An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 17. Dezember 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, in welchen Fällen eine einzige allgemein gültige Datenschutzerklärung ausreicht und wann eine ergänzende spezielle Mitarbeiter-Datenschutzerklärung nötig ist.

Andere Fragen betrafen beispielsweise die Haftung und Verantwortung eines Datenschutzberaters oder die Integration von Make.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Thematisierte Fragen

An der Legal Session vom 17. Dezember 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, beantworteten wir unter anderem folgende Fragen:

«Wie soll die Löschung von unstrukturierten Daten, z. B. E-Mails im Outlook oder Ablage auf Sharepoint, am besten vorgenommen werden? Wie kann das im Unternehmen einfach umgesetzt werden? Gibt es hierzu Best Practices?»

«Darf der Datenschutzbeauftragte eine juristische Person sein?»

«Wir (eine Schweizer AG) transferieren auch besonders schützenswerte Personendaten (z. B. Gesundheitsdaten) an ein zentrales (in DE gehostetes) Gruppen-HR-System. Braucht es für die Verhinderung einer Persönlichkeitsverletzung eine explizite schriftliche Einwilligung der Mitarbeitenden (z. B. über den Arbeitsvertrag) oder genügt als Rechtfertigungsgrund für die Bearbeitung (den Transfer) die Vertragsabwicklung nach Art. 328b OR plus Information der Mitarbeitenden über den Transfer der Daten in der Mitarbeiter-Datenschutzerklärung? Ist dann diese Mitarbeiter-Datenschutzerklärung obligatorisch, um der Informationspflicht nachzukommen? Welche Variante ist rechtlich am sichersten?»

«Wie geht es mit dem EuGH weiter?»

«Wieder mal Auftragsbearbeitung, hier speziell für IT-Shops: Reicht die Möglichkeit, persönliche Daten einzusehen bereits für einen Auftragsbearbeitungsvertrag aus, obwohl der Auftrag nur Patching und Backup umfasst? Stefan Hansen-Oest hatte das mal in einem Beitrag für die DSGVO verneint. Wie muss man das für das DSG auslegen?»

«Ich war an einem ISACA-Anlass und da hatte mich Doron (und andere) darauf hingewiesen, dass die Behörden (und Cyber-Versicherungen) in der CH, gerade bei Vorfällen, häufig den / die Datenschutzberater (egal ob intern oder extern) verantwortlich und damit auch haftbar machen für Verstösse gegen das Datenschutzrecht / Hackerangriffe resp. dafür, dass z. B. die TOM ungenügend seien und der / die DSB nicht genügend und regelmässig darauf hingewiesen habe und dadurch der Angriff erfolgreich gewesen sei. Einmalige Mails reichen nicht. Es wäre zwingend notwendig, in externen DSB-Verträgen einen Passus aufzunehmen, dass die Unternehmen / die C-Ebene die Verantwortung tragen und DSB nur Hinweise gibt, resp. wenn mehr erwartet wird, dass dafür auch genügend Budget und Weisungsrecht notwendig sei. Entspricht das Deinen Erfahrungen und wenn ja, wie soll denn so ein Passus im Vertrag lauten?»

«Was ist bei der Integration mit Make zu beachten?»

«Wir haben eine allgemein gültige Datenschutzerklärung erarbeitet, auf welche wir bei diversen Massnahmen verlinken (bspw. Verlosungen / Wettbewerb). Wie kann ich beurteilen, bis zu welchem Punkt die allgemein gültige DSE ausreicht und wann wir eine spezifische DSE erarbeiten müssen? Muss immer spezifisch ausgewiesen sein, was mit dem Datensatz gemacht wird oder reicht eine allgemein Formulierung (vgl. allgemeine DSE)?»

«Datenschutz-Plaudereien» über die Legal Session

In einer Podcast-Episode der «Datenschutz-Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: