2. Rev.Stand3.0
Rechtsanwalt Michael Rohrlich
zugelassen als Rechtsanwalt seit 03/2003
Kanzleisitz in Würselen (Nähe Aachen)
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor seit 1997 / Buchautor seit 2005
Dozent seit 1998
Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012
Dozent
2
6. Rev.Stand3.0
Definition „personenbezogene Daten“ in Art. 4 Nr. 1
DSGVO:
„Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
„Als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem
oder mehreren besonderen Merkmalen identifiziert werden
kann […].“
Einführung
6
7. Rev.Stand3.0
Datenschutzrecht einschlägig, wenn Daten mit
Personenbezug verarbeitet werden (online + offline)
„Personenbezogene Daten“ sehr weitgehend zu
verstehen, nur reine Unternehmens-, Statistik- oder
Maschinendaten sind ausgenommen
Online-Kennung?
Einführung
7
8. Rev.Stand3.0
ErwGr. 30 DSGVO:
„Natürlichen Personen werden unter Umständen Online-
Kennungen wie IP-Adressen und Cookie-Kennungen
[…] oder sonstige Kennungen wie
Funkfrequenzkennzeichnungen zugeordnet. Dies kann
Spuren hinterlassen, die insbesondere in Kombination mit
eindeutigen Kennungen und anderen beim Server
eingehenden Informationen dazu benutzt werden können,
um Profile der natürlichen Personen zu erstellen und sie zu
identifizieren.“
Einführung
8
11. Rev.Stand3.0
Online und / oder offline?
ErwGr. 15 DSGVO:
„Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz
natürlicher Personen technologieneutral sein und nicht von den
verwendeten Techniken abhängen.“
Änderungen durch die zukünftige E-Privacy-VO?
Fazit: Regelungen der DSGVO gelten grdsl. auch für Online-
Verarbeitung von personenbezogenen Daten.
Einführung
11
12. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
12
13. Rev.Stand3.0
DSGVO-Pflichtinformationen für alle
Verarbeitungstätigkeiten online + offline
d.h. jede nicht nur rein private Internetpräsenz muss u.a.
auch eine Datenschutzerklärung bereitstellen, unabhängig
vom konkreten Medium
Webpräsenzen von Behörden nie „rein privat“
Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung
für Website, Blog, Social Media, App…
Pflichtinformationen
13
14. Rev.Stand3.0
Rechtsgrundlage: Informationspflichten aus Art. 13, 14
DSGVO
Art. 13 DSGVO, wenn Daten bei betroffener Person
erhoben werden
Art. 14 DSGVO, wenn Daten über Dritte erhoben
werden
Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO
einschlägig
kaum Unterschiede zwischen beiden Vorschriften
Pflichtinformationen
14
15. Rev.Stand3.0
Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
Namen und Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zweck(e) der Datenverarbeitung
Rechtsgrundlage(n) der Datenverarbeitung
ggf. berechtigte Interessen, die vom Verantwortlichen oder
einem Dritten verfolgt werden
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Datenübermittlung an ein Drittland oder
eine internationale Organisation
Pflichtinformationen
15
16. Rev.Stand3.0
Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die
Kriterien für die Festlegung dieser Dauer)
Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung,
Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder
vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich
ist
Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung
hätte
Hinweis auf (Nicht-) Bestehen einer automatisierten
Entscheidungsfindung und ggf. aussagekräftige Informationen über die
involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung
ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
Pflichtinformationen
16
17. Rev.Stand3.0
Beispiel: Hinweis auf Beschwerderecht
„Sie haben das Recht, sich bei der für uns zuständigen
Aufsichtsbehörde zu beschweren.“
„Sie haben das Recht, sich bei einer Aufsichtsbehörde zu
beschweren, z.B. bei der für uns zuständigen
Aufsichtsbehörde: …“
Pflichtinformationen
17
18. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
18
21. Rev.Stand3.0
Umsetzung der Informationspflichten in die Praxis
div. Online-Generatoren verfügbar, z.T. kostenfrei
auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in
Form einer sich selbst aktualisierenden
Datenschutzerklärung
rechtssichere Gestaltung durch spezialisierten
Rechtsanwalt (konkrete Rechtsberatung)
Beachte: Online-Generatoren i.d.R. nur
„Orientierungshilfen“ und gerade keine konkrete
Rechtsberatung
Ergänzende Pflichtinformationen
21
22. Rev.Stand3.0
Cookie-Layer-Pflicht?
gem. EuGH + DSK: auf jeden Fall
Opt-in-Variante für solche Cookies, die für den Betrieb der
Website techn. nicht erforderlich sind
Ergänzende Pflichtinformationen
22
23. Rev.Stand3.0
Ergänzende Pflichtinformationen
23
(wohl) tech. notwendige Cookies
für…
(wohl) nicht techn. notwendige
Cookies für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von
Zahlungsdienstleistern
Social Plugins
Opt-out-Option
Live-Chats / Messenger
Speicherung der Zustimmung /
Ablehnung von Cookies
24. Rev.Stand3.0
Exkurs: Voraussetzungen für den Einsatz von Google Analytics &
Co.
Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben
werden (z.B. Funktion „anonymizeIP“ bei Google)
Hinweis auf Widerspruchsmöglichkeit
Beschreibung auf Funktionsweise der Software in
Datenschutzerklärung
Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw.
gemeinsame Verantwortlichkeit
ggf. Altdaten / bestehenden Account löschen
Hinweis: Einsatz von Google Analytics & Facebook Custom
Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht
rechtskonform möglich
Ergänzende Pflichtinformationen
24
25. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
25
26. Rev.Stand3.0
Wie muss der Menüpunkt gestaltet werden?
allg. Vorgaben in Art. 12 DSGVO
Form:
präzise
transparent
verständlich
leicht zugänglich
Sprache:
klar
einfach
Menüpunkt
26
27. Rev.Stand3.0
Menüpunkt Datenschutzerklärung – Best Practice:
Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“
oder „Datenschutzhinweise“)
Leicht auffindbar (Platzierung in der Hauptnavigation oder
im Site-Footer / -Header)
Von jeder einzelnen Unterseite aus erreichbar
Beachte: Menüpunkte wie „Impressum“ oder auch
„Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht
verdeckt werden!
Menüpunkt
27
28. Rev.Stand3.0
Darstellungsmöglichkeiten online
Responsive Design (Pflicht!)
„Stufige Darstellung“, d.h. mehrstufige Darstellung der
Inhalte
„Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen,
aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt,
HTML5‐Befehle <details> und <summary>)
Ergänzende Verwendung von erläuternden Bildsymbolen
Menüpunkt
28
29. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
29
30. Rev.Stand3.0
gem. EuGH sind Netzwerkbetreiber (Facebook & Co.) und
Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v.
Art. 26 DSGVO („joint controllership“)
kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)
Vertrag über gemeinsame Verantwortlichkeit abschließen
(falls möglich)
bislang stellt nur Facebook Vereinbarung gem. Art. 26
DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich
des Verantwortlichen“)
Social Media
30
31. Rev.Stand3.0
Betrieb eines Social-Media-Accounts – Best Practice:
Menüpunkt „Datenschutz“ anlegen
falls möglich: statt kompletter Pflichtinhalte eher „sprechenden
Link“ auf die Datenschutzerklärung der eigenen Website
angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)
Beschreibung der Datenverarbeitung in den sozialen Medien in
der Website-Datenschutzerklärung (soweit bekannt)
Hinweis, dass Website-Datenschutzerklärung auch für Social-
Media-Profile gilt
Verlinkung auf die Datenschutzhinweise des / der genutzten
sozialen Netzwerke
Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt.
nur bei Facebook möglich, zu finden unter:
www.facebook.com/legal/terms/page_controller_addendum)
Social Media
31
32. Rev.Stand3.0
Was gilt bei Einbindung von Social Plugins?
sog. Social Plugins, z.B.
„Like“-Button (Facebook)
„Tweet“-Button (Twitter)
„Share“-Button (LinkedIn)
„x“-Button (Xing)
Social Media
32
33. Rev.Stand3.0
Einbindung in eigene Website wegen Übertragung u.a. der
IP-Adresse datenschutzrechtlich problematisch
Fazit: Social Plugins niemals „einfach so“ einbinden,
sondern „2-Klick-Lösung“ o.ä. Technik verwenden
Social Media
33
34. Rev.Stand3.0
Einbindung von Social Plugins – Best Practice:
Einsatz einer „2-Klick-Lösung“ o.ä. Technik
Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in
Datenschutzerklärung
Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise
Verlages oder spezieller Add-ons für CMS
Social Media
34