Legal Session: Datenschutzerklärung, Double‑Opt‑in, E‑Mail‑Versand, Microsoft 365, …

Bild: Hinweis auf Legal Session am 18. Oktober 2022An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 18. Oktober 2022 beantworteten wir unter anderem Fragen zu Datenschutzerklärungen für analoge Tätigkeiten einer Firma, Double-Opt-in, dem datenschutzkonformen E-Mail-Versand mit MailPoet oder Mailchimp und Microsoft 365.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 18. Oktober 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Gibts irgendwo gute Anleitungen zum konformen Einrichten von MailPoet und MailChimp?»

«Eine Schweizer Firma mit Online-Präsenz in der EU (insbesondere Deutschland) will einen weltweiten Newsletter verschicken. Ist Double-Opt-in notwendig?»

«Was bedeuten / erfordern die Nachvollziehbarkeits- und Protokollierungsvorschriften aus Art. 3 Abs. 3 und Art. 4 der Datenschutzverordnung (DSV) für eine praktische Umsetzung?»

«Ich bin kein Jurist. Deshalb ist meine Frage für mich nicht trivial: Verlangt das Schweizer Recht (nicht nur zum Datenschutz, sondern auch zur Cybersicherheit oder Ähnliches) eine Melde- oder andere Pflicht, wenn eine Datenschutzverletzung festgestellt wurde? Falls ja:

  1. Welche welche Verpflichtung (z.B. Meldepflicht) gibt es in welchem nationalen Gesetz?
  2. Gibt es konkrete Anforderungen oder rechtliche Voraussetzungen, ab wann eine solche Meldung zu erfolgen hat (beispielsweise was löst eine solche Pflicht aus?)
  3. Gibt es eine Frist, um diese Verpflichtung einzuhalten?»

«Datenschutzbeauftragter ab 20 Mitarbeitern: Kommt es darauf an, wo die Mitarbeiter sitzen?»

«Der angebotene Datenschutz-Generator ist ja für den Betrieb von Websites ausgelegt. Kann man die erstellte Datenschutzerklärung nur für die Website verwenden oder genügt diese auch für das Nicht-Online-Geschäft einer Firma? Beziehungsweise soll oder muss man für die Nicht-Online-Tätigkeiten eine weitere Datenschutzerklärung erstellen?»

«Was gilt für Closed-Circuit Television (CCTV) im neuen Datenschutzgesetz (DSG)?»

«Ist bei Microsoft 365 mit dem Server-Standort in der Schweiz alles in Ordnung?»

«Wir verwenden für unsere Voice over IP (VOIP) im Geschäft den Zürcher Anbieter peoplefone AG. Sollte dieser als Bestandteil in der Datenschutzerklärung unter ‹Digitale Infrastruktur› aufgeführt werden? Wenn ja, könnten Sie VOIP im Generator noch nachführen? Danke!»

«Es heisst immer, es gäbe Bussen. Wie gross ist das Risiko wirklich?»

Die Fragen zum Datenschutz-Generator und zu Datenschutzerklärungnen vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: