2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
3. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
3
4. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
4
6. Rev.
Stand
3.0
Auftragsverarbeitung (AV)?
in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a.
auch „Auftragsverarbeiter“:
„Auftragsverarbeiter ist eine natürliche oder juristische
Person, Behörde, Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet.“
Einführung
6
7. Rev.
Stand
3.0
Auftragsverarbeiter sind unabhängig von
Organisationsform, Größe, Mitarbeiteranzahle, Branche
etc. zu bewerten
Voraussetzung: Weisungsgebundenheit des Beauftragten
Einführung
7
8. Rev.
Stand
3.0
Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO)
zur Abgrenzung ebenfalls wichtig:
„Verantwortlicher ist eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die allein oder
gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet
[…]“
Einführung
8
9. Rev.
Stand
3.0
um über Zwecke bzw. Mittel entscheiden zu können, muss
ein tatsächlicher oder rechtlicher Einfluss auf die
Entscheidung bzgl. der Datenverarbeitung bestehen
daher sind z.B.
Betriebsarzt,
DSB,
weisungsabhängige Dienstleister,
Gleichstellungs- oder Geldwäschebeauftragte
Betriebs- / Personalrat
keine Verantwortlichen
Einführung
9
10. Rev.
Stand
3.0
Betriebsrätemodernisierungsgesetz*
-> § 79a BetrVG-neu:
„Bei der Verarbeitung personenbezogener Daten hat der
Betriebsrat die Vorschriften über den Datenschutz
einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner
Zuständigkeit liegenden Aufgaben personen-bezogene Daten
verarbeitet, ist der Arbeitgeber der für die Verarbeitung
Verantwortliche im Sinne der datenschutzrechtlichen
Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich
gegenseitig bei der Einhaltung der datenschutzrechtlichen
Vorschriften.“
* noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021)
Einführung
10
11. Rev.
Stand
3.0
Regelungen bzgl. AV-Verhältnis u.a. zu
Form des AV-Vertrages
Inhalten des AV-Vertrages
Vorgaben bzgl. Datensicherheit (TOMs)
Details zu evtl. Unterauftragsverhältnissen
aber: DSGVO regelt nicht, wann ein AV-Verhältnis
vorliegt bzw. wann nicht
Einführung
11
12. Rev.
Stand
3.0
nur „sichere“ Auftragsverarbeiter
Art. 28 Abs. 1 DSGVO:
„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
Garantien dafür bieten, dass geeignete technische und
organisatorische Maßnahmen so durchgeführt werden, dass die
Verarbeitung im Einklang mit den Anforderungen dieser
Verordnung erfolgt und den Schutz der Rechte der betroffenen
Person gewährleistet.“
„Hinreichende Garantien“ ggf. auch durch genehmigte
Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren
gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar)
Einführung
12
13. Rev.
Stand
3.0
Unterauftragnehmer nur mit Zustimmung
Art. 28 Abs. 2 S. 1, 2 DSGVO:
„Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
ohne vorherige gesonderte oder allgemeine schriftliche
Genehmigung des Verantwortlichen in Anspruch.
Im Fall einer allgemeinen schriftlichen Genehmigung informiert der
Auftragsverarbeiter den Verantwortlichen immer über jede
beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die
Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche
die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu
erheben.“
mögliche Haftung des Auftragsverarbeiters nicht nur für eigene
Fehler, sondern auch für Fehler von Unterauftragnehmern ggü.
verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO)
Einführung
13
14. Rev.
Stand
3.0
Mitwirkungs- / Hinweispflicht
u.a. Art. 28 Abs. 3 S. 3 DSGVO:
„Mit Blick auf [die Unterstützung beim Nachweis der
Einhaltung der DSGVO] informiert der Auftragsverarbeiter
den Verantwortlichen unverzüglich, falls er der Auffassung
ist, dass eine Weisung gegen diese Verordnung oder gegen
andere Datenschutzbestimmungen der Union oder der
Mitgliedstaaten verstößt.“
Einführung
14
15. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
15
16. Rev.
Stand
3.0
Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?
Art. 28 Abs. 3 S. 2 lit. a):
„Dieser Vertrag […] sieht insbesondere vor, dass der
Auftragsverarbeiter die personenbezogenen Daten nur auf
dokumentierte Weisung des Verantwortlichen […] verarbeitet“
-> Weisungsbefugnis des Auftraggebers ggü. Dienstleister
-> keine eigenen Interessen des Dienstleisters an den
verarbeiteten pb Daten
-> aber: Dienstleister darf im AV-Verhältnis über Mittel der
Verarbeitung (mit-) entscheiden
AV vs. gemeins. Verantwortung
16
17. Rev.
Stand
3.0
Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):
„Legen zwei oder mehr Verantwortliche gemeinsam die
Zwecke der und die Mittel zur Verarbeitung fest, so sind
sie gemeinsam Verantwortliche.“
sog. Joint Controllership (JC)
AV vs. gemeins. Verantwortung
17
18. Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
18
gemeinsame
Verantwortlichkeit
(Art. 26 DSGVO)
AV-Verhältnis
(Art. 28 DSGVO)
getrennte
Verantwortlichkeit
wenn über Zwecke und Mittel
der Verarbeitung gemeinsam
entschieden wird
Auftraggeber entscheidet
alleine über Zwecke und
Mittel der Verarbeitung
jeweils eigenständige
Entscheidung über Zwecke
und Mittel der Verarbeitung
beide verfolgen mit der
Datenverarbeitung jeweils
eigene Interessen
Auftragnehmer als
„verlängerte Arm“ bzw.
„ausführendes Organ“ des
Auftraggebers; keine eigenen
Interessen des
Auftragnehmers
jeweils eigene Interessen,
die unabhängig vom anderen
bestehen bzw. erreicht
werden können
Ausmaß der Entscheidungs-
möglichkeit bzw. Zugang zu
den Daten irrelevant
„Mittel der Datenverarbeitung“
nicht nur im techn. oder
organisat. Sinne zu
verstehen, sondern v.a. als
Zugriffsrecht etc.
i.d.R. eher zufällige
Konstellation
19. Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
19
keine Möglichkeit der Kenntnisnahme der Daten
durch AV (z.B. per Anonymisierung)?
AV-Verhältnis?
wirksamer AV-Vertrag?
Datenverarbeitung in Deutschland?
Datenverarbeitung innerhalb EU / EWR?
zulässige Datenverarbeitung in Drittland?
Checkliste Auftragsverarbeitung
20. Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
20
Checkliste Auftragsverarbeitung – Verarbeitung in Drittland
anerkanntes Schutzniveau?
Zertifizierung durch EU-US-Privacy-Shield
(USA)?
Verwendung der EU-Standardvertragsklauseln?
Vorliegen von (genehmigten) Binding Corporate
Rules (BCR)?
für Vertragserfüllung erforderlich?
Einwilligung der Betroffenen?
zusätzliche Garantien?
21. Rev.
Stand
3.0
Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):
Andorra
Argentinien
Kanada
Schweiz
Färöer-Inseln
Guernsey
Israel
Isle of Man
Jersey
Neuseeland
Uruguay
Japan
demnächst: Republik Korea
USA (Privacy Shield)
AV vs. gemeins. Verantwortung
21
22. Rev.
Stand
3.0
erwartungsgemäß: EuGH kippt den „EU-US-Privacy-
Shield“
„Der Durchführungsbeschluss (EU) 2016/1250 der
Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates
über die Angemessenheit des vom EU-US-
Datenschutzschild gebotenen Schutzes ist ungültig.“
(EuGH, Urt. v. 16.07.2020, Az. C-311/18)
AV vs. gemeins. Verantwortung
22
23. Rev.
Stand
3.0
mögliche Alternativen:
EU-Standardvertragsklauseln (neue Fassung geplant)
Einwilligung (schwierig, zudem jederzeit widerrufbar)
Art. 49 (restriktiv auszulegen)
erforderlich zur Erfüllung eines Vertrages
wichtige Gründe des öffentl. Interesses
Schutz lebenswichtiger Interessen
…
AV vs. gemeins. Verantwortung
23
24. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
24
25. Rev.
Stand
3.0
Wann liegt ein AV-Verhältnis vor?
Problem: keine Anhaltspunkte in der DSGVO oder im BDSG
wichtig: Abgrenzung zur gemeinsamen oder getrennten
Verantwortlichkeit
Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA,
DSK, LfDI Baden-Württemberg
Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder
des BayLDA
Typische AV-Verhältnisse
25
26. Rev.
Stand
3.0
typische AV-Verhältnisse (1/2):
DV-technische Arbeiten für Lohn- und Gehaltsabrechnung
Outsourcing mittels Cloud-Computing
Werbeadressenverarbeitung in sog. Lettershop
Verarbeitung von Kundendaten durch Callcenter (ohne
wesentliche eigene Entscheidungsspielräume)
Auslagerung der E-Mail-Verwaltung oder von sonstigen
Datendiensten zu Webseiten (z.B. Betreuung von
Kontaktformularen oder Nutzeranfragen)
Datenerfassung, Datenkonvertierung oder Einscannen von
Dokumenten
Auslagerung der Backup-Sicherheitsspeicherung und anderer
Archivierungen
Datenträgerentsorgung durch Dienstleister
Typische AV-Verhältnisse
26
27. Rev.
Stand
3.0
typische AV-Verhältnisse (2/2):
Prüfung oder Wartung (z.B. Fernwartung, externer Support)
automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff
auf personenbezogene Daten nicht ausgeschlossen werden kann
Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb
eines Konzerns, wie Dienstreisen-Planungen oder
Reisekostenabrechnungen
Apothekenrechenzentren (§ 300 SGB V)
ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)
Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten
erheben
externe Personen, Dienstleister usw., die im Auftrag Messwerte in
Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)
Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die
Beschäftigtendaten erhalten
Typische AV-Verhältnisse
27
28. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
28
29. Rev.
Stand
3.0
Wann liegt kein AV-Verhältnis vor?
Problem: keine Anhaltspunkte in der DSGVO oder im BDSG
wichtig: Abgrenzung zur gemeinsamen oder getrennten
Verantwortlichkeit
Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA,
DSK, LfDI Baden-Württemberg
Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder
des BayLDA
Regelmäßig keine AV-Verhältn.
29
30. Rev.
Stand
3.0
regelmäßig keine AV-Verhältnisse (1/5):
Tätigkeiten von Berufsgeheimnisträgern (Steuerberater,
Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer,
Ärzte, Apotheker…)
Inkassobüros mit Forderungsübertragung
Bankinstitute für den Geldtransfer
Postdienste für den Brief- oder Pakettransport
Tätigkeit als Verwalter z.B. für Eigentumswohnungen
Regelmäßig keine AV-Verhältn.
30
31. Rev.
Stand
3.0
regelmäßig keine AV-Verhältnisse (2/5):
Detektive (bei ihrer Observierungs-, Überwachungs- oder
Ausforschungstätigkeit)
Fälle beauftragter Warenzusendung (z.B. durch Blumen-
oder Weinhändler, Hersteller…)
Insolvenzverwalter
Personalvermittlung nach Auftrag von Stellensuchenden
oder Arbeitgebern
Internet-Plattformbetreiber zur Vermittlung zwischen
Anbietern und Nachfragern, die sich auf der Plattform
treffen können (z.B. eBay, Amazon, MyHammer…)
Regelmäßig keine AV-Verhältn.
31
32. Rev.
Stand
3.0
regelmäßig keine AV-Verhältnisse (3/5):
TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone,
Telefonica, 1&1…)
Versicherungs- oder Finanzmakler bzw. -vermittler im
Rahmen des Kundenvertrags
Handelsvertreter im Rahmen ihrer Beratungstätigkeit und
Vertragsvermittlungen
Übersendung von Schulungsteilnehmer-Daten zur
Durchführung der Schulung an einen externen Trainer,
Schulungsveranstalter oder an das Tagungshotel
Fertigung individueller medizinischer Produkte,
Hilfsmittel, Prothesen etc. für Patienten / Kunden
Regelmäßig keine AV-Verhältn.
32
33. Rev.
Stand
3.0
regelmäßig keine AV-Verhältnisse (4/5):
Medizinische Labore, Materiallabore usw.
(Materialuntersuchung im Auftrag)
Zahlungsdienstleister für elektronische Zahlungen
von Reisebüros aufgrund Kundenvertrags vermittelte
Leistungsanbieter, wie Hotels, Mietwagenfirmen,
Fluggesellschaften, Busunternehmen, Versicherungen usw.
vom Vermieter beauftragte Handwerker, die dazu die
nötigen Mieterdaten erhalten
Sachverständige zur Begutachtung eines Kfz-Schadens
Personenbeförderung / Krankentransportleistungen
Regelmäßig keine AV-Verhältn.
33
34. Rev.
Stand
3.0
regelmäßig keine AV-Verhältnisse (5/5):
Bewachungsdienstleistungen
Reinigungsdienstleistungen und Handwerkereinsätze in
Unternehmen
Reinigung von Berufskleidung (mit Namensschildern)
Druck von Prospekten, Katalogen etc. (mit Bildern von
Beschäftigten oder Fotomodellen)
Aber: Abgrenzung zu Lettershops!
Transport von Unterlagen und Waren durch Kurierdienste,
Speditionen, Zeitungsausträger
Übersetzung von Texten in/aus Fremdsprachen
Regelmäßig keine AV-Verhältn.
34
35. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
35
36. Rev.
Stand
3.0
Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):
„Der Vertrag [...] ist schriftlich abzufassen, was auch in
einem elektronischen Format erfolgen kann.“
nach allg. Auffassung ist auch der Abschluss des AV-
Vertrages in elektr. Form zulässig (Website, App…)
Der AV- / JC-Vertrag
36
37. Rev.
Stand
3.0
Pflichtinhalte eines AV-Vertrages [1/2]:
Gegenstand, Dauer, Art & Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien der Betroffenen
Rechte & Pflichten des Verantwortlichen
AV darf Daten nur auf dokumentierte Weisung des
Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu
verpflichtet ist
AV gewährleistet, dass sich die zur Datenverarbeitung befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen
AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der
Datenverarbeitung (vgl. Art. 32 DSGVO)
Der AV- / JC-Vertrag
37
38. Rev.
Stand
3.0
Pflichtinhalte eines AV-Vertrages [2/2)]:
AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren
Auftragsverarbeiters ein
AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs
dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung
von Betroffenenrechten nachzukommen
AV unterstützt Verantwortlichen unter Berücksichtigung der Art der
Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der
Einhaltung seiner Pflichten (z.B. zur DSFA)
nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst
AV Löschung bzw. Rückgabe aller Daten nach Wahl des
Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur
Speicherung der Daten besteht)
AV stellt Verantwortlichen alle erforderlichen Informationen zum
Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht
Überprüfungen, die vom Verantwortlichen durchgeführt werden
Der AV- / JC-Vertrag
38
39. Rev.
Stand
3.0
Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?
nach früherer Rechtslage waren TOM integraler Bestandteil des
AV-Vertrages
TOMs werden heute i.d.R. als Anlage beigefügt
gem. DSGVO keine Pflicht zur Integration der TOM im AV-
Vertrag
je sensibler oder umfangreicher die Daten sind, die per AV
verarbeitet werden sollen, desto eher sollten die TOMs
beschrieben und in den AV-Vertrag aufgenommen werden
Der AV- / JC-Vertrag
39
40. Rev.
Stand
3.0
Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?
Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber
zuzulassen -> Pflicht im Vertrag zu regeln
kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein
müssen
ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc.
möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung
gewünscht wird, können angemessene Kosten ggü.
Auftraggeber geltend gemacht werden (allerdings darf dabei kein
Gewinn gemacht werden, es geht nur um die Kosten, die
tatsächlich für die Prüfung vor Ort entstehen)
Ausnahme: wenn Anzeichen für Rechtsverletzungen,
Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung
durch Auftraggeber möglich sein
Der AV- / JC-Vertrag
40
41. Rev.
Stand
3.0
Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!
jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von
Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt
werden
dieses Verarbeitungsverzeichnis enthält Folgendes:
den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes
Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des
Auftragsverarbeiters
den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden
ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an
eine internationale Organisation, einschließlich der Dokumentierung geeigneter
Garantien
wenn möglich, eine allg. Beschreibung der technischen und
organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Der AV- / JC-Vertrag
41
42. Rev.
Stand
3.0
Form des JC-Vertrages?
es existieren keine Formvorgaben
Abfassung in Schriftform, elektronisch oder auch „per
Handschlag“ möglich
aber: „Das wesentliche der Vereinbarung wird der
betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2
S. 2)
Der AV- / JC-Vertrag
42
43. Rev.
Stand
3.0
Pflichtinhalte des JC-Vertrages? [1/2]
„Sie legen in einer Vereinbarung in transparenter Form
fest, wer von ihnen welche Verpflichtung gemäß dieser
Verordnung erfüllt, insbesondere was die Wahrnehmung
der Rechte der betroffenen Person angeht, und wer
welchen Informationspflichten gemäß den Artikeln 13 und
14 nachkommt, sofern und soweit die jeweiligen Aufgaben
der Verantwortlichen nicht durch Rechtsvorschriften der
Union oder der Mitgliedstaaten, denen die Verantwortlichen
unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2)
Der AV- / JC-Vertrag
43
44. Rev.
Stand
3.0
Pflichtinhalte des JC-Vertrages? [2/2]
„In der Vereinbarung kann eine Anlaufstelle für die
betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1
S. 3)
„Die Vereinbarung gemäß Absatz 1 muss die jeweiligen
tatsächlichen Funktionen und Beziehungen der
gemeinsam Verantwortlichen gegenüber betroffenen
Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1)
Der AV- / JC-Vertrag
44
45. Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
45
46. Rev.
Stand
3.0
EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:
Gemeinsame Verantwortlichkeit von Facebook & Fanpage-
Betreiber bzw. Nutzer von Social Plugins
Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage-
Betreiber, aber auch auf andere soziale Netzwerke
übertragbar
Auswirkungen auf die Praxis?
Social Media
46
47. Rev.
Stand
3.0
Betrieb von Social-Media-Accounts:
Abschluss eines Vertrages über gemeinsame
Verantwortlichkeit (sog. Joint Controllership gem.
Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich
Datenschutzerklärung für Social-Media-Account
Anpassung der Website-Datenschutzerklärung
Verweis von Social-Media-Accounts auf Website
per sprechendem Link (z.B. „Datenschutzerklärung:
www.xyz.de/datenschutz“ o.ä.)
„Rückverweis“ auf soziale Medien
Social Media
47
49. Rev.
Stand
3.0
Einsatz sog. Social Plugins, z.B.
„Like“-Button (Facebook)
„Tweet“-Button (Twitter)
„Share“-Button (LinkedIn)
„x“-Button (Xing)
Social Media
49
50. Rev.
Stand
3.0
Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in
der Praxis noch nicht abschließend jur. bewertet
der sog. „Düsseldorfer Kreis“ hat am 08.12.2011
beschlossen, dass jedenfalls die Einbindung von Social
Plugins ohne „2-Klick-Lösung“ rechtswidrig ist
u.a. der Heise Verlag bietet eine eigene techn. Lösung
dafür (c‘t Shariff), auch Erweiterungen für div. CMS-
Systeme erhältlich
z.B. Cookie-Banner, der auch Social Plugins umfasst
Social Media
50
51. Rev.
Stand
3.0
Einsatz „2-Klick-Lösung“
Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick
des Nutzers
Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
ausdrücklicher Hinweis auf Social Plugins in
Datenschutzerklärung + Hinweis auf gemeinsame
Verantwortlichkeit
Social Media
51