Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Datenschutz im internet

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Datenschutz im internet

  1. 1. Rev.Stand3.0 29. April 2020, 10.00 – 11.30 Uhr Webinar Datenschutz im Internet Inhaltlicher Stand: 23.04.2020 © RA Michael Rohrlich
  2. 2. Rev.Stand3.0 Rechtsanwalt Michael Rohrlich  zugelassen als Rechtsanwalt seit 03/2003  Kanzleisitz in Würselen (Nähe Aachen)  TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012  Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010  Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019  Fachautor seit 1997 / Buchautor seit 2005  Dozent seit 1998  Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012 Dozent 2
  3. 3. Rev.Stand3.0 Dozent 3
  4. 4. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 4
  5. 5. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 5
  6. 6. Rev.Stand3.0  Definition „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO:  „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: ‚betroffene Person‘) beziehen.“  „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […].“ Einführung 6
  7. 7. Rev.Stand3.0  Datenschutzrecht einschlägig, wenn Daten mit Personenbezug verarbeitet werden (online + offline)  „Personenbezogene Daten“ sehr weitgehend zu verstehen, nur reine Unternehmens-, Statistik- oder Maschinendaten sind ausgenommen  Online-Kennung? Einführung 7
  8. 8. Rev.Stand3.0  ErwGr. 30 DSGVO:  „Natürlichen Personen werden unter Umständen Online- Kennungen wie IP-Adressen und Cookie-Kennungen […] oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“ Einführung 8
  9. 9. Rev.Stand3.0  Beispiele personenbezogener Daten  Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)  Kontaktdaten (Telefonnr., Faxnr., E-Mail etc.)  Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)  allg. äußere Merkmale (Größe, Gewicht, Haar-/ Augenfarbe etc.)  Biometrische Daten (Fingerabdruck, DNA-Probe etc.)  Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)  Fotos (erkennbare Darstellung einer Person)  Kfz-Kennzeichen  IP-Adressen (statisch & dynamisch) Einführung 9
  10. 10. Rev.Stand3.0 Einführung 10 Verarbeiten Erheben, Erfassen Auslesen, Abfragen Verändern, Anpassen, Einschrän- ken Speichern Löschen, Vernichten Ordnen, Organi- sieren Abgleichen, Verknüpfen Offenlegen durch Übermittlung, Verbreitung, Bereitstellung
  11. 11. Rev.Stand3.0  Online und / oder offline?  ErwGr. 15 DSGVO:  „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“  Änderungen durch die zukünftige E-Privacy-VO?  Fazit: Regelungen der DSGVO gelten grdsl. auch für Online- Verarbeitung von personenbezogenen Daten. Einführung 11
  12. 12. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 12
  13. 13. Rev.Stand3.0  DSGVO-Pflichtinformationen für alle Verarbeitungstätigkeiten online + offline  d.h. jede nicht nur rein private Internetpräsenz muss u.a. auch eine Datenschutzerklärung bereitstellen, unabhängig vom konkreten Medium  Webpräsenzen von Behörden nie „rein privat“  Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung für Website, Blog, Social Media, App… Pflichtinformationen 13
  14. 14. Rev.Stand3.0  Rechtsgrundlage: Informationspflichten aus Art. 13, 14 DSGVO  Art. 13 DSGVO, wenn Daten bei betroffener Person erhoben werden  Art. 14 DSGVO, wenn Daten über Dritte erhoben werden  Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO einschlägig  kaum Unterschiede zwischen beiden Vorschriften Pflichtinformationen 14
  15. 15. Rev.Stand3.0  Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:  Namen und Kontaktdaten des Verantwortlichen  Kontaktdaten des Datenschutzbeauftragten  Zweck(e) der Datenverarbeitung  Rechtsgrundlage(n) der Datenverarbeitung  ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden  ggf. Empfänger oder Kategorien von Empfängern  ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale Organisation Pflichtinformationen 15
  16. 16. Rev.Stand3.0  Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:  Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)  Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)  Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist  Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte  Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung  ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO) Pflichtinformationen 16
  17. 17. Rev.Stand3.0  Beispiel: Hinweis auf Beschwerderecht „Sie haben das Recht, sich bei der für uns zuständigen Aufsichtsbehörde zu beschweren.“ „Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, z.B. bei der für uns zuständigen Aufsichtsbehörde: …“ Pflichtinformationen 17  
  18. 18. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 18
  19. 19. Rev.Stand3.0 Ergänzende Pflichtinformationen 19 Allg. Datenschutzhinweise Art. 13, 14 DSGVO Online- Datenschutzerklärung Art. 13, 14 DSGVO Online- Technologien
  20. 20. Rev.Stand3.0  Typische Online-Technologien:  Analyse-Tools (Google, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)  Kontaktformular  Newsletter  Online-Werbung (Google AdWords, Google AdSense…)  Cookies  Social Plugins  WebFonts (Google WebFonts, FontAwesome…)  Einbindung von Fremdinhalten (Youtube, Vimeo, Google Maps…)  Verschlüsselung (SSL-/ TLS-Zertifikat)  Partnerprogramme (Amazon, eBay…)  Stellenausschreibungen / Online-Bewerberverfahren  Gewinnspiele  Meinungsumfragen  Chat-Tools / Chat-Bots  Login / Kundenbereich  usw. usw. Ergänzende Pflichtinformationen 20
  21. 21. Rev.Stand3.0  Umsetzung der Informationspflichten in die Praxis  div. Online-Generatoren verfügbar, z.T. kostenfrei  auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in Form einer sich selbst aktualisierenden Datenschutzerklärung  rechtssichere Gestaltung durch spezialisierten Rechtsanwalt (konkrete Rechtsberatung)  Beachte: Online-Generatoren i.d.R. nur „Orientierungshilfen“ und gerade keine konkrete Rechtsberatung Ergänzende Pflichtinformationen 21
  22. 22. Rev.Stand3.0  Cookie-Layer-Pflicht?  gem. EuGH + DSK: auf jeden Fall  Opt-in-Variante für solche Cookies, die für den Betrieb der Website techn. nicht erforderlich sind Ergänzende Pflichtinformationen 22
  23. 23. Rev.Stand3.0 Ergänzende Pflichtinformationen 23  (wohl) tech. notwendige Cookies für…  (wohl) nicht techn. notwendige Cookies für… virtuellen Warenkorb Tracking Spracheinstellungen Web-Analyse Medieninhalte (Flash-Cookies) Retargeting / Remarketing Einbindung von Zahlungsdienstleistern Social Plugins Opt-out-Option Live-Chats / Messenger Speicherung der Zustimmung / Ablehnung von Cookies
  24. 24. Rev.Stand3.0  Exkurs: Voraussetzungen für den Einsatz von Google Analytics & Co.  Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben werden (z.B. Funktion „anonymizeIP“ bei Google)  Hinweis auf Widerspruchsmöglichkeit  Beschreibung auf Funktionsweise der Software in Datenschutzerklärung  Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit  ggf. Altdaten / bestehenden Account löschen  Hinweis: Einsatz von Google Analytics & Facebook Custom Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht rechtskonform möglich Ergänzende Pflichtinformationen 24
  25. 25. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 25
  26. 26. Rev.Stand3.0  Wie muss der Menüpunkt gestaltet werden?  allg. Vorgaben in Art. 12 DSGVO  Form:  präzise  transparent  verständlich  leicht zugänglich  Sprache:  klar  einfach Menüpunkt 26
  27. 27. Rev.Stand3.0  Menüpunkt Datenschutzerklärung – Best Practice:  Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzhinweise“)  Leicht auffindbar (Platzierung in der Hauptnavigation oder im Site-Footer / -Header)  Von jeder einzelnen Unterseite aus erreichbar  Beachte: Menüpunkte wie „Impressum“ oder auch „Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht verdeckt werden! Menüpunkt 27
  28. 28. Rev.Stand3.0  Darstellungsmöglichkeiten online  Responsive Design (Pflicht!)  „Stufige Darstellung“, d.h. mehrstufige Darstellung der Inhalte  „Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen, aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt, HTML5‐Befehle <details> und <summary>)  Ergänzende Verwendung von erläuternden Bildsymbolen Menüpunkt 28
  29. 29. Rev.Stand3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 29
  30. 30. Rev.Stand3.0  gem. EuGH sind Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v. Art. 26 DSGVO („joint controllership“)  kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)  Vertrag über gemeinsame Verantwortlichkeit abschließen (falls möglich)  bislang stellt nur Facebook Vereinbarung gem. Art. 26 DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) Social Media 30
  31. 31. Rev.Stand3.0  Betrieb eines Social-Media-Accounts – Best Practice:  Menüpunkt „Datenschutz“ anlegen  falls möglich: statt kompletter Pflichtinhalte eher „sprechenden Link“ auf die Datenschutzerklärung der eigenen Website angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)  Beschreibung der Datenverarbeitung in den sozialen Medien in der Website-Datenschutzerklärung (soweit bekannt)  Hinweis, dass Website-Datenschutzerklärung auch für Social- Media-Profile gilt  Verlinkung auf die Datenschutzhinweise des / der genutzten sozialen Netzwerke  Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt. nur bei Facebook möglich, zu finden unter: www.facebook.com/legal/terms/page_controller_addendum) Social Media 31
  32. 32. Rev.Stand3.0  Was gilt bei Einbindung von Social Plugins?  sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 32
  33. 33. Rev.Stand3.0  Einbindung in eigene Website wegen Übertragung u.a. der IP-Adresse datenschutzrechtlich problematisch  Fazit: Social Plugins niemals „einfach so“ einbinden, sondern „2-Klick-Lösung“ o.ä. Technik verwenden Social Media 33
  34. 34. Rev.Stand3.0  Einbindung von Social Plugins – Best Practice:  Einsatz einer „2-Klick-Lösung“ o.ä. Technik  Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in Datenschutzerklärung  Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise Verlages oder spezieller Add-ons für CMS Social Media 34
  35. 35. Rev.Stand3.0 noch Fragen? 35

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×