Legal Session mit Cyon: Berufsgeheimnis, Cookie-Banner, Wohnungsfotos, …
An Legal Sessions können die Teilnehmerinnen eigene Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Teilnehmer profitieren.
Die Legal Session vom 23. Mai 2024 führten wir gemeinsam mit dem schweizerischen Webhosting-Unternehmen Cyon durch. Rechtsanwalt Martin Steiger beantwortete unter anderem Fragen zum Berufsgeheimnis im digitalen Raum, zur rechtskonformen Umsetzung von Cookie-Bannern und zum Fotografieren in bewohnten Räumlichkeiten bei Handwerksarbeiten oder Wohnungsbesichtigungen.
Aufzeichnung
Aufnahme: Download als MP3-Datei.
Thematisierte Fragen
An der Legal Session vom 23. Mai 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:
«Wenn Anwälte eine GmbH / AG gründen – gilt dann das Anwaltsgeheimnis auch für die GmbH oder nur für den jeweiligen Anwalt? Hintergrund: Einzelner Anwalt gründet GmbH / AG und hat Website. Die Website strotzt vor Cookies wie Google, Social Media etc. – dadurch werden Websitebesucher (üblicherweise Vertragsanbahnung oder Mandant sucht während Mandat nochmals die Telefonnummer online) mit ganz vielen geteilt – Verstoss gegen Berufsgeheimnis oder ok, da GmbH / AG?
Wie ist es, wenn Anwalt eine Einzelfirma hat und Seite voller Cookies ist – StGB 321 eingehalten? OO, wenn im Kontaktformular angegeben werden muss, ob schon Mandant oder nicht?»
«Braucht ein Cookie-Banner nach DSGVO einen Ablehn-Button bzw. muss man die Cookies auch ablehnen können?»
«Eine Firma betreibt eine Videoüberwachung damit sie sich vor Diebstahl und Beschädigungen schützen kann. Nun werden auch Mitarbeiter in den Überwachungsaufnahmen aufzgezeichnet. Dazu wollte die Firma eine Einwilligung der Mitarbeiter einholen, dass sie der Videoüberwachung zustimmen. Nun gibt es einige Mitarbeiter, welche die Einwilligung nicht unterschreiben. Welche Möglichkeit hat die Firma in diesem Fall?»
«Berufsgeheimnisträger wie Anwalt oder Arzt hält Online Meetings mit Patienten / Mandanten mit z. B. Google Meet etc. ab. Berufsgeheimnis eingehalten oder nicht? (In Deutschland sind solche Tools verboten, weil es auch DSGVO-konforme (mit z. B. DE-Anbieter) gibt)»
«Muss eine Auftragsdatenverarbeitung nach DSG immer in einem separaten Dokument geregelt werden oder kann sich diese auch aus den eigentlichen Vertagsunterlagen ergeben? Teilweise ist die Verhandlung eines ADV mühsam. Was passiert, wenn kein ADV, der Pflicht wäre, vorliegt?»
«Die datenschutzrechtliche Situation von Fotos, auf denen Personen klar erkennbar sind, ist mir klar. Wie sind aber Fotos von bewohnten Räumlichkeiten, auf denen keine Personen sichtbar sind (höchstens auf Bildern an der Wand), aus Sicht des Daten- und Persönlichkeitsschutzes einzuordnen? Auf solchen Fotos können Hinweise auf die Religion oder sexuelle Neigungen von deren Bewohnern ersichtlich sein. Über die Angabe der Adresse des Objektes sind diese unter Umständen klar bestimmten Personen zuordenbar. Oft untersuchen wir als Sachverständige solche Räume ohne selber je Kontakt mit den Bewohnern zu haben (der Zugang wird vom Auftraggeber organisiert). Unsere Arbeit müssen wir nachvollziehbar dokumentieren (das besagen unsere Standesregeln, sind jedoch bei einer rechtlichen Auseinandersetzung ev. entscheidend). Das geht meist am Besten mit Fotos. Handelt es sich dabei um besonders schützenswerte Personendaten (aus meiner Sicht ganz klar, ich stütze mich dabei auch auf Art. 13 Abs. 1 der Bundesverfassung) und können wir uns»
«Muss ich in der Datenschutzerklärung meinen Namen, Adresse und Mailadresse zwingend angeben? Ich will meine persönlichen Daten ja auch schützen!»
«Reicht es also, wenn ‹Ablehnen› nur unter Einstellungen per ‹speichern› möglich ist und nicht sofort erkennbar ist als Button?»
«Wer haftet, wenn ich ein Datenschutz-Generator nutze und das vielleicht nicht korrekt ist? Darf ich auf den Generator verweisen, den ich genutzt habe?»
«Danke für die hilfreichen Ausführungen zum Cookie-Banner in der Schweiz. Wie von Ihnen erwähnt ist das gemäss Schweizer Recht nicht erforderlich. Nun bringt aber Google viele unter Zugzwang, da Google Analytics ab August nur noch Daten verarbeitet, wenn der Consent Mode umsetzt (eben z. B. mit so einem Cookie Plugin?). Verstehe ich richtig, dass man das dann als Schweizer Firma doch umsetzen muss, eben nicht aus rechtlichen Gründen, aber weil Google eben sagt, dass dies von Ihnen aus auch für die Schweiz gilt?
Und noch die letzte Frage: Dieser Cookie-Balken regelt nur ‹Cookies›. Aber Drittanbieter (wie Youtube, Font awesome, Google Fonts, etc.), die keine Cookies schreiben, dürfen jederzeit eingebunden werden. Auch wenn ja technisch gesehen vom Anbieter auch IP, Zeit, etc. auslesen kann? Aber Einbindung von Drittscripts ist nicht gleich Cookies? Wir haben viele Kunden, die nun deswegen nervös werden und einen Consent Mode Umsetzung wünschen.»
«Eine Web Agentur macht Webseiten für (Zahn-)Arztpraxen. Dafür soll neu wegen Kosten z. b. Squarespace aus den USA verwendet werden (auch Domain wird da gehostet). Dadurch sind automatisch viele Cookies gesetzt – meines Erachtens geht so gar nicht wegen Patienten- / Arztgeheimnis – teilst Du meine Ansicht?»
«Darf ich Bilder welche bei einer Fotobox entstanden sind. In einer Galerie per Link der geschlossenen Gesellschaft anbieten?»
«Was muss in der Datenschutzerklärung erwähnt werden, wenn eine Website ausschliesslich Links zu anderen Websiten und Social Medias nutzt?»
«Was ist der aktuelle Stand betreffend datenschutzkonformem Betrieb der Microsoft 365-Palette in Unternehmen oder Verwaltung der Schweiz? Ist heute klar, in welchem Fall der Betrieb (inkl. möglichem Datenabfluss) zulässig ist, bzw. gibt es dazu verlässliche Informationen (oder Entscheide), die über reine Hersteller-Angaben hinausgehen? Ich denke z. B. auch an das Schicksal des Privacy Shield Nachfolgers.»
«Ist der Datenschutz-Generator zuverlässig genug oder was müsste man zusätzlich beachten um optimal geschützt zu sein?»
«Wenn wir für einen DE-Kunden eine Webseite erstellen, genügt die Datenschutzerklärung aus dem Datenschutzpartner-Generator? Sind wir dann genügend gut geschützt?»
«Wann ist es sinnvoll, dass ein Berufs- oder Branchenverband einen Code of conduct für ihre Mitglieder ausarbeitet und dem EDÖB vorlegt? Kann ein solcher den Mitgliedern Rechssicherheit bringen, z. B. durch klare Begründung eines überwiegenden Interesses?»
«Nicht nur wir, auch Handwerker machen oft bei der Begehung von Wohnungen, für die sie eine Offerte erstellen müssen, Fotos (lange vor Baubeginn). Auch Interessierte für eine Mietwohnung machen gerne Fotos bei ihrer Besichtigung. Ich denke das Interesse für solche Fotos ist weit geringer zu gewichten, als für unsere Tätigkeit. Könnte man diese als persönliche Notizen betrachten (Art. 2 Abs 2 DSG)? Nur wo speichern dies Handwerker oder Mietinteressenten dann diese Aufnahmen, wie sieht es aus, wenn sie diese in einer externen Cloud speichern? Anders sieht es wahrscheinlich aus, wenn Vermieter Fotos von bewohnten Wohnungen erstellen und für eine zukünftige Vermietung ins Internet stellen?»
«Ist der Versand von unverschlüsselten E-Mails via Microsoft 365 für Berufsgeheimnisträger aus Ihrer Sicht zulässig?»
«Datenschutz Plaudereien»
In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:
In der Legal Session wurde unter anderem auf folgende Informationen und Unterlagen zur Vertiefung hingewiesen:
- Bildrecht Schweiz: Bilder und Videos legal im Internet verwenden (Martin Steiger bei Cyon)
- Webinar: Einwilligungen im Datenschutzrecht (Datenschutzpartner)