TRUSTED PRIVACY Digitalisierung und Datenschutz wie macht man das richtig? Tech-Day DI-Lab@HSBA Hamburg, 13. Juni 2017 Prof. Dr. Christoph Bauer, GmbH
Zahlen und Fakten 190 Kunden der GmbH ist in vielen Ländern weltweit tätig 17 120 Vergebene seal Version EU / DE OBA Framework bestimmt den Marktstandard 250 130 Vergebene OBA Trust Seal Zertifizierungen Geprüfte Mobile Apps 975 40 Consulting Projekte: Big Data Privacy by Design Kooperationen mit verschiedenen Institutionen 20 20 Andere Zertifikate: DTSG Brand Safety, Targeting Seal 2011 Beteiligte Auditoren und Gutachter 20 2
Internationale Präsenz China USA London Paris Hamburg Brüssel Zürich zertifiziert in 17 Ländern weltweit Madrid Mailand Büro in Hamburg, Deutschland Internationale Produkte: - seal EU (nach neuer EU-DSGVO) - OBA-Zertifikation (EU-weit) - DTSG UK Brand Safety - seal CH/DE Internationale Kooperationen: - IAB Europe - Local Based Marketing Association (LBMA) - International Association of Privacy Professionals (IAPP) Vertretungen in - London (UK) - Paris (FR) - Zürich (CH) - Brüssel (BE) - Mailand (IT) - Madrid (ES) 3
Referenzen nach Branchen 4
Angebot im Überblick 1 2 Externer Datenschutzbeauftragter Analyse des Status Quo, Beratung und Erstellung aller Standard-Dokumente Hauptansprechpartner für Behörden, interner Ansprechpartner in allen Datenschutzangelegenheiten Datenschutz-Workshops Produktanalyse Privacy by Design Erforderliche und empfohlene Anpassungen; erweiterte Zusammenarbeit eprivacyseal de version 3 Datenschutz-Gutachten Komplette Produktanalyse und Bewertung Privacy by Design Offizielle Dokumentation von 4 seal & EDAA-OBA-Zertifizierung Detaillierte technische und rechtliche Evaluierung beim seal inkl. DSGVO OBA Zertifizierung Offizielles Siegel von und der EDAA: EDAA Trust Seal powered by Wettbewerbsvorteil: Siegel und Gutachten können zur externen Kommunikation verwendet werden Schlüsselkunden Datenschutzbehörden Webseiten Andere Prüfer oder Investoren 5 App & App HS Prüfung von Datensicherheit und Datenschutz nach über 150 Prüfkriterien App HS: Zertifizierung nach weiteren 60 Hochsicherheits-Kriterien eprivacyseal version eu 5
DSGVO 2018 - Erste wesentliche Änderung: Nichts gilt mehr. Die DSGVO genießt einen sog. Anwendungsvorrang Das, was wir bisher kennen, wird es bald nicht mehr geben. BDSG: Es gibt nur noch ein Rumpfgesetz. 6
DSGVO 2018 - Zweite wesentliche Änderung: Personenbezogene Daten Bisher personenbezogene Daten: Name, Adresse, Telefonnummer etc. Bisher keine personenbezogenen Daten: Cookie-IDs, Mac- Adressen etc. Neuregelung nunmehr: Jeder Identifier ist ein personenbezogenes Datum. Also auch IP-Adressen, Cookie-IDs, digitale Fingerprints, User-IDs etc. Das wird zum Teil bestritten. Die Entwicklung bleibt abzuwarten. 7
Personenbezogene Daten Art. 4 Abs. 1: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen oder kulturellen sozialen Identität dieser natürlichen Person sind. 8
Personenbezogene Daten Online-Identifier: personenbezogene Daten? Der Wortlaut scheint darauf hinzudeuten. Kann natürliche Person über einen Online-Identifier identifiziert werden? Häufig im Onlinemarketing nicht? In der Regel sind Onlineprofile anonym. Für anonyme Daten gilt die DSGVO nicht. Datenschutzbehörden: Das meinen wir aber nicht so. Es soll zukünftig keine Diskussion über die Abgrenzung von anonymen und personenbezogenen Daten mehr geben. 9
DSGVO 2018 - Dritte wesentliche Änderung: Onlinewerbedatenschutzrecht An und für sich bedarf jede Verarbeitung personenbezogener Daten der Einwilligung. Art. 6 Abs. 1 f DSGVO: Ist eine Datenverarbeitung erforderlich für den Zweck legitimer Interessen des Datenverarbeiters und überwiegen die Interessen der Betroffenen nicht, so ist die Verarbeitung personenbezogener Daten auch ohne Einwilligung zulässig. Was ist ein legitimes Interesse? Erwägungsgründe: legitim sei Direktmarketing. Ist das auch (Online-)Werbung? Annäherung an US-amerikanisches Recht. Bei der Abwägung, was legitim ist, sind die redlichen Erwartungen der Betroffenen zu berücksichtigen. Alles, was danach erwartbar war, ist dann auch legitimiert. 10
DSGVO 2018 - Vierte wesentliche Änderung: Opt-Out ist zwingend erforderlich Art. 21 EU-DSGVO: Bei der Verarbeitung von Nutzungsdaten muss zwingend ein Widerspruch (Opt-Out) möglich sein. Das gilt ausdrücklich auch für die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO. Information über das Widerspruchsrecht muss spätestens beim ersten Kontakt, z. B. beim Laden der Webseite, gegeben sein, z. B. in der Datenschutzerklärung. 11
Datenschutz weitere Themen Interpretationen der DSGVO (teilweise sehr unterschiedlich zwischen Datenschutzbehörden und Firmen sowie in verschiedenen Ländern) ENTWURF der -Verordnung SEHR KRITISCH!! EUGH-Urteil zu IP-Adressen Spezial-Themen, wie z.b. Orientierungshilfe zu Smart TV (BayLDA) Problem (u.a.): von der Behörde kreiertes, sogenanntes Recht auf anonymes Fernsehen 12
Wesentliche Empfehlungen für digitale Geschäftsmodelle ü Online-Identifier können weiterhin verwendet werden, wenn ein legitimes Interesse nachgewiesen werden kann ü Informieren Sie Ihre Nutzer deutlich und verständlich über die Datenverarbeitung, bieten Sie einen Opt-Out an und aktualisieren Sie Ihre Datenschutzerklärung ü Führen Sie eine Datenschutzfolgenabschätzung (privacy impact assessments/pia) ein und gestalten Sie Ihre Technik und Prozesse datenschutzkonform (data protection by design / by default) ü Benennen Sie einen Datenschutzbeauftragten (intern oder extern) ü Anonyme Daten können weiterhin verarbeitet werden und sind nicht von der DSGVO betroffen. Die Anonymisierung muss durch eindeutige und sichere Prozesse erfolgen ü Die Teilnahme am EDAA OBA Framework sichert die Konformität nutzungsbasierter Online-Werbung mit der neuen Gesetzgebung ü Eine vollständige Zertifizierung auf Basis des neuen Datenschutzgesetzes empfiehlt sich für Technologie-Anbieter (z.b. mit dem seal GDPR ready ) 13
DSGVO 18-Punkte-Checkliste zur Umsetzung bis Mai 2018 1. Gestiegene Informationspflichten umsetzen 2. Neue Definition von Personal Data inkl. Cookie-IDs 3. Direktmarketing: Berechtigtes Interesse (Art 6 (1) f)? 4. Zustimmung der Eltern von Kindern (< 16 J.) einholen 5. Betroffenenrechte bei Profiling beachten, aber rechtl. Bindung prüfen 6. Neue Regeln zur Auftragsverarbeitung 7. Datenschutzfreundliche Voreinstellungen Privacy by Design 8. Überarbeiten Sie die Verfahrensverzeichnisse Verarbeitungsübersicht 9. Risikoorientierte Datenschutz-Folgenabschätzung DSFA (früher Vorabkontrolle) 10. Recht auf Löschung der Daten umsetzen 11. Datenportabilität vorbereiten: an Betroffene bzw. an andere Anbieter 12. Benachrichtigungspflichten bei Datenpannen (Meldung innerhalb 72 h) 13. Sicherheit der Datenverarbeitung anpassen (TOMs) 14. Datenschutzbeauftragten (DSB) ernennen (falls offen) und Aufgaben anpassen 15. Haftungsrisiko, Bußgelder und Sanktionen deutlich gestiegen 16. Haftungserstreckung auf ausländische Unternehmen 17. Erweiterte Dokumentations- und Nachweispflichten 18. Datenschutzmanagementsystem anpassen (DS- und Sicherheits-Richtlinie) 14
Haben Sie Fragen oder benötigen Sie weitere Informationen? Weiterführende Informationen finden Sie in den von und anderen (z.b. BVDW) veröffentlichten Artikeln. 18-Punkte-Liste bzgl. der konkreten Anforderungen zur Umsetzung der DSGVO: https://www.eprivacy.eu/fileadmin/redakteur/news/whitepaper_dsgvo.pdf Gern beantworten wir Ihre Fragen bitte kontaktieren Sie uns unter info@eprivacy.eu oder unter meiner persönlichen E-Mailadresse. Prof. Dr. Christoph Bauer CEO c.bauer@eprivacy.eu Vielen Dank für Ihre Aufmerksamkeit! 15