Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Größe: px

Ab Seite anzeigen:

Download "Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung"

Gert Glöckner
vor 6 Jahren
Abrufe

1 Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung 20. April 2017 Univ.-Prof. Dr. Dietmar Jahnel

2 Datenschutz-Grundverordnung In Kraft seit 24. Mai 2016 Geltung ab 25. Mai 2018 Unmittelbare Verbindlichkeit und Geltung in allen Mitgliedstaaten Aber: zahlreiche Öffnungsklauseln - hinkende Verordnung - DSG 2018 (?) ab wann?? bis dahin: DSG 2000 / DS-RL 2

3 Überblick Die neuen Begriffe personenbezogene Daten und Pseudonymisierung Relevante Zulässigkeitsgründe für die Datenverarbeitung Die neuen Pflichten - Informationspflicht - Verzeichnisführungspflicht - Datenschutz-Folgenabschätzung - Datenschutzbeauftragter Die neuen Geldbußen und deren Vermeidung 3

4 4 Sanktionen Art 24 DS-RL / 52 DSG Verwaltungsstrafen bis zu Euro Art 83, 84 DS-GVO - Geldbuße bis zu 10 Mio Euro / 20 Mio Euro oder 2 % / 4 % des weltweiten Umsatzes durch Aufsichtsbehörde Verhängung durch Gericht möglich weitere Sanktionen-> Mitgliedstaaten Rechtsnatur der Geldbuße?

5 5 Drohende Sanktionen Leichte Verstöße nach Art 83 Abs 4 Geldbuße bis 10 Mio oder bis 2 % des Jahresumsatzes - Einwilligung eines Kindes - Pflichten nach Art ua Verzeichnisführungspflicht, Datenschutz- Folgeabschätzung, Datenschutzbeauftragter - Zertifizierung - Verhaltensregeln

6 6 Drohende Sanktionen Schwere Verstöße nach Art 83 Abs 5 Geldbuße bis 20 Mio oder bis 4 % des Jahresumsatzes - Grundsätze der Datenverarbeitung - Zulässigkeitsgründe - Betroffenenrechte - Datenübermittlung in ein Drittland - Nichtbefolgung einer Anweisung der Aufsichtsbehörde

7 Drohende Sanktionen Maßnahmen nach Art 58 Abs 2 - Abhilfebefugnisse wie Warnung, Verwarnung, Anweisung Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt - Bei geringfügigen Verstößen: Verwarnung anstelle einer Geldbuße (lt ErwGr 148) 7

8 8 Drohende Sanktionen Strafzumessungsgründe ua - Art und Schwere des Verstoßes - Frühere Verstöße - - Kategorien personenbezogener Daten (zb pseudonymisierte Daten) - Einhaltung von genehmigten Verhaltensregeln - Einhaltung von genehmigen Zertifizierungsverfahren

9 Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann 9

10 Personenbezug von IP-Adressen und Cookies Identifizierbarkeit DSG indirekt personenbezogene Daten - Privilegierung bei der Zulässigkeitsprüfung Aber: EuGH , C-582/14 (Breyer) - Dynamische IP-Adresse bezieht sich nicht auf eine bestimmte natürliche Person - Identifizierbarkeit: Direkt oder indirekt Alle Mittel, die vernünftigerweise eingesetzt werden können (DS-RL) Alle Mittel, die nach allgemeinem Ermessen wahrscheinlich genützt werden (DS-GVO) Rechtliche Möglichkeiten zur Beschaffung der nötigen Informationen vom Internetanbieter zb über Behörden hat der BGH zu prüfen 10

11 Personenbezug von IP-Adressen und Cookies Keine pauschalen Antworten Identifizierbarkeit: im konkreten Fall zu prüfen DS-GVO kennt keine indirekt personenbezogenen Daten Neuer Begriff der Pseudonymisierung 11

12 12 Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden

13 Pseudonymisierung Keine generelle Privilegierung bei der Zulässigkeitsprüfung Erleichterung der Weiterverarbeitung für andere Zwecke Verpflichtend bei Einhaltung des Grundsatzes der Datenminimierung zu prüfen Eine Datensicherheitsmaßnahme Milderungsgrund bei der Bemessung der Geldbuße 13

14 14 Zulässigkeit der Verarbeitung nicht-sensibler Daten Einwilligung - jederzeitiger Widerruf - Nachweispflicht Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist Interessenabwägung - Spielraum für Argumentation - Direktwerbung ist nach ErwGr 47 ein berechtigtes Interesse (Sensible Daten: ausdrückliche Einwilligung)

15 Datenverarbeitung zu einem anderen Zweck Zulässigkeit bei - Einwilligung - bestehender Rechtsgrundlage Kompatibilitätstest (Art 6 Abs 4) - Verbindung zwischen den Zwecken - Zusammenhang der Datenerhebung - Folgen der Weiterverwendung - Verschlüsselung oder Pseudonymisierung 15

16 Pflichten des Verantwortlichen Die neuen Pflichten nach der DS-GVO - Informationspflicht - Verzeichnisführungspflicht - Datenschutz-Folgenabschätzung - Datenschutzbeauftragter 16

17 Informationspflicht Art 13 und 14 DS-GVO - Name und Kontaktdaten des Verantwortlichen - Zweck der Verarbeitung - Informationen über die Dauer der Verarbeitung -. - präzise, transparent, verständlich - auch in elektronischer Form - standardisierte Bildsymbole 17

18 Widerspruchsrecht Art 21 DS-GVO - aus Gründen, die sich aus ihrer besonderen Situation ergeben - bei Direktwerbung jederzeit - Hinweispflicht 18

19 19 Verzeichnisführungspflicht Art 30 DS-GVO - Namen und Kontaktdaten des Verantwortlichen - die Zwecke der Verarbeitung - eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten - die Kategorien von Empfängern einschließlich Empfänger in Drittländern - wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien - wenn möglich, eine allgemeine Beschreibung der Datensicherheitsmaßnahmen

20 Datenschutz-Folgenabschätzung Art 35 DS-GVO - systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen - Positivliste durch Aufsichtsbehörde verpflichtend - Negativliste faktultativ 20

21 21 Datenschutzbeauftragter Art 37 ff DS-GVO - die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen - Kerntätigkeit - datengetriebenes Geschäftsmodell - Online Behavioural Advertising

22 22 Zusammenfassung Personenbezug von IP-Adressen bzw Cookies - bei Identifizierbarkeit Pseudonymisierung nach Möglichkeit Transparente Information über die Verarbeitung Widerspruchsmöglichkeit Verzeichnisführung Datenschutz-Folgenabschätzung - Abwarten der Listen der Aufsichtsbehörde Bestellung eines Datenschutzbeauftragten

23 23 Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung Danke fürs Zuhören!

Ähnliche Dokumente

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Datenschutzrecht im Digitalen Binnenmarkt 16. Salzburger Telekom-Forum 27. August 2015 Datenschutz in der EU Aktuelle Rechtsgrundlagen: - Art 8 GRC: Jede Person hat das Recht auf Schutz der sie betreffenden