Digitalisierungskonferenz in Dresden am 12. Juni 2019 Impuls-Vortrag Datenschutz in der Praxis - Dr. Heralt Hug Fachanwalt für Gewerblichen ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
7. Digitalisierungskonferenz in Dresden am 12. Juni 2019 Impuls-Vortrag Datenschutz in der Praxis Dr. Heralt Hug Fachanwalt für Gewerblichen Rechtsschutz 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019
Übersicht 1. Einführung 2. Online-Marketing 3. Datenschutz und Arbeitnehmer 4. Betroffenenrechte 2 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle
1. Einführung − Bereits verhängte Bußgelder liegen, soweit bekannt, bei insgesamt EUR 483.500 − Zu den sanktionierten Verhaltensweisen zählten z.B.: Unzulässige Werbe-E- Mails, unbefugte Kopie von Kundendaten bei Hackerangriff auf Webshop, offene E-Mail-Verteiler − Knuddels.de: Passwörter, E-Mail-Adressen und Pseudonyme von Nutzern sind abgegriffen und im Internet veröffentlich worden → Das Unternehmen hatte die Kundendaten im Klartext auf seinem Server gespeichert → Bußgeld i. H. v. EUR 20.000 3 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle
1. Einführung
Bekannt gewordene DSGVO-Bußgelder in Deutschland nach Bundesländern
(geordnet nach durchschnittlicher Höhe):
Behörde Durchschnitt je Gesamtanzahl Gesamtsumme
Bußgeld
Baden-Württemberg EUR 29.000 7 EUR 203.000
Rheinland-Pfalz EUR 13.778 9 EUR 124.000
Hamburg EUR 8.500 3 EUR 25.500
Berlin EUR 5.867 18 EUR 105.600
Sachsen-Anhalt EUR 2.000 1 EUR 2.000
Nordrhein-Westfalen EUR 433 36 EUR 15.600
Saarland EUR 197 3 EUR 590
Thüringen unbekannt 23 Unbekannt (lediglich
EUR 32.000
bekannt)
https://www.cmshs-bloggt.de/tmc/datenschutzrecht/100-bussgelder-dsgvo-deutschland-uebersicht/
4 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
a) E-Mail-Marketing
→ Einwilligung als Rechtfertigungsgrund, Art. 6 Abs. 1 lit. a), Art. 7
DSGVO
Art. 4 Nr. 11 DSGVO:
"jede freiwillig für den bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung
oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die
betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist."
→ Voraussetzung einer wirksamen Einwilligung:
Der Adressat wurde vorher umfassend, leicht verständlich und
transparent über die Verarbeitung seiner Daten in einer
Datenschutzerklärung, die ihn auch über sein jederzeitiges
Widerrufsrecht aufklärt, informiert.
5 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing a) E-Mail-Marketing − Die Einwilligung muss das Einverständnis des Betroffenen unmissverständlich zum Ausdruck bringen. → Nicht der Fall bei bereits angekreuzten Kästchen (vgl. Erwägungsgrund 32 S. 3 DSGVO) − Strikte Freiwilligkeit: Jeder Nachteil, der mit einer verweigerten Einwilligung verbunden ist, führt praktisch zu einer "unfreiwilligen" Einwilligung. → Abgabe der Einwilligungserklärung ohne jeden Druck und Zwang (Kopplungsverbot) 6 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle
2. Online-Marketing
a) E-Mail-Marketing
Beispiel: Newsletter
→ Die Einwilligung ist im sog. Double-Opt-In-Verfahren einzuholen:
Anmeldung über Bestätigungsmail mit
Anmeldeformular Bestätigungslink
Newsletter-Versand Klick!
✓ Vermeidung unerwünschter E-Mail-Werbung infolge eines Tippfehlers
✓ Dokumentationspflicht wird eingehalten
7 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
a) E-Mail-Marketing
Sonderfall: Personalisierter Newsletter
− Persönliche Anrede: Die Angabe von Namen muss freiwillig bleiben
→ Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c) DSGVO)
− Tracking: Grundsätzlich sind hier zwei Einwilligungen einzuholen:
(1) Abonnement des Newsletters (Double-Opt-In-Verfahren)
(2) Abstimmung des Newsletters auf die Interessen des Nutzers via
Tracking (z. B. über eine zweite Check-Box für ein Opt-In)
8 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
b) Cookies
= Datensätze, die von einem
Webserver auf dem Endgerät des
Nutzers abgelegt werden
→Ist eine Einwilligung in die Cookie-Nutzung
erforderlich?
9 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
Rechtliche Spannungsfelder:
Ergänzung, lex
specialis
hinsichtlich
elektronischer Anwendungsvorrang
Kommunikations
Ablösung daten
2019
Richtlinienkonforme
Auslegung
10 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
b) Cookies
- Berücksichtigung der Positionsbestimmung der DSK:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von
Tracking-Mechanismen, die das Verhalten von betroffenen Personen im
Internet nachvollziehbar machen und bei der Erstellung von
Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d.
DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden
Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B.
bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers
gespeicherte Informationen gesammelt werden.“
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-
TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf
11 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle2. Online-Marketing
b) Cookies
− Danach ist entgegen der bisher weit verbreiteten Praxis eine
vorherige informierte Einwilligung einzuholen
− Konkretisierung der Positionsbestimmung der DSK im März 2019
("Orientierungshilfe der Aufsichtsbehörden für Anbieter von
Telemedien"):
• Möglichkeit des Nutzers, das Setzen von Cookies abzulehnen (ansonsten
keine Freiwilligkeit)
• Tatsächlicher Beginn der Datenverarbeitung erst mit Abgabe der
Einwilligung des Nutzers durch aktive Handlung
• Besuch der Webseite muss auch bei Ablehnung einer Einwilligung möglich
sein (Freiwilligkeit)
• Hinweis auf Möglichkeit des Widerrufs
12 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle3. Datenschutz und Arbeitnehmer
a) Bewerberdaten
− Verarbeitung von Bewerberdaten ist erlaubt, wenn sie erforderlich ist
(§ 26 Abs. 1 S. 1 Alt. 1, Abs. 8 S. 2 BDSG) → Entscheidung über die
Begründung eines Beschäftigtenverhältnisses
BfDI: „Nach einer erfolglosen Bewerbung müssen die
Bewerbungsunterlagen grundsätzlich gelöscht beziehungsweise an die
Bewerberin oder den Bewerber zurückgegeben werden. Der Arbeitgeber darf
die Unterlagen und/oder eine Dokumentation über das Bewerbungsverfahren
jedoch für einen gewissen Zeitraum aufbewahren, um sich gegen einen
etwaigen Verstoß gegen das Benachteiligungsverbot nach dem
Antidiskriminierungsgesetz (AGG) verteidigen zu können.“
− Laut BfDI Löschung spätestens nach zwei Monaten ab Zugang der
Ablehnung an den Bewerber (vgl. § 15 Abs. 4 AGG)
− Berücksichtigung der Informationspflicht (Art. 13 DSGVO)
13 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle3. Datenschutz und Arbeitnehmer
b) Offenlegung und Weitergabe von Mitarbeiterdaten
Geburtstagslisten
Namens-, Telefon-, E-Mail-
Verzeichnis
Konzerninterne Weitergabe
Mitarbeiterfotos
14 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle4. Betroffenenrechte Recht auf Löschung, Art. 17 Abs. 1 DSGVO − Ausdrückliche Verpflichtung zur Löschung personenbezogener Daten − Unabhängig von dem Recht des Betroffenen auf Löschung hat der Verantwortliche bei Vorliegen einer der in Abs. 1 genannten Gründe die Pflicht, auch ohne Antrag des Betroffenen unverzüglich die Daten zu löschen − Die Löschung/Vernichtung stellt selbst eine Datenverarbeitung dar (Art. 4 Nr. 2 DSGVO) → Auch die Löschung unterliegt der Rechenschaftspflicht nach Art. 24 Abs. 1 S. 1 DSGVO − Umsetzung der Rechenschaftspflicht: Nicht die Löschung selbst ist nachzuweisen (Grundsatz der Löschpflicht und der Datensparsamkeit), sondern es ist der Nachweis eines funktionierendes Löschkonzepts zu erbringen 15 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle
4. Betroffenenrechte
Recht auf Löschung, Art. 17 Abs. 1 DSGVO
− Inhalt des Löschkonzepts:
• Erstellen einer Übersicht der genutzten Datenträger und der darauf
gespeicherten Daten
• Festlegung von Schutz- und Sicherheitsstufen
• Auswahl der Löschmethode anhand der Schutz- und Sicherheitsstufe des
Datenträgers
• Festlegung der Löschverfahren inkl. konkreter Umsetzungsvorgaben
• Bestimmung von Löschfristen sowie Fristbeginn
• Dokumentation der Löschroutinen und ihrer Ausführung
• Festlegung von Zutritts- und ggf. Zugangsmaßnahmen
• Festlegung von Verantwortlichkeiten für die Löschung
• Festlegung von regelmäßigen Kontrollmaßnahmen
• Dokumentation der Kontrollmaßnahmen
16 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche SigleVielen Dank für Ihre Aufmerksamkeit!
Dr. Heralt Hug
CMS Hasche Sigle
Augustusplatz 9, 04109 Leipzig
T 0341/21672-135
F 0341/21672-134
E Heralt.Hug@cms-hs.com
cms.law
17 7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle7. Digitalisierungskonferenz in Dresden | 12. Juni 2019 CMS Hasche Sigle
Sie können auch lesen
