Legal Session: Auftragsverarbeitung, Löschbegehren, Telegram, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 11. August 2022 ging es unter anderem um Auftragsverarbeitung und den Nachweis von Massnahmen zur Gewährleistung der Datensicherheit, Löschbegehren von ehemaligen Arbeitnehmerinnen und Arbeitnehmern sowie die Erwähnung von SEO-Tools, Telegram und Wix in der Datenschutzerklärung.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 11. August 2022 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Wie weit muss man beim Löschbegehren eines ehemaligen Mitarbeiters nach Schweizer Datenschutzrecht (DSG) und europäischer Datenschutz-Grundverordnung (DSGVO) gehen?»
«Muss Telegram explizit in der Datenschutzerklärung erwähnt werden? Auf der Website meiner Kundin wird Telegram nicht ‹beworben› und man muss sich bewusst anmelden, um in den Telegram-Kanal zu gelangen. Kann man sich da auf die Eigenverantwortung der Nutzer:innen berufen oder ist das immer noch in der Verantwortlichkeit der Website-Betreiberin? Wenn ja, unter welcher Rubrik soll es in der Datenschutzerklärung aufgeführt werden? Telegram gehört ja zur Kommunikation und nicht zu den Sozialen Medien.»
«Ein Kunde hat mit uns eine ‹Vereinbarung über Auftragsbearbeitung› abgeschlossen und verlangt darin, spätestens alle 12 Monate einen Nachweis über ‹die vollständige Umsetzung der vereinbarten technischen und organisatorischen Massnahmen (TOM) sowie ihrer Wirksamkeit zur Sicherheit der Verarbeitung›. Der Nachweis könne durch Audit-Nachweis, genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren (zum Beispiel Zertifikat zu Datenschutz und / oder Informationssicherheit nach ISO) erbracht werden. Unsere Frage nun: Wie sollen wir als IT-Dienstleister des Kunden diesen Nachweis gestalten?»
«Ich habe eine Wix-Website und nutze auch den Wix Store. Reicht es, wenn ich Wix beim Datenschutzgenerator als Baukasten ankreuze oder muss ich unter E-Commerce- oder Onlineshop-Plattform auch Wix Store auswählen? Das steht bisher nicht zur Auswahl. Muss ich ‹Sonstige Plattform› anwählen?»
«Einer unserer Entwickler und eine von uns beauftragte Schweizer Firma mit Unterauftragsverarbeiter in der EU benötigen für die Datenmigration eines Kunden Zugriff auf die zugehörigen Daten. Wir haben mit der beauftragen Firma einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen, dort ist der Unterauftragsnehmer ebenfalls im Anhang aufgeführt. Der Kunde hat Kenntnis vom Auftragsverarbeitungsvertrag. Er hat uns per Mail den Zugriff auf die Daten sowohl für unseren Mitarbeiter als auch für den Entwickler des Unterauftragsverarbeiters bestätigt. Der Geschäftsführer des Kunden ist zudem der Verwaltungsratspräsident unserer Firma. Müssen wir sonst noch etwas beachten?»
«Muss ich bei einem Auskunfts- oder Löschbegehren lediglich über die bei mir gespeicherten Daten Auskunft geben bzw. diese löschen oder habe ich auch eine Handlungspflicht in Bezug auf Daten, die beispielsweise an Google weitergegeben wurden?»
«Als Webdesignerin verarbeite ich, abgesehen von meiner Kundschaft, die mir mit dem Auftrag ja die Einwilligung gibt, keine Personendaten. Wenn ich die Website später weiterhin betreue, muss ich doch nur mit jenen Kund:innen einen Auftragsverarbeitungsvertrag (AVV) abschliessen, bei denen wirklich Personendaten auf dem Webserver verarbeitet und in der Datenbank gespeichert werden. Beispielsweise bei Shops, gespeicherten Einträgen in Kontaktformularen und Kommentaren.»
«Müssen wir Tools wie Rank Math und Yoast SEO in der Datenschutzerklärung erwähnen?»
«Wenn ich beispielsweise aufgrund von Art. 6 Abs. 3 DSG mit dem EDÖB oder einer anderen Aufsichtsbehörde in Kontakt treten muss, welche ‹Dos and Don’ts› würdest du einem Datenschutzverantwortlichen mit auf den Weg geben?»
«Google Analytics ist faktisch die Basis für Google Ads, was in der Onlinewerbung weit verbreitet und wichtig ist. Wie können Google Analytics und Google Ads datenschutzkonform und mit geringem Abmahn-Risiko auf einer Website eingesetzt werden? Zum Beispiel durch Einwilligung oder eine Erwähnung in der Datenschutzerklärung? Falls das nicht möglich ist, welche datenschutzkonform Alternativen gibt es?»
«Wir möchten sowohl unsere Schweizer Kunden auch die deutsche Kundschaft unserer Tochtergesellschaft aus Deutschland zu einer gemeinsamen Veranstaltung einladen. Müssen die deutschen Kunden im Vorhinein jeweils ihr Einverständnis abgeben, damit wir sie aus der Schweiz einladen zu dürfen? Oder müssten sie für selbige Veranstaltung sogar separat von der deutschen Tochtergesellschaft eingeladen werden?»
«Müssen während der Arbeit verfasste Reports eines ehemaligen Mitarbeiters gelöscht werden, wenn dieser ein Löschbegehren stellt?»
«Kann zur Verordnung zum neuen Datenschutzgesetz (nDSG) eigentlich noch das Referendum ergriffen werden?»
«Braucht es Data Transfer Impact Assessments, Standardvertragsklauseln und TOMs bei allen Datentransfers in nicht sichere Drittstaaten oder nur, wenn besonders schützenswerte Personendaten im Spiel sind?»
Diese Frage, ob und wie man Google Analytics noch einsetzen darf, vertieften Andreas Von Gunten und Martin Steiger in einer Podcast-Episode der «Datenschutz Plaudereien»: