Legal Session: Auftragsverarbeitungsverträge, Freundschaftswerbung, Meldepflicht bei Datenpannen, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 16. November 2023 diskutierten wir unter anderem, ob in bestimmten Fällen ein Auftragsverarbeitungsvertrag (AVV) benötigt wird und ob Freundschaftswerbung noch zulässig ist. Ausserdem thematisierten wir die Frage, ob man Datenpannen trotz technischen und organisatorischen Massnahmen (TOM) beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden muss.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 16. November 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Öfters wird darauf hingewiesen, dass man prüfen soll, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Wie prüft man das konkret? Ist das nicht schon bekannt für Microsoft 365 Standard Produkte wie Teams und Outlook oder eine einfache Website mit Datenspeicherung (z.B. Datenbank für Blog). Gibt es AVV-Vorlagen?»
«Muss ein Schweizer Unternehmen mit Standorten (eigenständige Töchter) in den USA, Kanada und Australien und Marktort EU in der übergreifenden Webseite für alle Standorte, die Datenschutzgesetze der genannten Länder in der Datenschutzerklärung berücksichtigen? Reicht es hier ggf., DSG & DSGVO einzuhalten, da es die umfangreichsten/härtesten Datenschutzgesetze sind?»
«Wir haben Kunden, die sich weigern, unseren Auftragsverarbeitungsvertrag zu unterschreiben. Was können wir tun?»
«Was ist der beste Kommentar für das neue Datenschutzgesetz?»
«Stimmt es, dass Freundschaftswerbung verboten wurde?»
«Ein Kunde kauft resp. spendet über die Website. Muss für weiteres E-Mail-Marketing, dessen Inhalte produkte- resp. spendenspezifische Inhalte enthält, dafür ein Consent bestehen resp. ein Double-Opt-In-Prozess durchgeführt werden?»
«Betreffend Videoüberwachungen: Ist die Datenschutz-Folgenabschätzung als Risikoanalyse für die gesamte Videoanlage gedacht (Zugriffe, Export von Daten etc.) oder muss jede einzelne Kamera im System bewertet werden und sobald diese den Standort wechselt wieder neu?»
«Sobald der Zweck erfüllt ist, müssen Personendaten gelöscht oder anonymisiert werden. Heisst dies, dass Teilnehmerlisten, welche über eine Website erfasst wurden, nach einem Event immer komplett (auf der Website sowie auf dem unternehmenseigenen Server) gelöscht werden müssen?»
«Ein Softwarepartner hat uns eine eigene Softwareapplikation gebaut, die bei ihm gehostet wird. Gespeichert werden darin Personendaten von Klienten von zuweisenden Behörden, z. B. IV, RAV. Die Daten werden durch uns eingegeben. Ist ein AVV notwendig?»
«Meine Krankenkasse Concordia verwehrt mir eingeforderte Datenauskunft. Es wird auf Zusatzkosten von 150 Franken gemäss Datenschutzverordnung (DSV) verwiesen, die ich akzeptiert hatte. Aber auch keine Auskunft nach 2 Monaten. Wir muss ich nun weiter vorgehen, um die Datenauskunft rechtlich einzufordern?»
«Wir arbeiten mit einer Übersetzungagentur, bei welcher unsere Texte sowohl von den Mitarbeitenden als auch von Software-Tools übersetzt werden. Benötigen wir da einen AVV?»
«Zu EDÖB technische Empfehlung für die Protokollierung gemäss Art. 4 DSV, Kap 3.3 Protokollierung bei bestehenden Anwendungen: Ist dies eine MUSS- oder KANN-Empfehlung? Wenn MUSS: was ist der verlangte Detaillierungsgrad? Was sind Konsequenzen, wenn die Empfehlung nicht umgesetzt wird? Spezifisch zu Tracking von Lesezugriffen»
«Wir haben Personendaten von Personen, die nicht in der Schweiz/Europa wohnhaft sind, z.B. Koordinator:innen oder Projektteilnehmdende in Westafrika/Zentralamerika. Diese Personendaten sind aktuell nicht im CRM. Wie gehen wir mit diesen Personendaten vor – gilt das schweizerische Datenschutzgesetz auch für diese?»
«Ist es korrekt, dass für Datenschutzbestimmungen kein Consent mehr eingeholt werden muss, sondern die Informationsbereitstellung zu den Datenschutzbestimmungen ausreicht? Betrifft sowohl Übermittlungen ins sichere als auch ins unsichere Ausland.»
«Wir arbeiten mit einer Werbeagentur zusammen, welche in unserem Auftrag Werbematerial (Video inkl. Statisten, Fotomaterial, Claims etc.) erstellt. Benötigen wir bei dieser Zusammenarbeit einen AVV hinsichtlich den Personendaten der Statisten?»
«Was ist die Aufgabe einer EU-Datenschutz-Vertretung? Gibt es einen Mustervertrag mit Pflichtenheft?»
«Wie regelt man den Datenaustausch zwischen Kooperationspartner (z.B. Sektionen eines Verbandes, die unabhängig Personendaten bearbeiten)?»
«Fehlerhafter Versand von Personendaten in unsicheres, aber auch sicheres Ausland: Geschieht immer mal wieder, ein Datensatz betroffen, geht immer an Partner, mit denen wir generell eine Zusammenarbeit pflegen (Spitäler/ Stammzellspenderegister o.ä.). Wird immer direkt via E-Mail-Kommunikation aufgegriffen, beim Partner gelöscht und löst eine interne Abweichungsmeldung aus. Muss in einem solchen Fall eines falsch gesendeten Datensatzes immer der EDÖB informiert werden? Privatsphäre-Verletzung schliessen wir aus, da immer Versand an medizinische Partner, nie an Öffentlichkeit oder Privatpersonen.»
Podcast-Episode und Informationen zur Vertiefung
In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:
In der Legal Session hatte Martin Steiger unter anderem auf folgende Informationen zur Vertiefung hingewiesen:
- meineimpfungen.ch: So könnte die Rettung der Impfdaten funktionieren (Steiger Legal)
- Video-Überwachung: Muster für Hinweisschild zur Erfüllung der Informationspflicht (Datenschutzpartner)
- DAT192 Datenschutz-Quiz (Podcast Datenschutz Plaudereien)
- Webinar: Wir prüfen Auftragsverarbeitungsverträge!
- Onlinekommentar.ch
- Webinar: Datenschutz-Folgenabschätzung (DSFA)
- Webinar: Technische und organisatorische Massnahmen (TOM) für die Gewährleistung der Datensicherheit