Business-Frühstück Keine Website ohne Datenschutz · Datenschutz bei Telemedien • Betreiber...

REFERENTEN:

Dr. Dennis Voigt, Markus Faust

MELCHERS, FRANKFURT AM MAIN

Business-Frühstück

Keine Website ohne Datenschutz

BIEG Hessen / IHK Offenbach am Main

06. Februar 2014


© Dr. Dennis Voigt | Markus Faust | WWW.MELCHERS-LAW.COM | 06.02.2014 2

Gliederung

• Datenschutzerklärung

• Datenschutz bei Telemedien

• Werbung per Telefon/ E-Mail/ SMS/ MMS/ Fax

• Beschäftigtendaten

• Tracking Tools – Google Analytics/ Adobe Analytics/

PIWIK

• Cookies

• Social Media-Buttons

• Der Datenschutzbeauftragte als Freund und Helfer



Allgemein

• Website ist idR Telemediendienst, da elektronischer

Informations- und Kommunikationsdienst

• Umfassende Informationspflichten, § 5 TMG

• siehe hierzu: http://www.youtube.com/watch?v=5STpboX4NnA

http://www.youtube.com/watch?v=5STpboX4NnA



Allgemein

- Abgrenzung TMG/BDSG -

• TMG: personenbezogene Daten, die im Rahmen der

Nutzung eines Informations- und Kommunikations-

dienstes erhoben werden

• BDSG: alle sonstigen personenbezogenen Daten

(vorbehaltlich vorrangiger Spezialnormen)

• Problem: Inhaltsdaten

• Online-Erfüllung:

• Immer TMG

• Offline-Erfüllung:

• TMG für den Bestellvorgang

• BDSG für die Lieferung



Allgemein

- Anwendungsbereich TMG/BDSG international -

• Kollisionsnormen sind gesetzesspezifisch

• Für das TMG: Herkunftslandprinzip, § 3 TMG

• Ausnahme: Datenschutz , § 3 Abs. 3 Nr. 4 TMG

• Kollisionsnormen: § 1 Abs. 3 BDSG:

• Betreiber hat Sitz in der EU: ausländisches Datenschutzrecht, es

sei denn Erhebung, Verarbeitung oder Nutzung erfolgt durch

Niederlassung in Deutschland

• Betreiber der Website hat keinen Sitz in der EU: deutsches

Datenschutzrecht gilt uneingeschränkt



Datenschutzerklärung

§ 13 TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und

Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung

seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des

Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen

bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281

S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht

bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des

Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet,

ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für

den Nutzer jederzeit abrufbar sein.




• Inhaltlich: Betreiber muss informieren über

• Art, Umfang und Zweck der Erhebung personenbezogener Daten

• Datenverarbeitung außerhalb der EU

• Automatisierte Datenverarbeitung, die eine spätere Identifizierung des Nutzers ermöglicht oder eine Datenverarbeitung vorbereitet




• Formell: Information muss

• Zu Beginn des Nutzungsvorgangs erfolgen, es sei denn eine

derartige Unterrichtung ist bereits erfolgt

• Inhalt der Unterrichtung muss jederzeit abrufbar sein

• Mehr zum Datenschutzhinweis:

http://youtu.be/SdcmQeaxnjY

http://youtu.be/SdcmQeaxnjY



Datenschutz bei Telemedien

• Grundsatz:

• Erhebung und Verwendung personenbezogener Daten zur

Bereitstellung von Telemedien nur bei Einwilligung oder

gesetzlicher Erlaubnis




• Betreiber darf:

• Alle Daten erheben, verarbeiten und nutzen, die zur

Begründung, inhaltlichen Ausgestaltung oder Änderung eines

Vertragsverhältnisses zwischen dem Anbieter und Nutzer über

die Nutzung von Telemedien erforderlich sind, § 14 Abs. 1 TMG

(Bestandsdaten)

• Bestandsdaten zu bestimmten Zwecken Aufsichtsbehörden

mitteilen,§14 Abs. 2 TMG

• Alle Daten erheben, verarbeiten und nutzen, die erforderlich

sind, um die Inanspruchnahme von Telemedien zu ermöglichen

und abzurechnen (Nutzungsdaten)




• Sonderregelungen für

• Zusammenführung von Nutzungsdaten verschiedener

Telemedien zu Abrechnungszwecken

• Abrechnungsdaten

• Nutzungsprofile zum Zweck der Werbung, bedarfsgerechten

Gestaltung oder Marktforschung

• Pseudonymisiert

• Hinweis auf Widerspruchsrecht in Datenschutzerklärung

• Verbot der Depseudonymisierung

• Übermittlung anonymisierter Nutzungsdaten für

Marktforschungszwecke

Praktikerseminar

Direktmarketing


Datenschutzrecht in Telemedien

Bewusst und eindeutig erteilt

Nutzer auf Widerrufsrecht

hingewiesen

Nutzer kann Inhalt der Einwilligung

und Hinweis zum

Widerrufsrecht jederzeit abrufen

Nutzer kann Einwilligung

jederzeit widerrufen

Einwilligung protokolliert

• Deshalb: grundsätzlich Einwilligung erforderlich, §13 Abs. 2 TMG:



Datenschutz in Telemedien

• Einwilligung inhaltlich:

• Hinweis auf Zweck der Erhebung/Verarbeitung/Nutzung/Folgen

der Verweigerung

• Bei besonderen personenbezogenen Daten muss Einwilligung

ausdrücklich auf diese bezogen sein

• Angemessen und transparent

• Problem: LG Leipzig, wrp 2011, 1220 – zu Werbezwecken

• Anwendungsempfehlungen des Düsseldorfer Kreises aus

Dezember 2013



Werbung per Telefon/E-Mail/SMS/MMS/Fax

• Zulässigkeit der Nutzung personenbezogener Daten zu

Werbezwecken richtet sich nach BDSG/TMG

• Zulässigkeit der Nutzung von Kommunikationskanälen zu

Werbezwecken richtet sich nach BGB/UWG



Werbung per Telefon/E-Mail/SMS/MMS/Fax

§ 7 UWG Unzumutbare Belästigungen (1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist

unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene

Marktteilnehmer diese Werbung nicht wünscht.

(2) Eine unzumutbare Belästigung ist stets anzunehmen

1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz

geeigneten Mittels der kommerziellen Kommunikation, durch die ein Verbraucher hartnäckig

angesprochen wird, obwohl er dies erkennbar nicht wünscht;

2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige

ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest

mutmaßliche Einwilligung,

3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder

elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt,

oder

4. bei Werbung mit einer Nachricht,


a) bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder

verheimlicht wird oder

b) bei der gegen § 6 Absatz 1 des Telemediengesetzes verstoßen wird oder in der der Empfänger

aufgefordert wird, eine Website aufzurufen, die gegen diese Vorschrift verstößt, oder

c) bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung

solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den

Basistarifen entstehen.

3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter

Verwendung elektronischer Post nicht anzunehmen, wenn

1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem

Kunden dessen elektronische Postadresse erhalten hat,

2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen

verwendet,

3. der Kunde der Verwendung nicht widersprochen hat und

4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen

wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die

Übermittlungskosten nach den Basistarifen entstehen.



Veröffentlichung von Beschäftigtendaten

• Bei Beamten: BVerwG 2 B 131/07

• Veröffentlichung des Namens, Zuständigkeitsbereichs, Telefonnummer

und E-Mail-Adresse unterliegt alleiniger Entscheidungsgewalt des

Dienstherren

• Im privatrechtlichen Beschäftigungsverhältnis

• Uneingeschränkt zulässig, soweit gesetzlich zwingende Angaben

erfüllt werden müssen

• Veröffentlichung von Mitarbeiterdaten nur zulässig, soweit dies zur

Erfüllung der Arbeitspflicht erforderlich ist

• Bspw. Name und Telefonnummer von Außendienstmitarbeitern

• Veröffentlichung von Fotos nur mit Zustimmung des Beschäftigten

• Erlischt mit Ausscheiden aus dem Unternehmen, LAG Hessen, 19 SaGa

1480/11



Tracking Tools

- insbesondere Google Analytics/Adobe Analytics

• Erstellen von Nutzungsprofilen nach § 15 Abs. 3 TMG

nur bei Nutzung eines Pseudonyms zulässig

• IP-Adresse ist personenbezogenes Datum (streitig)

• Problem: Übermittlung von IP-Adressen in die USA

genügt datenschutzrechtlichen Anforderungen (wohl)

nicht, selbst wenn IP-Adressen in den USA gekürzt

werden

• Empfehlung der Bayerischen Datenschutzaufsicht für

Google Analytics/Adobe Analytics



Tracking Tools

- insbesondere Google Analytics/Adobe Analytics

• Vertrag zur ADV mit Google Analytics/Adobe Analytics

• Implementierung der Funktion_anonymizelp (bei Google

Analytics)

• Ergänzung Datenschutzhinweis

• Implementierung von Widerspruchsmöglichkeiten

• Alternative: PIWIK



Cookies

• Hinweispflicht aus§13 Abs. 1 TMG, wenn

• Automatisiertes Verfahren

• Welches eine spätere Identifizierung des Nutzers ermöglicht

oder eine Erhebung oder Verwendung personenbezogener

Daten vorbereitet



Cookies

• Cookie-Richtlinie: 2009/136/EG: führt Art. 5 Abs. 3 Richtlinie

2002/58/EG ein: Art. 5 Abs. 3 2002/58/EG:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf

Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur

gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und

umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der

Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung

oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung

einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt

erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom

Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen

kann.

• Problem: Umsetzung in deutsches Recht bisher nicht erfolgt

• Unmittelbare Anwendbarkeit fraglich



Social Media Plugins

• Plugins sind „Präsenz“ des Social Media Anbieters auf

eigener Website

• Über die Plugins erheben die Social Media Betreiber

personenbezogene Daten unter Umständen aller Nutzer

(IP-Adresse)

• Erfordert grundsätzlich Hinweis in Datenschutzerklärung

und – streng rechtlich betrachtet – Einwilligung des

Nutzers

• Einwilligungserfordernis in der Praxis kaum umsetzbar

• Ergänzung der Datenschutzerklärung mit Texten der

Social Media Anbieter



DSB als Freund und Helfer

• DSB ist zu bestellen wenn

• Automatisierte Datenverarbeitung durchgeführt

• Ausnahme: höchstens 9 Personen ständig damit beschäftigt

• Rückausnahme:

• Vorabkontrolle oder

• Geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung,

der anonymisierten Übermittlung oder für Zwecke der Markt- oder

Meinungsforschung automatisiert verarbeitet

• Bei nicht automatisierter Verarbeitung: wenn mindestens 20

Personen damit betraut sind

• Nach Bestellung des DSB entfällt die Meldepflicht vor

automatischer Datenverarbeitung



DSB als Freund und Helfer

• Aufgaben:

• Hinwirkung auf die Einhaltung des BDSG und anderer Vorschriften im

Datenschutz

• Überwachung der ordnungsgemäßen Anwendung der

Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene

Daten verarbeitet werden sollen

• Schulung der mit der Verarbeitung personenbezogener Daten

beschäftigten Personen durch geeignete Maßnahmen

• Erstellung und Aufbewahrung des internen Verfahrensverzeichnisses

• Bereitstellung des öffentlichen Verfahrensverzeichnisses an Dritte in

geeigneter Weise

• Erarbeitung der technisch-organisatorischen Maßnahmen




Vielen Dank für Ihre Aufmerksamkeit

Markus Faust Dr. Dennis Voigt

Rechtsanwalt Rechtsanwalt

MELCHERS Rechtsanwälte

Partnerschaftsgesellschaft mbB

Darmstädter Landstraße 108

60598 Frankfurt

+49 69 653 0006-0

[email protected]

www.melchers-law.com

mailto:[email protected]



Business-Frühstück Keine Website ohne Datenschutz · Datenschutz bei Telemedien • Betreiber...

Documents

Transcript of Business-Frühstück Keine Website ohne Datenschutz · Datenschutz bei Telemedien • Betreiber...