-------------------------------------------------------------------------------- Diese Shownotes wurden automatisiert aus extrahiert, siehe . -------------------------------------------------------------------------------- ## Mai 2018 ~~"Datenschutz und Bürokratiechaos"~~ „Datenschutzgrundverordnung“ "EU-DSGVO: die neue europäische Datenschutzgrundverordnung" ### News \* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen Gesichtserkennung ein \*\* Gesichtserkennung Dritter? \<\> \* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit -- jetzt anscheinend sogar doch oeffentlich \* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer \* Google jetzt nicht mehr "nicht boese" \<\> \* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er akzeptiert die neuen Bedingungen "freiwillig" \*\* konnte mit seiner Klage vor dem Europäischen Gerichtshof das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird. \*\*Isn’t this illegal according to GDPR? YES! **Stefan Möller**‏ @**hdoniker** Die CDU Hannover verschickt anlässlich der ~~\#~~**DSGVO** eine Mail zwecks weiterem Newsletterbezug. Mit allen 900 Empfängern in CC. --- ganz kurze Musik?? --- ### Einleitung E-Mail Betreffs der letzten Tage: -\[Action Required\] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) - Updates to our Terms of Use and Privacy Policy (Udemy) - Would you like to stay or go? (Ryte) - Am 25.5 verarbeitet die Umfassendes Thema, hier nur angerissen. Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur Tipps und Hilfen zusammen ### Was ist Datenschutz (und warum)? \* Europäische Menschenrechtscharta (Artikel 8) \* Volkszählungsurteil (abgeleitet von Artikel 1 GG) \* Warum Daten schützen? -\> Überwachung/Kontrolle vs Demokratie Erwägungsgrund \#1: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. -Informationsgrundverordnung - *Artikel 8* der *Europäischen* Menschenrechtskonvention allgemeinen Persönlichkeitsrechts - Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft notwendig” - der öffentlichen Sicherheit und Ordnung (einschließlich der Moral,) - der öffentlichen Gesundheit, - der nationalen Sicherheit, - des wirtschaftlichen Wohls des Staates, - der Kriminalprävention oder - zum Schutz der Rechte und Freiheiten anderer. \## Historie \*\*\* Richtlinie = Handlungsvorschrift einer Institution, jedoch kein förmliches Gesetz Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d. h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden muss ( Gesetz = formelles und materielles Recht, eine Rechtsnorm ) Ausgehend von Richtlinie 95/46/EG von 1995 Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen) Anzuwenden ab: 25. Mai 2018 - enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet. - ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017), es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung der EU-DSGVO) - DSGVO - Datenschutz-Grundverordnung - GDPR - General Data Protection Regulation - *BDSG - Bundesdatenschutzgesetz* - ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking, E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, ) - EMRK - *Europäischen* Menschenrechtskonvention - TMG - Telemediengesetz \## Inhalte // nur überfliegen... Die DSGVO besteht aus: - 99 Artikeln in elf Kapiteln. - 173 Erwägungsgründe - "Interpretationshilfen" des Gesetzgebers, Absichten \* 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission \* Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, … - \+ 84§ BDSG (neu) --- MUSIKPAUSE ? \## Worum geht es? - Schutz "der personenbezogenen Daten"? - Was sind Daten, was ist Information, was ist Privatsphäre \### Was sind personenbezogene Daten? **Artikel 4** weiterhin weit gefasst: „personenbezogene Daten“ \[sind\]: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; … Name in der Regel Personenbezogen? Pseudonym personenbezogen? Pseudonym ist nicht anonym! IP-Adresse Personenbezogen? (-\> ist eine Onlinekennung) Cookies personenbezogen! *Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl personenbezogen.* *- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten, es sei denn es ist erlaubt."* nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn Erlaubnistatbestand aus **Artikel 6**: - Die betroffene Person hat ihre Einwilligung gegeben; - \#PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt, IP-Adresse?) - Nicht-Mündige -\> z.B. Minderjährige? -\> Nur wenn Eltern zustimmen ("Dieser Dienst ist erst ab 16. verfügbar") - schwer prüfbar - verpflichtend bei Newsletter - verpflichtend bei besondere Arten personenbezogener Daten: z.B. Religion, Biometrik, Genetik, Sexualität, Gesundheit -\> Wie sieht es aus mit Fotos? Einwilligung! - denkbar schlechteste Zustimmungsform, außer vorgegeben - Einwilligung widerrufbar -\> Recht auf Löschung - Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht Vertragsvorraussetzung sein -\> nur wenn man sich gezwungen fühlt. - die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich; - z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin - aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB Klauseln die überrumpeln - Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt - die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich; - Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für Kunden) - brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert - die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen; - Krankenhaus? - die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt; - die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich - z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer - Marketing (Tracking und Targeting) steht explizit mit drin - Einfallstor?! Die Abwägung hat noch nicht stattgefunden - - Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Grundsätze der Verarbeitung personenbezogener Daten **Artikel 5 (bloß überfliegen)** - *Rechtmäßigkeit*, Verarbeitung nach Treu und Glauben, Transparenz - *Zweckbindung* (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke) - *Datenminimierung* („dem Zweck angemessen und erheblich sowie auf das \[…\] notwendige Maß beschränkt“) - *Richtigkeit* („es sind alle angemessenen Maßnahmen zu treffen, damit \[unrichtige\] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“) - *Speicherbegrenzung* (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es \[…\] erforderlich ist“) - *Integrität und Vertraulichkeit* („angemessene Sicherheit der personenbezogenen Daten \[…\], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“) **- MUSIKPAUSE** \## Was sich ändert (müssten wir noch sortieren) - Genaue Erklärung was mit den Daten gemacht werden soll - Austausch personenbezogener Daten in der EU nun einfacher (weil Verordnung gleich) - ***Marktortprinzip***: - Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten. - betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc - CDNs? - **Privacy by Design** - (opt in statt opt out!) - Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese Seite verwendet cookies) - in der ePV nochmal verschärft (außer bei SessionCookies)-Einwilligung nötig - (z.B. alle Cookies zulassen / nur firstParty-Cookies) - muss auch bei der Programmierung beachtet werden! - **höhere Bußgelder ** - bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern - bzw. 4% des weltweiten Umsatzes eines Unternehmens - vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu Anwaltskosten) - auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS - aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber - Anspruch auf Schadensersatz (nun auch materiell nicht nur Anwaltskosten) - Höhe noch nicht ganz klar - Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger Anwälte - Artikel 17. **Recht auf Vergessenwerden** - Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe entfallen - Verarbeiter müssen dann aktiv löschen - **Recht auf Datenübertragbarkeit** (Artikel 20) - betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht weiter vorgeschrieben) - z.B. Umzug zwischen Apps, Sozialen Netzwerken - **Recht auf Information** - Verbraucher müssen künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können. - - Daten Dritter? z.B. bei Freundschaftslisten etc. - Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder persönlich) - Auskunftsperson muss ausreichend kommuniziert sein - 1mal pro Jahr? - Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld verlangen). - **~~Datenminimierung~~** - ~~nur notwendige Daten sollen erhoben werden~~ - ~~gabs auch schon vorher~~ - **Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung** - wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder theoretisch selbst ausgeführt) - wenn Unternehmen außerhalb EU dann Garantien-nötig (Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc) oder Privacy-Shield (EU/USA) - wenn nicht vorhanden haften beide Parteien (Freelancer Consultant Webhoster) - - z.B. für Google-Analytics, Buchhalter usw. - Google Opt Out Plugin: ... - Google Analytics ADV: ... - Google Analytics Germanized Plugin: ... - Aktuelle Übersicht! - **Mehr Sicherheit** - Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich ist. Über Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden. (Handelsblatt) - SSL Zugriff auf der Webseite aktivieren! - **weniger Ausnahmen** - keine Außnahme mehr (altes BDSG) für Journalisten oder Kleinunternehmer, sobald nicht mehr Privat alle betroffen - Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige Regelungen - z.B. Fotos, Informanten, Kunden etc - Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche Stellen - **Erwägungsgrund 82:** - Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. - - **Datenschutzbeauftragter** - nicht viel verändert - nicht ganz vorgeschrieben bei Risiko - ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es zählen alle mit Teil der Datenverarbeitung) - dieser muss angemeldet werden, sonst Verstoß! - es darf kein Mitarbeiter sein mit Interessenkonflikt: - kein Geschäftsführer - kein leitender Angestellter - gern auch externer - Prokurist (Handlungsbevollmächtigte) - Besondere Fähigkeiten haben: - Rechtlich sich auskennen - Technisch in der Lage sein - kein Zertifikat notwendig, aber empfehlenswert (man lernt dort praktischen Datenschutz) - keine bestimmte Ausbildung nötig - Der muss sicherstellen: - Sicherheit der Verarbeitung - Stand der Technik muss gewährleistet sein - nach möglichkeit Daten psyeudonymisieren - Integrität der Daten sicherstellen (Backup) - Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten) - Personenbezogene Daten auf Schreibtisch für Besucher einsehbar) - alles muss nachgewiesen werden, rechenschaftspflicht - Verzeichnis von Verarbeitungsbelegen - Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur Gelegentlich - E-Mails, Cloud - eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat - Religion für Steuerzwecke - Schlösser, Mitarbeiter müssen auch AGVs? --- MUSIKPAUSE \## Was sich nicht ändert - ~~Pflicht zur Transparenz (bisschen erweitert)~~ - ~~Informationspflicht (bisschen erweitert)~~ - ~~Rechenschaftspflichen (bisschen erweitert)~~ - Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten notwendig - Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig ohne extra Einwilligung - für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt - Social Media Profile? Öffentlich / Freunde / "echte Freunde" - Online frei zugänglich (eher nicht) - Fotos in der Cloud? \## Was habt ihr in Vorbereitung getan? (5-10Min) - Webseiten von Cookies befreit - ADV-Verträge gecheckt - Weblogs nach 7 Tagen löschen - Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite) - Whatsapp zur Kommunikation von Eltern zustimmen lassen - Datenschutzerklärung in den Footer der Webseite gepackt - Schwenke - \- Auskunftsverantwortlicher muss klar sein - \- bei Rückfragen muss Fragender ausreichend nachgewiesen werden - - ~~\## Datenschutzerklärung auf Webseite~~ ~~- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare, Newsletter etc.~~ ~~- Grundsätzlich bei den meisten nötig. ~~ *~~ - zb. bei Wordpress (Bei Kommentaren SPAM Schutz)~~* *~~ - als Account bei großen Anbietern~~* *~~ -\> z.B. Medium und Blogger trotzdem besser eine eigene anlegen~~* *~~ -\> sobald eigene Domain dann definitiv~~* *~~ -\> bei Facebook-Seiten auch (bei nur Profil eher nicht) (Verfahren bei EUGH läuft dies zu klären)~~* *~~ -\> Gewinnspiele, Kommunikation mit dem Kunden über FB~~* *~~ -\> Instagramm? -\> wahrscheinlich nicht~~* *~~ -\> Twitter eher nicht? -\> nur zur Sicherheit~~* ~~- Geld verdienen -\> Datenschutz? Nein. Datenschutz auch nötig wenn kein "kommerzielle" Absicht~~ ~~- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter~~ ~~- beim Impressum reichen zwei Klicks~~ ~~- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil eines "Impressums"-Link sein~~ ~~besser "Impressum/Datenschutz" oder zwei Links~~ ~~- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn Link zur Datenschutzerklärung~~ ~~- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon Ausgenommen~~ \## rundes Ende 10 - 15min. \* Bewusstsein für Datenschutz schaffen \* BEOBACHTUNG von Menschen/Bürgern durch Daten --\> Nutzung dieser Daten für egoistische Zwecke /Missbrauch --\> KONTROLLE von menschlichem Verhalten \* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle aussehen kann -\> Westworld schauen \* Worum geht es in WW? 1 Was unterscheidet den Mensch von der KI? 2 Frage nach dem freien Willen und der Möglichkeit von Freiheit 3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal kontollieren zu können Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er auch nicht mehr frei --\> Gegen Kontrolle von menschlichem Verhalten durch Daten Datenschutz ist ein Grundrecht Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica) Künstliche Intelligenz Speichert nur Daten die ihr wirklich braucht und löscht diese anschließend \## Quellen grundlegendes zum Recht tips für Webseitenbetreiber Sächsischer Datenschutzbeauftragter: