2. Zulassung als Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 2012
Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor & Dozent seit 1997
19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten2
Michael Rohrlich
Rechtsanwalt
3. Agenda
19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten3
1. Einführung
2. Pflichtinformationen nach Art. 13, 14 DSGVO
3. Ergänzende Pflichtinformationen online
4. Menüpunkt zur Datenschutzerklärung
5. Besonderheiten der sozialen Medien
5. 5 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Einführung
Was muss online datenschutzrechtlich beachtet werden?
Datenschutzrecht einschlägig, wenn Daten mit Personenbezug verarbeitet werden (online + offline)
Definition „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO:
• „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
• „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […].“
„Personenbezogene Daten“ sehr weitgehend zu verstehen, nur reine Unternehmens-, Statistik- oder
Maschinendaten ausgenommen.
6. 6 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Einführung
Online-Kennung?
ErwGr. 30 DSGVO:
„Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen […] oder
sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere
in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt
werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
7. 7 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Einführung
Beispiele personenbezogener Daten
Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
Kontaktdaten (Telefonnr., Faxnr., E-Mail etc.)
Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
Allg. äußere Merkmale (Größe, Gewicht, Haar-/ Augenfarbe etc.)
Biometrische Daten (Fingerabdruck, DNA-Probe etc.)
Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
Fotos (erkennbare Darstellung einer Person)
Kfz-Kennzeichen
IP-Adressen (statisch & dynamisch)
Aber: Es kommt immer auf den Kontext an!
8. 8 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Einführung
Verarbeiten
Erheben,
Erfassen
Auslesen,
Abfragen
Verändern,
Anpassen,
Einschrän-
ken
Speichern
Löschen,
Vernichten
Ordnen,
Organisie-
ren
Abgleichen,
Verknüpfen
Offenlegen
durch
Übermittlung,
Verbreitung,
Bereitstellung
9. 9 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Einführung
Online und/oder offline?
ErwGr. 15 DSGVO:
• „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und
nicht von den verwendeten Techniken abhängen.“
• Änderungen durch die zukünftige E-Privacy-VO?
Fazit: Regelungen der DSGVO gelten grdsl. auch für Online-Verarbeitung von personenbezogenen Daten.
10. 19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten10
2
Pflichtinformationen nach
Art. 13, 14 DSGVO
11. 11 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Pflichtinformationen nach Art. 13, 14 DSGVO
Umsetzung der Informationspflichten
DSGVO-Pflichtinformationen für alle Verarbeitungstätigkeiten, online + offline
D.h.: Jede nicht nur rein private Internetpräsenz muss u.a. auch eine Datenschutzerklärung bereitstellen,
unabhängig vom konkreten Medium
Website dann nicht mehr rein privat, wenn z.B. Google AdWords, Amazon Partnerprogramm o.ä. eingebunden
werden
Fazit: Datenschutzerklärung Pflicht für Website, Webshop, Blog, Social Media, App…
12. 12 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Pflichtinformationen nach Art. 13, 14 DSGVO
Rechtsgrundlage?
Informationspflichten aus Art. 13, 14 DSGVO
Art. 13 DSGVO, wenn Daten bei betroffener Person erhoben werden
Art. 14 DSGVO, wenn Daten über Dritte erhoben werden
Bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO einschlägig.
13. 13 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Pflichtinformationen nach Art. 13, 14 DSGVO
Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
Namen und Kontaktdaten des Verantwortlichen
ggf. Kontaktdaten des Datenschutzbeauftragten
Zweck(e) der Datenverarbeitung
Rechtsgrundlage(n) der Datenverarbeitung
ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale Organisation
14. 14 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Pflichtinformationen nach Art. 13, 14 DSGVO
Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)
Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf,
Datenportabilität, Beschwerde)
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen
Vertragsabschluss erforderlich ist
Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche mögliche
Folgen die Nichtbereitstellung hätte
Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf. aussagekräftige Informationen
über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung
ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
15. 15 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Pflichtinformationen nach Art. 13, 14 DSGVO
„Sie haben das Recht, sich bei der für uns zuständigen Aufsichtsbehörde zu beschweren.“
„Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren,
z.B. bei der für uns zuständigen Aufsichtsbehörde: …“
Beispiel: Hinweis auf Beschwerderecht
16. 19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten16
3
Ergänzende Pflicht-
informationen online
17. 17 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Ergänzende Pflichtinformationen online
Allg.
Datenschutzhinweise
Art. 13, 14
DSGVO
Online-
Datenschutzerklärung
Art. 13, 14
DSGVO
Online-
Technologien
18. 18 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Ergänzende Pflichtinformationen online
Typische Online-Technologien:
Analyse-Tools (Google, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
Kontaktformular
Newsletter
Online-Werbung
Cookies
Social Plugins
WebFonts (Google WebFonts, FontAwesome…)
Einbindung von Fremdinhalten (Youtube, Vimeo, Google Maps…)
Verschlüsselung (SSL-/ TLS-Zertifikat)
Partnerprogramme (Amazon, eBay…)
Stellenausschreibungen / Online-Bewerberverfahren
Gewinnspiele
Meinungsumfragen
Chat-Tools / Chat-Bots
Login / Kundenbereich
usw. usw.
19. 19 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Ergänzende Pflichtinformationen online
Umsetzung der Informationspflichten in die Praxis
Div. Online-Generatoren verfügbar, z.T. kostenfrei nutzbar
Auch (i.d.R. kostenpflichtige) Legal-Tech-Angebote z.B. in Form einer sich selbst aktualisierenden
Datenschutzerklärung
Rechtssichere Gestaltung durch spezialisierten Rechtsanwalt (konkrete Rechtsberatung)
Beachte: Online-Generatoren häufig nur „Orientierungshilfen“ und gerade keine konkrete Rechtsberatung
20. 20 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Ergänzende Pflichtinformationen online
Cookie-Layer-Pflicht?
Nach aktueller dt. Rechtslage: man wusste es nicht genau, tendenziell ja
Gem. Nutzungsbedingungen von Google: ja
Gem. Datenschutzkonferenz (DSK): ja
Gem. EuGH: ja
Ideal: Cookie-Layer mit Opt-in für alle Cookies, die techn. für den Betrieb der Website nicht erforderlich sind
Nicht rechtssicher (aber oft eingesetzt): Cookie-Layer mit Opt-out
Zukünftig: Regelung durch E-Privacy-Verordnung?
21. 21 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Ergänzende Pflichtinformationen online
Exkurs: Voraussetzungen für den Einsatz von Google Analytics & Co.
Codemodifikation, IP-Adressen dürfen nicht ungekürzt erhoben werden (z.B. Funktion „anonymizeIP“ bei Google)
Hinweis auf Widerspruchsmöglichkeit
Beschreibung auf Funktionsweise der Software in Datenschutzerklärung
Vertrag mit Software-Anbieter (z.B. Google) über Auftragsverarbeitung
ggf. Altdaten / bestehenden Account löschen
22. 19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten22
4
Menüpunkt zur
Datenschutzerklärung
23. 23 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Menüpunkt zur Datenschutzerklärung
Wie muss der Menüpunkt gestaltet werden?
Allg. Vorgaben in Art. 12 DSGVO
Form:
• präzise
• transparent
• verständlich
• leicht zugänglich
Sprache:
• klar
• einfach
Beachte: Vorgaben gelten auch für die Darstellung der Pflichtinhalte!
24. 24 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Menüpunkt zur Datenschutzerklärung
Menüpunkt Datenschutzerklärung – Best Practice:
Klar benannt (z.B. „Datenschutz“ oder „Datenschutzerklärung“)
Leicht auffindbar (Platzierung in der Hauptnavigation oder im Site-Footer / -Header)
Von jeder einzelnen Unterseite aus erreichbar
Beachte: Menüpunkte wie „Impressum“ oder auch „Datenschutz“ dürfen nicht
durch Cookie-Layer o.ä. verdeckt werden!
25. 25 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Menüpunkt zur Datenschutzerklärung
Darstellungsmöglichkeiten online
Responsive Design (Pflicht!)
„Stufige Darstellung“, d.h. mehrstufige Darstellung der Inhalte
„Aufklapp‐Darstellung“, d.h. interaktive Site mit einzelnen, aufklappbaren Abschnitten (sog. Ziehharmonika‐Effekt,
HTML5‐Befehle <details> und <summary>)
Ergänzende Verwendung von erläuternden Bildsymbolen
26. 26 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Menüpunkt zur Datenschutzerklärung
Bsp.: Xing.de
27. 27 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Menüpunkt zur Datenschutzerklärung
Bsp.: netable.de
28. 19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten28
5
Besonderheiten der sozialen
Medien
29. 29 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Besonderheiten der sozialen Medien
Welche Besonderheiten sind in den sozialen Medien zu beachten?
Gem. EuGH sind Netzwerkbetreiber (Facebook & Co.) und Profil-Betreiber „gemeinsam Verantwortliche“ i.S.v. Art.
26 DSGVO („joint controllership“)
Kein Auftragsverarbeitungs-Verhältnis (Art. 28 DSGVO)
Ideal: Vertrag über gemeinsame Verantwortlichkeit abschließen (falls möglich)
Bislang stellt nur Facebook Vereinbarung gem. Art. 26 DSGVO bereit
(sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“).
30. 30 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Besonderheiten der sozialen Medien
Betrieb eines Social-Media-Accounts – Best Practice:
Menüpunkt „Datenschutz“ anlegen
Falls möglich: statt kompletter Pflichtinhalte eher „sprechenden Link“ auf die Datenschutzerklärung der eigenen
Website angeben (z.B. „Datenschutzhinweise: www.xyz.de/datenschutz“)
In Datenschutzerklärung Beschreibung der Datenverarbeitung in den sozialen Medien (soweit bekannt)
Hinweis, dass Website-Datenschutzerklärung auch für Social-Media-Profile gilt
Verlinkung auf die Datenschutzhinweise des / der genutzten sozialen Netzwerke
Verlinkung auf die „Joint-Controllership-Vereinbarung“ (z.Zt. nur bei Facebook möglich, zu finden unter:
https://www.facebook.com/legal/terms/page_controller_addendum)
31. 31 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Besonderheiten der sozialen Medien
Was gilt bei Einbindung von Social Plugins?
sog. Social Plugins, z.B.
• „Like“-Button (Facebook)
• „Tweet“-Button (Twitter)
• „Share“-Button (LinkedIn)
• „x“-Button (Xing)
Einbindung in eigene Website wegen Übertragung u.a. der IP-Adresse datenschutzrechtlich problematisch
Fazit: Social Plugins niemals „einfach so“ einbinden, sondern „2-Klick-Lösung“ o.ä. verwenden
32. 32 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Besonderheiten der sozialen Medien
Bsp.: heise.de
33. 33 DSGVO - Das müssen Sie bei Ihrer Website beachten 19.11.2019
Besonderheiten der sozialen Medien
Einbindung von Social Plugins – Best Practice:
Einsatz einer „2-Klick-Lösung“ oder einer ähnlichen Technik
Zunächst Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)
Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers
Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in Datenschutzerklärung
Umsetzung in die Praxis durch „c‘t Shariff“-Lösung des Heise Verlages oder spezieller Add-ons für CMS.
34. Vielen Dank
In Kürze in Ihrer Mediathek
▪ Video-Aufzeichnung der Online-Schulung
▪ Fragen- & Antworten-Dokument
19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten34
Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern.
35. Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts:
In Ihrer Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
Zeit für Ihre Fragen
19.11.2019DSGVO - Das müssen Sie bei Ihrer Website beachten35
36. Weitere Online-Schulungen,
die Sie interessieren könnten
Excel Aufbaukurs – Daten
zusammenstellen,
auswerten und darstellen
Wie erstelle ich einen
Businessplan:
Praktische Umsetzung
anhand eines Beispiels
Sozialversicherung und
Lohnsteuer – Wichtige
Änderungen im
Überblick
Die wichtigsten
Steueränderungen zum
Jahreswechsel: Das
ändert sich für
Unternehmer
Mo, 25.11.2019, 09:00 Uhr Do, 28.11.2019, 09:00 Uhr Do, 12.12.2019, 09:00 Uhr Di, 14.01.2019, 09:00 Uhr
ca. 80 Min. ca. 80 Min. ca. 80 Min. ca. 80 Min.
49,95 € 49,95 € 49,95 € 49,95 €
59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt.
Zur Schulung Zur Schulung Zur Schulung Zur Schulung