Legal Session: Patienten, persönliche Bussen, unverschlüsselte E-Mails, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 12. September 2023 diskutierten wir unter anderem, ob Arztpraxen unverschlüsselte E-Mails und SMS versenden dürfen und wofür sie eine Einwilligung der Patienten benötigen. In diesem Zusammenhang thematisierten wir auch die Datenschutzerklärung der Verbindung der Schweizer Ärztinnen und Ärzte (FMH).
Ausserdem ging es um Exchange Online sowie die Frage, wie Unternehmen ihre Mitarbeitenden bei persönlichen Bussen entlasten können.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 12. September 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Ich sehe vermehrt Seiten von Unternehmen, die zwar dem Datenschutzgesetz unterliegen, aber dennoch eine Cookie-Info einblenden (ohne Möglichkeit zum Opt-in oder Opt-out), so zum Beispiel Coop. Ich war der Meinung, dass es reicht, Cookies, Services etc. in der Datenschutzerklärung abzuhandeln, um die Informationspflicht zu erfüllen. Geht Coop hier einfach einen Schritt weiter (aus welchen Gründen auch immer) oder gibt es eine Art von aktiver Informationspflicht?»
«Ich erhalte seitens Hosting-Providern unterschiedliche Aussagen hinsichtlich Löschung und / oder Anonymisierung von Server-Logs, da sich das DSG und das Bundesgesetz betreffend der Überwachung des Post- und Fernmeldeverkehrs (BÜPF) hier widersprechen würden. Was ist Eure Einschätzung dazu?»
«Kantonale Gesetze über die Information und den Datenschutz (IDG) gehen offenbar weiter als das Datenschutzgesetz. So hat zum Beispiel bs.ch einen Banner mit Möglichkeit, zuzustimmen oder abzulehnen. Was hat es damit auf sich?»
«Ich habe die Auftragsverarbeitungsverträge (AVV) diverser Schweizer Host Provider angeschaut – mal fehlen die TOM, mal fehlen Infos zur Breach Meldung, mal fehlen …). Gibt es einen, der die Vorgaben wirklich einhält?»
«Unser Websitekunde betreibt u.a. eine Homepage für eine Fachmesse. Dort kann sich der Fachhandel, nachdem er schriftlich per Post informiert wurde, per E-Mail als Aussteller oder als Besucher anmelden. Es gibt nur vereinzelte private Kundenanfragen über diese Homepage, welche nicht zur Messe zugelassen werden. Deren E-Mails werden spätestens nach der Messe gelöscht. Frage: Benötigt diese Firmenkunden Homepage auch eine Datenschutzerklärung?»
«Wenn ich offene Stellen auf meiner Firmen-Webseite aufschalte – braucht es da wirklich keine Datenschutzhinweise dafür? Oder macht es mehr Sinn, die notwendigen in den allgemeinen Datenschutzhinweisen einzufügen?»
«Ich habe gesehen, dass AVV teilweise in AGB integriert werden bzw. die AGB darauf verweisen. In meinem Verständnis stimmt man dem AVV mit Zustimmen der AGB zu. Hat das aus Anbietersicht (Hosting, unsere AGB) einen Nachteil?»
«Mit dem neuen Datenschutzgesetz ist auch die revidierte Datenschutzverordnung (DSV) in Kraft getreten. In den Webinaren und Legal Session war die kaum ein Thema. Welche wichtige Änderungen ergeben sich aus dieser Datenschutzverordnung?»
«Ein Treuhänder verarbeitet Personendaten, Lohndaten, Versicherungsdaten, eine Markenkanzlei verarbeitet Lizenznehmerdaten. Wir sind gesetzlich verpflichtet, diese Daten weiterzuleiten. Müssen wir hier bezüglich Datenschutz etwas berücksichtigen? Allenfalls einen AVV abschliessen?»
f
«Kann die Einwilligung für die Aufhebung des Patientengeheimnisses mit einem (minimalistischen Cookie Banner) eingeholt werden?»
«Wir haben im Vorfeld des neuen DSG bei jedem Auftragsbearbeiter (Slack, Bexio, Cloud Provider etc.) den uns zur Verfügung gestellten Auftragsverarbeitungsvertrag (AVV) unterzeichnet. In vielen Fällen war das einfach, da der AVV bereits in die AGB integriert war oder im Control Panel per Klick abschliessbar. Nun haben wir umgekehrt natürlich auch die Anforderung, dass unsere Kunden ebenfalls von uns einen AVV möchten. Hierfür haben wir ebenfalls einen vorgefertigten AVV, welchen wir aushändigen. So weit, so gut. Jetzt gibt es Kunden, welche nicht den von uns zur Verfügung gestellten AVV nehmen möchten, sondern einen eigenen mitbringen. Hier steigt der Aufwand massiv, man stelle ich vor, jeder Kunde bringt seinen eigenen AVV (ich käme auch nicht auf die Idee, nicht den AVV von Slack zu verwenden, sondern Slack mit einem eigenen zu ‹belästigen›. Abgesehen davon, dass Slack vermutlich gar nicht darauf eingehen würde). Mich hat das überrascht. Wie sind da die Erfahrungen: Kommt so etwas häufig vor und kann man eigene AVV verwenden?»
«Muss ich withcabin.com in der Datenschutzerklärung aufführen? Und muss ich dafür eine Statistik-Einwilligung einholen? Wenn ja, für welche User?»
«Ich habe für einen Kunden (Chirurg) auf seiner Website die Datenschutzerklärung der Verbindung der Schweizer Ärztinnen und Ärzte (FMH) publiziert. Beim Durchlesen derselben ist mir aufgefallen, dass diese fast ausschliesslich sehr vage Formulierungen enthält. So sind verschiedene externe Dienstleister nicht etwa einzeln aufgezählt, sondern lediglich summarisch erwähnt. Meine Fragen dazu:
- Ist dies ausreichend, um dem nDSG Genüge zu tun?
- Ist das vielleicht sogar klüger?»
«Wir entwickeln und warten für unsere Kunden Webshops. Für neue Entwicklungen kommen dabei Testumgebungen zum Einsatz. Jetzt stellt sich mir die Frage, greift das nDSG auch bei solchen Testwebseiten? Eine Registrierung mit persönlichen Daten ist schliesslich möglich und je nach System werden auch Mails verschickt. Müsste also auch hier die Datenschutzerklärung angepasst werden? Und vielleicht noch wichtiger auf welche Firma sollte dann verwiesen werden? Auf uns als Dienstleister oder auf den Kunden/Besitzer der Live-Webseite?»
«Macht es etwas wenn ich im Datenschutz Angabe zu Google Fonts oder Analytics oder anderes angebe, aber dies gar nicht erfasse?»
«Ich biete im meinem E-Commerce nur Verkäufe an Schweizer Kunden an. Was mache ich mit EU-Besuchern? Müssen die mit einem Cookie Banner trotzdem auf mein Tracking aufmerksam gemacht werden? Oder darf ich EU-Besucher nicht tracken?»
«Muss ich bei Trackingtools wie hotjar oder andere Analytics Tool dem Besucher die Möglichkeit geben, mit einem Klick das Tracking abzustellen? Wenn ja, wird das Datenschutz-Generator berücksichtigt?»
«Braucht ein Fotograf einen Auftragsverarbeitungsvertrag (AVV)?»
«Ausgangslage: IT-Firma, die ein Hosting für ihre Kunden betreibt. Ein Auftragsverarbeitungsvertrag wird abgeschlossen. Mitunter inkludiert sind dabei diverses Sicherheitsmassnahmen wie zum Beispiel ein Virenscanner (von einer amerikanischen Firma). Der Virenscanner wird über die Mutterfirma aus Kanada bezogen. Muss die Firma (Virenscanner) als Unterauftragsbearbeiter aufgelistet werden oder ist ein Virenscanner ‹Mittel zum Zweck›? Die gleiche Frage gilt auch für die App zur Authentifizierung, die von einem grossen amerikanischen Hersteller gestellt wird (Weblösung). Ist hier eine Auflistung als Unterauftragsbearbeiter notwendig?»
«Was ist bei Websites wie Gastronomiewebsites, die nebst Tracking Tools viele Dritt-Tools wie Reservationsformular-Einbindungen haben, die Kundendaten an Dritten weitergeben. Was muss der Gastronome/Hotelier da beachten – einerseits digital, andererseits vor Ort im Betrieb?»
«Muss die Datenschutzerklärung wie die AGB bei einer Buchung mit der Bestätigung an die Gäste mitgeschickt werden oder reicht ein Hinweis auf die Datenschutzerklärung auf der Website?»
«Ist es möglich im Katalog lediglich einen Hinweis auf die Datenschutzerklärung auf der Website zu platzieren?»
«Soll vor der Buchung auf der Website analog Booking auch verlangt werden, die Datenschutzbestimmungen zu akzeptieren? Zum Beispiel: ‹Mit der Buchung stimme ich den Allgemeinen Reisebedingungen (AGB) sowie den Datenschutzbestimmungen zu.› Soll dies lieber ein separates Häkchen sein oder können die beiden auch gleich gemeinsam akzeptiert werden wie im Vorschlag?»
«Wir sind Reseller von Webhostings verschiedener Anbieter – Hostpoint, Cyon und Metanet. Bei Hostpoint und Cyon kann man einfach und per Mausklick einen AVV abschliessen – sehr praktisch und kundenfreundlich. Metanet hat zusammen mit Datenschutzexperten ein PDF-Formular erarbeitet. Wir können das nicht alleine ausfüllen. Auf Nachfrage heisst es, wir sollen uns von Juristen helfen lassen. Mal angenommen wir tun das – auf Basis Stand heute. Wie gehen wir vor, wenn ‹Stand morgen› nicht mehr der aktuellen Art von Daten, die gespeichert werden, entspricht? Wie schaffen es Cyon und Hostpoint relativ einfach alles unter einen Hut zu bringen und wie können wir das bei Metanet ebenfalls einfach erreichen?»
«Welche Massnahmen sind in Bezug auf die eigene Firmenwebsite zu treffen? (Cookie Banner, Formulare zum Einsammeln von Leads, usw.)»
«Darf man eine geschäftliche Anfrage per E-Mail an eine Person (persönliche E-Mail) senden, zum Zweck der Kontaktaufnahme/Bedarfsanfrage für ein zu verkaufendes Produkt/Dienstleistung. Wenn ja, wo sind die Grenzen? Wenn ja, verhält es sich mit unpersönlichen E-Mail Adressen (z.b. info@) identisch?»
«Meine Software-Firma schreibt heute: ‹Möglicherweise sind Sie bereits darüber informiert worden, dass sich das Datenschutzgesetz per 1. September geändert hat. Gemäss den neuen Bestimmungen ist es erforderlich, dass jeder Patient eine aktualisierte Einverständniserklärung unterzeichnet, damit Sie den Patienten behandeln, wie auch seine Daten weitergeben dürfen.› Dementsprechend haben alle Patienten ‹Sticker› bekommen, die aktiv bleiben, bis eine neue Einverständniserklärung unterzeichnet wäre. Ist dem wirklich so, wenn wir in der Praxis bereits verschlüsselt kommunizieren und auch sonst alles bezüglich Datenschutz einhalten? Müssen sich die Patienten alle nochmals einschreiben? Oder schreibt das die Verbindung der Schweizer Ärztinnen und Ärzte (FMH) analog meiner vorherigen Frage von heute einfach, damit alle Patienten unterschreiben, dass Termine und Mails unverschlüsselt versendet werden dürfen? Defacto würde damit das neue Datenschutzgesetz ja wieder ausgehebelt …»
«Um den Datenschutz innerhalb einer Organisation zu gewährleisten, müssen alle Mitarbeitenden sich entsprechend verhalten. Gibt es Anhaltspunkte/Vorlagen, für eine solche Mitarbeiter-Richtlinie?»
«Was muss bei Online-Formularen berücksichtigt werden bezüglich der Übermittlung von Personendaten? Braucht es eine Checkbox (ja/nein)? Falls ja, wie sollte der Text lauten, der hinter der Checkbox steht? Könnte eine Checkbox sogar problematisch werden oder verhält es sich gar ähnlich wie ein nutzloser Disclaimer?»
«Warum muss für Publikum aus der EU eine Cookie-Einwilligung eingeholt werden? Es gilt ja Schweizer Recht für Unternehmen in der Schweiz. Kann mir nicht vorstellen dass US oder asiatische Websites diese Cookie-Einwilligung für EU-Besucher umsetzt.»
«Ist Exchange Online mit Datenhaltung Schweiz (Azure Region CH) mit dem Schweizer Datenschutz vereinbar?»
«Mitarbeiter*innen sind verunsichert bzgl. der persönlichen Haftbarkeit. Können Sie Beispiele geben, in welchen klar wird, wie Vorsätzlichkeit in der Tat zu persönlicher Haftbarkeit führt?»
«Das Gesetz erwähnt explizit die persöhnliche Haftung im Gegensatz zu DSGVO. Was bedeutet das persönlich für Mitarbeiter, die mit schützenswerten Daten arbeiten? Wird hier das persönliche Risiko für diese Mitarbeiter höher als bisher?»
«Kann man Google Maps, eingebettete YouTube Videos, Google Fonts etc. ohne Probleme nutzen, wenn dann der Data Privacy Framework auch für die Schweiz gilt? Oder hat das gar keinen Zusammenhang?»
«Ist bei Zusammenarbeit mit Auskunftsteien z.b CRIF ein AVV notwendig?»
«Ich betreibe eine Webseite mit Onlineschulungen unter einer .info-Domain uns spreche deutschsprechende Besuchende an. Wie entscheide ich, ob ich mich an das europäische oder Schweizer Datenschutzgesetz halten muss?»
«pCloud bietet keinen Auftragsverarbeitungsvertrag an.»
«Wäre es falsch vorab bereits in den Datenschutzerklärung Funktionen und Sammlungen von Datenbearbeitungen zu erwähnen, ohne dass diese bereits im Einsatz sind?»
«Können Sie eine Vorlage für Impressum empfehlen?»
«Auskunftsrecht: Wir sind eine private soziale Stiftung und arbeiten mit Klienten / Teilnehmenden in unseren Programmen der Wohn-/ bzw. Arbeitsintegration, die uns von IV, RAV oder lokalen Sozialdiensten zugewiesen werden. Im Rahmen der Fallführung wird für jede in einem Programm teilnehmende Person ein Journal geführt. Im Journal stehen Notizen/Gespräche/Beobachtungen aus alltäglichen Situationen von der Person und über die Person, z. B. Einkaufen gehen, Traum in der Nacht oder tägliches Zusammenleben in der Wohnintegration. Verlangt eine Person Einsicht/Herausgabe ihrer Daten, müssen dann ALLE Schriftsachen, insbesondere interne Verschriftlichungen von z. B. Entwicklungsplanungen des Coaches (fachliche Bezugsperson für teilnehmende Person) herausgegeben werden? Wo kann man eine Grenze ziehen, ab der Daten uns gehören und nicht der teilnehmenden Person?»
«Ich glaube, es ist richtig, dass eine Firma die Busse für einen Mitarbeiter nicht übernehmen darf und sich die Firma auch nicht dagegen versichern kann. Ist es möglich, dass die Firma den Mitarbeiter verteidigen dürfte, zum Beispiel in einem Einspruchsverfahren? Und würde eine private Haftpflichtversicherung für die Busse einer Privatperson aufkommen?»
«Wir arbeiten mit dem Jimdo-Homepagebaukasten. Innerhalb dieses Baukastens ist auch ein Online-Shop integriert. Zum Generieren der Datenschutzerklärung wird gefragt, ob ein Online-Shop betrieben wird. Diese Frage kann ich mit JA beantworten. Welche Antwort muss ich auf folgende Fragen geben?
- Wird eine E-Commerce- oder Onlineshop-Plattform genutzt?
- Welche E-Commerce- oder Onlineshop-Plattform wird genutzt?»
«Wenn unsere Arztpraxis SMS-Reminder versendet (wie unten ersichtlich), ist das kompatibel mit dem Datenschutz? Mein Name als Arzt steht drin, aber kein Patientenname. Wir haben darauf verzichtet, die FMH-Einverständniserklärung unterschreiben zu lassen (damit unverschlüsselte Mails etc. möglich wären), denn wir haben schon lange komplett auf verschlüsselte Mails (HIN Global Mail) umgestellt. Besagtes Reminder-SMS wäre unverschlüsselt, aber da nur Name vom Arzt und nicht vom Patient steht, wäre der Datenschutz ja eigentlich gewährleistet? Ein Tippfehler bei der Mobile-Nummer oder eine wechselnde Mobile-Nummer (leider sehr oft die Realität bei gewissen Klienten) ist ja möglich.»
«Wie ist das Thema E-Mail-Verschlüsselung im Zusammenhang mit Exchange Online zu bewerten? Folgendes Beispiel: E-Mail-Verschlüsselung mit SEPPmail Mailgateway oder SEPPmail Cloud zwischen zwei Firmen, welche beide Exchange Online nutzen. In diesem Fall werden die Mails von Exchange Online zu Exchange Online auf dem Transport verschlüsselt, liegen dann aber wieder im Klartext auf der Datenbank von Microsoft. Eine Transportverschlüsselung (SMTP over TLS) ist heute schon Standard, wozu also E-Mails in diesem Fall zusätzlich verschlüsseln?»
Podcast-Episode und Informationen zur Vertiefung
In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:
Im Webinar hatte Martin Steiger unter anderem auf folgende Informationen zur Vertiefung hingewiesen:
- Kunstfehler: Muster-Datenschutzerklärung für Ärzte mit Einwilligung für Google Analytics (Steiger Legal)
- Was bedeutet das neue Datenschutzrecht für Agenturen und Webmaster:innen in der Schweiz? (cyon)
- DAT158 Data Privacy Framework (Datenschutz Plaudereien)
- DAT159 Datenstandort Schweiz (Datenschutz Plaudereien)