News & Questions: DSFA in der Praxis, gespeicherte Daten bei OpenAI, Patientenformulare, …

Bild: Hinweis auf News & Questions am 21. Oktober 2025In «News & Questions» erhalten Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Daten­schutz­recht.

Ferner erhalten sie Antworten auf ihre Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Rechtsanwalt Martin Steiger informierte bei «News & Questions» am 21. Oktober 2025 einerseits über Neuigkeiten aus dem Daten­­­schutz­­­recht.

Martin Steiger thematisierte unter anderem dass OpenAI die Protokolle von ChatGPT-Nutzer:innen nicht mehr aufbewahren muss, das neue Merkblatt des EDÖB zu Patienten­formularen und die spektakuläre Datenpanne beim österreichischen KI-Anbieter Localmind.

Martin Steiger beantwortete andererseits die Fragen von Mitgliedern zum Datenschutzrecht und verwandten Themen.

Im Fokus standen dabei Fragen zu Datenschutz-Folgenabschätzung (DSFA) in der Praxis, insbesondere zu Schwellenwert­prüfungen und zu den Folgen von angepassten Prozessen. Ferner ging es um das Einholen von Einwilligungen von Patient:innen in Arztpraxen und von Mitarbeiter:innen bei der Nutzung von Cloud-Diensten. Ein weiteres Thema waren die Protokollierung einschliesslich Logging bei Behörden.

Aufzeichnung und Folien

Mitglieder der Datenschutz-Academy können sich nachfolgend die aufgezeichneten «News & Questions» ansehen und die Folien herunterladen.

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen bei «News & Questions»

Mitglieder der Datenschutz-Academy stellten folgende Fragen:

«Es gibt Vorlagen für die Erstellung einer Datenschutz-Folgenabschätzung (DSFA). Gibt es auch geeignete Vorlagen für einen Schwellenwerttest?»

«Datenschutz-Folgeabschätzung (DSFA): Unsere Kerntätigkeit beinhaltet typischerweise eine umfangreiche Bearbeitung besonders schützenswerter Personendaten. Entsprechend stellt sich die Frage, ob wir auch für Anpassungen im Zusammenhang mit der Kerntätigkeit (zum Beispiel Anpassung von Prozessen, Ablageorten der Daten) in jedem Fall eine DSFA durchführen müssen, denn gemäss Schwellenwerttest bejahen wir jeweils eine ‹umfangreiche Bearbeitung besonders schützenswerter Personendaten›. Die Anpassungen im Zusammenhang mit der Kerntätigkeit sind jedoch in der Regel als solche genommen nicht speziell risikoreich. Nach welchen Kriterien kann dies sinnvoll abgegrenzt werden?»

«Ich bin etwas verwirrt über das Merkblatt des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für Infor­mation und Ein­willigung von Patienten bei Ärzten und Therapeuten. Was ändert sich jetzt genau wie?

Einerseits muss die Datenschutzerklärung, die vermutlich auf der Website veröffentlicht ist, den Patienten in der Praxis vorgelegt werden (man kann ja nicht verlangen, dass sie sich ins Internet begeben müssen).

Und dann muss ja nach wie vor eine Einwilligung unterzeichnet werden, weil die meisten Therapeuten ihre Abrechnungen über die Ärztekasse, Tarif 590 oder ähnliche abwickeln bzw. Partienteninformationen auf einer Cloud abgelegt haben (Art. 30 lit. c DSG).

Wie wäre der korrekte Prozess, um die Vorgaben in einer therapeutischen Praxis zu erfüllen bzw. welche Dokumente müssen wann wie zur Verfügung gestellt und in welche muss eingewilligt werden?

Mir fehlt etwas die Klarheit für den Praxisalltag.»

«Im Rahmen ihrer beruflichen Tätigkeit sind bestimmte Mitarbeitende des Unternehmens verpflichtet, eine spezifische Online-Plattform zu nutzen. Der Zugang zur Plattform erfolgt über die dienstliche E-Mail-Adresse, welche aus Vor- und Nachnamen besteht (vorname.nachname@unternehmen.ch). Eine weitergehende Bearbeitung von Personendaten auf der Plattform ist nicht vorgesehen. Gemäss den Nutzungsbedingungen des Plattformanbieters kann nicht ausgeschlossen werden, dass diese Zugangsdaten auch in Staaten ohne angemessenes Datenschutzniveau gespeichert werden. Der Anbieter stellt hierfür weder zusätzliche Garantien noch andere geeignete Schutzmechanismen zur Verfügung. Braucht es für eine solche Nutzung der dienstlichen E-Mail-Adresse eine ausdrückliche Einwilligung der betroffenen Mitarbeitenden? Gelten solche dienstlichen E-Mail-Adressen als allgemein zugängliche Personendaten?»

«Wir sind eine kantonale Behörde und verfügen über eine Fachapplikation mit besonders schützenswerten Personendaten und sensiblen Informationen und stellen uns folgende Fragen:

  1. Was ist – einfach erklärt – der Unterschied zwischen Protokollierung und Logging?
  2. Ist es richtig, zwischen Systemprotokollierung/-logs (Serverzugriff z.B. von Lieferanten, Amt für Informatik, Administratoren etc.) und Fallprotokollierung/-logs (Bearbeitungsvorgänge von Benutzenden, Support etc. in Fällen) zu unterscheiden?
  3. Ist es richtig, die Systemprotokollierung/-logs 1 Jahr und die Fallprotokollierung/-logs analog den Aufbewahrungsfristen der Fälle aufzubewahren?
  4. Was gilt es bezüglich Aufbewahrungsfristen von Backups zu berücksichtigen? Ist es unproblematisch, wenn beispielsweise die nach einem Jahr gelöschten Systemprotokollierung/-logs sich in einem Backup befinden, das für 10 Jahre aufbewahrt wird?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?