5. 5
Was steht in der DSGVO? (1/2)
• Einwilligung
• Vertragserfüllung
• Erfüllung gesetzlicher Pflichten
• Berechtigtes Interesse
D a t e n v e r a r b e i t u n g b r a u c h t R e c h t s g r u n d l a g e
• Datenschutzerklärung mit Mindestinhalt
D a t e n v e r a r b e i t u n g m u s s t r a n s p a r e n t s e i n
• Auskunftsrecht
• Berichtigung
• Löschungsrecht
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
B e t r o f f e n e P e r s o n e n h a b e n R e c h t e
6. 6
Was steht in der DSGVO? (2/2)
A u f t r a g s v e r a r b e i t u n g ( « O u t s o u r c i n g » ) b r a u c h t Ve r t r a g
• Datenschutzbeauftragter
• Vertreter
• Verarbeitungsverzeichnis
• Technische und Organisatorische Massnahmen (TOMs)
• Datenschutzfolgeabschätzung
• Data Breach Notification
D a t e n v e r a r b e i t u n g b r a u c h t G o v e r n a n c e
• Angemessenes Datenschutzniveau
• Privacy Shield (USA)
• Modellklauseln
Ü b e r t r a g u n g i n D r i t t l ä n d e r b e n ö t i g t A u f m e r k s a m k e i t
• Auftragsverarbeitungsvertrag mit Mindestinhalt
7. 7
Wann gilt die DSGVO für Unternehmen aus
der Schweiz?
D a t e n v e r a r b e i t u n g e i n e r N i e d e r l a s s u n g i n d e r E U
Entscheidend ist die Ausrichtung des Angebots auf Kunden in der EU
D a t e n v e r a r b e i t u n g i m Z u s a m m e n h a n g m i t d e r
L i e f e r u n g v o n Wa r e n o d e r D i e n s t l e i s t u n g e n i n d i e E U
• Cookies
• PlugIns
• Tracking
• Profiling
D a t e n v e r a r b e i t u n g i m Z u s a m m e n h a n g m i t d e r
Ve r h a l t e n s b e o b a c h t u n g v o n P e r s o n e n i n d e r E U
10. 10
Cookies
Te c h n i s c h e C o o k i e s
S t a t i s t i s c h e C o o k i e s
• Tracking
• Personalisierte Werbung
• Remarketing
• Profiling und Persönlichkeitsprofil
W e r b e - C o o k i e s
• Benutzereinstellungen
• Nutzererlebnis
• Sicherheit
• Google Analytics
• Andere Audience Measuring Lösungen
11. 11
Ist es mein Problem?
D a t e n v e r a r b e i t u n g e r f o l g t p r i m ä r v o n G o o g l e , F a c e b o o k , e t c .
E r s t e l l e r d e r W e b s e i t e s e t z t « n u r » d a s C o o k i e .
L ä s s t s i c h d a m i t d i e Ve r a n t w o r t u n g f ü r D a t e n s c h u t z ( v o l l s t ä n d i g ) a u f
G o o g l e , F a c e b o o k , e t c . s c h i e b e n ?
12. 12
Leider ja
H ö c h s t e s e u r o p ä i s c h e s G e r i c h t :
W i r t s c h a f t s a k a d e m i e i s t z u s a m m e n m i t F a c e b o o k f ü r d e n D a t e n s c h u t z
a u f i h r e r F a c e b o o k F a n p a g e v e r a n t w o r t l i c h .
W i e w e i t d i e Ve r a n t w o r t u n g r e i c h t , i s t n i c h t k l a r
( « U m s t ä n d e d e s E i n z e l f a l l s » ) .
G i l t d i e s e s P r i n z i p a u c h f ü r C o o k i e s , d i e a u f d e r
e i g e n e n S e i t e g e s e t z t w e r d e n ?
F a l l m o m e n t a n h ä n g i g ( F a s h i o n I D ) M e i n e P r o g n o s e : J a
13. 13
Welche Rechtsgrundlage für
Cookies?
E i n w i l l i g u n g
B e r e c h t i g t e s I n t e r e s s e
• Freiwillig
• Verständlich und leicht zugänglich
• Klare und einfache Sprache
• Freie Widerrufbarkeit
• Kein Verknüpfung von Erbringung einer Leistung und Einwilligung (Koppelungsverbot)
• Interessenabwägung
• Legitimate Interest Assessment (LIA)
• Technische Schutzmassnahmen verstärken Argumentation zu Gunsten des berechtigten Interesses
16. 16
Risikoabwägung
Falsche
Einwilligung
Keine Verarbeitung
von DSGVO-Daten
Berechtigtes
Interesse:
Statistische Cookies
Berechtigtes
Interesse:
Technische Cookies
Berechtigtes
Interesse:
Werbe-Cookies
Sich keine Gedanken zu
DSGVO-Compliance
machen
Richtige
Einwilligung
W i e w i c h t i g i s t d e r D i e n s t f ü r d a s G e s c h ä f t ?
W i e o f t b e n ö t i g e i c h d e n D i e n s t ?
H a b e i c h i m D i e n s t d a t e n s c h u t z f r e u n d l i c h e E i n s t e l l u n g e n
v o r g e n o m m e n ?
K a n n i c h a u f e i n e n D i e n s t a u s w e i c h e n , d e r d a t e n -
s c h u t z f r e u n d l i c h e r i s t ?
19. 19
WAS SIND COOKIES?
Te x t - D a t e i m i t N a m e , W e r t u n d Z e i t d a u e r
Vo n S e r v e r o d e r C l i e n t e r s t e l l b a r
S e s s i o n C o o k i e s
P e r s i s t e n t e C o o k i e s
C o o k i e s k ö n n e n p e r B r o w s e r
g e l ö s c h t / d e a k t i v i e r t w e r d e n
N o r m a l e r w e i s e w e r d e n k e i n e d i r e k t e n
p e r s ö n l i c h e n D a t e n g e s p e i c h e r t
(z.B. Warenkorb, Login)
(z.B. Facebook, Werbung)
20. 20
GOOGLE ANALYTICS
Ve r t r a g z u r A u f t r a g s v e r a r b e i t u n g
a b s c h l i e s s e n
Tr a c k i n g C o d e a n p a s s e n :
I P A d r e s s e n a n o n y m i s i e r e n
A u f b e w a h r u n g s d a u e r d e r
D a t e n f e s t l e g e n
D a t e n s c h u t z e r k l ä r u n g a n p a s s e n
L ö s c h u n g v o n A l t d a t e n
( f a l l s o h n e I P - A n o n y m i s i e r u n g )
21. 21
GOOGLE ANALYTICS
A l t e r n a t i v e M ö g l i c h k e i t e n
L O G A H O L I C : S e r v e r s e i t i g e s Tr a c k i n g ( k e i n C l i e n t C o o k i e )
P I W I K P R O : g u t e A l t e r n a t i v e z u G o o g l e A n a l y t i c s
22. 22
GOOGLE FONTS
L a u t G o o g l e w e r d e n k e i n e
B e s u c h e r i n f o r m a t i o n e n g e s p e i c h e r t
N u t z e r Tr a c k i n g i s t a b e r i n d e r
T h e o r i e m ö g l i c h
A l t e r n a t i v e M ö g l i c h k e i t e n
F o n t s d o w n l o a d e n u n d a u f e i g e n e n
S e r v e r l a d e n ( l i z e n z f r e i )
F o n t s . c o m D i e n s t n u t z e n
23. 23
GOOGLE MAPS
P r o b l e m : I P A d r e s s e
L ö s u n g s v o r s c h l ä g e
G o o g l e M a p e r s t l a d e n w e n n d e r
U s e r d e n B u t t o n „ K a r t e
a n z e i g e n “ k l i c k t
24. 24
GOOGLE YOUTUBE
L ö s u n g s v o r s c h l a g
V i d e o s ü b e r
w w w. y o u t u b e - n o c o o k i e . c o m
e i n b i n d e n
25. 25
GRUNDSÄTZLICH
P r o b l e m s i n d d i e I P A d r e s s e n : g i l t a l s p e r s ö n l i c h e D a t e n
G o o g l e k a n n d i e I P m i t a n d e r e n p e r s ö n l i c h e n D a t e n v e r k n ü p f e n
O b d a s g e m a c h t w i r d o d e r n i c h t , k a n n m a n n i c h t k o n t r o l l i e r e n
27. 27
Was ist zu tun?
I n E r f a h r u n g b r i n g e n , w e l c h e D i e n s t e a u f d e r W e b s e i t e g e n u t z t w e r d e n
B e s t i m m e n , o b D S G V O a u f u n s e r U n t e r n e h m e n a n w e n d b a r i s t .
R i s i k o a b w ä g u n g d u r c h f ü h r e n u n d R e c h t s g r u n d l a g e b e s t i m m e n
Te c h n i s c h e M a s s n a h m e n e r g r e i f e n
D a t e n s c h u t z e r k l ä r u n g a n p a s s e n
28. 28
Ausblick
C o o k i e s w e r d e n i n Z u k u n f t d u r c h d i e e P r i v a c y Ve r o r d n u n g g e r e g e l t
M o m e n t a n e r E n t w u r f :
• Technische Cookies ohne Einwilligung möglich
• Statistische Cookies («Audience Measuring») ohne Einwilligung möglich
• Werbe-Cookies nur mit Einwilligung, wobei Einwilligung auch in den Browsereinstellungen erteilt werden kann
Wa n n d i e e P r i v a c y Ve r o r d n u n g i n K r a f t t r i t t , s t e h t i n d e n S t e r n e n .
29. 29
Fragen
B r a u c h e i c h e i n e e r n e u t e E i n w i l l i g u n g f ü r N e w s l e t t e r ?
Q u a l i f i z i e r t d e r E i n s a t z v o n Tr a c k i n g D i e n s t e n w i e b s p w.
G o o g l e A n a l y t i c s b e r e i t s a l s Ve r h a l t e n s b e o b a c h t u n g
i S v D S G V O 2 l i t . b ?
I n w i e f e r n w e r d e n m i t d e m E i n s a t z v o n " Tr a c k e r n "
P e r s ö n l i c h k e i t s p r o f i l e g e b i l d e t o d e r P r o f i l i n g b e t r i e b e n ?
G e n ü g t e s , i n d e r D S E d a r a u f h i n z u w e i s e n , d a s s D i e n s t e w i e
G o o g l e A n a l y t i c s o d e r F B P i x e l v e r w e n d e t w e r d e n o d e r m u s s
m e h r g e t a n w e r d e n , u m d a t e n s c h u t z k o n f o r m u n t e r w e g s z u s e i n ?
F ü r w e l c h e F i r m e n g i l t d a s D S G V O n u n g e n a u ? Wa s s i n d d i e
K r i t e r i e n u n d w e l c h e s s i n d d i e " m u s t h a v e " A n p a s s u n g e n
( W e b p a g e & C o . ) ?
DSG: d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt; (Art. 3 lit. d DSG)
DSGVO
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; (Art. 4 Nr. 4 DSGVO)