SlideShare ist ein Scribd-Unternehmen logo
1 von 37
Rev.
Stand
3.0
12. April 2021, 10.00 – 11.30 Uhr
Webinar
Datenschutz im Internet
Inhaltlicher Stand: 07.04.2021 © RA Michael Rohrlich
Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
3
Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
4
Rev.
Stand
3.0
 Definition „personenbezogene Daten“ in Art. 4 Nr. 1
DSGVO:
 „Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
 „Als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem
oder mehreren besonderen Merkmalen identifiziert werden
kann […].“
Einführung
5
Rev.
Stand
3.0
 ErwGr. 30 DSGVO:
 „Natürlichen Personen werden unter Umständen Online-
Kennungen wie IP-Adressen und Cookie-Kennungen
[…] oder sonstige Kennungen wie
Funkfrequenzkennzeichnungen zugeordnet. Dies kann
Spuren hinterlassen, die insbesondere in Kombination mit
eindeutigen Kennungen und anderen beim Server
eingehenden Informationen dazu benutzt werden können,
um Profile der natürlichen Personen zu erstellen und sie zu
identifizieren.“
Einführung
6
Rev.
Stand
3.0
 EuGH, Urteil v. 19.10.2016, Az. C-582/14
 IP-Adressen sind personenbezogene Daten
 statisch & dynamisch
Einführung
7
Rev.
Stand
3.0
 Online und / oder offline?
 ErwGr. 15 DSGVO:
 „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der
Schutz natürlicher Personen technologieneutral sein und
nicht von den verwendeten Techniken abhängen.“
 Fazit: Regelungen der DSGVO gelten grdsl. auch für
Online-Verarbeitung von personenbezogenen Daten.
Einführung
8
Rev.
Stand
3.0
 Änderungen / Neuerungen durch…
 die E-Privacy-VO?
 das TTDSG?
Einführung
9
Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
10
Rev.
Stand
3.0
 DSGVO-Pflichtinformationen für alle
Verarbeitungstätigkeiten online + offline
 d.h. jede nicht nur rein private Internetpräsenz muss u.a.
auch eine Datenschutzerklärung bereitstellen, unabhängig
vom konkreten Medium
 Webpräsenzen von Behörden & Unternehmen nie „rein
privat“
 Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung
für Website, Webshop, Blog, Social Media, App…
Pflichtinformationen
11
Rev.
Stand
3.0
 Rechtsgrundlage: Informationspflichten aus Art. 13, 14
DSGVO
 Art. 13, wenn Daten bei betroffener Person erhoben
werden
 Art. 14, wenn Daten über Dritte erhoben werden
 Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO
einschlägig
 kaum Unterschiede zwischen beiden Vorschriften
Pflichtinformationen
12
Rev.
Stand
3.0
 Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
 Namen und Kontaktdaten des Verantwortlichen
 Kontaktdaten des Datenschutzbeauftragten
 Zweck(e) der Datenverarbeitung
 Rechtsgrundlage(n) der Datenverarbeitung
 ggf. berechtigte Interessen, die vom Verantwortlichen oder
einem Dritten verfolgt werden
 ggf. Empfänger oder Kategorien von Empfängern
 ggf. Absicht der Datenübermittlung an ein Drittland oder
eine internationale Organisation
Pflichtinformationen
13
Rev.
Stand
3.0
 Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
 Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die
Kriterien für die Festlegung dieser Dauer)
 Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung,
Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)
 Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder
vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich
ist
 Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung
hätte
 Hinweis auf (Nicht-) Bestehen einer automatisierten
Entscheidungsfindung und ggf. aussagekräftige Informationen über die
involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung
 ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
Pflichtinformationen
14
Rev.
Stand
3.0
 Beispiel: Hinweis auf Beschwerderecht
„Sie haben das Recht, sich bei der für uns zuständigen
Aufsichtsbehörde zu beschweren.“
„Sie haben das Recht, sich bei einer Aufsichtsbehörde zu
beschweren, z.B. bei der für uns zuständigen
Aufsichtsbehörde: …“
Pflichtinformationen
15


Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
16
Rev.
Stand
3.0
Ergänzende Pflichtinformationen
17
Allg.
Datenschutzhinweise
Art. 13, 14
DSGVO
Online-
Datenschutzerklärung
Art. 13, 14
DSGVO
Online-
Technologien
Rev.
Stand
3.0
 Typische Online-Technologien:
 Analyse-Tools (Google, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
 Kontaktformular
 Newsletter
 Online-Werbung (Google Ads…)
 Cookies
 Social Plugins
 WebFonts (Google WebFonts, FontAwesome…)
 Einbindung von Fremdinhalten (Youtube, Vimeo, Google Maps…)
 Verschlüsselung (SSL-/ TLS-Zertifikat)
 Partnerprogramme (Amazon, eBay…)
 Stellenausschreibungen / Online-Bewerberverfahren
 Gewinnspiele
 Meinungsumfragen
 Chat-Tools / Chat-Bots
 Login / Kundenbereich
 usw. usw.
Ergänzende Pflichtinformationen
18
Rev.
Stand
3.0
 Umsetzung der Informationspflichten in die Praxis
 div. Online-Generatoren verfügbar, z.T. kostenfrei
 auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in
Form einer sich selbst aktualisierenden
Datenschutzerklärung
 rechtssichere Gestaltung durch spezialisierten
Rechtsanwalt (konkrete Rechtsberatung)
 Beachte: Online-Generatoren i.d.R. nur
„Orientierungshilfen“ und gerade keine konkrete
Rechtsberatung
Ergänzende Pflichtinformationen
19
Rev.
Stand
3.0
 Voraussetzungen für den Einsatz von Google Analytics & Co.
 Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben
werden (z.B. Funktion „anonymizeIP“ bei Google)
 Hinweis auf Widerspruchsmöglichkeit
 Beschreibung auf Funktionsweise der Software in
Datenschutzerklärung
 Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw.
gemeinsame Verantwortlichkeit
 ggf. Altdaten / bestehenden Account löschen
 Hinweis: Einsatz von Google Analytics & Facebook Custom
Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht
rechtskonform möglich
Ergänzende Pflichtinformationen
20
Rev.
Stand
3.0
 EuGH, „Planet49“-Urteil v. 01.10.2019, Az. C-673/17
 Einwilligung abhängig von der Art der eingesetzten
Cookies (o.ä. Technologien, wie z.B. localStorage)
 techn. nicht notwendige Cookies: Einwilligung z.B. über
Opt-In-Funktion in Cookie-Banner
 techn. notwendige Cookies: keine Einwilligung
erforderlich (Rechtsgrundlage z.B. Vertragserfüllung oder
berechtigtes Interesse)
Ergänzende Pflichtinformationen
21
Rev.
Stand
3.0
Ergänzende Pflichtinformationen
22
 (wohl) tech. notwendige Cookies
für…
 (wohl) nicht techn. notwendige
Cookies für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von
Zahlungsdienstleistern
Social Plugins
Opt-out-Option
Live-Chats / Messenger
Speicherung der Zustimmung /
Ablehnung von Cookies
Rev.
Stand
3.0
 Checkliste Cookie-Banner
 echte Opt-In-Lösung
 keine vorausgefüllten Checkboxen
 echte Wahlmöglichkeit, z.B. durch zusätzliche Option „Nein“,
„Abbrechen“ o.ä.
 kein übermäßiges „Nudging“ (z.B. durch voreingestellte
Aktivierung von Marketing-Cookies)
 ausreichende Informationen über Cookies
 sprechender Link auf Datenschutzerklärung
 Beschreibung aller Cookies in Datenschutzerklärung
 ideal: Differenzierung nach Cookie-Arten
 kein Verdecken von Rechtstexten (Impressum,
Datenschutzerklärung…)
 Sonderproblem: Einsatz von US-Tools
Ergänzende Pflichtinformationen
23
Rev.
Stand
3.0
 Einsatz von US-Tools?
 Übermittlung von personenbezogenen Daten an Dritte nur unter
bestimmten Voraussetzungen zulässig, insbesondere bei
Datenübermittlung in „unsichere Drittstaaten“
 Drittstaaten mit Angemessenheitsbeschluss der EU-
Kommission z.B.
 Kanada
 Schweiz
 Japan
 Argentinien
 USA
 bislang war Privacy Shield als spezieller
Angemessenheitsbeschluss zwingende Voraussetzung für
Datenübermittlung in die USA
Ergänzende Pflichtinformationen
24
Rev.
Stand
3.0
 EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18:
 „Der Durchführungsbeschluss (EU) 2016/1250 der
Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates
über die Angemessenheit des vom EU-US-
Datenschutzschild gebotenen Schutzes ist ungültig.“
 keine Übergangs- oder Schonfrist
 EuGH fordert zusätzliche Garantien, z.B. für
Rechtsstaatlichkeit & Rechtsschutzmöglichkeiten
Ergänzende Pflichtinformationen
25
Rev.
Stand
3.0
 mögliche Alternativen (Art. 49 DSGVO), z.B.
 EU-Standarddatenschutzklauseln (grdsl. möglich, aber
praktisch kaum umsetzbar)*
 Einwilligung (schwierig, zudem jederzeit widerrufbar)
 erforderlich zur Erfüllung eines Vertrages
 wichtige Gründe des öffentl. Interesses
 Schutz lebenswichtiger Interessen
 *Neufassung in Arbeit
Ergänzende Pflichtinformationen
26
Rev.
Stand
3.0
 Europäische Datenschutzausschuss (EDSA) – „Empfehlungen
Drittlandtransfer“:
 Bestandsaufnahme aller Datenübermittlungen
 Ermittlung der Rechtsgrundlage(n) für die Übermittlung
 Prüfung, ob geeignete Garantien vorliegen
 EU/EWR?
 Staat mit Angemessenheitsbeschluss?
 Standarddatenschutzklauseln (SCC)?
 zusätzl. TOMs
 z.B. Verschlüsselung von Backup-Daten in der Cloud
 z.B. vertragl. Vereinbarungen bei Klardaten (strittig)
 regelmäßige Prüfung / Neubewertung
Ergänzende Pflichtinformationen
27
Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
28
Rev.
Stand
3.0
 Wie muss der Menüpunkt gestaltet werden?
 allg. Vorgaben in Art. 12 DSGVO
 Form:
 präzise
 transparent
 verständlich
 leicht zugänglich
 Sprache:
 klar
 einfach
Menüpunkt
29
Rev.
Stand
3.0
 Menüpunkt Datenschutzerklärung – Best Practice:
 Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“
oder „Datenschutzhinweise“)
 Leicht auffindbar (Platzierung in der Hauptnavigation oder
im Site-Footer / -Header)
 Von jeder einzelnen Unterseite aus erreichbar
 Beachte: Menüpunkte wie „Impressum“ oder auch
„Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht
verdeckt werden!
Menüpunkt
30
Rev.
Stand
3.0
 Darstellungsmöglichkeiten online
 Responsive Design (Pflicht!)
 „Stufige Darstellung“, d.h. mehrstufige Darstellung der
Inhalte
 „Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen,
aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt,
HTML5‐Befehle <details> und <summary>)
 Ergänzende Verwendung von erläuternden Bildsymbolen
Menüpunkt
31
Rev.
Stand
3.0
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
Agenda
32
Rev.
Stand
3.0
 EuGH, Urteil vom 05.06.2018, Az. C-210/16
 Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber
„gemeinsam Verantwortliche“ i.S.v.
Art. 26 DSGVO („joint controllership“)
 kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)
 Vertrag über gemeinsame Verantwortlichkeit abschließen
(falls möglich)
 bislang stellt nur Facebook Vereinbarung gem. Art. 26
DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich
des Verantwortlichen“)
Social Media
33
Rev.
Stand
3.0
 Betrieb eines Social-Media-Accounts – Best Practice:
 Menüpunkt „Datenschutz“ anlegen
 falls möglich: statt kompletter Pflichtinhalte eher „sprechenden
Link“ auf die Datenschutzerklärung der eigenen Website
angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)
 Beschreibung der Datenverarbeitung in den sozialen Medien in
der Website-Datenschutzerklärung (soweit bekannt)
 Hinweis, dass Website-Datenschutzerklärung auch für Social-
Media-Profile gilt
 Verlinkung auf die Datenschutzhinweise des / der genutzten
sozialen Netzwerke
 Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt.
nur bei Facebook möglich, zu finden unter:
www.facebook.com/legal/terms/page_controller_addendum)
Social Media
34
Rev.
Stand
3.0
 Was gilt bei Einbindung von Social Plugins?
 sog. Social Plugins, z.B.
 „Like“-Button (Facebook)
 „Tweet“-Button (Twitter)
 „Share“-Button (LinkedIn)
 „x“-Button (Xing)
Social Media
35
Rev.
Stand
3.0
 Einbindung in eigene Website wegen Übertragung u.a. der
IP-Adresse datenschutzrechtlich problematisch
 Fazit: Social Plugins niemals „einfach so“ einbinden,
sondern „2-Klick-Lösung“ o.ä. Technik verwenden
Social Media
36
Rev.
Stand
3.0
 Einbindung von Social Plugins – Best Practice:
 Einsatz einer „2-Klick-Lösung“ o.ä. Technik
 Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
 Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
 Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
 Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
 Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in
Datenschutzerklärung
 Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise
Verlages oder spezieller Add-ons für CMS
Social Media
37

Weitere ähnliche Inhalte

Was ist angesagt?

Seminar report meta
Seminar report metaSeminar report meta
Seminar report metasn boss
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Data Protection (Download for slideshow)
Data Protection (Download for slideshow)Data Protection (Download for slideshow)
Data Protection (Download for slideshow)Andrew Sharpe
 
Privacy in India: Legal issues
Privacy in India: Legal issuesPrivacy in India: Legal issues
Privacy in India: Legal issuesSagar Rahurkar
 

Was ist angesagt? (7)

Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo  podstawy przetwarzania_danych_ dla pracownikowRodo  podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikow
 
Seminar report meta
Seminar report metaSeminar report meta
Seminar report meta
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Data Protection (Download for slideshow)
Data Protection (Download for slideshow)Data Protection (Download for slideshow)
Data Protection (Download for slideshow)
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
 
Privacy in India: Legal issues
Privacy in India: Legal issuesPrivacy in India: Legal issues
Privacy in India: Legal issues
 
TIA-568-C.3.pdf
TIA-568-C.3.pdfTIA-568-C.3.pdf
TIA-568-C.3.pdf
 

Ähnlich wie Datenschutz im Internet

DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Thomas Schwenke
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und MarketingPflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und MarketingThomas Schwenke
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector
 
Facebook Rechtsupdate 2016 #AFBMC
Facebook Rechtsupdate 2016 #AFBMCFacebook Rechtsupdate 2016 #AFBMC
Facebook Rechtsupdate 2016 #AFBMCAllFacebook.de
 
Datenschutz 2014 - Social Media Bernd Fuhlert
Datenschutz 2014 - Social Media Bernd FuhlertDatenschutz 2014 - Social Media Bernd Fuhlert
Datenschutz 2014 - Social Media Bernd FuhlertBernd Fuhlert
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - DatenschutzBurdaDirect
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Carl-Christian Buhr
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSKonrad Becker
 

Ähnlich wie Datenschutz im Internet (20)

Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und MarketingPflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
Pflichtwissen zum Datenschutz in Kundenkommunikation und Marketing
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
Facebook Rechtsupdate 2016 #AFBMC
Facebook Rechtsupdate 2016 #AFBMCFacebook Rechtsupdate 2016 #AFBMC
Facebook Rechtsupdate 2016 #AFBMC
 
Datenschutz 2014 - Social Media Bernd Fuhlert
Datenschutz 2014 - Social Media Bernd FuhlertDatenschutz 2014 - Social Media Bernd Fuhlert
Datenschutz 2014 - Social Media Bernd Fuhlert
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - Datenschutz
 
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
Europa und die digitale Welt - E-Privacy, Datenschutz & Co.
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 

Mehr von Michael Rohrlich (17)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 

Datenschutz im Internet

  • 1. Rev. Stand 3.0 12. April 2021, 10.00 – 11.30 Uhr Webinar Datenschutz im Internet Inhaltlicher Stand: 07.04.2021 © RA Michael Rohrlich
  • 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  • 3. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 3
  • 4. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 4
  • 5. Rev. Stand 3.0  Definition „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO:  „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: ‚betroffene Person‘) beziehen.“  „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […].“ Einführung 5
  • 6. Rev. Stand 3.0  ErwGr. 30 DSGVO:  „Natürlichen Personen werden unter Umständen Online- Kennungen wie IP-Adressen und Cookie-Kennungen […] oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“ Einführung 6
  • 7. Rev. Stand 3.0  EuGH, Urteil v. 19.10.2016, Az. C-582/14  IP-Adressen sind personenbezogene Daten  statisch & dynamisch Einführung 7
  • 8. Rev. Stand 3.0  Online und / oder offline?  ErwGr. 15 DSGVO:  „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“  Fazit: Regelungen der DSGVO gelten grdsl. auch für Online-Verarbeitung von personenbezogenen Daten. Einführung 8
  • 9. Rev. Stand 3.0  Änderungen / Neuerungen durch…  die E-Privacy-VO?  das TTDSG? Einführung 9
  • 10. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 10
  • 11. Rev. Stand 3.0  DSGVO-Pflichtinformationen für alle Verarbeitungstätigkeiten online + offline  d.h. jede nicht nur rein private Internetpräsenz muss u.a. auch eine Datenschutzerklärung bereitstellen, unabhängig vom konkreten Medium  Webpräsenzen von Behörden & Unternehmen nie „rein privat“  Fazit: Pflicht zur Bereitstellung einer Datenschutzerklärung für Website, Webshop, Blog, Social Media, App… Pflichtinformationen 11
  • 12. Rev. Stand 3.0  Rechtsgrundlage: Informationspflichten aus Art. 13, 14 DSGVO  Art. 13, wenn Daten bei betroffener Person erhoben werden  Art. 14, wenn Daten über Dritte erhoben werden  Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO einschlägig  kaum Unterschiede zwischen beiden Vorschriften Pflichtinformationen 12
  • 13. Rev. Stand 3.0  Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:  Namen und Kontaktdaten des Verantwortlichen  Kontaktdaten des Datenschutzbeauftragten  Zweck(e) der Datenverarbeitung  Rechtsgrundlage(n) der Datenverarbeitung  ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden  ggf. Empfänger oder Kategorien von Empfängern  ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale Organisation Pflichtinformationen 13
  • 14. Rev. Stand 3.0  Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:  Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)  Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf, Datenportabilität, Beschwerde)  Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist  Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte  Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung  ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO) Pflichtinformationen 14
  • 15. Rev. Stand 3.0  Beispiel: Hinweis auf Beschwerderecht „Sie haben das Recht, sich bei der für uns zuständigen Aufsichtsbehörde zu beschweren.“ „Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, z.B. bei der für uns zuständigen Aufsichtsbehörde: …“ Pflichtinformationen 15  
  • 16. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 16
  • 17. Rev. Stand 3.0 Ergänzende Pflichtinformationen 17 Allg. Datenschutzhinweise Art. 13, 14 DSGVO Online- Datenschutzerklärung Art. 13, 14 DSGVO Online- Technologien
  • 18. Rev. Stand 3.0  Typische Online-Technologien:  Analyse-Tools (Google, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)  Kontaktformular  Newsletter  Online-Werbung (Google Ads…)  Cookies  Social Plugins  WebFonts (Google WebFonts, FontAwesome…)  Einbindung von Fremdinhalten (Youtube, Vimeo, Google Maps…)  Verschlüsselung (SSL-/ TLS-Zertifikat)  Partnerprogramme (Amazon, eBay…)  Stellenausschreibungen / Online-Bewerberverfahren  Gewinnspiele  Meinungsumfragen  Chat-Tools / Chat-Bots  Login / Kundenbereich  usw. usw. Ergänzende Pflichtinformationen 18
  • 19. Rev. Stand 3.0  Umsetzung der Informationspflichten in die Praxis  div. Online-Generatoren verfügbar, z.T. kostenfrei  auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in Form einer sich selbst aktualisierenden Datenschutzerklärung  rechtssichere Gestaltung durch spezialisierten Rechtsanwalt (konkrete Rechtsberatung)  Beachte: Online-Generatoren i.d.R. nur „Orientierungshilfen“ und gerade keine konkrete Rechtsberatung Ergänzende Pflichtinformationen 19
  • 20. Rev. Stand 3.0  Voraussetzungen für den Einsatz von Google Analytics & Co.  Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben werden (z.B. Funktion „anonymizeIP“ bei Google)  Hinweis auf Widerspruchsmöglichkeit  Beschreibung auf Funktionsweise der Software in Datenschutzerklärung  Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit  ggf. Altdaten / bestehenden Account löschen  Hinweis: Einsatz von Google Analytics & Facebook Custom Audiences z.Zt. nach Ansicht einiger Aufsichtsbehörden nicht rechtskonform möglich Ergänzende Pflichtinformationen 20
  • 21. Rev. Stand 3.0  EuGH, „Planet49“-Urteil v. 01.10.2019, Az. C-673/17  Einwilligung abhängig von der Art der eingesetzten Cookies (o.ä. Technologien, wie z.B. localStorage)  techn. nicht notwendige Cookies: Einwilligung z.B. über Opt-In-Funktion in Cookie-Banner  techn. notwendige Cookies: keine Einwilligung erforderlich (Rechtsgrundlage z.B. Vertragserfüllung oder berechtigtes Interesse) Ergänzende Pflichtinformationen 21
  • 22. Rev. Stand 3.0 Ergänzende Pflichtinformationen 22  (wohl) tech. notwendige Cookies für…  (wohl) nicht techn. notwendige Cookies für… virtuellen Warenkorb Tracking Spracheinstellungen Web-Analyse Medieninhalte (Flash-Cookies) Retargeting / Remarketing Einbindung von Zahlungsdienstleistern Social Plugins Opt-out-Option Live-Chats / Messenger Speicherung der Zustimmung / Ablehnung von Cookies
  • 23. Rev. Stand 3.0  Checkliste Cookie-Banner  echte Opt-In-Lösung  keine vorausgefüllten Checkboxen  echte Wahlmöglichkeit, z.B. durch zusätzliche Option „Nein“, „Abbrechen“ o.ä.  kein übermäßiges „Nudging“ (z.B. durch voreingestellte Aktivierung von Marketing-Cookies)  ausreichende Informationen über Cookies  sprechender Link auf Datenschutzerklärung  Beschreibung aller Cookies in Datenschutzerklärung  ideal: Differenzierung nach Cookie-Arten  kein Verdecken von Rechtstexten (Impressum, Datenschutzerklärung…)  Sonderproblem: Einsatz von US-Tools Ergänzende Pflichtinformationen 23
  • 24. Rev. Stand 3.0  Einsatz von US-Tools?  Übermittlung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen zulässig, insbesondere bei Datenübermittlung in „unsichere Drittstaaten“  Drittstaaten mit Angemessenheitsbeschluss der EU- Kommission z.B.  Kanada  Schweiz  Japan  Argentinien  USA  bislang war Privacy Shield als spezieller Angemessenheitsbeschluss zwingende Voraussetzung für Datenübermittlung in die USA Ergänzende Pflichtinformationen 24
  • 25. Rev. Stand 3.0  EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18:  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“  keine Übergangs- oder Schonfrist  EuGH fordert zusätzliche Garantien, z.B. für Rechtsstaatlichkeit & Rechtsschutzmöglichkeiten Ergänzende Pflichtinformationen 25
  • 26. Rev. Stand 3.0  mögliche Alternativen (Art. 49 DSGVO), z.B.  EU-Standarddatenschutzklauseln (grdsl. möglich, aber praktisch kaum umsetzbar)*  Einwilligung (schwierig, zudem jederzeit widerrufbar)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  *Neufassung in Arbeit Ergänzende Pflichtinformationen 26
  • 27. Rev. Stand 3.0  Europäische Datenschutzausschuss (EDSA) – „Empfehlungen Drittlandtransfer“:  Bestandsaufnahme aller Datenübermittlungen  Ermittlung der Rechtsgrundlage(n) für die Übermittlung  Prüfung, ob geeignete Garantien vorliegen  EU/EWR?  Staat mit Angemessenheitsbeschluss?  Standarddatenschutzklauseln (SCC)?  zusätzl. TOMs  z.B. Verschlüsselung von Backup-Daten in der Cloud  z.B. vertragl. Vereinbarungen bei Klardaten (strittig)  regelmäßige Prüfung / Neubewertung Ergänzende Pflichtinformationen 27
  • 28. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 28
  • 29. Rev. Stand 3.0  Wie muss der Menüpunkt gestaltet werden?  allg. Vorgaben in Art. 12 DSGVO  Form:  präzise  transparent  verständlich  leicht zugänglich  Sprache:  klar  einfach Menüpunkt 29
  • 30. Rev. Stand 3.0  Menüpunkt Datenschutzerklärung – Best Practice:  Klar benannt (z.B. „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzhinweise“)  Leicht auffindbar (Platzierung in der Hauptnavigation oder im Site-Footer / -Header)  Von jeder einzelnen Unterseite aus erreichbar  Beachte: Menüpunkte wie „Impressum“ oder auch „Datenschutz“ dürfen durch Cookie-Layer o.ä. nicht verdeckt werden! Menüpunkt 30
  • 31. Rev. Stand 3.0  Darstellungsmöglichkeiten online  Responsive Design (Pflicht!)  „Stufige Darstellung“, d.h. mehrstufige Darstellung der Inhalte  „Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen, aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt, HTML5‐Befehle <details> und <summary>)  Ergänzende Verwendung von erläuternden Bildsymbolen Menüpunkt 31
  • 32. Rev. Stand 3.0 1. Einführung 2. Pflichtinformationen nach Art. 13, 14 DSGVO 3. Ergänzende Pflichtinformationen online 4. Menüpunkt zur Datenschutzerklärung 5. Besonderheiten der sozialen Medien Agenda 32
  • 33. Rev. Stand 3.0  EuGH, Urteil vom 05.06.2018, Az. C-210/16  Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v. Art. 26 DSGVO („joint controllership“)  kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)  Vertrag über gemeinsame Verantwortlichkeit abschließen (falls möglich)  bislang stellt nur Facebook Vereinbarung gem. Art. 26 DSGVO bereit (sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) Social Media 33
  • 34. Rev. Stand 3.0  Betrieb eines Social-Media-Accounts – Best Practice:  Menüpunkt „Datenschutz“ anlegen  falls möglich: statt kompletter Pflichtinhalte eher „sprechenden Link“ auf die Datenschutzerklärung der eigenen Website angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)  Beschreibung der Datenverarbeitung in den sozialen Medien in der Website-Datenschutzerklärung (soweit bekannt)  Hinweis, dass Website-Datenschutzerklärung auch für Social- Media-Profile gilt  Verlinkung auf die Datenschutzhinweise des / der genutzten sozialen Netzwerke  Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt. nur bei Facebook möglich, zu finden unter: www.facebook.com/legal/terms/page_controller_addendum) Social Media 34
  • 35. Rev. Stand 3.0  Was gilt bei Einbindung von Social Plugins?  sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 35
  • 36. Rev. Stand 3.0  Einbindung in eigene Website wegen Übertragung u.a. der IP-Adresse datenschutzrechtlich problematisch  Fazit: Social Plugins niemals „einfach so“ einbinden, sondern „2-Klick-Lösung“ o.ä. Technik verwenden Social Media 36
  • 37. Rev. Stand 3.0  Einbindung von Social Plugins – Best Practice:  Einsatz einer „2-Klick-Lösung“ o.ä. Technik  Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in Datenschutzerklärung  Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise Verlages oder spezieller Add-ons für CMS Social Media 37

Hinweis der Redaktion

  1. Die Informationen auf diesen Sprechernotizen werden eingegeben über [Einfügen] [Kopf- und Fußzeilen] Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht