Legal Session: Cookie-Banner, Konzernprivileg, Tesla-Videoüberwachung, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 2. Mai 2023 beantworteten wir unter anderem Fragen zu Cookie-Bannern und zum Konzernprivileg im neuen Datenschutzgesetz (nDSG). Weitere Fragen von Mitgliedern betrafen die Erfassung von Autokennzeichen für gebührenpflichtiges Parkieren und die Videoüberwachung mit Kameras in Fahrzeugen von Tesla und anderen Herstellern.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 2. Mai 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Das Thema ‹Cookie-Banner› ist für uns noch nicht ganz eindeutig.
- Besucher aus der Schweiz: Benötigt es ab dem 1. September 2023 zwingend einen Cookie-Banner oder reicht die Datenschutzerklärung (mit eurem Generator erstellt)?
- Besucher aus der EU: Hier ist klar, dass es einen Consent Manager benötigt, also eine Zustimmung zu jeglicher Datenverarbeitung.
- Besucher aus anderen Ländern: Gibt es auch für weitere Länder Vorschriften, die nicht vom neuen schweizerischen Datenschutzgesetz (nDSG) oder der Datenschutz-Grundverordnung (DSGVO) betroffen sind?»
«Thema Videoüberwachung: Ab 1. September 2023 benötigt es ja eine umfangreiche Information (Datenschutzerklärung und Beschilderung mit mehr enthaltenen Daten) – dies ist soweit klar. Ist es aber auch zulässig, nur ein Schild anzubringen, ohne wirklich eine Videokamera installiert zu haben (als Abschreckung)?»
«Das neue Datenschutzgesetz (nDSG) beinhaltet ja auch ein Konzernprivileg. Ich nehme an, das ist obsolet, wenn der Konzern seinen Sitz im Ausland hat? Oder kommt es darauf an, ob der Ort über einen angemessenen Datenschutz verfügt?»
«Dürfen die ‹generierten› Datenschutzerklärungen auch für kantonale bzw. kommunale Behörden angewendet werden?»
«Nach dem neuen Datenschutzgesetz (nDSG) ist eine Einwilligung in Cookies nicht vorgesehen, da auch noch keine Anpassung des Fernmeldegesetz (FMG) vorgesehen ist. Kann man auf der Website für die Schweizer Besucher mit einer Geolocation Weiche schaffen und nur einen Hinweis als Information über Cookies anbieten? Wird ein Cookie Preferences Center empfohlen? Gibt es hier zusätzliche Vorgaben, welche man beachten muss/soll, wenn die Webseite eine Loginfunktion (z.B. Onlineshop) hat?»
«Thema neues Jugendschutzgesetz (Ausweispflicht für Onlineplattformen): Gilt das auch für Texte zu Spielen und Videos ab 18? (News, Re-/Previews). Videos stellen wir bei YouTube ein und konfigurieren diese mit dem 18+, bei Gewinnspielen verlangen wir von den Gewinnern jeweils eine Ausweiskopie.»
«In Art. 19 Abs. 4 nDSG ist festgelegt, dass der für die Verarbeitung Verantwortliche die betroffene Person über den Staat oder das internationale Organ informieren muss, an die die Daten weitergegeben werden. Könnte die EU in diesem Fall als ‹internationales Organ› definiert werden? Das Führen einer Liste von Staaten kann in einem internationalen Unternehmen, in dem ständig neue Systeme hinzukommen und entfernt werden und die Gesamtzahl der Systeme in die Tausende geht, eine Herausforderung darstellen.»
«Das automatisierte Bearbeiten von Personendaten wird an verschiedenen Stellen genannt (u.a. Profiling, Bearbeitungsreglement und Protokollierung). Liegt ein solches automatisiertes Bearbeiten schon vor, wenn die Bearbeitung computergestützt vorgenommen wird oder braucht es dafür eine vollständige Automatisierung? Denn wenn computergestützt ausreicht, um von einer automatisierten Bearbeitung zu reden, haben wir grundsätzlich nur automatisierte Bearbeitungen, da alles über Computer läuft. Ist dieses Verständnis richtig?»
«Wir bearbeiten auch Personendaten, welche nicht bei der betroffenen Person beschafft werden. Wir haben zum Zeitpunkt der Datenbearbeitung keinen Kontakt zu den betroffenen Personen. Deshalb stellen wir uns die Frage, ob wir die Informationspflicht derjenigen Person übertragen können, die uns diese Personendaten mitteilt. Wie sehen Sie das? Wäre das eine zulässige Möglichkeit unserer Informationspflicht nachzukommen?»
«Kameras in Autos, nicht nur bei Tesla:
- Ist klar, was gilt: Datenschutz-Grundverordnung (DSGVO) oder Schweizer Recht?
- Wer ist Verantwortlich: Hersteller, Besitzer oder Fahrer?
- Was sind die konkreten Regeln?
- Wo werden die Aufnahmen gespeichert? Im Auto oder auch beim Hersteller?
- Was sagt der EDÖB?»
«Wir finden überall die neuen Parkautomaten. Neuerdings muss man ja überall die Autonummer anstelle einer Parkplatznummer eingeben. Das heisst, ich bin überall registriert, wenn ich parkiere. Meine Frage nun: Ist das einfach so erlaubt? Wer sagt mir, wohin diese Daten gespeichert werden und wofür sie verwendet werden?
Diese Frage schlummert schon lange in meinem Kopf. Aktuell wurde es wieder, als ich auf einem nummerierten Parkfeld stand und ehrlich gesagt den ‹30 Minuten gratis›-Knopf nicht gedrückt habe. Als ich wegfahren wollte und schon im Auto sass und den Motor anhatte, kam ein Security ‹Dorfpolizist›, fotografierte mein Nummernschild und forderte mich auf, das Fenster herunterzulassen. Dann erklärte er mir, dass ich nicht gedrückt habe und das künftig bitte tun soll. Natürlich war er im Recht, aber ich fragte mich hier erneut: Darf er mein Nummernschild fotografieren, wenn es keinen Anlass dazu gab, sprich, er mir keine Busse erteilen konnte? Also die Grundsatzfrage: Ist es datenschutzrechtlich erlaubt?»
Podcast-Episode
Das Thema «Konzernprivileg» vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: