CDO Wissen – Digitalisierung und Recht

Die Digitalisierung der Wirtschaft stellt besondere Herausforderungen an das Rechtssystem.

  • Was bedeutet es für ein Unternehmen, wenn die Daten nicht im eigenen Land gespeichert werden?
  • Wie ist die IT-Sicherheit, der Datenschutz geregelt?
  • Wie ist die Haftungsfrage zu beantworten?
  • Welche Massnahmen sind präventiv zu ergreifen?

Als Mitglied in der Unternehmensführung sind Chief Digital Officer in der Lage, diese Fragen zu erkennen und schlüssige Antworten zu finden.

Chief Digital Officer müssen in der Lage sein:

  • die rechtlichen Fragen, die sich aus der Digitalisierung der Wirtschaft ergeben, zu erkennen und sinnvolle Massnahmen zu ergreifen, um das eigene Unternehmen bezüglich IT- Datenschutz und Haftung richtig aufzustellen; die Haftung für digitale Risiken mit vertraglichen und anderen rechtlichen Mitteln zu beschränken
  • die Identität und Reputation von Unternehmen im digitalen Raum zu stärken und zu verteidigen
  • die rechtlichen Möglichkeiten zu nutzen um das geistige Eigentum im Unternehmen zu sichern und die Online-Aktivitäten von Arbeitnehmerinnen und Arbeitnehmern in die gewünschten Bahnen zu lenken
  • die Bearbeitung von Personendaten in der Schweiz und im Ausland in Übereinstimmung mit dem heutigen und künftigen Datenschutzrecht in der Schweiz und in der Europäischen Union (EU) mit der notwendigen Datensicherheit zu gewährleisten.

Meine SIB – CDO NDS HF – Studium / Recht & Big Data Prüfungsarbeit

Kommentare willkommen.

Die Untiefen der Digitalisierung

Die Digitalisierung führt zu vielen neuen rechtlichen Fragen. Ein Überblick, wo Unternehmen Klarheit schaffen müssen – soweit das heute möglich ist.

Nicole Beranek Zanon ist Rechtsanwältin und Partnerin bei de la cruz beranek Rechtsanwälte AG.

Digitalisierung, Industrie 4.0 oder Internet der Dinge: Wie auch immer die Megatrends unserer Zeit heissen, sie sind Ausprägungen des gleichen Entwicklungsprozesses, der versucht, die IT im Produktionsprozess zu verzahnen.

Ziel ist, dass Produkte, Maschinen, Anlagen und ganze Logistiksysteme nicht nur mit Menschen, sondern auch untereinander eigenständig kommunizieren und zusammenarbeiten. Die Digitalisierung soll menschliche Handlungen unterstützen, kann diese aber auch teilweise ersetzen. Daraus ergeben sich neue rechtliche Fragen in den unterschiedlichsten Gebieten – etwa im Bereich Datenschutz, IT-Sicherheit oder dem Eigentum der Daten. Aber auch Fragen wie: Wer haftet, wenn ein Vertrag durch eine Maschine abgeschlossen oder bestätigt wurde? Fallen Hersteller von «intelligenten» Autos unter das Fernmelderecht?

Eigentum von Big Data

Artificial Intelligence (AI), Deep Learning und Advanced Machine Learing verwenden neuronale Netze, um menschenähnliche Intelligenz nachzubilden und Maschinen eigenständig Probleme lösen zu lassen. Eine sehr wichtige Voraussetzung dafür sind grosse Datenmengen. Mit einem Smart Grid beispielsweise senken die Stromanbieter nicht nur die Kosten, sondern erhöhen auch die Netzstabilität. In der Logistik können automatisch Informationen darüber ausgetauscht werden, welche Ersatzteile und Produkte benötigt werden. Die dafür verwendeten Daten sind also sehr wertvoll, doch wem gehören sie eigentlich?

Sachenrechtlich gibt es kein Eigentum an Daten.

Zwar stellte Nationalrat Jean Christophe Schwaab schon 2014 im Zusammenhang mit dem Konkursrecht und Computerdaten die Anfrage an den Bundesrat, wie denn im Konkurs des Providers mit fremden Daten zu verfahren sei und ob es dazu nicht neue Konzepte brauche. Letzteres verneinte der Bundesrat damals zu Unrecht. Hat der Anbieter von Strom in diesem Beispiel massive Erkenntnisse aus den Daten des Konsumenten gewinnen können, so kommt dies einzig dem Anbieter zugute, nicht jedoch direkt dem Konsumenten. Gleich verhält es sich z. B. mit Software, die auf AI aufgebaut ist: Sie führt Daten aus Datenbearbeitungen des Kunden zurück an den Hersteller und ermöglicht es der Software, aufgrund der zunehmenden Datenbestände zu lernen.

Vertragliche Regelung

Eine solche Rückführung von Daten sollte vertraglich geregelt werden. Es muss klar sein, wem der Erkenntnisgewinn als Immaterialgut «anwächst» und wie mit Personendaten umzu­gehen ist. Eine nachträgliche Aussonderung solcher Daten ist nämlich oft technisch die auch Personendaten sein können – nicht selten an den Anbieter übertragen. Ein Beispiel dafür ist die Information, wann mehr oder weniger Strom verbraucht wird, die zusammen mit der Adresse des Konsumenten vorliegt. Die Daten können sich unter Umständen sogar zu einem Persönlichkeitsprofil zusammenfügen, da sie über wesentliche Umstände einer Persönlichkeit Aufschluss geben. In diesem Fall müssen entsprechend die schweizerischen und unter Umständen auch die EU-Datenschutzgrundsätze eingehalten werden. Die Übertragung an Dritte muss mit administrativen, organisatorischen und technischen Massnahmen begleitet werden und der Export ins Ausland darf nur erfolgen, wenn ein gleichwertiges Datenschutzniveau oder ein anderer diesbezüglich gesetzlich vorgesehener Rechtfertigungsgrund vorliegt. Nicht zu vergessen ist die Einhaltung von Berufsgeheimnissen wie das Banken-, Anwalts- oder z. B. Arztgeheimnis. Aus urheberrechtlicher Sicht kann eine Zusammenstellung von Daten, wie die Daten, die zum Hersteller zurückgeführt werden, unter Umständen schutzwürdig sein. Dies ist der Fall, wenn es sich um eine ganze Datenbank handelt, die in der EU urheberrechtlichen Schutz geniesst.

IoT: Datensicherheit

Praktisch alles lässt sich heute mit dem Internet verbinden. Um beim Beispiel Strom zu bleiben: Lampen können vernetzt und über eine App gesteuert werden. Der Hersteller weiss dadurch, in welchen Räumen die Lampen leuchten. Somit stehen hier datenschutzrechtliche Themen im Vordergrund, insbesondere die Datensicherheit. Die vernetzten Dinge weisen oft Sicherheitslücken auf und sind ein einfaches Ziel für Hacker. Ist das etwa bei einem elektrischen Garagentor der Fall, besteht nicht nur ein virtuelles Sicherheitsproblem, sondern auch ein physisches: Das Tor wird zum offenen Eingang für Einbrecher. Datenschutzverletzungen müssen inskünftig auch in der Schweiz an den Eidgenössischen Datenschutzbeauftragten und die Kunden gemeldet werden. An Letztere aber nur, wenn ein Risiko der Persönlichkeitsverletzung weiterhin besteht. Weitere Fragen ergeben sich durch die Vernetzung mit SIM-Karten. So können z. B. SIM-Karten in Autos dem Datentransfer zum Automobilhersteller dienen, aber auch den Zwecken des Halters, z. B. für die Navigation oder zur Sprach- und Bildübertragung. Damit stellt sich unmittelbar die juristische Frage, ob der Automobilhersteller, wenn er die SIM-Karte oder den Dienst an den Halter mit verkauft, zum Fernmeldedienstanbieter wird, der den regulatorischen Vorgaben des Fernmelderechts unterliegt.

Verträge mit VR

Mit virtuellen Datenbrillen lässt sich mittlerweile online einkaufen. Alibaba ermöglicht zum Beispiel, Einkäufe durch Kopfnicken zu bestätigen. Rechtlich stellt sich dabei die Frage, ob dies als Vertragsabschluss unter An- oder unter Abwesenden zu qualifizieren ist. Die gleiche Frage stellt sich beim Vertragsabschluss via Skype (z. B. im Rahmen des Finma-Rundschreibens zur Onlineidentifikation betreffend der Geldwäschereivorgaben). Dies ist deshalb relevant, weil die Interpretation über das Zustandekommen des Vertrags davon abhängt. Ebenso hängt davon der rechtzeitige Zugang eines Widerrufs ab. Werden die Gesten aufgezeichnet oder dienen sie gar zur Onlineidentifikation, so bearbeitet der Anbieter zudem biometrische Daten. Dieser Vorgang unterliegt bereits unter der bestehenden Gesetzgebung erhöhten Anforderungen. Dies wird sich auch nach dem Vorentwurf des Schweizerischen Datenschutzgesetzes wie auch der EU DSGVO nicht ändern – im Gegenteil, sie sind eine eigene Kategorie von Personen­daten mit qualifizierten Anforderungen.

Auflagen für Bitcoin-Handel

Die Blockchain-Technologie ist die Grundlage für etliche Kryptowährungen wie Bitcoin, hat aber darüber hinaus ein grosses Potenzial für andere Transaktionen, sofern man in den nächsten Jahren die technischen Limiten zu meistern vermag. Die Frage, ob der Handel von Krypto­währung und dessen Umwandlung unter die Finanzdienstleistungen fällt, ist heute gelöst. So erfordern gewisse Handelstätigkeiten mit Bitcoins eine Bankenbewilligung, nämlich dann, wenn Kunden im Rahmen der Geschäftstätigkeit Geld auf eigenen Konten entgegennehmen. Dasselbe gilt für Anbieter, die von Kunden Bitcoins annehmen und für Kunden Bitcoin-Guthaben führen.

Source: computerworld.ch