Legal Session: AI-Chatbots, Bild- und Tonaufnahmen, Haftungsausschluss, …

Bild: Hinweis auf Legal Session am 30. Mai 2023An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 30. Mai 2023 beantworteten wir unter anderem Fragen zum Datenschutz bei AI-Chatbots, zur Einwilligung in Bild- und Tonaufnahmen am Arbeitsplatz und an Veranstaltungen sowie zum Haftungsausschluss auf einer Website.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 30. Mai 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Wir haben eine Haupt-Website und Ableger- oder auch Unter-Websites. Brauchen wir überall eine Datenschutzinformation?»

«Wie ist das nun mit Google Analytics? Kann dies in der Schweiz ab 1. September 2023 noch legal eingesetzt werden und wenn ja, unter welchen Bedingungen? (Opt-In, Opt-Out oder reine Information). Wir sind eine Internetagentur und möchten unsere Kunden entsprechend beraten.»

«Inwiefern haftet der Datenschutzberater mit dem Privatvermögen nach dem neuen Datenschutzgesetz?»

«Braucht es auf einer Website eine Seite Haftungsausschluss / Disclaimer? Weshalb Ja oder Nein?»

«Bei cookiebot.com habe ich die Möglichkeit eine Cookie-Deklaration ausgeben zu lassen (siehe z.B. ‹Cookie Declaration›). In welchen Fällen muss das gemacht werden machen? Wenn ja: Kommt die Deklaration auf eine eigene Seite oder in die Datenschutzerklärung?»

«Muss jedes Unternehmen ein Bearbeitunsgverzeichnis erstellen?»

«Was sollte man bei Film- und Fotoaufnahmen an Veranstaltungen beachten? Als Veranstalter möchte man den Event auf Social Media zeigen.»

«Brauche ich auf einer Hobbyseite ein Impressum mit Name und Adresse?»

«Wieso kann ich weiterhin sogar ohne Cookie-Banner Analytics verwenden, aber mit Google Fonts komme ich aufs Glatteis?»

«Hat die Domain Endung (zum Beispiel ‹.de›) einen Einfluss auf das geltende Recht?»

«Ich habe gehört, mit dem neuen Datenschutzgesetz (nDSG) drohe auch Haft und nicht nur Bussen. Stimmt das?»

«Nochmals die Frage nach Google Analytics in der Schweiz: Wir verstehen es so, dass das grundsätzlich weiterhin erlaubt ist mit dem neuen Datenschutzgesetz, wenn die Informationspflicht erfüllt ist und man sich nicht an EU-Bürger:innen richtet. Ist das korrekt?»

«Ein Benutzer (in diesem Fall ein Angehöriger der Firma XY mit Sitz in der Schweiz) besucht eine deutsche Website, die eine Software / ein digitales Produkt verkauft. Einige Zeit später (ca. 2 Wochen) erhält der Benutzer einen Anruf von der Firma auf deren Webseite das Produkt angeschaut wurde. Kontaktangaben wurden jedoch keine hinterlassen.

Die Frage, die geklärt werden muss, ist, wie kann ein Unternehmen die Kontaktdaten des Besuchers herausfinden, um dann mit Verkaufsabsichten einen Anruf zu tätigen. Ist das DSGVO- / nDSG-konform?»

«Betreffend Verwendung von Bild- und Tonaufnahmen: Wir versenden jeweils beim Eintritt ein Formular betreffend Einwilligung von Bild und Tonaufnahmen. (Es kann jeweils JA oder NEIN angekreuzt werden.) Das Formular wird dann an uns zurückgesendet. Nun melden uns vermehrt Angestellte, dass das ausgefüllte Formular von einem GL-Mitglied mit einer Unterschrift bestätigt und retourniert werden muss. Gemäss unserem Wissen ist dies jedoch nicht notwendig, oder sehen wir dies falsch?»

«Benötigt man eine Datenschutz-Folgenabschätzung, wenn CCTV-Überwachung in Büroräumen betrieben wird Die Daten werden lokal gespeichert und mit sehr resistivem Zugang. Wo beginnt man dann?

Falls dies der Fall ist, muss dies auch im Ausland (wie Indien) erfolgen, wenn Schweizer auch dort arbeiten oder als Kunde die Räumlichkeiten nutzen können? Wenn Schweizer oder Europäer im Ausland (wie Indien) Zugang zu den Räumlichkeiten haben, müssen auch Hinweisschilder zur Erfüllung der Informationspflicht bei Video-Überwachung angebracht werden?

Es stellt sich auch die Frage, ob es eine Datenschutz-Folgenabschätzung für die Zugangskontrolle zu Gebäuden mit Chipkarte oder Fingerprint erforderlich ist.»

«Welche rechtlichen Vorgaben sind einzuhalten, wenn Mitarbeiter ausserhalb der Schweiz z.b. in ihren Ferien in Griechenland arbeiten?»

«Darf eine Arbeitgeber auf den E-Mail-Account des Arbeitnehmers zugreifen? Zum Beispiel wenn der Arbeitnehmer verunfallt/erkrankt oder das Arbeitsverhältnis (Kündigung/Pensionierung) endet. Was wäre hier zu beachten?»

«Für die Pensionskasse wurde der Datenschutzberater der Arbeitgeberin ernannt. Benötigt es eine eigene Datenschutzrichtlinie für die Pensionskasse oder kann dies mit der generellen Konzernrichtlinie Datenschutz verwiesen werden?»

«Als Ausbildungsbetrieb für Menschen mit einer Beeinträchtigung, lassen wir neuerdings den Turnunterricht extern durch ein Berufsbildungszentrum durchführen (bisher wurde dieser Intern durchgeführt). Relevante Informationen für den Turnunterricht (z.b. Beeinträchtigungen etc.) haben wir bisher bei Eintritt abgefragt. Die relevanten Angaben der Lernenden werden wir nun zur Verfügung stellen müssen. D.h. Personalien, inkl. Beeinträchtigung, sodass das Bildungszentrum den Sportunterricht entsprechend gestalten kann und nicht durch den Unterricht die Gesundheit der Absolventen zu gefährden.

Das Eintrittsformular haben wir entsprechend angepasst, dass relevante Angaben an das Berufsbildungszentrum weitergeben werden. Mit der Unterschrift holen wir uns dafür auch die Ermächtigung zur Bearbeitung der Personendaten ab.Ist dies so rechtlich ausreichend oder haben wir etwas vergessen?»

«Gibt es spezifische Fälle, wo ein Auftragsverarbeitungsvertrag nicht notwendig ist? Zum Beispiel Zusammenarbeit mit Personalvermittler, Anwalt, Steuerberatung, Auditgesellschaft? Und wie sieht es aus bei Sportvereinen mit einem Sponsoringvertrag, wenn nur der Betrag überwiesen wird und keine sonstigen Personendaten bearbeitet werden? Oder wenn die Gesellschaft eine Wohnung inkl. Parkplatz vermietet?»

«Austausch von Daten mit Ländern ohne genügenden Datenschutz: Ist es notwendig, in der Datenschutzerklärung (oder in anderen Vertragsdokumenten) die einzelnen Länder ohne angemessenen Datenschutz einzeln aufzulisten, mit denen man tatsächlich einen Austausch pflegt? Oder genügt ein allgemeiner Hinweis? Beispiel: Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz ohne Auflistung der einzelnen Länder exportieren, wenn besondere datenschutzrechtliche Voraussetzungen erfüllt sind (ausdrückliche Einwilligung der betroffenen Personen, unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages, usw.).»

«Was ist eure Empfehlung für die Realisierung der Opt-out-Funktion auf einer Website und wann muss man im Rahmen des neuen Datenschutzgesetzes überhaupt ein Opt-out anbieten? Hintergrund: Im Gegensatz zur Datenschutz-Grundverordnung (DSGVO) ist kein Opt-in erforderlich. Aber zusätzlich zur reinen Information in der Datenschutzerklärung (vermutlich?) ein Opt-out.»

«Es stellt sich uns immer wieder die Frage, wie es mit dem Datenschutz und den neuen AI-ChatBots steht. Wir erklären dann jeweils, dass

  1. Die ChatBots (wie ChatGPT) zwar eigene Datenschutzrichtlinien haben, diese aber nicht unbedingt sehr ‹sicher› sind
  2. Dass man keine schützenswerten Daten in ChatBots eigeben soll.
  3. Man die ‹Ausflüsse› mit Vorsicht geniessen muss, da die Antworten ‹maschinen-generiert› sind,

WAS gibt es Eurer Meinung nach für ganz wichtige Punkte welche man in diesem Zusammenhang beachten müsste?»

«Wenn man Produktivitätstools aus den USA nutzt (Confluence, Trello; also kein User-Tracking) und mit diesen Tools Kundendaten wie Namen, E-Mails etc. abspeichert, ist man dann mit der Kette Auftragsverarbeitungsvertrag (AVV) – Standardvertragsklauseln (SCC) – Transfer Impact Assessment (TIA) genügend abgesichert?»

Podcast-Episode

Das Thema «Konzernprivileg» vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: