Legal Session: Google Fonts, Liechtenstein, übersetzte Daten­schutz­erklärungen, …

Bild: Wandtafel mit FragezeichenAn Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 3. Februar 2022 ging es unter anderem um die Zulässigkeit von Google Fonts, die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) bei B2B-Kunden im Fürstentum Liechtenstein und um die maschinelle Übersetzung von Datenschutzerklärungen.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 3. Februar 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Kann ich eine Datenschutzerklärung für mehrere Websites nutzen? Sprich diese auf der Website der Firma publizieren. Der Link dazu wird dann bei den jeweiligen Produkt-Websites (andere Domain, aber gleiche Firma) angehängt.»

«Wir verwenden auf unserer Website auch die Google Fonts. In einem aktuellen Newsletter von Dr. Schwenke empfiehlt er zwecks Risikominimierung diese Fonts nicht bei Google abzurufen, sondern die Schriftarten bei Google herunterzuladen und dann auf unseren Server hochzuladen. Dadurch würde man keine Verbindung zu Google eingehen. Was halten Sie von dieser Empfehlung? (vermutlich am Besten wäre, wenn man gar keine Google Fonts einsetzt …)»

«Wir offerieren B2B-Services in der Schweiz, aber auch Firmen in Liechtenstein können Mitglieder bei uns werden und unser Produkt nutzen. Müssten wir also die EU-DSGVO umsetzen für unsere Liechtensteiner Kunden, oder wird das nDSG greifen?»

«Welche Strafen gelten für Bundesorgane bzw. wie unterscheiden sich die Strafbestimmungen für Bundesorgane und Private?»

«Nun ist es so, dass die meisten Websites unserer Kunden mehrsprachig sind. Darum möchten wir Sie gerne fragen, ob Sie es bedenklich finden, wenn wir die Gesetzestexte, die wir von Ihnen beziehen würden, mit einem Übersetzungstool wie z. B. deepl.com übersetzen lassen würden? Oder bieten Sie bereits Lösungen an für die verschiedenen Sprachen? Oder würden Sie empfehlen, die Gesetzestexte einem spezialisierten Übersetzungsbüro zuzusenden? Dies wäre dann aber wiederum mit erheblichen Kosten verbunden.»

«Welches Interesse zur Einhaltung des Datenschutzes besteht konkret für Bundesorgane, sofern für sie keine Bussen in Frage kommen?»

«Soll man Social Share Buttons überhaupt noch einbinden auf seiner Website?»

«Wieso erscheint in der Datenschutzerklärung LinkedIn?»

«Wie erstelle ich eine TOM? Was sind mögliche Stolpersteine?»

«Welchen Einfluss hat die DLT (Distributed-Ledger-Technologie / Blockchain) auf den Schutz und die Bearbeitung von Personendaten?»

«Kantonale DSG: Wann, wieso und für wen anwendbar? Und insbesondere, wie man das in der Praxis «schnell» feststellen kann.»

«Obligatorischer Datenschutzbeauftragter: Ich verstehe bei diesem Punkt nicht ganz, was verlangt wird. Muss ich einen Datenschutzbeauftragten bestimmen? Wer kann das sein bzw. muss es eine «externe» Person sein?»

«Einwilligungen und wie man herausfindet, wann und in welcher Form diese notwendig sind.»

«Kann die DSGVO auch für Behörden (Bund, Kantone, etc.) anwendbar sein?»

«Wie sollte man sich verhalten, wenn man als Schweizer Unternehmen eine Busse nach DSGVO erhält? Ist das überhaupt möglich?»

«Kann Mailchimp (USA) noch datenschutzkonform eingesetzt werden oder ist eine Alternative empfehlenswert?»

«Wir sind ein 2-Leute-Betrieb in den Bereichen IT, Web und Grafik. Einerseits führen wir Netzwerk-Dokumentationen, in denen sämtliche Logins, Server-Infos etc. von Geschäftskunden vermerkt sind. Dann sagen viele unserer (privaten) Kunden, dass wir doch bitte die Passwörter bei uns speichern sollen – so gingen sie nicht verloren. Wenn es um Websites geht – nun, auch hier: alle Logins für alle Zugänge. CMS, FTP, Statistiken … Von einigen Kunden haben wir auch eine zusätzliche Datensicherung, die auf unser hausinternes Netzwerk gespeichert wird. Dann kommt auch dazu, dass wir von vielen unserer langjährigen Kunden z.B. Geburtsdatum oder einen kleinen Vermerk “Enkeltochter im Dezember geboren”, “Ehefrau heisst Susi” oder ähnlich führen. Dann haben wir noch Dienste wie z.B. Serverüberwachung mit einer Software, Hosting-Partner, Backup-Lösungen etc. Müsste man da auch von jedem Lieferanten so eine Zusammenarbeitserklärung anfordern, die wir unterschreiben und eine Kopie davon unseren Kunden zustellen? Ist es realistisch, wenn wir ein Formular für alles vorsehen, indem es heisst, wir haben quasi die All-Vollmacht für diese Daten? Wenn ja, wie komme ich zu so einer Vorlage? Habt ihr so etwas im Angebot? Denn ich denke, wenn wir diese von unseren Kunden unterschreiben lassen, wären wir auf der sicheren Seite. Richtig, oder übersehen wir etwas?»