Evaluation und Lösungsvorschläge zu den Auswirkungen der Datenschutz-Grundverordnung auf Kleinunternehmen und Einzelpersonen

Ziel dieser Arbeit ist die Entwicklung eines Leitfadens für die Anpassung von Webseiten und unternehmensinternen Prozessen an die Vorgaben der neuen Datenschutz-Grund-verordnung. Die Zielgruppen dieses Leitfadens sind in erster Linie Einzelpersonen und Kleinunternehmen, die keine eigene Rechtsabteilung oder Arbeitsgemeinschaften ha-ben, die sich mit der Umsetzung der Datenschutz-Grundverordnung befassen können. Die erarbeiteten Erkenntnisse sind jedoch auch für mittelständische Unternehmen, Ver-eine und gemeinnützige Institutionen interessant. Nach einer Erläuterung der technischen und rechtlichen Grundlagen, werden die wich-tigsten Neuerungen durch die Verordnung zusammengefasst. Anschließend werden die wesentlichen Probleme der Zielgruppen erläutert, leitfadenartig verschiedene Lösungs-ansätze vorgestellt und ein Fazit zur aktuellen Situation gezoge

People Analytics : Eine datenschutzrechtliche Betrachtung moderner Einsatzszenarien für automatisierte, datenbasierte Entscheidungen

Modernes Personalmanagement („People Analytics“) bedarf des Einsatzes komplexer Algorithmen und der Auswertung einer Vielzahl von Daten. Hierbei geraten Unternehmen schnell in den Konflikt mit den geltenden Datenschutzbestimmungen. Der Autor stellt die einschlägigen Vorschriften zum Daten-, Betriebsverfassungs- und Telekommunikationsrecht dar und zeigt anhand konkreter Fallbeispiele auf, welche Fallstricke zu beachten sind. Er entwirft rechtskonforme Lösungen für den Einsatz von automatisierten Entscheidungen, Big Data und IoT im Unternehmen. Für die Zielgruppe der Anwälte, Betriebsräte und Unternehmen wird zudem eine Musterbetriebsvereinbarung zu möglichen Einsatzszenarien entworfen

Datenschutzverzeichnisse nach EU-DSGVO : Modelle zum Verzeichnis von Verarbeitungstätigkeiten

Seit dem 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (EU-DSGVO) für alle Mitgliedstaaten der Europäischen Union. Sie beinhaltet Vorschriften, die organisatorische Änderungen in den betroffenen Unternehmen erfordern. Ein zentraler Teil der DSGVO ist ein Datenschutzverzeichnis, das eine Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden, beinhaltet. Bis auf wenige Ausnahmen sind alle Unternehmen, die personenbezogene Daten von Personen, die sich in der EU befinden, verarbeiten, verpflichtet, das in der Verordnung als «Verzeichnis von Verarbeitungstätigkeiten» bezeichnete Datenschutzverzeichnis zu führen und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Die vorliegende Masterthesis beschäftig sich damit, wie die gesetzlich geforderten Bestandteile sowie Anforderungen aus der Praxis in einem formalen Modell (Ontologie) dargestellt werden können, um Zusammenhänge zu verdeutlichen und ein einheitliches Verständnis zu schaffen. Die Herleitung des Modells erfolgt anhand eines iterativen Prozesses auf Grundlage der Ausführungen in der DSGVO, Ansätzen zum Verzeichnis von Verarbeitungstätigkeiten sowie Experteninterviews. Sie beruht auf einer Methodologie zur Erstellung von Ontologien. Entstanden sind letztendlich zwei Artefakte in Form von Ontologien, die ein schnelles Verständnis für die Anforderungen an die Datenschutzverzeichnisse nach DSGVO ermöglichen. Die Artefakte können als Grundlage für die Entwicklung einer Methodologie zur Umsetzung eines Verzeichnisses von Verarbeitungstätigkeiten, für Wikis oder Softwaresysteme dienen

Verwendung von Cloud-Dienstleistungen mit Transfer(s) von Personendaten in Clouds von US-Anbietern/in die USA

Der Transfer von personenbezogenen Daten in Clouds der USA regt immer wieder zur Diskussion an. Die zunehmenden regulatorischen Anforderungen bezüglich der Nutzung von US-Clouds, erschweren Unternehmen den Überblick über die einzuhaltenden Pflichten. Die vorliegende Arbeit soll die Hintergründe dieser Problematik aufzeigen und den Nutzern von Cloud Dienstleistungen aus den USA die aktuelle Situation in diesem Rechtsgebiet aufzeigen. Um ein solides Basiswissen über die datenschutzrechtlichen Vorgaben zu erhalten, wird zuerst auf das Schweizer Datenschutzrecht und dessen Weiterentwicklung eingegangen. Da das Schweizer Recht in diesem Gebiet stark vom EU-Recht abhängig ist, wird auch auf diese Rechtsnormen eingegangen und wichtige Eckdaten dazu erläutert. Um den rechtlichen Rahmen dieser Arbeit abzurunden, wird anschliessend das amerikanische Recht insbesondere der US-Cloud Act analysiert. Damit der Überblick möglichst umfassend ist, werden die aktuellen Entwicklungen der Datenübermittlung beobachtet und der Hintergrund des EU-US Verhältnis in Bezug auf den Datenschutz erläutert. Dabei liegt der Fokus besonders auf den Urteilen des EuGH, welche verschiedene Absprachen zwischen diesen zwei Parteien für ungültig erklärt hat. Mit dem Schrems I Urteil kippte das EuGH das Safe-Harbor Abkommen zwischen den USA und der EU. Auch das später entstandene Privacy Shield konnte die Sicherheitsbedenken des EuGH bei der Datenübermittlung nicht beseitigen. Durch die Ungültigkeit dieses Beschlusses mittels Schrems II Urteil, ist der Transfer von personenbezogenen Daten aus der EU in die USA nur noch über Standardvertragsklauseln möglich. Auch für die Schweiz hatte das Schrems II Urteil einen grossen Einfluss. Die Standardvertragsklauseln der Schweiz sind jedoch stark an diese der EU angelehnt und in vielen Fällen werden diese übernommen. Im Jahre 2021 veröffentlichte die EU-Kommission neue Standardvertragsklauseln, welche wichtige Neuerungen beinhalten. So muss bei diesen neuen Standardvertragsklauseln jeweils das geeignete Modul für den Datenexporteur und -importeur ausgewählt werden und es sind zusätzliche Schutzmassnahmen zu ergreifen. Dabei sind die technischen und organisatorischen Massnahmen, welche zur Gewährleistung der Datensicherheit beitragen klar zu benennen. Zusätzlich dazu müssen die Parteien Garantien sicherstellen, aufgrund welcher der Datenimporteur seinen Pflichten nachkommen kann, ohne dass er durch die Gesetze und Praktiken des Drittlandes daran gehindert wird. Diese Regelung ist von ausserordentlicher Bedeutung da durch die Parteien garantiert werden muss, dass die US-Behörden nicht auf die personenbezogenen Daten in der Cloud des Datenimporteurs zugreifen können. Personendaten in US-Clouds zu übermitteln und gleichzeitig den Anforderungen der europäischen und Schweizer Datenschutzbestimmungen gerecht zu werden, erweist sich als schwierig. Die einfachste, jedoch unrealistischste Option zur Garantie der Datensicherheit ist der Verzicht der Nutzung von US-Clouds. Andere Möglichkeiten liegen in Auftragsverarbeiterverträgen mittels Standardvertragsklauseln oder internen Datentransfer-Folgenabschätzungen, wie sie anhand der dieser Arbeit vorliegenden Checkliste durchgeführt werden können