Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt
1. E-Commerce-Recht: So erstellen Sie Ihre
Datenschutzerklärung, Cookies und Social Plugins
korrekt
RA Michael Rohrlich 12.11.2020
2. zugelassen als Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor seit 1997 / Buchautor seit 2005
Dozent seit 1998
Video-Trainer (LinkedIn Learning, ehem. video2brain) seit 07/2012
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt2
Michael Rohrlich
Rechtsanwalt
3. Agenda
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt3
1. Einführung
2. Wie muss eine rechtskonforme Datenschutzerklärung aussehen?
3. Was muss ich beim Einsatz von Cookies beachten?
4. Kann ich Social Plugins noch einsetzen und wenn ja, wie?
5. Ist es noch legal, Tools von US-Dienstleistern zu nutzen?
5. Datenschutzrecht: Schutz personenbezogener Daten von Menschen
Datenschutzrecht gilt offline & online bzgl. Daten mit Personenbezug
nur reine Maschinen-, Statistik- oder Unternehmensdaten nicht
umfasst
aber: „personenbezogene Daten“ sehr weitgehend zu verstehen
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt5
Einführung
6. Einführung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt6
Definition „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO:
• „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden:
‚betroffene Person‘) beziehen.“
• „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […].“
7. Einführung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt7
Hinweise in ErwGr. 30 DSGVO:
• „Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen […]
oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die
insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen
dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
8. Einführung
12.11.20208
Beispiele personenbezogener Daten:
• Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
• Kontaktdaten (Telefonnr., Faxnr., E-Mail etc.)
• Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
• allg. äußere Merkmale (Größe, Gewicht, Haar-/ Augenfarbe etc.)
• Biometrische Daten (Fingerabdruck, DNA-Probe etc.)
• Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
• Fotos (erkennbare Darstellung von Personen)
• Kfz-Kennzeichen
• IP-Adressen (statisch & dynamisch)
im Zweifel sollte davon ausgegangen werden, dass personenbezogene Daten vorliegen
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt
9. Einführung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt9
Verarbeiten
Erheben,
Erfassen
Auslesen,
Abfragen
Verändern,
Anpassen,
Einschrän-
ken
Speichern
Löschen,
Vernichten
Ordnen,
Organi-
sieren
Abgleichen,
Verknüpfen
Offenlegen
durch
Übermittlung,
Verbreitung,
Bereitstellung
10. Einführung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt10
ErwGr. 15 DSGVO:
• „Um ein ernsthaftes Risiko […] zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und
nicht von den verwendeten Techniken abhängen.“
• Änderungen durch die zukünftige E-Privacy-VO?
Regelungen der DSGVO gelten grdsl. auch für Online-Verarbeitung
12. Pflicht zur Bereitstellung einer Datenschutzerklärung (DSE)
jede nicht nur rein private Website benötigt eine DSE
gilt nicht nur Webshops, sondern auch für Unternehmens-Websites,
Blogs…
…und genauso für geschäftliche Social-Media-Profile
<Anmerkung: Datenschutzhinweise auch für Offline-Bereich gem.
DSGVO erforderlich>
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt12
Rechtskonforme Datenschutzerklärung
13. Rechtskonforme Datenschutzerklärung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt13
Rechtsgrundlage: Informationspflichten aus Art. 13, 14 DSGVO:
• Art. 13 DSGVO, wenn Daten bei betroffener Person erhoben werden
• Art. 14 DSGVO, wenn Daten über Dritte erhoben werden
• bei Online-Erhebung von Daten i.d.R. Art. 13 DSGVO einschlägig
Art. 13, 14 unterscheiden sich nur im Detail
14. Rechtskonforme Datenschutzerklärung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt14
einschlägige Pflichtinformationen gem. Art. 13 Abs. 1 DSGVO:
• Namen und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Zweck(e) der Datenverarbeitung
• Rechtsgrundlage(n) der Datenverarbeitung
• ggf. berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden
• ggf. Empfänger oder Kategorien von Empfängern
• ggf. Absicht der Datenübermittlung an ein Drittland oder eine internationale Organisation
15. Rechtskonforme Datenschutzerklärung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt15
einschlägige Pflichtinformationen gem. Art. 13 Abs. 2 DSGVO:
• Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)
• Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf,
Datenportabilität, Beschwerde)
• Hinweis, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen
Vertragsabschluss erforderlich ist
• Hinweis, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen
Folgen die Nichtbereitstellung hätte
• Hinweis auf (Nicht-) Bestehen einer automatisierten Entscheidungsfindung und ggf. aussagekräftige Informationen über
die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung
• ggf. Angaben zur Zweckänderung (Art. 13 Abs. 3 DSGVO)
16. „Sie haben das Recht, sich bei einer Aufsichtsbehörde
zu beschweren, z.B. bei der für uns zuständigen
Aufsichtsbehörde: … [Name, Anschrift & Kontaktdaten
der Behörde]. Eine Liste der Aufsichtsbehörden in
Deutschland findet sich unter folgender Adresse:
www.bfdi.bund.de/DE/Infothek/Anschriften_Links/
anschriften_links-node.html.“
„Sie haben das Recht, sich bei der für uns zuständigen
Aufsichtsbehörde zu beschweren.“
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt16
Rechtskonforme Datenschutzerklärung
Negativ- / Positiv-Beispiel für die Formulierung des Hinweises auf das Beschwerderecht
17. 12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt17
Rechtskonforme Datenschutzerklärung
Allg.
Datenschutzhinweise
Art. 13, 14
DSGVO
Online-
Datenschutzerklärung
Art. 13, 14
DSGVO
Online-
Technologien
18. Rechtskonforme Datenschutzerklärung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt18
Typische Online-Technologien u.a.:
• Analyse-Tools (Google Analytics, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
• Kontaktformular
• Newsletter
• Online-Werbung (Google Ads…)
• Cookies
• Social Plugins
• Einbettung von Schriftarten (Google WebFonts, FontAwesome…)
• Einbettung von Fremdinhalten (Youtube, Vimeo, Google Maps…)
• Verschlüsselung (SSL- / TLS-Zertifikat)
• Partnerprogramme (Amazon, eBay…)
• Stellenausschreibungen / Online-Bewerberverfahren / HR-Tools
• Gewinnspiele
• Meinungsumfragen
• Chat-Tools / Chat-Bots
• Login / Kundenbereich
• usw. usw.
19. Rechtskonforme Datenschutzerklärung
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt19
Umsetzung in die Praxis:
• Online-Generatoren (ähnlich wie bei Impressum-Generatoren), z.T. kostenfrei
• (i.d.R. kostenpflichtige) Legal-Tech-Angebote, z.B. in Form einer sich selbst aktualisierenden DSE
• rechtssichere Gestaltung durch spezialisierten Rechtsanwalt (konkrete Rechtsberatung inkl. Haftungsübernahme)
Online-Generatoren i.d.R. nur „Orientierungshilfen“ und gerade keine konkrete Rechtsberatung
21. Cookies = kleine (Text-) Dateien, die auf dem Endgerät des Nutzers
abgelegt werden und versch. Infos enthalten, z.B. damit eine Website
den Nutzer wiedererkennen kann
z.B. gesetzt durch Webshops, Social Plugins, Google Analytics…
i.d.R. zumindest auch personenbezogene Daten enthalten, so dass
Rechtsgrundlage erforderlich ist
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt21
Einsatz von Cookies
22. Einsatz von Cookies
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt22
Voraussetzungen für den Einsatz von Google Analytics & Co.:
• Codemodifikation, d.h. IP-Adressen dürfen nicht ungekürzt erhoben werden (z.B. Funktion
„anonymizeIP“ bei Google)
• Hinweis auf Widerspruchsmöglichkeit
• Beschreibung auf Funktionsweise der Software in Datenschutzerklärung
• Vertrag mit Software-Anbieter über Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit
• keine Erstellung von Nutzerprofilen durch Software-Anbieter
wenn die o.a. Voraussetzungen bislang fehlen, müssen Altdaten und ggf. der Account gelöscht werden
23. Einsatz von Cookies
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt23
EuGH, „Planet49“-Urt. v. 01.10.2019, Az. C-673/17:
• ausdrückliche Einwilligung verpflichtend für diejenigen Cookies, die für den techn. Betrieb der Website
nicht erforderlich sind
• gilt grdsl. auch für vergleichbare Techniken (z.B. localStorage)
• Angaben u.a. zu Funktionsdauer der Cookies und dazu, ob ggf. Dritte darauf Zugriff erhalten
Praxisproblem: Was ist für Website-Betrieb „erforderlich“?
24. Einsatz von Cookies
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt24
(wohl) techn. notwendige Cookies (wohl) techn. nicht notwendige Cookies
virtueller Warenkorb Tracking
Sprach-Optionen Web-Analyse
Medieninhalte (Flash-Cookies) Retargeting / Remarketing
Einbindung von Zahlungsdienstleistern Social Plugins
Opt-out-Optionen eingebundene Youtube-Videos
Live-Chats / Messenger …
25. Einsatz von Cookies
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt25
Voraussetzungen für den Einsatz von Cookies:
• Rechtsgrundlage gem. DSGVO
• techn. erforderliche Cookies (z.B. Sprach-Optionen): berechtigte Interessen
• für Bestellprozess, Bezahlen o.ä. erforderliche Cookies: Vertragserfüllung
• techn. nicht erforderliche Cookies: Einwilligung
• ggf. Cookie-Banner (zur Einholung der Einwilligung)
• bei Nutzung von US-Diensten (z.B. Google Analytics) auch spezielle Einwilligung dafür einholen
• Beschreibung in Datenschutzerklärung
Cookie-Banner darf keine Pflicht-Menüpunkte verdecken, wie z.B. Impressum o.ä.
27. Social Plugins = kl. Icons versch. sozialer Netzwerke, die in Websites
eingebunden werden können und Code enthalten, wodurch versch. Daten,
u.a. die IP-Adresse der Website-Nutzer, an die sozialen Netzwerke
übermittelt wird
Beispiele:
„Like“-Button (Facebook)
„Tweet“-Button (Twitter)
„Share“-Button (LinkedIn)
„x“-Button (Xing)
zu unterscheiden von reinen Grafikdateien (ohne Code), die mit Social-
Media-Profilen verlinkt sind
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt27
Einsatz von Social Plugins
28. Einsatz von Social Plugins
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt28
Einbindung in eigene Website insbesondere wegen Übertragung u.a. der IP-Adresse datenschutzrechtlich
problematisch
Fazit: Social Plugins niemals „einfach so“ einbinden, sondern „2-Klick-Lösung“ o.ä. Technik nutzen
Umsetzung z.B. durch „c‘t Shariff“-Lösung des Heise Verlages oder spezieller Add-ons für CMS
29. Einsatz von Social Plugins
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt29
Einbindung von Social Plugins per 2-Klick-Lösung:
• Zunächst Einbindung von Platzhalter-Grafiken (ohne Code)
• Informationen bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text
• Aktivierung der Social Plugins nach 1. Mausklick des Nutzers
• Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers
• Beschreibung der Social Plugins bzw. der „2-Klick-Lösung“ in Datenschutzerklärung
31. viele Online-Dienste von US-Anbietern
Beispiele:
Google Analytics
Google Ads
Google WebFonts
Facebook
Nutzung von US-Diensten inzwischen sehr problematisch
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt31
Tools von US-Dienstleistern
32. Tools von US-Dienstleistern
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt32
• Übermittlung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen
zulässig, insbesondere bei Datenübermittlung in „unsichere Drittstaaten“
• Drittstaaten mit Angemessenheitsbeschluss der EU-Kommission z.B.
• Kanada
• Schweiz
• Japan
• Argentinien
• USA
• bislang war sog. Privacy-Shield als spezieller Angemessenheitsbeschluss zwingende Voraussetzung für
Datenübermittlung in die USA
33. Tools von US-Dienstleistern
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt33
EuGH, „Schrems II“-Urt. v. 16.07.2020, Az. C-311/18:
• „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-
Datenschutzschild gebotenen Schutzes ist ungültig.“
• keine Übergangs- oder Schonfrist
• EuGH fordert zusätzliche Garantien, z.B. für Rechtsstaatlichkeit & Rechtsschutzmöglichkeiten
EuGH hat die praktisch wichtigste Grundlage für Datenübermittlung in die USA gekippt!
34. Tools von US-Dienstleistern
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt34
mögliche Alternativen (Art. 49 DSGVO):
• EU-Standardvertragsklauseln (grdsl. möglich, aber praktisch kaum umsetzbar)
• Einwilligung (schwierig, zudem jederzeit widerrufbar)
• erforderlich zur Erfüllung eines Vertrages
• wichtige Gründe des öffentl. Interesses
• Schutz lebenswichtiger Interessen
• …
Art. 49 DSGVO restriktiv auszulegen; gedacht für einzelne Verarbeitungen, nicht als „Dauereinrichtung“
35. Vielen Dank
In Kürze in Ihrer Mediathek
▪ Video-Aufzeichnung der Online-Schulung
▪ Fragen- & Antworten-Dokument
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt35
36. Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts:
In Ihrer Mediathek finden Sie eine Zusammenstellung der wichtigsten Fragen und
Antworten.
Zeit für Ihre Fragen
12.11.2020E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Social Plugins korrekt36
37. Weitere Online-Schulungen,
die Sie interessieren könnten
Die eigene
Internetseite: So
präsentieren Sie Ihr
Unternehmen optimal
Der eigene Online-
Shop: So verkaufen Sie
Ihre Produkte
erfolgreich
Social Media: Chancen
für kleine und mittlere
Unternehmen
Di, 21.07.20, 10:00 Uhr Do, 23.07.20, 10:00 Uhr Do, 06.08.20, 10:00 Uhr
Ca. 80 Min. ca. 80 Min. ca. 80 Min.
Kostenlos Kostenlos Kostenlos
Zur Schulung Zur Schulung Zur Schulung