DSGVO - Gefahr für Patent- und Markenanwaltskanzleien? - August 2018 Dirk Spacek, Rechtsanwalt, Dr.iur., LL.M. Sommeranlass, Verband Schweizer ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DSGVO – Gefahr für Patent- und Markenanwaltskanzleien? 24. August 2018 Dirk Spacek, Rechtsanwalt, Dr.iur., LL.M. Sommeranlass, Verband Schweizer Patentanwälte, Vevey (VD)
DSGVO – Einstieg und Aufmunterung
– 24. Mai 2018: Anruf US-Client (Cross-Border-Online-
Business):
– «Have you heard of a thing called GDPR»?
– «Yes»
– «Is it relevant to me»?
– «Yes»
– «What’s it about»?
– Quick Summary…
– «Oh, sounds like a terrible nightmare. How long do we have to
implement this?»
– Amusant... Nun die Frage: Machen wir Anwälte das selber besser?
Sommeranlass, Verband Schweizer 24.08.2018 2
Patentanwälte, Vevey (VD)Sommeranlass, Verband Schweizer 24.08.2018 3 Patentanwälte, Vevey (VD)
DSGVO – «quick summary» (1)
– Die Europäische Datenschutzrichtlinie 95/46 EC ist durch die neue Europäische Datenschutzgrundverordnung
(«DSGVO») ersetzt worden;
– DSGVO ist in den EU-Mitgliedstaaten direkt anwendbar (keine Richtlinie mehr);
– Aber: 69 Öffnungsklauseln für Mitgliedstaaten;
– Seit 25. Mai 2018 in Kraft (keine «grace period»);
– Nobody is perfect. Prioritäten setzen. 1) Aussenwirksame Schritte. 2) Interne Umsetzungsschritte brauchen mehr Zeit (Ingangsetzung ist immerhin ein
Sorgfaltsnachweis).
– Sachlicher Geltungsbereich: «Ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten»
oder «nichtautomatisierte Verarbeitung personenbezogener Daten mit Speicherung in Dateisystem» (≠ juris-
tische Personendaten wie im geltenden DSG) (Art. 2 DSGVO);
– Örtlicher Geltungsbereich: EU. Extraterritorialer Geltungsbereich (auch für Tätigkeiten in der Schweiz);
– Filialen, Tochtergesellschaften, Zweigniederlassungen in EU (DSGVO gilt für Ableger);
– Angebot von Dienstleistungen/Waren an in der EU ansässige Personen als Verantwortlicher oder Bearbeiter (Staatsbürgerschaft in der EU ist nicht
ausschlaggebend: Grenzgänger aus EU, der z.B. hier arbeitet, kann sich ggü. Arbeitgeber nicht auf die DSGVO berufen);
– Beobachtung von Verhalten von in der EU ansässigen Personen (z.B. Website-Tracking).
– Verbotsregime mit Erlaubnisvorbehalt (Erforderlich zur Vertragserfüllung, Wahrung überwiegender eigener
berechtigter Interessen, Einwilligung) (Art. 6 Abs. 1 DSGVO);
Sommeranlass, Verband Schweizer 24.08.2018 4
Patentanwälte, Vevey (VD)DSGVO – «quick summary» (2)
– Strikte und freie Einwilligungsform: Frei erteilte, spezifische, informierte und eindeutige Einwilligung;
«Koppelungsverbot» (keine Einwilligung zu zweckfremden Datennutzungen; Art. 7 Abs. 1, 2 DSGVO),
jederzeitige Widerrufbarkeit Einwilligung (Art. 7 Abs. 3 DSGVO);
– Verantwortlicher («Controller») vs. Bearbeiter («Processor»): Direkte Verantwortlichkeit des Daten-
bearbeiters sowie Anforderungen an Verantwortliche für Einbezug von Bearbeitern (Inhalte für Data
Processing Agreements) (Art. 28 DSGVO);
– Benachrichtigungen über Datenschutzverletzungen («data breach notifications») (Art. 33, 34 DSGVO);
– Verantwortlicher: Meldung innert 72 Stunden an Aufsichtsbehörde, ausser tiefes Risiko für Rechte der Betroffenen; in Hochrisikoszenarien auch
Betroffene informieren;
– Bearbeiter: Muss unverzüglich ab Kenntnisnahme dem Verantwortlichen mitteilen (bereits Standard in vielen IT-Verträgen).
– Automatisierte Entscheidungen inkl. «Profiling» mit Rechtswirkungen oder erheblicher Beeinträch-
tigung Betroffener – Interventionsrecht Betroffener («Menschliches Gehör») (Art. 22 DSGVO);
– Sicherheit Datenverarbeitung (Art. 32 DSGVO). Privacy by Design; Privacy by Default (Art. 25 DSGVO);
→ Technisch-Organisatorische Voreinstellungen; Datenschutzfreundliche Grundeinstellungen;
– Informationspflicht: Betroffene Personen müssen in präziser, transparenter, verständlicher und leicht
zugänglicher Form über die Verarbeitung ihrer Daten und Rechte informiert werden (Art. 12 DSGVO);
Art. 13 DSGVO gibt über ein Dutzend Punkte wieder.
Sommeranlass, Verband Schweizer 24.08.2018 5
Patentanwälte, Vevey (VD)DSGVO – «quick summary» (3)
– Data Governance/Datenschutzmanagement (Accountability):
– Datenverarbeitungsverzeichnis: Verantwortlicher muss jede einschlägige Verarbeitung, welche Daten, für
welche Zwecke, mit welchen Mitteln und unter welcher Verantwortung, sowie Sicherheit der Datenverarbei-
tung durch angemessene organisatorische und technische Massnahmen dokumentieren können) (Art. 30, 32
DSGVO);
– Zweck Verarbeitungsverzeichnis:
– 1) Wissen wo was ist: «Gap Analysis» zwecks «remedial steps».
– 2) Basis für Betroffenenrechte. Wer nicht weiss, wo Daten liegen, kann Anfragen/ Begehren nicht realistisch beantworten.
– Bestimmung eines Vertreters in der EU (Art. 27 DSGVO);
– Bestimmung eines (unabhängigen) Datenschutzbeauftragten (Art. 37 DSGVO);
– Durchführung von Datenschutz-Folgenabschätzungen, wenn beabsichtigte Datenverarbeitung hohe Risiken
mit sich bringt. Ergibt Prüfung hohe Risiken für Betroffene, muss Aufsichtsbehörde konsultiert werden.
– Risikobasierte «Milderungen»:
– Keine Verarbeitungsverzeichnisse erforderlich, wenn 1) Unternehmen mit weniger als 250 Angestellten, 2) Datenverarbeitung mit tiefen Risiken, 3) nur gelegentliche
Datenverarbeitung, 4) keine sensitiven Daten verarbeitet und 5) keine Datenverarbeitung bez. Strafregisterinformationen;
– (Unabhängiger) Datenschutzbeauftragter nicht erforderlich, wenn 1) Kernaktivität nicht in Datenbearbeitung und systematischem Monitoring Betroffener liegt oder
2) besonders schützenswerte (sensitive) Daten verarbeitet werden;
– Bestellung eines Vertreters in der EU nicht erforderlich, wenn Datenbearbeitung sich auf gelegentliche, in kleinem Umfang durchgeführte Datenverarbeitung bezieht;
– Datenschutzverträglichkeitsprüfungen nicht erforderlich, wenn beabsichtigte Datenverarbeitung nicht hohe Risiken für Betroffene mit sich bringt.
Sommeranlass, Verband Schweizer 24.08.2018 6
Patentanwälte, Vevey (VD)DSGVO – «quick summary» (4)
– Sanktionen: Verstösse gegen die DSGVO können mit Bussgeldern von bis zu EUR 20’000’000
oder 4% des weltweiten Jahresumsatzes sanktioniert werden (je nachdem, welcher Betrag
höher ist).
– Verhängte Geldbussen müssen gemäss DSGVO «wirksam, verhältnismässig und abschreckend» sein (Zielunternehmen: Facebook, Google,
Samsung – bei KMUs sollte der Strafrahmen nicht ausgeschöpft werden);
– Aufsichtsbehörden haben noch weitere Befugnisse: «Anweisungen und Untersuchungen» (Art. 58 DSGVO).
– Schweiz:
– DSG wird ebenfalls revidiert;
– Entwurf für E-DSG liegt vor und übernimmt zahlreiche Punkte der DSGVO (aber nicht alle);
– Inkrafttreten nicht vor 2020 zu erwarten;
– DSGVO-Compliance-Arbeit lohnt sich darum auch für Schweizer Unternehmen längerfristig…
Sommeranlass, Verband Schweizer 24.08.2018 7
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Welche Daten auf Mandantenseite werden bei Patent- und Markenrechtskanzleien
(P&MR-Kanzleien) überhaupt erhoben?
– Private Client: Namen, Adresse, E-Mail, Telefonnummer (Zivilstand, Geburtsdatum, Kontoverbindung,
«Personal Dispute Story» [kann auch sensitive Daten enthalten oder als Persönlichkeitsprofil qualifi-
zieren]).
– Überwiegend personenbezogene Daten natürlicher Personen (im Schutzbereich der DSGVO).
– Corporate Client: Unternehmensangaben, Unternehmensvertreterdaten und Mitarbeiterdaten,
Zahlungsverbindungsdaten, Business Daten (Geschäftsgeheimnisse).
– IP- Spezifisch: Patent: Technologie für Erfindungsanmeldung und Abklärungen, Erfinderdaten (natürliche Person).
– IP-Spezifisch: Marken: Produkt- und Dienstleistungsdaten zwecks Erstellung Waren- und Dienstleistungsverzeichnis.
– Überwiegend juristische Personendaten (nicht im Schutzbereich der DSGVO, aber noch im Schutzbereich des DSG).
– Grauzone: Start-ups im jüngsten Stadium (Private/Corporate)? → Selbstschutz: Gesellschaftsgründung
genug früh nahelegen.
Sommeranlass, Verband Schweizer 24.08.2018 8
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Was geschieht mit von Mandanten erhobenen Daten?
– Automatisierte und Nichtautomatisierte Verarbeitung und Speicherung in Dateisystem.
– Verarbeitung = Datenauswertung/Analyse für Legal Opinions, Freedom To Operate (FTO)-
Analysen, Ausarbeitung Patentanmeldungen, Verfassung Rechtsschriften (Prozessführung).
– Cross-Border Data Transfers: Weiterleitung an ausländische Ämter (z.B. Europäisches Patent-
amt München). Weiterleitung an ausländische Korrespondenzanwälte (z.B. bei Cross-Broder
Litigation).
Sommeranlass, Verband Schweizer 24.08.2018 9
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Ist die DSGVO auf Schweizer P&MR-Kanzleien territorial anwendbar?
– Grundsätzlich Ja, wenn in EU sesshafte natürliche Personen adressiert oder bedient werden (Art. 3
Abs. 2 lit. a. DSGVO).
– Offensichtlich beabsichtigtes Angebot (wird in der EU grosszügig ausgelegt);
– Auch kostenlose Angebote sind Angebote (z.B. kostenlose E-Books, Whitepapers, E-Mail-Newsletter);
– Auch Tätigkeit für Korrespondenzanwälte kann darunterfallen, wenn Einbezug in ausl. Klientenbewirtschaftung.
– Ja, wenn Filialen, Tochtergesellschaften in der EU (z.B. für Ableger internationaler Anwaltskanzleien).
– Ja, wenn Beobachtung von Personenverhalten in der EU.
– Anknüpfungspunkt 1: Kontaktformulare (Anfragen), Anmeldungen für Newsletter, Broschüren, Legal Guidelines.
Personendaten werden erhoben, gespeichert und verarbeitet.
– Anknüpfungspunkt 2: Aufzeichnung von Aktivitäten im Internet mit Möglichkeit, Persönlichkeitsprofile zu
erstellen: Cookies-Tracking Nutzung von Websites/Apps oder Einsatz von z.B. Google Analytics.
Sommeranlass, Verband Schweizer 24.08.2018 10
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Anknüpfungspunkt 2: Beobachtung Personenverhalten in der EU: Massnahmen
auf Website treffen um Anknüpfungspunkt zu vermeiden!
– Google Analytics DSGVO-konform einsetzen: IP-Adressen-Anonymisierungsfunktion;
– Keine Word Press Plugins oder Social Media Buttons einsetzen (die im Hintergrund Daten an Dritte
weitergeben);
– Newsletter/E-Mail-Marketing: Vorgängiges Opt-in. Jederzeitiges Opt-Out. Double Opt-in «best
practice».
– Ergibt sich nicht nur aus dem Datenschutz (DSGVO/DSG), sondern auch aus Art. 3 Abs. 1 lit. o. UWG (Anti-
SPAM-Bestimmung).
– → viele Anwaltskanzlei-E-Mails am/vor 25. Mai 2018… («I would like to stay in touch»-Klick Button).
– Adequate Verschlüsselung von Kommunikationswegen via Website (Kontaktformulare/E-Mail):
SSL-Zertifikat/HTTPS-Verschlüsselung nahegelegt (de facto Standard für Firmenwebsites).
– Auftragsdatenverarbeitungsverträge (Data Processing Agreements) mit Anbietern abschliessen
(Google oder Z.B. Marketing-Firmen, die E-Mail-Marketing und Kampagnen im Auftrag vornehmen).
Sommeranlass, Verband Schweizer 24.08.2018 11
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Wo/Wie/Wann lassen sich Datenschutzthemen mit Mandanten überhaupt regeln?
– Datenschutz beginnt schon vor dem ersten Mandantengespräch.
– Nicht nur Anwalt in personam ist an Einhaltung der DSGVO gebunden:
– Gesamtes Personal sowie Outsourcing-Partner (z.B. Freelancer, Sachverständige). → Schulung/Sensibilisierung
sowie Verpflichtung Mitarbeiter zur Einhaltung datenschutzrechtlicher Prinzipien. Nur Datenverarbeitung «as
needed» für erkennbare Zwecke des Auftrags.
– Ausrichtung Kanzleisoftware auf Datenschutzerfordernisse:
– Datensicherheit, Lebenszyklus, Recht auf Löschung oder Einschränkung Daten, wenn Zweckerreichung, unrecht-
mässig/falsch, Widerruf (Art. 17, 18 DSGVO).
– Informationspflichten. Betroffene Personen müssen in präziser, transparenter, verständlicher und leicht
zugänglicher Form über die Verarbeitung ihrer Daten und Rechte informiert werden (Art. 12 DSGVO).
– Datenschutzerklärung (= Einseitige Information anvisierter Datenbearbeitungen). I.d.R. auf Website abrufbar.
– Kontaktformulare: → Einbinden/Link zu Datenschutzerklärung («zur Kenntnis genommen»).
– Mandatsverträge (Engagement Letter). Problem: Jederzeitige Widerrufbarkeit von Einwilligungen im Datenschutz-
bereich ist ungünstig für Planbarkeit (besser nicht im Vertrag, sondern «verstanden», «zur Kenntnis genommen»).
Sommeranlass, Verband Schweizer 24.08.2018 12
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Rechtsanwalt als Berufsgeheimnisträger (Art. 321 StGB).
– Patentanwalt als Berufsgeheimnisträger (Art. 10 Patentanwaltsgesetz, PAG).
– Berufsgeheimnis = Schärferer Regulierungsansatz als Datenschutzerlasse (absolutes Verbot, wenig
Rechtfertigungsgründe und Abwägungsspielräume für Datenpreisgabe).
– Datenschutzverletzungen sind bei Anwälten weniger wahrscheinlich, zumal Datenhandhabung bereits sehr restriktiv
reguliert wird.
– Keine Untersuchungsbefugnisse von Aufsichtsbehörden gegenüber Berufsgeheimnisträgern.
– In der Schweiz ggü. DSGVO-Behörden aufgrund mangelnder Territorialität.
– Ggü. Schweizer Behörden aufgrund von Art. 27 Abs. 3 DSG i.V.m. Art. 16 Abs. 2 und 13 Abs. 1bis VwVG.
– Mitteilung an ausl. Anwälte/Behörden: Allgemeine Grundsätze der Datenübermittlung (Art. 44
DSGVO; dito Art. 6 DSG): «Angemessenes Schutzniveau» im Empfangsstaat erforderlich.
– «Angemessenes Schutzniveau» auslegungsbedürftig im Einzelfall.
– EU-Kommissionsbeschlüsse zu spez. Ländern (USA nur, wenn Empfänger dem Privacy Shield angehört). CH: Liste von
Ländern mit angemessenem Datenschutz des EDÖB.
– Beschlüsse & Liste sind nur indikativ.
– Lässt sich mit dem strafbewehrten Berufsgeheimnis des Empfängers ein «angemessenes Schutzniveau» begründen?
– Achtung! Wohin geht eine E-Mail unverschlüsselt an Drittempfänger? (Stichwort: Verschlüsselung «in transit»).
Sommeranlass, Verband Schweizer 24.08.2018 13
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– Outsourcing von dem Anwaltsgeheimnis unterliegenden Daten an Cloud-Provider (z.B.
E-Mail-Archiving-Cloud):
– Achtung! Nicht nur die DSGVO sagt etwas dazu.→ Art. 321 StGB (Berufsgeheimnis).
– Ist die Auslagerung einer Datenbearbeitung strafbar gem. Art. 321 StGB (Offenbarung
an einen Dritten als Verletzung des Berufsgeheimnisses)?
– Gutachten Prof. Wolfgang Wohlers (öffentlich zugänglich): Art. 321 StGB verdrängt Anwendung des
DSG. Outsourcingnehmer ist keine Hilfsperson des Berufsgeheimnisträgers und gehört auch nicht zum
«Kreis der zum Wissen Berufenen». Offenbarung nur zulässig, wenn Daten verschlüsselt und auch nicht
zugänglich für Outsourcingnehmer selbst sind oder konkrete/unmissverständliche Einwilligung durch Ge-
heimnisherr.
– Andere Gutachten mit abweichenden Meinungen (nicht öffentlich zugänglich): Kein grundsätzliches
Verbot, wenn Auslagerung Vertraulichkeitsinteressen der Geheimnisherren fördert (wenn gleich gute
oder sogar bessere Vertraulichkeit gewährleistet wird). Zahlreiche Massnahmen empfohlen.
– Bislang keine höchstrichterliche Rechtsprechung zur Beantwortung der Frage.
Sommeranlass, Verband Schweizer 24.08.2018 14
Patentanwälte, Vevey (VD)DSGVO – Für P&MR-Anwaltskanzleien
– DSGVO-praktische Relevanz für IP-Anwaltskanzleien bis
jetzt wohl eher gering, weil:
– Überwiegend Unternehmensdaten (juristische Personendaten, nicht
natürliche Personendaten).
– Anwaltsgeheimnis, d.h. restriktive Datenhandhabung ist bereits eta-
bliert und wird bestärkt mit Editionsverweigerungsrecht.
– Datenübermittlungen ins Ausland in (i) Länder mit adäquatem Daten-
schutz an (ii) vergleichbar regulierte Berufsgeheimnis- oder Amtsträ-
ger wohl meistens statthaft.
– Aber: Datenschutz bleibt im Mandatsverhältnis zu natürlichen Perso-
nen immer kumulativ anwendbar! Wichtigste Massnahmen bleiben
empfohlen (Datenschutzerklärung, Umsetzung Datensicherheits-
standards, geordnete Datenablage zur Wahrung Betroffenenrechte).
Sommeranlass, Verband Schweizer 24.08.2018 15
Patentanwälte, Vevey (VD)Fragen?
– Vielen Dank für die Aufmerksamkeit!
Sommeranlass, Verband Schweizer 24.08.2018 16
Patentanwälte, Vevey (VD)Sie können auch lesen
