An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 7. März 2023 beantworteten wir unter anderem Fragen zur Notwendigkeit von Cookie-Banner, E-Commerce, der Löschpflicht bei Backups und Analysen und dem Datenschutz in Volksschulen.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 7. März 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Wir können keine einzelnen Files aus einem Server-Backup löschen (das Backup hat als Ganzes eine Integrität) und auch sonst ist unser Backup-System technisch so aufgebaut, dass aus Sicherheitsgründen ein manuelles Löschen von Backups nicht vorgesehen ist. Backups, die älter sind als 30 Tage, werden automatisch gelöscht. Falls wir nun ein Löschbegehren erhalten, würde ich die Daten löschen, das Backup jedoch ignorieren und damit argumentieren, dass die Backups ohnehin nach 30 Tagen gelöscht werden. Spricht da etwas dagegen?»

«Welche Aufbewahrungsfrist ist zu Analysezwecken und Modellrechnungen maximal zulässig?»

«Können wir für unsere Kunden, wenn wir in deren Auftrag Personendaten verarbeiten, den Auftragsverarbeitungsvertrag (AVV) als Bestandteil der AGB haben oder braucht es einen AVV, der explizit auf den Namen des Kunden ausgestellt wird?»

«Wieso kann ich beim Datenschutz-Generator nicht auswählen, dass gar keine Cookies verwendet werden? Beispiel: Matomo.»

«Wir verwenden Matomo nur lokal. Brauche ich ein Cookie-Banner mit Widerspruchsrecht?»

«Wenn mein Unternehmen im Rahmen einer Liquidation die Konkursmasse eines anderen Unternehmen aufkauft und dabei das ganze Inventar inkl. Kundenkartei übernimmt, darf mein Unternehmen die übernommenen Adressen/Daten der Kundenkartei verwenden, um den Kunden ungefragt Werbung/Newsletter und Angebote zukommen zu lassen? Braucht es eine Einwilligung der Kunden oder müssen die Daten gar unverwendet vernichtet werden?»

«Mal wieder zurück zu den Basics: Berechtigungskonzepte bzw. Verhältnis­mässigkeits- und ‹Need-to-know-Grundsatz›. Es geht um die Optik ‹Bundesorgan›. Ich vertrete jeweils den Grundsatz, dass bei Dokumentenmanagementsystemen, Fachanwendungen, CRM-Systemen etc. (in welchen im Prinzip immer auch mindestens Kontakt- und damit Personendaten bearbeitet werden) die Zugriffsberechtigungen innerhalb der Verwaltungseinheit immer sehr restriktiv zu gestalten sind. Es sollen nur jene Mitarbeitenden Zugriff zu jenen Personendaten haben, die sie für die ordentliche Aufgabenerfüllung benötigen. Wie streng man das macht, ist dann aber letztlich die Frage. Zu eng, dann können die Leute nicht mehr arbeiten bzw. gelangen ständig an die IT. Zu weit geht gar nicht, dann sehen alle alles.»

«Um zu verhindern, dass jedes Unternehmen derselben Branche, in unserem Fall das Pensionskassen-Management, sich quasi von Grund auf immer wieder dieselben Fragen und von A-Z alles selber auf die Beine stellen muss, hätte mich interessiert, ob euch spezifische branchenbezogene Plattformen mit Vorlagen bekannt sind, damit es schneller und einfacher ginge? Selbstverständlich sind dann Individualitäten pro Unternehmen wieder einzeln zu berücksichtigen, aber das Gerüst wäre schon mal ‹gebaut›. Herzlichen Dank zum Voraus für die Beantwortung / Berücksichtigung.»

«Wenn wir im Auftrag eines Kunden (eine Firma) eine Recherche auf den verschiedenen Social-Media-Plattformen betreiben betreffend Personen, die über diese Firma etwas posten, und dann eine entsprechende Liste mit diesen Personen erstellen: Was muss ich dabei laut neuem Datenschutzgesetz (nDSG) beachten? Was darf ich? Was darf ich nicht? Auf der Liste stehen der Name der Person, was er publiziert hat und wie er sich zur Firma äussert.»

«Was ist für die Erwähnung eines Shops in der Datenschutzerklärung massgeblich? Die direkte Bezahlung auf der Website oder auch schon der Abschluss des Kaufvertrages (oder beides)? Beispiel: Man kann sich mit einem einfachen Kontaktformular verbindlich für einen Kurs anmelden. Kreuzt an, dass man zum Beispiel die AGB gelesen hat und sich verbindlich für den Kurs anmeldet. In den AGB steht, dass man eine Rechnung bekommt, die vor dem Kurs beglichen werden muss. Kommt das als E-Commerce in die Datenschutzerklärung?»

«In der aktuellen Ausgabe von ‹WEKA Datenschutz› schreibt Rechtanwältin Eleonor Gyr zum Thema Sanktionsregime des neuen Datenschutzgesetzes (nDSG): ‹allenfalls arbeitsvertragliche Ergänzung zur Absicherung von allfälligen monetären Folgen der Aufgabe als datenschutzverantwortliche Person im Unternehmen›.»

«Wir haben verschiedene Anbieter (z.B. Microsoft 365, MOCO für Leistungserfassung), die ihrerseits mit Firmen in den USA zusammenarbeiten. Damit findet ja auch ein Export von Personendaten in die USA statt. Wir haben bereits einen Auftragsverarbeitungsvertrag (AVV) mit diesen Firmen. Was muss ich noch konkret tun, da ja offensichtlich ein Export in unsichere Drittländer (USA) stattfindet? Kann ich davon ausgehen, dass diese Firmen den Datenschutz mit sogenannten Standardvertragsklauseln (englisch: Standard Contractual Clauses, SCC) gewährleisten?»

«Ich habe eine Frage zur privaten Videoüberwachung hinsichtlich der Erfassung von öffentlichem Grund. Angenommen die Kamera vor meiner Haustüre erfasst auch den öffentlichen Gehweg. Reicht es eurer Meinung nach aus, wenn man mittels der zur Verfügung stehenden Software den öffentlichen Bereich ausblendet, also nur den privaten Bereich überwacht? Denn in einer logischen Sekunde wird die Hardware meines Erachtens auch den öffentlichen Bereich erfassen und erst dann greift die Software ein und macht den öffentlichen Bereich unkenntlich.»

«Muss eine Volksschule mit dem neuen Datenschutzgesetz (nDSG) ihre Webseite anpassen und falls ja, wie?»

«Eine Firma vertreibt Leistungen im In- und europäischen Ausland, welche über die Website bezogen werden können. Im Verkaufstool werden Kundendaten gespeichert, die Verkäufe werden analysiert (Conversion Analyse). Muss ein Cookie Banner eingesetzt werden, besteht eine Opt-in-Pflicht für den User und gibt es eine Anpassung gemäss Schweizer Recht ab September?»

«Muss eine Mitarbeiterliste mit Wohnadresse, persönlicher Handynummer und Geburtsdatum beim HR lokal gespeichert werden oder kann dies auf einem Public Folder gehalten werden mit Einblick durch sämtliche Mitarbeiter?»

«Eine Firma vertreibt Leistungen im In- und europäischen Ausland, welche über die Website bezogen werden können. Kunden, welche auf der Website gewesen sind, werden mittels Re-Marketing erneut angesprochen. Muss ein Cookie Banner eingesetzt werden und besteht eine Opt-in-Pflicht für den User?»

«Ausgangslage (Bildlizenzen): Unsere Kunden haben die Möglichkeit, Stammdaten via Formular einzugeben. Dazu gehörten auch Fotos ihres Betriebes. Wir möchten aber nur Medien verwenden, welche lizenzfrei sind, sprich unter der Creative-Commons-Lizenz stehen. In diesem Zusammenhang haben wir im Formular folgenden Paragraph drin:

‹Umfang der Rechteübertragung bzw. Rechteeinräumung. Soweit übertragbar, werden sämtliche Rechte, insbesondere Urheberrechte, an den Werken auf die Destination übertragen; Der ERFASSER verzichtet ausdrücklich auf die Ausübung seiner Urheberpersönlichkeitsrechte, die nicht übertragen werden können, namentlich das Veröffentlichungsrecht, die Werkintegritätsrechte, das Anerkennungsrecht (Nennung als Urheber), das Recht zur Festlegung der Urheberbezeichnung, den Entstellungsschutz, das Zutritts- und Ausstellungsrecht sowie den Schutz vor Zerstörung; Der LIZENZNEHMER kann frei über die Werke verfügen.›

Nun wurde von einem Kunden folgendes bemängelt: Dies sei so juristisch nicht haltbar. Speziell der Punkt 3 der Lizenzbedingungen, dass die Rechte an die uns übertragen werden, sei nicht möglich. Weil in diesem Fall dürfte der Kunde die Bilder selbst nicht mehr verwenden (ausser wir erlauben es ihm wieder über die CC0-Lizenz). Stimmt das?»

Podcast-Episode

Das Backup-Thema vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: