Más contenido relacionado
La actualidad más candente (20)
Similar a Social Media & Datenschutzrecht (20)
Más de Michael Rohrlich (17)
Social Media & Datenschutzrecht
- 1. Soziale Netzwerke – So bezwingen
Sie datenschutzrechtliche Hürden!
SOCIAL MEDIA IN DER PRAXIS
- 2. ©2022 Privacy Xperts
Social Media & Datenschutz
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
- 7. ©2022 Privacy Xperts
Einführung
„Haushaltsausnahme“
Social-Media-Nutzung =
ausschließlich persönliche
oder familiäre Tätigkeit?
Ausnahmen vom sachlichen
Anwendungsbereich (Art. 2 Abs. 2 DSGVO)
Tätigkeit, die nicht in den Anwendungs-
bereich des Unionsrechts fällt
(Gesetzgebung in Drittstaaten)
Besondere Bestimmungen über die EU-
Außen- und -Sicherheitspolitik
Ausübung ausschließlich persönlicher oder
familiärer Tätigkeiten durch natürliche
Personen (Privatpersonen)
Verhütung, Ermittlung, Aufdeckung oder
Verfolgung von Straftaten / Straf-
vollstreckung bzw. Abwehr von Gefahren
für die öffentliche Sicherheit
(Strafverfolgungs- & Ordnungsbehörden)
- 8. ©2022 Privacy Xperts
Einführung
„ausschließlich private“ Nutzung von Social Media?
rein privater Zweck (z.B. Weiterleitung einer Stellenanzeige des Arbeitgebers)?
privater Umfang (öffentliches Posting oder auf bestimmte Gruppe beschränkt,
z.B. Familienmitglieder und Freunde)?
Wie viele Nutzer haben Zugriff auf das Posting - mehr als 10? mehr als 100?
mehr als 10.00? alle?
- 9. ©2022 Privacy Xperts
Einführung
EuGH, „Lindqvist“-Urt. v. 06.11.2003, Az. C-101/01
Verarbeitung personenbezogener Daten im Internet nicht mehr „rein privat“,
da eine unbegrenzte Anzahl von Personen Zugang haben
Fazit: für Haushaltsausnahme ist eine Datenverarbeitung zu rein privaten
Zwecken und in privatem Umfang erforderlich!
- 10. ©2022 Privacy Xperts
Einführung
DSGVO anwendbar, da Daten mit Personenbezug verarbeitet werden, z.B.
(Nutzer-) Name
Status-Update
Kommentar
Kurznachricht
Kontakt
Gruppe
Veranstaltung
gefolgte Fanpage
Foto / Video
Verlinkung / Markierung
Geodaten
IP-Adresse
- 11. ©2022 Privacy Xperts
Einführung
Tätigkeit Netzwerkanbieter Fanpagebetreiber
Status-Updates - Speicherung
- Übermittlung
- Eingabe
- Speicherung
- Übermittlung
Postings anderer Nutzer - Speicherung
- Übermittlung
- Übermittlung
Kurznachrichten - Speicherung
- Übermittlung
- Eingabe
- Speicherung
- Übermittlung
Reichweitenanalyse - Erhebung
- Speicherung
Verantwortlichkeiten
(Fanpage)
- 14. ©2022 Privacy Xperts
Einführung
Risikoabwägung / potentielle Schäden (vgl. ErwGr 75 DSGVO) [1/2]
Diskriminierung
Identitätsdiebstahl oder –betrug
finanzieller Verlust
Rufschädigung
Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
unbefugte Aufhebung der Pseudonymisierung
sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10)
Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
Verarbeitung einer großen Menge von Daten
große Anzahl von Betroffenen
- 15. ©2022 Privacy Xperts
Einführung
Risikoabwägung / potentielle Schäden (vgl. ErwGr 75 DSGVO) [2/2]
Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile),
insbesondere von
Arbeitsleistung
wirtschaftliche Lage
Gesundheit
persönliche Vorlieben / Interessen
Zuverlässigkeit
Verhalten
Aufenthaltsort / Ortswechsel
- 16. ©2022 Privacy Xperts
Einführung
Kriterien für „hohes Risiko“ gem. Art.-29-Gruppe (WP248)
Evaluierung- oder Scoring-Maßnahmen
automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den
Betroffenen (Profiling)
systematische Beobachtung von Betroffenen
Verarbeitung besonderer Kategorien personenbezogener Daten
in großem Umfang verarbeitete personenbezogene Daten
Abgleich bzw. Kombination versch. Datensätze
personenbezogene Daten verletzlicher Datensubjekte
Einsatz neuartiger Lösungen / Technologien
Übermittlung personenbezogener Daten in Drittstaaten
Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen
oder einen Dienst / Vertrag zu nutzen
- 20. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Auftragsverarbeitung (AV)?
Weisungsbefugnis des Verantwortlichen ggü. Auftragnehmer?
keine Verarbeitung der Daten zu eigenen Zwecken des Auftragnehmers?
ggf. Entscheidung des Auftragnehmers über Mittel, aber nicht über Zwecke der
Verarbeitung?
Verarbeitung der Daten aufgrund gesetzlicher Verpflichtung durch Auftragnehmer?
Kerntheorie?
korrekter AV-Vertrag mit den erforderlichen Pflichtinhalten?
- 21. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Gemeinsame Verantwortung (JC)?
mehrere Verantwortliche entscheiden gemeinsam über Zwecke und Mittel der
Datenverarbeitung? (nicht unbedingt 50:50, auch z.B. Aufteilung 90:10 möglich)
korrekter JC-Vertrag?
Zurverfügungstellen der wesentlichen Vertragsinhalte ggü. Betroffenen (auf Anfrage)?
EuGH, „Facebook Fanpage“-Urt. v. 05.06.2018, Az. C-210/16
EuGH, „FashionID“-Urt. v. 29.07.2019, Az. C-40/17
- 23. ©2022 Privacy Xperts
Gemeinsame Verantwortung
Muster / Beispiel
Vereinbarung über gemeinsame Verantwortung
Informationen zur gemeinsamen Verantwortung
LfDI Baden-Württemberg
https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-
verantwortlichkeit-sinnvoll-gestalten/
- 26. ©2022 Privacy Xperts
Datenschutzerklärung
Art. 13 Abs. 1 DSGVO
Namen und Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zweck(e) der Datenverarbeitung
Rechtsgrundlage(n) der Datenverarbeitung
ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt
werden
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale
Organisation
- 27. ©2022 Privacy Xperts
Datenschutzerklärung
Art. 13 Abs. 2, 3 DSGVO
Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer)
Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung,
Widerspruch, Widerruf, Datenportabilität, Beschwerde)
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
Ob die betroffene Person verpflichtet ist, die personenbezogenen Daten
bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte
Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf.
aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung
ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
- 28. ©2022 Privacy Xperts
Datenschutzerklärung
Typische Online-Technologien
Analyse-Tools (Google Analytics, Facebook Custom Audience / Pixel, Matomo,
Etracker…)
Kontaktformular
Newsletter
Online-Werbung (Google AdSense…)
Cookies
Social Plugins
Social-Media-Feeds / -Profile
WebFonts (Google WebFonts, FontAwesome…)
Einbindung von Fremdinhalten (Youtube, Google Maps…)
Verschlüsselung (SSL- / TLS-Zertifikat)
Partnerprogramme (Amazon, eBay…)
Stellenausschreibungen / Online-Bewerberverfahren
usw. usw.
- 33. ©2022 Privacy Xperts
Social Plugins / Cookies
„2-Klick-Lösung“ (o.ä. Technik)*
Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)
Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text
Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers
ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung
Info & Vertrag über gemeinsame Verantwortlichkeit
* z.B. c‘t Shariff (Heise Verlag)
- 34. ©2022 Privacy Xperts
Social Plugins / Cookies
Exkurs: EuGH, „Planet49“-Urt. v. 01.10.2019, Az. C-673/17
regelmäßig Einwilligung für Cookies erforderlich (o.ä. Technologien, wie z.B.
localStorage, Fingerprint…)
(techn.) notwendige Cookies: keine Einwilligung erforderlich (Rechtsgrundlage z.B.
Vertragserfüllung oder berechtigtes Interesse)
(techn.) nicht notwendige Cookies: Einwilligung z.B. über Opt-In-Funktion per
Consent Management (Cookie Banner)
„neue“ Regelungen in §§ 25, 26 TTDSG (Einwilligung auch, wenn keine
personenbezogenen Daten verarbeitet werden)
- 35. ©2022 Privacy Xperts
Social Plugins / Cookies
(tech.) notwendige Cookies für… (techn.) nicht notwendige Cookies
für…
virtuellen Warenkorb Tracking
Spracheinstellungen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von Zahlungsdienstleistern Social Plugins
Opt-out-Option eingebettete Inhalte (Youtube, Vimeo,
Google Maps…)
Live-Chats / Messenger
Speicherung der Zustimmung / Ablehnung
von Cookies
- 36. ©2022 Privacy Xperts
Social Plugins / Cookies
Checkliste Cookie-Banner
echte Opt-In-Lösung
Einholung von Einwilligung(en) für Datenerhebung, -weiterverarbeitung und ggf.
-übermittlung ins Ausland in einer Erklärung möglich (Transparenz!)
keine vorausgefüllten Checkboxen
echte Wahlmöglichkeit, z.B. durch zusätzliche Option („Nein“, „Abbrechen“ o.ä.)
kein übermäßiges „Nudging“ (z.B. durch voreingestellte Aktivierung von Marketing-
Cookies)
ausreichende Informationen über Cookies / Cookie-Kategorien
sprechender Link auf Datenschutzerklärung
Beschreibung aller Details in Datenschutzerklärung
kein Verdecken von Rechtstexten (Impressum, Datenschutzerklärung…)
Sonderproblem: Einsatz von US-Tools
- 37. ©2022 Privacy Xperts
Social Plugins / Cookies
Exkurs: EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18
„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016
gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die
Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“
keine Übergangs- oder Schonfrist
EuGH fordert zusätzliche Garantien, z.B. für Rechtsstaatlichkeit und
Rechtsschutzmöglichkeiten
Warten auf das Trans-Atlantic Data Privacy Framework (TADPF)…