Legal Session: Cookie-Blocker, Google Analytics, Minderjährige, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 3. März 2022 ging es unter anderem um die Rechte von Minderjährigen im Datenschutz, die Browser-Erweiterung «I don’t care about cookies», Datenschutzverantwortliche, die Informationspflicht und die Zulässigkeit von Google Analytics.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 3. März 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, und Datenschutzberaterin Tanja Bischofberger thematisierten wir unter anderem folgende Fragen:
«Heute (3. März 2022) hat das Bundesamt für Justiz kommuniziert, dass das nDSG per 1. September 2023 in Kraft treten soll. Was heisst das? Ist das effektiv so zu erwarten oder wie sind solche Aussagen zu gewichten? Wann entscheidet der Bundesrat über eine solche Inkraftsetzung im Hinblick auf dieses Datum 1. September 2023?»
«Wir stellen unsere interne Offerten-Generierungs-Software als SaaS einer Drittfirma zur Verfügung, wir sind Datenverarbeiter. Kundenanfragen und Offertendaten sind bei uns auf dem System abgelegt. Die Drittfirma besteht mit Begründung nDSG darauf, dass wir vorgängig das Einverständnis einholen, um einen Drittdienstleister beizuziehen. Sprich, wenn ich ein externer Fachexperte beziehen möchte und diesem Zugriff auf die Produktivdaten geben möchte, muss ich zuerst fragen. Ist das wirklich so? (Das ist ja nicht praktikabel für einen Hostinganbieter mit x 1’000 Kunden.) Wie sollen wir das sinnvollerweise lösen?»
«Wieso genau ist jetzt Google Analytics verboten?»
«Gottseidank gibt es das Browser-Plugin ‹I don’t care about cookies›. Nun aber meine Frage: Akzeptiere ich rechtlich gesehen dann die Cookies wenn ich die Meldungen einfach ausblende? Eigentlich ja nicht, da ich die Meldung gar nicht sehe, aber ich habe sie natürlich bewusst ausgeblendet und damit akzeptiert …?»
«Kennt der Datenschutz ein Alter, z.B. wenn Betroffene ihre Rechte verlangen oder wenn es um die Bekanntgabe der Daten von Betroffenen geht? Muss z.B. eine Einwilligung bei den Eltern eingeholt werden oder muss diese ab einem bestimmten Alter bei den Betroffenen selbst eingeholt werden?»
«Wenn ein Unternehmen mehrere Arztpraxen betreibt. Wer ist verantwortlich nach Datenschutzrecht, das Unternehmen oder die jeweiligen Ärzte der Arztpraxen bzw. die Arztpraxen? Sind Mitarbeitende dieses Unternehmens (z.B. Finanzen, HR etc.) dann auch Hilfspersonen oder nur die Angestellten in der Praxis?»
«Meine persönliche Meinung möchte ich zur Einwilligung zwecks Cookies in der Schweiz hier wiedergeben. Nach dem neuen Schweizer DSG müssten, meiner Ansicht nach, die betroffenen Personen schon in die Bekanntgabe von Personendaten durch Web-Tracking-Cookies einwilligen, sofern Daten ins Ausland ohne Gewährleistung eines geeigneten Datenschutzes übertragen werden (aktueller Stand z.B. USA). Hierfür wäre dann auch in der Schweiz ein Cookie-Banner erforderlich. Teilen Sie diese Einschätzung?»
«Welche rechtlichen Entwicklungen sind heute in der EU im Datenschutz zu erkennen (AI, …)? Welche Gesetze sind in der Pipeline und könnten uns (in einigen Jahren?) einholen? Wo finde ich eine Übersicht dieser Entwicklungen?»
«Wie ist der Verantwortliche im nDSG von der verantwortlichen Stelle beim Verzeichnis der Bearbeitungstätigkeiten nach nDSG zu unterscheiden?»
«Das nDSG definiert den Verantwortlichen als ‹private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.›
- Wie ist diese private Person zu verstehen? Ist das eine natürliche Person oder kann das auch eine juristische Person sein?
- Müsste bei einer natürlichen Person dann z.B. immer der Name der Person auf der Website genannt werden statt der Firmenname, wie das heute teilweise gemacht wird?»
«Wie erfüllen wir die Informationspflicht gegenüber Kunden und Mitarbeitern nebst der Datenschutzerklärung (evtl. notwendige Klauseln in AVB)? Benötigen die Unternehmen zwingend einen Datenschutzverantwortlichen?»