DSGVO Questions & Answers mit Dr. Thomas Schwenke

Am 18.04. gab es eine spannende Facebook LIVE Question & Answers Session zur DSGVO mit Rechtsanwalt Dr. Thomas Schwenke. Vorab und währenddessen wurden unterschiedliche Fragen aus der Community gesammelt und dann zwei Stunden lang behandelt.

Diese Facebook LIVE Sessions sind unserer Meinung nach eine tolle Möglichkeit, um auch komplexe Fragen in einer effektiven und strukturierten Form zu beantworten. Gerade bei rechtlichen Fragestellungen ist das oft schwierig. Darüber hinaus gibt es bei den Sessions immer die Möglichkeit, währenddessen Rückfragen zu stellen oder Unklarheiten anzusprechen.

Es gab das in dieser Form auch schon zum Thema „Rechtliche Rahmenbedingungen im Influencermarketing“ und konnte damals einige Fragen endlich deutlich beantworten.

An dieser Stelle auch noch mal ein großes DANKE an Thomas Meyer von swat.io, der sich immer herzallerliebst um die Organisation dieser Sessions bemüht. Cool von dir, Thomas.

Bevor wir mit den Inhalten starten, noch zwei Dinge:

Gerne wiederhole ich das, was Thomas Meyer am Ende der Session gesagt hat: KEINE PANIK, LEUTE! Dieses DSGVO-Thema rollt gerade wie eine Hysteriewalze durch die Branche und lässt so einige seltsame Maßnahmen zu Tage treten. Ja, das sind massive Änderungen. Ja, wir müssen uns damit befassen und Dinge ändern. Ja, die neuen gesetzlichen Bestimmungen sind an vielen Stellen unzureichend und nicht auf aktuellen Bedürfnisse abgestimmt. Nein, wir müssen deswegen nicht komplett durchdrehen und ans Auswandern denken. Nein, das ist nicht alles nur schlecht, denn ein verantwortungsvollerer Umgang mit NutzerInnendaten ist schon lange überfällig und für uns alle wichtig. So. Wir nähern uns dieser Geschichte in Ruhe und unterstützen uns gegenseitig. Wir sehen uns an, was es braucht und führen entsprechende Maßnahmen durch.
Wenn wir nicht weiter wissen, fragen wir an entsprechender Stelle nach. Und damit meinen wir in den meisten Fällen Beratung durch eineN JuristIn. Es macht keinen Sinn, jede x-beliebige Kommunikationsperson mit komplexen DSGVO-spezifischen Fragen zu löchern. Erstens wird dadurch viel gefährliches Halbwissen verbreitet und zweitens werde ich eine sinnvollere (weil rechtssichere) Antwort bekommen, wenn ich eine dafür zuständige Person frage, anstatt mich stundenlang durch Vermutungen und „Ich glaube schon, …“ Infos zu quälen.

Hier noch unser Einführungsbeitrag mit den Grundlagen zur DSGVO.

— DISCLAIMER — DISCLAIMER— DISCLAIMER— DISCLAIMER— DISCLAIMER—

(Wir sind keine Jus-Expertinnen. Wir geben alles nach bestem Wissen wider – sollten Fehler oder falsch verstandene Punkte drinnen sein, bitte Bescheid geben. Lasst uns diese Infos so korrekt und vollständig wie möglich machen. Bussi.)

Jetzt aber!

Vollständige Session nachsehen:

How to Share With Just Friends

How to share with just friends.

Posted by Facebook on Friday, December 5, 2014

DSGVO-Guide

Beginn Questions & Answers

Einleitend halten wir fest, dass viele Punkte nicht vollständig beantwortet werden können. Es geht dabei oft um eine Risikoeinschätzung.

Frage: Wie sieht es mit dem Facebook Pixel aus? Dürfen wir diesen weiterhin nutzen?

(gleich den größten Brocken zu Beginn. Wir wollen euch ja bei Laune halten.)

Bei dieser Frage stehen sich zwei Positionen gegenüber:

– Direktmarketing ist ein sogenanntes berechtigtes Interesse eines Unternehmens
– UserInnen haben ein schützenswertes Interesse im Bezug auf ihre Daten

Bei der Auslegung der DSGVO muss meist abgewogen werden, welches genannte Interesse schwerer wiegt.

Hinzu bekommt der Punkt der Vorhersehbarkeit: Also, können UserInnen bei dem Besuch einer Website damit rechnen, dass dort ihre Daten gesammelt und später verwendet werden?

Eine Person mit Marketinghintergrund würde vermutlich sagen: „Natürlich ist damit zu rechnen! Das ist heutzutage gang & gäbe!“
Eine branchenfremde Person würde vielleicht eher sagen: „Was? Nein? Was ist das überhaupt? Das war mir nicht bewusst!“

Antwort: Der Einsatz des Facebook Pixels ist nicht grundsätzlich verboten, allerdings noch risikoreich. Eine Abwägung der wirtschaftlichen Interessen ist sinnvoll. Egal, welche Version des Pixels verwendet wird, es muss in der Datenschutzerklärung auf dessen Einsatz und die Funktionen hingewiesen werden. Wird über den Facebook Pixel ein sogenannter erweiterter Abgleich durchgeführt, so muss es eine ausdrückliche Einverständniserklärung des/der UserIn geben. Bei dem erweitertem Abgleich handelt es sich um eine Anreicherung der erhobenen Daten zur Websitenutzung um Daten aus Kundenlisten wie Telefonnummern oder E-Mailadressen. In Kombination können Werbungen in weiterer Folge noch zielgerichteter ausgespielt werden.

Wenn der erweiterte Abgleich nicht genutzt wird, muss aber trotzdem der entsprechende Hinweis in den Datenschutzerklärungen eingebaut und eine Opt-Out Möglichkeit angeboten werden. Diese (jetzt wird es spaßig) Opt-Out Möglichkeit müssen wir uns selbst basteln, da jene von Facebook angebotene Funktion nicht ausreicht.

Details zum Facebook Pixel, wie eine entsprechende Datenschutzerklärung (und falls notwendig, Einverständniserklärung) aussehen muss und wie man sich den Opt-Out-Dings bastelt, bitte hier entlang

Es ist davon auszugehen, dass Facebook rechtzeitig eine DSGVO-konforme Lösung für den Pixel anbieten wird.

Frage: Wer ist für die Rechtssicherheit der Website verantwortlich? InhaberIn oder DienstleisterIn?

Antwort: Am besten in einem Vertrag eindeutig vereinbaren, wer zuständig ist. Für Dienstleister könnte der Passus lauten: „Wer übernehmen nicht die rechtliche Prüfung des Impressums / der Datenschutzerklärung. Dafür ist der Auftraggeber zuständig.“ Sonst kann es passieren, dass man als Dienstleister verantwortlich gemacht wird.

(Das war leicht, oder? Moving on!)

Frage: Gibt es eine Mindestschriftgröße für die Datenschutzerklärung auf der Website?

Antwort: Es gibt zwar keine Vorgaben, aber sie muss einfach erkennbar sein. Sie muss nicht direkt ins Auge springen, aber lesbar sein, ca. 10 Punkt oder 12 Punkt und guter Kontrast. Eine nicht-affine Person sollte sie beim ersten Besuch der Website in ca. 1 Minute entdeckt haben.

(Das flutscht ja!)

Frage: Die Cookie-Info verdeckt die Datenschutzerklärung: Ist das ein Verstoß?

Antwort: Ja!
Zusatzinfo: Der Cookie-Banner ist ein Hinweis, macht die Seite aber übrigens nicht rechtssicher. Sie bildet nur eine Info, ist aber keine Einverständniserklärung. Eigentlich dürfte man keine Cookies setzen, bevor nicht jemand das Einverständnis gegeben hat.

(Heute bringen wir alles unter.)

Frage: Wie sieht es mit Tools aus, sagen wir mal, Social Media Tools?

Antwort: Eigentlich wären die Anbieter verpflichtet, alle notwendigen Informationen zur Datenverarbeitung zur Verfügung zu stellen. Anbieter und Dienstleister haften beide in gleichem Maße – daher sollte ein Vertrag abgeschlossen werden zwischen den beiden Parteien. Wenn Personen geschädigt werden, können sie sich aussuchen, wen sie verklagen.

Bieten die Plattformen/Tools die Infos nicht von sich aus an, müssen wir nachfragen. Hier eine praktische Liste an Fragen:

Fragen an Unternehmen bezüglich Auftragsverarbeitung

Wir nutzen Ihre Dienste und bitten Sie die folgenden Fragen im Hinblick auf die Voraussetzungen der Auftragsverarbeitung im Sinne des Artikels 28 der EU-Datenschutzgrundverordnung (DSGVO) zu beantworten:
1) Können Sie uns einen Auftragsverarbeitungsvertrag mit technischen und organisatorischen Schutzmaßnahmen sowie einer Übersicht der Unterauftragsverhältnisse zur Unterschrift zukommen lassen?
2) Haben Sie mit den Unterauftragnehmern entsprechende Verträge abgeschlossen, die die Unterauftragnehmer gleichermaßen auf den Datenschutz verpflichten?
3) Im Fall von Onlinemarketing-Tools: Werden die Daten der Nutzer pseudonym verarbeitet? (z. B. werden die IP-Adressen nur anonym, d. h. ohne letztes Oktett, gespeichert?) und bieten Sie Opt-out-Optionen für Nutzer an (falls ja, wie werden diese umgesetzt)? Wann werden die bei Ihnen gespeicherten Nutzerdaten (insbesondere Cookies gelöscht)
4) Für Unternehmen außerhalb der EU: Bieten Sie gesetzlich anerkannte Garantien für das Datenschutzniveau an (z.B., EU-Standardvertragsklauseln oder Privacy Shield)?

Fragen an Unternehmen bezüglich Auftragsverarbeitung

We use your services and ask you to answer the following questions with regard to the requirements for processing within the meaning of Article 28 of the EU General Data Protection Regulation (GDPR):
1) Can you provide us with a Data Processing Agreement including technical and organisational protection measures as well as an overview of the subcontractual relationships for signature?
2) Have you concluded appropriate contracts with the subcontractors that commit the subcontractors equally to data protection?
3) In the case of online marketing tools: Is the user’s data processed pseudonymously? (e.g. the IP addresses are only stored anonymously, i.e. without the last octet?) and do you offer opt-out options for users (if yes, how are they implemented)? When will the user data stored by you (in particular cookies) be deleted?
4) For companies outside the EU: Do you offer legally recognised guarantees for the level of data protection (e.g., EU Standard Contractual Clauses or Privacy Shield)?

(Ihr seid noch mit dabei oder?)

Frage: Sind Unternehmen dazu verpflichtet, die Daten von UserInnen zu löschen, wenn das verlangt wird?

Antwort: Ja! Und man sollte sich auch vorab ein Lösch-Konzept überlegen, damit das dann alles nicht hundert Jahre dauert. So innerhalb von 72h wäre gut. Möchte man die Daten nicht löschen, muss das gut begründet werden.

Beispiel: Jemand hat eine zeitlang meinen Newsletter bezogen, möchte diese Abbestellen und alle Daten gelöscht haben. So werde ich das natürlich tun, allerdings die Einverständniserklärung zum Erhalt des Newsletter archivieren, um das im Zweifelsfalls dokumentiert zu haben. Für diesen Zweck ist das Archivieren zum Beispiel erlaubt.

(Und ihr dachtet, das wird hier kompliziert)

Frage: Was ist mit uralten Datenbanken für Newsletter-Marketing? Muss ich die alle kübeln?

Antwort: Frühere Einwilligungen sind auch nach dem 25. Mai noch gültig, wenn sie bereits damals DSGVO-konform waren. Oft besteht das Problem darin, dass es keine nachweisbaren Einwilligungen mehr gibt. Hier müsste ich nochmal Nachfassen und um Einwilligung bitten.
Mails zu Werbezwecke benötigen eine ausdrückliche Einwilligung (Ausnahme: Bestandskunden). In dem Online-Formular sollte beschrieben werden, welche Infos im Newsletter kommen – „Interessante Informationen“ reicht nicht.
Checkbox darf auch nicht vor-angehakt sein.

(Nicht aufgeben! Wir habens bald!)

Frage: Erfolgsmessungen bei Newslettern (Tracking, wie oft der NL geöffnet wurde usw.?)

Antwort: Dabei handelt es sich um Profiling und darüber müssen NutzerInnen aufgeklärt werden und müssen ausdrücklich zustimmen. Bitte darauf achten, dass die Erfolgsmessung bei manchen Tools gar nicht abgedreht werden kann, wie zum Beispiel bei MailChimp in der kostenlosen Version.

Double Opt-In ist wichtig, um sicherzustellen, dass die Mail-Adresse auch der entsprechenden Person gehört. Die Bestätigungsmail darf keine Werbung enthalten.

(Ihr macht das super!)

Frage: Wie sieht es aus bezüglich Messenger Marketing aus? Kundengespräche / Akquisegespräche über Facebook Messenger oder WhatsApp?

Antwort: Man müsste KundInnen vorab informieren, dass Metadaten von Facebook ausgelesen und potenziell genutzt werden und eine Einwilligung einholen (in Österreich ist eine Einwilligung ab 14 Jahren möglich). Kundengespräche mit heiklem Inhalt sollten prinzipiell nicht über Messenger geführt werden.

Besser: Allgemeine Infos per Messenger möglich, heikle Daten besser auf andere Kanäle verlagern.

Auf Facebook-Seiten selbst sollte auf die Datenschutzerklärung hingewiesen werden (zum Beispiel im Infobereich).

Die Datenschutzerklärung muss auf Seite und im Messenger doppelt angeboten werden, weil ich chatten kann ohne vorher die Seite besucht zu haben. Idealerweise: Bei erstem Kontakt im Messenger den Hinweis posten.

(Was sich in zwei Stunden LIVE Session alles ausgeht…)

Frage: Was ist mit der Speicherung von Daten bei Dropbox / Google Drive?

Antwort: Unklar, ob Verträge für Privatpersonen angeboten werden.
Als Unternehmer kann man Auftragsdatenverarbeitungsverträge abschließen.
Wenn ein Anbieter solche Verträge nicht zur Verfügung stellt, darf ich die Daten meiner KundInnen dort nicht speichern.

Bei iCloud gibt es zur Zeit keine Verträge. Google und Microsoft bietet die Verträge an.

(easy.)

Frage: Gibt es Interessenskonflikte bei der Ernennung von Datenschutzbeauftragten?

Antwort:
in Deutschland: ab 10 MitarbeiterInnen brauche ich eineN DatenschutzbeauftragteN
in Österreich: Nur, wenn man besonders risikoreiche Daten verarbeitet (Gesundheitsdaten, usw.)

Die Person darf nicht regelmäßig mit den Daten zu tun haben. DatenschutzbeauftragteR darf sich nicht selbst kontrollieren –> keinE MitarbeiterIn aus der IT-Abteilung

(Tröstet es euch, dass es die Deutschen diesbezüglich strenger getroffen hat?)

Frage: Übertragung von personenbezogenen Daten in Drittstaaten

Antwort: Innerhalb der EU muss ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden.
Es gibt Länder außerhalb der EU, in denen ein bestimmtes Datenschutzniveau festgestellt wurde (Schweiz, Neuseeland, usw.) Darüber hinaus gibt es die privacy shield Zertifizierung: https://www.privacyshield.gov/list

(Ihr seht: Die Konzentration ließ nach, die Mitschrift wurde schlampig. Geht aber noch oder?)

Frage: Conversion Tracking im E-Commerce Bereich mit pseudonymisierten Daten

Antwort: Grundsätzlich sind Daten sehr schnell personenbezogen, können aber pseudonymisiert werden. Dadurch sind sie nicht mehr eindeutig einer Person zuzuordnen. Eine personenbezogene Verarbeitung ist aber trotzdem möglich, auch wenn ich von der Person keinen Namen habe, sondern nur eine Nummer und dann Person Nr. 1234 eine passende Werbung ausspiele. (siehe E-Commerce Option bei Google Analytics)

(Können wir das schaffen?)

Frage: Was ist mit Anbietern wie Blogspot / WordPress / Wix?

Antwort: Wenn ich eine Onlinepräsenz betreibe und der Anbieter die Daten verarbeitet, dann brauche ich eine passende Datenschutzerklärung („Wenn Sie sich auf meiner Website bewegen, werden von Blogspot usw. ihre Daten verarbeitet“.)

(Ja, wir schaffen das!)

Frage: Kleine Unternehmen verlinken ihre Unternehmens-URL direkt auf Facebook-Seite: Wie geht man damit um?

Antwort: Das heißt, erkennen das Ziel nicht und können sich nicht dafür/dagegen entscheiden.
Streng genommen müsste ich eine Seite zwischenschalten, um darauf hinzuweisen.

Ich muss die NutzerInnen informieren, weil ich mithafte als BetreiberIn einer Facebook-Seite. Ich sehe zwar selbst keine Daten, arbeite aber mit Facebook zusammen und hafte deshalb dafür –> Es ist zu hoffen, dass Facebook die Plattform DSGVO-konform gestalten, bevor dieses Urteil draußen ist.

(Noch drei!)

Frage: Was ist mit Job-Bewerbungen?

Antwort: Wie gehabt muss es einen Hinweis an Bewerbende geben, ob und wie Daten verarbeitet werden. Die Übermittlung sollte möglichst über eine verschlüsselte Verbindung erfolgen und die Daten intern auch nicht herumgereicht werden.
Spätestens nach 6 Monaten müssen alle Bewerbungsdaten gelöscht werden. (Ausnahme: Einwilling in Aufnahme in den Talent-Pool o.ä.)

(Noch zwei!!)

Frage: Was ist das Kopplungsverbot? Wie ist damit umzugehen?

Antwort: Das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO geht davon aus, dass eine Einwilligung in Sinne der DSGVO freiwillig erfolgen muss, unabhängig vom Kontext. Also sowas wie „Abonniere meinen Newsletter, damit du am Gewinnspiel teilnimmst.“ Hier kann allerdings auch abgewogen werden: Handelt es sich um einen mega-exklusiven Preis wie ein Meet&Greet mit Justin Bieber der mir quasi keine andere Wahl lässt, als den verdammten Newsletter zu abonnieren oder handelt es sich um ein Büchlein, das ich problemlos überall sonst auch bekommen könnte?

(Ah sorry, jetzt noch zwei. Whoops.)

Frage: Sind Bilder und Videos auch personenbezogene Daten?

Antwort: Ja, weil ich anhand dessen Personen identifizieren kann. Sie unterliegen deshalb der DSGVO.
Wenn ich Fotos für geschäftliche Zwecke mache, muss ich mich an die DSGVO halten. Habe ich ein berechtigtes Interesse, über ein Event zu berichten? Ja. Haben die Personen ein schutzwürdiges Interesse an den Fotos? Ja. Können Sie damit rechnen, fotografiert zu werden und dass die Fotos genutzt werden? Unklar.
Dafür gibt es keine spezielle Regelung. Kollektives Schulterzucken an dieser Stelle einfügen.
Annahme: Wenn jemand nach außen tritt, muss er damit rechnen, auf einem Foto erfasst zu werden.

(LETZTE FRAGE OMG)

Frage: Persönliche Einschätzung von Thomas Schwenke: Wird es zu Abmahn-Wellen kommen?

Datenschutzbehörden agieren meist recht konstruktiv. Das heißt, man sollte Bemühungen zeigen und die wichtigsten Maßnahmen korrekt umsetzen. Sollten kleine Fehler passieren, muss niemand panisch werden – Die Behörde entscheidet anhand des Ermessens.

Schwierig werden könnten allerdings Anwälte, die losgeschickt werden, um Datenschutzvergehen bei der Konkurrenz festzustellen und ihnen mittels (wir kennen das ja mit dem Urheberrecht für Fotos) bösartiger Briefe versuchen, Zahlungen abzuringen. Dr. Thomas Schwenke spricht davon, dass die Wahrscheinlichkeit für ein Abmahn-Business zumindest am Anfang gegeben sein könnte. Deshalb sollten wir uns angemessen informieren und die größten Punkte der DSGVO ordentlich umsetzen.

Beispiel: Findet Ghostery auf der Website einen Facebook Pixel und in den Datenschutzerklärungen findet sich kein Sterbenswörtchen dazu, wäre das nicht ideal.
Ist irgendwo eine Checkbox an der falschen Stelle oder ein Link falsch gesetzt, wird die Welt nicht untergehen.

Das war’s.

Wir danken für eure Aufmerksamkeit!

Ein Kommentar

Videotipp: "Question & Answers zur DSGVO" mit Thomas Meyer und Dr. Thomas Schwenke - Kanzlei Dr. Thomas Schwenke 23. April 2018 um 08:24 Uhr - Antworten

[…] Ein ganz besonderer Dank geht an MOKS OG Michaela Wein & Uschi Juno für das Transskript zum Video – Falls Sie nachlesen möchten, wo sie reinschauen sollten: „DSGVO Questions & Answers mit Dr. Thomas Schwenke„. […]