Legal Session: Data Privacy Framework, IT-Support, Künstliche Intelligenz, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 12. Dezember 2023 diskutierten wir unter anderem das Data Privacy Framework für die Schweiz, Auftragsverarbeitung beim IT-Support und die Optimierung von Newslettern mittels Künstlicher Intelligenz (KI).
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 12. Dezember 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Zeit, alte Accounts zu löschen. Leider machen nicht alle Anbieter mit. Es wäre toll wenn die Academy Vorlagen mit Texten für Löschbegehren der Daten zur Verfügung stellen würde mit welchen man sich mehr Gehör verschaffen kann. Merci!»
«Banken möchten über ihre Neukunden möglichst viel wissen. Doch was muss zwingend angegeben werden und wo kann man sich als Kunde ruhig mal ein ‹nächste Frage bitte› gönnen?»
«Ausgangslage: Fast jedes Unternehmen hat IT-Dienstleister, welche im Support-Fall über einen Admin-Account kurzzeitig Einsicht in unternehmensinterne Informationen bzw. (besonders schützenswerte) Personendaten im Klartext nehmen können (administrativer Zugriff auf Server). Zu keiner Zeit werden Informationen bzw. Personendaten ausserhalb vom System bearbeitet bzw. auf externe Systeme übertragen.
- Braucht es in einem solchen Fall einen Auftragsverarbeitungsvertrag (AVV) und wenn ja, weshalb?
- Braucht es einen allgemeinen schriftlichen Vertrag (in den meisten Fällen werden solche Vereinbarungen in der Praxis ja nur mündlich vereinbart) und wenn ja, würde ein Non-Disclosure Agreement (NDA) darin nicht reichen, um die entsprechenden Informationen bzw. Personendaten angemessen zu schützen?
- Ist die Situation bei kantonalen Verwaltungen – meistens fungiert hier ja das Amt für Informatik als IT-Dienstleister für die anderen Ämter – anders zu beurteilen?»
«Gibt es irgendwelche Gerüchte oder Vermutungen, wann das Swiss-U.S. Data Privacy Framework vom Bundesrat verabschiedet werden soll? Eigentlich war das ja bereits auf den 1. September geplant. Oder ist das schon durch und wurde nicht kommuniziert?»
«Das KI-Thema ist super! Es wäre toll, wenn ihr für das Webinar auch EU-Anbieter unter die Lupe nehmen könntet, wie Neuroflash (die behaupten, plagiatsfreie Texte zu erstellen) oder getvoila.ai.»
«KI-Projekt: Unser CRM-Dienstleister bietet uns an, künftige Werbeversände mittels KI zu optimieren. Die KI soll trainiert werden, indem unsere Adressen pseudonymisiert anhand ihres bisherigen Verhaltens analysiert und mit soziodemografischen Daten angereichert werden. Wir können die KI danach auf uns und unsere Kunden angepasst verwenden, doch die Trainingserkenntnisse sollen vom Dienstleister auch für eigene Kunden genutzt werden können. Wo liegen die Verantwortlichkeiten? Und müssen wir unsere Kunden informieren?»
«Wir erhalten häufig Auskunftsbegehren, wo nicht alles verlangt wird, was nach dem Datenschutzgesetz (DSG) möglich wäre. Wie gehen wir damit um?»
«Wie muss ich verlinkte Dienste und Websites in der Datenschutzerklärung erwähnen?»
«Was ist der Unterschied zwischen einem Data Leak und Data Breach? Müssen die Daten bei unseren Systemen abgeflossen sein oder handelt es sich auch bereits um einen Data Breach, wenn zufällig festgestellt wird, dass Mitarbeiterdaten im Internet öffentlich zugänglich sind aber man nicht weiss, ob die Daten von unserem System abgeflossen sind?»
«Weiss man schon mehr, ob der Bundesrat sich mit den USA über den Data Privacy Framework einigen wird?»
«Datenschutz by Design ist noch nicht Standard, was im Alltag mühsam ist. Könnte die Datenschutzpartner Academy nicht einen Musterprozess anstrengen, damit das ändert?»
«Ich habe eine Frage zum Thema Mitarbeiter-Richtlinien. Gibt es hierzu Vorlagen oder Inputs, wie diese Aussehen sollen? Auf der vertraglichen Ebene sowie auch auf einer Ebene von ‹Bestpractice› oder ‹Do’s› and ‹Dont’s›.»
Podcast-Episode und Informationen zur Vertiefung
Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session:In der Legal Session hatte Martin Steiger unter anderem auf folgende Informationen zur Vertiefung hingewiesen:
- Dr. Adrian Lobsiger: Wiederwahl als EDÖB in der Schweiz am 20. Dezember 2023 (Steiger Legal)
- Webinar: ChatGPT und sonstige «Künstliche Intelligenz» (Datenschutzpartner Academy)