Änderung Datenschutzerklärung

[kevinhahner]

Lieber Cyrill

Ich habe die Datenschutzvereinbarung gemäss deinem Auftrag nun überarbeitet. Wie bereits erwähnt, bin ich weder Experte noch habe ich Erfahrung im Themengebiet, deswegen wäre eine Prüfung aus meiner Sicht durchaus sinnvoll. Aktualisierte Version via Github an Dich zur Prüfung. 

Verwendete Tools und Dokumente zur Überarbeitung:

• Github
• ChatGPT
• Google
• neues Datenschutzgesetz
• Bemerkungen zum neuen Datenschutzgesetz
• Datenschutzerklärung von Yuh und Gecko-Compliance
• Rücksprache mit ehemaligen Mitarbeitern zum Thema
• Rücksprache mit Noah betreffend Verwendung von Github

Offene Punkte:

• Da ich die Produkte und Prozesse sowie internen Richtlinien von DFX noch zu wenig kenne, fiel es mir nicht leicht die Datenschutzerklärung auszugestalten. Entsprechend müssten die betroffenen Sparten etwas genauer überprüft werden. 
• Ergänzt: "Zweck der Datenverarbeitung" : Sind die aufgeführten Zwecke aus der Sicht von DFX vollständig und korrekt? 
• Ergänzt: "Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen" : Verpflichtung DFX zu entsprechenden Massnahmen. i.O.? Sind solche Massnahmen existent? 
• Ergänzt: "Verzeichnis von Verarbeitungsprozessen". Ein solches muss gem. meinem Verständnis des revDSG geführt werden. Haben wir ein solches? 
• Ergänzt: "Profiling und automatisierte Entscheidungsfindung". Stimmt Aussage dazu in der Erklärung? 
• Ergänzt: "Speicherdauer": Ich habe sämtliche Speicherdauern (je nach Thema) auf einen Blick zusammengefasst - teilweise waren diese bereits in Unterkategorien vorhanden, teilweise nicht, weshalb ich mich entschieden habe, eine Übersicht zu erstellen. i.O.? oder lieber beim jeweiligen Thema integrieren?
• Datenweitergabe ins Ausland:

1. Gemäss meinem Verständnis werden sämtliche Anfragen, welche sich auf Datenweitergabe ins Ausland beziehen über ALL-INKL. abgewickelt. Entsprechend müsste All-INKL das DSGVO (für Europa) umsetzen. Kann davon ausgegangen werden? Prüfen? Ggfs. wäre eine Anmerkung dazu nicht verkehrt (Transparenz).
2. Text meines Erachtens nicht ganz klar: Datenbezug nur für DE? Oder sämtlichen EU - Raum oder gar ausserhalb EU?Ggfs. präziser formulieren. --> Aktuelle Formulierung: "werden in diesen Drittstaat" übertragen. Welches ist genau "dieser" Drittstaat? 

Kommentar: (kosteneffiziente) Automatisierung der Datenschutzerklärung
Ein ehemaliger Arbeitskollege, welcher heute Selbständig im Bereich Crypto-Compliance arbeitet, hat mir privacybee.ch zwecks automatischer Erstellung und Aktualisierung von Datenschutzerklärungen auf der eigenen Webseite empfohlen. Leider kenne ich die technischen Anforderungen nicht, und habe auch keine weitere Instruktion zur Prüfung, aber vielleicht weckt der Input dein Interesse. 

Link zur Webseite von Gecko-Compliance / Datenschutzerklärung (als Referenz für die Nutzung des Services von privacybee.ch):https://geckocompliance.ch/privacy-policy/

Link zur Webseite von privacybee.ch https://www.privacybee.io/ch/Kurz: Kosten pro Jahr CHF 36. Service: Automatisch und verlässlich generiert. Wird alle 8 Wochen automatisiert überprüft und aktualisiert. 

Bei Fragen stehe ich Dir gerne zur Verfügung. 

Lieber Gruss
Kevin

[NoahPay]

Erster Review: Ich habe erstmal nur das reviewt, was du im Dokument bearbeitet hast. Die Extra-Kommentare von dir habe ich noch nicht angeschaut.

[NoahPay]

• immer schweizerdeutsche Rechtschreibung verwenden, also ohne "ß".

Das ist auch weiter unten mehrmals der Fall, deshalb am besten einfach alle "ß" im Dokument durch "ss" austauschen.

[kevinhahner]

Ok, danke fürs Feedback. DONE

[NoahPay]

Ich würde hier nur die Beispiele anführen die DFX auch tatsächlich verarbeitet.

Sowas wie z. B. beim Punkt "Nutzungsdaten" --> "besuchte Seiten" wird meines Wissens nach nicht z. B. durch Cookies auf der Webseite eingesammelt. Falls ich richtig liege, würde ich den Punkt dort auch nicht aufnehmen.

[kevinhahner]

Pendent zur Abklärung mit Yannick

[NoahPay]

Prima, wenn dieser Punkt und der Punkt mit dem Verzeichnis geklärt ist, dann passt aus meiner Sicht alles.

Gib gerne in unserer gemeinsamen Gruppe auf Telegram Bescheid sobald du final fertig bist, damit Cyrill den Pull Request (ggf. nochmal prüft und dann anschliessend) akzeptieren kann.

Gruppenname auf Telegram ist "DFX Datenschutzbestimmungen".

[kevinhahner]

Ok, danke für die Rückmeldung.

[NoahPay]

Konnte dir Yannick hier weiterhelfen bzw. hast du die Änderungen vorgenommen?

[kevinhahner]

Rückmeldung von Yannick: Grundsätzlich komplett. Es könnten noch weitere Dokumente als Beispiele hinzugefügt werden, allerdings sind die wichtigsten Punkte und Beispiele vorhanden (2 habe ich noch ergänzt). Ich bin mit Yannick dennoch so verblieben, dass Cyrill die Punkte noch kurz durchschaut und bestätigt.

[kevinhahner]

@TaprootFreak : Bitte die Liste gemäss meinem Kommentar von heute auf Vollständigkeit und Korrektheit prüfen. Danke.

[NoahPay]

Beim Wort "Support" auf https://app.dfx.swiss/support verlinken

[kevinhahner]

DONE

[NoahPay]

Zweiter Review: Kevins Extra-Kommentare habe ich jetzt in meinen Review inkludiert.

Offener Punkt:

Die Bewertungen zu https://www.privacybee.io/ch/ sind meiner Meinung nach ziemlich gut. Eine finale Entscheidung ob wir das kaufen wollen liegt allerdings bei Cyrill.

[NoahPay]

Mir ist ein solches Verzeichnis nicht bekannt, aber müsste man noch prüfen wer für sowas aktuell zuständig ist bzw. wäre, falls wir es einführen wollen.

[kevinhahner]

Gemäss meinem Verständnis haben wir keine Wahl, ob wir dies machen möchten oder nicht. Nachfolgend der Artikel aus dem aktualisierten Datenschutzgesetz:

Artikel 12 revDSG (Rechenschaftspflicht): Verantwortliche müssen nachweisen können, dass sie die gesetzlichen Datenschutzanforderungen einhalten. Das Verzeichnis der Verarbeitungstätigkeiten ist ein wichtiges Instrument, um diese Rechenschaftspflicht zu erfüllen.

Ein Detailbeschrieb zu den Anforderungen findet sich in der entsprechenden Datenschutzverordnung (Art. 5 Abs. 1 DSV)

Gemäss meiner Einschätzung wäre es sinnvoll das Verzeichnis vor dem Audit zu erstellen.

[NoahPay]

Okay, dann kannst du das gerne mit Cyrill absprechen wie das in Zukunft gehandhabt werden soll mit dem Verzeichnis

[NoahPay]

Hier kann man transparenzhalber hinzufügen dass all-inkl die DSGVO umsetzt.

Quelle: https://all-inkl.com/datenschutzinformationen/

[kevinhahner]

Ok, danke, DONE