Typische Datenschutzprobleme bei Websites

Typische Datenschutzprobleme bei Websites
WebJustiz.de
www.praetor.im
11.Oktober 2017
…einige Grundlagen…

2
Datenschutz - Gesetzliche Grundlagen
EU Deutschland
Verfassung Art. 7,8 GrundrechteCharta
Art. 16 Abs. 1 AEUV
Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
Ab 25. Mai 2018 Datenschutz-
Grundverordnung (VO
2016/679)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU
WebJustiz.de

3
➢ Verbot mit Erlaubnisvorbehalt
➢ Datenverarbeitung ist verboten, solange sie nicht ausdrücklich erlaubt wird.
Datenschutz - Hauptprinzipien
Datensparsamkeit und Datenvermeidung
Erforderlichkeit
Zweckbindung
WebJustiz.de

4
➢ Zweck des Datenschutzes:
Schutz des Einzelnen
➢ vor einer Beeinträchtigung in seinem Persönlichkeitsrecht
➢ durch den Umgang mit seinen personenbezogenen Daten.
Datenschutz – Zweck des Datenschutzes
Typische Datenschutzprobleme bei Websites WebJustiz.de

5
➢ Daten
➢ Einzelangaben
= Angaben über
➢ persönliche oder
➢ sachliche Verhältnisse
➢ über eine natürliche Person
➢ entweder über
➢ eine bestimmte Person oder
➢ eine bestimmbare Person
Datenschutz – Geschützte Daten

6
➢ Geschützt sind alle personenbezogenen Daten
➢ Personenbezogen =
➢ Zuordnung zu (natürlicher) Person kann zumindest mittelbar erfolgen
➢ Personenbeziehbarkeit reicht aus
➢ Auch Daten, über die sich ein Personenbezug herstellen lässt:
➢ Rentenversicherungsnummer, Kfz-Kennzeichen, Kontonummer, Matrikelnummer
➢ i.d.R.: IP-Adressen, eMail-Adressen
Datenschutz – Geschützte Daten

7
➢ Geschützt sind alle personenbezogenen Daten
➢ Besonders schutzbedürftig:
“besondere Arten personenbezogener Daten”
➢ Gesundheitsdaten
➢ Informationen zur rassischen oder ethnischen Herkunft,
➢ Informationen zur politischen, religiösen, gewerkschaftlichen oder
sexuellen Orientierung.
Datenschutz – Bes. schutzbedürftige Daten

8
Unsere Themen für heute:
I. Datenschutzerklärung
II. Bilder im Internet
III. Datenschutz in sozialen Netzwerken
IV. Datentransfer in Drittstaaten / EU-US Privacy Shield
V. Auftragsdatenverarbeitung
VI. Wartungsarbeiten durch Dienstleister
Datenschutz – Aktuelle Fragen

9
①
Datenschutzerklärung
…keiner schaut rein,
aber jeder braucht’s…
Datenschutz

10
➢ Recht auf Anonymität (§ 13 TMG)
➡ soweit technisch möglich und zumutbar
➡ betroffen sind alle personenbezogenen Daten
▶ incl. IP-Adresse
➡ problematisch z.B. beim Tracking
▶ Besucheranalyse
▶ Werbung
➡ Datenerhebung und -speicherung bedarf entweder
▶ gesetzlicher Erlaubnis oder
▶ Einwilligung
Datenschutzerklärung - Grundlagen

11
➢ In Deutschland gilt Informationslösung für Websites (§ 13 Abs. 1 TMG)
➡wichtig: gilt nur für den “normalen” Webseitenbesuch.
➡ Bei weitergehenden Angeboten bedarf es ausdrücklicher Einwilligung.
➢ Zusätzlich bei externer Datenverarbeitung:
➡ schriftlicher Vertrag über die Auftragsdatenverarbeitung!
➡ z.B. bei Google Analytics, fremde AdServer…
Datenschutzerklärung – “Informationslösung”

12
➢ Website-Betreiber muss die Besucher unterrichten, § 13 Abs. 1 TMG:
➢ Inhalt: Datenschutzerklärung muss informieren über
➡ Erhebung personenbezogener Daten,
▶ Art, Umfang und Zweck
▶ Verwendung dieser Daten,
➡ Datenverarbeitung in Ländern außerhalb der EU bzw. des EWR
➡ Ggfs. zusätzliche Angaben zu
▶ Widerspruchsmöglichkeit
beim Einsatz von Tracking-Mitteln
➢ Besuchertracking, Werbung
▶ Möglichkeit anonymer oder pseudonymer Nutzung.
Datenschutzerklärung – Inhalt

13
➢ Website-Betreiber muss die Besucher unterrichten, § 13 Abs. 1 TMG:
➢ Form: Information muss erfolgen
▶ in allgemein verständlicher Form und
▶ zu Beginn des Nutzungsvorgangs
Datenschutzerklärung – Form

14
➢Umfang der Informationspflicht richtet sich nach der jeweiligen Website:
➡Datenerhebung durch den Websitebetreiber:
▶ Logfiles des Webservers
▶ Besucherstatistiken (Besondere Anforderungen z.B. bei Google Analytics)
▶ Kontaktformulare und Kommentarfunktion (IP-Adresse, eMail-Angabe)
➡Einbindung sozialer Netzwerke
▶ Die Betreiber bieten teilweise (unbrauchbare) Mustererklärungen
▶ Dynamische Einbindung ist i.d.R. nicht datenschutzkonform lösbar!
➡Datenerhebung bei Werbung:
▶ Problem: Tracking durch die Werbenetzwerke
▶ Die jeweiligen Anbieter bieten meist Mustererklärungen.
➢ In jedem Fall: Hinweis auf Auskunftsanspruch
Datenschutzerklärung – Merkposten

15
②
Bilder im Internet
…war halt doch ein schönes Fest…
Datenschutz

16
➢ Grundsatz: nur mit Einwilligung des Abgebildeten
➢ doppelte Einwilligung erforderlich:
➢ Einwilligung in das Fotografieren und
➢ Einwilligung in die Veröffentlichung
➢ Nicht erforderlich ist eine Einwilligung zur Veröffentlichung auf der
konkreten Plattform.
➢ Form der Einwilligung
➢ ausdrücklich (“Darf ich fotografieren?”) oder
➢ konkludent (durch schlüssiges Handeln)
➢ “Ich sehe, dass ich fotografiert werde und lächle”
➢ z.B. die entsprechenden Hinweise auf Barcamps
Bilder im Internet - Einwilligungsgrundsatz

17
➢ Ausnahme vom Einwilligungserfordernis:
➢ Personen der (relativen oder absoluten) Zeitgeschichte
➢ Personen als Beiwerk einer Landschaft oder Örtlichkeit
➢ Bilder von Versammlungen, Aufzügen o.ä.
➢ höheres Interesse der Kunst (soweit keine Auftragsfertigung)
➢ Gegenausnahme:
➢ Verletzung berechtigter Interessen des Abgebildeten
➢ z.B. wg. automatischer Identifizierung
➢ z.B. bei weltweiter Zugänglichkeit
Bilder im Internet – ohne Einwilligung

18
③
Datenschutz in
sozialen Netzen
…übergroßer Mitteilungsdrang…
Datenschutz

19
➢ Aktuelle Problemfelder:
➢ Umfassende Aufzeichnung von Bewegungen im Internet
➢ Umfangreiche Profilbildung
➢ Genauer Umfang der Datenspeicherung unbekannt
➢ i.d.R. US-Anbieter mit nur eingeschränkten Datenschutzniveau
➢ Integrationsangebote der Netzwerke
➢ i.d.R. nicht datenschutzkonform möglich!
➢ “Recht auf Vergessenwerden”
Datenschutz in sozialen Netzwerken

20
④
Datentransfer
in Drittstaaten
…egal, Hauptsache in der Cloud…
Datenschutz

21
➢ Einheitliches Datenschutzniveau innerhalb von EU/EWR
➢ Datentransfer in Staaten außerhalb von EU/EWR
➢ Drittstaaten mit angemessenem Datenschutzniveau
➢ erfordert einen entsprechenden Beschluss der EU-Kommission
➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay
➢ eingeschränkt: Kanada, Israel
➢ Übrige Drittstaaten:
➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel)
➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden)
➢ Einwilligung des Betroffenen (nach umfassender Information)
➢ Sonderfall: Datentransfer in die USA
➢ zusätzlich: EU-US Privacy Shield
Datentransfer in Drittstaaten

22
➢ Soll einen Datenaustausch mit US-Firmen ermöglichen
➢ “quasi wie unter EU-Unternehmen”
➢ Ersatz für “Safe Harbour”
➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”)
➢ Nur für Datenübermittlung an bestimmte US-Firmen:
➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt.
➢ Selbstverpflichtung / Selbstzertifizierung
➢ Keine intensive Kontrolle durch US-Administratition oder EU
➢ Teilnehmende Firmen: www.privacyshield.gov
EU-US Privacy Shield

23
➢ Probleme des EU-US Privacy-Shield:
➢ kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU
➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft
➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft
➢ Überprüfungsfrist für EU-Kommission endete Juli 2017
➢ EU-Parlament fordert Nachbesserung / Beendigung
➢ EU-Justizkommissarin droht mit Beendigung, wenn
keine signifikante Änderungen erfolgen
EU-US Privacy Shield - Probleme

24
⑤
Auftragsdaten-
verarbeitung
…laß’ mich Deine Arbeit machen…
Datenschutz

25
➢ Auftragsdatenverarbeitung =
➢ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢ durch einen Auftragsverarbeiter (Auftragnehmer)
➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢ Aufgrund eines schriftlichen Vertrages
➢ ab EU-DSGVO: auch in elektronischer Form möglich
Auftragsdatenverarbeitung - Grundlagen

26
➢ Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢ Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢ Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢ Umfang der Weisungsbefugnis
➢ Vertraulichkeitsverpflichtung
➢ Kontrollrechte
➢ Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen

27
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Muss durch Auftraggeber geführt werden
➢ EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis

28
➢ Grundsatz:
➢ Auftraggeber haftet für Datenschutzverstöße
➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢ Auftragsverarbeiter zum Verantwortlichen
➢ EU-DSGVO
➢ schärfere Haftung auch des Auftragsverarbeiters
Auftragsdatenverarbeitung - Haftung

29
⑥
Wartungsarbeiten
durch Dienstleister
…laß’ mich Dir helfen…
Datenschutz

30
➢ Wartungsarbeiten = Auftragsdatenverarbeitung
➢ auch bei
➢ Prüfung/Wartung mittels automatisierter Verfahren
➢ nur gelegentlicher Fernwartung
➢ Wartung vor Ort
➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢ “Geheimhaltungsvereinbarung”
➢ ist kein Vertrag zur Auftragsdatenvereinbarung!
➢ Rechtslage unter der EU-DSGVO ist noch unklar:
➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister

31
Alles klar?

32
Noch Fragen?
➢ Zum Nachlesen:
WebmastersLaw.de
WebJustiz.de

Typische Datenschutzprobleme bei Websites

Typische Datenschutzprobleme bei Websites

Recommended

More Related Content

Similar to Typische Datenschutzprobleme bei Websites

Similar to Typische Datenschutzprobleme bei Websites(11)

More from Praetor Intermedia

More from Praetor Intermedia(14)

Typische Datenschutzprobleme bei Websites