David Rosenthal

Daten- & Technologierecht

David Rosenthal verfügt über breite Erfahrung in der Beratung und Vertretung von nationalen und multinationalen Klienten im Bereich des Datenrechts, des Technologierechts und der KI, im Bereich eDiscovery, in technologiebezogenen Schiedsverfahren und internen Untersuchungen. Er studierte Jurisprudenz an der Universität Basel und war zunächst als Softwareentwickler tätig, führte ein unabhängiges Pressebüro in Basel und eine eigene Rechtsberatung. 2001 begann er als Konsulent bei Homburger, eine der Top-Kanzleien der Schweiz, wo er zuletzt Co-Leiter der IT-Practice-Group war. Seit dem 1. Juni 2020 ist er Partner bei VISCHER, ebenfalls eine der führenden Schweizer Wirtschaftskanzleien (hier sein Profil). Rosenthal publizierte zahlreiche Beiträge zum Datenschutz (einige davon unten), hält regelmässig Referate und hat einen Lehrauftrag an der ETH Zürich und der Universität Basel. Er ist Sekretär des Vereins Unternehmens-Datenschutz (VUD) und der Cross-border eDiscovery Privacy & Investigations Association (CeDIV) sowie im Vorstand des Schweizer Forums für Kommunikationsrecht (SF-FS). Hier was Chambers & Partners und hier Legal 500 zu ihm schreibt.  

bootstrap html templates

Data & Technology Law 

David Rosenthal has broad experience in advising and representing national and multinational clients in the areas of data protection and other aspects of data law, technology law, AI, eDiscovery, technology arbitration and internal investigations. He studied law at the University of Basel and initially worked as a software developer, ran an independent press office in Basel and provided his own legal advice. In 2001, he joined Homburger, one of the high end Swiss commercial law firms, as counsel, where he became co-head of its IT practice group. On June 1, 2020, he became partner at VISCHER, one of the leading Swiss business law firms with a particular strong expertise in regulatory and TMT matters (his profile is here). David authored numerous publications on data protection law in Switzerland (below is a selection), is a frequent speaker at events and lectures at the ETH Zurich and the University of Basel. He is secretary of the Association for Corporate Data Protection (VUD) and the Cross-border eDiscovery Privacy & Investigations Association (CeDIV) and on the board of the Swiss Forum of Communications Law (SF-FS). See here for Chambers & Partners and here for Legal 500 comments about him. 



A selection of English publications and presentations of David Rosenthal (for German, see below).

David Rosenthal, Data Protection Agreement for International Arbitration (Template Version 1.01)Word
David Rosenthal, Complying with the General Data Protection Regulation (GDPR) in International Arbitration - Practical Guidance, in: ASA Bulletin December 2019 No 4, Kluwer Law InternationalLink
David Rosenthal, Data Protection: Has it gotten better or even worse in the fight against piracy?, Conference "Stop Piracy", September 4, 2020, Neuchâtel, Switzerland (the presentation deals with Art. 77i URG / Copyright Act)Link
David Rosenthal, Data Protected - Switzerland - an overview of the Swiss Data Protection Act, in: Linklaters "Data Protected", 2020Link
David Rosenthal, Whistleblowing, Monitoring & Profiling for Compliance: The (Swiss) Data Privacy Perspective, Presentation for SwissHoldings, Arbeitsgruppe Compliance, September 18, 2020, Berne, SwitzerlandLink
David Rosenthal, The new Swiss Data Protection Act: How does it compare to the GDPR?, Webinar VISCHER vom October 14, 2020Link Video
David Rosenthal, The new Swiss Data Protection Act: Ten steps to consider for compliance, January 29, 2021Link
David Rosenthal, Switzerland's DP Act revised, in: Privacy Laws & Business International Report, Issue 167, October 2020Link
David Rosenthal, EU Whistleblower Directive, The impact on Switzerland and multinational companies - with a focus on data privacy, held for Swissholdings, April 23, 2021, and held in an internal workshop of a Swiss multinational, May 25, 2021Link Link
David Rosenthal, FAQ on the revised EU Standard Contractual Clauses (SCC) for Data Transfers (also available in German)Link
David Rosenthal, Schrems II, International Data Transfer Update (for eDiscovery), June 28, 2021Link
David Rosenthal, Checklist for Intra-Group Data Transfer Agreements (IGDTA) (part of the above FAQ on the new EU SCC)Link
David Rosenthal, EU SCC Transfer Impact Assessment (TIA) Toolbox, with templates/samples for the various jurisdictions and a questionnaire for assessing foreign lawful access laws; the IAPP version is here; as of July 10, 2023, see also below the Transfer Impact Assessment for the US based on EO 14086Excel
David Rosenthal, Cloud Computing: Risk Assessment of Lawful Access By Foreign Authorities, Version 5.1 of February 5, 2023 (Links to earlier versions are listed in the Excel); the IAPP version is here
David Rosenthal, Swiss banks in the cloud - this is how it works (and how not), September 9, 2021 (German version see below)Link
David Rosenthal, Cloud Requirements for Swiss Banks, Version 2.01 (German version see below)Link
David Rosenthal, IP & IT Arbitration in Switzerland, in: Manuel Arroyo (ed.), Abitration in Switzerland, The Practitioner's Guide, Wolters Kluwer, 2013Link
David Rosenthal, Questionnaire for Assessing Local Lawful Access Laws (Version of December 5, 2021)Excel
Christian Zeunert, David Rosenthal, Cross-Border Discovery - Practical Considerations and Solutions for Multinationals, The Sedona Conference Journal, Volume 12, 2011Link
David Rosenthal, Pre-Trial Discovery: How to lawfully produce documents from Switzerland, December 6, 2021Link
David Rosenthal, Charts regarding International Data Transfers (Version of December 28, 2021)Link
David Rosenthal et al. (VISCHER), Practitioner's Data Protection Compliance Handbook (Information)Link
David Rosenthal, GDPR Compliance Cheat Sheet (from the DPC Handbook)Link
David Rosenthal, VISCHER Webinar "Data Ethics: Understanding and implementing it in practice", February 2, 2022Webinar
David Rosenthal, Questions for US Service Providers on Lawful Access (Version of February 27, 2022)Excel
David Rosenthal, How to legally use Google Analytics in Europe, VISCHER blog post of March 7, 2022 (with a sample Transfer Impact Assessment)Link Excel
David Rosenthal, eDiscovery out of Switzerland: Update on Art. 271 Swiss Criminal Code, July 6, 2022 (CeDIV presentation)Link
David Rosenthal, FAQ on the risk of foreign lawful access and the statistical "Rosenthal" method for assessing it, October 23, 2022 (originally published on August 1, 2022)Link
Cyber Attack Readiness and Response Cheat Sheet, by David Rosenthal, Adrian Ott and Helmut Studer, in cooperation with Association of Corporate Counsel, EY, VISCHER and KESSLER, September 2022Link
David Rosenthal, Being a Victim of a Cyber-Attack, The Legal Side, presentation for the Association fo Corporate Counsel on September 27, 2022 in ZurichLink
David Rosenthal, revDPA - what to do (a quick reference to the revised Data Protection Act especially for SME and all one only one page; this is an English translation of the German version dated September 13, 2022, see below); a French version of Samira Studer and Julie Nikles is available hereLink
David Rosenthal, Cloud Risk Assessment, The most discussed issue and the real ones, a presentation held at the Digital Circle of the ICTjournal in Lausanne on October 19, 2022Link
David Rosenthal, Flowchart: Do we need to update existing contracts with the new EU SCC?, October 28, 2022Link
David Rosenthal, David Koelliker, Marketing Communications Legal Checklist, VISCHER DPC HandbookLink
David Rosenthal, Samira Studer, Swiss revDPA: Comparison with the GDPRLink
David Rosenthal, Anna Salm, David Koelliker, Website and App Tracking Legal Checklist, VISCHER DPC HandbookLink
David Rosenthal, Model Data Protection Compliance Organization, VISCHER DPC HandbookLink
David Rosenthal, VISCHER document request list for compliance assessments (also available in German)Link
VISCHER Cloud Compliance and Risk Assessment Tool for Financial Institutions ("CCRA-FI")Link
David Rosenthal, Generative AI and Data Protection Issues (overview)Link
David Rosenthal, EU-U.S. Data Privacy Framework: When and how it will apply to Switzerland), October 17, 2022, VISCHER BlogLink
David Rosenthal, LLM: The Knowledge-Base-Approach ("Retrieval-Augmented Generation") in creating customer specific AI applications, from a presentation held on June 12, 2023 on data protection and AILink
David Rosenthal, How to avoid criminal liability under the revised Swiss DPA, June 18, 2023, VISCHER BlogLink
David Rosenthal, VISCHER Transfer Impact Assessment for the US (following EO 14086), including an Addendum for SwitzerlandLink
David Rosenthal, Data transfers from China, how to handle the China SCC and PIPIA, presentation at the SCCC Legal Chapter Luncheon on October 5, 2023Link
David Rosenthal, Generative AI: Privacy & Risk Management, presentation at the IAPP AI Day on October 31, 2023 in Zurich; SwitzerlandLink
David Rosenthal, Generative AI Risk Assessment (GAIRA) Tool (latest version, including both "GAIRA Light" and "GAIRA Comprehensive"), a one-pager with a brief instruction and checklist (also available in German)Excel
David Rosenthal, A Privacy Notice for SME on only one page (Swiss DPA, not GDPR), with instructions, available also in GermanLink
VUD, Template for a Data Protection Impact Assessment (DPIA), with an integrated AI assistant (Author: David Rosenthal), a project of the Swiss Association of Corporate Data Protection (VUD), available at vud.ch/dpia and here (the the most recent version). Available in a Macro version (.xlsm, required for AI assistant; the code signing certificate is also available here) and one without (.xslx). Comes with a large list of TOMS, a FAQ, a one-page quick reference, a tutorial video and a translation feature. Also available in German. Here you will find a form that allows you to check whether a DPIA is necessary in the first place..xslm
David Rosenthal, Rolf Auf der Maur, Generative AI, Handling risk management in practice & setting up an appropriate AI Governance Structure, January 16, 2024, AI House DavosLink
Es werden Einträge angezeigt (Von insgesamt Einträge gefiltert)

Publications (continued)

A selection of English publications and presentations of David Rosenthal (for German, see below).

David Rosenthal et al., VISCHER blog series on AI (various topics on AI governance, security, AI Act etc.), including a one-page template for an AI policy (includes the "11 principles" of VISCHER) and a chart on how the use of AI can be governedLink
David Rosenthal, Form: Do I have to do a Data Protection Impact Assessment?Link
David Rosenthal et al., short video on the safe, sensible and lawful use of AI at work (also available on Youtube and in German and French)Link
David Rosenthal, Elias Mühlemann, Jonas Baeriswyl, sample policy on using AI at work (on one page, also available in German)Link
Lucian Hunger, David Rosenthal, Popular AI tools: What about data protection?, including a legal overview of popular toolsLink
David Rosenthal, VISCHER GPT (VGPT), an AI based text generator app that makes use of the OpenAI GPT API (open source, Excel with macros, needs API key), also available in GermanXLSM
David Rosenthal, Six ways to attack an AI system, Blog and One-Page-Chart (also available in German)Article Chart
Rolf A. Becker, David Rosenthal, The 12 Golden TOMS when using IT Providers, One Pager
David Rosenthal, The EU AI Act - what it means in practice for most companies, February 27, 2024, including a One-Pager with the scope of the AI Act and the various use cases
David Rosenthal, Cross-Border Data Transfers: Challenges for companies (and how to deal with them in practice), presentation held at the IAPP Switzerland KnowledgeNet conference on March 11, 2024Link
David Rosenthal, VISCHER AI Compliance Checklist (short)Link
Es werden Einträge angezeigt (Von insgesamt Einträge gefiltert)


Eine Auswahl von Publikationen und Vorträgen von David Rosenthal (die englischsprachigen Ausgaben sind oben verzeichnet)

David Rosenthal, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage? in: Jusletter 17. Juni 2019 
David Rosenthal, Barbara Epprecht, Banken und ihre datenschutzrechtliche Verantwortlichkeit im Verkehr mit ihren Dienstleistern, in: Susanne Emmenegger (Hrsg.), Banken und Datenschutz, Basel 2019 Link
David Rosenthal, David Vasella, Erste Erfahrungen mit der DSGVO, in: Digma, Dezember 2018, Heft 4 Link
David Rosenthal, Personendaten ohne Identifizierbarkeit?, in: Digma, Dezember 2017, Heft 4 
David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27. November 2017 (mit Anhang)
Link Link 
David Rosenthal, Das Bauchgefühl im Datenschutz, in: Von der Lochkarte zum Mobile Computing, 20 Jahre Datenschutz in der Schweiz, Datenschutz-Forum Schweiz, 2012
David Rosenthal, Löschen und doch nicht löschen, in: Digma, Dezember 2019, Heft 4Link
David Rosenthal, Contact Tracing Apps: Wehret den Anfängen oder Sturm im Wasserglas? in: Weblaw Webinar Coronavirus: Praxisfragen aus rechtlicher Sicht (V), 21. April 2020
David Rosenthal, Die Wegclick-Mentalität - Betrachtungen zum EuGH-Entscheid "Planet49", Gastbeitrag auf Französisch und Deutsch in: Lawinside, 9. März 2020Link
David Rosenthal, Rohstoff zum revidierten Datenschutzgesetz, verfasst für den Verein Unternehmens-Datenschutz (VUD), 18. April 2020
David Rosenthal, eDiscovery - worauf ein Schweizer Rechtsdienst achten sollte, in: 6. Weblaw Forum LegalTech
David Rosenthal, Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10. August 2020Link Link
David Rosenthal, Risikobeurteilung eines Lawful Access durch ausländische Behörden, Version 5.04 vom 1. September 2021 (Links zu früheren Versionen sind im Excel enthalten)Excel
David Rosenthal, Revidiertes DSG: Fokus Materielles Recht, 4. Datenschutzsrechtstagung, Schweizer Forum für Kommunikationsrecht (SF-FS), 8. September 2020, Zürich, SchweizLink
David Rosenthal, Die rechtlichen und gefühlten Grenzen der Zweitnutzung von Personendaten, in: sic 4/2021; die dem Beitrag zugrundeliegende Präsentation "Secondary Use: Die rechtlichen und gefühlten Grenzen der Zweitnutzung von Personendaten -- auch nach COVID 19" am Anlass ICT Recht und Praxis vom 15. September 2020 in Zürich findet sich hier
David Rosenthal, Das auf unerlaubte Handlungen im Internet anwendbare Recht am Beispiel des Schweizer IPR, in: AJP/PJA 11/97, St. Gallen, SchweizLink
David Rosenthal, Wie sich Privatpersonen gegen Verletzungen ihrer Persönlichkeits-Rechte durch Dritte auf Social-Media-Plattformen wehren können, in: Anwaltsrevue, 10/2014, Bern, SchweizLink
David Rosenthal, Softwareagenten auf rechtlichen Abwegen?, in: digma 2007/1, Zürich, SchweizLink
David Rosenthal, Revision Datenschutzgesetz: Zehn Schritte zur Umsetzung der neuen gesetzlichen Anforderungen für Unternehmen, Webinar VISCHER vom 13. Oktober 2020Link Video
David Rosenthal, Das neue Schweizer Datenschutzgesetz: Ein Vergleich mit der DSGVO, Webinar VISCHER vom October 20, 2020Link Video
David Rosenthal, CLOUD Act: Warum er Cloud-Projekte nicht verhindern sollte, Vortrag vom 21. Oktober 2020Link
David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020 (Französisch siehe nächste Zeile)Link
David Rosenthal, Samira Studer/Alexandre Lombard (traduction), La nouvelle loi sur la protection des données, in: Jusletter 12. April 2021Link
David Rosenthal, Schweizer Banken, Umgang mit Risiken bei der Auslagerung in die Cloud, 31. März 2021Link
David Rosenthal, Was wir anders (und besser) machen können als die DSGVO, 16. März 2021Link
David Rosenthal, Internet-Provider-Haftung - ein Sonderfall?, in: Peter Jung (Hrsg.), Tagungsband Recht aktuell 2006, Bern, 2006Link
David Rosenthal, Seraina Gubler, Die Strafbestimmungen des neuen DSG, in: SZW/RSDA 1/2021 Link
David Rosenthal, Regulierung und Alkoholwerbung und -handel im Internet, Zusammenfassung eines Gutachtens vom 27. Oktober 2011 im Auftrag der Eidg. Alkoholverwaltung (EAV) Link
David Rosenthal, Praxishandbuch für interne Untersuchungen und eDiscovery, Release 1.01, VISCHER/Editions Weblaw, 2021 Link Update
David Rosenthal, Revidiertes Datenschutzgesetz für Arbeitsrechtler: Ändert sich jetzt alles?, 22. Juni 2021Link
David Rosenthal, FAQ zu den neuen Standardvertragsklauseln (SCC) für Datenübermittlungen in unsichere Drittstaaten (jeweils aktuelle Fassung, auf Deutsch; Englisch siehe oben)Link
David Rosenthal, Marc Ph. Prinz, Jonas Gassmann, Interne Untersuchungen, Teil 1: Wie es dazu kommt und wo die Fallen sind (29. Juni 2021); David Rosenthal, Interne Untersuchungen, Teil 2: eDiscovery - die Technik (7. Juli 2021)Teil1 Teil2 
David Rosenthal, Revision Datenschutzgesetz: Handlungsbedarf Marketing und Fundraising, 24. Februar 2021Link
David Rosenthal (und Rolf Auf der Maur), Revision Datenschutzgesetz: Neuerungen und Handlungsbedarf im Bereich der Werbung, 24. November 2020Link
David Rosenthal, Cloud-Anforderungen für Schweizer Banken, Version 2.01 (Englisch siehe oben)Link
David Rosenthal, Schweizer Banken in die Cloud - so geht es (und so nicht), 9. September, 2021 (Englisch siehe oben)Link
David Rosenthal, Microsoft Cloud für Schweizer Anwälte, in: Anwalts Revue 10/2021Link
David Rosenthal, Datenethik: Ihre Bedeutung und Umsetzung in der Praxis, Vortrag vor der Swiss Association of Compliance Officers am 16. November 2021 in ZürichLink
David Rosenthal, Datenschutzrecht: Eine kleine Einführung in die Praxis, 23. August 2022Link
David Rosenthal, Cloud 101 für Juristinnen und Juristen - damit Sie mitreden können, in: Weblaw Techforum, Webinar vom 9. Dezember 2021Link
David Rosenthal, Pre-Trial-Discovery: So geht es mit der Datenlieferung aus der Schweiz, 6. Dezember 2021Link
David Rosenthal, Datenethik - ein praktischer Zugang aus Sicht der Compliance, in: Recht relevant. für Compliance Officers, 1/2022, Zürich sowie ein Webinar zum Thema Datenethik in der PraxisLink Webinar
David Rosenthal, Die Tücken spontaner Datenschutzbeurteilungen und was sich dagegen tun lässt, in: Jusletter 28. Februar 2022Link
David Rosenthal, US CLOUD Act, Beurteilung des Restrisikos eines Foreign Lawful Access beim Gang in die Cloud, 24. März 2022Link
David Rosenthal, Prüfschema für private Datenbearbeitungen, 2008 (!)Link
David Rosenthal, Schweizer Banken in der Cloud, Herausforderungen und Vorgehensweise (aktuelle Version im PDF angegeben) und als separates Dokument "Fünf Fragen, welche die Leitung der Bank beim Gang in die Cloud stellen sollte"Link  Link
David Rosenthal, Datenschutz und KI: Worauf in der Praxis zu achten ist, in: Jusletter IT, 22 April 2022Link 
David Rosenthal, Leitfaden zur Einführung von Cloud-Services in Schweizer Spitälern (in Kooperation mit VGI.ch) sowie Präsentation "Einführung von M365" von Microsoft im Spital (Präsentation vom 24. August 2022)Leitfaden  Präsentation
David Rosenthal, Genie out of the Bottle?, in: Suzanne Dvořák, Raoul Stocker, Florian Gasche (Hrsg.), Alps Forum 2021, Law and Economics of Data Science, Tagungsband, St. Gallen 2022Separatum  Tagungsband
David Rosenthal, revDSG - was zu tun ist, Hilfestellung zur Umsetzung des revidierten Datenschutzgesetzes auf nur einer Seite, speziell auch für KMU (Fassung vom 13. September 2022, mit Updates); eine Version auf Französisch von Samira Studer und Julie Nikles gibt es hier; eine englische Fassung ist oben verlinktLink  Blog
Es werden Einträge angezeigt (Von insgesamt Einträge gefiltert)

Eigene Chatbots (GPTs)

Ein Chatbot zum Thema "Interne Untersuchungen", der Fragen basierend auf dem Praxishandbuch von David Rosenthal zum Thema beantwortet. Er ist auf das Schweizer Recht ausgerichtet. Die Nutzung benötigt ein "ChatGPT Plus" Abo.

Ein Chatbot zum Thema Datenschutzrecht, der mit zehn deutschsprachigen Publikationen von David Rosenthal zum Thema Datenschutz gefüttert worden ist und dazu befragt werden kann. Die Nutzung benötigt ein "ChatGPT Plus" Abo.


Publikationen (Fortsetzung)

Eine Auswahl von weiteren Publikationen und Vorträgen von David Rosenthal (die englischsprachigen Ausgaben sind oben verzeichnet)

David Rosenthal, Einsatz künstlicher Intelligenz - was ist in der Schweiz (beim Staat) erlaubt? Fokus Personalwesen, 4. Oktober 2022Link
David Rosenthal, Internationaler Datentransfer, Herausforderungen und Lösungen aus der Praxis, Vortrag anlässlisch des Datenschutz-Summits des Bundesverbands der Unternehmensjuristen (BUJ) vom 17. Oktober 2022 in Köln, DeutschlandLink
David Rosenthal, CCRA-PS: Cloud Compliance- and Risk-Assessment für den öffentlichen Sektor (Version "for public comment) mit einer Präsentation vom 3. November 2022 an der DVS-Cloud-Tagung (Präsentation folgt noch), sowie ein Leitfaden zur Einführung von Cloud-Services in der öffentlichen Organen und Schweizer Spitälern (in Kooperation mit VGI.chExcel
David Rosenthal, David Vasella, US-Cloud-Dienste für Schweizer KMUs: Sechs Faustregeln, in: Netzwoche vom 20. Februar 2023Link  Archiv

David Rosenthal, ChatGPT & Co. - die datenschutzrechtliche Perspektive, in: BrownBag Weblaw vom 1. März 2023Link  Video

David Rosenthal, VISCHER Liste der für Compliance-Beurteilungen hilfreichen Dokumente (auch auf Englisch verfügbar)Link 

VISCHER Privacy Score (privacyscore.ch) - ein Angebot zur Beurteilung der Datenschutz-Maturität der eigenen Organisation (derzeit noch im "Public Beta"-Test)Link 

David Rosenthal, Datenschutzerklärung für KMU auf nur einer Seite (DSG, nicht DSGVO), mit Anleitung, verfügbar auch auf Englisch und auf FranzösischLink 

David Rosenthal, VISCHER CCRA-FI, Eine Einführung in die Verwendung des Tools und ein Infoblatt (auf Englisch)Link  Link

David Rosenthal, VISCHER Datenschutz-Dokumente - welches braucht es?Link  

David Rosenthal, Generative KI-Systeme und Datenschutz - Überblick über die ThemenLink  

David Rosenthal, Data Governance - wer ist für was verantwortlich im Datenschutz?, Vortrag an der 7. Datenschutztagung des Schweizer Forums für Kommunikationsrecht vom 24. Mai 2023 in ZürichLink  

Sarah Bischof, Maria Winkler, David Rosenthal, David Vasella, Formular für ein Bearbeitungsreglement gemäss Art. 5 und 6 DSV, auf Deutsch und hier auch auf EnglischLink  

David Rosenthal, Pensionskassen: Diese DSG-Sonderpflichten gelten für sie, 1. Juni 2023, VISCHER BlogLink  

David Rosenthal, EU-U.S. Data Privacy Framework: Wann und wie es für die Schweiz gelten wird, 17. Oktober 2022, VISCHER BlogLink  

David Rosenthal, LLM: Der Knowledge-Base-Ansatz ("Retrieval-Augmented Generation") bei der Erstellung kundenspezifischer KI-Anwendungen, aus einer Präsentation vom 12. Juni 2023 zum THema KI und DatenschutzLink  

David Rosenthal, Wie Strafbarkeit unter dem neuen Datenschutzgesetz vermieden wird, 18. Juni 2023, VISCHER BlogLink  

David Rosenthal, Das neue Schweizer Datenschutzgesetz - eine Anleitung für jene, die die DSGVO schon eingeführt haben, Vortrag an der Privaten Universität im Fürstentum Liechtenstein (UFL) vom 22. Juni 2023 (Video ca. 66 Minuten)Video Folien  

David Rosenthal, Outsourcing - Der Weg in die Cloud, an: SACO Jahrestagung vom 26. Juni 2023Link  

David Rosenthal, Mit der öffentlichen Verwaltung in die Cloud - die häufigsten Fehlvorstellungen, ab; eGovernment Forum vom 27. Juni 2023Link  

David Rosenthal, Datenschutz beim Einsatz von Gebetsbriefen und Spendenaufrufen, ein Merkblatt entstanden im Rahmen eines Beratungsprojekts für Missionswerke (Juni 2023)Link  

David Rosenthal, M365 in der Anwaltskanzlei: So geht es, in: Anwaltsrevue 6/7/2023, Bern, S. 303 ff.Link  

David Rosenthal, Schulungsvideo für Mitarbeitende zum Thema Betroffenenrechte, Teil einer Serie von fünf Videos (Muster)Link  

David Rosenthal, Datenschutz-Weisung für KMU auf nur einer Seite (revDSG, nicht DSGVO), mit Anleitung, um den One-Pager zum reviderten DSG (siehe oben) im eigenen Betrieb als Weisung zu erlassen, verfügbar auch auf FranzösischLink  

David Rosenthal, Auftragsverarbeitungsvertrag (AVV) für KMU auf nur einer Seite, mit Anleitung, auch auf FranzösischLink  

Rosenthal/Vasella et al., Muster-Datenschutzerklärung für Schweizer Anwaltskanzleien (primäre Quelle: dsat.ch)Word  PDF

VUD, Verwendung generativer KI - Leitfaden zum Datenschutzgesetz, jeweils aktuelle Fassung (Autor: David Rosenthal), primäre Quelle: vud.chLink 

VUD, Vorlage Datenschutz-Folgenabschätzung (mit KI-Ausfüllhilfe), jeweils aktuelle Fassung (Autor: David Rosenthal), primäre Quelle: vud.ch/dsfa. Um die KI-Ausfüllhilfe und weiteren Automatisierungen zu nutzen, wird die XLSM-Version benötigt, d.h. das Excel, welches (signierte) Makros enthält (für die KI-Funktion wird zudem ein API-Key von OpenAI benötigt, der kostenlos erhältlich ist). Wenn die Sicherheitseinstellungen die Nutzung von Makros blockieren (was oft der Fall ist), kann auch die "normale" Excel-Version (XLSX) benutzt werden. Das Zertifikat zur digitalen Signatur der Makros ist rechts ebenfalls abrufbar; in Unternehmen kann es von der IT installiert werden, damit sich die Makro-Version - soweit erlaubt - laufenlassen lässt. Auch auf Englisch verfügbar (siehe oben). Ferner gibt es hier ein Formular zur Prüfung, ob eine DSFA überhaupt nötig ist.XLSM
David Rosenthal, Datenschutz-Compliance: Herausforderung ihrer Überprüfung, Präsentation ISACA Swiss Chapter, 3. Oktober 2023Link

David Rosenthal, ChatGPT & Co., Datenschutz beim Einsatz von generativer KI, 5. Oktober 2023Link

David Rosenthal, Datenschutz beim Einsatz generativer künstlicher Intelligenz, in: Jusletter 6. November 2023Link

David Rosenthal, Anmerkungen zum Gutachten Schefer/Glass zu M365, 10. November 2023 (das Gutachten Schefer/Glass ist via Öffentlichkeitsgesetz zu beziehen bei egovpartner sowie hier); nachdem das Gutachten mit einem Addendum bei Jusletter IT publiziert worden ist, erschien von mir am 15. Februar 2023 ebenfalls im Jusletter IT eine Replik (auch auf das Addendum)Link, Replik

Marc Ph. Prinz, David Rosenthal, Auskunftsrecht von Arbeitnehmenden unter dem neuen DSG – ist es wirklich so einfach?, 13. November 2023Link

David Rosenthal, Generative KI, So klappt es mit dem Einsatz aus rechtlicher Sicht, 20. November 2023Link

David Rosenthal, Outsourcing für Finanzinstitute, Der Weg in die Cloud - Erfahrungen aus der Praxis, 29. November 2023Link

David Rosenthal, Legal Innovation, Ein Bericht aus der Praxis, 10. Januar 2023Link

David Rosenthal, Neues Datenschutzgesetz, Erfahrungen und Praxishinweise für den Personalbereich, 25. Januar 2024Link

David Rosenthal, Formular (Schwellenwertprüfung): Muss ich eine Datenschutz-Folgenabschätzung (DSFA) machen?  Link

David Rosenthal, Elias Mühlemann, Jonas Baeriswyl, Muster-Weisung für den Einsatz von KI im Unternehmen (auf einer Seite, als Powerpoint, auch auf Englisch)Link

David Rosenthal, Formular zur Risiko-Prüfung von Projekten mit generativer KI (und Kurzanleitung zu GAIRA Light, siehe oben)Link

David Rosenthal et al., Schulungsvideo für die sichere, sinnvolle und erlaubte Nutzung von KI am Arbeitsplatz, auch auf Youtube und Französisch und Englisch Link

Lucian Hunger, David Rosenthal, Gängige KI-Tools: Wie steht es um den Datenschutz?, mit Übersichtstabelle zum Datenschutz dieser ToolsLink

David Rosenthal et al., Blog-Serie zu KI (diverse Beiträge zu Themen wie Weisungswesen, Governance, Sicherheit, Risiko-Management, AI Act), inklusive einer Kurzweisung für KI auf einer Seite als Vorlage (inklusive der "11 Grundsätze" von VISCHER) sowie eine Übersicht, wie KI im Unternehmen reguliert werden kannLink

David Rosenthal, VISCHER GPT (VGPT), ein KI-basierter Textgenerator, welcher das OpenAI GPT API nutzen kann (Excel mit Makros, benötigt einen API-Key), auch auf Englisch verfügbarXLSM

David Rosenthal, Der EU AI Act - und was er für die meisten Unternehmen bedeutet, 27. Februar 2024, inklusive englischem One-Pager zum Anwendungsbereich und den Use Cases unter dem AI ActLink

David Rosenthal, VISCHER KI Compliance-Checkliste (kurz)Link

Es werden Einträge angezeigt (Von insgesamt Einträge gefiltert)



+41 58 211 36 05
+41 79 3221038




In the Media

Press reports, Blogs, Podcasts and more

  • May 22, 2024, Trying to keep AI from sneaking into your environment? Good luck! A feature of Evan Schuman in Computerworld (US), also based on an interview with David Rosenthal (Link, Archive).
  • May 6, 2024, AI use from a legal perspective, an interview in The Broker with David Rosenthal on legal aspects of AI (English: Link, Archive, German: Link, Archive).
  • April 17, 2024, AI And The Law, an interview in MAG LegalCommunity CH with David Rosenthal on the use of AI in the legal profession (Link, Archive).
  • April 2024, Wie Sie KI-Tools datenschutzkonform einsetzen, an interview in Directpoint with David Rosenthal on the use of AI by businesses (Link, Archive).
  • February 2024, EU retains all existing adequacy decisions, a report in Privacy Laws & Business by Laura Linkomies, citing David on the situation concerning Switzerland (Link).
  • February 19, 2024: Regulierung braucht Gelassenheit, a brief interview of WerbeWoche with David on regulation artificial intelligence (AI), in particular covering the topic of copyright, including a brief video (Link, Archive).
  • February 13, 2024: Wie verbindlich ist die Meinung der Aufsichtsbehörde? A podcast of Martin Steiger in his series "Datenschutzplaudereien" with me on how much the opinion of the Swiss data protection supervisory authority should be relied on or taken for granted (Link).
  • February 5, 2024: Was darf künstliche Intelligenz? Und was nicht?, a report of the Swiss consumer magazine on rights of individual in relation to the use of AI, quoting the Federal Data Protection and Information Commissioner of Switzerland, Martin Steiger and me, both as experts having a dissenting opinion on the statements of the Commissioner (Link, Archive).
  • August 23, 2023: Öffentliche IT-Beschaffungen im Wandel, a report of Swiss IT Magazine on a large public procurement conference, referring to David's "CCRA-PS" method for assessing the compliance and risks of public cloud projects as a "way out of the dilemma" (Link, Archive), as well as Ein neuer Trend und ein alter Zankapfel in der Beschaffungswelt by Netzwoche on the same conference, reporting in more detail also on David's points (Link, Archive).
  • August 8, 2023: David Rosenthal: Gespräch über das Data Privacy Framework aus schweizerischer Sicht, a session (two parts) of Martin Steiger's podcast "Datenschutz Plaudereien" with David, discussing international data transfers following the adequacy decision of the Data Privacy Framework and the situation in Switzerland (Link, Archive).
  • July 6, 2023: Prof. Dr. Markus Schefer, Dr. Philip Glass, Gutachten zum grundrechtskonformen Einsatz von M365 durch die Gemeinden im Kanton Zürich, a legal opinion made for egovpartner for the purpose of assessing the legal grounds of communities in Zurich using M365; it discusses, among other topics, the "Rosenthal Method", the risk based approach and the risks of data in public cloudes being accessible to the US government (Link); while it provides support to "my" method and the risk-based approach, it makes various wrong assumptions re foreign lawful access, which leads to IMHO wrong conclusions; I have been asked to comment on it, which I have done in a commentary of mine.
  • June 19, 2023: Das neue Datenschutzgesetz (DSG) - Interview mit David Rosenthal und David Vasella, by Boris Etter in Dentastic 03/23, discussing with the two "Davids" about what to expect from the new Swiss Data Protection Act (PDF).
  • June 2, 2023: Banques privées: objectif cloud, by Sophie Marenne, AGEFI, on Swiss private banks moving to the cloud, quoting among others David Rosenthal (Link, paywall, in French).
  • February 25, 2023: Presentation - Cloud Security 2: Die Public-Cloud-Dramen und die Lehren daraus, by Marcel Waldvogel, Adrienne Fichter and Patrick Seeman at the "Winterkongress 2023" of the Digitale Gesellschaft (a civil rights NGO in Switzerland), with Patrick Seemann taking a critical look at David's method for foreign lawful access risk assessments (Video, starting at 26.55, in German).
  • February 1, 2023: Podcast - Cookie-Banner und das neue Datenschutzgesetz, an interview by Martin Steiger in his podcast "Datenschutz Plaudereien" concerning the question whether the revised Swiss Data Protection Act requires a cookie banner (it does not) (Link, Archive).
  • January 31, 2023: Podcast - David reagiert auf Kritik an seiner Methode Rosenthal, an interview by Martin Steiger in his podcast "Datenschutz Plaudereien" about criticism re his method (Link, Archive).
  • December 15, 2022: Tool soll Behörden bei der Beurteilung von Cloud-Projekten helfen, a report of Inside-IT informing about CCRA-PS, David's cloud compliance and risk assessment tool for the public sector in Switzerland, and providing - although unrelated - criticism voiced by Simon Schlauri regarding David's method for assessing foreign lawful access risks, including a reply by David in the comments' section (Link, Archive). 
  • November 2022: International Litigation: Outbound Cross-Border Discovery - Focus on Hague Evidence Convention, Switzerland, Canada (Ontario), Netherlands, and England and Wales, a report of Clara Flebus on the second installment of the "Cross-Border Discovery" CLE series, as published in the NYSBA Commercial and Federal Litigation Section Newsletter 2022, Vol. 28, No. 3 (reprinted with permission), featuring, among others, David's comments on the situation in Switzerland (PDF).
  • November 24, 2022: Datenschutz muss jedes KMU beschäftigen A news release of the Swiss Commercial Communications Assosciation (KS/CS) on an event, where David presented key requirements of the revised Swiss data protection act for the online marketing industry (PDF); two reports picking it up two reports, one of Werbewoche (Link, Archive) and one of Persönlich (Link, Archive). 
  • November 2022: Risiko oder Isolation - das Modell Rosenthal An interview and report of Matthias Wintsch of the Swiss IT Magazine with David and about his method for assessing the risk of foreign lawful access and related criticism (PDF, Link).
  • November 7, 2022: Podcast - Risiko für alle statt für wenige A podcast of Martin Steiger talking with Stefan Thöni about David's method for assessing the risk of foreign lawful access in Martin's podcast "Datenschutzplaudereien" (Link, Archive), 
  • October 30, 2022: Podcast - Hyperscaler bei Behörden, David Rosenthal and Martin Steiger are guests of the Inside IT podcast on the use of hyperscalers in the Swiss public sector (Link, Archive).
  • October 3, 2022: Cloud: Datenschutz-Aufsichtsbehörden kritisieren Vorgehen der Verwaltung, Martin Steiger commenting on the criticism of two Swiss data protection authorities with regard to the risk-based approach and David's method (Link, Archive). 
  • September 30, 2022: Zürcher Datenschützerin zum Cloudeinsatz "Der Regierungsratsbeschluss ändert gar nichts" The head of the Zurich Data Protection Authority in an interview of Inside IT promoting the "zero risk" approach, which is why she believes there is no need for the "Rosenthal Method" for calculating the risk (Link, Archive).
  • September 28, 2022: Edöb: "Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen" An interview in Inside IT with Adrian Lobsiger, the Federal Data Protection and Information Commissioner, about the usage of cloud services by public bodies, warning them among other things to rely on the "normative effect" of method's like the one of David (Link, Archive).   
  • September 26, 2022: Rechtlicher Rahmen für die Nutzung von Public-Cloud-Diensten in der Bundesverwaltung (Version 1.1) The Federal Chancellery provides its legal opinion on the use of cloud services by the Federal Government and characterizes the David's method for assessing foreign lawful access risks as "good practice" and cites his FAQ (Link, Archive).
  • September 2, 2022: Zunehmend bewölkt Adrienne Fichter of Republik.ch on Cloud Computing, including a discussion of David's method for assessing foreign lawful access risks (Link, Archive).
  • August 26, 2022: FAQ zum Einsatz von Cloud-Technologien, Verein Unternehmens-Datenschutz, a FAQ discussing the admissibility of cloud solutions under Swiss law, referring to various publications and work of David Rosenthal (Link, Archive).
  • August 14, 2022: Die Methode Rosenthal und die Risiken für die Gesamtgesellschaft Stefan Thöni posts his thoughts and critism concerning David's method for assessing foreign lawful access risks, contending that it does not cover the overall risk for society (Link, Archive).
  • August 10, 2022: Microsoft 365: So funktionierte die Risikobeurteilung mit der "Methode Rosenthal" im Kanton Zürich Martin Steiger obtained a copy of the foreign lawful access risk assessment of the Canton of Zurich using David's method and published it (Link, Archive). The assessment is available here (archive).
  • August 9, 2022: TIA Superhero w/David Rosenthal Milos Novovic and Rie Aleksandra Walle invited David to their Grumpy GDPR podcast to talk about international data exports and transfer impact assessments (Link, Archive).
  • August 9, 2022: Podcast - Gespräch über das Risiko beim Daten-Export David interviewed by Martin Steiger in his podcast "Datenschutz Plaudereien" about the risks of international transfers of personal data (Link, Archive).
  • August 4, 2022: TIAs: FAQ zur Methode Rosenthal One of several blog reports on Datenrecht.ch on the "Rosenthal Method" for calculating the risk of a foreign lawful access (Link, Archive).
  • March 3, 2022: Beschluss des Regierungsrates des Kantons Zürich zum Einsatz von Cloud-Lösungen in der kantonalen Verwaltung (RR 2022-0542), a decision of the Government of the Canton of Zurich, approving the use of M365 and declaring standard the "Rosenthal Method" for calculating the risk of foreign lawul access when using the cloud; the decision gained major attention across Switzerland and triggered various follow-up decisions along the same lines (Link, Archive).
  • March 17, 2022: Zoom adapts approach to privacy after intensive, collaborative consultation with SURF A press release by SURF (a cooperative association of Dutch educational and research institutions) informing that Zoom is using David's method for Transfer Impact Assessments (Link, Archive).
  • November 24, 2021: "Der Gesetzgeber hat mehr Bürokratie geschaffen" David interviewed by the Swiss IT weekly Computerworld on the revised Swiss Data Protection Act (Link, Archive).