Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Datenverarbeitung durch Dritte

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Datenverarbeitung durch Dritte

  1. 1. Rev. Stand 3.0 15. Juni 2021, 10.00 – 11.30 Uhr Webinar Datenverarbeitung durch Dritte Inhaltlicher Stand: 31.05.2021 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 3
  4. 4. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 4
  5. 5. Rev. Stand 3.0 Einführung 5 verantwortliche Stelle E-Mail-Hoster Google Analytics IT-Dienstleister Cloud-Dienst Social Plugins Werbeagentur Post Hausbank Web-Hoster
  6. 6. Rev. Stand 3.0  Auftragsverarbeitung (AV)?  in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a. auch „Auftragsverarbeiter“: „Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Einführung 6
  7. 7. Rev. Stand 3.0  Auftragsverarbeiter sind unabhängig von Organisationsform, Größe, Mitarbeiteranzahle, Branche etc. zu bewerten  Voraussetzung: Weisungsgebundenheit des Beauftragten Einführung 7
  8. 8. Rev. Stand 3.0  Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO) zur Abgrenzung ebenfalls wichtig: „Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“ Einführung 8
  9. 9. Rev. Stand 3.0  um über Zwecke bzw. Mittel entscheiden zu können, muss ein tatsächlicher oder rechtlicher Einfluss auf die Entscheidung bzgl. der Datenverarbeitung bestehen  daher sind z.B.  Betriebsarzt,  DSB,  weisungsabhängige Dienstleister,  Gleichstellungs- oder Geldwäschebeauftragte  Betriebs- / Personalrat  keine Verantwortlichen Einführung 9
  10. 10. Rev. Stand 3.0  Betriebsrätemodernisierungsgesetz*  -> § 79a BetrVG-neu:  „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personen-bezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“  * noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021) Einführung 10
  11. 11. Rev. Stand 3.0  Regelungen bzgl. AV-Verhältnis u.a. zu  Form des AV-Vertrages  Inhalten des AV-Vertrages  Vorgaben bzgl. Datensicherheit (TOMs)  Details zu evtl. Unterauftragsverhältnissen  aber: DSGVO regelt nicht, wann ein AV-Verhältnis vorliegt bzw. wann nicht Einführung 11
  12. 12. Rev. Stand 3.0  nur „sichere“ Auftragsverarbeiter  Art. 28 Abs. 1 DSGVO:  „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“  „Hinreichende Garantien“ ggf. auch durch genehmigte Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar) Einführung 12
  13. 13. Rev. Stand 3.0  Unterauftragnehmer nur mit Zustimmung  Art. 28 Abs. 2 S. 1, 2 DSGVO:  „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“  mögliche Haftung des Auftragsverarbeiters nicht nur für eigene Fehler, sondern auch für Fehler von Unterauftragnehmern ggü. verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO) Einführung 13
  14. 14. Rev. Stand 3.0  Mitwirkungs- / Hinweispflicht  u.a. Art. 28 Abs. 3 S. 3 DSGVO:  „Mit Blick auf [die Unterstützung beim Nachweis der Einhaltung der DSGVO] informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.“ Einführung 14
  15. 15. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 15
  16. 16. Rev. Stand 3.0  Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?  Art. 28 Abs. 3 S. 2 lit. a):  „Dieser Vertrag […] sieht insbesondere vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“  -> Weisungsbefugnis des Auftraggebers ggü. Dienstleister  -> keine eigenen Interessen des Dienstleisters an den verarbeiteten pb Daten  -> aber: Dienstleister darf im AV-Verhältnis über Mittel der Verarbeitung (mit-) entscheiden AV vs. gemeins. Verantwortung 16
  17. 17. Rev. Stand 3.0  Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):  „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“  sog. Joint Controllership (JC) AV vs. gemeins. Verantwortung 17
  18. 18. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 18 gemeinsame Verantwortlichkeit (Art. 26 DSGVO) AV-Verhältnis (Art. 28 DSGVO) getrennte Verantwortlichkeit wenn über Zwecke und Mittel der Verarbeitung gemeinsam entschieden wird Auftraggeber entscheidet alleine über Zwecke und Mittel der Verarbeitung jeweils eigenständige Entscheidung über Zwecke und Mittel der Verarbeitung beide verfolgen mit der Datenverarbeitung jeweils eigene Interessen Auftragnehmer als „verlängerte Arm“ bzw. „ausführendes Organ“ des Auftraggebers; keine eigenen Interessen des Auftragnehmers jeweils eigene Interessen, die unabhängig vom anderen bestehen bzw. erreicht werden können Ausmaß der Entscheidungs- möglichkeit bzw. Zugang zu den Daten irrelevant „Mittel der Datenverarbeitung“ nicht nur im techn. oder organisat. Sinne zu verstehen, sondern v.a. als Zugriffsrecht etc. i.d.R. eher zufällige Konstellation
  19. 19. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 19 keine Möglichkeit der Kenntnisnahme der Daten durch AV (z.B. per Anonymisierung)? AV-Verhältnis? wirksamer AV-Vertrag? Datenverarbeitung in Deutschland? Datenverarbeitung innerhalb EU / EWR? zulässige Datenverarbeitung in Drittland? Checkliste Auftragsverarbeitung
  20. 20. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 20 Checkliste Auftragsverarbeitung – Verarbeitung in Drittland anerkanntes Schutzniveau? Zertifizierung durch EU-US-Privacy-Shield (USA)? Verwendung der EU-Standardvertragsklauseln? Vorliegen von (genehmigten) Binding Corporate Rules (BCR)? für Vertragserfüllung erforderlich? Einwilligung der Betroffenen? zusätzliche Garantien?
  21. 21. Rev. Stand 3.0  Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):  Andorra  Argentinien  Kanada  Schweiz  Färöer-Inseln  Guernsey  Israel  Isle of Man  Jersey  Neuseeland  Uruguay  Japan  demnächst: Republik Korea  USA (Privacy Shield) AV vs. gemeins. Verantwortung 21
  22. 22. Rev. Stand 3.0  erwartungsgemäß: EuGH kippt den „EU-US-Privacy- Shield“  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“ (EuGH, Urt. v. 16.07.2020, Az. C-311/18) AV vs. gemeins. Verantwortung 22
  23. 23. Rev. Stand 3.0  mögliche Alternativen:  EU-Standardvertragsklauseln (neue Fassung geplant)  Einwilligung (schwierig, zudem jederzeit widerrufbar)  Art. 49 (restriktiv auszulegen)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  … AV vs. gemeins. Verantwortung 23
  24. 24. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 24
  25. 25. Rev. Stand 3.0  Wann liegt ein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Typische AV-Verhältnisse 25
  26. 26. Rev. Stand 3.0  typische AV-Verhältnisse (1/2):  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister Typische AV-Verhältnisse 26
  27. 27. Rev. Stand 3.0  typische AV-Verhältnisse (2/2):  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGB V)  ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten Typische AV-Verhältnisse 27
  28. 28. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 28
  29. 29. Rev. Stand 3.0  Wann liegt kein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Regelmäßig keine AV-Verhältn. 29
  30. 30. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (1/5):  Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker…)  Inkassobüros mit Forderungsübertragung  Bankinstitute für den Geldtransfer  Postdienste für den Brief- oder Pakettransport  Tätigkeit als Verwalter z.B. für Eigentumswohnungen Regelmäßig keine AV-Verhältn. 30
  31. 31. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (2/5):  Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit)  Fälle beauftragter Warenzusendung (z.B. durch Blumen- oder Weinhändler, Hersteller…)  Insolvenzverwalter  Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern  Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer…) Regelmäßig keine AV-Verhältn. 31
  32. 32. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (3/5):  TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1…)  Versicherungs- oder Finanzmakler bzw. -vermittler im Rahmen des Kundenvertrags  Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen  Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel  Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten / Kunden Regelmäßig keine AV-Verhältn. 32
  33. 33. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (4/5):  Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag)  Zahlungsdienstleister für elektronische Zahlungen  von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.  vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten  Sachverständige zur Begutachtung eines Kfz-Schadens  Personenbeförderung / Krankentransportleistungen Regelmäßig keine AV-Verhältn. 33
  34. 34. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (5/5):  Bewachungsdienstleistungen  Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen  Reinigung von Berufskleidung (mit Namensschildern)  Druck von Prospekten, Katalogen etc. (mit Bildern von Beschäftigten oder Fotomodellen)  Aber: Abgrenzung zu Lettershops!  Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger  Übersetzung von Texten in/aus Fremdsprachen Regelmäßig keine AV-Verhältn. 34
  35. 35. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 35
  36. 36. Rev. Stand 3.0  Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):  „Der Vertrag [...] ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“  nach allg. Auffassung ist auch der Abschluss des AV- Vertrages in elektr. Form zulässig (Website, App…) Der AV- / JC-Vertrag 36
  37. 37. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [1/2]:  Gegenstand, Dauer, Art & Zweck der Verarbeitung  Art der personenbezogenen Daten  Kategorien der Betroffenen  Rechte & Pflichten des Verantwortlichen  AV darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu verpflichtet ist  AV gewährleistet, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen  AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der Datenverarbeitung (vgl. Art. 32 DSGVO) Der AV- / JC-Vertrag 37
  38. 38. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [2/2)]:  AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters ein  AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen  AV unterstützt Verantwortlichen unter Berücksichtigung der Art der Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten (z.B. zur DSFA)  nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst AV Löschung bzw. Rückgabe aller Daten nach Wahl des Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht)  AV stellt Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht Überprüfungen, die vom Verantwortlichen durchgeführt werden Der AV- / JC-Vertrag 38
  39. 39. Rev. Stand 3.0  Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?  nach früherer Rechtslage waren TOM integraler Bestandteil des AV-Vertrages  TOMs werden heute i.d.R. als Anlage beigefügt  gem. DSGVO keine Pflicht zur Integration der TOM im AV- Vertrag  je sensibler oder umfangreicher die Daten sind, die per AV verarbeitet werden sollen, desto eher sollten die TOMs beschrieben und in den AV-Vertrag aufgenommen werden Der AV- / JC-Vertrag 39
  40. 40. Rev. Stand 3.0  Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?  Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber zuzulassen -> Pflicht im Vertrag zu regeln  kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein müssen  ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc. möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung gewünscht wird, können angemessene Kosten ggü. Auftraggeber geltend gemacht werden (allerdings darf dabei kein Gewinn gemacht werden, es geht nur um die Kosten, die tatsächlich für die Prüfung vor Ort entstehen)  Ausnahme: wenn Anzeichen für Rechtsverletzungen, Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung durch Auftraggeber möglich sein Der AV- / JC-Vertrag 40
  41. 41. Rev. Stand 3.0  Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!  jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden  dieses Verarbeitungsverzeichnis enthält Folgendes:  den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist  den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des Auftragsverarbeiters  den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten  die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Dokumentierung geeigneter Garantien  wenn möglich, eine allg. Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO Der AV- / JC-Vertrag 41
  42. 42. Rev. Stand 3.0  Form des JC-Vertrages?  es existieren keine Formvorgaben  Abfassung in Schriftform, elektronisch oder auch „per Handschlag“ möglich  aber: „Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2 S. 2) Der AV- / JC-Vertrag 42
  43. 43. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [1/2]  „Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2) Der AV- / JC-Vertrag 43
  44. 44. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [2/2]  „In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1 S. 3)  „Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1) Der AV- / JC-Vertrag 44
  45. 45. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 45
  46. 46. Rev. Stand 3.0  EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:  Gemeinsame Verantwortlichkeit von Facebook & Fanpage- Betreiber bzw. Nutzer von Social Plugins  Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage- Betreiber, aber auch auf andere soziale Netzwerke übertragbar  Auswirkungen auf die Praxis? Social Media 46
  47. 47. Rev. Stand 3.0  Betrieb von Social-Media-Accounts:  Abschluss eines Vertrages über gemeinsame Verantwortlichkeit (sog. Joint Controllership gem. Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich  Datenschutzerklärung für Social-Media-Account  Anpassung der Website-Datenschutzerklärung  Verweis von Social-Media-Accounts auf Website  per sprechendem Link (z.B. „Datenschutzerklärung: www.xyz.de/datenschutz“ o.ä.)  „Rückverweis“ auf soziale Medien Social Media 47
  48. 48. Rev. Stand 3.0 Social Media 48 Facebook Twitter LinkedIn Youtube Xing …
  49. 49. Rev. Stand 3.0  Einsatz sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 49
  50. 50. Rev. Stand 3.0  Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in der Praxis noch nicht abschließend jur. bewertet  der sog. „Düsseldorfer Kreis“ hat am 08.12.2011 beschlossen, dass jedenfalls die Einbindung von Social Plugins ohne „2-Klick-Lösung“ rechtswidrig ist  u.a. der Heise Verlag bietet eine eigene techn. Lösung dafür (c‘t Shariff), auch Erweiterungen für div. CMS- Systeme erhältlich  z.B. Cookie-Banner, der auch Social Plugins umfasst Social Media 50
  51. 51. Rev. Stand 3.0  Einsatz „2-Klick-Lösung“  Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung + Hinweis auf gemeinsame Verantwortlichkeit Social Media 51

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×