News & Questions: Aktuelles vom EDÖB, Cookies, Data Privacy Framework, …

Bild: Hinweis auf News & Questions am 9. September 2025In «News & Questions» erhalten Mitglieder unserer Datenschutz-Academy einen Überblick über aktuelle Neuigkeiten aus dem Datenschutzrecht.

Ferner erhalten sie Antworten auf ihre Fragen und profitieren von den Antworten auf die Fragen anderer Mitglieder.

Bei «News & Questions» am 9. September 2025 informierte Rechtsanwalt Martin Steiger einerseits über aktuelle Themen und Entwicklungen im Datenschutzrecht.

Thematisiert wurden unter anderem aktuelle Verfahren des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), ein europäisches Urteil zum Data Privacy Framework (DPF) und eine neue Busse der französischen Datenschutz-Aufsichtsbehörde CNIL wegen Cookies ohne rechtsgültige Einwilligung.

Andererseits beantwortete Martin Steiger die Fragen von Mitgliedern zum Datenschutzrecht und verwandten Themen, unter anderem über Auskunfts­begehren von Arbeitnehmern, über gespeicherte Daten bei ChatGPT und über die Folgen, wenn ein Verantwortlicher die Begehren von betroffenen Personen gezielt ignoriert.

Aufzeichnung und Folien

Mitglieder der Datenschutz-Academy können sich nachfolgend die aufgezeichneten «News & Questions» nachfolgend ansehen und die Folien herunterladen.

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen bei «News & Questions»

Mitglieder der Datenschutz-Academy stellten folgende Fragen:

«Gibt es Neues von den gespeicherten Daten bei ChatGPT?»

«Verträge an Dritte: Ist es richtig, dass wenn zum Beispiel Mandate für eine Projektevaluation vergeben und Konsulenten für uns Personendaten von Projektteilnehmern im Ausland sammeln und wir diese Personendaten in einem Bericht erhalten, die Verträge mit den Konsulenten den aufgelisteten Mindestinhalt enthalten müssen?

Mindestinhalt von Verträgen mit Auftragsdatenbearbeitern:

  • Beschreibung der bearbeiteten Personendaten
  • Pflicht zur Bearbeitung der Daten ausschliesslich in Übereinstimmung mit den Instruktionen der Organisation
  • Regelung betreffend Beizug von Dritten (Unterauftragsbearbeitern)
  • Geheimhaltungsverpflichtung
  • Regelung für den Fall von Datenschutzverletzungen
  • Beschreibung der technischen und organisatorischen Massnahmen»

«Ich habe gelernt, dass bei Amts- und Berufsgeheimnissen in der Cloud neben einem Auftragsverarbeitungsvertrag zwei Dinge benötigt werden: Ausdrückliche Verpflichtung auf das Amts- und Berufsgeheimnis sowie Verzicht auf Abuse Monitoring. Leider erhalte ich das bei keinem Cloudanbieter. Was soll ich machen?»

«Ich habe immer wieder Diskussionen, ob die technischen und organisatorischen Massnahmen in den Auftragsverarbeitungsvertrag müssen. Ich halte das für zwingend. Wie kann ich argumentieren?»

«Wie (und worüber) müssen neu angelegte Adressen informiert werden? Reicht ein Hinweis auf die Datenschutzerklärung bei der ersten postalischen Kontaktaufnahme?
Müssen bestehende Adressen ihre Einwilligung geben, oder reicht es aus, in sämtlicher postalischer Kommunikation auf die Datenschutzerklärung hinzuweisen?»

«Auskunftsbegehren eines aktiven Mitarbeitenden: welche Daten muss man dem Betroffenen tatsächlich aushändigen? Jeder Mausklick eines Betroffenen erzeugt (Log)daten in den Systemen. In einem IT-Unternehmen besonders, weil Mitarbeitende je nach Job auf sehr vielen Systemen arbeiten. Bei einer Betriebszugehörigkeit von mehreren Jahren kommt eine erhebliche Datenmenge zusammen. Wo ist die Grenze und wie argumentiert man auch hinsichtlich Vollständigkeit? Der Betroffene schrieb: ‹Sind die Daten zwar vorhanden, aber nicht in die Auskunft aufgenommen worden?›»

«Wir haben die Diskussion, ob wir einen Antrag auf Auskunft ignorieren sollen, weil der Aufwand riesig wäre. Was ist das Schlimmste, das passieren könnte?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?