- Diese Veranstaltung hat bereits stattgefunden.
IT-Juristinnentag 2022
2. September 2022, 8:30–17:00
08.30–09.00 Uhr | Welcome-Time – Anmeldung, Kaffee & Croissants
09.00–09.15 Uhr | Eröffnung durch Nicole Beranek Zanon und Caroline Gaul
im Anschluss: Abstimmung und Session-Planung
Es finden zeitgleich mehrere Sessions statt:
10.30–11.15 Uhr | 1. Session-Slot
11.20–12.05 Uhr | 2. Session-Slot
Es finden zeitgleich mehrere Sessions statt:
13.50–14.35 Uhr | 3. Session-Slot
14.40–15.25 Uhr | 4. Session-Slot
Fingerfood und Wein
SESSION IDEEN 2022
Tauchen Sie ein in die Welt des IT-Rechts beim IT-Juristinnentag! Unter dem BarCamp-Format, das für offenen Austausch und spontane Begegnungen steht, sind die Inhalte aufregend unbekannt und entspringen den kreativen Köpfen unserer TeilnehmerInnen.
Vielleicht sind Sie noch neu im BarCamp-Universum? Keine Sorge! Einige TeilnehmerInnen haben bereits spannende Session-Ideen enthüllt, um Ihnen einen Vorgeschmack auf das innovative «Session-Angebot» zu geben.
Nicht genug? Dann werden Sie selbst zum Impulsgeber! Sie sind herzlich eingeladen, Ihre eigenen Session-Ideen mitzubringen und mit renommierten KollegInnen auf hohem Niveau zu diskutieren. Ihre Ideen könnten das Highlight des Tages sein – und wir sind begeistert, sie im Voraus zu präsentieren. Kontaktieren Sie uns einfach.
Bitte beachten Sie: Die hier vorgestellten Sessions sind noch in der Schwebe; sie müssen in der Sessionplanung von den TeilnehmerInnen ausgewählt werden.
Sie fragen sich, ob Sie mehr als eine Session vorstellen können? Natürlich können Sie das! In der freien Atmosphäre eines BarCamps sind Ihrer Kreativität keine Grenzen gesetzt. Bringen Sie ruhig mehrere Session-Ideen mit
HIER SIND DIE SESSION-VORSCHLÄGE 2022
Rechtliche Aspekte rund um und im Metavers. Welche rechtlichen Themen sind aus Sicht IT-Recht und Datenschutz zu adressieren? Wo geht die Reise hin.
RA lic. iur. Nicole Beranek Zanon
Nicole Beranek Zanon ist als Rechtsanwältin und Notarin, Exec. MBA HSG, CIPP/E, Lead Auditorin ISO 27001 “digital @ heart”. Als Partnerin von HÄRTING Rechtsanwälte AG, Zug, ist Datenschutz und IT-Security Ihr Fokusthema. Nebst Ihrer Tätigkeit als Anwältin ist sie im GLA der Forschungsstelle Informationsrecht der Universität St. Gallen sowie Dozentin an der FHNW und Universität St. Gallen (CAS DPO).
HÄRTING Rechtsanwälte AG (www.haerting.ch) in Zug (und Berlin), ist eine auf Informations-, Kommunikations- und Technologie-Recht fokussierte Wirtschaftsanwaltskanzlei. Sie berät Start-Ups wie auch börsenkotierte Unternehmen in Datenschutzthemen, Security, Cloud, Outsourcing und neuen Technologien wie KI und DLT.
Nunmehr über 4 Jahren nach Geltung der DSGVO hat sich die Diskussion um die Grenzen und den Umfang des Auskunftsanspruchs nach Art. 15 DSGVO zugespitzt. Nicht nur zahllose Gerichte haben sich bereits mit dem Inhalt und der Reichweite des Art. 15 DSGVO beschäftigt. Auch für die Praxis ist die ewige Diskussion nicht nur ermüdend, sondern sorgt für Rechtsunsicherheit. Insbesondere in Versicherungs- und Anstellungsverhältnissen sehen sich die Verantwortlichen mit erheblichen Herausforderungen konfrontiert. Was muss herausgegeben werden? Was ist eine „Datenkopie“? Hat der Betroffenen Anspruch auf Herausgabe der gesamten Akte? Nun soll der EuGH für mehr Klarheit sorgen und der Diskussion ein Ende bereiten. Welche Entscheidung zu erwarten ist und was sich für die Praxis ändern wird, gilt es gemeinsam zu diskutieren.
Seda Dinc
Seda Dinc ist Rechtsanwältin in der Kanzlei HÄRTING Rechtsanwälte in Berlin und spezialisiert im Fachgebiet eCommerce und Datenschutzrecht.
Wir sind heute regelmässig mit Werbung konfrontiert, die uns aufgrund unserer Bewegungen im Internet oder der Nutzung von Apps angezeigt wird. Die Idee dahinter: Usern soll nur noch Werbung angezeigt werden, die sie tatsächlich interessiert. Der Preis dafür: unsere Daten! Nicht nur der Datenschutz befasst sich mit der Frage, wie sich diese beiden Pole vereinbaren lassen, sondern auch neuere Bestrebungen in der EU. Insbesondere der Digital Services Act sieht neue Regelungen in Bezug auf Transparenz bei personalisierter Werbung vor. So soll Usern in Echtzeit angezeigt werden, dass sie Werbung sehen, warum sie Werbung sehen und von wem/für wen die Werbung angezeigt wird. In die Anzeige solcher Werbung willigen die User durch Nutzung einer Plattform oder Zustimmung zu den AGB des jeweiligen Plattformanbieters ein. Ich möchte mit euch diskutieren, ob sich die Einwilligung zukünftig noch als Rechtfertigung durchsetzt, was ihr von diesen zusätzlichen Informationen, die User erhalten denkt, und welche Lösungen wir uns für diese scheinbar gegensätzlichen Interessen ausdenken können.
Dr. Rehana C. Harasgama
Rehana Harasgama verfügt über mehr als zehn Jahre Erfahrung im Schweizer und internationalen Datenschutzrecht. Sie berät Klienten in komplexen Fragen des Datenschutzes, wie z.B. umfassendes Data-Mapping, Datenschutzrisikobewertungen und -audits, umfangreiche grenzüberschreitende Datenbekanntgaben, die Einführung und Umsetzung von Privacy-by-Design in neuen Technologien und Geschäftsmodellen, die Umsetzung von Prozessen zur Meldung von Datenschutzverletzungen und den Umgang mit persönlichen Daten von Mitarbeitenden. Rehana Harasgama ist Dozentin an der Universität St. Gallen (HSG). Rehana Harasgama promovierte in Rechtswissenschaften an der Universität St. Gallen, wo sie an einem internationalen und interdisziplinären Forschungsprojekt «Remembering and Forgetting in the Digital Age» mitwirkte.
Mit der neuen elektronischen Identität (E-ID) sollen sich Nutzerinnen und Nutzer künftig sicher, schnell und unkompliziert digital ausweisen können. Nachdem der erste Gesetzesentwurf vom Volk abgelehnt wurde, hat der Bundesrat am 29. Juni 2022 die Vernehmlassung zum neuen E-ID-Gesetz eröffnet. In der Session diskutieren wir den neuen Entwurf aus datenschutzrechtlicher Sicht. Es stellen sich unter anderem die Fragen, wie die Kontrolle über die eigenen Daten gewährleistet wird (Self-Sovereign Identity) und ob und wie die datenschutzrechtlichen Prinzipien Privacy by Design und Datensparsamkeit genügend berücksichtigt werden.
Anna Kuhn, MLaw, Rechtsanwältin, CIPP/E
Anna Kuhn ist Datenschutzberaterin bei SWITCH. Sie berät das Unternehmen in datenschutzrechtlichen Fragen, leitet die Umsetzung des revidierten Datenschutzrechts sowie den Aufbau eines internen Datenschutz-Management-Systems (DSMS). Weiter leitet sie den Consulting Dienst SWITCHlegal, mit welchem Schweizer Hochschulen in ICT-rechtlichen Fragen beraten werden. Vor dieser Tätigkeit war sie als General Counsel für die Rechtsabteilung von SWITCH verantwortlich.
«Fernmeldetechnische Übertragung von Informationen für Dritte» – so lautet die Definition von Fernmeldediensten. Im Threema-Urteil vom 29. April 2021 (BGer 2C_544/2020 ) stellt das Bundesgericht klar, dass OTT-Dienstanbieterinnen nicht als Fernmeldedienstanbieterinnen unter dem BÜPF gelten. Anders hingegen die Botschaft zum revidierten FMG, diese qualifiziert OTT-Dienstanbieterinnen als Fernmeldedienstanbieterinnen. In dieser Session soll die unterschiedliche Auslegung unter dem BÜPF und FMG sowie deren praktische Relevanz (Mitwirkungspflichten von Anbieterinnen von Fernmeldediensten und abgeleiteter Kommunikationsdienste: Auskunfts- und Überwachungspflichten, Verschlüsselung sowie Speicherung von Randdaten) besprochen werden.
Annemarie Lagger
Annemarie Lagger ist als Rechtsanwältin bei Walder Wyss tätig und berät Unternehmen in allen Bereichen des IT-Rechts. Neben Outsourcing und E-Commerce Projekten unterstützt sie Unternehmen bei Vertragsverhandlungen und regulatorischen Fragen im Zusammenhang mit Produktlancierungen. Einen besonderen Fokus legt sie auf IT-rechtliche Fragen im Bereich Life Sciences.
Annemarie Lagger studierte Rechtswissenschaften an der Universität St.Gallen und International Affairs and Governance an den Universitäten Genf, Singapur und St. Gallen. Vor ihrer Zeit bei Walder Wyss war sie für NGOs in Kanada und Ghana tätig und arbeitete in der Rechtsabteilung einer Massengutreederei in Hamburg. Das Anwaltspatent erhielt sie im Jahr 2017. Annemarie Lagger publiziert regelmässig und macht den ICT-Podcast von Walder Wyss.
Neu enthält der revidierte Text des Bundesgesetzes über den Datenschutz („nDSG“) in Art. 3 eine explizite Regelung zum räumlichen Geltungsbereich.
Art. 3 Abs. 1 nDSG behandelt die Frage, inwieweit die öffentlich-rechtlichen Bestimmungen des nDSG Anwendung auf Sachverhalte finden sollen, selbst wenn sie im Ausland veranlasst werden. Art. 3 Abs. 2 nDSG behandelt demgegenüber die Anwendung der privatrechtlichen Bestimmungen des nDSG im internationalen Verhältnis. Da Art. 3 Abs. 2 nDSG auf das internationale Privatrecht verweist und diesbezüglich gilt, was schon bisher galt, lässt u.E. die offene Formulierung in Art. 3 Abs. 1 nDSG die Frage offen, inwiefern, insbesondere in einer im Konzern auf diverse internationale Gruppengesellschaften aufgeteilte Datenverarbeitungen, die öffentlich-rechtlichen Bestimmungen des nDSG auch im Ausland zur Anwendung kommen lassen. Zwar ist auch unter dem geltenden DSG unbestritten, dass die öffentlich-rechtlichen Bestimmungen einen extraterritorialen Anwendungsbereich haben, dennoch ist der neue Art. 3 Abs. 1 nDSG auszulegen und zu konkretisieren. Pragmatische Lösungen sind gefragt, um zu bestimmen, welche ausländischen Gesellschaften bei der Bearbeitung das nDSG beachten müssen.
Anlässlich des Vortrags wird ein kurzer Überblick über Art. 3 Abs. 1 nDSG verschafft, dann werden Lösungen vorgestellt, wie eruiert werden kann, welche Datenbearbeitungen im Ausland dem nDSG unterstehen und die Gruppe wird um Input gebeten.
Johanna A. Moesch
Johanna Moesch ist Rechtsanwältin bei Baker McKenzie. Sie praktiziert in Zürich und ist spezialisiert in den Bereichen IT-Recht (einschliesslich Datenschutz und Outsourcing) sowie E-Commerce. Sie begleitet in- und ausländische Unternehmen insbesondere bei der Ausarbeitung rechtlicher Dokumente in diesen Gebieten (wie Verträge, Datenschutzerklärungen, etc.), bei Transaktionen, Compliance-Fragen und in Untersuchungen.
Viele Menschen möchten Home-Office nicht mehr hergeben. Insbesondere bei FINMA regulierten Instituten, wie Banken oder Vermögensverwalter, bringt ein ausgedehntes Arbeiten im Home-Office oft schwierige Fragen zutage.
Braucht es eine spezielle IT? Wie sieht es mit dem Zugriff auf geheimnisgeschützte Daten aus? Was ist mit Mitarbeitern im grenznahen Ausland? Wie werden FINMA regulierte Institute ihren regulatorischen Anforderungen trotz Home-Office gerecht?
Mit diesem Session-Beitrag soll ein Überblick über solche Herausforderungen mit Schwerpunkt auf regulatorische, IT- und datenschutzrechtliche Themen geworfen und mögliche Lösungsansätze diskutiert werden.
Tanja Müller
Tanja Müller ist Rechtsanwältin bei MME Legal AG und berät ihre Klienten im Banken-, Finanzmarkt-, Vertrags- und Gesellschaftsrecht, sowie im IT- und Datenschutzrecht. Aufgrund ihrer langjährigen Inhouse-Tätigkeit versteht Tanja Müller die Anforderungen auf Unternehmensseite – insbesondere im Finanz- und Technologiesektor – und über die jeweiligen Grenzen hinaus. Tanja Müller bringt Erfahrung im Projektmanagement mit und betreut regulatorische Anfragen mit Fokus auf neue Technologien, wie FinTech, DLT und Digital Economy.
Tanja Müller studierte Rechtswissenschaften an der Universität in Zürich. Nach dem Studium war sie in einer Anwaltskanzlei in Argentinien sowie für Finanzdienstleister in Liechtenstein und in der Schweiz tätig. Tanja Müller verfügt zudem über einen CAS im internationalen Banken-, Kapitalmarkt- und Versicherungsrecht (Universität Zürich).
Die EU hat mit ihrem «Fit for 55» Paket strenge Zielvorgaben gemacht zur CO2 Reduktion, inklusive branchenspezifischer Einschränkungen. Mit der neuen «EU Taxonomie» erhalten die Unternehmen Report- und Transparenzpflichten, deren Basis ein guter Datensatz ist. Aus den bisher allgemeinen Handlungsstandards oder «soft law» werden «hard facts» und die Unternehmen müssen all dies in kürzester Zeit umsetzen, teilweise schreiben sich die Unternehmen selbst ambitionierte Klimaziele, ohne zu wissen, was diese konkret bedeuten. Wir klären Begrifflichkeiten wie ESG vs. CRS, Scope 1 bis 2, Net-zero vs. Carbon neutral. Dazu beobachten wir die EU Klimaziele und was diese für die Unternehmen konkret bedeuten.
- Die Daten – the duty to share:
All die Rapportpflichten erfordern einen Datensatz, auf dessen Basis die Unternehmen ihre Pflichten erfüllen können. Hier geht es primär, und überraschenderweise, nicht um Personendaten. Sondern um Daten, die hinter Scope 1-3 stehen, also sektorspezifische Daten, Daten, die der Markt generiert. Daten, die zukünftig auch unter dem Data Governance Act, dem Data Act, dem Digital Markets Act und dem Digital Services Act geteilt werden müssen.
Vielleicht lässt sich jetzt noch nicht ganz absehen, was das konkret bedeutet, aber wir werden erkennen, welche Entwicklungen sich am regulatorischen Horizont abzeichnen.»]
Paula Zimmermann
Paula Zimmermann studierte in Heidelberg die Studiengänge Politik- und Rechtswissenschaften gleichzeitig und legte 2009 das zweite juristische Staatsexamen ab. Die Kombination aus Recht und Politik begleitet sie seitdem durch ihr Berufsleben. So arbeitete sie zunächst in politischen und politiknahen Institutionen wie dem deutschen Bundestag, bei den Vereinten Nationen und der Stiftung Wissenschaft und Politik. Gut zehn Jahren arbeitete Paula dann als interne Rechtsanwältin in internationalen Unternehmen und unterschiedlichsten Industrien, jedoch immer mit einem Fokus auf den Datenschutz, so beispielsweise bei Huawei und Terex Global und zuletzt als Data Protection Officer für EY Schweiz und Liechtenstein. Besondere Freude macht Paula dabei die Kombination aus Technik und Recht und deren Umsetzung in datenschutzrechtliche Sprache. Seit 2022 ist Paula als Rechtsanwältin bei HÄRTING Schweiz AG tätig.
KEYNOTES 2022
Analyse des technisch Machbaren
Die Bearbeitung von Personendaten in der digitalen Realität hat gemäss den Vorgaben des modernen Datenschutzrechts nach dem sogenannten «risikobasierten Ansatz» zu erfolgen.
Ausgangspunkt für jede Analyse der Risiken, welche von einer Datenbearbeitung für das private und selbstbestimmte Leben der Betroffenen einhergehen, ist das technisch Machbare.
Adrian Lobsiger
Adrian Lobsiger, geb. am 27.12.1959, hat nach seinem Studium an den Universitäten in Bern und Basel ein Masterstudium in Europarecht in Exeter (GB) absolviert.
1992 trat der promovierte Jurist in den Bereich Internationales Privatrecht des Bundesamtes für Justiz (BJ) ein, bevor er 1995 ins Bundesamt für Polizei (fedpol) wechselte, wo er zuletzt als stellvertretender Direktor amtierte. Als Chef der Stabsabteilung und des dazugehörigen Dienstes für Recht und Datenschutz war er für die rechtskonforme Bearbeitung von Personendaten im Verkehr mit in- und ausländischen Behörden verantwortlich.
In den Jahren 2000 bis 2005 gründete und leitete er nebenamtlich das Nachdiplomstudium zur Bekämpfung der Wirtschaftskriminalität sowie das Kompetenzzentrum für Forensik und Wirtschaftskriminalistik an der Hochschule Luzern.
Adrian Lobsiger wurde im November 2015 vom Bundesrat gewählt und im März 2016 vom Parlament bestätigt. Er ist seit Juni 2016 im Amt. An seiner Sitzung vom 10. April 2019 hat der Bundesrat die Wiederwahl von Adrian Lobsiger für eine zweite Amtsperiode bis Ende 2023 als Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestätigt.
IT Outsourcing in Zeiten der Cloud – praktische und rechtliche Probleme
Das klassische IT-Outsourcing hat sich in den letzten Jahren durch die diversen Cloudstrategien im Rahmen der digitalen Transformation von Unternehmen weiterentwickelt und weiterverbreitet. Während in der Vergangenheit vornehmlich Grosskonzerne IT-Outsourcing Projekte ausgeschrieben haben, geht der Trend klar auch bei kleineren Firmen dorthin. Denn auch wenn die IT zunehmend wichtiger und komplexer wird, gehört sie weiterhin bei dem Grossteil der Firmen nicht zur Kernkompetenz (Niemand kann in allem gut sein). Zudem hat sich die Bedeutung des IT-Risikomanagements weiter gesteigert, da Sicherheitsrisiken und Cyberattacken mittlerweile bei Firmen aller Grössen an der Tagesordnung sind. Nimmt man dazu den fortschreitenden Fachkräftemangel, gibt es zunehmende gute Gründe, die IT an einen spezialisierten Partner auszulagern.
Neben den Vorteilen sind jedoch auch die Risiken zu beachten, welche vertraglich abgesichert werden sollten. Galt schon bisher der Grundsatz, Dienstleistungen, Service Levels und Governance konkret zu beschreiben, kommen nun auch Datenflüsse und deren Sicherheit, sowie die Behandlung der Anwendung neuer Technologien und Businessmodelle hinzu.
Susanne Wallace
Group VP und Senior Counsel Digital ABB
Deutsche Volljuristin mit über 20jähriger Erfahrung im IT-Recht mit Schwerpunkt Einkaufs-/Verkaufsverträgen, Datenschutz- und Urheberschutzrecht. Zu ihrem Tätigkeitsbereichen gehören Technologietransaktionen, Outsourcing, IT-Projektverträge, Cloud und Cyber Security. Ihr besonderes Interesse gilt neuen Technologien wie AI, IOT und Digitalisierung und ihre Anwendung in internationalen komplexen Verträgen.
Frau Wallace erbringt globale Beratung für Legal, Sales-, Service- und Beschaffungsabteilungen. Der Fokus ihrer Tätigkeit liegt darin, die komplexe Materie dennoch anwenderfreundlich zu gestalten. Die globale Zusammenarbeit und das Gefühl, etwas erwirkt zu haben, wenn eine Initiative ihre Ziele erreicht, sind für sie zentral. Sie schätzt es Teams aufzubauen und entwickelt und führt Schulungsprogramme im IT-Recht durch.
Frau Wallace begann ihre Karriere bei der ABB im Jahr 2011 und leitete zunächst die EMEIA Rechtsabteilung für die Einheit Enterprise Software, sodann wechselte sie in die Konzernzentrale. Zuvor war sie viele Jahre in der Rechtsabteilung einer amerikanischen Softwarefirma in England und der Schweiz tätig.
Anonymisierung von Daten im Lichte alternativer Konzepte
Verschiedene Wissensgemeinschaften haben unterschiedliche Ansichten und Meinungen zum Umgang mit Personendaten.
Dieser Vortrag ist eine praktische Präsentation, die einen kleinen Überblick und eine Taxonomie verschiedener Konzepte für den Umgang mit vertraulichen Daten geben soll. Diese Konzepte reichen von privacy preserving computation, synthetischer Datengenerierung, Anonymisierung von Daten bis hin zu Remote Access Lösungen.
Der Fokus des Vortrages wird anschliessend auf Anonymisierungsmethoden gelegt.
Bei diesen werden Daten geringfügig in einer Art und Weise verändert sodass deren Analysegehalt erhalten bleibt um somit noch entsprechende weitgehende Analysen zu ermöglichen. Wenn das Re-Identifizierungsrisiko jeder Person im Datensatz sehr klein ist führt dies dazu, dass das Datenschutzgesetz auf diese nicht mehr anwendbar ist und die sich ergebenen Einschränkungen des Datenschutzes vermieden werden können. Der akzeptierte Schwellwert um ein Re-Identifizierungsrisiko als klein genug bezeichnen zu können, hängt von einer Vielzahl an Parametern ab. Diese werden im Vortrag herausgearbeitet und beschrieben.
In der gesamten Präsentation wird betont, dass es kein Allheilmittel und beste Methode für alle Situationen, Datenstrukturen, Anwendungen, Usergruppe und Sensibilität der Daten gibt, denn – wie immer – kommt es auf diesen Kontext an.
Matthias Templ
Matthias Templ hat eine Professor für Statistik an der Fachhochschule Nordwestschweiz inne. Davor promovierte er in Technischer Mathematik und habilitierte in Statistik an der Technischen Universität Wien, an er danach 10 Jahre gelehrt und geforscht hatte. In seiner beruflichen Zeit an der Zürcher Hochschule für Angewandte Wissenschaften veröffentlichte er ein Fachbuch über Datenanonymisierung bei Springer und viele wissenschaftliche Artikel. Er ist Autor und Maintainer von state-of-the-art R Paketen zur Datenanonymisierung und synthetischer Datengenerierung. In den letzten Jahren führte er zahlreiche internationale Projekte im Bereich Datenanonymisierung mit der Weltbank, dem International Household Survey Network, der Malawi Epidemiology and Intervention Research Unit und Eurostat durch als auch nationale Projekte mit Helsana, Swisscom, SBB und EnerSuisse.
