Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Am 23.1. habe ich für die Grüne Wirtschaft im Axis Coworking Loft Linz einen Crashkurs zum Datenschutz gehalten, Bilder sind zB hier zu finden: https://www.facebook.com/media/set/?set=ms.c.eJxFk9uRxTAIQzva4Q3uv7GdoGv5M2dAyKCo2VS6hWSNZ~%3BwpgKsf0Rq5wLzNU0wJAhV9Qcpq2FADFd0PrIZSNGpb3C5o~_BD6iEYFx3aiwn8gejVMrkZmt3k0jWX5V6GaBP0Zi~_CUHogKKwYtF4TYvkUOQX5Tjl~%3BwfX6i~%3BioGLXSqOzbPHRu2G7McAt~_KGYoWRJOvnW~%3BsVLFiQRPE2Fo~%3BBGeNpdLYCYAmgGhQVNeYFn3oGovzwADcxyWsx7NuWGFyhe67MVWCPaUFF~_Tr4wh9uK5G0GmsqDlF46z1w9sGrDt3mnhtUqMUgBq1xmausZzAThmHsK14GTuyFfxfAoExBibPJlkmCHBKprBkx3YoAYLr12nhDMIzlO4p~%3BRyCAHgttRr8CTM2p82WTOTDuORECy9XiKXkA3DKf78ModP6B~%3Bnz2~%3BI~-.bps.a.1228651777235167.1073741842.483650688401950&type=1
Thematisch drehte sich die Veranstaltung natürlich um die kommende DSGVO. Ich darf mich an dieser Stelle auch für den sehr interessanten Abend mit spannenden Fragen bedanken.
Auf den Folien finden Sie Informationen zum Datenschutz derzeit, zur DSGVO, praktische Hinweise und die vorab gestellten Fragen.
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
Update zur EU Datenschutzgrundverordnung (DS-GVO, allgemeine Datenschutzordnung) nach dem Entwurf von Anfang Juni 2015, insbesondere Stand der Gesetzgebung, Beratungsthemen im Datenschutz heute und Beratungsthemen im Datenschutz morgen, wesentliche Änderungen seit dem ersten Entwurf vom Januar 2012
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)
Der 25. Mai ist ein wichtiger Tag für die IT-Abteilungen und Datenschutzbeauftragten vieler Unternehmen – denn dann tritt die EU-Datenschutz-Grundverordnung in Kraft. Das Datenschutzrecht wird damit europaweit umfassend reformiert und harmonisiert.
Die Neuerungen treffen branchenübergreifend alle Unternehmen und Organisationen. Bis zum 25. Mai sollte der Bereich Datenschutz daher von jedem Unternehmen in seiner Gesamtheit überprüft und angepasst werden. Und fast überall müssen bis dahin neue Prozesse geschaffen und existierende Datenschutzerklärungen, Checklisten sowie Vertragsdokumente überarbeitet werden. Ganz besonders trifft dies auch den Mobile-Sektor, da hier mitunter auch besonders umfangreiche und sensible Daten betroffen sein können.
In dieser Session vermittelt Markus Laymann den Teilnehmern die Grundstruktur der EU-Datenschutz-Grundverordnung und zeigt die wichtigsten Änderungen zur bisherigen Gesetzeslage auf.
Unter anderem werden folgende Themen besprochen:
Anwendungsbereich und Grundprinzipien der DSGVO/ Erlaubnistatbestände nach neuem und altem Recht
Datenschutzfolgeabschätzung
Auftragsdatenverarbeitung und Drittstaatentransfers
Neue Ansätze und Werkzeuge (u.a. Recht auf Vergessenwerden, Datenportabilität, Accountability)
Kompetenzen der Aufsichtsbehörden und mögliche Sanktionen
Anpassungsbedarf bei bestehenden Regelungen
Auswirkungen der DSGVO auf Social Media und Anbieter mobiler Dienste.
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
Vortrag am 8.4.2014 auf dem marketing forum hannover im Rahmen der PSI Promotional World 2014. Enthält eine Zusammenfassung der aktuellen Probleme im Datenschutz und Urheberrecht bei der Nutzung von Social Media; Standards (z.B. Impressumspflicht) wurden ausgelassen. Im Mittelpunkt stehen die aktuellen Urteile zur Positionierung der Datenschutzerklärung (LG Frankfurt, 18.2.14 - 3-10 O 86/12), zur AGB-Kontrolle von Datenschutzerklärungen (KG, 24.1.2014 - 5 U 42/12), die Pixelio Entscheidung (LG Köln, 30.1.2014 - 14 O 427/13) und die Creative Commons Entscheidung (LG Köln, 5.3.2014 - 28 O 232/13).
The upcoming General Data Protection Regulation (EU GDPR) will change the requirements for managing consumers’ personal data across the globe. The regulation’s scope is broad and also affects organizations outside of the EU. Striking a balance between meeting the new regulatory requirements and effectively serving customers in the age of Digital Transformation mandates a shift from siloed consumer data management to centralized Customer Identity Management platforms that support the balance between compliance, user consent, and optimizing the customer experience.
In this white paper — commissioned by Gigya from European analyst firm KuppingerCole and prepared by Fellow Analyst Dr. Karsten Kinast and Lead Analyst Ivan Niccolai — you will learn about:
*The history, framework, implementation and scope of the EU GDPR
*Key compliance elements of the EU GDPR
*The implications of the EU GDPR on Customer Identity Management and best-practice recommendations for strategy and implementation
Vortrag von Carsten Ulbricht auf der AllFacebook Marketing Conference 2016 in München.
Mehr Informationen:
http://conference.allfacebook.de/session/facebook-rechtsupdate-2016/
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Thomas Schwenke
Wie wirkt sich die Datenschutzgrundverordnung (DSGVO) auf das Onlinemarketing aus? Was ist beim E-Mailmarketing, Einsatz des Facebook-Pixels, Chatbots und WhatsApp zu beachten? Tipps, Antworten und Checklisten. (Sorry, the Gifs are not working on slideshare)
Ich bin nunmehr - neben meiner Tätigkeit als Rechtsanwalt im IT-Recht - auch für die O.P.P.-Beratungsgruppe GmbH (http://www.opp-beratung.com) als Senior Berater im Bereich Datenschutz tätig. Und im Rahmen dieser Tätigkeit konnte ich für das Unternehmen Nimbusec (https://nimbusec.com/index.html) im Juli und im August 2017 jeweils einen Vortrag zum Thema Datenschutz halten. Es wäre zwei tolle Termine, jeweils am Flugplatz in Wels und beim zweiten Termin sogar inklusive einem Rundflug.
Am 23.1. habe ich für die Grüne Wirtschaft im Axis Coworking Loft Linz einen Crashkurs zum Datenschutz gehalten, Bilder sind zB hier zu finden: https://www.facebook.com/media/set/?set=ms.c.eJxFk9uRxTAIQzva4Q3uv7GdoGv5M2dAyKCo2VS6hWSNZ~%3BwpgKsf0Rq5wLzNU0wJAhV9Qcpq2FADFd0PrIZSNGpb3C5o~_BD6iEYFx3aiwn8gejVMrkZmt3k0jWX5V6GaBP0Zi~_CUHogKKwYtF4TYvkUOQX5Tjl~%3BwfX6i~%3BioGLXSqOzbPHRu2G7McAt~_KGYoWRJOvnW~%3BsVLFiQRPE2Fo~%3BBGeNpdLYCYAmgGhQVNeYFn3oGovzwADcxyWsx7NuWGFyhe67MVWCPaUFF~_Tr4wh9uK5G0GmsqDlF46z1w9sGrDt3mnhtUqMUgBq1xmausZzAThmHsK14GTuyFfxfAoExBibPJlkmCHBKprBkx3YoAYLr12nhDMIzlO4p~%3BRyCAHgttRr8CTM2p82WTOTDuORECy9XiKXkA3DKf78ModP6B~%3Bnz2~%3BI~-.bps.a.1228651777235167.1073741842.483650688401950&type=1
Thematisch drehte sich die Veranstaltung natürlich um die kommende DSGVO. Ich darf mich an dieser Stelle auch für den sehr interessanten Abend mit spannenden Fragen bedanken.
Auf den Folien finden Sie Informationen zum Datenschutz derzeit, zur DSGVO, praktische Hinweise und die vorab gestellten Fragen.
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
Update zur EU Datenschutzgrundverordnung (DS-GVO, allgemeine Datenschutzordnung) nach dem Entwurf von Anfang Juni 2015, insbesondere Stand der Gesetzgebung, Beratungsthemen im Datenschutz heute und Beratungsthemen im Datenschutz morgen, wesentliche Änderungen seit dem ersten Entwurf vom Januar 2012
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)
Der 25. Mai ist ein wichtiger Tag für die IT-Abteilungen und Datenschutzbeauftragten vieler Unternehmen – denn dann tritt die EU-Datenschutz-Grundverordnung in Kraft. Das Datenschutzrecht wird damit europaweit umfassend reformiert und harmonisiert.
Die Neuerungen treffen branchenübergreifend alle Unternehmen und Organisationen. Bis zum 25. Mai sollte der Bereich Datenschutz daher von jedem Unternehmen in seiner Gesamtheit überprüft und angepasst werden. Und fast überall müssen bis dahin neue Prozesse geschaffen und existierende Datenschutzerklärungen, Checklisten sowie Vertragsdokumente überarbeitet werden. Ganz besonders trifft dies auch den Mobile-Sektor, da hier mitunter auch besonders umfangreiche und sensible Daten betroffen sein können.
In dieser Session vermittelt Markus Laymann den Teilnehmern die Grundstruktur der EU-Datenschutz-Grundverordnung und zeigt die wichtigsten Änderungen zur bisherigen Gesetzeslage auf.
Unter anderem werden folgende Themen besprochen:
Anwendungsbereich und Grundprinzipien der DSGVO/ Erlaubnistatbestände nach neuem und altem Recht
Datenschutzfolgeabschätzung
Auftragsdatenverarbeitung und Drittstaatentransfers
Neue Ansätze und Werkzeuge (u.a. Recht auf Vergessenwerden, Datenportabilität, Accountability)
Kompetenzen der Aufsichtsbehörden und mögliche Sanktionen
Anpassungsbedarf bei bestehenden Regelungen
Auswirkungen der DSGVO auf Social Media und Anbieter mobiler Dienste.
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
Vortrag am 8.4.2014 auf dem marketing forum hannover im Rahmen der PSI Promotional World 2014. Enthält eine Zusammenfassung der aktuellen Probleme im Datenschutz und Urheberrecht bei der Nutzung von Social Media; Standards (z.B. Impressumspflicht) wurden ausgelassen. Im Mittelpunkt stehen die aktuellen Urteile zur Positionierung der Datenschutzerklärung (LG Frankfurt, 18.2.14 - 3-10 O 86/12), zur AGB-Kontrolle von Datenschutzerklärungen (KG, 24.1.2014 - 5 U 42/12), die Pixelio Entscheidung (LG Köln, 30.1.2014 - 14 O 427/13) und die Creative Commons Entscheidung (LG Köln, 5.3.2014 - 28 O 232/13).
The upcoming General Data Protection Regulation (EU GDPR) will change the requirements for managing consumers’ personal data across the globe. The regulation’s scope is broad and also affects organizations outside of the EU. Striking a balance between meeting the new regulatory requirements and effectively serving customers in the age of Digital Transformation mandates a shift from siloed consumer data management to centralized Customer Identity Management platforms that support the balance between compliance, user consent, and optimizing the customer experience.
In this white paper — commissioned by Gigya from European analyst firm KuppingerCole and prepared by Fellow Analyst Dr. Karsten Kinast and Lead Analyst Ivan Niccolai — you will learn about:
*The history, framework, implementation and scope of the EU GDPR
*Key compliance elements of the EU GDPR
*The implications of the EU GDPR on Customer Identity Management and best-practice recommendations for strategy and implementation
Vortrag von Carsten Ulbricht auf der AllFacebook Marketing Conference 2016 in München.
Mehr Informationen:
http://conference.allfacebook.de/session/facebook-rechtsupdate-2016/
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Thomas Schwenke
Wie wirkt sich die Datenschutzgrundverordnung (DSGVO) auf das Onlinemarketing aus? Was ist beim E-Mailmarketing, Einsatz des Facebook-Pixels, Chatbots und WhatsApp zu beachten? Tipps, Antworten und Checklisten. (Sorry, the Gifs are not working on slideshare)
Ich bin nunmehr - neben meiner Tätigkeit als Rechtsanwalt im IT-Recht - auch für die O.P.P.-Beratungsgruppe GmbH (http://www.opp-beratung.com) als Senior Berater im Bereich Datenschutz tätig. Und im Rahmen dieser Tätigkeit konnte ich für das Unternehmen Nimbusec (https://nimbusec.com/index.html) im Juli und im August 2017 jeweils einen Vortrag zum Thema Datenschutz halten. Es wäre zwei tolle Termine, jeweils am Flugplatz in Wels und beim zweiten Termin sogar inklusive einem Rundflug.
Das Thema Datenschutz und Datensicherheit nehmen wir sehr ernst. Da nur die Daten von Firmeninteressenten mit Fokus auf den B2B Bereich generiert werden, wird durch den Lead Inspector das Datenschutzgesetz nicht verletzt. Privatpersonen werden nicht erfasst. Unsere Kunden können sicher sein, dass mit dem Einsatz des Lead Inspectors alle Gesetze und Vorgaben des Telemediengesetz und des Bundesdatenschutzgesetz erfüllt sind. Auch folgen wir den Empfehlungen des Düsseldorfer Kreises.
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
Ziel der DSGVO ist es die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen. Seit dem Inkrafttreten am 25. Mail 2018 muss für die Nutzung von Daten transparent und nutzerfreundlich organisiert werden. Was hat sich seit dem Wirksamwerden der DSGVO in der Praxis geändert?
Vortrag zum Urheberrecht und Datenschutzrechtandresheyn
Für die Herbsttagung des DSRI habe ich den anliegenden Vortrag "HATERS GONNA HATE" verfasst. Der Essay für den Tagungsband "Internet of Things" (ab Sept./15) findet sich unter http://rechtsanwalt-heyn.de/news/
Contact Center spüren den immer stärker wachsenden Druck, sich gegen Gesetzesverstosse aus dem BDSG oder UWG aktuell und präventiv zu wappnen. Welche Daten darf ich aus dem Social Media verwenden und welche Daten darf ich speichern und nutzen?
Zugleich lodern mit dem neuen Beschäftigtendatenschutz sowie im Outbound nach dem Ende der Übergangsregelung im Bundesdatenschutzgesetz (BDSG) zum 31.08.2012 beim Permission Marketing in vielen Contract Centern noch risikoreiche Brandherde, die identifiziert und eliminiert werden müssen.
Ist Ihr Unternehmen in der Lage auf Knopfdruck alle Dokumente zu einer Person zu lokalisieren, um dann die „Betroffenenrechte“ gemäß der DSGVO (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) erfüllen zu können?
Eines der Schlüsselelemente der DSGVO ist die Handhabung von personenbezogenen Daten im gesamten Unternehmen. Sie müssen in der Lage sein bestehende und neu erfasste Daten zu klassifizieren, Datensätze jederzeit zu finden und den Umgang mit personenbezogenen Daten nachvollziehbar zu dokumentieren.
Um diese große Herausforderung zu meistern, stellen wir Ihnen unseren Ansatz vor, der auf Enterprise Search Technologie aus dem Hause SINEQUA basiert, und der Sie bei der präzisen und effizienten Integration Ihrer künftigen Compliance-Strategie in die bestehende IT-Landschaft unterstützt.
Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt.Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können.
2. Rev.Stand3.0
Rechtsanwalt Michael Rohrlich
zugelassen als Rechtsanwalt seit 03/2003
Kanzleisitz in Würselen (Nähe Aachen)
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor seit 1997 / Buchautor seit 2005
Dozent seit 1998
Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012
Dozent
2
6. Rev.Stand3.0
Definition „personenbezogene Daten“ in Art. 4 Nr. 1
DSGVO:
„Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
„Als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem
oder mehreren besonderen Merkmalen identifiziert werden
kann […].“
Einführung
6
7. Rev.Stand3.0
Datenschutzrecht einschlägig, wenn Daten mit
Personenbezug verarbeitet werden (online + offline)
„Personenbezogene Daten“ sehr weitgehend zu
verstehen, nur reine Unternehmens-, Statistik- oder
Maschinendaten sind ausgenommen
Online-Kennung?
Einführung
7
8. Rev.Stand3.0
ErwGr. 30 DSGVO:
„Natürlichen Personen werden unter Umständen Online-
Kennungen wie IP-Adressen und Cookie-Kennungen
[…] oder sonstige Kennungen wie
Funkfrequenzkennzeichnungen zugeordnet. Dies kann
Spuren hinterlassen, die insbesondere in Kombination mit
eindeutigen Kennungen und anderen beim Server
eingehenden Informationen dazu benutzt werden können,
um Profile der natürlichen Personen zu erstellen und sie zu
identifizieren.“
Einführung
8
11. Rev.Stand3.0
Online und / oder offline?
ErwGr. 15 DSGVO:
„Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz
natürlicher Personen technologieneutral sein und nicht von den
verwendeten Techniken abhängen.“
Änderungen durch die zukünftige E-Privacy-VO?
Fazit: Regelungen der DSGVO gelten grdsl. auch für Online-
Verarbeitung von personenbezogenen Daten.
Einführung
11
12. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
12
13. Rev.Stand3.0
DSGVO-Pflichtinformationen für alle
Verarbeitungstätigkeiten online + offline
d.h. jede nicht nur rein private Internetpräsenz muss u.a.
auch eine Datenschutzerklärung bereitstellen, unabhängig
vom konkreten Medium
Webpräsenzen von Behörden nie „rein privat“
Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung
für Website, Blog, Social Media, App…
Pflichtinformationen
13
14. Rev.Stand3.0
Rechtsgrundlage: Informationspflichten aus Art. 13, 14
DSGVO
Art. 13 DSGVO, wenn Daten bei betroffener Person
erhoben werden
Art. 14 DSGVO, wenn Daten über Dritte erhoben
werden
Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO
einschlägig
kaum Unterschiede zwischen beiden Vorschriften
Pflichtinformationen
14
15. Rev.Stand3.0
Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
Namen und Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zweck(e) der Datenverarbeitung
Rechtsgrundlage(n) der Datenverarbeitung
ggf. berechtigte Interessen, die vom Verantwortlichen oder
einem Dritten verfolgt werden
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Datenübermittlung an ein Drittland oder
eine internationale Organisation
Pflichtinformationen
15
16. Rev.Stand3.0
Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die
Kriterien für die Festlegung dieser Dauer)
Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung,
Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder
vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich
ist
Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung
hätte
Hinweis auf (Nicht-) Bestehen einer automatisierten
Entscheidungsfindung und ggf. aussagekräftige Informationen über die
involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung
ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
Pflichtinformationen
16
17. Rev.Stand3.0
Beispiel: Hinweis auf Beschwerderecht
„Sie haben das Recht, sich bei der für uns zuständigen
Aufsichtsbehörde zu beschweren.“
„Sie haben das Recht, sich bei einer Aufsichtsbehörde zu
beschweren, z.B. bei der für uns zuständigen
Aufsichtsbehörde: …“
Pflichtinformationen
17
18. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
18
21. Rev.Stand3.0
Umsetzung der Informationspflichten in die Praxis
div. Online-Generatoren verfügbar, z.T. kostenfrei
auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in
Form einer sich selbst aktualisierenden
Datenschutzerklärung
rechtssichere Gestaltung durch spezialisierten
Rechtsanwalt (konkrete Rechtsberatung)
Beachte: Online-Generatoren i.d.R. nur
„Orientierungshilfen“ und gerade keine konkrete
Rechtsberatung
Ergänzende Pflichtinformationen
21
22. Rev.Stand3.0
Cookie-Layer-Pflicht?
gem. EuGH + DSK: auf jeden Fall
Opt-in-Variante für solche Cookies, die für den Betrieb der
Website techn. nicht erforderlich sind
Ergänzende Pflichtinformationen
22
23. Rev.Stand3.0
Ergänzende Pflichtinformationen
23
(wohl) tech. notwendige Cookies
für…
(wohl) nicht techn. notwendige
Cookies für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von
Zahlungsdienstleistern
Social Plugins
Opt-out-Option
Live-Chats / Messenger
Speicherung der Zustimmung /
Ablehnung von Cookies
24. Rev.Stand3.0
Exkurs: Voraussetzungen für den Einsatz von Google Analytics &
Co.
Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben
werden (z.B. Funktion „anonymizeIP“ bei Google)
Hinweis auf Widerspruchsmöglichkeit
Beschreibung auf Funktionsweise der Software in
Datenschutzerklärung
Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw.
gemeinsame Verantwortlichkeit
ggf. Altdaten / bestehenden Account löschen
Hinweis: Einsatz von Google Analytics & Facebook Custom
Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht
rechtskonform möglich
Ergänzende Pflichtinformationen
24
25. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
25
26. Rev.Stand3.0
Wie muss der Menüpunkt gestaltet werden?
allg. Vorgaben in Art. 12 DSGVO
Form:
präzise
transparent
verständlich
leicht zugänglich
Sprache:
klar
einfach
Menüpunkt
26
27. Rev.Stand3.0
Menüpunkt Datenschutzerklärung – Best Practice:
Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“
oder „Datenschutzhinweise“)
Leicht auffindbar (Platzierung in der Hauptnavigation oder
im Site-Footer / -Header)
Von jeder einzelnen Unterseite aus erreichbar
Beachte: Menüpunkte wie „Impressum“ oder auch
„Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht
verdeckt werden!
Menüpunkt
27
28. Rev.Stand3.0
Darstellungsmöglichkeiten online
Responsive Design (Pflicht!)
„Stufige Darstellung“, d.h. mehrstufige Darstellung der
Inhalte
„Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen,
aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt,
HTML5‐Befehle <details> und <summary>)
Ergänzende Verwendung von erläuternden Bildsymbolen
Menüpunkt
28
29. Rev.Stand3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
29
30. Rev.Stand3.0
gem. EuGH sind Netzwerkbetreiber (Facebook & Co.) und
Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v.
Art. 26 DSGVO („joint controllership“)
kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)
Vertrag über gemeinsame Verantwortlichkeit abschließen
(falls möglich)
bislang stellt nur Facebook Vereinbarung gem. Art. 26
DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich
des Verantwortlichen“)
Social Media
30
31. Rev.Stand3.0
Betrieb eines Social-Media-Accounts – Best Practice:
Menüpunkt „Datenschutz“ anlegen
falls möglich: statt kompletter Pflichtinhalte eher „sprechenden
Link“ auf die Datenschutzerklärung der eigenen Website
angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)
Beschreibung der Datenverarbeitung in den sozialen Medien in
der Website-Datenschutzerklärung (soweit bekannt)
Hinweis, dass Website-Datenschutzerklärung auch für Social-
Media-Profile gilt
Verlinkung auf die Datenschutzhinweise des / der genutzten
sozialen Netzwerke
Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt.
nur bei Facebook möglich, zu finden unter:
www.facebook.com/legal/terms/page_controller_addendum)
Social Media
31
32. Rev.Stand3.0
Was gilt bei Einbindung von Social Plugins?
sog. Social Plugins, z.B.
„Like“-Button (Facebook)
„Tweet“-Button (Twitter)
„Share“-Button (LinkedIn)
„x“-Button (Xing)
Social Media
32
33. Rev.Stand3.0
Einbindung in eigene Website wegen Übertragung u.a. der
IP-Adresse datenschutzrechtlich problematisch
Fazit: Social Plugins niemals „einfach so“ einbinden,
sondern „2-Klick-Lösung“ o.ä. Technik verwenden
Social Media
33
34. Rev.Stand3.0
Einbindung von Social Plugins – Best Practice:
Einsatz einer „2-Klick-Lösung“ o.ä. Technik
Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in
Datenschutzerklärung
Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise
Verlages oder spezieller Add-ons für CMS
Social Media
34