Legal Session: Kundenbefragungen, Newsletter-Daten, Standardvertragsklauseln, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 21. Juni 2022 ging es unter anderem um Opt-in und Opt-out bei Kundenbefragungen, europäische Standardvertragsklauseln (SCC), die Aufbewahrung von Newsletter-Daten und die Information von betroffenen Personen über Auftragsbearbeiter.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 21. Juni 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Viele EU-Länder scheinen Kundenbefragungen als Marketingaktivitäten zu betrachten, für die eine Zustimmung erforderlich ist, selbst wenn sich die Befragung auf einen bestimmten Kundendienstfall bezieht. Ist es notwendig, für diese Art von Umfragen, die keine Marketinginformationen enthalten, ein Opt-in zu verlangen oder eine Opt-out-Möglichkeit anzubieten? Oder ist es akzeptabel zu behaupten, dass es im berechtigten Interesse eines Unternehmens liegt, um Feedback zu bitten?»
Diese Frage vertieften Andreas Von Gunten und Martin Steiger in einer Podcast-Episode der «Datenschutz Plaudereien»:
«Wie funktioniert OneTrust und welche Lösung bietet es an?»
«Ich habe gehört, die europäischen Standardvertragsklauseln (SCC) würden für die Schweiz nicht genügen. Stimmt das?»
«Implementation von Standardvertragsklauseln (SCC) im Unternehmen:
- Was muss dabei beachtet werden?
- Welches sind die wichtigsten Elemente?
- Wofür können diese genutzt werden?»
«Aus eurem informativen Webinar vom 7.6.2022 zum Thema Datenschutzbeauftragte ging hervor, dass die Ernennung eines eigenen Datenschutzbeauftragten nach Datenschutz-Grundverordnung (DSGVO) aufwändig sein kann. Falls nicht zwingend erforderlich, möchten wir darauf verzichten. […] Wie beurteilst du auf Grund dieser Informationen die Frage, ob ein Datenschutzbeauftragter nach Datenschutz-Grundverordnung (DSGVO) ernannt werden muss? In Bezug auf das neue Datenschutzgesetz (nDSG) in der Schweiz erübrigt sich die Frage nach einer Pflicht ja nach unserem Verständnis.»
«Auf was soll bei Verträgen mit Mobiltelefon-Unternehmen, beispielsweise Swisscom, Orange, Salt und Vodafone beim Datenschutz besonders geachtet werden? Wie sieht es mit der Datenschutzvereinbarung aus, die man im B2B ja durchaus anpassen kann?»
«Kannst du Vorlagen für einen Auftragsverarbeitungsvertrag (AVV) für Verträge in der Gruppe und mit Dritten empfehlen? Bezogen auf:
- Controller – Controller
- Joint – Controller
- Controller – Processor»
«Was braucht es für eine Retention Policy die ‹verhebet›? Kannst du einen Vorschlag für die Struktur des Inhaltsverzeichnis des Dokuments machen?»
«Mich würde interessieren, wie genau bzw. wie ungenau die betroffenen Personen über Auftragsbearbeiter informiert werden müssen. Das neue Datenschutzgesetz (nDSG) nennt in Art. 19 ‹Kategorien von Empfängerinnen und Empfänger›. Wie kann man solche Kategorien umschreiben und benennen und gleichzeitig die Informationspflicht immer noch korrekt erfüllen?»
«Müssen die Daten – respektive die Personenfelder – nach aktuellem Datenschutzgesetz (DSG) und neuem Datenschutzgesetz (nDSG) gelöscht werden, wenn sich ein Empfänger vom Newsletter abmeldet? Gibt es hierfür auch einen vorgegebenen Zeitraum?»
«Ich bin in einer kleinen Erfahrungsgruppe von virtuellen Assistent:innen. Mit dem Thema Auftragsverarbeitungsvertrag (AVV) bin ich vor allem im Zusammenhang mit anderen Dienstleister vertraut, aber weniger als Auftragsverarbeiter.»
«Wir haben eine LinkedIn Unternehmensseite. Dort ist ersichtlich, bei welchen Unternehmen User:innen arbeiten, die unser Profil anschauen oder auf unsere (gesponserten) Beiträge reagieren. Meines Wissens dürfen wir diese Firmen heute in unseren Werbeverteiler mit Opt‑out-Möglichkeit aufnehmen. Die Adressen recherchieren wir selber. Dürfen wir solche Verteiler auch in Zukunft mit dem neuen Datenschutzgesetz (nDSG) verwenden oder erstellen?»
«Existiert euer Datenschutz-Generator von Datenschutzpartner in den drei Landessprachen Deutsch, Französisch und Italienisch?»
Follow-up: Data in vier Akten – die digitalen Pläne der EU (Barbara Helten).