Legal Session: Bexio, Datenschutzbeauftragte, Lohnabrechnungen per E-Mail, …

Bild: Hinweis auf Legal Session am 31. Mai 2022
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 31. Mai 2022 ging es unter anderem um die Verordnung zum neuen Datenschutzgesetz, den E-Mail-Versand von Lohnabrechnungen, die Google Analytics-Alternative Matomo, automatisierte Auskunftsbegehren («Data Subject Requests») von Diensten wie «Mine» und die kurzfristig angepassten AGB von Bexio.

Ausserdem waren interne und externe Datenschutzbeauftragte nach dem schweizerischen Datenschutzgesetz (DSG) und der europäischen Datenschutz-Grundverordnung (DSGVO) ein grosses Thema.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 31. Mai 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Wann kommt die revidierte Verordnung zum Datenschutzgesetz?»

«Wie werden Datenschutzbeauftragte mit dem neuen Datenschutzgesetz (nDSG) ab September 2023 in der Schweiz geregelt? Würde es Sinn machen, sich jetzt schon darauf vorzubereiten?»

«Welche Voraussetzungen sind für den Datentransfer aus der EU nach Grossbritannien zu erfüllen? Braucht es Standardvertragsklauseln (SCC) und ein Data Transfer Impact Assessment (DTIA) oder geht es auch ohne, weil Grossbritannien zu den Ländern mit Angemessenheitsbeschluss gehört?»

«Mit welchen Vorkehrungen ist der E-Mail-Versand einer monatlichen Lohnabrechnung als PDF zulässig?»

«Kann man die Google Analytics-Alternative Matomo in der Schweiz datenschutzkonform betreiben?»

«Wo finden wir als Schweizer Unternehmen am besten einen externen Datenschutzbeauftragten? Muss sich diese Person in der EU oder im EWR befinden?»

«Wie geht man am besten mit automatisch generierten Auskunftsbegehren über Mine um?»

«Ich bzw. alle Bexio-Kunden haben ein bedauerliches E-Mail über Anpassungen der AGB erhalten. Darin stand: ‹Um Ihr Kundenerlebnis und die Leistungserbringung noch weiter zu verbessern, soll es zukünftig möglich sein Stamm-Daten für Analyse- und Marketingzwecke mit der Muttergesellschaft ‹die Mobiliar› zu teilen. Hierbei wenden wir den Grundsatz der Datensparsamkeit an. Selbstverständlich werden keinesfalls Buchhaltungs-Daten oder andere sensitive Daten weitergeleitet – ausser Sie nutzen die Smart Insurance App und haben somit einer solcher Daten-Weitergabe explizit zugestimmt.› Ausserdem die Aussage, dass man sich bei einer Ablehnung leider von Kunden trennen müsste. Wie ist diese Ankündigung nach DSG und nDSG zu bewerten?»

«PicRigths und Agence France de Presse verlangen Schadenersatz von CHF 357.– für die Abmahnung für ein Bild im Internet. Wie ist Ihre Erfahrung: Lohnt es sich zu schweigen und nicht zu zahlen oder kommt es die Firma letztlich teurer als die CHF 357.–? Es ist ja schwierig zu überprüfen, ob Agence France de Presse wirklich die Urheberrechte des besagten Bildes hat, auch wenn entsprechende elektronische Schreiben generiert werden.»

«Österreich stuft die Nutzung von Google Analytics als illegal ein. Was ist deine Einschätzung dazu?»

«Art. 14 DSG und Art. 19 nDSG definieren eine Informationspflicht gegenüber der betroffenen Person über die Verarbeitung personenbezogener Daten. Einige Unternehmen lassen die Nutzerinnen und Nutzer mit einem Kontrollkästchen bestätigen, dass sie die Informationen in der Datenschutzerklärung gelesen und verstanden haben. Andere geben an, dass die Datenschutzerklärung durch die Registrierung anerkennt wird. Und einige stellen nur einen leicht zugänglichen Link zur Datenschutzerklärung bereit. Gibt es Empfehlungen oder Best Practices in diesem Bereich?»

«Wie müssen Arbeitgeber mit den E-Mail Adressen der privaten Arbeitnehmenden umgehen? Dürfen E-Mail Adressen von ausscheidenden Mitarbeitern gespeichert werden? Wie verhält es sich mit dem Zugriff auf geschäftliche E-Mail Accounts von Mitarbeitenden?»