Legal Session: Besonders schützenswerte Personendaten, Remote Work mit VPN, Zugriffsbeschränkungen, …

Bild: Hinweis auf Legal Session am 10. September 2024An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 10. September 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, ob Angaben zum Gender oder ein Betreibungsregisterauszug zu den besonders schützenswerten Personendaten gehören. Weiter erklärte er, ob bei Remote-Work im Ausland mit VPN das schweizerische oder das ausländische Datenschutzrecht zum Tragen kommt und wieso der uneingeschränkte Zugriff aller Mitarbeitenden auf alle Kundendaten problematisch sein kann.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 20. August 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:

«Ist das Gender ein besonders schützenswertes Personendatum, zum Beispiel bei einer Newsletter-Anmeldung?»

«Thema Auftragsbearbeitungsverträge: Wir sind ein Schweizer KMU für IT-Dienstleistungen, welches in einer internationalen Gruppe von KMU eingebettet ist. Wir arbeiten mit unserem deutschen Pendant zum Teil mit denselben Lieferanten zusammen, z. B. für Storage etc. Die deutsche IT-Gesellschaft hat mit diesen gemeinsamen Lieferanten AVVs abgeschlossen. Innerhalb der Gruppe und den KMU gibt es für den Datenschutz ein Group Data Transfer Agreement, welches den Datenaustausch regelt. Frage: Müssen wir nun für die Schweizer IT-Gesellschaft zwangsweise noch einmal einen Auftragsbearbeitungsvertrag (AVV) mit diesen gemeinsamen Lieferanten abschliessen oder können uns auf die bereits vorhandenen AVVs berufen?»

«Bedarf es im Hinblick auf die Aufzeichnung von Kundengesprächen eine ausdrückliche Einwilligung des Arbeitnehmers oder genügt hier eine konkludente Einwilligung, da eigentlich kein Fall von Art. 6 Abs. 7 DSG vorliegt? Kann ein Arbeitnehmer überhaupt gültig in die Aufzeichnung einwilligen?»

«Sind Betreibungsregisterauszüge besonders schützenswerte Personendaten?»

«Ist für Bing Ads ein Cookie-Banner erforderlich?»

«Bei anderen Datenschutz-Generatoren wird eine datenschutzverantwortliche Person genannt. Wieso bei euch nicht?»

«TOM vs. Machbarkeit: Wir betreiben Wohngruppen für Erwachsene einerseits und Kindertagesstätten andererseits. Die beiden Bereiche haben keine Gemeinsamkeiten, nicht bei der Klientel und auch nicht bei den Mitarbeitenden. Im Fallführungstool werden jedoch beide, die Erwachsenen und Kinder, zusammen geführt und können von allen Mitarbeitenden gesehen werden. Ohne grosse Umprogrammierung ist es nicht möglich, die Einsicht in die Erwachsenen-Daten von den Kinder-Daten zu trennen. Kann durch Unterschrift der Mitarbeitenden der Datenschutz im Sinne von ‹so viel wie nötig, so wenig wie möglich› als technische und organisatorische Massnahme abgesichert werden?»

«Remote Work im Ausland, aber VPN. Ist das Ausland oder Schweiz?»

«Wir möchten einen Kalender-Dienst einsetzen, um Termine einfacher vereinbaren zu können. Wir haben bei unserem Kalender-System das Problem, dass wir nur vollständigen Zugriff geben können. Ist das ein Problem?»

«Ist es zulässig, beim AVV die Kosten für Kontrollen dem Auftraggeber aufzuerlegen?»

«Muss der Name des Datenschutzbeauftragten genannt werden?»

«Was ist eine gute Ressource um sich im Bereich Datenschutz weiterzubilden, natürlich neben den Inhalten von Datenschutzpartner? :)»

«Datenschutz-Plaudereien» über die Legal Session

In einer Podcast-Episode der «Datenschutz-Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: