Legal Session: Auftragsverarbeitung und Standard­datenschutzklauseln, Consent Mode bei Google, Farbdrucker, …

Bild: Hinweis auf Legal Session am 27. Februar 2023An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 27. Februar 2024 beantworteten wir unter anderen Fragen zum neuen Consent Mode bei Google, zur Verwendung von europäischen Standard­datenschutzklauseln als Auftragsverarbeitungsverträge und zum Machine Identification Code (MIC) bei Farbdruckern.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 27. Februar 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«In Art. 5 DSG wird die ‹private Person› erwähnt. Ist mit ‹private Person› die natürliche Person gemeint oder die juristische Person aus der Privatwirtschaft?»

«Danke für die spannende Aufklärung zur EDÖB-Leitlinie. Eine Frage dazu: Hat der Bundesrat schon Bestimmungen für die Mindestanforderungen an die Datensicherheit nach Art. 8 Art. 3 DSG erlassen?»

«Bei Farblasern wird mit kleinen gelben Punkten eine Codierung (der Machine Identification Code ‹MIC›) auf jede Seite ausgedruckt, welche für das Auge nicht sichtbar ist. Mit der Codierung lassen sich Rückschlüsse auf das Druckdatum, Druckertyp, Herstellungsdatum und das Geschäft ziehen, in dem das Gerät verkauft wurde. Von jeder einzelnen gedruckten Farbseite kann der Weg bis zum Drucker-Eigentümer zurückverfolgt werden. Bei zum Beispiel unrechtmässig zurückdatierten Verträgen kann mit dem MIC das genaue Druckdatum ermittelt werden. Unter anderem darum drucke ich Verträge nur aus Schwarz-Weiss-Druckern aus, da dort kein MIC mitgedruckt werden kann. Das betrifft natürlich nicht nur Drucker sondern auch alle Farbkopierer.
Diese MIC-Codierung stammt aus der Zeit vor DSGVO und neuem DSG. Kurz: Jede mit einem Farblaser gedruckte Farbseite enthält auf meine Person zurückführbare Daten, ohne dass ich meine Einwilligung dazu gegeben habe und ich habe keine Möglichkeit zum Deaktivieren des MIC.»

«Eine Frage zum Auftragsverarbeitungsvertrag: Der Vertragspartner weigert sich, die Namen von Unterauftragsverarbeitern bekanntzugeben und stellt sich auf den Standpunkt, dass dies nicht mit der Wahrung des Geschäftsgeheimnisses kompatibel und auch von Art. 9 DSG nicht umfasst ist. Müssen wir die Unterauftragsverarbeiter namentlich kennen (z.B. eine Liste) oder können wir diese auch pauschal genehmigen, ohne zu wir wissen wer diese sind?»

«Eingebundenes Newsletter-Formular: Braucht es dafür den Consent?»

«Ich habe öfter im Internet gelesen, dass es beim Abschluss von Standardvertragsklauseln (SCC) nicht unbedingt noch ein Auftragsverarbeitungsvertrag (AVV) benötigt, manchmal heisst es auch nur für Module 2 und 3 braucht es nicht zwingend noch ein AVV … was ist da richtig?

Zum Beispiel:

  • ‹In dem Anwendungsfall, dass Sie als Verantwortlicher in Deutschland einen Auftragsverarbeiter in einem anderen europäischen Land oder einem Drittland beauftragen und dabei die neuen EU-Standardvertragsklauseln verwenden, benötigen Sie keinen zusätzlichen Vertrag zur Auftragsverarbeitung (AV-Vertrag).›
  • ‹Module 2 und 3 der SCC erfüllen die inhaltlichen Anforderungen an den Auftragsbearbeitungs-Vertrag gemäss Art. 28 DSGVO. Da die DSGVO strengere Anforderungen an die Auftragsbearbeitung stellt als das DSG, muss kein separater Auftragsverarbeitungsvertrag, wie in Art. 9 DSG gefordert, abgeschlossen werden.›»

«Wir haben nach längeren Warten nun den AVV von einem unserer bereits bestehenden Auftragsverarbeitern erhalten. Dort bemängeln wir folgenden Punkt: Die Beauftragung von weiteren Auftragsverarbeitern (z.B. Hinzuziehung oder Ersetzung) zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer hiermit allgemein gestattet. Dies ist meines Wissens ein Verstoss gegen DSG Artikel 9 Abs. 3: ‹Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.› Der Auftragsbearbeiter ist nicht bereit den AVV entsprechend anzupassen. Ist er nicht dazu verpflichtet?»

«Wie ist die Speicherung von Personendaten im CRM zu handhaben? Ab wann darf ein Unternehmen Personendaten (Name, Telefon, E-Mail) im CRM hinterlegen? Benötige ich dafür eine Einwilligung? Wie sieht es bezüglich Löschung aus?»

«Wenn Daten regelmässig in unsichere Drittstaaten exportiert werden (es existiert ein Remote-Zugriff auf Daten in der Schweiz), aber der Zweck eigentlich keine Datenverarbeitung, sondern ein Nebeneffekt von Systemwartung ist, dann muss ich trotzdem ein Transfer Impact Assessment (TIA) erstellen und die SCC abschliessen, wenn ich es richtig verstehe? Wäre das dann Module 1 Controller-Controller? Weil ja keine eigentliche Datenverarbeitung (processing) stattfindet? Oder trotzdem Module 2 Controller-Processor? Auch wenn kein processing stattfindet sondern nur ein ‹Export› der ein Nebeneffekt ist? Weil, laut Bitkom: ‹Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.› Oder braucht man gar beide Module?»

«Wenn wir selbst erhobene Personendaten an Dritte weitergeben und das natürlich in der Datenschutzerklärung klar offenlegen. Beispiel: Wenn du bei der Anmeldung die Option ‹Newsletter der Firma XXX abonnieren› auswählst, geben wir deine E-Mail-Adresse ausschliesslich zum Zweck des Newsletter-Versands an die Firma XXX weiter. Es gelten dann die Datenschutzbestimmungen der Firma XXX (verlinkt). Können wir unsere Haftung komplett ausschliessen, falls bei der Firma XXX ein Datenmissbrauch passiert? Oder gibt es ein Haftungsrisiko für den Erheber der Daten bei allen Drittnutzungen?»

«Info: Für das Jahr 2024 hat Google einige einschneidende Änderungen für Tracking und zielgruppenspezifische Werbung bei Google Ads bekanntgegeben. Zentral und verpflichtend wird dabei, den Google Consent Mode in seiner neuesten Version einzusetzen. Der Consent Mode regelt die Weitergabe einer Einwilligung oder Ablehnung des Cookie-Banners an Google. Damit wird es möglich, die Entscheidung der User zu respektieren und dennoch die bestmöglichen Daten zu erhalten. Die Funktion Erweiterte Conversions (Enhanced Conversions) ermöglicht es zusätzlich, Messlücken zu schließen, die aus dem Rückgang des durch Cookies messbaren Trackings kommen.

  1. Wie gehen wir aus datenschutzrechtlicher Sicht damit um, wenn wir das (Consent Mode / Enhanced Conversions) umsetzen wollen? Müssen wir unsere Datenschutzrichtlinien entsprechend updaten, sind bereits entsprechende Punkte hinterlegt und was gibt es noch zu beachten?
  2. Welche Art von Cookie-Banner empfehlen Sie generell aus datenschutzrechtlicher Sicht? Gibt es eine Art Best Case, und inwiefern müssen wir dies auch in den Datenschutzrichtlinien berücksichtigen?»

    «Ergänzung zur Frage mit den Farblasern: Als Vergleich würde ich salopp sagen, der ‹MIC› ist ein gedrucktes ‹Cookie› auf jedem Blatt Papier. Könnt ihr den ‹Machine Identification Code› von Farblasern im rechtlichen Sinn des DSG oder der DSGVO einordnen? Was ist eure Meinung dazu?»

    «Inwiefern ist der Google Consent Mode V2 relevant für ein Schweizer Unternehmen?»

    «Was ist in einem Verein hinsichtlich DSG zu beachten, insbesondere einem Verein, welcher international mit verschiedenen Landesgruppen aktiv ist?»

    «Ist der Angemessenheitsbeschluss des Bundesrats zum Data Privacy Framework (DPF) nun eigentlich vorhanden?»

    «Gibt es schon Aussagen darüber, was mit dem EU AI Act mit dem Datenschutz auf uns in der Schweiz zukommt?»

    Podcast-Episode

    In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: