeninteressen und Verletzung von Treu und Glauben — Kundendaten sind schon geschwärzt, Mitarbeiter kennen die Kunden aber — Gerichte stützten Anspruch bisher (vgl. BGer, 01|15, OGer ZH 12|14) — BGer erachtete das Interesse der Mitarbeiter, sich dank Kopien besser auf etwaige Verfahren in den USA vorbereiten zu können, als gewichtiger — BGer sah kein erhöhtes Risiko einer Bankgeheimnisverletzung und verwies auf nachvertragliche Geheimhaltungspflicht der Arbeitnehmer — OGer wies Herausgabe von Begleitschreiben trotz fehlenden Personendaten an, da es geeignet sei Auskunft über Rechtsgrundlagen und Zweck zu geben Version 1.01 5. Juni 2015 | 5 5 13.11.2015 Urteile: Datenlieferungen — Hintergrund: Mitarbeiter können Lieferung von Daten an die USA durch Einleiten eines Gerichtsverfahrens vorläufig sperren, bis deren Zulässigkeit geklärt ist — Art. 6 Abs. 2 Bst. d DSG: Überwiegendes öffentliches Interesse an Lieferung? — Art. 12 Abs. 2 Bst. b DSG: Recht auf Widerspruch — Art. 13 Abs. 1 DSG: Abwägung aller (auch privater) Interessen erforderlich — Zwei Fragen im Zentrum — Welche Nachteile hat die Nichtlieferung für die Bank (insb. US-Anklage)? — Welche Nachteile hat die Lieferung für den Mitarbeiter (insb. Verfolgung)? — Vor allem eine Frage der Wertung der Interessen — Methodische Fragestellungen — Kommt es darauf an, wie wahrscheinlich die Nachteile tatsächlich sind? — Spricht Unsicherheit bezüglich der Folgen für oder gegen ein Interesse? — Darf ein Gerichtsverfahren isoliert betrachtet werden ("Der Tropfen, der …")? — Welche Datenschutzinteressen sind bei Art. 6 Abs. 2 Bst. d DSG relevant? Version 1.01 5. Juni 2015 | 6 6 13.11.2015 Weitere Urteile — Auskunftspflicht betr. interner Untersuchungen (BezGer Zürich, 02|15) — Überwiegende Interessen, Dokumente zur internen Meinungsbildung nicht offenlegen zu müssen; Negativbestätigung keine umfassende Garantie — Busse für eventualvorsätzlich falsche Auskunft (Statthalteramt Winterthur, 12|14) — Spammer gab auf Auskunftsersuchen hin irgendeine Antwort zur Datenquelle — Begriff der Datensammlung (BVerwG, 12|14) — Enge Definition gemäss Kriterienkatalog in der Lehre — Recht auf Vergessen (EuGH, 05|14) — Suchmaschine ist eine eigenständige Bearbeiterin der Treffer-Daten — Suchmaschine als (zu einer Website) zusätzliche Beeinträchtigung — Öffentliches Interesse am Auffinden der Seite vs. private Interessen dagegen — Unberücksichtigt: Öffentliches Interesse an der Funktion von Suchmaschinen — Google bietet seither Löschverfahren mit Beurteilung im Einzelfall an Version 1.01 5. Juni 2015 | 7 7 13.11.2015 Danke für Ihre Aufmerksamkeit. David Rosenthal [email protected] T +41 43 222 10 00 Homburger AG Prime Tower Hardstrasse 201 | CH-8005 Zürich Postfach 314 | CH-8037 Zürich www.homburger.ch Version 1.01 | 8