Legal Session: Aufbewahrungsfrist, HR, Rechts­schutz­versicherungen, TikTok, WordPress.com, …

Bild: Hinweis auf Legal Session am 4. April 2023An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 4. April 2023 beantworteten wir unter anderem Fragen zur Aufbewahrungs- und Löschpflicht bei Verträgen, dem Umgang mit Personendaten im Personalwesen und den Vorgaben für die datenschutzkonforme Nutzung von TikTok.

Ferner klärten wir, ob es für Datenschutzbeauftragte in Unternehmen sinnvoll ist, eine Rechtsschutzversicherung gegen Datenschutz-Bussen abzuschliessen und ob WordPress.com nach der Einführung des neuen Datenschutzgesetz (nDSG) noch verwendet werden darf.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 4. April 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Wir wollen eine App (timeneye) zur Zeiterfassung (E-Mail-Adressen und Namen der Mitarbeitenden) und Projekt Tracking im Rahmen eines Projektes nutzen. Dies ist ein Produkt aus Italien. Das Data Processing Agreement verweist auf die Datenschutz-Grundverordnung (DSGVO). Die Liste der Sub-Processors enthält auch solche aus den USA. Ist das ein Problem für uns?»

«Die Aufbewahrungsfrist von Verträgen beträgt ja 10 Jahre. Muss ich einen alten Vertrag, der durch einen neuen Vertragt ersetzt wurde, weiterhin aufbewahren?»

«Im Januar 2023 wurde in Grenoble ein Gerichtsurteil gefällt, in welchem eine Webagentur verurteilt wurde, weil sie ohne Wissen und Information an den Kunden Google Analytics installiert hat, das in Frankreich inzwischen als illegal erklärt wurde. Meine Frage ist nun die: Würde in der Schweiz ein Gericht auch so urteilen, wenn eine Webagentur die Kundschaft nicht aufgeklärt hat, dass ihre Website beispielsweise der Datenschutz-Grundverordnung (DSGVO) unterliegt und ev. andere Massnahmen notwendig gewesen wären? Oder dass zum Beispiel keine korrekte Datenschutzerklärung erstellt wurde? Hätte der Regress des Kunden auf die Webagentur in einem ‹Schadenfall› eine Chance?»

«Ich bin IT-Entscheider und Ansprechperson für den Datenschutz bei uns in der Firma. Als natürliche Person kann dies bei mir im dümmsten Fall zu den bekannten 250’000 Franken Busse führen. Mittlerweile habe ich verschiedene Versicherungen betreffend einer Rechtsschutzversicherung angefragt. Die drucksen sich aber alle und ich habe bis heute von keiner eine Antwort erhalten, ob sich dieses Risiko versichern lässt oder nicht. Wie ist eure Meinung hierzu? Habt ihr eine Empfehlung?»

«Wie lange dürfen Personendaten von inaktiven Spender:innen und Mitgliedern einer NPO generell aufbewahrt werden? Können die inaktiven Spender:innen und Mitglieder als Bestandskunden angeschaut werden, vorausgesetzt man kultiviert sie durch das Zusenden von Mailings und/oder Mitgliederzeitungen 1–2 Mal jährlich? Dies natürlich mit dem Ziel, die Personendaten länger aufbewahren zu dürfen.»

«Als Finanzinstitut hat unser HR zum Teil auch Gesundheitsakten / Arztzeugnisse von Mitarbeitern, welche nach dem neuen Datenschutzgesetz (nDSG) als besonders schützenswerte Daten gelten. Diese sind jedoch einzig beim HR. Gilt man hier schon als Verarbeiter von besonders schützenswerten Daten? Wir tendieren dazu zu sagen, dass wir im Grundsatz keine besonders schützenswerte Daten bearbeiten.»

«Medical Invoice (MIC)ist ein Abrechnungssystem für jene im medizinischen Sektor, die ein geringes Rechnungsvolumen mitbringen (hauptsächlich genutzt von Heilpraktikern, Physiotherapeuten ect.). Hier werden sensible Daten aus dem Gesundheitswesen (z.B. Diagnosen, Angaben zur Behandlung, Art der Behandlung usw.) automatisiert an die Versicherungen oder direkt an die Suva auf elektronischem Wege übermittelt. Mich würde folgendes interessieren: Auf der kostenfreien Plattform ‹medicalinvoice.ch›, kurz MIC, welche von der Suva (Schweizerische Unfallversicherungsanstalt) bereitgestellt wird, befindet sich weder ein Impressum noch eine Datenschutzerklärung oder AGB. Müsste hier die Suva als selbstständiges Unternehmen des öffentlichen Rechts nachbessern? Ist hier eine Auftragsverarbeitung nach geltendem Datenschutzgesetz als auch neuem Datenschutzgesetz (nDSG) vorgeschrieben?»

«Wenn der Auftragsverarbeiter in der EU ist, aber auch Unterbeauftragte aus unsicheren Drittländern beizieht, reicht es dann aus, wenn der Auftragsverarbeiter dies mit europäischen Standardvertragsklauseln (SCC) absichert?»

«Kann man eine Seite auf WordPress.com nach dem 1. September 2023 noch datenschutzkonform betreiben?»

«Welche Vorgaben muss man bei einem Unternehmensaccount auf TikTok beachten?»

«Ein Unternehmen stellt ein Fuhrparkmanagement mit Terminbuchungstool zur Verfügung. Ein anderes Unternehmen möchte seinen Fuhrpark darin verwalten und seinen Mitarbeiter zur Nutzung zur Verfügung stellen. Wer ist Data Controller und Processor? Gibt es auch Controller zu Controller?»

«Wir, eine Stiftung für Menschen mit Unterstützungsbedarf, haben uns iPads angeschafft, welche auf den Gruppen zur Verfügung stehen sollen. Es können somit diverse u.a. besonders schützenswerte Daten auch auf der iCloud gespeichert werden. Apple hat uns per E-Mail versichert, dass für uns der Apple Side Letter gilt. Dieser ist eigentlich für Schulen gedacht, garantiert Schweizer Recht und Gerichtsstand Zürich. So können Apple Apps und iCloud datenschutzkonform genutzt werden (Apps und Programme von Drittanbietern sind davon natürlich ausgeschlossen). Wir sind weiterhin sehr skeptisch, da die Daten trotzdem überall (mehrheitlich in den USA) liegen und Apple als amerikanische Firma unter anderem auch dem Cloud Act untersteht. Können wir Apple Apps und iCloud wirklich datenschutzkonform nutzen?»

«Ich habe zwei Fragen: Mailchimp und Mandrill sind US-Dienste. Mit der klassischen Auftragsverarbeitung müssten wir mit dieser Firma ein Data Processing Agreement (DPA) aushandeln. Zweite Frage: Wie gehen wir mit persönlichen Notfallkontakten im HR um? Müssen alle Mitarbeitenden ihr Zugeständnis geben?»

«Ist es zulässig, im Hotelbereich eine Blacklist für zum Beispiel Zechpreller zu führen? In dem Sinne, ist es legitim Personendaten ohne Einwilligung der betreffenden Person zu führen, wenn man als Betrieb ein legitimiertes Interesse an der Datenverarbeitung hat? Dürfte ein fehlbarer Gast eine Löschung seiner Daten verlangen, obwohl ein fehlbares Verhalten vorliegt?»

Podcast-Episode

Das Thema «Arbeitnehmer-Datenschutz» vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: