2. 2
Unser Thema im Überblick:
1) Überblick über die Datenschutz-Grundverordnung
2) Wichtige Einzelprobleme:
●
Einwilligung
●
Verfahrensverzeichnis
●
Auftragsverarbeitung
3) WordPress und der Datenschutz
4) Weitere Probleme / Fragen
DSGVO – eine erste Einführung für Webworker
DSGVO – eine erste Einführung WebJustiz.de
3. 3
Gesetzliche Grundlagen - bisher
DSGVO – eine erste Einführung
EU Deutschland
Verfassung Grundrechte
●
auf informationelle Selbstbestimmung
●
auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
e-Datenschutz-Richtlinie
2002/58/EG
...
Bundesdatenschutzgesetz
Telemediengesetz
...
EU-Recht gibt nur einen
Handlungsrahmen vor, der
von den einzelnen
Mitgliedsstaaten umgesetzt
werden muss.
Maßgebend ist die jeweilige nationale
Bestimmung
→ BDSG, TMG
WebJustiz.de
4. 4
Gesetzliche Grundlagen – ab 25. Mai 2018
DSGVO – eine erste Einführung
EU Deutschland
Verfassung ● Art. 8 Abs. 1
GrundrechteCharta
● Art. 16 Abs. 1 AEUV
Ab 25. Mai 2018 ● Datenschutz-
Grundverordnung
● EPrivacy-VO
(kommt noch)
● Delegierte DS-VO
(kommt noch)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU (DSAnUG-EU)
→ Neufassung des BDSG
Die EU-Verordnungen
gelten unmittelbar in der
gesamten EU
Punktuelle Öffnungsklauseln für die
nationalen Gesetzgeber
WebJustiz.de
5. 5
➢ Schutz des Einzelnen
➢ Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
➢ insb. Schutz personenbezogener Daten
➢ unabhängig von seinem Aufenthaltsort.
➢ Förderung der Wirtschaft
➢ Gewährleistung des freien Verkehrs personenbezogener Daten
zwischen den Mitgliedsstaaten
➢ Gewährleistung des Binnenmarktes
➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften
EU-DSGVO - Ziele
DSGVO – eine erste Einführung WebJustiz.de
6. 6
➢ Rechtmäßigkeit
➢ Verarbeitung personenbezogener Daten auf rechtmäßige Weise
➢ Transparenz
➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise
➢ Integrität und Vertraulichkeit
➢ Gewährleistung angemessener Sicherheit personenbezogener Daten
➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
➢ Schutz vor unbeabsichtigtem Verlust
➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung
➢ Durch geeignete technische und organisatorische
Maßnahmen
➢ Grundsatz der Speicherbegrenzung
➢
Identifizierung nur solange, wie für den Verarbeitungszweck erforderlich
➢
Längere Speicherung nur zulässig für öffentliche Archiv-, Forschungs-
oder statistische Zwecke
➢
Ggfs. Pseudonymisierung erforderlich
➢ Treu und Glauben
Grundsätze - Datenverarbeitung
DSGVO – eine erste Einführung WebJustiz.de
7. 7
➢
Der für die Datenerhebung und Datenverarbeitung
Verantwortliche
➢
ist für die Einhaltung dieser Grundsätze verantwortlich,
➢
muss deren Einhaltung nachweisen können.
Grundsätze – Rechenschaftspflicht
DSGVO – eine erste Einführung WebJustiz.de
8. 8
➢ Die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ allein oder gemeinsam mit anderen
➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet;
➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel
der Verarbeitung gesetzlich vorgegeben sind.
Begrifflichkeiten – Verantwortlicher
DSGVO – eine erste Einführung WebJustiz.de
9. 9
➢
Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen;
➢
Identifizierbar = natürliche Person angesehen, die
➢
direkt oder indirekt identifiziert werden kann,
➢
insbesondere mittels Zuordnung zu einer Kennung wie
➢
Namen,
➢
Kennnummer,
➢
Standortdaten, Online-Kennung oder
➢
einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität dieser natürlichen Person sind.
Begrifflichkeiten – Personenbezogene Daten
DSGVO – eine erste Einführung WebJustiz.de
10. 10
➢
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder
➢
jede solche Vorgangsreihe
➢
im Zusammenhang mit personenbezogenen Daten
➢
Beispiele:
➢
Erheben oderErfassen,
➢
Organisation oder Ordnen,
➢
Speicherung, Anpassung oder Veränderung,
➢
Auslesen, Abfragen, oder Verwendung,
➢
Offenlegung durch Übermittlung, Verbreitung oder
andere Form der Bereitstellung,
➢
Abgleich oder Verknüpfung,
➢
Einschränkung, Löschen oder Vernichtung.
➢
Sonderregelungen für
➢
Profiling
➢
Automatisierte Entscheidungen
Begrifflichkeiten – Verarbeitung
DSGVO – eine erste Einführung WebJustiz.de
11. 11
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ personenbezogene Daten
➢ im Auftrag des Verantwortlichen verarbeitet
Begrifflichkeiten – Auftragsverarbeiter
DSGVO – eine erste Einführung WebJustiz.de
12. 12
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle,
➢ der personenbezogene Daten offengelegt werden,
➢ unabhängig davon, ob es sich um einen Dritten handelt oder
nicht.
➢ Kein Empfänger sind Behörden,
➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten.
Begrifflichkeiten – Empfänger
DSGVO – eine erste Einführung WebJustiz.de
13. 13
➢ Jede natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle,
➢ außer
➢ der betroffenen Person,
➢ dem Verantwortlichen,
➢ dem Auftragsverarbeiter und
➢ den Personen, die unter der unmittelbaren Verantwortung des
Verantwortlichen oder des Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten.
Begrifflichkeiten – Dritter
DSGVO – eine erste Einführung WebJustiz.de
14. 14
➢ Verletzung der Sicherheit, die,
➢ ob unbeabsichtigt oder unrechtmäßig,
➢ zur Vernichtung, zum Verlust, zur Veränderung,
➢ zur unbefugten Offenlegung von bzw.
➢ zum unbefugten Zugang zu personenbezogenen Daten
➢ führt, die
➢ übermittelt, gespeichert oder
auf sonstige Weise verarbeitet wurden.
Begrifflichkeiten – Verletzung des Schutzes
personenbezogener Daten
DSGVO – eine erste Einführung WebJustiz.de
15. 15
➢ Gesamte EU
➢ Marktortprinzip:
➢ EU-DSGV gilt auch für Unternehmen
➢ mit Sitz außerhalb der EU
➢ die sich an EU-Bürger wenden
➢ Öffnungsklauseln für nationale Gesetzgeber
➢ Art. 48 → Aufsichtsbehörden
➢ Art. 90 → Auskunftpflichten gegenüber
Aufsichtsbehörden
➢ …
EU-DSGVO – Örtlicher Geltungsbereich
DSGVO – eine erste Einführung WebJustiz.de
16. 16
➢ Die EU-DSGVO gilt für die
➢ für die ganz oder teilweise automatisierte Verarbeitung personenbezogener
Daten sowie
➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten, die
➢ in einem Dateisystem gespeichert sind oder
➢ gespeichert werden sollen.
➢ Ausnahmen:
➢ privater Schriftverkehr
➢ privates Anschriftenverzeichnis
➢ private Nutzung sozialer Netze
➢ private Online-Tätigkeit
EU-DSGVO – Sachlicher Anwendungsbereich
DSGVO – eine erste Einführung WebJustiz.de
17. 17
➢ Ergänzung zur EU-DSGVO
➢ Bei Widersprüchen hat EU-DSGVO Vorrang
➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich umfangreicher als das
bisherige, alles regelnde BDSG
➢ Enthält ergänzende Regelungen zu
➢ sensitiven Daten
➢ Beschäftigtendatenschutz
➢ Datenverarbeitung bei Verbraucherkrediten
➢ Scoring- und Bonitätsauskünften
➢ Informationspflichten
➢ Löschpflichten
➢ Profiling
DSAnUG-EU – Das “neue” BDSG
DSGVO – eine erste Einführung WebJustiz.de
19. 19
Datenverarbeitung ist erlaubt bei
➢ Einwilligung
➢ Vertragserfüllung
➢ Erfüllung gesetzlicher Pflichten
➢ z.B. Aufbewahrungspflichten
➢ Schutz lebenswichtiger Interessen von Menschen
➢ z.B. in der Medizin
➢ berechtigten Interessen
➢ Marketing und Direktwerbung
➢ IT-Sicherheit
➢ Compliance
➢ Beschäftigtenkontrolle
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
DSGVO – eine erste Einführung WebJustiz.de
20. 20
➢ Ist eine Einwilligung erforderlich?
➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢ Ist die betroffene Person einwilligungsfähig?
➢ Ab 16 Jahre.
➢ Wurde die Einwilligung freiwillig abgegeben?
➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢ Kein Verstoß gegen das Koppelungsverbot?
➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢ Sind die notwendigen Belehrung erfolgt?
➢ Belehrung über das Widerrufsrecht
➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung
➢ Ist die Einwilligungserklärung unmissverständlich?
➢ Schlüssige Erkklärung
➢ Opt-In → Opt-Out ist nicht ausreichend!
➢ Ist die Einwilligung nachweisbar?
➢ Schriftform oder
➢ elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
DSGVO – eine erste Einführung WebJustiz.de
23. 23
➢ Öffentliches Verfahrensverzeichnis
➢ entfällt mit der EU-DSGVO
➢ Internes Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten)
➢ muss geführt werden:
➢ von jedem Verantwortlichen
➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.
➢ schriftlich oder elektronisches Format
➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde
➢ Ausnahmen:
➢ Unternehmen mit weniger als 250 Mitarbeiter,
➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen,
➢ die Verarbeitung nicht nur gelegentlich erfolgt oder
➢ nicht die Verarbeitung besonderer Datenkategorien einschließt.
EU-DSGVO - Verfahrensverzeichnis
DSGVO – eine erste Einführung WebJustiz.de
24. 24
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Verantwortlichen und ggfs. seines Vertreters,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Zwecke der Verarbeitung
➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten
➢ Kategorien von Empfängern,
➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden
➢ einschließlich Empfäger in Drittländern
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien
(wenn möglich)
➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen
➢
Verfahrensverzeichnis - Inhalt
DSGVO – eine erste Einführung WebJustiz.de
25. 25
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Auftragsverarbeiters
➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden;
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Allg. Beschreibung der technischen und
organisatorischen Maßnahmen
Verfahrensverzeichnis – für Auftragsverarbeiter
DSGVO – eine erste Einführung WebJustiz.de
27. 27
➢
Auftragsverarbeitung =
➢
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢
durch einen Auftragsverarbeiter (Auftragnehmer)
➢
Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢
Aufgrund eines Vertrages
➢
schriftlich oder in elektronischer Form
Auftragsverarbeitung - Grundlagen
DSGVO – eine erste Einführung WebJustiz.de
29. 29
➢
Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢
Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢
Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢
Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢
Umfang der Weisungsbefugnis
➢
Vertraulichkeitsverpflichtung
➢
Kontrollrechte
➢
Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen
DSGVO – eine erste Einführung WebJustiz.de
30. 30
➢
Verzeichnis der Verarbeitungstätigkeiten
➢
Bisher: muss nur durch Auftraggeber geführt werden
➢
Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢
Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis
DSGVO – eine erste Einführung WebJustiz.de
31. 31
➢
Grundsatz:
➢
Bisher: Auftraggeber haftet für Datenschutzverstöße
➢
Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide
➢
Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢
Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢
Auftragsverarbeiter zum Verantwortlichen
Auftragsdatenverarbeitung - Haftung
DSGVO – eine erste Einführung WebJustiz.de
32. 32
➢
Wartungsarbeiten = Auftragsdatenverarbeitung
➢
auch bei
➢
Prüfung/Wartung mittels automatisierter Verfahren
➢
nur gelegentlicher Fernwartung
➢
Wartung vor Ort
➢
Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢
“Geheimhaltungsvereinbarung”
➢
ist kein Vertrag zur Auftragsdatenvereinbarung!
➢
Rechtslage unter der EU-DSGVO ist noch unklar:
➢
wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢
Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister
DSGVO – eine erste Einführung WebJustiz.de
33. 33
WordPress und der Datenschutz
…und es bewegt sich doch…
EU-DSGVO – WordPress
DSGVO – eine erste Einführung WebJustiz.de
34. 34
➢
WordPress-Core
➢
Der WordPress-Core ist derzeit (Version 4.9.5.) nicht vollständig DSGVO-kompatibel.
➢
Anpassungen an die DSGVO sind fertig und werden mit dem nächsten Major-Update
ausgeliefert
➢
Informationen und Features (z.B. Recht auf Löschung) werden über neue Funktionen und
Hooks zentral implementiert.
➢
Plugins können an dieses GDPR-Interface andocken.
➢
Kommentare:
➢
Gravatare: Abruf über zentralen Server → möglichst abschalten
➢
Einwilligung zur Datenspeicherung → nicht erforderlich (berechtigte Interessen).
➢
Speicherung der IP-Adressen
➢
berechtigtes Interesse zumindest für die ersten Wochen
→ Plugin: „Remove Comment IPs“ löscht IP nach 60 Tagen
➢
Spamschutz durch AntiSpamBee (Einstellungen kontrollieren!)
anstatt Akismet
➢
U.U. weiterhin problematisch: Kommentarsysteme wie Disqus
EU-DSGVO – WordPress
DSGVO – eine erste Einführung WebJustiz.de
35. 35
➢
Plugin: WP GDPR Compliance
➢
Löst Probleme insb. bei Formularen (Contact Form 7, Gravity Forms) und WooCommerce
➢
Holt Einwilligung bei Kommentaren ein (für Vorsichtige)
➢
Themes und Plugins
➢
Vorsicht insb. bei älteren oder außereuropäischen Plugins oder Themes!
➢
Übersicht bei https://www.blogmojo.de/wordpress-plugins-dsgvo/
➢
WooCommerce
➢
bisher keine Anpassungen verfügbar.
➢
Ggfs. Über die Anpassungsplugins für den deutschen Markt
➢
Jetpack
➢
DSGVO-Kompabilität seit dem letzten Update größtenteils gegeben. Weitere Anpassungen sollen folgen
➢
„Securtiy“-Plugins
➢
„iThemes Security“, „Wordfence Security“
➢
Arbeiten je nach Einstellungen mit externen (US-)Servern
➢
Kommentar-Spam
➢
„Akismet“ → leitet alle Kommentare über US-Server
➢
„AntiSpamBee“
➢
Öffentliche Spamdatenbank(→Stop Forum Span) und Spracherkennung (→ Google Translate) abschalten.
EU-DSGVO – Weitere WP-Problemfelder
DSGVO – eine erste Einführung WebJustiz.de
36. 36
➢
Embedding (z.B. Youtube,Twitter, Facebook)
➢
„Embed videos und respect privacy“
➢
Radikallösung: “Disable Embeds“
➢
Social Sharing
➢
„Shariff“
➢
Emojis, Google Fonts
➢
„Autoptimize“, „Disable Emojis“
➢
Opt-In für Cookies
➢
„Borlabs Cookie“
EU-DSGVO – Weitere Plugin-Empfehlungen
DSGVO – eine erste Einführung WebJustiz.de
37. 37
Weitere Problemfelder
…es ist noch lange nicht Schluss…
EU-DSGVO - Einzelprobleme…
DSGVO – eine erste Einführung WebJustiz.de
40. 40
Noch Fragen?
DSGVO – eine erste Einführung
➢ Zum Nachlesen:
DigitalDaten.EU
Wissensschmiede.online
(ab 20. April)
➢ EU-Portal zum Datenschutz:
▶http://ec.europa.eu/justice/data-protection/reform/index_en.htm
WebJustiz.de