An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 21. Mai 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, ob man mit der Google EU User Content Policy nun auch in der Schweiz ein Cookie-Banner benötigt, ob die Nutzung von pCloud problematisch ist und welche Angaben auf einem Reservationsschild in einem Restaurant stehen dürfen.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 21. Mai 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:

«Art. 3 DSV besagt ja, dass bei sämtlichen Bearbeitungen von Personendaten die Nachvollziehbarkeit zu gewährleisten ist, damit überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem (z.B. Software) eingegeben oder verändert werden (Eingabekontrolle). Es muss auch überprüfbar sein, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle). Gilt dies wirklich für alle Bearbeitungen und wie kann man dies technisch umsetzen?»

«In unseren Restaurant werden die Tische mit Kärtchen reserviert; auf diesen Kärtchen füllen die Mitarbeiter Name, Zimmernummer, An- und Abreise aus … Ich finde das alles andere als optimal – wie ist hier Ihre Meinung dazu? Vielen Dank!»

«Löschbegehren: Gemäss DSG muss man die Personen mit angemessenen Mittel identifizieren. Wir haben in der Vergangenheit eine Kopie der ID verlangt. Nun gibt es Personen, die dies nicht als angemessen anschauen und dies verweigern. Darf man auf die Kopie der ID beharren? Was sind sonst noch für Identifikationsmittel gebräuchlich?»

«Müssen wir ab 31.07.24 Cookie-Banner einführen?

Kontext: Mail von Google:

‹The advertising industry as a whole is taking into consideration evolving user expectations with regard to privacy across Europe. Google is committed to providing users with consistent transparency and control over their data. In line with this commitment, from July 31, 2024, we are expanding the scope of our EU User Consent Policy to apply to users in Switzerland. Here is a preview of the updated policy.

What’s changing? From July 31, 2024, advertisers will be required to obtain Swiss users’ consent to the use of cookies or local storage, where legally required; and for the collection, sharing and use of personal data used for ads personalization. This is the existing requirement for European Economic Area (EEA) and UK users, and there is nothing changing about our requirements for these locations.›»

«Das Thema Vereine und Bilderveröffentlichungen (Website, Social Media etc.) taucht immer mal wieder auf und es stellen sich vor allem in der praktischen Umsetzung Fragen. Der Aufwand sollte möglichst gering sein, trotzdem sollen die gesetzlichen Vorgaben eingehalten werden. Es braucht ja eine Einwilligung für die Veröffentlichung der Bilder. Wie soll man das bei grossen Vereinsanlässen regeln? Müssen alle etwas unterschreiben? Gibt es Situationen, in denen ein Opt-out möglich ist? Z. B. bei Sportanlässen ist eine möglichst grosse Medienpräsenz ja auch oft gewünscht. Bis wo gilt die Pflicht des Verantwortlichen, also des Vereins? Jede:r kann ja Bilder irgendwo hochladen. Kann man die Zustimmung für die Veröffentlichung schon bei der Anmeldung für die Mitgliedschaft einholen? Sollte man differenzieren zwischen Website und Social Media (bei letzteren werden die Bildrechte ja abgegeben)?»

«Ist das korrekt, wenn ich im Hintergrund die GDPR Consent Mode V2 einhalte im Tagmanager, muss ich dennoch für die Schweiz nicht zwingen eine Consent Box anzeigen?»

«Es geht um die Reichweite der Verwendung bei der Datenschutzerklärung für Mitarbeitende: Nur CH, EU, weltweit. Eigentlich verarbeiten wir nur die Daten der MA in der CH an unserem einzigen Standort. Jedoch haben wir MA als Grenzgänger aus DE beschäftigt, also kann es sein, dass wir Daten an Behörden (Finanzamt o.ä. in DE) weitergeben. Somit wäre schon eine Datenschutzerklärung für EU auch notwendig. Da wir aber auch MA beschäftigen, die möglicherweise zurück in Nicht-EU-Länder ziehen (Rente o.ä.) oder sonstige Interventionen in deren Heimatländern erfordern KÖNNTEN, müssten wir ja – nur FALLS das mal der Fall sein sollte – weltweit angeben. Ist das korrekt?»

«Können Fotos von Wohnungen (die bspw. im Rahmen von Schadstoffabklärungen oder für die Ausschreibung von Mietwohnungen gemacht werden) auch Personendaten im Sinne des DSG sein?»

«Gibt es immer noch Probleme mit pCloud?»

«Wie gehe ich am besten vor, wenn ich Auskunft will, aber nicht erhalte?»

«Ich wollte mich beim EDÖB wegen Überwachungskameras beraten lassen. Die Frau am Telefon war nett, aber unverbindlich. Sie sagte ausserdem, die Gemeinde sei zuständig. Die Gemeinde sagte, der Kanton sei zuständig (Zürich). Dort sagte man mir, der EDÖB sei zuständig. Kann das wahr sein?»

«Wir möchten einen Kundenclub aufbauen. Darum die folgende Frage zum Datenschutz: Dürfen wir Kunden, die bereits mit uns eine Kundenbeziehung haben, per E-Mail darüber informieren, auch wenn diese einem Newsletterversand nicht explizit zugestimmt haben? Bei Swisscom und TUI beispielsweise wird personalisierte Werbung per E-Mail ohne Zustimmung versandt, diesbezüglich gibt es dort jedoch einen kleinen Abschnitt in der Datenschutzerklärung, die dies erlaubt. Ist dies zulässig? Was empfehlen Sie?»

«Ich arbeite mit Automatisierungen zur Datengewinnung oder Anreicherung, z. B. Auslesen öffentlicher zugänglicher persönlicher Daten aus Websites oder LinkedIn: Was ist hier erlaubt und was verboten?»

«Wir haben ein Gästebuch beim Eingang wo der Kunde seinen Namen und Datum des Besuchs eingibt, geht das?»

Podcast-Episode und Informationen zur Vertiefung

In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:

In der Legal Session hatte Martin Steiger unter anderem auf folgende Informationen und Unterlagen zur Vertiefung hingewiesen:

• Die Infrastruktur für die Schweizer Massen­überwachung ist «made in Israel» (Republik)
• Webinar: Einwilligungen im Datenschutzrecht (Datenschutzpartner)