Legal Session: Auftragsverarbeitung, Cloudflare, CookieBot, Daten-Export, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 26. September 2022 ging es unter anderem um Auftragsverarbeitungsverträge (AVV), Homeoffice und andere Standorte der Datenbearbeitung sowie um Cloudflare und überhaupt um den Daten-Export in die USA.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 26. September 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Wir möchten aus Datensparsamkeit am liebsten gar keine Logdateien für unsere Website. Geht das?»
«Unser Newsletter-Service wurde in die USA verkauft. Müssen wir etwas unternehmen?»
«Wenn man die Verteilung von E-Mails via CC, BCC, Archive etc. bedenkt, ist das Löschen so schwierig bis unmöglich wie das Löschen eines Fotos in den sozialen Medien, nachdem es x‑fach geteilt wurde. Gibt es von Aufsichtsbehörden oder anderen schlauen Köpfen ein Anleitung, wie man E-Mails «einigermassen rechtssicher» im Sinne der DSGVO löschen kann? Und muss ich externe Empfänger auffordern, auch zu löschen?»
«Haben wir als Webagentur irgendwelche proaktiven Verpflichtungen in datenschutzrechtlicher Hinsicht gegenüber unseren Kunden? Oder liegt hier die Verantwortung grundsätzlich beim Eigentümer der Website?»
«Könnt ihr schon einen Kommentar zur Einschätzung der Verordnung zum neuen Datenschutzgesetz (DSV) geben?»
«Wie wird das Thema Homeoffice rechtlich bewertet, wenn in einer Auftragsverarbeitungsvertrag (AVV) die eigenen Unternehmensstandorte als Datenverarbeitungsstandorte aufgeführt sind? Gibt es dazu auch Aussagen des EDÖB?»
«Auf der Webseite von unserem eigenen selbst gehosteten Mailserver gibt es lediglich einen Anmeldedialog für Mitarbeitende aber keine Registrationsmöglichkeit. Diese Webseite wird vom Hersteller des Mailservers ausgeliefert und kann nicht modifizert werden. Muss auf so einer Website ein Link für Impressum und Datenschutzerklärung implementiert werden?»
«Frage betreffend Daten-Export für Bearbeitung: Wenn ein IT-Partner mit Sitz in der Schweiz einem Mitarbeiter im Ausland Zugriff auf den Schweizer Server gibt (und die Daten auch dort bleiben), ist dies als Export zu werten?»
«Wieso ist Google Analytics im neuen Datenschutzgesetz (nDSG) nicht mehr datenschutzkonform, auch wenn ich einen Auftragsverarbeitungsvertrag (AVV), mit eventuell gültigen Standardvertragsklauseln (SCC) mit Google Analytics abgeschlossen habe?»
«Wie geht man für die Erstellung eines Data Protection Impact Assessment (DPIA), beispielsweise für Office 365, konkret (technisch) vor? Mit welchen Arbeitsschritten?»
«Wie wichtig ist es, Risikobewertungen für mögliche Datenverluste durchzuführen? (Empfehlung Rosenthal.)»
«Wenn ich es momentan richtig sehe, ist der Auftragsverarbeitungsvertrag (AVV) bei Microsoft 365 und Zoom automatisch abgeschlossen. Oder muss man da etwas gegenseitig unterzeichnen oder sind da extra Schritte notwendig?»
«Wie und wo muss die Cookie-Erklärung von Cookiebot deklariert werden? Kann man diese 1:1 in die Datenschutzerklärung kopieren? Und können Sie alternative Anbieter empfehlen, die DSGVO konform sind?»
«Ist es als Schweizer Unternehmen überhaupt möglich, Cloudflare korrekt einzubinden?»
«Viele Schweizer Versicherungen (auch Rechtsschutzversicherungen) und Versicherungsbroker schicken die Versicherungsunterlagen wie Policen, Prämien, Mahnungen, etc. unserer Kunden als PDF-Anhang per Mail. Darin sind nebst den Adressangaben auch weitere Personendaten wie Geburtsdaten, Nationalitäten, etc. enthalten. Ist dies Datenschutzrechtlich nicht sehr bedenklich?»
«Unser Webhosting-Partner (beziehungsweise dessen Muttergesellschaft) hat folgende Infos betreffend Auftragsverarbeitungsvertrag (AVV) aufgeschaltet: https://www.snowflake.com/legal/data-processing-addendum/?lang=de. Können wir auf diesen Inhalt verweisen oder haben wir zusätzlichen Handlungsbedarf hinsichtlich Auftragsverarbeitungsvertrag (AVV)?»
«Wir haben Ihre Ausführungen bislang so verstanden, dass sich Organisationen/Unternehmen in der Schweiz nicht auf die EU-Standardvertragsklauseln (SCC) berufen können. Zeichnet sich hier eine Änderung ab?»
«Einführung eines Lizenzmanagement-Tools, welches die Rechner beziehungsweise Mobile Devices systematisch und regelmässig nach installierter Software, SaaS, Cloud Ressourcen und Hardware prüft und mit den Userdaten dokumentiert. Wie kann man diese Nutzung korrekt im Unternehmen einsetzen, ohne die persönliche Integrität der Mitarbeiter zu verletzen?»
«Outsourcing an ein österreichisches Unternehmer, welches nun von einem Unternehmen aus der USA übernommen wurde. Die Zahlungsabwicklungen sollen zukünftig über Payoneer aus den USA anstelle von beispielsweise Datatrans abgewickelt werden. Wie kann dies bewertet und korrekt dokumentiert werden?»
Das Thema «Daten-Export in die USA» vertieften Andreas Von Gunten und Martin Steiger in einer Podcast-Episode der «Datenschutz Plaudereien»: