Liebe Leser*innen
Wir freuen uns, Ihnen die neue Schwerpunktausgabe des Jusletters zum Thema Datenschutz vorstellen zu können, die nun in Partnerschaft mit swissprivacy.law erstellt wird. Der Fokus der inhaltsreichen Ausgabe 2024 liegt auf aktuellen Themen, die von den regulatorischen Entwicklungen im Bankwesen bis hin zu den Herausforderungen neuer Datenverwaltungspraktiken wie künstlicher Intelligenz, Data Lakes, Daten aus dem Darknet und Background Checks reichen.
Wir beginnen diese Ausgabe mit einer Studie von Frédéric Erard und Livio di Tria über die Einwilligung zur Datenverarbeitung in Arztpraxen. Dieser Artikel stellt die weit verbreitete Praxis in Frage, die Einwilligung der Patienten für die Verarbeitung ihrer medizinischen Daten einzuholen. Die Autoren zeigen auf, dass die Einwilligung in diesem Zusammenhang häufig weder frei noch aufgeklärt ist und dass die betreffenden Datenverarbeitungen oft auf anderen gesetzlichen Rechtfertigungen beruhen. Gleichzeitig betonen sie die Bedeutung der Informationspflicht und des Transparenzprinzips.
Sodann ergründen Michael Montavon und Magdalena Forowicz die Frage automatisierter und halbautomatisierter Entscheide im Schweizer Verwaltungsrecht. Angesichts der zunehmenden Bedeutung von künstlicher Intelligenz in Verwaltungsprozessen befasst sich der Artikel mit den Herausforderungen, die diese Automatisierung in Bezug auf Rechtmässigkeit, Transparenz und Rechenschaftspflicht mit sich bringt. Die Autoren machen deutlich, dass die rechtlichen Rahmenbedingungen angepasst werden müssen, um die Einhaltung der Grundrechte in diesem sich wandelnden Kontext zu gewährleisten.
Weiter geht es mit einem Beitrag von Ursula Uttinger und Marc Ruef, der die Nutzung von Daten aus dem Darknet untersucht. Vor dem Hintergrund der Zunahme von Cyberangriffen und Ransomware werden in dem Artikel die rechtlichen Auswirkungen der Verarbeitung von Daten untersucht, die gehackt und im Darknet zum Verkauf angeboten werden. Die Autoren gehen auf die Fragen ein, ob die Verwertung dieser Informationen überhaupt zulässig ist und welche Risiken für die Privatsphäre und die Sicherheit der betroffenen Personen bestehen.
Danach fährt Marine Largant mit einer Untersuchung von Data Lakes fort. Diese riesigen Datenreservoirs, die häufig von Konzernen genutzt werden, um grosse Datenmengen zu sammeln und zu verarbeiten, werfen zahlreiche Fragen zum Schutz personenbezogener Daten auf. Ihr Artikel beleuchtet die Herausforderungen beim Umgang mit personenbezogenen Daten in Data Lakes, zu denen die Datenminimierung, die Zugriffssicherheit und grenzüberschreitende Probleme gehören.
Gabriel Kasper beschäftigt sich mit der digitalen Strategie der Europäischen Union. Sein Beitrag erörtert die extraterritoriale Anwendung der wichtigsten EU-Verordnungen wie des Digital Services Act (DSA), des Data Act oder des Digital Markets Act (DMA) und deren Auswirkungen auf Schweizer Unternehmen. Er erinnert daran, dass die Einhaltung dieser Texte eine echte Herausforderung darstellt, und zwar nicht nur für Unternehmen, die innerhalb des Europäischen Wirtschaftsraums ansässig sind, sondern auch für solche, die ausserhalb angesiedelt sind, aber mit europäischen Akteuren interagieren.
Olaf Thorens bietet eine umfassende Studie über Background Checks, die sowohl im öffentlichen als auch im privaten Bereich immer häufiger vorkommen. Er erläutert die wichtigsten Konzepte und Regeln für Background Checks aus der Perspektive des Schweizer Rechts, mit besonderem Schwerpunkt auf der Einhaltung des Verhältnismässigkeitsprinzips und der Informationspflichten gegenüber den betroffenen Personen.
Esther Zysset untersucht die mit der Auslagerung der Verarbeitung personenbezogener Daten im öffentlichen Sektor verbundenen Fragestellungen, insbesondere wenn diese im Ausland erfolgt. Diese Analyse untersucht Situationen, in denen öffentliche Behörden in der Schweiz die Verarbeitung personenbezogener Daten ins Ausland auslagern, insbesondere wenn kein Angemessenheitsbeschluss zum Datenschutz vorliegt. Dabei werden die mit diesen Praktiken verbundenen rechtlichen Risiken hervorgehoben und gleichzeitig Möglichkeiten aufgezeigt, diese Risiken durch geeignete Sicherheitsmassnahmen und Verträge zu mindern.
David Violi schliesst diese Ausgabe schliesslich mit einem Artikel über den Datenschutz im Bankensektor und die Auswirkungen des FINMA-Rundschreibens 2023/1 auf die operationellen Risiken und die Widerstandsfähigkeit ab. Der Artikel untersucht, wie die neuen Vorschriften den Schweizer Banken einen strengeren und koordinierten Umgang mit personenbezogenen und kritischen Daten auferlegen, wobei der Schwerpunkt auf den möglichen Synergien zwischen diesen beiden Bereichen liegt. Die betriebliche Widerstandsfähigkeit, insbesondere im Falle eines Cyberangriffs, ist ein zentraler Punkt dieser neuen Anforderungen, die die Institute zwingen, umfassende Strategien für den Schutz und die Verwaltung ihrer Daten zu verfolgen.
Wir wünschen Ihnen eine anregende und interessante Lektüre!
Célian Hirsch, Frédéric Erard und Sandra Husi-Stämpfli
Mitherausgeber der Schwerpunkt-Ausgabe zum Datenschutzrecht