An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 31. Januar 2023 beantworteten wir unter anderem Fragen zum Auftragsverarbeitungsvertrag (AVV), dem Daten-Export in die USA und andere Drittstaaten, den Daten von verstorbenen Personen und den Löschbegehren über Say Mine. Aufgrund der vielen Fragen von Mitgliedern wurde die Legal Session spontan auf eine Stunde verlängert.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 31. Januar 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Beim Verschicken von URLs in E-Mails wendet Microsoft die sogenannte ‹Safelink-Protection› an, was gut für die Sicherheit ist. Da in der kontrollierten URL aber auch die E-Mail-Adresse des Adressaten hinterlegt ist, kann Microsoft verfolgen, wer welche URL besucht. Ist dieses Datensicherheits-Feature aus Datenschutzsicht problematisch?»

«Gibt es eine Gültigkeitsdauer für die Newsletter Einwilligungen?»

«Wir erhalten ein Löschbegehren von ‹Max Muster› und löschen ihn aus unserer Datenbank. Zwei Wochen später kaufen wir Max Muster als Prospect wieder über unseren Broker ein und versenden Briefpost. Max Muster wird nicht erfreut sein. Wie argumentieren wir bei einer Reklamation?»

«Ist hinsichtlich Art. 3 Abs. 1 lit. a nDSV eine Datenablage, bei der alle Mitarbeiter auf jegliche Projektordner (keine hochsensiblen Personendaten) Zugriff haben, noch zulässig? Oder müssen alle Projektordner bzw. Kundendaten so gesichert werden, dass nur jeweils diejenigen Mitarbeiter darauf Zugriff haben, die aktuell am Projekt arbeiten?»

«Wenn ich eine Wix-Website habe, muss ich dann im Datenschutz-Generator unter Tracking ‹Andere Dienste› ankreuzen? Wix trackt ja immer. Oder wird das schon beim Punkt Baukasten abgehandelt?»

«Unsere Organisation definiert in einem Standard für unsere Mitglieder, dass externe Partner mit Einsicht in Responsedaten diese nicht für andere Aufträge nutzen dürfen (keine Markierung/Impfung) und dass dieses Vorgehen vertraglich festgehalten werden muss. Nun stellt sich die Frage, ob es ausreicht, im Vertrag zu definieren, dass alle Spenderdaten (Personendaten) nur im Rahmen des Auftrags eingesetzt werden dürfen. Oder müssen Responsedaten explizit erwähnt werden, da sie nicht deckungsgleich mit Personendaten sind?»

«Thema E-Mail-Verschlüsselung: Wir nutzen eine bestimmte Verschlüsselungslösung (SeppMail). Bestimmte Empfänger, verweigern die Annahme mittels dieser Verschlüsselungslösung, da sie eine andere verwenden (beispielsweise HIN) und kein kostenloses Login dafür erstellen wollen. Sie bitten dann darum, die Angaben anders zu übermitteln (Telefon, Brief, etc.). Sind die Empfänger nicht dazu verpflichtet, das verschlüsselte E-Mail so anzunehmen? Wir verwenden schliesslich eine anerkannte Mail-Verschlüsselungslösung.»

«Die DSV nennt in Art. 3 Abs. 3 Massnahmen für die Nachvollziehbarkeit. Was bedeutet das konkret und wie ist vorzugehen, wenn Systeme das heute nicht können?»

«Gibt es ‹Mindest-TOM›, die jeweils implementiert und auch in einem Auftragsverarbeitungsvertrag (AVV) abgedeckt sein müssen?»

«Frage zu Bewerbungen: Gelten beim firmeninternen Weiterleiten von Bewerbungsunterlagen, welche per E-Mail an die HR-Abteilung oder an andere Vorgesetzte eingegangen sind, besondere Sicherheitsmassnahmen? Dürfen diese grundsätzlich firmenintern an die berechtigten Empfänger gesendet werden?»

«Wir, ein Schweizer Vermögensverwalter, haben unter anderem eine Tochtergesellschaft in Deutschland, die sich bei Microsoft 365 nicht sicher ist, ob dessen Einsatz rechtssicher ist. Ebenfalls hat heise.de diesen Beitrag über Office 365 publiziert.»

«Ich lese in Art. 31 Abs. 1 ZGB ‹[…] die Persönlichkeit endet mit dem Tod›. Zu verstorbenen Personen können trotz beendeter Persönlichkeit weiterhin personenbezogene Daten existieren. Werden personenbezogene Daten an die Nachkommen vererbt? Wie reagieren wir bei Auskunfts- oder Löschbegehren zu verstorbenen Personen? Sollen wir eine Erbenbescheinigung verlangen? Müssen wir mit Daten von verstorbenen Personen in unseren Datenbank anders umgehen als mit Daten noch lebender Personen?»

«Wenn ich Reseller bei Metanet bin, muss der Seitenbetreiber mit mir oder mit Metanet eine Vereinbarung zur Auftragsverarbeitung schließen?»

«Wie sieht es aus mit Kamera-Attrappen und Schildern, auf denen nur eine Kamera oder alle demnächst notwendigen Angaben abgebildet sind, wenn man gar keine Video-Überwachung macht? Kann das im Sinne von Täuschung zur Anzeige gebracht werden?»

«Wir bieten die Möglichkeit, dass sich Nutzer:innen online auf einer Website für Kurse anmelden können. Die Daten werden in einem einfachen Event-Management Tool gespeichert und den Nutzer:innen werden nach dem Kurs Unterlagen per Mail versendet über das Tool. Was gibt es hinsichtlich dem Datenschutz zu beachten?»

«Muss ich mit unserem externen IT-Supporter, der keine Personendaten bearbeitet, aber für unsere Datensicherheit zuständig ist, einen Auftragsverarbeitungsvertrag (AVV) abschliessen?»

«Gibt es eine Vorlage für einen Auftragsverarbeitungsvertrag (AVV) für die Schweiz? Ich habe nur solche für Deutschland (DSGVO) gefunden.»

«Reicht es, die verschiedenen Auftragsverarbeitungsverträge (AVV) unserer Auftragsverarbeiter abzulegen? Oder muss ich sonst noch was damit tun? Zum Beispiel bei 1Password kann ich den Vertrag herunterladen, muss ihn aber unterzeichnen. Bei anderen Verarbeitern ist das nicht nötig.»

«Ich habe auf den EDÖB-Seiten das «Swiss Transborder Data Flow Agreement» als Word-Template gefunden. Ist dieses ein Auftragsverarbeitungsvertrag (AVV) und wenn ja, ist dieses empfehlenswert? (Ich finde die verschiedenen Begriffe überall verwirrend ;).»

«Welche Kriterien gelten für die Einstufung von Metadaten als personenbezogene Daten?»

«Wenn Daten in unsichere Staaten exportiert werden, benötigt es Standardvertragsklauseln. Ist zusätzlich noch ein Auftragsverarbeitungsvertrag (AVV) erforderlich, nützlich (etwa um weitere Details zu den Standardvertragsklauseln zu klären, da diese ja nicht angepasst werden dürfen) oder ungültig?»

«Wie muss ich Affiliate-Links kennzeichnen? Viele Webseiten kennzeichnen diese mit einem Stern (*). Oft dazu noch eine extra Zeile in der Fusszeile. Reicht es nicht, wenn es in der Datenschutzerklärung steht oder in den AGB?»

«Im Datenschutz-Generator von Datenschutzpartner steht die Frage zu den Schriftarten, hier kann ich zum Beispiel Google Fonts oder Adobe Fonts auswählen. Reicht es für den Webseiteninhaber, die Verwendung von externen Schriftarten auf diese Art rechtlich zu hinterlegen oder muss ich die Schriften auf den Server laden, um keine Abmahnung zu erhalten?»

«Habe ich rechtlich gesehen irgendeinen Nachteil, wenn ich eine Website mit Squarespace aus den USA betreibe? Gilt in irgendeinem Fall das Recht der USA? Oder auch bei anderen Plattformen wie Shopify aus Kanada oder Wix aus Israel?»

«Als kleine PR-Agentur haben wir in der Regel weniger mit Personendaten als vielmehr mit Informationen zu tun, die Firmen betreffen. Macht das neue Datenschutzgesetz (nDSG) diesbezüglich keinen Unterschied? Was sind die Mindestanforderungen, die wir im Hinblick auf das neue Datenschutzgesetz (nDSG) erfüllen müssen (wir haben bereits eine Datenschutzerklärung auf unserer Website, ein Datenbearbeitungsverzeichnis, verschriftlichen unsere TOM)?»

«Wir bekommen wiederholt automatisierte Löschbegehren von Say Mine. Wie sollen wir damit umgehen? Inhalt der E-Mail ist nur ein Vorname, Name sowie das Datum des ursprünglichen E-Mail-Kontakts mit unserem Unternehmen.»

«Wir sind eine Stiftung, die teilweise auch Berührungspunkte mit dem europäischen Raum hat. Daher stellt sich bei uns die Frage, ob wir dadurch unter das europäische Gesetz fallen? Folgende Berührungspunkte haben wir:

• Stiftungsräte aus EU-Raum
• wenig Förderprogramme, die wir gemeinsam mit deutschen Stiftungen fördern
• wenig Förderpartner:innen aus dem EU-Raum
• wenig Social Media Präsenz in EU-Raum»

«Bei einem Vertrag mit einem Fundraiser: Wenn definiert ist, dass alle Spenderdaten nur im Rahmen des Auftrags eingesetzt werden dürfen, umfasst das auch alle Responsedaten? Oder müssen Responsedaten explizit erwähnt werden, da sie nicht deckungsgleich mit Personendaten sind?»

«Art. 3 Abs. 3 DSV: ‹Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen› – was bedeutet das? Was, wenn ein System die Anforderungen nicht erfüllt? (zum Beispiel Eingabekontrolle und Bekanntgabekontrolle)».

«Wir haben einen Dienstleister, der möchte, dass wir Fragen zum Datenschutz beantworten (es sind auch Personendaten betroffen). Diese Daten werden aber in den USA gespeichert und verarbeitet. Die USA sind ein unsicherer Drittstaat, ist das überhaupt möglich/erlaubt?»

«Ist geplant, dass es im Datenschutz-Generator von Datenschutzpartner zukünftig auch Hinweise zu den geltenden kantonalen Datenschutzgesetzten gibt?»

Podcast-Episode

Die Fragen zu Löschbegehren und Squarespace vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: