Legal Session: Auftragsverarbeitung, Data Privacy Framework (DPF), DeepSeek, Scraping, …
An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 28. Januar 2025 beantworte Rechtsanwalt Martin Steiger unter anderem Fragen zur Verantwortung in der Kette der Auftragsverarbeitung und zur Zukunft des US-amerikanischen Data Privacy Frameworks (DPF). Andere Fragen betrafen beispielsweise DeepSeek aus China und das Scraping von Websites aus datenschutzrechtliches Sicht.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Fragen an der Legal Session
An der Legal Session wurden die folgenden Fragen gestellt:
«Mich interessiert eure Einschätzung zum Data Privacy Framework (DPF) im Zusammenhang mit der neuen amerikanischen Regierung? Ist der DPF auf der Kippe?»
«Gibt es eine Möglichkeit, Inhalte eines (PDF-)Dokuments digital zu schwärzen, ohne dass die Gefahr besteht, diesen Schritt wieder rückgängig machen zu können?»
«Wir möchten im Auftrag von Verkehrsunternehmen virtuelle Rundgänge von Bahnhöfen erstellen, vergleichbar mit Google Street View. Dazu verwenden wir die Software von matterport.com. Vor Veröffentlichung der Daten werden wir alle personenbezogenen Daten wie Gesichter unkenntlich machen. Die Verarbeitung (Stiching, Blurring) erfolgt jedoch in der Cloud (AWS), möglicherweise in den USA, wo Matterport seinen Sitz hat. Die Datenübertragung erfolgt verschlüsselt. Bisher ist es mir nicht gelungen, von Matterport zielführende Zusagen in Bezug auf europäisches Recht bzw. das EU oder Swiss Data Privacy Framework zu erhalten. Ist das datenschutzrechtlich trotzdem irgendwie möglich? Methode Rosenthal? Die möglichen Folgen des Datentransfers in die USA scheinen mir begrenzt, da es sich um einen einzelnen Datenpunkt handelt, ohne Tracking-Möglichkeit und zudem an einem Bahnhof, der einen durchaus öffentlichen Charakter hat.»
«Muss ein Auftragsverarbeiter die einzelnen Unterauftragsverarbeiter dem Auftraggeber nennen?»
«Einer meiner möglichen zukünftigen Lieferanten (ecall-messaging.com) hat ein seltsames Cookie-Setup: Wenn ich das Kontaktformular nutzen möchte, kann ich das nur, wenn ich in die Nutzung aller Cookies einwillige! Ich kann so ein Modell für kostenfreie Services noch einigermassen nachvollziehen, nicht aber für kostenpflichtige Services. Abgesehen davon, dass das für sie selbst geschäftsschädigend ist (da werden einige wohl die Webseite schnell wieder schliessen), ist so ein Cookie-Setup rechtlich überhaupt vertretbar (CH / EU)?»
«Ist es nötig, den Eingang eines Auskunfts- und Löschbegehrens zu bestätigen?»
«Wie ist die rechtliche Beurteilung betr. Datenschutz wenn ich ein Scrapingtool für öffentlich zugängliche Informationnen zur Verfügung stelle, das gegen Bezahlung genutzt werden kann? Wo ist die gesetzeskonforme Grenze zu ziehen, wenn ich die Daten auch speichern möchte? Bei Unternehmen: Sind Unternehmensdaten ok? Welche Daten über Mitarbeitende in Unternehmen dürften gespeichert werden? Name? Funktion? Kontaktdaten? Wo ist die Grenze zu einem Profil?»
«Kann man DeepSeek datenschutzkonform einsetzen?»
«Was sind die Pflichten des Verantwortlichen, wenn sein Auftragsverarbeiter in der Schweiz einen Unterauftragsverarbeiter (eine Tochtergesellschaft) in einem Land mit nicht angemessenem Datenschutz beizieht. Genügt es, wenn der Auftragsverarbeiter sich im Auftragsverarbeitungsvertrag (AVV) verpflichtet, die europäischen Standarddatenschutzklauseln (SCC) abzuschliessen? Muss der Verantwortliche dann selbst noch ein Transfer Impact Assessment (TIA) durchführen?»
«Wenn man Kundendaten für das Training einer unternehmensinternen KI einsetze möchte, braucht dies die Einwilligung der Kunden oder einen entsprechend klar formulierten Bearbeitungszweck in der Datenschutzerklärung? Oder ist die generische Formulierung in der DSE, dass Daten zur Verbesserung von Produkten, Funktionalitäten und Dienstleistungen eingesetzt werden können, ausreichend zur Verwendung für das KI-Training?»
«Was muss bei einer Live-Kameraüberwachung in einem Jugendkeller beachtet werden?»
Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?