TRUSTED PRIVACY Big Data und die neue Datenschutzverordnung - was können Unternehmen jetzt umsetzen? Prof. Dr. Christoph Bauer eprivacy GmbH
Zahlen und Fakten 150 Kunden der eprivacy GmbH eprivacy ist in vielen Ländern weltweit tätig 16 70 Vergebene eprivacyseal Version EU / DE OBA Framework bestimmt den Marktstandard 250 80 Vergebene OBA Trust Seal Zertifizierungen Geprüfte Mobile Apps 800 10 Consulting Projekte: Big Data Privacy by Design Kooperationen mit verschiedenen Institutionen 15 20 Andere Zertifikate: DTSG Brand Safety, Targeting Seal 2011 Beteiligte Auditoren und Gutachter 20 eprivacy European Seal for your privacy 2
Referenzen eprivacy European Seal for your privacy 3
Angebot im Überblick 1 Externer Datenschutzbeauftragter Analyse des Status Quo, Beratung und Erstellung aller Standard-Dokumente Hauptansprechpartner für Behörden, interner Ansprechpartner in allen Datenschutzangelegenheiten 2 Datenschutz Workshops Produktanalyse Privacy by Design EPRIVACYSEAL VERSION DE Erforderliche und empfohlene Anpassungen; erweiterte Zusammenarbeit 3 Privacy Evaluierung Komplette Produktanalyse und Bewertung Privacy by Design Offizielle Dokumentation von eprivacy 4 Gütesiegel & OBA Zertifizierung Detaillierte technische und rechtliche Evaluierung Wettbewerbsvorteil durch unser Siegel OBA ZERTIFIZIERUNG Offizielles Siegel von eprivacy und von der EDAA, powered by eprivacy Siegel und Evaluation können zur externen Kommunikation verwendet werden Schlüsselkunden Datenschutzbehörden Webseiten Andere Prüfer oder Investoren 5 Datensicherheit ISO 27001 Detaillierte technische Beratung und Zertifizierung Offizieller Anbieter der ISO 27001 Prüfung EPRIVACYSEAL VERSION EU eprivacy European Seal for your privacy 4
Überblick über die neue Datenschutzverordnung Der finale Text wurde am 15.12.2015 beschlossen. Die Veröffentlichung erfolgte im Mai 2016. Die Datenschutzgrundverordnung erlangt als Verordnung direkte Geltung im Mai 2018. Anders als Richtlinien, die noch umgesetzt werden müssen. eprivacy European Seal for your privacy 5
wesentliche Änderung: Personenbezogene Daten Bisher personenbezogene Daten: Name, Adresse, Telefonnummer etc. Bisher keine personenbezogenen Daten: Cookie-IDs, IP-Adressen, Mac-Adressen etc. Neuregelung nunmehr: Jeder Identifier ist ein personenbezogenes Datum. Also auch IP-Adressen, Cookie-IDs, digitale Fingerprints, User- IDs etc. Das wird zum Teil bestritten. Die Entwicklung bleibt abzuwarten. eprivacy European Seal for your privacy 6
Personenbezogene Daten Art. 4 Abs. 1: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online- Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen oder kulturellen sozialen Identität dieser natürlichen Person sind. eprivacy European Seal for your privacy 7
Personenbezogene Daten Online-Identifier: personenbezogene Daten? Der Wortlaut scheint darauf hinzudeuten. Kann natürliche Person über einen Online-Identifier identifiziert werden? Häufig im Onlinemarketing nicht? In der Regel sind Onlineprofile anonym. Für anonyme Daten gilt die DSGVO nicht. Datenschutzbehörden: Das meinen wir aber nicht so. Es soll zukünftig keine Diskussion über die Abgrenzung von anonymen und personenbezogenen Daten mehr geben. eprivacy European Seal for your privacy 8
Personenbezogene Daten Erwägungsgrund 26: Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtig werden, die von dem Verantwortlichen oder einer dritten Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich sind, sollen objektive Faktoren wie Kosten der Identifizierung und der dafür erforderliche Zeitaufwand herangezogen werden. Die Grundsätze des Datenschutzes sollen daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Da die DSGVO solche anonymen Daten erwähnt, muss es nach unserem Dafürhalten Online-Identifier geben, die nicht als personenbezogen einzustufen sind. Das Singularitätsprinzip der Art. 29 Datenschutzgruppe wird nicht mehr erwähnt. Maßgeblich sind allein die im Erwägungsgrund 26 erwähnten Grundsätze. eprivacy European Seal for your privacy 9
wesentliche Änderung: Onlinewerbedatenschutzrecht An und für sich bedarf jede Verarbeitung personenbezogener Daten der Einwilligung. Art. 6 Abs. 1 f DSGVO: Ist eine Datenverarbeitung erforderlich für den Zweck legitimer Interessen des Datenverarbeiters und überwiegen die Interessen der Betroffenen nicht, so ist die Verarbeitung personenbezogener Daten auch ohne Einwilligung zulässig. Was ist ein legitimes Interesse? Erwägungsgründe: legitim sei Direktmarketing. Ist das auch (Online-)Werbung? Annäherung an US-amerikanisches Recht. Bei der Abwägung, was legitim ist, sind die redlichen Erwartungen der Betroffenen zu berücksichtigen. Alles, was danach erwartbar war, ist dann auch legitimiert. eprivacy European Seal for your privacy 10
wesentliche Änderung: Zukünftig ist Opt-Out zwingend erforderlich Art. 21 EU-DSGVO: Bei der Verarbeitung von Nutzungsdaten muss zwingend ein Widerspruch (Opt-Out) möglich sein. Das gilt ausdrücklich auch für die Fälle der Profilbildung gem. Art. 6 Abs. 1 e und f EU-DSGVO. Information über das Widerspruchsrecht muss spätestens beim ersten Kontakt, z. B. beim Laden der Webseite, gegeben sein, z. B. in der Datenschutzerklärung. eprivacy European Seal for your privacy 11
Datenschutz-Folgenabschätzung Artikel 35 Abs. 1 Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. [...] Sog. Risikoansatz / Risk-based Approach der DSGVO Höhere Eigenverantwortung der Unternehmen eprivacy European Seal for your privacy 12
In welchen Fällen ist eine Datenschutz-Folgenabschätzung nach Art. 35 durchzuführen? eprivacy European Seal for your privacy 13
Datenschutz-Folgenabschätzung Artikel 35 Abs. 3 Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen. Folge müssen Verträge mit Rechtswirkungen sein Zweifelhaft im Onlinemarketing, Smart TV Marketing Online-Vergabe von (Mikro-)Krediten Dynamische Preisfestsetzung etc? eprivacy European Seal for your privacy 14
Datenschutz-Folgenabschätzung Artikel 35 Abs. 3 Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: (a) [...] (b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 [ ]. Biometrische Daten Gesundheitsdaten Etc. eprivacy European Seal for your privacy 15
Datenschutz-Folgenabschätzung Artikel 35 Abs. 4: Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. [...] Abs. 5: Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine Datenschutz-Folgeabschätzung erforderlich ist. [...] Wohl entscheidend für die Praxis! eprivacy European Seal for your privacy 16
Datenschutz-Folgenabschätzung Artikel 35 Abs. 7 Die Folgenabschätzung enthält zumindest Folgendes: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck [...] Umfangreiche, schriftliche Dokumentation erforderlich eprivacy European Seal for your privacy 17
Zweckbindung Für jedes Datum muss der Verarbeitungszweck konkret festgelegt werden. Nur so lässt sich die Rechtmäßigkeit der Verarbeitung überhaupt überprüfen (eigentlich kein Big Data). Aber: Zweckerweiterung unter gewissen Umständen möglich, konkrete Ausformulierung von Voraussetzungen in Form von Kriterien und Schutzmaßnahmen. eprivacy European Seal for your privacy 18
Datenschutz-Folgenabschätzung Bewertung: Neue Geschäftsprozesse müssen implementiert werden Bestehende Prozesse müssen ggfs. angepasst werden Produkte/Dienstleistungen müssen bestimmten Risikoklassen zugeordnet werden (z. B. auf Grundlage der vorhandenen Verarbeitungsübersicht). Anwendbarkeit für die Online-/Mobile-/Smart TV Branche noch nicht abschätzbar eprivacy European Seal for your privacy 19
Datensparsamkeit Selbst wenn bei einer Datenverarbeitung eine Rechtsgrundlage einschlägig ist, müssen grundsätzlich die Datenvermeidung und Datensparsamkeit berücksichtigt werden, d. h.: So wenig Daten wie möglich sollen verarbeitet werden. Daten sollen, wo möglich, pseudonymisiert oder anonymsiert werden. eprivacy European Seal for your privacy 20
Praktische Konsequenzen für Big Data eprivacy European Seal for your privacy 21
1. Diskussion um anonyme Daten ist nicht beendet Die Diskussion wird weiter gehen Entscheidung erst durch den EuGH Spielräume (Art. 6 I f etc.), aber auch Grauzonen Solange aber ein Online-Identifier anonym wäre, solange gilt die DSGVO nicht eprivacy European Seal for your privacy 22
2. Wie weit reicht das Online Werberecht des Art. 6 I f DSGVO? Sind Identifier personenbezogen, dann bekommt Art. 6 I f DSGVO eine herausragende Bedeutung. Dann kommt es darauf an, was berechtigte Interessen sind. Dann kommt es darauf an, was die Erwartungen der Verbraucher sind und wie diese ggf. gesteuert werden können. eprivacy European Seal for your privacy 23
3. Datenschutzfolgeabschätzungen werden an Bedeutung gewinnen Sind Identifier personenbezogen, dann werden Datenschutzfolgeeinschätzungen erforderlich sein. Gfls. werden Konsultationen erforderlich sein. Das kann auch bei Geschäftsmodellen der Onlinebranche riskant werden. eprivacy European Seal for your privacy 24
4. Datenschutzerklärungen müssen angepasst werden Da es erforderlich sein wird, die Erwartungen der Verbraucher zu steuern, wird es hilfreich sein, die bestehenden Datenschutzerklärungen zu erweitern. Kundenverträge müssen angepasst werden, da in der Regel die DS-Erklärungen der Kunden angepasst werden müssen. Es muss also den Kunden die Verpflichtung auferlegt werden, die Erklärungen entsprechend zu gestalten. eprivacy European Seal for your privacy 25
5. Datenschutzfolgenabschätzung muss vorbereitet werden Für neue Geschäftsmodelle muss eine Datenschutzfolgenabschätzung durchgeführt werden. Bestehende Prozesse müssen ggf. angepasst werden. Produkte und Services müssen spezifischen Risikoklassen zugeordnet werden (z. B. anhand bestehender Übersichten über Datenverarbeitungsprozesse). Der Geltungsbereich für die Online-/Mobile-/Smart-TV-Branche kann noch nicht abschließend eingeschätzt werden. Einfache Versionen sollten wegen des geringen Nutzerrisikos bei Online- Werbung möglich sein. eprivacy European Seal for your privacy 26
eprivacy Prof. Dr. Christoph Bauer CEO 20 Jahre Erfahrung in der Medienindustrie, CFO und COO bei Bertelsmann und AOL, CFO/COO bei wunderloop. Mitglied mehrerer Gruppen zu den Themen Datensicherheit und Datenschutzes (IAB EU, BVDW, BITKOM, BvD, GDD), mit einer Vielzahl an Publikationen zu Online Behavioral Targeting, Privatsphäre und Datenschutz. Akkreditierter Gutachter beim ULD, zertifizierter Prüfer ISO 27001 / Datensicherheit. eprivacy European Seal for your privacy 27
Sie finden uns hier Besuchen Sie uns gerne oder rufen Sie uns an Unser Büro befindet in der schönen Hamburger Innenstadt, in direkter Nähe zur Alster. Die nächstgelegene Station heißt Jungfernstieg. Sie erreichen uns mit den S-Bahn- Linien S1, S2 und S3 - mit den U- Bahn-Linien U1, U2 und U4 - oder mit zahlreichen Buslinien. eprivacy GmbH Grosse Bleichen 21 20354 Hamburg Germany +49 40 6094518-10 info@eprivacy.eu Die Zeitpläne der Bahnen und Busse finden Sie hier: www.hvv.de EPRIVACY linkedin.com/company/eprivacy-gmbh xing.com/companies/eprivacygmbh eprivacy European Seal for your privacy 28