Legal Session: Auftragsverarbeitung, Claude AI, Login mit Apple ID, …
An Legal Sessions können Mitglieder unserer Datenschutzpartner Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.
An der Legal Session vom 26. März 2024 erklärte Rechtsanwalt Martin Steiger unter anderem, inwiefern man für seine Unterauftragsverarbeiter haften muss, ob in bestimmten Situationen ein Auftragsverarbeitungsvertrag (AVV) benötigt wird und ob der AVV von Claude AI ausreichend ist.
Weiter beantwortete Martin Steiger unter anderem die Frage, ob ein Login mit Apple ID der Registrierung mittels E-Mail-Adresse aus datenschutzrechtlicher Sicht vorzuziehen ist.
Aufzeichnung
Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:
Thematisierte Fragen
An der Legal Session vom 26. März 2024 mit Martin Steiger, Anwalt und Mitgründer von Datenschutzpartner, thematisierten wir unter anderem folgende Fragen:
«Einer unserer Kunden verlangt im Auftragsverarbeitungsvertrag (AVV), dass wir als Webagentur für unsere Subunternehmer haften. Wir arbeiten mit einem Schweizer Hosting-Provider zusammen, aber auch mit Konzernen wie Microsoft (OneDrive) und Amazon (Backup). Sind wir gesetzlich verpflichtet, sämtliche Haftungen zu übernehmen?»
«Das im Artikel ‹ChatGPT: OpenAI lanciert Team-Variante ohne Training mit Nutzerdaten› vom 10. Januar 2024 beschriebene Vorgehen für die ‹Opt-out›-Möglichkeit über das ‹OpenAI Privacy Request Portal› mittels ‹Make a Privacy Request› funktioniert bei mir nicht. Ich erhalte von OpenAI die Nachricht, dass keine persönlichen Informationen über mich gefunden werden konnten. Allerdings verfüge ich über ein ChatGPT-Konto und nutze es auch, melde mich aber jeweils mittels Apple (‹Fortfahren mit Apple›) an. Dort habe ich bei der Registrierung angegeben, dass meine E-Mail-Adresse verborgen bleibt. Könnte es daran liegen, dass der Privacy Request nicht funktioniert bzw. OpenAI keine Daten über mich gefunden hat? Bin ich somit auf der ‹sicheren Seite›?»
«Ist die Registrierung bei Diensten mittels Apple aus datenschutzrechtlicher Sicht grundsätzlich vorzuziehen (vorausgesetzt natürlich, man ‹vertraut› Apple ;-)?»
«Reicht bei folgenden Dienstleistern eine Vertraulichkeitsvereinbarung oder ist doch ein AVV notwendig?
- Fotograf/Grafiker für grafische Gestaltung Webseite und Jahresbericht
- Externe Beratung für digitale Transformation
- Externe Beratung für Erarbeitung einer Immobilienstrategie»
«Was ist der neuste Stand bei der Abschaffung der betrieblichen Datenschutzbeauftragten (DSB) in Deutschland?»
«Ich bin Betriebsärztin. Jetzt wollen mehrere Auftraggeber einen Auftragsverarbeitungsvertrag von mir unterzeichnen lassen. Ich soll unter anderem regelmässigen Audits zustimmen. Muss ich unterschreiben?»
«Wie klingt ein guter Hinweis für eine übersetzte Datenschutzerklärung?»
«Wie gehe ich am besten gegen notorische Spammer in der Schweiz vor?»
«Ich mühe mich an einem Problem im Datenschutz ab: Firma X gibt der Firma Y einen Auftrag für Betreuungsleistungen. Nun liegt der Vorwurf im Raum, X habe die Arbeitnehmer von Y heimlich überwacht, indem sie von den Betreuten heimlich Rückmeldungen zu den Betreuungsleistungen eingeholt haben soll, was bestritten ist. Der Gesellschafter von Y sowie Y verlangen Einsicht. Kann X argumentieren, dass es Daten der Arbeitnehmenden sind und nicht von Y oder deren Geschäftsführer? Oder können diese Daten zeitgleich Daten von Y und von den Arbeitnehmenden sein? Wie sieht es dann mit dem Recht auf Löschung aus? Kann nur der Arbeitnehmende die Löschung verlangen? Oder müsste auch die Firma zustimmen?»
«Unser Lohnverrechner bearbeitet Personendaten in Bosnien-Herzegovina. Welche Minimum-Massnahmen muss er setzen, damit man den Auftragsverarbeitungsvertrag abschliessen kann.»
«Eine externe Firma betreibt in unserem Auftrag unseren Fanshop. Der Fanshop wird auf ihrer eigenen Softwarelösung betrieben und kommt in unserem Markenkleid daher. Bestellungen laufen direkt über den Fanshop und landen bei der externen Firma zur Bearbeitung (Bestellung entgegennehmen, verarbeiten & versenden inkl. Rechnungsabwicklung). Benötigen wir hierfür einen AVV?»
«Schweiz-EU: Wieso wird zum Teil immer noch auf den Angemessenheitsbeschluss aus dem Jahr 2000 verwiesen?»
«Wie beurteilst Du den AVV von Claude?»
«IT-Dienstleister, Hersteller von Software: Müssen im Rahmen des nDSG (privacy by design etc.) Funktionalitäten wie Löschen oder Protokollieren im Produkt integriert sein oder würde es rechtlich gesehen genügen, wenn diese Funktionen mittels z. B. SQL zur Verfügung gestellt werden können? »
Podcast-Episode
In einer Podcast-Episode der «Datenschutz Plaudereien» diskutierten Andreas Von Gunten und Martin Steiger ausgewählte Fragen und Themen aus der Legal Session: