Legal Session zum Datenschutz: Cookie-Banner, Berufsgeheimnis & Bildrechte
Am 23. Mai 2024 durften wir, gemeinsam mit der Datenschutzpartner AG, zu einer weiteren Legal Session einladen.
In dieser Legal Session beschäftigten sich Martin Steiger und Andreas von Gunten von Datenschutzpartner speziell mit Fragen zum Berufsgeheimnis im digitalen Raum (bspw. Ärzt*innen und Anwält*innen) und zur rechtskonformen Umsetzung von Cookie-Bannern, mit Fokus auf die Unterschiede im Schweizer Recht und nach der DSGVO. Ausserdem wurden auch Fragen nach dem Datenschutz und dem Persönlichkeitsschutz gestellt, wenn es zu Fotografien von bewohnten Räumlichkeiten bei Handwerksarbeiten und Wohnungsbesichtigungen kommt.
Inhalt dieses Beitrags:
Erfahre rechtzeitig, wann der nächste Event stattfindet und bleibe in Sachen cyon auf dem Laufenden: Abonniere jetzt den cyon-Newsletter!
Cookie-Banner – Unterschiede zwischen Schweizer DSG und DSGVO?
Ab 11:06
Ein grosses Anliegen waren die Cookie-Banner und deren Handhabung anhand der korrekten Richtlinien; gross war die Nachfrage nach der Unterscheidung in der Implementierung nach DSGVO und wie das in der Schweiz nach dem Datenschutzgesetz gehandhabt werden soll.
Cookie-Banner sind per se nicht in der DSGVO geregelt, sondern hier zirkelte Martin Steiger einen Schritt zurück und machte auf die ePrivacy-Richtlinie der EU aufmerksam. Es handelt sich hierbei um eine Telekommunikationsrichtlinie, die von den Mitgliedsstaaten umgesetzt werden muss, was dazu führt, dass es zu einer Mischung aus EU-Recht und nationalem Recht kommt. Hier ist zu erwähnen, dass es um das Schreiben oder Auslesen von Daten auf den Endgeräten der Nutzer*innen geht. Wenn aber eine Funktion – wie eine Sprachauswahl – gewünscht ist, kann das über Cookies oder Local Storage gelöst werden. Wichtig: Die Nutzer*innen müssen sich diese Funktion explizit wünschen. Analyse und Tracking werden in den wenigsten Fällen gewünscht und müssen in jedem Fall durch eine Einwilligung der Nutzer*innen aktiviert werden.
Die DSGVO kommt mit den Anforderungen an die oben genannten Einwilligungen ins Spiel: Jene Anforderungen sind ziemlich hoch und sind vor allem, freiwillig, informiert und ausdrücklich von den Nutzer*innen anzugeben.
Aufgrund der Schweizer Rechtslage benötigt es keine Cookie-Banner. Die Regelung in der Schweiz findet sich im Fernmeldegesetz und funktioniert im Sinne genau umgekehrt, sie kennt die Einwilligung so nicht. Diese Daten darf man schreiben und lesen, wenn die Nutzer*innen erstens darüber informiert werden (findet sich in der Datenschutzerklärung) und wenn es eine Opt-Out-Möglichkeit gibt. Hierfür benötigt es aber kein Management, oder Cookie-Banner, sondern nur den Hinweis darauf, dass die Cookies via Browser konfiguriert werden können.
Wer also in der Schweiz eine Website betreibt, sich auf die Schweiz und deren Markt bezieht und keine Werbung von Dritten einblendet, benötigt kein Cookie-Banner. Das Geld für teure Consent-Management-Lösungen kann man sich sparen. Wer dennoch unbedingt ein Cookie-Banner möchte, kann dies auch mit kostenlosen Lösungen ermöglichen. Wobei auch hier wieder zu beachten ist, dass ein solches Tool wiederum einen Drittdienst darstellt, den man vielleicht eben gar nicht einbinden möchte.
Berufsgeheimnis – Website-Besuch schon relevant?
Ab 5:20
Eine weitere Frage beschäftigte sich mit dem Thema Berufsgeheimnisse, vor allem in Bezug zu Berufen wie Anwält*in oder Ärzt*in und der Kontaktaufnahme mit diesen Personen.
Grundlegend ist das Berufsgeheimnis an die Person gebunden. Das Berufsgeheimnis kann sich zum Beispiel bei Mitarbeitenden einer Kanzlei von den Träger*innen auf weitere Personen ausweiten. Aber fällt nun auch die Website unter das Berufsgeheimnis? Nur weil man als Person eine Anwaltswebsite besucht, heisst das nicht, dass der Besuch selbst unter das Geheimnis fällt, so Martin. Potenziell kann eine Website auch nur zur Informationsbeschaffung besucht werden und muss nicht zwingend bereits ein erster Hinweis auf Mandatsanspruch sein.
Probleme können dann entstehen, wenn Besucherinnen und Besucher ein Onlineformular verwenden, eine E-Mail versenden oder vielleicht auch bereits ein Mandat besteht, welches bei Kontaktaufnahme abgefragt wird. Die Kontaktaufnahme durch E-Mail wäre offengelegt (da E-Mail im Normalfall keine Ende-zu-Ende-Verschlüsselung bietet), aber das wäre auch beim Betreten einer Kanzlei der Fall. Der Besuch der Kanzlei, oder eben auch der Website, ist am Ende letztlich eine stille Einwilligung; denn das Geheimnis beginnt erst dann tatsächlich, wenn das Mandat ernsthaft angebahnt wird und ein Informationsaustausch stattfindet.
Es stellt sich auch in Fragen Drittdienstanbieter*innen, wie Analyse- oder Tracking-Tools, nach deren Sinnhaftigkeit auf Websites von Anwält*innen oder Ärzt*innen. Hier kann auch ein Blick auf die oben genannte Thematik mit den Cookies und den Bannern Aufschluss darüber geben, wie nötig Drittdienste sind und ob es sich hier wirklich lohnt all diese Informationen über die Websitebesuchenden zu sammeln, respektive wie damit umgegangen werden muss. Hier wies Martin auch explizit auf den eigenen Menschenverstand hin: Man soll als kontaktsuchende Person selbst entscheiden und hinterfragen, ob man hier wirklich Kontakt mit jemandem aufnehmen möchte, dessen Website voller Cookies und Hinweise auf Drittdienste ist, oder ob hier vielleicht eine andere Kontaktaufnahme nicht sinnvoller wäre.
Da Datenübermittlung nicht immer unterbunden werden kann, kam auch die Frage auf, ob denn Online-Meetings mit Patient*innen oder Mandant*innen möglich sind, ohne dass das Berufsgeheimnis verletzt wird. Martin machte hier speziell darauf aufmerksam, dass es unterschiedliche Tools gibt, die für solche Meetings genutzt werden können. Hier kann jede*r die Dienste unter den gängigen Anbietern wählen, wobei Martin explizit darauf hinwies, dass hier auf Ende-zu-Ende-Verschlüsselung und entsprechender Auftragsverarbeitungsvertrag geachtet werden sollte.
Was gibt es bei Fotografien von bewohnten Räumlichkeiten zu beachten?
Ab 29:52
Der Umgang mit Fotografien von bewohnten Räumlichkeiten war eine weitere Frage, die das Publikum der Legal Session beschäftigte. Auch wenn keine Personen auf den Bildern zu sehen sind, können auch Bilder von Räumlichkeiten als Personendaten gelten, nämlich immer dann, wenn man auf eine bestimmte oder bestimmbare Personen schliessen kann; natürlich alles immer nur mit vernünftigem Aufwand.
Wie in vielen Situationen, kommt es auch hier auf den Kontext an, und wenn die Dokumentation aus Arbeitsgründen (bspw. als Handwerker*in) geschehen muss, so kann es ein Rechtfertigungsgrund sein, dass man fotografieren darf. Aber wie so oft, wenn es um die Erfassung von personenbezogenen Daten geht, so gilt die Informationspflicht der betroffenen Personen, denn jene haben in diesem Fall auch ein Auskunftsrecht.
Martin machte hier darauf aufmerksam, dass die Sicherung der Bilder natürlich nur solange wie für den Zweck nötig erfolgt und mit den entsprechenden technischen und organisatorischen Massnahmen zu versehen ist, sodass eine dem Risiko angemessen Datensicherheit gewährleistet werden kann.
Bei Wohnungsbesichtigungen ist das naturgemäss etwas anders. Da Menschen mit Interesse an der Wohnung durch die Wohnung gehen können, fotografieren dürfen und die Bilder dann privat bei unzähligen Menschen gesichert sind, sagt Martin, dass das teilweise schon an einen Albtraum grenzt, was die Privatsphäre betrifft. Hier macht er jedoch auf das Hausrecht aufmerksam: Als Vermieter*in oder jene Person, die die Wohnung besichtigen lässt, kann man entsprechende Spielregeln aufstellen, die das Fotografieren regeln und sogar auch unterbinden können.
In allen Fällen, die Martin und Andreas gemeinsam an der Legal Session besprochen haben, haben sie darauf aufmerksam gemacht, dass es am besten ist, wenn man sich nicht einfach nur auf die Gegenseite verlässt. Man soll sich informieren und auch gerne mal genauer prüfen, wie und wo die Daten verarbeitet werden. Falls nötig, soll man sich auch zur Wehr setzen oder eben den Dienst erst gar nicht Anspruch nehmen.
Wir von cyon möchten uns hier noch einmal herzlich bei Martin und Andreas für die spannende Legal Session und bei allen Teilnehmenden für die detailreichen und vielen Fragen bedanken.
Titelbild: Ave Calvar/Unsplash