Legal Session: KI-Systeme, Kontaktformulare, verschlüsselte E-Mails, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 17. Oktober 2023 erklärten wir unter anderem, was man bei KI-Systemen und Kontaktformularen betreffend dem Datenschutz beachten muss. Ausserdem diskutierten wir, ob die Kommunikation per E-Mail im Umgang mit Gesundheitsdaten zulässig ist.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 17. Oktober 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Was ist aus datenschutzrechtlicher Sicht zu beachten, wenn man unterstützende KI-Systeme (nicht automatisierte Einzelentscheide gemäss dem Datenschutzgesetz) zum Bearbeiten besonders schützenswerter Personendaten im Betrieb einsetzen möchte (TOM, CH-Cloud, Auftragsbearbeitungsvertrag, Informationspflicht der Betroffenen aufgrund Transparenzgebot etc.)?»
«Wie ‹tief› muss bei Unterauftragnehmern gegangen werden? Wenn z.B. Unterauftragnehmer A für seine Verarbeitung auf Amazon Web Services oder Microsoft abstellt, muss dies auch angegeben werden oder reicht es, wenn nur A angegeben wird?»
«Kosten für Auftragsdatenbearbeitungsvertrag: Ein Auftragsbearbeiter versucht, Aufwand für die Unterstützung des Verantwortlichen bei Datenschutzfragen separat in Rechnung zu stellen. Das ist wohl kaum akzeptabel – wir bezahlen ja auch nicht für das Erstellen der Steuererklärung …»
«Als Arzt in einer Praxis oder Spital bin ich dazu verpflichtet, E-Mails mit sensitiven Patientendaten in der Kommunikation mit Patienten HIN verschlüsselt zu versenden? Was gilt es zu beachten und gibt es E-Mail-Provider, welche OK sind und welche nicht (z.B. Cyon, Gmail, …)?»
«Wir sind eine Apothekergenossenschaft, die mit einem Freelancer zusammenarbeitet, der unseren Mitgliedern Webseiten erstellt. Der Freelancer wendet dazu einen professionellen Webbaukasten an, den er als Agenturlösung mietet und für die einzelnen Webhostings in Rechnung stellt. Benötigen wir von diesem Anbieter direkt einen Auftragsverarbeitungsvertrag oder reichen dazu die AVV des Webbaukasten-Anbieters, bzw. nur eine Vertraulichkeitserklärung?»
«Wenn ich eine Website besuche und im Cookie-Consent-Banner nur die Option ‹Akzeptieren› mit folgendem Hinweis habe – dürfen Cookies mit Angaben zur Sitzung (IP-Adresse und dem Browser (User-Agent) sowie Kursanmeldungen via Formular mit dem nachfolgenden Hinweis verarbeitet werden?
‹Damit diese Webseite korrekt und sicher funktioniert, speichern wir im Browser und auf dem Server einige wenige Daten. Darüber hinaus gibt es keine Benutzerverfolgung oder Werbung. Indem Sie die übrig gebliebenen Cookies und Dienste akzeptieren, erklären Sie sich damit einverstanden. Andernfalls bitten wir Sie, einen anderen Anbieter zu nutzen.›»
«Wir arbeiten mit dem Jimdo-Homepage-Baukasten. Innerhalb dieses Baukastens ist auch ein Online-Shop integriert. Zum Generieren der Datenschutzerklärung wird gefragt, ob ein Online-Shop betrieben wird. Diese Frage kann ich mit ‹JA› beantworten. Welche Antwort muss ich auf folgende Fragen geben?
- Wird eine E-Commerce- oder Onlineshop-Plattform genutzt?
- Welche E-Commerce- oder Onlineshop-Plattform wird genutzt?»
«Anmeldeformular für eine Psychotherapie: Ist dieses Angebot aus Datenschutzsicht vertretbar? Webnode hat mir bestätigt, dass alle Daten in der EU verarbeitet werden, und man kann den Versand ausgefüllter Anmeldungen unterbinden, indem man eine nicht existierende E-Mail-Adresse hinterlegt. Das scheint mir bei Kontaktformularen nämlich ein Knackpunkt zu sein, da ja üblicherweise die ausgefüllten Formulare per E-Mail vom Webserver zum Webseiteninhaber geschickt werden. Wenn dies berücksichtigt ist – Daten in der EU, keine E-Mail-Übertragung und natürlich eine https://-Adresse – sollte man eigentlich auch besonders schützenswerte Daten (Patientendaten) auf diese Art erfragen können, oder? Jedenfalls, wenn es deine Datenschutzerklärung beinhaltet und man auch andere Kontaktangaben als mögliche Alternativen angibt. Oder gibt es bei dieser Umsetzung ein datenschutzrechtliches Problem?»
«Ist es aus Datenschutzsicht vertretbar, weiterhin den amerikanischen Baukasten Squarespace für informative Websites von Schweizer Psychotherapeuten einzusetzen, und passt das auch zur Formulierung im Datenschutzgenerator (Abschnitt: Wir verarbeiten Daten grundsätzlich in der Schweiz …)?
Man kann bei Squarespace die Cookies von ‹Squarespace Analytics› deaktivieren, was ich jeweils meinen Kunden auch rate. Ausserdem rate ich meinen Kunden jeweils davon ab, ein Kontaktformular einzusetzen, wo die Leute ja persönliche Daten preisgeben, die dann nach den USA und wieder zurück gelangen. Wenn sie es trotzdem wollen, habe ich jeweils gesagt, dass sie sicher nicht explizit nach persönlichen Daten fragen dürfen (Krankheit, Anliegen usw.). Wie denkst du darüber?»
«Wir sind eine NPO und versenden Spendenbriefe. Erfassen wir eine neue Kundenadresse, wurde diese bis anhin automatisch mit Spendenbriefen angeschrieben. Ist dies erlaubt?»
«Wir senden Adressen zu unserem Lettershop zur Erstellung von Massenbriefen. Benötigt der Lettershop ein Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPS) mit uns?»
«Dateninventar ab 250 Mitarbeitenden: Gelten Freiwillige als Mitarbeitende?»
«Müssen Lohnabrechnungen von Mitarbeitenden per E-Mail verschlüsselt verschickt werden?»
«Bin ich als Arzt in einer eigenen Hausarztpraxis verpflichtet, über eine HIN gesicherte E-Mail zu kommunizieren mit Patienten oder potentiellen Patienten? Oder ist es in Ordnung, z.B. Terminabsprachen, Medikamentenbestellungen oder Abklärungen über eine andere E-Mail-Anbieter zu machen wie zum Beispiel Gmail, Outlook, Bluewin?»
«EU-Datenschutzbeauftragter: In welchem Fall wird ein EU-Datenschutzbeauftragter benötigt?»
«Bei Squarespace ist es nicht möglich deren fest implementiertes Google Analytics zu deaktivieren.»
«Inwiefern müssen WordPress-Addons/Plugins in der Datenschutzerklärung erwähnung finden? Also wie weit muss man hier gehen?»
«Anschlussfrage Anmeldeformular Psychotherapie: Muss man beim Formular erklären, wozu man all diese Daten erfragt (Zweck ist in diesem Fall: effiziente Planung), oder nicht?»
Podcast-Episode und Informationen zur Vertiefung
In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:
Im Webinar hatte Martin Steiger unter anderem auf folgende Informationen zur Vertiefung hingewiesen: