Legal Session: Auskunftsbegehren, NIS-2-Richtlinie, Microsoft SharePoint, …

Bild: Hinweis auf Legal Session am 25. März 2025An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 25. März 2025 beantworte Rechtsanwalt Martin Steiger unter anderem Fragen zum Umgang mit Auskunftsbegehren, der NIS-2-Richtlinie in Liechtenstein und der Sicherheit von Microsoft SharePoint.

Andere Fragen betrafen beispielsweise die Datenschutz-Folgenabschätzung (DSFA) oder Auftragsverarbeitungsverträge (AVV).

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen an der Legal Session

An der Legal Session wurden die folgenden Fragen gestellt:

«Worum geht es bei der DSFA: Um das hohe Risiko oder um das Restrisiko?»

«Ich biete eine SaaS für Psychotherapeut:innen für die Fallbearbeitung an. Gleichzeitig habe ich ein CRM in Betrieb, ebenfalls eine selbst programmierte SaaS. In diesem CRM erfasse ich nur die Daten der Psychotherapeut:innen, welche die SaaS nutzen (für die Zugänge, Rechnungsstellung etc.), also nicht deren Klient:innen. Für die Psychotherapeut:innen biete ich einen AVV an, da hier die Daten von deren Klient:innen eingegeben werden. Wie ist das mit dem CRM? Muss ich nun

  1. das CRM in die Datenschutzerklärung und in den AVV oder nur in den AVV oder nur in die DSE aufnehmen?
  2. Wenn AVV, muss ich demnach mit mir selbst einen AVV abschliessen? Die Nutzung des Hostings ist mit der SaaS für Psychotherapeut:innen identisch.»

«Wir erhalten gelegentlich Auskunftsbegehren von Anwälten oder spezialisierten Onlinediensten. Wie gehen wir damit um?»

«Müssen Druckereien, welche in Auftrag drucken und die Adressen nach dem Erfüllen des Auftrags wieder löschen, ihren Kundinnen auch einen AVV zur Verfügung stellen? Des Weiteren bin ich mir unsicher, ob digitale Zahlungsanbieter wie Raisenow und Payrexx für ihre z. B. Plug-in-Lösungen (für Zahlungsübermittlungen) auch als Auftragsbearbeiter gelten und auch AVV mit ihren Kundinnen haben sollten.»

«Gilt die NIS-2-Richtlinie in Liechtenstein?»

«Darf einem Kunden von einer Versicherung/Bank eine Geburtstagskarte zugestellt werden? Dies würde ja nicht dem offiziellen Bearbeitungszweck entsprechen.»

«Ist es erlaubt, Aufzeichnungen von Webinaren an andere Personen, die nicht am Webinar teilnehmen konnten, weiterzuleiten?»

«Wir hatten intern eine Diskussion über die Sicherheit von Microsoft SharePoint bezüglich Austausch sensibler Daten (z. B. Personal-Dossiers o. ä.). Haben Sie eine Meinung dazu?»

«In Zusammenhang mit KI-Automationen sieht man immer wieder Anleitungen, wie man sogenanntes Web-Scraping betreiben kann, um Personendaten, die auf Webseiten verfügbar sind in eine Datenbank zu speichern, um diese dann im Rahmen von Verkaufs-Kampagnen anzugehen. Ist das erlaubt?»

«Anschlussfrage zu Auskunftsbegehren von Anwälten: Inwiefern kann man bei Anfragen von Anwälten den datenschutzwidrigen Zweck (bspw. bei arbeitsrechtliche Streitigkeiten) als Verweigerungs- bzw. Einschränkungsgrund angeben?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?