Die Datenschutzstelle (DSS) publiziert regelmässig kurze Hinweise und Informationen aus ihrer Praxis im Rahmen des Newsletters. Dabei handelt es sich jeweils um drei Themen, welche mehrfach in der DSS aufkamen bzw. von ihr in Verfahren gerügt wurden.
- Wichtige Information zu Telefonaufzeichnungen
Für Finanzintermediäre, darunter Banken, Wertpapierfirmen und andere unter die Richtlinie 2014/65/EU über Märkte für Finanzinstrumente (MiFID II) fallende Institutionen, gelten strikte Vorgaben zur Aufzeichnung von Telefongesprächen. Gemäss Art. 16 Abs. 7 MiFID II müssen Telefongespräche, die im Zusammenhang mit der Annahme, Übermittlung und Ausführung von Kundenaufträgen sowie Eigengeschäften stehen, verpflichtend aufgezeichnet werden. In Liechtenstein wurden diese Vorgaben durch das Wertpapierdienstleistungsgesetz (WPDG) und die Bankenverordnung (BankV) umgesetzt. Die gesetzliche Aufzeichnungspflicht beschränkt sich dabei allerdings ganz klar auf Gespräche zu Finanztransaktionen; allgemeine Service- und Beratungsgespräche sind davon nicht umfasst.
Gleichzeitig setzt auch die DSGVO klare Grenzen: Pauschale Aufzeichnungen von Telefongesprächen sind unzulässig, da sie gegen die Grundsätze der Rechtmässigkeit, Zweckbindung und Datenminimierung gemäss Art. 5 Abs. 1 Bst. a, b und c verstossen. Für nicht-transaktionsbezogene Gespräche, die sich weder auf die erwähnte gesetzliche Aufzeichnungspflicht noch (in äusserst seltenen Fällen) auf eine Notwendigkeit zur Vertragserfüllung als Rechtsgrundlage stützen können, ist daher in der Regel eine aktive und freiwillige Einwilligung der betroffenen Person erforderlich. Das blosse Fortsetzen eines Gesprächs nach einem Hinweis auf die Aufzeichnung reicht hierfür nicht aus. Finanzintermediäre müssen daher standardmässig insbesondere mit technischen und organisatorischen Massnahmen (z.B. einer entsprechenden Telefonanlage) sicherstellen, dass Aufzeichnungen ausschliesslich in gesetzlich vorgesehenen Fällen, bei vertraglichem Erfordernis oder bei expliziter Einwilligung des Anrufers erfolgen und die Datenschutzvorgaben der DSGVO konsequent eingehalten werden.
- Information zu Trauerspenden / Jubiläumsspenden – Praxisänderung
Aufgrund der rechtlichen Fortentwicklung in Europa passt die DSS ihre Praxis bezüglich der Frage an, wie eine Spenden-empfangende Organisation (z.B. gemeinnützige Stiftung, soziale Institution, Verein u.ä.) im Fall von Trauerspenden Angaben zu den Spendern datenschutzkonform einer Trauerfamilie bekannt geben kann.
Wie bisher ist eine Weitergabe des Namens (und der Adresse) eines Spenders an die Trauerfamilie mit dessen ausdrücklicher Einwilligung zulässig. Die Einholung einer solchen ausdrücklichen Einwilligung aller Spender kann sich jedoch sehr schwierig gestalten, obwohl vermutlich die wenigsten Spender wirklich anonym bleiben wollen (sonst hätten sie ja auch ohne Bezug zur Trauerfamilie spenden können). Deshalb ist es neuerdings ebenfalls zulässig, dass eine Spenden-empfangende Organisation dem Spender ein Dankesschreiben schickt und ihm mitteilt, dass sie seinen Namen (und seine Adresse) an die Trauerfamilie weitergeben wird, sofern er sich nicht binnen drei Wochen bei ihr meldet und Widerspruch dagegen einlegt. Es muss dem Spender also von der Organisation nach Information über die anstehende Datenweitergabe eine angemessene Frist gewährt werden, innerhalb derer er sich bei ihr melden und die Weitergabe ablehnen könnte («opt-out»). Mit diesem Vorgehen ist aus Datenschutz-Sicht ebenfalls ein Ausgleich der Interessen von Trauerfamilie, Spenden-empfangender Organisation und Spender auf geeignete Weise möglich.
Von dieser Datenweitergabe an die Trauerfamilie ausgenommen ist allerdings der konkrete Spendenbetrag pro Spender. Dafür bräuchte es immer noch die ausdrückliche Einwilligung der Spender. Ansonsten darf die Trauerfamilie von der Spenden-empfangenden Organisation nur über den Totalbetrag der eingegangenen Spenden informiert werden.
→ Dieselbe Praxis gilt auch für den Fall von Jubiläumsspenden etwa anlässlich eines runden Geburtstags.
- Hinweis zum Einsatz von Einwilligungsmanagement-Tools (Cookie-Bannern) auf Webseiten
Webseitenbetreiber als Verantwortliche müssen sicherstellen, dass sie bei einwilligungspflichtigen Verarbeitungsvorgängen (z.B. beim Einsatz technisch nicht erforderlicher Cookies oder bei der Weitergabe von Daten an Dritte) vor der eigentlichen Verarbeitung die Einwilligung der Webseitenbesucher einholen. Zur Einholung der Einwilligung hat sich in der Praxis u.a. der Einsatz von sog. Einwilligungsmanagement-Tools, häufig auch als Cookie-Banner bezeichnet, etabliert. Diese können in der Regel als Cloud-Lösung oder als lokal ausführbare Software in Webseiten eingebunden werden. Mittlerweile gibt es zahlreiche Anbieter von Einwilligungsmanagement-Tools auf dem Markt und diese werben häufig mit der DSGVO-Konformität ihrer Angebote.
Nach den Erfahrungen der DSS ist der Einsatz solcher Tools jedoch häufig mit datenschutzrechtlichen Mängeln behaftet. Einer der am häufigsten beobachteten Fehler ist, dass viele Tools technisch nicht sicherstellen, dass während der Einblendung von Cookie-Bannern keine weitergehenden (Tracking-)Skripte ausgeführt und/oder technisch nicht erforderliche Cookies im Browser gespeichert werden. So werden häufig bereits beim blossen Aufruf einer Webseite – und noch bevor man im Cookie-Banner irgendeine Einwilligung erteilen kann – personenbezogene Daten des Webseitenbesuchers (u.a. die IP-Adresse) an Dritte übermittelt und/oder technisch nicht erforderliche Cookies im Browser gespeichert. Zudem sind Cookie-Banner häufig unnötig komplex gestaltet (z.B. keine einfache Ablehnungsmöglichkeit oder voreingestellte Einwilligungsoptionen) oder enthalten keine klaren Informationen über Art und Zweck der verwendeten Cookies und Tracking-Technologien.
Nicht zuletzt aufgrund dieser erheblichen technischen Herausforderungen bei der korrekten Einholung der Einwilligung ist Webseitenbetreibern zu empfehlen, sorgfältig zu prüfen, ob ein Cookie-Banner für die eigene Webseite überhaupt erforderlich ist (siehe dazu die Ausführungen auf der Internetseite der DSS). Um den eigenen Aufwand gering zu halten, empfiehlt es sich zudem, auf einwilligungspflichtige Cookies und Verarbeitungen bzw. solche nutzenden Applikationen so weit wie möglich zu verzichten. Dies kann einerseits durch den Einsatz von datenschutzfreundlicheren Lösungen bei der Einbindung von externen (Medien-)Inhalten (z.B. durch lokale Einbindung von Schriften oder Videos) und bei der sogenannten Reichweitenanalyse erreicht werden. Andererseits kann beispielsweise auch mit der gezielten Verlinkung auf Webseiten anderer Anbieter (z.B. Kartendienste), wodurch ein Besucher beim Anklicken von der eigenen Webseite weggeleitet wird, die eigene Verantwortlichkeit für allfällige einwilligungspflichtige Cookies und Datenverarbeitungen vermieden werden. Allerdings gilt dies nur, wenn der Link nicht zu einem Nutzerprofil o.ä. des Verantwortlichen führt (z.B. auf Social Media), wo dann unter Umständen wieder eine gemeinsame Verantwortlichkeit für die Datenverarbeitung besteht.