2. 2
Datenschutz - Gesetzliche Grundlagen
Typische Datenschutzprobleme bei Websites
EU Deutschland
Verfassung Art. 7,8 GrundrechteCharta
Art. 16 Abs. 1 AEUV
Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
Ab 25. Mai 2018 Datenschutz-
Grundverordnung (VO
2016/679)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU
WebJustiz.de
3. 3
➢ Verbot mit Erlaubnisvorbehalt
➢ Datenverarbeitung ist verboten, solange sie nicht ausdrücklich erlaubt wird.
Datenschutz - Hauptprinzipien
Typische Datenschutzprobleme bei Websites
Datensparsamkeit und Datenvermeidung
Erforderlichkeit
Zweckbindung
WebJustiz.de
4. 4
➢ Zweck des Datenschutzes:
Schutz des Einzelnen
➢ vor einer Beeinträchtigung in seinem Persönlichkeitsrecht
➢ durch den Umgang mit seinen personenbezogenen Daten.
Datenschutz – Zweck des Datenschutzes
Typische Datenschutzprobleme bei Websites WebJustiz.de
5. 5
➢ Daten
➢ Einzelangaben
= Angaben über
➢ persönliche oder
➢ sachliche Verhältnisse
➢ über eine natürliche Person
➢ entweder über
➢ eine bestimmte Person oder
➢ eine bestimmbare Person
Datenschutz – Geschützte Daten
Typische Datenschutzprobleme bei Websites WebJustiz.de
6. 6
➢ Geschützt sind alle personenbezogenen Daten
➢ Personenbezogen =
➢ Zuordnung zu (natürlicher) Person kann zumindest mittelbar erfolgen
➢ Personenbeziehbarkeit reicht aus
➢ Auch Daten, über die sich ein Personenbezug herstellen lässt:
➢ Rentenversicherungsnummer, Kfz-Kennzeichen, Kontonummer, Matrikelnummer
➢ i.d.R.: IP-Adressen, eMail-Adressen
Datenschutz – Geschützte Daten
Typische Datenschutzprobleme bei Websites WebJustiz.de
7. 7
➢ Geschützt sind alle personenbezogenen Daten
➢ Besonders schutzbedürftig:
“besondere Arten personenbezogener Daten”
➢ Gesundheitsdaten
➢ Informationen zur rassischen oder ethnischen Herkunft,
➢ Informationen zur politischen, religiösen, gewerkschaftlichen oder
sexuellen Orientierung.
Datenschutz – Bes. schutzbedürftige Daten
Typische Datenschutzprobleme bei Websites WebJustiz.de
8. 8
Unsere Themen für heute:
I. Datenschutzerklärung
II. Bilder im Internet
III. Datenschutz in sozialen Netzwerken
IV. Datentransfer in Drittstaaten / EU-US Privacy Shield
V. Auftragsdatenverarbeitung
VI. Wartungsarbeiten durch Dienstleister
Datenschutz – Aktuelle Fragen
Typische Datenschutzprobleme bei Websites WebJustiz.de
10. 10
➢ Recht auf Anonymität (§ 13 TMG)
➡ soweit technisch möglich und zumutbar
➡ betroffen sind alle personenbezogenen Daten
▶ incl. IP-Adresse
➡ problematisch z.B. beim Tracking
▶ Besucheranalyse
▶ Werbung
➡ Datenerhebung und -speicherung bedarf entweder
▶ gesetzlicher Erlaubnis oder
▶ Einwilligung
Datenschutzerklärung - Grundlagen
Typische Datenschutzprobleme bei Websites WebJustiz.de
11. 11
➢ In Deutschland gilt Informationslösung für Websites (§ 13 Abs. 1 TMG)
➡wichtig: gilt nur für den “normalen” Webseitenbesuch.
➡ Bei weitergehenden Angeboten bedarf es ausdrücklicher Einwilligung.
➢ Zusätzlich bei externer Datenverarbeitung:
➡ schriftlicher Vertrag über die Auftragsdatenverarbeitung!
➡ z.B. bei Google Analytics, fremde AdServer…
Datenschutzerklärung – “Informationslösung”
Typische Datenschutzprobleme bei Websites WebJustiz.de
12. 12
➢ Website-Betreiber muss die Besucher unterrichten, § 13 Abs. 1 TMG:
➢ Inhalt: Datenschutzerklärung muss informieren über
➡ Erhebung personenbezogener Daten,
▶ Art, Umfang und Zweck
▶ Verwendung dieser Daten,
➡ Datenverarbeitung in Ländern außerhalb der EU bzw. des EWR
➡ Ggfs. zusätzliche Angaben zu
▶ Widerspruchsmöglichkeit
beim Einsatz von Tracking-Mitteln
➢ Besuchertracking, Werbung
▶ Möglichkeit anonymer oder pseudonymer Nutzung.
Datenschutzerklärung – Inhalt
Typische Datenschutzprobleme bei Websites WebJustiz.de
13. 13
➢ Website-Betreiber muss die Besucher unterrichten, § 13 Abs. 1 TMG:
➢ Form: Information muss erfolgen
▶ in allgemein verständlicher Form und
▶ zu Beginn des Nutzungsvorgangs
Datenschutzerklärung – Form
Typische Datenschutzprobleme bei Websites WebJustiz.de
14. 14
➢Umfang der Informationspflicht richtet sich nach der jeweiligen Website:
➡Datenerhebung durch den Websitebetreiber:
▶ Logfiles des Webservers
▶ Besucherstatistiken (Besondere Anforderungen z.B. bei Google Analytics)
▶ Kontaktformulare und Kommentarfunktion (IP-Adresse, eMail-Angabe)
➡Einbindung sozialer Netzwerke
▶ Die Betreiber bieten teilweise (unbrauchbare) Mustererklärungen
▶ Dynamische Einbindung ist i.d.R. nicht datenschutzkonform lösbar!
➡Datenerhebung bei Werbung:
▶ Problem: Tracking durch die Werbenetzwerke
▶ Die jeweiligen Anbieter bieten meist Mustererklärungen.
➢ In jedem Fall: Hinweis auf Auskunftsanspruch
Datenschutzerklärung – Merkposten
Typische Datenschutzprobleme bei Websites WebJustiz.de
15. 15
②
Bilder im Internet
…war halt doch ein schönes Fest…
Datenschutz
Typische Datenschutzprobleme bei Websites WebJustiz.de
16. 16
➢ Grundsatz: nur mit Einwilligung des Abgebildeten
➢ doppelte Einwilligung erforderlich:
➢ Einwilligung in das Fotografieren und
➢ Einwilligung in die Veröffentlichung
➢ Nicht erforderlich ist eine Einwilligung zur Veröffentlichung auf der
konkreten Plattform.
➢ Form der Einwilligung
➢ ausdrücklich (“Darf ich fotografieren?”) oder
➢ konkludent (durch schlüssiges Handeln)
➢ “Ich sehe, dass ich fotografiert werde und lächle”
➢ z.B. die entsprechenden Hinweise auf Barcamps
Bilder im Internet - Einwilligungsgrundsatz
Typische Datenschutzprobleme bei Websites WebJustiz.de
17. 17
➢ Ausnahme vom Einwilligungserfordernis:
➢ Personen der (relativen oder absoluten) Zeitgeschichte
➢ Personen als Beiwerk einer Landschaft oder Örtlichkeit
➢ Bilder von Versammlungen, Aufzügen o.ä.
➢ höheres Interesse der Kunst (soweit keine Auftragsfertigung)
➢ Gegenausnahme:
➢ Verletzung berechtigter Interessen des Abgebildeten
➢ z.B. wg. automatischer Identifizierung
➢ z.B. bei weltweiter Zugänglichkeit
Bilder im Internet – ohne Einwilligung
Typische Datenschutzprobleme bei Websites WebJustiz.de
19. 19
➢ Aktuelle Problemfelder:
➢ Umfassende Aufzeichnung von Bewegungen im Internet
➢ Umfangreiche Profilbildung
➢ Genauer Umfang der Datenspeicherung unbekannt
➢ i.d.R. US-Anbieter mit nur eingeschränkten Datenschutzniveau
➢ Integrationsangebote der Netzwerke
➢ i.d.R. nicht datenschutzkonform möglich!
➢ “Recht auf Vergessenwerden”
Datenschutz in sozialen Netzwerken
Typische Datenschutzprobleme bei Websites WebJustiz.de
21. 21
➢ Einheitliches Datenschutzniveau innerhalb von EU/EWR
➢ Datentransfer in Staaten außerhalb von EU/EWR
➢ Drittstaaten mit angemessenem Datenschutzniveau
➢ erfordert einen entsprechenden Beschluss der EU-Kommission
➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay
➢ eingeschränkt: Kanada, Israel
➢ Übrige Drittstaaten:
➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel)
➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden)
➢ Einwilligung des Betroffenen (nach umfassender Information)
➢ Sonderfall: Datentransfer in die USA
➢ zusätzlich: EU-US Privacy Shield
Datentransfer in Drittstaaten
Typische Datenschutzprobleme bei Websites WebJustiz.de
22. 22
➢ Soll einen Datenaustausch mit US-Firmen ermöglichen
➢ “quasi wie unter EU-Unternehmen”
➢ Ersatz für “Safe Harbour”
➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”)
➢ Nur für Datenübermittlung an bestimmte US-Firmen:
➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt.
➢ Selbstverpflichtung / Selbstzertifizierung
➢ Keine intensive Kontrolle durch US-Administratition oder EU
➢ Teilnehmende Firmen: www.privacyshield.gov
EU-US Privacy Shield
Typische Datenschutzprobleme bei Websites WebJustiz.de
23. 23
➢ Probleme des EU-US Privacy-Shield:
➢ kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU
➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft
➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft
➢ Überprüfungsfrist für EU-Kommission endete Juli 2017
➢ EU-Parlament fordert Nachbesserung / Beendigung
➢ EU-Justizkommissarin droht mit Beendigung, wenn
keine signifikante Änderungen erfolgen
EU-US Privacy Shield - Probleme
Typische Datenschutzprobleme bei Websites WebJustiz.de
25. 25
➢ Auftragsdatenverarbeitung =
➢ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢ durch einen Auftragsverarbeiter (Auftragnehmer)
➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢ Aufgrund eines schriftlichen Vertrages
➢ ab EU-DSGVO: auch in elektronischer Form möglich
Auftragsdatenverarbeitung - Grundlagen
Typische Datenschutzprobleme bei Websites WebJustiz.de
26. 26
➢ Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢ Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢ Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢ Umfang der Weisungsbefugnis
➢ Vertraulichkeitsverpflichtung
➢ Kontrollrechte
➢ Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen
Typische Datenschutzprobleme bei Websites WebJustiz.de
27. 27
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Muss durch Auftraggeber geführt werden
➢ EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis
Typische Datenschutzprobleme bei Websites WebJustiz.de
28. 28
➢ Grundsatz:
➢ Auftraggeber haftet für Datenschutzverstöße
➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢ Auftragsverarbeiter zum Verantwortlichen
➢ EU-DSGVO
➢ schärfere Haftung auch des Auftragsverarbeiters
Auftragsdatenverarbeitung - Haftung
Typische Datenschutzprobleme bei Websites WebJustiz.de
30. 30
➢ Wartungsarbeiten = Auftragsdatenverarbeitung
➢ auch bei
➢ Prüfung/Wartung mittels automatisierter Verfahren
➢ nur gelegentlicher Fernwartung
➢ Wartung vor Ort
➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢ “Geheimhaltungsvereinbarung”
➢ ist kein Vertrag zur Auftragsdatenvereinbarung!
➢ Rechtslage unter der EU-DSGVO ist noch unklar:
➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister
Typische Datenschutzprobleme bei Websites WebJustiz.de