Kundendaten und DSGVO - Schoenherr · • Zulässigkeit Kontrolle hängt von der Art der Kontrolle...

© 2017 schoenherr 1

• Grundsätze zur Erhebung und Verarbeitung personenbezogener

Daten:

- Erhebung für festgelegte, eindeutige und legitime Zwecke

- Verarbeitung auf rechtmäßige Weise und nach Treu und

Glauben

• Diese Grundsätze wurden von der DS-Richtline übernommen und in

der DSGVO weiter fortgeschrieben (Art 5 DSGVO)

• Dazu: Weitergehende Vorgaben unter der DSGVO

• Grundsatz der Datenminimierung

• Grundsatz der Datenrichtigkeit

• Grundsatz der Speicherdauerbegrenzung

• Grundsatz der Datenintegrität und Datenvertraulichkeit

-> Übergang von Richtlinie zur DSGVO bedeutet “Alte Daten im neuen

Gewand”

Kundendaten und DSGVO „Alte“ Daten unter dem DSG, „Neue“ Daten unter der DSGVO?

DSGVO in der Praxis:

Ihre Fragen - unsere Antworten!


• Anonymisieren, Pseudonymisieren, Löschen:

• Was mache ich mit "alten" Daten unter der DSGVO?

• Sind Kundendatenauswertungen noch erlaubt?

• Austausch von Mitarbeiterdaten und die Überwachung von Mitarbeitern:

• Was ist zukünftig erlaubt?

• Was ist zu beachten?

• Die datenschutzrechtliche Zustimmung vor und nach der DSGVO:

• Wie wirkt sie?

• Was hat ein Unternehmen bei der Vorbereitung auf die DSGVO zu beachten?

Übersicht Modul VI: DSGVO in der Praxis


Kundendaten und DSGVO


• Grundsätze zur Erhebung und Verarbeitung personenbezogener

Daten:

- Erhebung für festgelegte, eindeutige und legitime Zwecke

- Verarbeitung auf rechtmäßige Weise und nach Treu und

Glauben

• Diese Grundsätze wurden von der DS-Richtline übernommen und in

der DSGVO weiter fortgeschrieben (Art 5 DSGVO)

• Dazu: Weitergehende Vorgaben unter der DSGVO

• Grundsatz der Datenminimierung

• Grundsatz der Datenrichtigkeit

• Grundsatz der Speicherdauerbegrenzung

• Grundsatz der Datenintegrität und Datenvertraulichkeit

-> Übergang von Richtlinie zur DSGVO bedeutet “Alte Daten im neuen

Gewand”

Kundendaten und DSGVO "Alte" Daten unter dem DSG "Neue" Daten unter der DSGVO?


• Wurden die Daten rechtmäßig erhoben?

Bestand bei Erhebung eine vertragliche Grundlage?

Lag bei Erhebung eine gültige Einwilligungserklärung vor?

Wurden die Daten rechtmäßig erhoben (Achtung etwa beim personenbezogenen Internet-Tracking) oder wurden die Daten

rechtmäßig zugekauft (zB bei Adress- oder Direktmarketingunternehmen)?

• Sind die Daten rechtmäßig im Bestand?

Besteht die vertragliche Beziehung fort?

Wurde die Einwilligungserklärung widerrufen bzw gilt sie unter der DSGVO weiter?

Kam es zu einem Widerspruch der Datenverarbeitung?

Sind seit der Datenerhebung gesetzliche Löschvorgaben in Kraft getreten?

Kundendaten und DSGVO Der Datencheck: (i) Rechtmäßigkeit & Zweckbindung


• Besteht für die Datenverwahrung ein legitimer Zweck?

Untersteht die Datenverwahrung einem legitimen Zweck?

Kam es seit der Erhebung der Daten zu einer (unbeabsichtigten) Zweckänderung?

Grundsätzlich: Ist für die Daten überhaupt ein Verwahrungszweck

definiert?

Kundendaten und DSGVO Der Datencheck: (i) Rechtmäßigkeit & Zweckbindung


• Customer Data Warehouse wird aus allen Unternehmensbereichen

gespeist, “wächst” ohne rechtliche Kontrolle:

- Daten auf “Vorrat” legen ist grundsätzlich kein legitimer Zweck

- Keine Nachvollziehbarkeit der Datenherkunft = keine Nachvollziehbarkeit ihrer Rechtmäßigkeit

- Gefahr der unerlaubten Zweckänderung: “Vom Vertrag zum Marketing“

• Sonderthema: “Kundenwiedererkennung”:

- DSGVO sieht neben Vertragserfüllung das “berechtigte Interesse” des Verantwortlichen als gesonderten Rechtsgrund vor

- Erwägungsgründe: Direktmarketing. Kundenwiedererkennung unter der DSGVO argumentierbar?

Kundendaten und DSGVO Fallstricke in der Praxis: Rechtmäßigkeit & Zweckbindung


• Daten müssen auf den Zweck ihrer Verarbeitung qualitativ und

quantitativ begrenzt sein:

Sind die Daten für den Zweck wirklich erheblich, sind sie objektiv geeignet für den Verarbeitungszweck (zB Verarbeitung privater Kontaktinformationen des Kunden)?

Sind die Daten auf das notwendige Maß beschränkt und nicht etwa

überschießend (zB Verarbeitung von Daten zur beruflichen Qualifikation des Kunden im “einfachen” Customer Relationship Management)?

Kann der Verarbeitungszweck nur auf personenbezogener Basis erreicht werden, ist nicht auch mit anonymisierten bzw aggregierten Daten das Auslagen zu finden (zB Reports zum Kundenverhalten, prognostische

Auswertungen)?

Kundendaten und DSGVO Der Datencheck: (ii) Datenminimierung


• Daten müssen “sachlich richtig” sein:

Sind die Daten richtig, dh spiegeln sie die Realität wieder (vgl 60jähriger Kunde wird seit 20 Jahren im Kundenstamm geführt)?

Sind die Daten noch aktuell (vgl “Costeja”-Erkenntnis des EuGH)? – Vorsicht bei Daten zu Wertungen (zB Bonitätseinstufungen)

Kundendaten und DSGVO Der Datencheck: (iii) Datenrichtigkeit


• Daten dürfen nur so lange personenbezogen gespeichert werden,

als dies zur Zweckerfüllung erforderlich ist:

Welche gesetzlichen Speicherfristen sind auf meine Daten anwendbar?

Sind die Speicherfristen bereits abgelaufen?

Falls ja: Bestehen empirische Erfahrungswerte, dass über den Ablauf

der Speicherfrist hinaus ein Bedarf an personenbezogener Datenhaltung besteht?

Falls ja: Wie lange definieren sich diese empirischen Speicherfristen (per Selbstdefinition)?

-> wichtig: Dokumentation!

Kundendaten und DSGVO Der Datencheck: (iv) Speicherbegrenzung


• Daten müssen unter angemessenen Sicherheitsvorkehrungen

aufbewahrt werden:

Sind die Daten in einer sicheren IT-Landschaft aufbewahrt (vgl Datenbestände auf USB-Sticks)?

Wer hat Zugriff auf die Daten und warum?

Werden die Daten innerhalb der Unternehmensgruppe weitergeleitet oder zugänglich gemacht?

Sind die Daten im Monitoring-Fokus (vgl data breach Anforderungen)?

Kundendaten und DSGVO Der Datencheck: (v) Integrität & Vertraulichkeit


• Vertragsbeziehung schon seit längerem beendet, Kundendaten

“existieren” einfach weiter

• Zustimmungserklärungen nicht mehr auffindbar / nicht

judikaturkonform

• Quelle der Daten unbekannt

• Verschiedene Unternehmensbereiche haben Datenzugriff,

Zugriffsgrund und –zweck sind unbekannt

• “Macht des Faktischen”: Das System erlaubt Dateneinträge, diese

werden vorgenommen, rechtliche Prüfung bleibt aus (zB Einträge zur

Religionszugehörigkeit eines Kunden -> Erhoben wegen

Essensgewohnheiten, weiter “tradiert” in der CRM-Datenbank)

• “Ewige” Datenspeicherung

Kundendaten und DSGVO Fallstricke in der Praxis


Fokus: Datenlöschung


• Löschung von Daten in der DSGVO nicht definiert, nur der Rechtsanspruch auf

Löschung (Art 17 DSGVO)

• OGH 6 Ob 41/10p: “Datenlöschung” vs “Datensperre” (§ 4 Z 9 DSG)

• “Löschen” = Maßnahme, durch welche der Verarbeiter nicht mehr über die Daten verfügt

• “Logisches Löschen” ist ein Weniger, bedeutet nur, dass die Daten innerhalb der EDV-Anlage nicht mehr verfügbar sind (setzt OGH mit “Sperre” gleich)

• “Löschen” bedeutet Irreversibilität, es genügt nicht die Datenorganisation so zu ändern, dass ein gezielter Datenzugriff ausgeschlossen ist

• DSGVO: “Einschränkung”, “Löschung”, “Vernichtung” (Art 4 Z 2 DSGVO) –

“Vernichtung” betrifft physischen Datenträger, “Löschung” betrifft Daten auf dem Datenträger

• DSGVO bietet terminologischen Raum für “entspannte” Folgejudikatur

Kundendaten und DSGVO Fokus: Datenlöschung


• DSGVO schützt personenbezogene Daten natürlicher Personen (vgl

Art 4 Z 1 DSGVO)

• Gleichlautend: Bundesgesetz zum Schutz natürlicher Personen bei

der Verarbeitung personenbezogener Daten (Datenschutzgesetz –

DSG) (Titel des nationalen Datenschutz-Anpassungsgesetzes 2018)

• Dieses erging jedoch nur als Novelle des DSG 2000, dh §§ 1 bis 3 DSG

2000 bleiben bestehen

• Unberührt daher: Grundrecht auf Datenschutz gem § 1 DSG

• Juristische Personen weiterhin Grundrechtsträger?

• Klar ist: Juristische Personendaten kein Schutzgut der DSGVO

• Vorsicht: Sekundärbezug auf Personendaten (zB in einem

Unternehmensdokument erwähnte Mitarbeiter)

Kundendaten und DSGVO Fokus: Juristische Personendaten


- DSGVO: Daten dürfen nur für jenen Zweck verwendet werden, für

den sie erhoben wurden

- Datenauswertungen dienen regelmäßig anderen Zwecken als jenen

der Datenerhebung, oft ist Zweck noch gar nicht determiniert

- Konfliktbereiche: Grundsätze der Zweckmäßigkeit, Rechtmäßigkeit

und Datenminimierung (= Verarbeitung auf personenbezogener Basis

nur im unerlässlichen Umfang erlaubt)

- Allerdings: Art 6 Abs 4 DSGVO ermöglicht die Datenverarbeitung zu

„Sekundärzwecken“ unter Berücksichtigung:

- Primärzweck zu Sekundärzweck und Datenzusammenhang

- Art der verarbeiteten Daten und Folgen der Weiterverarbeitung

- Schutzgarantien (Verschlüsselung, Pseudonymisierung)

Kundendaten und DSGVO Fokus: Datenauswertungen


- DSGVO reguliert personenbezogene Daten

- „Personenbezug“ bedeutet die (mittelbare) Bestimmbarkeit der

Identität des Betroffenen

- Achtung: auch „Sachdaten“ (zB Bewegungsdaten eines Kfz) sind im

Regelfall personenbezogene Daten

- Datenschutzrechtliche Lösungsansätze für Datenauswertungen zielen

in der Regel auf die Vermeidung des Personenbezugs der Daten ab

Kundendaten und DSGVO Problemaufriss


Anonymisierung & Pseudonymisierung


- Datenbestände werden vor der Verknüpfung anonymisiert

- Anonymisierung in der DSGVO nicht definiert; bedeutet im Wesen,

dass die Identität der Betroffenen unabhängig vom Einsatz der Mittel

durch niemanden mehr feststellbar ist (Vorsicht bei Pooldaten!)

- Verarbeitungsergebnisse dürfen keinen Personenbezug zum Ziel

haben (zB Unzulässigkeit des „verfolgten“ RFID Transponders)

- Datenanonymisierung verhindert die Anwendbarkeit der DSGVO

(ErwGr 26)

- Problem: In großen Datenuniversen ist Re-Identifizierung individueller

Personen oftmals potentiell möglich

Kundendaten und DSGVO Datenanonymisierung


- „Pseudonyme“ Daten in Art 4 Z 5 DSGVO definiert: Personenbezug

nur durch Zuhilfenahme zusätzlicher Mittel möglich, wobei diese

zusätzlichen Mittel gesondert aufbewahrt und technisch /

organisatorisch sicher verwahrt sind

- „Pseudonymisiert“ sind Daten, bei denen etwa der Personenbezug

durch eine Codierung ersetzt wird und der „Halter“ des Codes von

demjenigen, der die Daten verarbeitet, verschieden ist.

- Valide Datenpseudonymisierung bspw durch Datentreuhänder:

- Vereinbarung einer dauerhaften Datencodierung

- Verhinderung zufälliger Identitätsoffenlegung

- Decodierung nur bei „trigger events“, welche außerhalb der Parteiendisposition liegen

Kundendaten und DSGVO Datenpseudonymisierung


Profiling


- „Profiling“ in Art 4 Z 4 DSGVO definiert: Datenverwendung, um

persönliche Aspekte einer Person zu bewerten, insbesondere

betreffend Analysen und Vorhersagen zu Arbeits-, Wirtschaftsleistung,

Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten,

Aufenthaltsort oder Ortswechsel

- „Profiling“ heftig diskutiert, Kom.Entwurf 2012 sah noch Verbot des

„Profilings“ vor

- Zulässigkeitsvoraussetzungen zum „Profiling“ fehlen in der DSGVO

- Jedoch Art 22: Verbot einer ausschließlich auf „Profiling“ basierenden

Entscheidung, außer bei Fällen der Vertragserfüllung oder bei

Zustimmung.

- Art 70 lit f: Europäischer Datenschutzausschuss soll Leitlinien für

Profiling bereitstellen

Kundendaten und DSGVO Profiling


- Unzulässig ist, ausschließlich aufgrund automatisierter Verarbeitung

einer Entscheidung mit rechtlicher Wirkung oder erheblicher

Beeinträchtigung unterworfen zu sein, zB automatisierte

Tarifzuordnung eines Kunden

- Hier muss menschliches Mitwirken eingesetzt werden, um den

Betroffenen vor einem „Bewertungsautomatismus“ zu schützen

- Verbotsausnahmen: (i) Einwilligung des Betroffenen, (ii) objektives

Erfordernis für Vertragsabschluss / -erfüllung (Lit: Smart Metering)

- Kein Profiling mit besonderen Kategorien von Daten (zB

Gesundheitsdaten)

- Kein Profiling bei Kindern (ErwGr 71)

Kundendaten und DSGVO Profiling im Detail


- Achtung: Profiling muss in der Datenschutzinformation angeführt

werden:

- Information über die involvierte Logik

- Tragweite und Wirkung für den Betroffenen



- Datenschutz-Folgenabschätzung bei Verarbeitungen mit hohem

Risiko für Rechte und Freiheiten des Betroffenen

- Art 29 Datenschutzgruppe: Working Paper zum Privacy Impact

Assessment führt ausdrücklich Scoring, Profiling, Predicting an

- Profiling führt zur Datenschutz-Folgenabschätzung (Art 35):

- Beschreibung des geplanten Profilings

- Bewertung der Notwendigkeit und Verhältnismäßigkeit des

Profilings

- Bewertung der Risiken für die Betroffenen

- Abhilfemaßnahmen und Nachweis der DSGVO Compliance

- Eventuell: Vorherige Konsultation mit Aufsichtsbehörde (Art 36)



- Art 89 DSGVO erlaubt Mitgliedstaaten privilegierende Regelungen für

Archiv-, Forschungs- und Statistikarbeiten

- Bisher: § 46 DSG 2000; künftig: § 7 Datenschutz-AnpassungsG 2018

- Recht weitgehende Erlaubnis zur Datenverwendung, wenn das

Auswertungsergebnis keine personenbezogenen Aussagen trifft

- Problem: Statistikbegriff ist wissenschaftlich zu verstehen, nicht im Sinn

kommerzieller Nutzungen und Auswertungen

Kundendaten und DSGVO Anwendungsprivileg des Art 89 DSGVO


Mitarbeiterüberwachung


• Kollektivverträge („KV“) und Betriebsvereinbarungen („BV“)

• Jede BV bedarf eines sog „Ermächtigungstatbestands“

• DSGV keine eigenständige Ermächtigungsgrundlage und auch kein

„Gesetz“ iSd § 29 ArbVG

• BV mit dem Regelungstatbestand der Verarbeitung von AN-Daten:

- Die Menschenwürde berührende Kontrollmaßnahmen § 96 Abs 1 Z 3 ArbVG

- Elektronische Personaldatensysteme § 96a Abs 1 Z 1 ArbVG

Mitarbeiterüberwachung DSGV als neuer rechtlicher Rahmen


• Einführung von Kontrollmaßnahmen und technischen Systemen zur

Kontrolle der AN unterliegt notwendiger Mitbestimmung des BR, sofern

die Maßnahmen die Menschenwürde berühren

- Notwendig bedeutet die zwingende Einbeziehung des BR bei sonstiger Rechtsunwirksamkeit der Kontrollmaßnahme

- Besteht kein BR Einführung Kontrollmaßnahme mit schriftlicher EZ jedes einzelnen AN mgl (Ausnahme)

- Kontrollmaßnahmen bzw -systeme sind seitens des AG veranlasste, auf Dauer angelegte Vorkehrungen, die es ermöglichen, AN zu überwachen

- Objektive Eignung zur Kontrolle (auch wenn AG Kontrollabsicht fehlt)

- Generelle Maßnahme von gewisser Dauerhaftigkeit (keine Ad-hoc-Reaktionen)

- Begriff „Berühren “ versus „Verletzung“ (ständige Überwachung, Telefonabhöranlagen, Glasscheiben, körperliche Untersuchungen, Leibesvisitationen, Eingriffe Intimsphäre) der Menschenwürde

Mitarbeiterüberwachung Tatbestandsmerkmale des § 96 Abs 1 Z 3 ArbVG


• Regelung betreffend Privatnutzung (private Nutzung gestattet [in

welchem Umfang?], verboten oder nicht geregelt)

• Berühren Kontrollmaßnahmen Menschenwürde BV gem § 96 Abs 1

Z 3 ArbVG erforderlich, allenfalls EZ Mitarbeiter einholen

• Zulässigkeit Kontrolle hängt von der Art der Kontrolle (anonym versus

personenbezogen, menschlich versus techn), von protokollierten

Datenarten (private versus dienstliche Daten), Zweck der Kontrolle,

vom Umfang der Kontrolle (Inhalt versus Verbindungsdaten) sowie

von zeitlicher Dauer der Kontrolle (Stichprobe versus permanente

Kontrolle) ab

• anlassfallbezogene Kontrollen, ob vom oder zu einem bestimmten

Account Mails mit bestimmten Begriffen gesendet wurden

(„screening light“)

• bei Auffälligkeiten bzw konkretem Verdacht AN konfrontieren, um

Aufklärung ersuchen

Mitarbeiterüberwachung Einsichtnahme in Mails und sonstige Dokumente - Arbeitsrechtlicher Rahmen


Überwachungssysteme in der Praxis


• Kameras, welche Betriebsbereiche filmen, in denen AN tätig sind

• Menschwürde nach Meinung des OLG Wien (8 Ra 68/69/95)

jedenfalls berührt, wenn Arbeitsbereich AN im dauernden Blickfeld

eines Videosystems

• überwacht Kamera bloß (teilweise) Verladevorgang, ist

Menschwürde nicht berührt (EA Wien II Re 61/86, LG Korneuburg 15

Cga 45/88)

• Videoanlagen im Bankenbereich dienen zwar nicht vordergründig

der AN-Kontrolle unterliegen aber aufgrund hoher Kontrollintensität

trotzdem Mitbestimmungspflicht gem § 96 Abs 1 Z 3 ArbVG



• die Menschenwürde berührende Kontrollmaßnahmen liegen vor,

wenn Videokameras bzw –anlagen

- nicht ausschließlich der Überwachung von Betriebseingängen,

Betriebsanlagen, Werkshallen, Schalterräumen etc dienen,

- sondern auch nicht nur ausnahmsweise und mehr oder weniger

zufällig dort beschäftigte AN erfasst werden


• Eine Verletzung der Menschenwürde und damit unzulässige

Kontrollmaßnahme liegt vor, wenn

- Arbeitsplatz bzw der dort arbeitende AN ständig durch

ausschließlich auf diesen Arbeitsplatz gerichtete Kameras gefilmt

werden sollte


- Einsatz Software-Keylogger (= Protokollierungssoftware bei

Eingaben über die Computertastatur)

= verdeckte Überwachung und Kontrolle des AN

= unzulässig, wenn kein auf den AN bezogener, durch konkrete

Tatsachen begründeter Verdacht einer Straftat oder

anderer schwerwiegender Pflichtverletzung besteht

- AG dürfen Mitarbeiter nicht ohne konkreten Verdacht "ins Blaue

hinein" überwachen

- im vorliegenden Fall fehlte es an konkretem Verdacht, weshalb

Kontrollmaßnahme als unzulässig qualifiziert wurde

Überwachungssysteme in der Praxis dt Bundesarbeitsgericht - 27.07.2017, 2 AZR 681/16


- EGMR nennt Kriterien für zulässige Überwachung der

Internetkommunikation am Arbeitsplatz:

• legitimer Grund für die Kontrollmaßnahmen

• Verhältnismäßigkeit

• Vorabinformation des AN über die Möglichkeit, die Art und

das Ausmaß von Kontrollen

• Eingriff als gelindestes Mittel hätten weniger weitgehende

Überwachungsmethoden ausgereicht

• Prüfung der Schwere des Eingriffs in Art 8 EMRK und der

Konsequenzen der Überwachung (hier: Kündigung)

- Daher im Anlassfall: Verletzung von Art 8 EMRK „Recht auf

Achtung des Privat- und Familienlebens“ umfasst auch

„Briefverkehr“

Überwachungssysteme in der Praxis EGMR 05.09.2017 – 61496/08


• Einführung von automationsunterstützten Personaldatensystemen

- Fehlende Zustimmung BR kann durch Schlichtungsstelle ersetzt werden

- Mitbestimmung unterliegt Ermittlung, Verarbeitung und Übermittlung von personenbezogenen AN-Daten

- Personenbezogen sind Daten dann, wenn einzelne AN durch die verwendeten Merkmale identifiziert werden können

- Mitbestimmungsfrei sind allgemeine Daten zur Person (Name, Adresse,

Geburtsdatum)

- sowie die Ermittlung von fachlichen Voraussetzungen (Ausbildung, Befähigungsnachweise, bisherige berufliche Tätigkeit)

- Nicht „begünstigt“ wird die Verarbeitung und Übermittlung dieser Daten auch im Konzern

- Allerdings keine Mitbestimmungspflicht sofern tatsächliche oder vorgesehene Verwendung AN-Daten nicht über Erfüllung von Verpflichtungen hinausgeht, die sich aus G, KV oder AV ergeben (zB Arbeitszeitaufzeichnungen)

Datenaustausch im Konzern Tatbestandsmerkmale des § 96a Abs 1 Z 1 ArbVG


Datenschutzrechtliche Zustimmung


§ 107 TKG

Art 8

Kind

DSGVO Einwilligung Das juristische Spielfeld

Art 9

"sensibel"

ErwGr 32f

ErwGr 42f

Art 7 Einwilligung Art 6

Rechtsgrund-lagen

Definition gem Art 4 Z 11

Art 49

Drittland

RECHTSKONFORM

AnpassungsG OGH

KSchG


Die Definition:

Freiwillig (vgl auch Art 7 Abs 4)

• Echte Wahl

• Koppelung?

• Achtung: Abhängigkeitsverhältnis

Für den bestimmten Fall

• Kein pauschaler Charakter

• Wer? Welche Daten? Zu welchem Zweck?

• Keine "Blanko-Einwilligung"

DSGVO Einwilligung Die Voraussetzungen


Die Definition:

In informierter Weise

• Transparenzgebot

• Klare, einfach verständliche, zielpublikumsorientierte Sprache

Unmissverständlich abgegebene Willensbekundung in Form einer

Erklärung oder einer sonstigen eindeutigen bestätigenden

Handlung

• Auch elektronisch

• Jedoch jedenfalls "opt-in"

Durch den Betroffenen selbst

• Einwilligungsbewusstsein



Sonstige Bedingungen für die Einwilligung


Art 7

Nachweisbarkeit der Einwilligung

• Zeitpunkt, Form, Identität etc

Wenn "andere Sachverhalte" dann umso transparenter! ("AGB"-

Transparenz)

Widerruf

• Jederzeit

• Widerruf muss so einfach wie die Einwilligung sein

Art 9: "Besondere Kategorien"

"Ausdrückliche Einwilligung"



Art 8: Bei Angeboten von Diensten der Informationsgesellschaft direkt an

das Kind

Vom Kind erst ab Vollendung des 14. Lebensjahres (Anm: DSGVO 16. LJ; durch AnpassungsG auf 14 LJ herabgesetzt, § 4 Abs 4 DSG)

Davor: elterliche Verantwortung

Nachweis der Einwilligung des Trägers der elterlichen Verantwortung

Anstrengungen zur Vergewisserung

Angemessenheit der Maßnahmen ("unter Berücksichtigung der

verfügbaren Technik angemessene Anstrengungen")

DSGVO Einwilligung Bedingungen der Einwilligung eines Kindes


AG Bad Hersfeld, Beschluss vom 15.5.2017 – F 120/17 EASO

WhatsApp-AGB-Klausel:

"Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste

anbieten können."

Gericht verpflichtete Mutter, von allen Kontakten des Sohnes

eine schriftliche Zustimmung einzuholen

Durch die automatische Weitergabe der Daten ohne

Einwilligung der Kontakte verletzt jeder Nutzer geltendes

Recht

Achtung: Gericht verneinte Fiktion des „implied consent“

DSGVO Einwilligung Praxisfall: WhatsApp


Übergangsbestimmungen im AnpassungsG:

Nach dem DSG 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen

Überprüfung der Zustimmungserklärungen auf Tauglichkeit unter der DSGVO

Dokumentationsstrukturen schaffen

Zustimmung eingeholt (wann? wie?)

Widerruf erteilt (wann? wie?)

"Sanierungsprojekt"

Was tun, wenn alte Zustimmung nicht zur Einwilligung taugt?

DSGVO Einwilligung Praxistipp

Thank you!

schoenherr is one of the top corporate law firms in central and eastern europe. With our wide-ranging network of offices throughout CEE/SEE, we offer our clients unique coverage in the region. The firm has a long tradition of advising clients in all fields of commercial law, providing seamless service that transcends national and company borders. Our teams are tailor-made, assembled from our various practice groups and across our network of offices. Such sharing of resources, local knowledge and international expertise allows us to offer the client the best possible service. www.schoenherr.eu

Kundendaten und DSGVO - Schoenherr · • Zulässigkeit Kontrolle hängt von der Art der Kontrolle...

Documents

Transcript of Kundendaten und DSGVO - Schoenherr · • Zulässigkeit Kontrolle hängt von der Art der Kontrolle...