An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 15. August 2023 diskutierten wir unter anderem, ob ein Auftragsverarbeitungsvertrag (AVV) in bestimmten Fällen benötigt wird und inwiefern das Data Privacy Framework den Daten-Export erleichtert.

Weiter thematisierten wir unter anderem auch den Umgang mit den ausnahmsweise bestehenden Übergangsfristen des neuen Datenschutzgesetzes und was passieren kann, wenn man das neue Datenschutzrecht bis am 1. September 2023 noch nicht vollständig umgesetzt hat.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 15. August 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Kann bei einer Website, welche nur Personen aus der Schweiz anspricht, Google Maps und der Facebook-Pixel ohne Einwilligung verwendet werden?»

«Muss bei einem Verein in der Schweiz etwas besonders beachtet werden bezüglich dem neuen Datenschutzgesetz?»

«Braucht es die Freigabe von Patienten, wenn z.B. Berichte in Audio aufgenommen und dann von einem Auftragsverarbeiter geschrieben werden oder wenn bei komplizierten Berichten ein Lektorat gemacht wird (mit Auftragsverarbeitungsvertrag)? Ich glaube nein …»

«Der Patient wohnt in der EU, hat jedoch einen Schweizer Arzt – sind DSGVO und nDSG anwendbar? (Bsp. Auslandschweizer, die immer noch zum früheren Arzt gehen). Ich gehe davon aus, beides ist einzuhalten … v.a. wenn die Praxis mehrere solcher Patienten hat …»

«Dürfen Ärzte Rezepte weiterhin direkt an Apotheken schicken? Reicht eine implizite Einwilligung oder braucht es eine explizite (schriftliche)?»

«Gibt es Fälle in der Schweiz, wo zwingend eine Einwilligung von Cookies erforderlich ist?»

«Falls Besucher:innen automatisch für einen Newsletter angemeldet werden, muss dies unter dem Formular explizit erwähnt werden oder kann auch auf die Datenschutzerklärung verwiesen werden? Und was müsste in der Datenschutzerklärung stehen?»

«Gilt die Verarbeitung mit einem System mit Sitz in den USA als Export in ein Drittland?»

«Darf ein Treuhandbüro Akten für eine ergänzende / absichernde Expertise an ein anderes Treuhandbüro / Anwaltsbüro weitergeben, ohne die Kundschaft vorgängig zu informieren? Es wird damit argumentiert, dass das hinzugezogene Treuhand- oder Anwaltsbüro ja denselben Geheimhaltungspflichten unterliegt. Ist eine Weitergabe möglich, wenn die entsprechenden Daten geschwärzt werden, die Rückschlüsse auf die betroffene Person geben?»

«Wir sammeln für eine Organisation Spendenbeiträge. Hierbei kommt es vor, dass es bei einem Trauerfall heisst ‹Anstelle Blumen spenden Sie bitte an die Organisation›. Solche Spenden treffen dann bei uns mit dem Vermerk ein ‹Spende im Namen der Trauerfamilie XYZ›. Im Anschluss liefern wir der Trauerfamilie eine Liste mit den Namen der Spender und dem Gesamtbetrag ab. Dürfen wir in Zukunft Namen und Adressen der Spender der Trauerfamilie noch mitteilen?»

«Wenn ich Daten mit z.B. WeTransfer oder SwissTransfer verschicke – verdient das nicht auch einen Eintrag in der Datenschutzerklärung?»

«Falls unsere Website nur Personen aus der Schweiz anspricht, dürfen wir Google Analytics weiterhin ohne Einwilligung verwenden? Oder könnte es zu Problemen führen, da EU-Bürger auch Zugriff auf die Website haben?»

«In Standard-Auftragsverarbeitungsverträgen wird immer ‹Auftragsverarbeiter› und nicht die Bezeichnung ‹Auftragsbearbeiter› aus dem neuen DSG verwendet. Dasselbe gilt für ‹Verarbeiten› statt ‹Bearbeiten›. Müssen die Verträge angepasst werden?»

«In eurer Datenschutzerklärung ist in Ziffer 4 ein Link auf den ‹Beschluss des Schweizerischen Bundesrates› auf die Liste der Länder mit akzeptablen Datenschutz-Reglungen … dieser Link geht auf die Website von Steiger Legal ;-). Könnt ihr den nicht ersetzen mit einem Link direkt auf den Anhang 1 der Datenschutzverordnung (DSV), der ja nun in der Systematischen Rechtssammlung (SR) auffindbar ist?»

«Wir sind eine Agentur, die für Organisationen Spenden sammelt. Wenn eine Einzelperson aus einem Haushalt (die Frau) und ebenfalls eine Spende des Paares (Frau und Herr) aus dem gleichen Haushalt eintrifft, so führen wir die Einzelperson mit dem Paar zusammen. Technisch verschmelzen wir damit die Einzelperson mit dem Paar und deren Zahlungsaktivität. In unserer Datenbank ist dann nur noch das Paar mit beiden Zahlungen vorhanden. Es gibt dann auch nur ein Verdankungsschreiben mit der Spendensumme an das Paar. Unsere Kunden wünschen das meistens so. Meiner Meinung nach dürften wir gemäss nDSG solche Verschmelzungen nicht mehr durchführen. Merci für eure Meinung dazu!»

«Wie entscheide ich die Dauer der Aufbewahrungsfrist, wenn es keine rechtlichen Vorgaben gibt?»

«Meine Frage bezieht sich auf die Auftragsdatenverarbeitung. Wir sind eine Webagentur und haben 2 Arten von Leistungen in unserem Portfolio:

• Wird entwickeln und betreiben CMS und PIM Systeme. Darin gespeichert werden können, theoretisch auch Kundendaten. In der Praxis sind das maximal aber Stammdaten (wie E-Mail-Adressen oder Kontaktadressen zwecks Routenplanung).
• Im zweiten Fall sind wir Reseller von Software-Lizenzen wie von Microsoft Office 365.

In welchem Fall muss ich selbst einen Auftragsverarbeitungsvertrag (AVV) dem Kunden anbieten und in welchem Fall kann ich einfach auf den Auftragsverarbeitungsvertrag des Softwareanbieters verweisen, bzw. in welchem Fall kann ich komplett auf einen Auftragsverarbeitungsvertrag verzichten?»

«Wie wirkt sich der jüngste Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 auf die Nutzung von Google Analytics aus?»

«Unser Unternehmen arbeitet mit Online Tools wie Typeform (Datenerfassungs-Tool), Mailchimp (E-Mail-Marketing), Groove HQ (Helpdesk-Software). Wir haben bereits nach Alternativen gesucht um allenfalls alles umzustellen (dies wäre jedoch ein enormer Aufwand für uns). Ist es nun möglich aufgrund des Data Privacy Framework, diese US-Programme weiterhin ohne grosse Aufwände zu benutzen?»

«Wir sind ein Marketingunternehmen, das für unsere Kunden Vorlagen und Adresslisten an Druckereien mit dem Auftrag zum Ausdruck weiterleitet. Meine Online-Recherche betreffend AVV liefert etwa zu 50 % ‹Ja, AVV nötig› und zu 50 % ‹Nein, kein AVV nötig› zurück.»

«Bei einer externen Pensionskasse ist unserer Ansicht nach nicht von einer externen Auftragsbearbeiterin im Sinne des neuen DSG auszugehen, da die PK die erhaltenen Personendaten nicht nach unseren Weisungen ‹bearbeitet›, sondern nach eigenen gesetzlichen und vertraglichen (Sorgfalts-)Pflichten. Die PK handelt demnach als Verantwortliche (ähnlich wie ein Treuhandunternehmen). Stimmt unsere Annahme?»

«Muss mit einem Anbieter mit Sitz in der EU/EWR in jedem Fall ein DPA abgeschlossen werden (entprechend ADV mit Schweizer Auftragsbearbeiter)? Wenn die entsprechenden Anbieter mit ihren AGB bereits ein DPA bereitstellen, würden wir das als genügend erachten. Korrekt?»

«Ich treffe immer wieder auf Formulierungen und Content, der darauf hinweist, dass in gewissen Fällen Unternehmen mit weniger als 250 Mitarbeitern nicht zwingend verpflichtet sind eine umfangreiche Dokumentation zum Datenschutz zu führen. Wie sieht es denn aber konkret aus bei Genossenschaften? Wir haben einen Kunden mit mehr als 250 Mitgliedern. Hier handelt es sich ja nicht um ‹Mitarbeiter› im herkömmlichen Sinne und doch könnte man bei einer Genossenschaft oder einem Verein die Mitgliederzahl als Organisationsgrösse interpretieren. Oder denken wir hier zu weit in die falsche Richtung.»

«Wir sind eine Vorsorgeeinrichtung und bearbeiten unsere Kundendaten (inkl. umfangreicher Bearbeitung von Gesundheitsdaten) mit unserer inhouse entwickelten Versicherungs-Software. Die Software ist seit dem Jahr 2012 in Betrieb und die Datenbearbeitung an sich wird sich (abgesehen vom neuen Löschkonzept) mit Inkraftsetzung des nDSG nicht verändern. Entsprechend werden wir nach Inkraftsetzung des nDSG keine neuen Kategorien von Personendaten erheben, selbstverständlich werden aber neue Kunden hinzukommen, deren Personendaten wir bearbeiten. Im Hinblick auf die Schlussbestimmung von Art. 69 nDSG stellt sich die Frage, ob wir für dieses Datenbearbeitungssystem eine Datenschutzfolgenabschätzung gemäss Art. 22 nDSG erstellen müssen bzw. ob mit dem Weiterbetrieb eines Versichertenverzeichnisses ‹neue Daten› im Sinne dieser Bestimmung beschafft werden.»

«In eurem Fragebogen wird abgefragt, ob eine Registrierung auf der Website möglich ist. Was gilt aber, wenn die Registrierung über die Website auf einer Drittplattform erfolgt, wie z.B. in einem Hotel-Buchungssystem?» (33:49 Minuten)

«Müssen in der Datenschutzerklärung auf der Website auch Dienste aufgeführt werden, die keine Verbindung zur Website haben. Zum Beispiel, wenn ein Zahlungsdienstleister an einer Kasse in einem Restaurant Kreditkarteninformationen verarbeitet oder ein Adressverwaltungsprogramm im Büro?»

«Über den Datenschutz-Generator können ja nicht alle Tools eingegeben werden. Leider ist es bei euch noch nicht möglich, eigene Tools den Kategorien hinzuzufügen. Man müsste diese zusätzlichen Tools dann mühsam hinzufügen. Das erschwert dann aber Updates der Datenschutzerklärung über euren Generator. Wäre es daher möglich, vor den Schlussbestimmungen diese Tools einfach nacheinander aufzuführen, obwohl diese thematisch weiter oben besser passen würden?»

«Wir organisieren eine online Fachtagung, an der auch Interessierte aus der EU teilnehmen. Reicht es, wenn wir darauf hinweisen, dass bezüglich der Anmeldedaten (Name / Vorname / Organisation, denen die Person angehört) Schweizer Recht angewendet wird?»

«Ich habe eine Datenschutzerklärung zu beurteilen und finde den folgenden Eintrag: ‹Datenerfassung auf dieser Website: Wer ist verantwortlich für die Datenerfassung auf dieser Website? Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt ‹Hinweis zur Verantwortlichen Stelle› in dieser Datenschutzerklärung entnehmen.› Ist das zulässig? Das sieht so aus als wolle man hier eine gemeinsame Verantwortlichkeit konstruieren. Aus meiner Sicht ist allein der Verantwortliche zuständig. Korrekt?»

«Ich betreue einen Kunden mit vielen Kunden in allen Landesteilen der Schweiz. Dementsprechend müssten alle Datenschutzdokumente inkl. Datenschutzerklärung auf der Webseite in den 3 Landessprachen abgefasst werden. Dies ist sehr aufwändig. Gibt es eine Alternative?»

«Ab 1. September gilt das rev. DSG in der Schweiz. Wir bemerken, dass viele unserer Kunden und auch wir selbst als Unternehmen auf den 1. September mit vielen Arbeiten zum Datenschutz nicht ausreichend bereit sein werden. Wie sieht die Situation aus, wenn wir als KMU per 1.9. nur ca. 5 0% der nötigen Arbeiten tatsächlich umgesetzt haben? Reicht es wenn wir ab September 2023 nachweisen können, dass Aufgaben zur Einhaltung des DSG verteilt worden sind und Massnahmen im Gange sind?»

«Es wird in einer Lagerhalle eine Überwachungskamera installiert. In der Lagerhalle fahren/laufen Mitarbeiter. Es gibt keinen feste Arbeitsplätze. Muss man die Bewegungen der Mitarbeiter verpixeln, das es nicht erkennbar ist?»

«Benötigt es einen AVV wenn ein Dienstleister nur zu Support und Fernwartungszwecke Zugriff auf den Server des Verantwortlichen erhält?»

Podcast-Episode und Informationen zur Vertiefung

Andreas Von Gunten und Martin Steiger vertieften die Frage der unvollständigen Umsetzung des neuen Datenschutzrechts per 1. September 2023 in einer Episode der «Datenschutz Plaudereien»:

Im Webinar hatte Martin Steiger unter anderem auf folgende Informationen zur Vertiefung hingewiesen:

• Schweiz: Wer muss ein Verzeichnis der Bearbeitungstätigkeiten führen? (Steiger Legal)
• DAT154 Bearbeitungsverzeichnis mit Risiken (Datenschutz Plaudereien)
• DAT158 Data Privacy Framework (Datenschutz Plaudereien)