Legal Session: Beweissichere Auskunftsbegehren, Claude AI, Zugriff auf Mitarbeiter-E-Mails, …

Bild: Hinweis auf Legal Session am 16. April 2024An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 16. April 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, ob man statt einer falschen oder unvollständigen Auskunft besser keine Auskunft erteilt, wie man eine Datenpanne im europäischen Wirtschaftsraum melden muss, was bei Claude AI für die Auftragsverarbeitung gilt und ob Unternehmen auf Mitarbeiter-E-Mails zugreifen dürfen.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutzpartner Academy verfügbar.

Thematisierte Fragen

An der Legal Session vom 16. April 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:

«Kann man in den Datenschutz-Richtlinien auch auf die IT-Richtlinien verweisen?»

«Ich hätte eine Frage bezüglich Anfragen von Privatpersonen zur Datenlöschung. Ich möchte dokumentieren, um notfalls beweisen können, dass ich die Daten einer bestimmten Person, z.B. Max Mustermann gelöscht habe. Dazu möchte ich die Anfragemail und unsere Antwortemail an den Herrn speichern. Ich möchte auch eine Dokumentationsliste zu den Aktivitäten führen und in einer Liste aufführen, welche Personendaten in welchen Systemen, bei welchen Partnern wann gelöscht wurden. Hierzu muss ich aber auch wieder den Namen aufführen. Ist das in Ordnung oder schlagen Sie ein anderes Vorgehen vor?»

«Wir würden in Zukunft gerne zusammen mit einem ‹Welcome-Artikel› ein Foto der neu eintretenden Mitarbeitenden (Foto aus Lebenslauf) im Intranet veröffentlichen. Genügt dafür die vorgängige Mitteilung an die neuen Mitarbeitenden mit dem Hinweis, dass sie dieser Publikation bis zum Antritt der Stelle widersprechen können oder braucht es hier eine dokumentierte Einwilligung?»

«Wir verwenden Überwachsungskameras. Wir können aber keine Speicherdauer konfigurieren. Was sollen wir machen?»

«Signal hat keinen Auftragsverarbeitungsvertrag (AVV), Threema schon. Wieso?»

«Wir haben neuerdings einen TikTok-Account. Was müssen wir beachten? (Wir haben schon Accounts bei Facebook, Instagram und LinkedIn.)»

«Wenn ein Schweizer Unternehmen Personendaten der Union bearbeitet und nun eine Datenschutzverletzung nach Art. 33 DSGVO melden muss, an welche Aufsichtsbehörde muss die Meldung erfolgen? Reicht der EDÖB oder kann man sich irgendeine Aufsichtsbehörde in Deutschland aussuchen und die Meldung absetzen?»

«Wie spielen Consent-Management, Cookie-Policy und Privacy-Policy zusammen?»

«Muss ich mit Claude (AI) einen Auftragsverarbeitungsvertrag abschliessen?»

«Verstehen wir das richtig: Es kann besser sein, keine Auskunft zu erteilen, als mit viel Aufwand so gut wie möglich Auskunft zu erteilen?»

«Ich habe zwei Fragen:

  1. Bietet die Datenschutzpartner Academy in der Zwischenzeit eine Vorlage für den AVV an?
  2. Unsere Agentur bewirbt ihre Dienstleistungen nicht explizit in der EU. Nun planen wir eine Google-Ads-Kampagne für die Schweiz mit evtl. auch Einzugsgebiet Deutschland. Brauchen wir dafür einen EU-Datenschutzbeauftragten?»

«Ist es korrekt, dass es im DSG keine Pflicht zum Abschluss einer Controller-Controller-Vereinbarung gibt?»

«Ich habe irgendwie die Aussage im Kopf, die Datenschutzerklärung auf einer Homepage sollte alle Prozesse im Unternehmen abdecken, also auch die Videoüberwachung auf dem Firmengelände, das CRM-System (auch wenn es nicht auf der Homepage zum Einsatz kommt), die Dienste, die Daten in Drittländer übertragen etc. … Ist das richtig verstanden?

Wenn ja, wie gehe ich vor, wenn die Firma verschiedene Webseiten betreibt, die unterschiedliche Anforderungen stellt, z.B. einmal mit Google Analytics 4 und einmal ohne. Passe ich dann jeweils die Datenschutzerklärung an oder erstelle ich eine Einheitliche und schreibe eingangs, diese Datenschutzerklärung gilt für Website A und Website B sowie unsere Social Media-Präsenzen?»

«Wann darf ein Unternehmen auf den E-Mail-Account eines Mitarbeiters zugreifen? Wird eine Einwilligung benötigt? Ist das eine Persönlichkeitsverletzung, zu der eine Rechtfertigung benötigt wird?»

Podcast-Episode und Informationen zur Vertiefung

Andreas Von Gunten und Martin Steiger kamen in einer Episode der «Datenschutz Plaudereien» nochmals auf die Legal Session zurück:

In der Legal Session hatte Martin Steiger unter anderem auf folgende Informationen und Unterlagen zur Vertiefung hingewiesen: