Legal Session: Cookie-Banner, Meldepflicht, pseudonymisierte Personendaten, …

Bild: Hinweis auf Legal Session am 22. Mai 2025An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 22. Mai 2025 beantworte Rechtsanwalt Martin Steiger Fragen zum Datenschutzrecht, unter anderem zu den Anforderungen an Cookie-Banner und der Meldepflicht bei Datenlecks.

Weitere Fragen betrafen beispielsweise die Anwendung des Datenschutzgesetzes bei pseudonymisierten Personendaten.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen an der Legal Session

An der Legal Session wurden die folgenden Fragen gestellt:

«Als Cloud-Anbieter muss ich einen Auftragsverarbeitungsvertrag (AVV) bereitstellen. Die Daten werden in der Schweiz oder Deutschland gespeichert. Mein Zielpublikum ist primär die Schweiz. Gelegentlich bucht auch jemand aus der EU.
Im AVV werden alle Themen geregelt, die für das DSG und die DSGVO relevant sind, bezieht sich aber primär auf das DSG. Muss ich für Personen aus der EU einen separaten AVV erstellen, welcher nur die DSGVO zur Grundlage hat? Anders gefragt, wenn jemand aus der EU meinen jetzigen AVV akzeptiert, gilt für ihn dann das DSG oder die DSGVO? Müsste ich das speziell formulieren, damit ich bzw. mein Kunde kein Problem bekommt?»

«Welche Buttons sind bei unserem Cookie-Banner notwendig? Ich sehe in der freien Wildbahn ganz unterschiedliche Cookie-Banner.»

«Ist es immer noch so, dass das DSG nur für Personendaten gilt? Anders gefragt: Wenn wir pseudonymisieren, gilt das DSG dann nicht?»

«Wenn Aufzeichnungen von Kundengesprächen zu Schulungs- und Qualitätszwecken mittels KI automatisiert transkribiert werden sollen, benötigt diese Transkription dann eine zusätzliche Transparenz gegenüber den Kunden?»

«Beschwerde eines Kunden: In unserer Datenschutzerklärung fehle die Aufzählung der Cookies. Müssen wir die Cookies aufzählen?»

«Wir möchten für ein mögliches Datenleck vorbereitet sein. Wie sollen wir mit der Meldepflicht gemäss DSG umgehen?»

«Wir werden regelmässig von Aufsichtsbehörden (Luftfahrt) auditiert und oft werden Ausbildungsnachweise von Mitarbeitern mit Personendaten (voller Name, Geburtstdatum, Nationalität (wegen Dual-Use und ExportControl Themen), Ausbildungsnachweise etc.) und stichprobenweise auch Gesundheitsdaten (z. B. Augentests) eingefordert. Das sind Behörden aus der ganzen Welt (Asien, UAE, Amerika etc.).
Fragen:

  1. Ein AVV scheint angebracht obwohl wir keinen Auftrag zur Datenberbeitung erleiten, aber Daten zugänglich machen, korrekt?
  2. SCC mit Behörden in Ländern ohne äquivalenten Datenschutz ist ebenfalls angebracht bzw. zwingend, korrekt?
  3. Müssen wir dazu vor Bekanntgabe der angefragten (besonders geschützten) Personendaten von den Mitarbeitern eine ausdrückliche Einwilligung haben oder gibt es da einen einfacheren Weg?»

«Wir, ein FINMA regulierter Vermögensverwalter, verwenden zur Zeit für die Emailarchivierung eine lokale Lösung von Barracuda, welche in unseren eigenen Datacentern läuft. Um Kosten zu sparen soll die E-Mail Archivierung auf eine Cloud-Lösung in Deutschland gehen. Wie sehen sie dies aus einer Compliance-Perspektive?»

«Zur Frage vorher vom Datenleck: Wenn eine E-Mail mit sensiblen Personendaten an eine falsche E-Mail-Adresse geht (z. B. wegen Buchstabendreher). Müsste ein solcher Fall dem Klienten bzw. Behörden gemeldet werden?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?