Legal Session: Backups, Bewerbungen, Chatbots, Newsletter, …

Bild: Wandtafel mit FragezeichenAn Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 7. Dezember 2021 ging es unter anderem um Backups, Bewerbungen, Chatbots und Newsletter.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 7. Dezember 2021 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Benötigen wir auch in einem Chatbot ein Cookie-Banner (und gegebenenfalls ein Impressum, eine Datenschutz-Notiz etc.)? Die Benutzer kommen mehrheitlich aus der EU, die Website/der Chatbot sind in der EU gehostet.»

«Wie läuft das datenschutzrechtlich bei Bewerbungen in der Schweiz? Ich habe festgestellt, dass zumindest bei KMU oftmals keine befriedigenden Infos bezgl. Datenschutz von Bewerbungssschreiben (Lebenslauf, CV, Motivationsschreiben) geteilt werden. Mir ist gemäss Google Recherche soweit klar, dass es eine maximale Aufbewahrungszeit gibt. Doch habe ich anscheinend keine Informationen, wann diese effektiv gelöscht werden, bzw. ob sie noch gespeichert sind und was genau. Die eigentlich spannendere Frage ist, was passiert, wenn ein Unternehmen mich nach einer Absage darum bittet, meine Unterlagen für andere Vakanzen behalten zu dürfen. Denn in der Praxis habe ich bisher zur Speicherung zugesagt, danach aber nie mehr vom Unternehmen gehört. Unterliegen meine Bewerbungsdaten bei meiner Zustimmung auch einer maximalen Aufbewahrsdauer? Mir scheint es eine Grauzone zu sein.»

«Bei Verdacht auf Phising Mails kann man auf Wunsch dem Mailprovider die Phishing Mail zur weiteren Analyse offenbaren. Wie sieht der Datenschutz hier aus? Oftmals sind in einer gezielten Phising Mail persönliche Daten; andererseits scheint man bei Zustimmung zur weiteren Analyse die Daten vollständig ‹abgegeben› zu haben.»

«Beim Thema Cookie-Banner hast du sehr klar gesagt, dass diese in der Schweiz überflüssig sind. In einem früheren Cookie-Banner-Webinar habe ich das aber so verstanden, dass wenn die Seite die EU anspricht, es eben doch einen Cookie-Banner braucht. Könntest du das vielleicht nochmals präzisieren? Ab wann spricht eine Website die EU an?»

«Wie steht es eigentlich um die Vorgaben bei Websites mit B2B-Angeboten? Gilt da die gleiche Datenschutzerklärung oder braucht es gar keine? Im nDSG ist ja nur von den privaten Personen und den Bundesorganen die Rede.»

«Folgender Punkt zu Newslettern für bestehende Kunden ist für mich nicht deutlich ersichtlich: [Gemäss …] sieht das Gesetz eine Ausnahme vor. Ein Versand ist zulässig, wenn:

  • Der Empfänger bereits Kunde beim Unternehmen;
  • Das Unternehmen die E-Mail-Adresse im Zusammenhang mit dem Verkauf seiner Produkte oder Dienstleistungen erhalten hat;
  • Der Empfänger der Nutzung jederzeit widersprechen kann und eine Abmeldungsmöglichkeit vorhanden ist;
  • Wenn der Empfänger nur Informationen zu ähnlichen Produkten oder Dienstleistungen erhält.

Dann hat das Einholen der Einwilligung bereits Newsletter-Charakter?»

«Ist das Thema Backup in eurer Datenschutzerklärung abgedeckt? Viele (ich auch) speichern ja Backups von Websites in einer Cloud. Je nach Inhalt, z. B. bei einem Webshop sind ja schon einige Personendaten in den Datenbanken vorhanden. Ich habe bei der Dropbox eine Businesslösung = verschlüsselt + mein Backup-Programm verschlüsselt vor der Übermittlung an die Dropbox. Müsste ich das nicht explizit in der Datenschutzerklärung erwähnen?»

«Viele Schweizer Websiten haben reine DSGVO-Datenschutzerklärungen, obwohl wahrscheinlich sowohl die DSGVO als auch das DSG anwendbar wären. Namentlich die Verweise auf DSGVO-Artikel finde ich für solche Konstellationen unschön. Was ist ein guter Mittelweg, damit sich Unternehmen nicht freiwillig für sämtliche Datenverarbeitungen der DSGVO unterstellen, sondern nur für jenen Teil, der auch effektiv der DSGVO untersteht? Verweis auf konkreten DSGVO-Artikel einfach weglassen?»

«Für eine Kundin möchte ich eine Berufsbezeichnung als Domain wählen. Die Kundin hat sich in diesem Tätigkeitsfeld zwar weitergebildet, hat aber kein entsprechendes eidgenössisches Fähigkeitszeugnis EFZ. Darf sie die Domain – sagen wir als Bäckerin – www.la-panettiera.ch und die Marke ‹la paniettiera› verwenden, sofern immer auch ihr Name ersichtlich ist (im Impressum, auf der Visitenkarte), und sie sich natürlich auch nicht als Bäckerin oder gar Bäckerin EFZ bezeichnet? Also ‹la paniettera Heidi Muster›. Und das in der Deutschschweiz. Es ist eine nebenberufliche Selbstständigkeit, von der AHV anerkannt, aber bis jetzt ohne Handelsregistereintrag usw. Also eine formlose Einzelfirma.»