Legal Session: Data Privacy Framework (DPF), Sicherheitslücken bei pCloud, Video-Überwachung, …

Bild: Hinweis auf Legal Session am 22. Oktober 2024An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 22. Oktober 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, wie lange Aufzeichnungen von Besprechungen aufbewahrt werden dürfen, was im Kanton Zürich für das Data Privacy Framework (DPF) und was die Sicherheitslücken bei pCloud für betroffene Kundinnen und Kunden bedeuten.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 20. August 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:

«Muss ich das Data Privacy Framework (DPF) in der Datenschutzerklärung erwähnen?»

«Ein Spender schreibt eine E-Mail und bittet um seine Spenderhistorie (Beträge und Daten). Die postalische Adresse hat er angegeben. Müssen wir seine Identität weiter verifizieren? Können wir ihm seine Spendenhistorie per Mail zusenden? Muss die E-Mail verschlüsselt werden? Vielen Dank für Ihre Hilfe.»

«Können wir einen Datenschutzbeauftragten im Ausland beauftragen?»

«Die alte Frage: Datum in einer Datenschutzerklärung: Ja oder nein?»

«Welche Verantwortung trage ich als Webdesignerin für den Datenschutz bei Websites, die ich kreiere?»

«Ich habe verschiedene Online-Recrutingdienste verglichen. Bei einigen in den USA sehe ich kein Data Privacy Framework oder kein Data Privacy Framework mit HR. Kannst du dir das erklären?»

«Wir filmen die Laderampe. Kürzlich gab es einen Streit zwischen zwei Kunden und ein Kunde verlangt die Aufnahmen heraus. Dürfen oder müssen wir die Aufnahmen herausgeben? Wir haben die Aufnahmen vorsorglich gespeichert.»

«Braucht es bei einer Webseite die Einwilligung für die Einbindung von Chatbots, Videos etc.?»

«Die Datenschutzbeauftragte des Kantons Zürich hat Ausführungen zu den ‹Auswirkungen des Swiss-US Data Privacy Framework› publiziert. Sie hält fest, dass öffentliche Organe des Kantons Zürich Personendaten an zertifizierte Organisationen in die USA bekanntgeben dürfen, ohne zusätzliche Vorkehrungen treffen zu müssen. Für die Frage der Zulässigkeit der Auslagerung von Datenbearbeitungen an eine zertifizierte Organisation ändere der Angemessenheitsbeschluss hingegen nichts. Wie ist das genau zu verstehen? Hat der Angemessenheitsbeschluss somit keine wesentlichen Auswirkungen auf eine Auslagerung? Muss weiterhin ein Transfer Impact Assessment (TIA) gemacht werden?»

«Können Aufzeichnungen von Sitzungen (Teams) aufbewahrt werden, auch wenn das Protokoll der Sitzung final erstellt und genehmigt wurde. Ist es mit den Datenschutzbestimmungen vereinbar, die Aufnahme gleich lange aufzubewahren wie das Protokoll?»

«Thema Microsoft Cloud-Verträge: Ist es auch die Ansicht von Datenschutzpartner, dass das ‹Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum› (Zusatzvereinbarung zum Microsoft Customer Agreement (MCA)) bereits in den European Model Clauses und im Data Processing Agreement von Microsoft enthalten ist und somit auch die Schweizer Datenschutzanforderungen abdeckt (‹sufficient for regulatory compliance›) und die Vereinbarung M329 nur optional abgeschlossen werden muss?»

«In einem Auftragsverarbeitungsvertrag zwischen zwei Schweizer Unternehmen muss neben dem DSG auch die DSGVO erwähnt werden, wenn von der Datenbearbeitung (auch) Personen in der EU betroffen sind, oder?»

«Eine Frage zu pCloud: Kann ich mein Business-Abo bei pCloud kündigen und basierend auf der ernüchternden Analyse von Jonas Hofmann und Kien Tuoung Truong meine Beiträge z. B. wegen irreführender Informationen (‹sicherste Cloud›) zurückverlangen?»

«Dürfen Beiträge und Kommentare von ausgetretenen Mitarbeitenden im Intranet unter dem Zweck der Aufrechterhaltung des Geschäftsbetriebes aufbewahrt werden (in nicht anonymisierter Form)? Falls Ja: Ist die Aufbewahrung zeitlich zu befristen?»

«Was ist datenschutzrechtlich zu beachten, wenn sich Behörden aus verschiedenen Kantonen zu einem privatrechtlichen Verein zusammenschliessen, um interkantonal zusammenzuarbeiten? Wie sieht es mit dem Einsatz von Kollaborationsplattformen wie Confluence, Jira, Teams etc. aus? Müsste z. B. für den Austausch von vertraulichen Informationen / besonders schützenswerten Personendaten auf Tresorit ausgewichen werden?»

«Datenschutz-Plaudereien» über die Legal Session

In einer Podcast-Episode der «Datenschutz-Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: