Legal Session: Aufzeichnung von Telefon­gesprächen, iCloud, ISO 27001, WhatsApp, …

Bild: Hinweis auf Legal Session am 30. Januar 2023An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 30. Januar 2024 diskutierten wir unter anderem, wann Telefongespräche aufgezeichnet werden dürfen und ob iCloud für Selbstständige oder Unternehmen zulässig ist. Ausserdem klärten wir, ob man mit der impliziten Einwilligung der betroffenen Person über WhatsApp oder unverschlüsselte E-Mails kommunizieren darf.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 30. Januar 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Was müssen wir beachten, wenn wir iCloud in unserem Unternehmen verwenden möchten?»

«Stellt eine ISO 27001-Zertifizierung eine Garantie für ein ausreichendes Datenschutzniveau im Sinne des Datenschutzgesetzes (DSG) dar?»

«Das DSG gilt bekanntlich auch für Sportvereine. In der Datenschutzerklärung, welche Mitgliedern vorliegt, werden wir deshalb erwähnen, dass an Veranstaltungen Fotos gemacht und veröffentlicht werden können (mit der Möglichkeit, dem zu widersprechen). Reicht auch hier die reine Information oder müssen wir eine explizierte Einwilligung (per Unterschrift) einholen?»

«Ich habe gelesen, dass ich Anrufe von Kunden aufzeichnen darf. Stimmt das?»

«Welche Besonderheiten müssen Schweizer Unternehmen beachten, wenn Daten in den USA verarbeitet werden, insbesondere im Hinblick auf den fehlenden Angemessenheitsbeschluss zwischen der Schweiz und den USA?»

«Stimmt es, dass wir Auskunftsbegehren nur verschlüsselt beantworten dürfen?»

«Braucht ein Schweizer KMU mit Lieferanten in der EU aber ohne Kunden ausserhalb der Schweiz eine EU-Datenschutz-Vertretung?»

«Mit DataReg stellt der EDÖB ein digitales Portal zur Verfügung, welches Bundesbehörden zur Meldung ihrer Bearbeitungsverzeichnisse nutzen können. Ein Blick in das DataReg zeigt, dass die Bundesbehörden (wie bspw. Pensionskassen) der Meldepflicht sehr unterschiedlich nachkommen: Gewisse haben lediglich einen Eintrag, andere über 50, obwohl sie derselben Branche angehören. Ist es nach dem DSG zulässig, dem EDÖB nicht das detaillierte unternehmensinterne Bearbeitungsverzeichnis zu melden, sondern lediglich ein deutlich abgespecktes Bearbeitungsverzeichnis (mit einem deutlich tieferen Detailgrad) zukommen zu lassen?»

«Wenn ein Mailingadressat die Löschung seiner Personendaten fordert, riskiert er, beim nächsten Adresseinkauf wieder ‹abgeholt› zu werden … Vorteilhaft für die betroffene Person wäre, wenn wir ihre Daten als ‹inaktiv› markieren, damit die bei uns ‹gesperrt› sind und nicht für weitere Mailings benutzt werden – dies entspricht aber nicht ganz dem DSG. Müssen wir die Person explizit darauf aufmerksam machen, dass die Daten bei uns ‹blockiert / gesperrt› sind?»

«Muss ein Verzeichnis der Bearbeitungstätigkeiten für alle Datenverarbeitungen erstellt werden oder nur für solche, bei denen besonders schützenswerte Personendaten verarbeitet werden?»

«Muss die Datenschutzinformation im E-Mail-Footer verlinkt werden?»

«Eine Kosmetikerin erfasst besonders schützenswerte Daten ihrer Kunden auf einem iPad und legt diese Daten auf der iCloud ab. Apple ist jetzt nicht bekannt für einen ausgezeichneten Datenschutz in der iCloud, aber es bietet den ‹erweiterten Datenschutz› an: Daten werden inhaltlich auf dem Gerät ‹at-rest› verschlüsselt und dann verschlüsselt übertragen. Apple sagt, dass es keinen Zugriff auf diese Daten und den Wiederherstellungs-Schlüssel hat. Können wir mit dieser technischen Massnahme sicherstellen, dass keine Bekanntgabe in ein Drittland erfolgt?»

«Welche Verträge sind im Bereich Datenschutz zwischen einem Schweizer Unternehmen und seiner Tochterfirma in Indien erforderlich?»

«Ist es notwendig, in einer Datenschutzerklärung immer Vor- und Nachnamen der verantwortlichen Person anzugeben, gemäß Art. 5 lit. j DSG

«Viele Firmen kündigen heute bei Anrufen an, dass das Gespräch aufgenommen wird (oder aufgenommen werden kann). Wenn ich einen solchen Anruf als Privatperson ebenfalls aufnehme, muss dann zusätzlich von der Person am anderen Ende ein Einverständnis eingeholt werden? Oder ist das Einverständnis hierfür bereits implizit gegeben?»

«Bei Hotels ist es oft so, dass sie über keinen eigenen Onlineshop verfügen, sondern für Buchungen auf einen externen Shop / eine externe Buchungsplattform verlinken. Die effektiven Buchungen laufen also über eine andere Domain (z.B. Simplebooking). Wie sollen die folgenden Fragen des Generators in diesem Fall beantwortet werden:

  • Wird die Website genutzt, um direkte Einnahmen zu erzielen?
  • Umfasst die Website einen Onlineshop?
  • Wird eine E-Commerce- oder Onlineshop-Plattform genutzt?

Wie ist es ausserdem, wenn die externe Buchungsmaske in die Website via iFrame eingebunden wird?»

«Thema ‹Ausdrückliche Genehmigung für die Bearbeitung›: Wir sind eine Soziale Stiftung. Wenn ein durch IV zugewiesener Klient ein Arztzeugnis eines Psychiaters per WhatsApp an uns schickt und am nächsten Tag darum bittet, ihm (dem Klienten) einen von uns erstellten IV-Bericht per WhatsApp zu schicken: Kann dann davon ausgegangen werden, dass durch die Handlung des Klienten vom Vortag die ‹ausdrückliche Genehmigung› zum Gebrauch von WhatsApp erteilt worden ist?»

«Wie funktioniert das Zusammenspiel von Informationssicherheitsgesetz (ISG) und Datenschutzgesetz (DSG) in der Unternehmenspraxis?»

«Wo finde ich die besten Vorlagen für Auftragsverarbeitungsverträge (AVV) zwischen Unternehmen und ihren Kunden?»

Podcast-Episode

In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: