Legal Session Special: Fragen zum Datenschutz-Generator und zu Datenschutzerklärungen
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session Special vom 7. November 2023 konnten ausnahmsweise auch Kundinnen und Kunden, die unseren Datenschutz-Generators verwenden, Fragen stellen. Der Fokus lag entsprechend auf dem Datenschutz-Generator und auf Datenschutzerklärungen.
Einleitend erklärte Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, wieso eine Datenschutzerklärung erforderlich ist und was in einer Datenschutzerklärung inhaltlich stehen muss. Danach beantwortete Martin Steiger zahlreiche Fragen zu Datenschutzerklärungen und zum Datenschutz-Generator.
Aufzeichnung, Folien und thematisierte Fragen
Nachfolgend kann die aufgezeichnete Legal Session angesehen oder angehört werden. Weiter können die thematisierten Fragen nachgelesen werden.
Aufzeichnung
Audio-Aufnahme: Download als MP3-Datei.
Thematisierte Fragen
An der Legal Session vom 7. November 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Inwiefern taugt der Datenschutz-Generator zum Erstellen einer allgemeinen Datenschutzerklärung für eine Firma und nicht nur für deren Website? Sind dazu alle relevanten Aspekte berücksichtigt?»
«Wir erstellen eine Umfrage über Survio und wollen diese auf unserer Webseite einbetten und über div. Social Media, per Mail, Links in Blogbeiträgen, etc. bewerben. Müssen wir – und wenn ja, wie – in der Datenschutzerklärung darauf hinweisen? Habe im Generator nichts gefunden.»
«Wird es zukünftig möglich sein, auch kantonale Datenschutzgesetze auszuwählen?»
«Wer ist verantwortlich für die Datenschutzerklärung, die Agentur oder der Kunde?»
«Sehen wir die Änderungen, wenn wir mit dem Datenschutz-Generator eine neue Version erstellen? Dies können Änderungen im Tool von Ihrer Seite oder Veränderungen von unserer Seite betreffen. Grund: Wir haben die Datenschutzerklärung auf Französisch übersetzt. Deshalb wäre es hilfreich, die Änderungen sofort zu sehen, damit nur diese Textpassagen übersetzt / überarbeitet werden müssen.»
«In einem früheren Podcast habt ihr darauf hingewiesen, dass es nicht Datenschutzerklärung heissen soll, sondern Datenschutzhinweise – was ist nun zu empfehlen?»
«Meine Frage ist über das Thema Newsletter. Wie und wo soll / muss man dies in einer Datenschutzerklärung erwähnen?»
«Werden wir informiert, wenn der Datenschutz-Generator inhaltlich ergänzt / angepasst wird, damit die Datenschutzerklärung aktualisiert werden kann? Und/oder gibt es eine Historie der Änderungen am Datenschutz-Generator (was wurde wann ergänzt / angepasst), um diese Änderungen nachvollziehen zu können?»
«Während dem laufenden Abonnement kann man den Datenschutz-Generator beliebig oft nutzen, z.B. um die erstellte Datenschutzerklärung zu aktualisieren. Wie weiss man, ob es zwischenzeitlich eine Aktualisierung der Datenschutzerklärung gegeben hat? Wird man via Nachricht (Newsletter) informiert?»
«Jede Schweizer Website kann von der EU aus aufgerufen werden, so dass auch Daten von EU-Bürgern gesammelt werden, selbst wenn das Unternehmen nicht in der EU tätig ist. Ab wann braucht es einen EU-Datenschutzbeauftragten? Insbesondere bei einem Konzern mit einer gemeinsamen Website / Datenschutzerklärung für alle Teilkonzerne, aber nur einer Tochtergesellschaft, die auch Dienstleistungen in der EU erbringt.»
«Muss eine Buchhaltungs-Software (z.B. Bexio), welche nicht direkt mit der Website verknüpft ist, aber bei Zusammenarbeit Kundendaten speichert, in der Datenschutzerklärung genannt werden?»
«Datenschutz-Generator-Frage: ‹Wird ein Dienstleister für den Versand von Mitteilungen genutzt?› Muss man hier ‹ja› sagen, wenn man Microsoft 365 nutzt (unabhängig ob man Newsletter sendet)? Denn Exchange-Server ist ja bei Microsoft in der Cloud.»
«Ein Kunde kauft resp. spendet über die Website. Muss für weiteres E-Mail-Marketing, dessen Inhalte produkte- resp. spendenspezifische Inhalte enthält, dafür ein Consent bestehen resp. ein Double-Opt-In-Prozess durchgeführt werden?»
«Unser Kunde hat eine Wildtierfoto- und Videofalle über einem Bewegungsmelder zur Aufzeichnung von Diebstahl und zur Beschädigungsüberwachung vom eigenen Nebengebäude mit Materialien, welche manchmal von Leuten einfach gestohlen werden. Muss ich die Videoüberwachungsanlage-Frage mit Ja beantworten?»
«Soweit mir bekannt muss in der Datenschutzerklärung alles Datenschutzrelevante zur Firma angegeben werden. Wenn die Firma mehrere Produkte anbietet, die die Daten unterschiedlich bearbeiten: Müssen dann alle Datenschutzerklärungen aller Produkte jeweils auch alle Datenbearbeitungen auflisten (auch solche, die nur durch andere Produkte der gleichen Firma gemacht werden)?»
«Warum macht man nicht einfach eine Datenschutzerklärung mit sämtliche Dienste? Es liest ja so oder so niemand diese Erklärung, Hauptsache, man ist als Betreiber einer Website abgesichert.»
«Kennt Ihr ein Termintool, das von Ärzten oder Anwälten (Art. 321 StGB, Verletzung des Berufsgeheimnisses) datenschutzkonform verwendet werden kann? (Trotz langer Suche ist mir immer noch keines untergekommen, auch wenn viele Anbieter das behaupten!) Denn dies ist ja richtig in der Datenschutzerklärung aufzunehmen – Textvorschlag?»
«Was tue ich als Betreiber einer Wordpress-Website, wenn wichtige Plugins (Funktionserweiterungen) aus den USA (noch) keinen Auftragsverarbeitungsvertrag anbieten? Muss ich zwingend auf das Plugin verzichten?»
«Es sollte doch möglich sein, die Datenschutzerklärung in Englisch, Französisch, Italienisch anzubieten. Der HTML-Code ist super aber wenn man diesen übersetzen möchte ist es sehr mühsam. Arbeitet daran bitte! Danke euch.»
«Muss ich jedes Mal bei Änderungen den kompletten Generator neu ausfüllen? Oder gibt es eine Möglichkeit nur die Änderungen zu machen?»
«Was ist bei der Datenschutzerklärung in Bezug auf einen Newsletter zu beachten? Was ist zu erwähnen?»
«Muss die Datenschutzerklärung immer in alle Sprachen der Website übersetzt werden?»
«Ist die Angabe eines Datums der letzten Aktualisierung in der Datenschutzerklärung nicht nötig oder empfohlen? Selbst wenn diese nur jährlich aktualisiert wird?»
«Wie kann genau definiert werden, ob ein Website-Angebot für den Europäischen Raum ausgerichtet ist. Beispiel, ein Restaurant in Flughafennähe oder ein einsamer Landgasthof. Beispielsweise für den Cookie-Banner.»
«Wir sind eine Tochtergesellschaft einer Deutschen Firma. Kann unser Mutterhaus die EU-Datenschutzvertretung sein? Muss das auf unserer Website angegeben werden?»
«Welches Tool kann die Erklärung mit dem HTML-Code übersetzen?»
«Könnte man in der Datenschutzerklärung auch erwähnen, dass bei Übersetzungen und sprachlichen Missverständnissen die deutsche Version zur Anwendung kommt?»
«Als Webagentur mit 100+ Kunden wollen wir auch unseren kleineren Kunden näher bringen, eine aktuelle Datenschutzerklärung zu erstellen. Wie können wir den Prozess vereinfachen und mehr automatisieren? Es sollte insbesondere für kleinere Kunden keine aufwändige 1:1 Betreuung durch uns werden. Als Beispiel: Im besten Fall können wir den Fragebogen vom Generator schon vorausfüllen, mit den Fragen, welche wir schon vorab beantworten können. Anschliessend senden wir den Fragebogen mit den restlichen Fragen an den Kunden zur Beantwortung. Nur wenn dann noch Fragen offen bleiben, werden diese im Gespräch geklärt.
Wir möchten aber aus Datenschutzgründen vermeiden, unseren Agentur-Account mit allen Kunden drin, den einzelnen Kunden zu teilen. Was gibt es hier für Wege? Wir haben schon angefangen, den Fragebogen als Website mit einem Formular Plugin zu reproduzieren. Sollen wir damit fortfahren? Oder habt ihr hier eine bessere Idee? Z.B. eine öffentliche Version vom Generator, …»
Datenschutz Plaudereien zur Legal Session Special
Andreas Von Gunten und Martin Steiger kamen in einer Podcast-Episode der Datenschutz Plaudereien nochmals auf die Legal Session Special zurück: