An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 20. August 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, ob man ausländische Patientendaten in einer einzigen Datenbank in der Schweiz speichern darf, ob eine Datenschutzerklärung nur die Datenbearbeitung durch die Website abdecken muss und welche Pflichten für Mentoring-Programme in Unternehmen gelten.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 20. August 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:

«Gilt eine Auslagerung eines CRM bei einem Vermögensverwalter von kollektiven Kapitalanlagen in die MS Cloud bereits als Outsourcing gemäss FINMA RS 2018/3»

«Als Webagentur erhalten wir immer mehr Kundenanfragen, ob ein bestimmtes Tool in der Datenschutzerklärung aufgeführt werden muss. Es geht dabei um Dienste, die mit dem Besuch bzw. der Datenverarbeitung der Website selber gar nichts zu tun haben. Auch im Datenschutz-Generator werden z. B. Audio- und Video-Konferenzen abgefragt, die in der Regel autonom funktionieren. Ist das ein gesetzliches Muss oder ist die Website einfach ein guter Ort, um alle Datenverarbeitungen eines Unternehmens zu publizieren?»

«Was sind die wesentlichsten Punkte für die Datenschutzerklärung eines Vereins auf dessen Webseite? Gibt es Vorlagen?»

«Zur Antwort auf die Frage von Fotos von bewohnten Einrichtungen (Wohnungen, Zimmer in Heimen etc.), ohne Einwilligung der Betroffenen, ist nicht nur das DSG zu beachten, nach meiner Einschätzung auch Art. 179^quater StGB, Verletzung des Geheim- und Privatbereichs durch Aufnahmegeräte. Bei Ferienwohnungen von im EWR domizilierten Personen tangiert jedoch kaum die DSGVO, weil das den Aufenthalt dieser Personen in der Schweiz und nicht deren Aufenthalt im EWR betrifft (das war auch nicht Thema in der Legal Session).»

«Sind wir verpflichtet, sensible Personendaten (z. B. in einem juristischen Fall) über andere Kanäle als E-Mail (z. B. Microsoft SharePoint) mit unseren Kunden zu teilen? Oder reicht es, wenn wir mit dem Kunden dies vorher schriftlich regeln? Letztlich sind wir normalerweise Auftragsbearbeiter (d. h. wir erhalten von unseren Kunden einen Auftrag, gewisse Texte und Wordings zu erstellen).»

«Unser Kunde (im Gesundheitsbereich tätig) erweitert seine Standorte international und möchte auf der in der Schweiz schon vorhandenen virtuellen Patientendaten-Plattform (die von unserem Unternehmen verkauft wird) zukünftig auch Patientendaten aus anderen Ländern speichern. Spricht datenschutzrechtlich etwas dagegen, dass Patientendaten aus unterschiedlichen Ländern in einer Datenbank zusammengefasst werden?»

«Wir nutzen in unserer PR-Agentur regelmässig die Medienlisten des Anbieters Renteria. Dieser verpflichtet uns, die heruntergeladenen Medienlisten spätestens nach 48 Std. wieder zu löschen. Die Listen beinhalten Namen von Redaktionen und Journalisten (inkl. deren Mailadressen und Telefonnummern). Nun ist es so, dass wir für unsere tägliche Arbeit diese Listen nutzen und weiter bearbeiten (z. B. ergänzen wir die Liste mit Namen von Journalisten, die wir persönlich kennen). So entsteht eine neue Liste, die z. T. auf den Daten von Renteria beruht, z. T. auf unseren Daten. Diese Liste übergeben wir dann unseren Kundinnen und Kunden, die diese für den Versand einer Medienmitteilung verwenden. Nun zu den Fragen: Müssen wir die Liste nach 48 Std. wieder komplett löschen (was für unsere tägliche Arbeit einen grossen Mehraufwand bedeuten würde)? Muss auch der Kunde die Liste nach 48 Std. wieder löschen? Was ist Ihre Empfehlung?»

«Wir planen ein unternehmensweites internes Mentoring-Programm. Sind im Austausch zwischen Mentor und Mentee datenschutzrechtliche Pflichten zu beachten und wenn ja, welche? Könnte Art. 62 DSG hier relevant werden, z. B. wenn ein Mentee vertrauliche Informationen über einen anderen Mitarbeiter/Vorgesetzten dem Mentor bekanntgibt?»

«Kann man für Impressum und Datenschutzhinweise in sozialen Medien wie z. B. LinkedIn die Gepflogenheiten in der EU übernehmen (z. B. Link auf die entsprechenden Artikel auf der Webseite) oder gibt es im Schweizerischen Recht noch Besonderheiten?»

«Betreffend Aufbewahrungspflicht finde ich immer mal wieder andere Informationen. Beispiel wir in einer Institution: Vorgabe Aufbewahrungspflicht für bestimmte Unterlagen mindestens 10 Jahre. Die Frage ist jedoch, wann beginnt die Aufbewahrungspflicht? Erst wenn der Klient aus der Institution austritt oder jeweils immer wenn bestimmte Daten erstellt wurden?»

«Als Grundstückeigentümerin sind wir angefragt worden, ob auf unserem Grundstück eine Videokamera installiert werden kann, um eine Baustelle auf dem Nachbargrundstück zu überwachen. Als Grundstückeigentümerin haben wir keinen Zugriff auf die Aufnahmen. Müssen wir als Grundstückeigentümerin auch datenschutzrechtliche Pflichten beachten (z. B. Information) oder genügt es, wenn dies der Betreiber der Videokamera einhält?»

«Mitte September 2024 tritt das Swiss-US Data Privacy Framework in Kraft. Gleichzeitig wartet man gespannt auf den Europäischen Gerichtshof, welcher über die Vorlage des Datenschutzaktivisten Schrems entscheidet, das Transatlantische Abkommen wieder für ungültig zu erklären. In diesem Fall würde die Schweiz wohl früher oder später wieder auf den Entscheid zurückkommen. Wie sicher ist das neue Swiss-US Data Privacy Framework tatsächlich, zumal es in weiten Teilen nur eine Kopie vom 2. Versuch ist. Wie wird das von Legal-Seite eingeschätzt?»

«Datenschutz-Plaudereien» über die Legal Session

In einer Podcast-Episode der «Datenschutz-Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: