Legal Session: Arztgeheimnis, Telefonieren mit Microsoft Teams, WhatsApp-Gruppen, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 4. Juli 2023 beantworteten wir unter anderem Fragen zum Datenschutz bei Arztpraxen und der fehlenden Ende-zu-Ende-Verschlüsselung bei Gruppen-Videokonferenzen über Microsoft Teams. Ausserdem beurteilten wir, ob WhatsApp-Chats mit geschäftlichen Inhalten auf privaten Geräten zulässig sind.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 4. Juli 2023 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Wir bieten als Verein eine IT-Plattform an, die unter anderem vom Staatssekretariat für Migration (SEM) Daten importiert erhält. Diese werden durch Kantone und / oder Institutionen genutzt, bearbeitet und ergänzt. Gehe ich richtig in der Annahme, dass für uns das Bundesrecht, für Kantone und von ihnen beauftragte Institutionen zudem die jeweiligen kantonalen Datenschutzgesetze gelten?»
«Ich passe die Datenschutzerklärung regelmässig und v.a. bei Veränderungen an. Muss ich meine Kunden aktiv (z.B. via Newsletter) informieren? Und müssen alte Versionen der Datenschutzerklärung ebenfalls zugänglich sein?»
«Wenn wir unsere Newsletter-Adressdaten mit Swisscom Directories abgleichen, ist dies dann gegenseitig eine Datenweitergabe? und wie wäre dies zu regeln?»
«Gewerkschaftswebsite: Ich kann auf der Webseite direkt einen Antrag auf Mitgliedschaft stellen. Auf der Website ist Google Analytics sowie Facebook Connect eingebunden (kein Cookie Banner). Mitgliedschaft Gewerkschaft gehört zu den besonders schützenswerten Personendaten. Geht das ohne Einwilligung in Google Analytics etc.?»
«Datenschutz-Generator: Ich wurde mehrmals darauf angesprochen, warum die Datenschutzerklärung ‹im Abo› gelöst werden soll. Das Gesetz sei ab dem 1. September 2023 in Kraft und werde ja dann nicht mehr angepasst. Was kann ich darauf antworten? Warum soll man das Abo lösen und regelmässig aktualisieren?»
«Kann es unter Umständen genügen, als Datenbearbeiter qualifiziert zu werden, auch wenn man bloss Einsicht in Personendaten erhält und diese gar nicht bearbeitet (z.B. Betreiber einer umfassenden Datenbank)?»
«Auskunftsbegehren: Ich bin Patient bei Arztpraxis XY und möchte gerne wissen, mit wem meine Daten geteilt / an wen sie weitergeleitet werden. Stimmt die Aussage der Verbindung der Schweizer Ärztinnen und Ärzte (FMH), dass Dritte mit Auftragsverarbeitung nicht angegeben werden müssen? Wenn ja, wie soll Patient dann wissen, ob der Dienstleister (z.B. US-Anbieter) wirklich Gewähr für den Datenschutz gibt resp. der Arzt / die Ärztin das Patientengeheimnis wahrt? In Datenschutzhinweisen, naja, nicht Pflicht (leider!), doch bei Auskunftsbegehren muss das doch angegeben werden?»
«Welches Risiko geht man ein, wenn man punktuell unter die Datenschutz-Grundverordnung (DSGVO) fällt, sich aber nur am neuen Datenschutzgesetz (nDSG) orientiert? (Einschätzung zu Abmahnung / Busse und der Wahrscheinlichkeit)»
«Unsere Stiftung hat bei der SBB einen Business Account, welcher für die Zahlungsabwicklung von Geschäftsreisen von Mitarbeitenden genutzt wird. In diesem Zusammenhang werden Personendaten bearbeitet, weshalb ich einen Auftragsverarbeitungsvertrag abschliessen möchte. Erstaunt habe ich festgestellt, dass von der SBB kein Formular zur Verfügung steht. Wie ist es zu erklären, dass ein Unternehmen von dieser Bedeutung nichts dergleichen anbietet?»
«Kann die Auskunftserteilung im Zusammenhang mit der Herausgabe von Online-Trackingdaten (Surfverhalten etc.) eingeschränkt werden?»
«Wir stellen neben unserer Homepage einen speziellen Service (Wissensplattform) für eine Closed User Group zur Verfügung. Der Einstieg erfolgt über unsere Website oder direkt mit direkter Adresswahl. Die Site wird mit einem separaten Tool (ausserhalb unserer normalen Website angeboten – wir speichern lediglich eine Mailadresse, Name und Vorname der User. Diese Daten werden nur anonymisiert für die Auswertung der Nutzung verwendet. Gehe ich richtig in der Annahme, dass wir dafür eine separate Datenschutzerklärung benötigen?»
«In den letzten Jahren haben wir einige Datensicherungen von Kunden zusätzlich auf einen bei uns im Haus befindlichen Server gespielt. Die Datensicherung vor Ort (Externe Harddisk, Cloud, NAS etc.) wurde bei jedem Kunden auch eingerichtet. Diese Daten werden verschlüsselt geschickt und verschlüsselt aufbewahrt. Diese Daten werden alle 7 Tage überschrieben. Wie können wir uns absichern – was ist zu tun, damit wir diesen Service weiterhin anbieten können?»
«Darf ich einem Websitebesucher mit Schweizer IP-Adresse die Cookies (die ich unter der DSGVO alle via Pop-up anklicken kann) per default auf gesetzt setzen? Im Webseitenfuss kann er dann immer noch die Checkboxen via ‹Einstellungen Datenschutz› entfernen, wenn er will. Oder ist das im nDSG genau gleich wie in der DSGVO?»
«Gibt es per 1. Juli 2023 eine Anpassung im Generator zu Google Analytics 4? Habt ihr einen Link zu einer Roadmap, welche Dinge im Generator angepasst wurden oder angepasst werden? Ich glaube, schon mal sowas gesehen zu haben, wurde auf der Website aber auf die Schnelle nicht fündig.»
«Art. 25 nDSG – Auskunftsrecht: Reicht es, die Kategorien der Personendaten anzugeben oder muss ich die konkreten Inhalte angeben? Zum Beispiel habe ich in meiner Datenbank Gesundheitsdaten: Muss ich dann genau die Inhalte der Gesundheitsdaten (z.B. ‹ist gehbehindert›) angeben oder reicht es, wenn ich mitteile, dass wir Gesundheitsdaten gespeichert haben?»
«Wenn ich es richtig verstanden habe, dann ist ein Auftragsverarbeitungsvertrag (AVV) vom Gesetz her nicht vorgegeben. Können die notwendigen Informationen auch mit den AGB abgedeckt werden?»
«Wir sind rechtlich gesehen ein Verein, der zugleich die Dachorganisation mehrerer rechtlich eigenständiger kantonaler Sektionen ist. Wer bei uns Mitglied ist, ist gemäss Statuten automatisch Mitglied sowohl beim Dachverband als auch der Sektion. Gelten die Sektionen trotzdem als Dritte und wäre ein Auftragsverarbeitungsvertrag (AVV) nötig oder dürfen Dachverband und Sektionen einander Personendaten weitergeben? Reicht es, die Mitglieder darüber in der Datenschutzerklärung zu informieren? Oder welche Schritte müssen wir unternehmen, um den Datenaustausch zu ermöglichen?»
«Wir werten die Reaktion der Kunden auf unsere Newsletter mittels einer Newsletter-Software aus. Diese zeigt uns an, wie viele Newsletter angeklickt wurden, wer sie angeklickt hat, wer sich abgemeldet hat und in welchen Regionen sich diese Personen jeweils befinden. Ist dieses ‹Tracking› nach nDSG erlaubt oder bedarf es von unserer Seite weitere Schritte?»
«Wann ist ein Datenschutzberater nach dem neuen Datenschutzgesetz empfohlen und könnte eine IT-Leitung mit genügend fachlichem Wissen dieses unter Umständen auch übernehmen? (wenn auch nicht optimal) Braucht es den Datenschutzberater auch in Unternehmen in Drittstaaten?»
«Auskunftsbegehren: Ist es richtig, dass man nach nDSG zur Identifizierung des Antragstellers / der Antragstellerin eine Kopie der ID / des Passes nicht mehr als Voraussetzung verlangen darf?»
«Wäre es von Vorteil, einen ‹Infobanner› auf der Website anzuzeigen, in den wir proaktiv den Besuchern erklären, dass wir keine Personendaten zu Marketingzwecken weiterverarbeiten? Oder könnte das sogar auch ein ‹Schuss nach hinten› sein?»
«Wir kaufen über ‹Reuters Picture› eine Fotografie einer unbekannten, asiatisch aussehenden Geigenspielerin ein. In Adobe Photoshop bearbeiten wir das Fotos für weitere Zwecke und speichern es in der Adobe Cloud. Können wir davon ausgehen, dass das Speichern des Fotos in der Adobe Cloud kein Problem für uns darstellt, da die Person wohl erkennbar aber für uns anonym ist und wir keinen ‹Personenbezug› herstellen können? Oder liegen wir falsch und auch korrekt erworbene Fotografie von unbekannten Personen sind auch hier ‹Personenbezogene Daten›? Dann könnten wir nicht mehr mit Adobe Cloud arbeiten.»
«In unserer Datenschutzerkärung (generiert durch Datenschutzpartner) steht unter Punkt 8.1 geschrieben: ‹Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.› Wie ist dieser Satz zu verstehen? Müssen wir unsere Besucher also aktiv z.B. mit einem Cookie-Banner informieren? Oder könnte es anstatt ‹Wir ersuchen …› auch ‹Wir setzen voraus …› heissen?»
«Wir, eine Stiftung für Menschen mit Unterstützungsbedarf, haben häufig Besucher u.a. Angehörige oder auch Handwerker. Diese haben theoretisch auch in ihrer relativ kurzen Anwesenheit möglicherweise Berührungspunkte zu schützenswerten Daten (hören zum Beispiel ein Gespräch mit oder können in Erfahrung bringen, wer bei uns wohnt). Bei Praktikanten, Schnuppernden etc. schliessen wir jeweils eine Geheimhaltungsvereinbarung ab. Ist es ratsam, auch für die erwähnten Besucher eine solche Geheimhaltungsvereinbarung abzuschliessen?»
«Wir überlegen, bei einem grossen Teil unserer Angestellten die Telefonie zukünftig auf Teams / Office 365 umzustellen. Teams ist nur bei Verbindungen von 2 Teilnehmenden Ende-zu-Ende verschlüsselt. Gesprächsinhalte sind bei uns u.a. auch besonders schützenswerte Personendaten und auch Konferenzen mit 2+ Angestellten finden regelmässig statt. Der logische Schluss wäre, dass wir die Telefonie nicht mit Teams umsetzen können / dürfen?»
«Dürfen wir Kunden Newsletter zur Bewerbung von Produkten schicken, die dem Produkt, das sie bei uns gekauft haben, einigermassen ähnlich sind? (Zum Beispiel hat ein Bauarbeiter in unserem Onlineshop einen Sicherheitshelm gekauft und wir senden ihm einen Newsletter für eine Schutzbrille.) Oder müssen wir von diesem Kunden zuerst eine Genehmigung einfordern? Wenn ja, dürfen wir ihn überhaupt hinsichtlich der Genehmigung anschreiben?»
«Thema Recht am eigenen Bild: Welche Massnahmen sind nötig damit das Recht am eigenen Bild nicht mehr greift? Gesicht vollständig verpixeln oder reicht gegebenenfalls auch ein Augenbalken / Zensurbalken?»
«Verständnisfrage: Datenschutz-Folgenabschätzungen können mit dem neuen Datenschutzgesetz nur mit einem eigenen Datenschutzberater (der dem EDÖB gemeldet ist) oder mit der direkten Beratung des EDÖBs zusammen erstellt werden?»
«Thema WhatsApp-Gruppen mit beruflichen Inhalten auf privaten Geräten: Wie soll ein Unternehmen damit umgehen, dass solche Gruppen existieren? Fragen stellen sich insbesondere im Hinblick auf den Umstand, dass das Unternehmen keinerlei Kontrolle über die Inhalte und die Daten, die dort geteilt werden, hat und auch nicht sicherstellen kann, dass ausgetretene Mitarbeitende nicht mehr Mitglieder dieser Gruppen sind.»
«Ist es korrekt, dass das CH-Datenschutzgesetz nicht anwendbar ist, wenn bei einer Datenlieferung in die USA auschliesslich Personendaten von Personen mit Staatsangehörigkeit bzw. Wohnsitz in den USA geliefert werden?»
«Die Frage bezieht sich auf die Nachvollziehbarkeit im Zusammenhang mit Formularen auf einer Website: Welche Massnahmen müssen bezüglich Formularen auf der Website getroffen werden? Ist es nötig, dass jeder Zugriff von internen Nutzern auf Formulardaten (über das Backend der Website) geloggt wird, damit nachvollziehbar ist, wer z.B. Formulardaten heruntergeladen hat?»
«Welche Behörden (Bund, Kantone) verlangen Datenhaltung in der Schweiz? Schliesst das Cloud-Dienste ohne Schweizer Datenhaltung nicht faktisch von der schweizweiten Nutzung aus? (z.B. bei Filialen in allen Kantonen)»
«Darf ein Strafregisterauszug von jedem Mitarbeitenden bei Anstellung verlangt werden oder nur dort, wo es aufgrund der zukünftigen Tätigkeit verlangt wird? Und wie sieht es mit der Dauer der Gültigkeit aus?»
«Daten von erfolglosen Bewerbenden sollen ja zwecks dem Gleichstellungsgesetz und der Möglichkeit zur Klage erst nach 3 Monaten gelöscht werden. Nun erhält man die Daten von einem Vermittler und dieser sagt, dass man die Daten nach Absage sofort löschen soll. Soll man dann antworten, dass sie erst nach 3 Monate gelöscht werden oder wer ist dann in der Verantwortung?»
«Wir sind auf Hilfe angewiesen bei der Ausarbeitung eines Auftragsverarbeitungsvertrags (AVV) für unsere Kunden. Gibt es eine Vorlage oder einen Generator, welche(r) noch vor dem 1. September 2023 von Datenschutzpartner bereitgestellt werden kann? Falls nein, bietet Datenschutzpartner dies als individuelle Beratung an?»
«Darf eine Arztpraxis überhaupt Google Analytics (mit USA oder generell) verwenden? Hintergrund: Bei z.B. Onkologe, Herzspezialist etc. kann man aus dem Aufruf herauslesen, dass jemand die Krankheit XYZ hat – Arztgeheimnis? Oder bei einer Seite der Verbindung der Schweizer Ärztinnen und Ärzte (FMH), wenn ich einen Spezialist für XY suche?»
«Darf ohne Vorwarnung (!), bei der Buchung von Terminen auf einer Arztwebsite (‹zur Terminvereinbarung klicken Sie hier›), auf eine fremde Webseite weitergeleitet werden (wo Google Analytics und Facebook Connect drauf sind) und ich dabei angeben muss, ob ich Patient bin oder nicht? Hier wieder: Arztgeheimnis?»
«Franchise Situation: Geber in EU, Nehmer in CH (Gastrobranche). Die Website wird vom Franchisegeber für alle Franchisenehmer weltweit betrieben. In der EU hat jede Gastro-Einheit einen eigenen Datenschutzhinweis – für die Schweiz fehlt diese. Pflicht? Resp. wenn im Impressum der deutsche Franchisegeber genannt ist, müsste dann in Datenschutzhinweisen nicht europäisches und Schweizer Recht erwähnt werden? (Die Website wird zentral aus der vom Franchisegeber unterhalten.)
Wie sieht es in diesem Zusammenhang aus: Angaben (Vorname, Nachname und Email-Adresse sind Pflicht) aus einem Beschwerde- / Reklamationsformular auf der Webseite gehen direkt an den Franchisegeber in der EU (darauf wird mit echt kleiner Schrift auf dem Formular halbwegs hingewiesen). Ist das ausreichend oder muss der Gastrobetrieb vor Ort nicht auch eine entsprechende Info haben resp. müsste die Beschwerde nicht an den Schweizer Betrieb gehen?»
«Übrigens: Die Datenschutzerklärung der Bundes-Website erwähnt, dass man sich bei Fragen zum Datenschutz an den Datenschutzberater der zuständigen Amtsstelle wenden soll … nur findet man bei dieser Amtsstelle dann keinen Hinweis …»
Podcast-Episode
Einige Themen aus der Legal Session vertieften Andreas Von Gunten und Martin Steiger in einer Episode der «Datenschutz Plaudereien»: