Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Datenschutz im Internet

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Datenschutz im Internet

  1. 1. Rev. Stand 3.0 12. April 2021, 10.00 – 11.30 Uhr Webinar Datenschutz im Internet Inhaltlicher Stand: 07.04.2021 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 3
  4. 4. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 4
  5. 5. Rev. Stand 3.0  Definition „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO:  „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: ‚betroffene Person‘) beziehen.“  „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […].“ Einführung 5
  6. 6. Rev. Stand 3.0  ErwGr. 30 DSGVO:  „Natürlichen Personen werden unter Umständen Online- Kennungen wie IP-Adressen und Cookie-Kennungen […] oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“ Einführung 6
  7. 7. Rev. Stand 3.0  EuGH, Urteil v. 19.10.2016, Az. C-582/14  IP-Adressen sind personenbezogene Daten  statisch & dynamisch Einführung 7
  8. 8. Rev. Stand 3.0  Online und / oder offline?  ErwGr. 15 DSGVO:  „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“  Fazit: Regelungen der DSGVO gelten grdsl. auch für Online-Verarbeitung von personenbezogenen Daten. Einführung 8
  9. 9. Rev. Stand 3.0  Änderungen / Neuerungen durch…  die E-Privacy-VO?  das TTDSG? Einführung 9
  10. 10. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 10
  11. 11. Rev. Stand 3.0  DSGVO-Pflichtinformationen für alle Verarbeitungstätigkeiten online + offline  d.h. jede nicht nur rein private Internetpräsenz muss u.a. auch eine Datenschutzerklärung bereitstellen, unabhängig vom konkreten Medium  Webpräsenzen von Behörden & Unternehmen nie „rein privat“  Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung für Website, Webshop, Blog, Social Media, App… Pflichtinformationen 11
  12. 12. Rev. Stand 3.0  Rechtsgrundlage: Informationspflichten aus Art. 13, 14 DSGVO  Art. 13, wenn Daten bei betroffener Person erhoben werden  Art. 14, wenn Daten über Dritte erhoben werden  Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO einschlägig  kaum Unterschiede zwischen beiden Vorschriften Pflichtinformationen 12
  13. 13. Rev. Stand 3.0  Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:  Namen und Kontaktdaten des Verantwortlichen  Kontaktdaten des Datenschutzbeauftragten  Zweck(e) der Datenverarbeitung  Rechtsgrundlage(n) der Datenverarbeitung  ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden  ggf. Empfänger oder Kategorien von Empfängern  ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale Organisation Pflichtinformationen 13
  14. 14. Rev. Stand 3.0  Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:  Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)  Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)  Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist  Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte  Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung  ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO) Pflichtinformationen 14
  15. 15. Rev. Stand 3.0  Beispiel: Hinweis auf Beschwerderecht „Sie haben das Recht, sich bei der für uns zuständigen Aufsichtsbehörde zu beschweren.“ „Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, z.B. bei der für uns zuständigen Aufsichtsbehörde: …“ Pflichtinformationen 15  
  16. 16. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 16
  17. 17. Rev. Stand 3.0 Ergänzende Pflichtinformationen 17 Allg. Datenschutzhinweise Art. 13, 14 DSGVO Online- Datenschutzerklärung Art. 13, 14 DSGVO Online- Technologien
  18. 18. Rev. Stand 3.0  Typische Online-Technologien:  Analyse-Tools (Google, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)  Kontaktformular  Newsletter  Online-Werbung (Google Ads…)  Cookies  Social Plugins  WebFonts (Google WebFonts, FontAwesome…)  Einbindung von Fremdinhalten (Youtube, Vimeo, Google Maps…)  Verschlüsselung (SSL-/ TLS-Zertifikat)  Partnerprogramme (Amazon, eBay…)  Stellenausschreibungen / Online-Bewerberverfahren  Gewinnspiele  Meinungsumfragen  Chat-Tools / Chat-Bots  Login / Kundenbereich  usw. usw. Ergänzende Pflichtinformationen 18
  19. 19. Rev. Stand 3.0  Umsetzung der Informationspflichten in die Praxis  div. Online-Generatoren verfügbar, z.T. kostenfrei  auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in Form einer sich selbst aktualisierenden Datenschutzerklärung  rechtssichere Gestaltung durch spezialisierten Rechtsanwalt (konkrete Rechtsberatung)  Beachte: Online-Generatoren i.d.R. nur „Orientierungshilfen“ und gerade keine konkrete Rechtsberatung Ergänzende Pflichtinformationen 19
  20. 20. Rev. Stand 3.0  Voraussetzungen für den Einsatz von Google Analytics & Co.  Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben werden (z.B. Funktion „anonymizeIP“ bei Google)  Hinweis auf Widerspruchsmöglichkeit  Beschreibung auf Funktionsweise der Software in Datenschutzerklärung  Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit  ggf. Altdaten / bestehenden Account löschen  Hinweis: Einsatz von Google Analytics & Facebook Custom Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht rechtskonform möglich Ergänzende Pflichtinformationen 20
  21. 21. Rev. Stand 3.0  EuGH, „Planet49“-Urteil v. 01.10.2019, Az. C-673/17  Einwilligung abhängig von der Art der eingesetzten Cookies (o.ä. Technologien, wie z.B. localStorage)  techn. nicht notwendige Cookies: Einwilligung z.B. über Opt-In-Funktion in Cookie-Banner  techn. notwendige Cookies: keine Einwilligung erforderlich (Rechtsgrundlage z.B. Vertragserfüllung oder berechtigtes Interesse) Ergänzende Pflichtinformationen 21
  22. 22. Rev. Stand 3.0 Ergänzende Pflichtinformationen 22  (wohl) tech. notwendige Cookies für…  (wohl) nicht techn. notwendige Cookies für… virtuellen Warenkorb Tracking Spracheinstellungen Web-Analyse Medieninhalte (Flash-Cookies) Retargeting / Remarketing Einbindung von Zahlungsdienstleistern Social Plugins Opt-out-Option Live-Chats / Messenger Speicherung der Zustimmung / Ablehnung von Cookies
  23. 23. Rev. Stand 3.0  Checkliste Cookie-Banner  echte Opt-In-Lösung  keine vorausgefüllten Checkboxen  echte Wahlmöglichkeit, z.B. durch zusätzliche Option „Nein“, „Abbrechen“ o.ä.  kein übermäßiges „Nudging“ (z.B. durch voreingestellte Aktivierung von Marketing-Cookies)  ausreichende Informationen über Cookies  sprechender Link auf Datenschutzerklärung  Beschreibung aller Cookies in Datenschutzerklärung  ideal: Differenzierung nach Cookie-Arten  kein Verdecken von Rechtstexten (Impressum, Datenschutzerklärung…)  Sonderproblem: Einsatz von US-Tools Ergänzende Pflichtinformationen 23
  24. 24. Rev. Stand 3.0  Einsatz von US-Tools?  Übermittlung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen zulässig, insbesondere bei Datenübermittlung in „unsichere Drittstaaten“  Drittstaaten mit Angemessenheitsbeschluss der EU- Kommission z.B.  Kanada  Schweiz  Japan  Argentinien  USA  bislang war Privacy Shield als spezieller Angemessenheitsbeschluss zwingende Voraussetzung für Datenübermittlung in die USA Ergänzende Pflichtinformationen 24
  25. 25. Rev. Stand 3.0  EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18:  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“  keine Übergangs- oder Schonfrist  EuGH fordert zusätzliche Garantien, z.B. für Rechtsstaatlichkeit & Rechtsschutzmöglichkeiten Ergänzende Pflichtinformationen 25
  26. 26. Rev. Stand 3.0  mögliche Alternativen (Art. 49 DSGVO), z.B.  EU-Standarddatenschutzklauseln (grdsl. möglich, aber praktisch kaum umsetzbar)*  Einwilligung (schwierig, zudem jederzeit widerrufbar)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  *Neufassung in Arbeit Ergänzende Pflichtinformationen 26
  27. 27. Rev. Stand 3.0  Europäische Datenschutzausschuss (EDSA) – „Empfehlungen Drittlandtransfer“:  Bestandsaufnahme aller Datenübermittlungen  Ermittlung der Rechtsgrundlage(n) für die Übermittlung  Prüfung, ob geeignete Garantien vorliegen  EU/EWR?  Staat mit Angemessenheitsbeschluss?  Standarddatenschutzklauseln (SCC)?  zusätzl. TOMs  z.B. Verschlüsselung von Backup-Daten in der Cloud  z.B. vertragl. Vereinbarungen bei Klardaten (strittig)  regelmäßige Prüfung / Neubewertung Ergänzende Pflichtinformationen 27
  28. 28. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 28
  29. 29. Rev. Stand 3.0  Wie muss der Menüpunkt gestaltet werden?  allg. Vorgaben in Art. 12 DSGVO  Form:  präzise  transparent  verständlich  leicht zugänglich  Sprache:  klar  einfach Menüpunkt 29
  30. 30. Rev. Stand 3.0  Menüpunkt Datenschutzerklärung – Best Practice:  Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzhinweise“)  Leicht auffindbar (Platzierung in der Hauptnavigation oder im Site-Footer / -Header)  Von jeder einzelnen Unterseite aus erreichbar  Beachte: Menüpunkte wie „Impressum“ oder auch „Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht verdeckt werden! Menüpunkt 30
  31. 31. Rev. Stand 3.0  Darstellungsmöglichkeiten online  Responsive Design (Pflicht!)  „Stufige Darstellung“, d.h. mehrstufige Darstellung der Inhalte  „Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen, aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt, HTML5‐Befehle <details> und <summary>)  Ergänzende Verwendung von erläuternden Bildsymbolen Menüpunkt 31
  32. 32. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 32
  33. 33. Rev. Stand 3.0  EuGH, Urteil vom 05.06.2018, Az. C-210/16  Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v. Art. 26 DSGVO („joint controllership“)  kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)  Vertrag über gemeinsame Verantwortlichkeit abschließen (falls möglich)  bislang stellt nur Facebook Vereinbarung gem. Art. 26 DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) Social Media 33
  34. 34. Rev. Stand 3.0  Betrieb eines Social-Media-Accounts – Best Practice:  Menüpunkt „Datenschutz“ anlegen  falls möglich: statt kompletter Pflichtinhalte eher „sprechenden Link“ auf die Datenschutzerklärung der eigenen Website angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)  Beschreibung der Datenverarbeitung in den sozialen Medien in der Website-Datenschutzerklärung (soweit bekannt)  Hinweis, dass Website-Datenschutzerklärung auch für Social- Media-Profile gilt  Verlinkung auf die Datenschutzhinweise des / der genutzten sozialen Netzwerke  Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt. nur bei Facebook möglich, zu finden unter: www.facebook.com/legal/terms/page_controller_addendum) Social Media 34
  35. 35. Rev. Stand 3.0  Was gilt bei Einbindung von Social Plugins?  sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 35
  36. 36. Rev. Stand 3.0  Einbindung in eigene Website wegen Übertragung u.a. der IP-Adresse datenschutzrechtlich problematisch  Fazit: Social Plugins niemals „einfach so“ einbinden, sondern „2-Klick-Lösung“ o.ä. Technik verwenden Social Media 36
  37. 37. Rev. Stand 3.0  Einbindung von Social Plugins – Best Practice:  Einsatz einer „2-Klick-Lösung“ o.ä. Technik  Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in Datenschutzerklärung  Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise Verlages oder spezieller Add-ons für CMS Social Media 37

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×