Legal Session mit cyon: Auftragsverarbeitungsvertrag, Daten-Export, Datenschutzerklärungen, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
Die Legal Session vom 16. Mai 2023 führten wir gemeinsam mit dem Webhosting-Unternehmen cyon durch. Wir beantworteten unter anderem Fragen zu Auftragsverarbeitungsverträgen (AVV), zu Auskunfts- und Löschbegehren, zum Daten-Export in die USA und zu Datenschutzerklärungen.
Aufzeichnung
Aufnahme: Download als MP3-Datei.
Thematisierte Fragen
An der Legal Session vom 16. Mai 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Wann brauche ich Cookie-Banner mit dem neuen DSG?»
«Ich hab gehört, Marketing mit E-Books werde illegal. Ist das wirklich so?»
«Welche Sprachen muss der Datenschutzhinweis haben?»
«Wann muss auch eine Schweizer Website der DSGVO entsprechen? Ein Beispiel: Website eines Schweizer Spitals in Grenznähe zu Deutschland.»
«Wie soll man sich für Auskunftsbegehren / Löschbegehren absichern? Eine reine E-Mail-Anfrage reicht ja wohl nicht.»
«Ich habe mehrere Kunden, die Google Analytics weiter einsetzen möchten. Sie haben keinen EWR-Bezug (unterstehen nicht der DSGVO) und Google Analytics ist möglichst datenschutzfreundlich eingestellt (IP-Anonymisierung, Datenfreigabe und User-ID Funktion deaktivert etc.). Braucht es dennoch eine Einwilligung mittels Cookie-Banner?»
«Gibt es eine Vorlage (Generator), die oder den man nutzen kann für das Erstellen von Datenschutzerklärungen auf Websites?»
«Sollten wir die Schriften auf der Website wirklich umbedingt lokal laden?»
«Reicht für einen E-Commerce-Shop ein gängiges DSGVO-Tool oder ist das für die Schweiz ‹to much›?»
«Braucht es bei einer Vereins-Website eine Cookie-Notice und eine Datenschutzerklärung? Der Verein ist nicht profitorientiert, betreibt aber unabhängig von der Website auf einer anderen Plattform einen Webshop.»
«Gibt es gute DSGVO-Onlineprüfer-Tools?»
«Muss man zum Beispiel bei Mailchimp den ganzen Datenschutz-Text selber aufschreiben oder genügt es zu schreiben, dass man Mailchimp verwendet und die Website mit deren Datenschutzbestimmungen angibt?»
«Im Blogbeitrag heisst es: ‹Die häufig anzutreffenden Disclaimer im Impressum auf Websites sind überflüssig, denn sie sind unwirksam. Die blosse Erwähnung von Haftungsausschlüssen führt nicht zur Rechtswirksamkeit.› Meine Frage ist: Wie werden diese denn rechtswirksam? In den Terms of Use? Für den konkreten Fall, z.B. im Gesundheitsbereich, sehe ich oft Hinweise, dass etwas nur zu Informationszwecken ist und keinen Medical Advice.»
«Wo finde ich die nötigen Informationen, welche personenbezogenen Daten unsere Website bearbeitet?»
«Ist es sinnvoll, von einem ‹Cookie-Banner› zu sprechen? Geht es nur um ‹Cookies› und ähnliche Formen der Speicherung oder allgemein um Dienste, die Anfragen an externe Server senden? (z.B. eingebundenes YouTube-Video)»
«Was ist der Stand zur Datenschutzkonformität von Microsoft 365? Es gab ja noch Ende 2022 einige Kontroversen.»
«Für Websites: Welche generellen Punkte in Impressum oder Datenschutzerklärung müssen üblicherweise angepasst werden, um konform zum neuen Datenschutzgesetz zu sein, wenn diese bereits den heutigen Anforderungen entsprechen?»
«Wann und für wen ist eine Datenschutzerklärung nötig? Was ist inhaltlich Pflicht?»
«Welcher Weg ist aus deiner Sicht der beste, um eine bestehende Web-Applikation, die auch Personendaten enthält, mit dem neuem Recht konform zu machen? Gibt es Workshops oder Kurse, die Du empfehlen kannst? Gibt es Anwälte oder Firmen, die einen als Nicht-Anwalt dabei unterstützen?»
«Muss ich jede Software, die Daten verarbeitet, in der Datenschutzverordnung angeben, auch wenn es wirklich nur in der Firma oder im Verein geschlossen sichtbar ist? Also die Daten nur für eine kleine Gruppe ersichtlich ist oder durch eine Automatisierung geht?»
«Wenn Liechtenstein beliefert wird, muss ein DSGVO-Cookie-Banner eingeblendet werden oder auch nicht?»
«Es gibt Ausnahmen für Firmen, die weniger als 250 Mitarbeiter haben. Was für einen Mehraufwand bedeutet es, wenn man auf diese Regel freiwillig verzichtet, auch wenn man weniger als 250 Mitarbeiter hat? Ein Kunde von uns wünscht das.»
«Müssen Kunden, die gesundheitliche Dienstleistungen erbringen, erhöhte Datenschutzbestimmungen erfüllen? Müssen diese Kunden das selber wissen und formulieren? Oder gibt es auch da eine ‹Rundumformulierung› womit man alle solche Dienstleistungen in der Datenschutzerklärung abdecken kann?»
«Es wird empfohlen (auch vom Datenschutz-Generator von Datenschutzpartner) einen Auftragsverarbeitungsvertrag (AVV) mit Drittdiensten abzuschliessen. Aber nicht alle Unternehmen bieten einen expliziten AVV an, sondern verweisen auf ihre Standardvertragsklauseln (z. B. Microsoft, Facebook und LinkedIn). Reicht das datenschutzrechtlich aus?»
«Müssen unsere Webagentur-Kunden zwingend einen Auftragsverarbeitungsvertrag mit unserer Agentur abschliessen?»
«Newsletter-Abo-Haken: Darf dieser automatisch aktiviert sein?»
«Kann ich unter dem neuen Datenschutzgesetz weiterhin Mailchimp oder andere E-Mail-Marketing-Services aus den USA nutzen?»
«Ist es in der Schweiz effektiv so, dass bei Datenschutzvergehen die verantwortliche Person persönlich mit Bussen rechnen muss und nicht die Firma haftet?»
Podcast-Episode
Das Thema «Konzernprivileg» vertieften Andreas Von Gunten und Martin Steiger in einer Episode der Datenschutz Plaudereien: