Legal Session: Auftragsverarbeitungsvertrag, EU-Datenschutz-Vertretung, Google Analytics, Online-Verträge, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 22. November 2022 beantworteten wir unter anderem Fragen zum Auftragsverarbeitungsvertrag, zur EU-Datenschutz-Vertretung, zu Google Analytics und zum Unterschreiben von Online-Verträgen.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 22. November 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«EU-Datenschutz-Vertretung: Muss eine natürliche oder juristische Person sein?»
«Es braucht einen AVV (DPA) für den Datenaustausch in sicheren und unsicheren Drittstaaten, aber für unsichere Drittstaaten, muss er basierend dem SCC sein und muss zusätzlich eine TIA gemacht und müssen TOM erstellt werden, richtig?»
«Muss ein IP-Telefon-Providersts eigentlich in der Datenschutzerklärung erwähnt werden (z.B. https://www.sipgate.de/)?»
«Wir benötigen Stand heute stets noch Google Analytics und verweisen in unserer Datenschutzerklärung auch darauf hin. Mit dem Urteil im EU-Raum stellt sich uns die Frage, ob wir Gefahr laufen, wenn wir weiterhin Google Analytics brauchen. Wie hoch wäre die Chance einer Datenschutz-Abmahnung aus dem EU-Raum? Es gibt ja auch Alternativen zu Google Analytics.»
«Wir erwägen, das ‹Trusted Content›-Widget der Firma Contentbird für Inhalte unserer Website einzusetzen. Dieses verwendet ‹Fingerprinting›, um z.B. Doppelbewertungen zu vermeiden. Ist es richtig, dass wir in diesem Fall das Widget nicht in der Datenschutzerklärung aufnehmen müssen, weil anscheinend weder Cookies noch personenbezogene Daten gespeichert und verarbeitet werden?»
«Wir führen eine Notfallzentrale, welche gewisse Interventionspersonen benachrichtigt, wenn ein Vorfall passiert. Fehlen Verwandte oder Bekannte, dann arbeiten wir mit Spitex Organisationen zusammen, welche Interventionspersonen zur Verfügung stellen. Sind die Spitexen Auftragsbearbeiter? Braucht es einen Auftragsbearbeitungsvertrag oder reicht eine Geheimhaltungsklausel? Diese erhalten nur im Notfall die Personendaten, nicht aber vorab schon eine ganze Liste mit möglichen Personen.»
«Können Fotos von Personen, auf welchen Hilfsmittel (wie z.B. Rollstuhl) oder Logos einer sozialen bzw. Gesundheitlichen Einrichtung sichtbar sind, als besonders schützenswerte Personendaten gelten?»
«Wie ist es, wenn Verträge online unterschieben werden, und dazu Online-Tools, wie Skribble oder Adobe Sign genutzt werden, muss dies auch in der Datenschutzerklärung erwähnt werden?»
«Eine Schweizer Firma bietet eine Applikation für Zeiterfassung / Reisespesen an und nutzt als Subunternehmer Azure. Das Unternehmen wirbt auf der Internetseite mit gültigem ISO 27001. Will aber den AVV nach EU-Recht nicht akzeptieren und keine Haftung für die Subunternehmen übernehmen. Was wäre hier die beste Empfehlung, wenn das Business mit dem Unternehmen arbeiten möchten?»
«Wie ist die Nutzung von Google Customer Match nach CH-DSG möglich?»
«Gibt es eine Empfehlung, wie lange Personendaten aufbewahrt werden sollen wenn es keine gesetzliche Aufbewahrungsfrist gibt (z.B. nachdem ein Vertrag / Einsatz abgelaufen ist)?»
«Gibt es datenschutzrechtliche Vorgaben für eSignatur (Adobe Sign / DocuSign), welche beachtet werden müssen?»
«Gibt es eine Vorlage / Checkliste / Ablaufplan, um einen firmeninternen Auftrag zur Einführung des revDSG zu erstellen? Zur Information, wir haben insgesamt fünf Geschäftsbereiche.»
«Muss ein externer genutzter E-Mail-Gateway-Service, eigentlich in der Datenschutzerklärung genannt werden? Zum Beispiel https://www.duocircle.com oder https://www.zoho.com/mail?»
«Google Analytics:
Reicht die Verwendung Ihres Datenschutz-Generators zusammen mit dem Cookie Banner mit folgendem Wortlaut:
Wir verwenden Cookies für unsere Website. Dazu zählen auch Cookies, die nicht zwingend erforderlich sind, um unsere Website zu nutzen, aber die Website und insbesondere Ihr Nutzererlebnis verbessern. Sind Sie mit der Verwendung solcher Cookies einverstanden?
[Ja] [Nein]
Weitere Informationen über die Verwendung von Cookies sowie Ihre Rechte als Nutzerin oder Nutzer finden Sie in unserer Datenschutzerklärung.»
«Wir kaufen Stock-Images mit Portraits von beliebigen Personen via Getty und Reuters für unsere Website ein. Müssen wir beim Persönlichkeitsschutz für diese Portrait-Fotografien gemäss nDSG etwas berücksichtigen? Oder müsste dies die Stock-Image-Firma bereits abgeklärt.»
«AVV nach Schweizer Recht: Haben Sie Beispiele für Vorlagen?»
«Muss in dem Cookie-Banner expliziert auf Google Analytics verwiesen werden oder genügt es, einen Verweis auf die Datenschutzerklärung zu geben, wo definiert wird, für was Google Analytics gebraucht wird?»
Die Fragen zum Datenschutz-Generator und zu Datenschutzerklärungnen vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: