2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
5. Rev.
Stand
3.0
Definition „personenbezogene Daten“ in Art. 4 Nr. 1
DSGVO:
„Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
„Als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem
oder mehreren besonderen Merkmalen identifiziert werden
kann […].“
Einführung
5
6. Rev.
Stand
3.0
ErwGr. 30 DSGVO:
„Natürlichen Personen werden unter Umständen Online-
Kennungen wie IP-Adressen und Cookie-Kennungen
[…] oder sonstige Kennungen wie
Funkfrequenzkennzeichnungen zugeordnet. Dies kann
Spuren hinterlassen, die insbesondere in Kombination mit
eindeutigen Kennungen und anderen beim Server
eingehenden Informationen dazu benutzt werden können,
um Profile der natürlichen Personen zu erstellen und sie zu
identifizieren.“
Einführung
6
7. Rev.
Stand
3.0
EuGH, Urteil v. 19.10.2016, Az. C-582/14
IP-Adressen sind personenbezogene Daten
statisch & dynamisch
Einführung
7
8. Rev.
Stand
3.0
Online und / oder offline?
ErwGr. 15 DSGVO:
„Um ein ernsthaftes Risiko […] zu vermeiden, sollte der
Schutz natürlicher Personen technologieneutral sein und
nicht von den verwendeten Techniken abhängen.“
Fazit: Regelungen der DSGVO gelten grdsl. auch für
Online-Verarbeitung von personenbezogenen Daten.
Einführung
8
11. Rev.
Stand
3.0
DSGVO-Pflichtinformationen für alle
Verarbeitungstätigkeiten online + offline
d.h. jede nicht nur rein private Internetpräsenz muss u.a.
auch eine Datenschutzerklärung bereitstellen, unabhängig
vom konkreten Medium
Webpräsenzen von Behörden & Unternehmen nie „rein
privat“
Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung
für Website, Webshop, Blog, Social Media, App…
Pflichtinformationen
11
12. Rev.
Stand
3.0
Rechtsgrundlage: Informationspflichten aus Art. 13, 14
DSGVO
Art. 13, wenn Daten bei betroffener Person erhoben
werden
Art. 14, wenn Daten über Dritte erhoben werden
Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO
einschlägig
kaum Unterschiede zwischen beiden Vorschriften
Pflichtinformationen
12
13. Rev.
Stand
3.0
Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
Namen und Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zweck(e) der Datenverarbeitung
Rechtsgrundlage(n) der Datenverarbeitung
ggf. berechtigte Interessen, die vom Verantwortlichen oder
einem Dritten verfolgt werden
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Datenübermittlung an ein Drittland oder
eine internationale Organisation
Pflichtinformationen
13
14. Rev.
Stand
3.0
Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die
Kriterien für die Festlegung dieser Dauer)
Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung,
Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder
vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich
ist
Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung
hätte
Hinweis auf (Nicht-) Bestehen einer automatisierten
Entscheidungsfindung und ggf. aussagekräftige Informationen über die
involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung
ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
Pflichtinformationen
14
15. Rev.
Stand
3.0
Beispiel: Hinweis auf Beschwerderecht
„Sie haben das Recht, sich bei der für uns zuständigen
Aufsichtsbehörde zu beschweren.“
„Sie haben das Recht, sich bei einer Aufsichtsbehörde zu
beschweren, z.B. bei der für uns zuständigen
Aufsichtsbehörde: …“
Pflichtinformationen
15
19. Rev.
Stand
3.0
Umsetzung der Informationspflichten in die Praxis
div. Online-Generatoren verfügbar, z.T. kostenfrei
auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in
Form einer sich selbst aktualisierenden
Datenschutzerklärung
rechtssichere Gestaltung durch spezialisierten
Rechtsanwalt (konkrete Rechtsberatung)
Beachte: Online-Generatoren i.d.R. nur
„Orientierungshilfen“ und gerade keine konkrete
Rechtsberatung
Ergänzende Pflichtinformationen
19
20. Rev.
Stand
3.0
Voraussetzungen für den Einsatz von Google Analytics & Co.
Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben
werden (z.B. Funktion „anonymizeIP“ bei Google)
Hinweis auf Widerspruchsmöglichkeit
Beschreibung auf Funktionsweise der Software in
Datenschutzerklärung
Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw.
gemeinsame Verantwortlichkeit
ggf. Altdaten / bestehenden Account löschen
Hinweis: Einsatz von Google Analytics & Facebook Custom
Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht
rechtskonform möglich
Ergänzende Pflichtinformationen
20
21. Rev.
Stand
3.0
EuGH, „Planet49“-Urteil v. 01.10.2019, Az. C-673/17
Einwilligung abhängig von der Art der eingesetzten
Cookies (o.ä. Technologien, wie z.B. localStorage)
techn. nicht notwendige Cookies: Einwilligung z.B. über
Opt-In-Funktion in Cookie-Banner
techn. notwendige Cookies: keine Einwilligung
erforderlich (Rechtsgrundlage z.B. Vertragserfüllung oder
berechtigtes Interesse)
Ergänzende Pflichtinformationen
21
22. Rev.
Stand
3.0
Ergänzende Pflichtinformationen
22
(wohl) tech. notwendige Cookies
für…
(wohl) nicht techn. notwendige
Cookies für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von
Zahlungsdienstleistern
Social Plugins
Opt-out-Option
Live-Chats / Messenger
Speicherung der Zustimmung /
Ablehnung von Cookies
23. Rev.
Stand
3.0
Checkliste Cookie-Banner
echte Opt-In-Lösung
keine vorausgefüllten Checkboxen
echte Wahlmöglichkeit, z.B. durch zusätzliche Option „Nein“,
„Abbrechen“ o.ä.
kein übermäßiges „Nudging“ (z.B. durch voreingestellte
Aktivierung von Marketing-Cookies)
ausreichende Informationen über Cookies
sprechender Link auf Datenschutzerklärung
Beschreibung aller Cookies in Datenschutzerklärung
ideal: Differenzierung nach Cookie-Arten
kein Verdecken von Rechtstexten (Impressum,
Datenschutzerklärung…)
Sonderproblem: Einsatz von US-Tools
Ergänzende Pflichtinformationen
23
24. Rev.
Stand
3.0
Einsatz von US-Tools?
Übermittlung von personenbezogenen Daten an Dritte nur unter
bestimmten Voraussetzungen zulässig, insbesondere bei
Datenübermittlung in „unsichere Drittstaaten“
Drittstaaten mit Angemessenheitsbeschluss der EU-
Kommission z.B.
Kanada
Schweiz
Japan
Argentinien
USA
bislang war Privacy Shield als spezieller
Angemessenheitsbeschluss zwingende Voraussetzung für
Datenübermittlung in die USA
Ergänzende Pflichtinformationen
24
25. Rev.
Stand
3.0
EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18:
„Der Durchführungsbeschluss (EU) 2016/1250 der
Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates
über die Angemessenheit des vom EU-US-
Datenschutzschild gebotenen Schutzes ist ungültig.“
keine Übergangs- oder Schonfrist
EuGH fordert zusätzliche Garantien, z.B. für
Rechtsstaatlichkeit & Rechtsschutzmöglichkeiten
Ergänzende Pflichtinformationen
25
26. Rev.
Stand
3.0
mögliche Alternativen (Art. 49 DSGVO), z.B.
EU-Standarddatenschutzklauseln (grdsl. möglich, aber
praktisch kaum umsetzbar)*
Einwilligung (schwierig, zudem jederzeit widerrufbar)
erforderlich zur Erfüllung eines Vertrages
wichtige Gründe des öffentl. Interesses
Schutz lebenswichtiger Interessen
*Neufassung in Arbeit
Ergänzende Pflichtinformationen
26
27. Rev.
Stand
3.0
Europäische Datenschutzausschuss (EDSA) – „Empfehlungen
Drittlandtransfer“:
Bestandsaufnahme aller Datenübermittlungen
Ermittlung der Rechtsgrundlage(n) für die Übermittlung
Prüfung, ob geeignete Garantien vorliegen
EU/EWR?
Staat mit Angemessenheitsbeschluss?
Standarddatenschutzklauseln (SCC)?
zusätzl. TOMs
z.B. Verschlüsselung von Backup-Daten in der Cloud
z.B. vertragl. Vereinbarungen bei Klardaten (strittig)
regelmäßige Prüfung / Neubewertung
Ergänzende Pflichtinformationen
27
29. Rev.
Stand
3.0
Wie muss der Menüpunkt gestaltet werden?
allg. Vorgaben in Art. 12 DSGVO
Form:
präzise
transparent
verständlich
leicht zugänglich
Sprache:
klar
einfach
Menüpunkt
29
30. Rev.
Stand
3.0
Menüpunkt Datenschutzerklärung – Best Practice:
Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“
oder „Datenschutzhinweise“)
Leicht auffindbar (Platzierung in der Hauptnavigation oder
im Site-Footer / -Header)
Von jeder einzelnen Unterseite aus erreichbar
Beachte: Menüpunkte wie „Impressum“ oder auch
„Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht
verdeckt werden!
Menüpunkt
30
31. Rev.
Stand
3.0
Darstellungsmöglichkeiten online
Responsive Design (Pflicht!)
„Stufige Darstellung“, d.h. mehrstufige Darstellung der
Inhalte
„Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen,
aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt,
HTML5‐Befehle <details> und <summary>)
Ergänzende Verwendung von erläuternden Bildsymbolen
Menüpunkt
31
33. Rev.
Stand
3.0
EuGH, Urteil vom 05.06.2018, Az. C-210/16
Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber
„gemeinsam Verantwortliche“ i.S.v.
Art. 26 DSGVO („joint controllership“)
kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)
Vertrag über gemeinsame Verantwortlichkeit abschließen
(falls möglich)
bislang stellt nur Facebook Vereinbarung gem. Art. 26
DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich
des Verantwortlichen“)
Social Media
33
34. Rev.
Stand
3.0
Betrieb eines Social-Media-Accounts – Best Practice:
Menüpunkt „Datenschutz“ anlegen
falls möglich: statt kompletter Pflichtinhalte eher „sprechenden
Link“ auf die Datenschutzerklärung der eigenen Website
angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)
Beschreibung der Datenverarbeitung in den sozialen Medien in
der Website-Datenschutzerklärung (soweit bekannt)
Hinweis, dass Website-Datenschutzerklärung auch für Social-
Media-Profile gilt
Verlinkung auf die Datenschutzhinweise des / der genutzten
sozialen Netzwerke
Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt.
nur bei Facebook möglich, zu finden unter:
www.facebook.com/legal/terms/page_controller_addendum)
Social Media
34
35. Rev.
Stand
3.0
Was gilt bei Einbindung von Social Plugins?
sog. Social Plugins, z.B.
„Like“-Button (Facebook)
„Tweet“-Button (Twitter)
„Share“-Button (LinkedIn)
„x“-Button (Xing)
Social Media
35
36. Rev.
Stand
3.0
Einbindung in eigene Website wegen Übertragung u.a. der
IP-Adresse datenschutzrechtlich problematisch
Fazit: Social Plugins niemals „einfach so“ einbinden,
sondern „2-Klick-Lösung“ o.ä. Technik verwenden
Social Media
36
37. Rev.
Stand
3.0
Einbindung von Social Plugins – Best Practice:
Einsatz einer „2-Klick-Lösung“ o.ä. Technik
Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in
Datenschutzerklärung
Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise
Verlages oder spezieller Add-ons für CMS
Social Media
37