Legal Session: Bussen, hCaptcha, Profiling, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 13. Oktober 2021 ging es unter anderem um Bussen gemäss dem neuen Datenschutzgesetz, um die Google reCAPTCHA-Alternative hCaptcha und um Profiling mit Active Campaign.
Aufzeichnung und ergänzende Hinweise
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören und die ergänzenden Hinweise lesen:
Thematisierte Fragen
An der Legal Session vom 13. Oktober 2021 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Ich lese immer öfter von hCaptcha als datenschutzmässig bessere Alternative zu Google reCaptcha, kennst Du das? Was hältst Du davon? https://www.hcaptcha.com/. Ist halt auch USA und sie sammeln auch allerlei.»
«Kommt oder gibt es für die Schweiz eigentlich auch ein Kopplungsverbot wie bei der DSGVO? Oder anders gesagt: Darf ich z.B. ein E-Book anbieten, um Leute in meinen Newsletter zu bekommen?»
«Ich muss zum ersten Mal eine Anfrage ‹zum Vergessenwerden› gem. Art. 17 DSGVO bearbeiten. Was sollte ich dazu wissen/beachten?»
«In welchen Dingen ist es ratsam, sich rechtlich beraten zu lassen, und was kann man gut selber nach bestem Wissen und Gewissen abhandeln?»
«Welche Unterlagen benötigen wir als Software Anbieter gegenüber unseren Kunden, gegenüber unseren Partnern, gegenüber dem Bund? Gibt es noch weitere …?»
«Gibt es eine Checkliste, wie man sich als Firma bei einer Verletzung der Datenschutzrichtlinien verhalten muss? Wir hoffen natürlich, dass dies nie eintreffen wird, aber wenn es doch einmal passieren sollte, möchten wir vorbereitet sein.»
«Neues Datenschutzgesetz Art. 60-63: Können die Bussen von bis zu 250 000 Franken für private Personen vertraglich auf die Firma abgewälzt werden?»
«In der Software die wir entwickeln, wird im Changelog festgehalten welcher User welche Änderungen vorgenommen hat. Wenn dieser User nun verlangt, dass wir seine Daten löschen, müssen wir die Changelogs ebenfalls löschen oder anonymisieren? Als Lizenznehmer der Software möchte ich auch nach dem Abgang des entsprechenden Users wissen, welche Änderungen er im System vorgenommen hat.»
«Wer im Unternehmen in der Schweiz ist Adressat der Bussgelder nach dem neuen DSG CH? Sind das immer die Manager?»
«Die Meldung eines Datenschutzberaters (inhouse, Mitarbeiter) bei der Behörde führt dazu, dass bei Datenschutzfolgenabschätzungen die Behörde nicht konsultiert werden. Richtig?»
«Wie sieht es aus, wenn ich mit Tools wie Active Campaign das Verhalten der Benutzer tracke? Beispiel: Wenn jemand regelmässig auf meine Website zurückkehrt, dann möchte ich ihm ein spezielles Angebot machen. Dies kann man ja durchaus als Profiling verstehen. Darf ich das?»
«Können auch Ersteller und technische Betreiber von Websites verantwortlich werden? Anstelle oder zusätzlich zum Unternehmen, welches durch die Website repräsentiert wird?»