Schlagwort-Archive: DSGVO

Datenübermittlung in Nicht-EU-Staaten

Eine Datenübermittlung in Staaten außerhalb der EU ist nur ausnahmsweise erlaubt, wenn sichergestellt ist, dass in dem Land ein angemessenes Datenschutzniveau herrscht (vgl. Art. 45 DSGVO). Die europäische Kommission hat dies für bestimmte Länder festgestellt, z. B. Andorra, Neuseeland, Japan oder die Schweiz. Für Großbritannien gibt es seit Ende Juni 2021 ebenfalls einen Angemessenheitsbeschluss.

Soweit die Datenübermittlung in den Drittstaat zulässig ist, weil für den Staat ein Angemessenheitsbeschluss der Kommission vorliegt, brauchen Sie für die Übermittlung keine zusätzliche Genehmigung. Allerdings benötigen Sie für die eigentliche Datenverarbeitung wie stets, wenn Sie Daten verarbeiten, eine Rechtsgrundlage (z. B. Vertragsdurchführung gemäß Art. 6 Abs. 1 b DSGVO).

Datenübermittlung in die USA zulässig?

EU-US Privacy Shield

Für US-Unternehmen gab es früher die Möglichkeit, sich über den EU-US Datenschutzschild, sog. Privacy Shield, zertifizieren zu lassen. Über dieses Abkommen zwischen der EU und den USA wurde in der Vergangenheit ein angemessenes Datenschutzniveau hergeleitet. US-Konzerne wie Google, Facebook oder Microsoft haben sich entsprechend zertifizieren lassen, sodass die Datenübermittlung zu diesen Unternehmen zulässig war.

EuGH erklärt Privacy Shield für ungültig

Vor einiger Zeit hat der Europäische Gerichtshof (EuGH) das Abkommen über den Privacy Shield jedoch für ungültig erklärt (EuGH, Urteil vom 16.7.2020, C-311/18, „Schrems II“) .

Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichender Datenschutz herrscht. So dürfen US-Behörden und US-Nachrichtendienste nach amerikanischem Recht auf personenbezogene Daten zugreifen, die aus der EU in die USA übermittelt wurden. Betroffene in der EU können sich dagegen nicht wehren, weil ihnen kein Rechtsweg eröffnet ist.

Die Pressemitteilung des EuGH zum Privacy Shield finden Sie hier.

Mit dem Wegfall des Privacy Shield fehlt es an einer Grundlage für die Datenübermittlung in die USA.

Datenübermittlung auf Basis von Standardvertragsklauseln

Auch ohne Angemessenheitsbeschluss kann die Datenübermittlung gegebenenfalls zulässig sein, sofern es geeignete Garantien gibt. Geeignete Garantien können beispielsweise durch entsprechende Standardvertragsklauseln erbracht werden (vgl. Art. 46 Abs. 3 a DSGVO). Die Standardvertragsklauseln werden von der EU-Kommission erstellt. Sie dienen dazu, das Datenschutzniveau der EU bei einer Datenübermittlung in einen Drittstaat zu gewährleisten. Eine nach dem EuGH-Urteil aktualisierte Fassung vom Juni 2021 finden Sie hier.

Viele US-Unternehmen stützen die Datenübermittlung in die USA aktuell auf diese Standardvertragsklauseln.

Die Nutzung der aktualisierten Standardvertragsklauseln ist seit dem 27.9.2021 für Neuverträge Pflicht, für Altverträge kann die Umstellung auf die neuen Standardvertragsklauseln bis 27.12.2022 erfolgen. Auch wenn Sie die neuen Standardvertragsklauseln nutzen, bleiben Sie (wie bisher) dafür verantwortlich zu prüfen, dass der Datenschutz im Drittstaat auch tatsächlich eingehalten wird.

Bei der Datenübermittlung in die USA besteht nach wie vor das Risiko, dass US-Unternehmen zur Herausgabe von Daten durch US-Behörden verpflichtet werden können.

Datenschutz: Ein Überblick

Datenschutz auf der Website

Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in Kraft ist, schützt Personen bei der Verarbeitung ihrer personenbezogenen Daten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage in der Datenschutz-Grundverordnung (DSGVO) gibt. Die Rechtsgrundlagen finden Sie in Art. 6 DSGVO (z. B. Einwilligung oder berechtigtes Interesse). Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig. Aber auch wenn Sie sich auf eine Rechtsgrundlage berufen können, sollten Sie so wenig Daten wie möglich erheben: Es gilt das Gebot der Datensparsamkeit. Das lässt sich im Internet aber kaum umsetzen, denn schon beim Aufruf einer Website werden zumindest die Zugriffsdaten der Besucher:innen gespeichert.

Was sind personenbezogene Daten?

In Artikel 4 DSGVO finden Sie einen Katalog mit den Definitionen von Begriffen, die im Datenschutz relevant sind. Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; (…)  (vgl. Art. 4 Nr. 1 DSGVO).

Um zu klären, ob eine Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die die verantwortliche Stelle (oder eine andere Person) nach allgemeinem Ermessen wahrscheinlich nutzen wird, um die Person direkt oder indirekt zu identifizieren (Erwägungsgrund 26 der DSGVO). Die Rechtsprechung legt den Begriff weit aus.

Beispiele für personenbezogenen Daten:

Name, Anschrift, E-Mail-Adresse, Telefonnummer, Online-Kennungen wie IP-Adresse oder Cookies, Steuernummer, Bankverbindung, Geburtsdatum, Kfz-Kennzeichen, Haarfarbe, Größe, Abbildung von Personen auf Fotos etc.

Wo werden Daten erhoben?

Auf einer Website werden – neben der IP-Adresse – häufig Daten über Kontaktformulare abgefragt, beispielsweise zwecks Anmeldung zu einem Workshop oder einem Newsletter oder bei der Anfrage für eine Dienstleistung, die Sie anbieten. Daten werden auch verarbeitet, wenn Sie auf Ihrer Website Analyse-Tools (z. B. Google Analytics) verwenden oder  Social Media Plugins nutzen (z. B. den „Gefällt-mir“-Button von Facebook).

Datenschutz: Informationspflichten nach der DSGVO

Als Verantwortliche:r der Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Das machen Sie üblicherweise in der Datenschutzerklärung. Die Informationen, die Sie mitteilen müssen, finden Sie in Artikel 13 DSGVO. Danach müssen Sie zum Beispiel hierüber informieren:

  • Name und Kontaktdaten der verantwortlichen Stelle (und der/des Datenschutzbeauftragten, soweit vorhanden)
  • Zwecke der Datenverarbeitung, zum Beispiel für die Vertragsdurchführung, zur Website-Optimierung, für Werbezwecke usw.
  • Sie müssen auch die Rechtsgrundlagen nennen, auf deren Basis Sie die Daten verarbeiten. Wesentliche Rechtsgrundlagen sind beispielsweise die Einwilligung (Art. 6 Abs. 1 a) DSGVO) oder die Erfüllung eines Vertrags (Art. 6 Abs. 1 b)
  • Dauer der Datenverarbeitung (wann löschen Sie die Daten?) bzw. Kriterien für die Festlegung der Dauer (Art. 13 Absatz 2 a DSGVO)
  • Rechte der Betroffenen, insbesondere Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) , Löschung (Art. 17 DSGVO), Widerspruchsrecht (Art. 21 DSGVO) etc.
  • Bei Einwilligung: Hinweis auf Widerrufsrecht erforderlich (Art. 13 Absatz 2 c DSGVO)

Als Verantwortliche:r einer Website müssen Sie die Datenschutzhinweise in transparenter Weise bereitstellen. Sie müssen also genau wie für das Impressum einen eindeutig bezeichneten Link (z. B. „Datenschutzerklärung“ oder „Datenschutz“) auf Ihrer Website bereithalten. Beim Klick auf diesen Link gelangen Ihre Besucher:innen zu den Datenschutzhinweisen. Wichtig ist dabei, dass die Nutzer:innen den Link auch aufrufen können, wenn sie sich gerade auf einer Ihrer Unterseiten befinden.  

Was Sie beim Datentransfer in Nicht-EU-Staaten beachten müssen, lesen Sie hier.

Vorsicht beim Cookie-Banner

Wenn Sie ein Cookie-Banner verwenden, achten Sie darauf, dass die Datenschutzerklärung dadurch nicht verdeckt wird. Das gilt übrigens auch für Ihr Impressum. Wenn Nutzer:innen das Banner erst „wegklicken“ müssen, um  Ihre Datenschutzerklärung und Ihr Impressum zu finden, sollten Sie das zügig reparieren.  

Datenschutz-Grundverordnung: vollständiger Text

Die vollständige Fassung der Datenschutz-Grundverordnung mit allen Erwägungsgründen finden Sie auf der Website der EU hier .

DSGVO: Was ändert sich für Website-Betreiber*innen? Vortrag am 8. Mai

Die DSGVO kommt: Was ändert sich für Website-Betreiber*innen? – Vortrag am 8. Mai in Berlin

Eine Website lässt sich nicht betreiben, ohne dass dabei personenbezogene Daten gesammelt werden.

Daten werden zum Beispiel übertragen, wenn Nutzer*innen Ihnen via Kontaktformular eine Frage stellen oder sich für Ihren Newsletter anmelden. Inhalte werden auf der Website kommentiert oder gleich per Klick in sozialen Netzwerken geteilt und für die Website-Optimierung werden Analyse Tools eingesetzt…

DSGVO: Was ändert sich für Website-Betreiber*innen ab 25. Mai 2018

Rechtsanwältin Nathalie Grudzinski gibt Ihnen einen Überblick darüber, worauf Sie als Website-Betreiber*in aus datenschutzrechtlicher Sicht achten müssen – und was sich dabei für Sie ab 25. Mai 2018 wegen der EU-Datenschutz-Grundverordnung (DSGVO) ändern wird.

Der Vortragsabend ist eine Veranstaltung von tech-teachers e.V., Projekt BER-IT.

Bitte melden Sie sich direkt beim Veranstalter an. Einzelheiten finden Sie unter dem folgenden Link auf der Website von tech-teachers e.V.

Kosten: 10,- EUR

Anmeldeschluss: 3. Mai 2018

Ort: BER-IT, Beratungszentrum für Frauen, Kottbusser Damm 79, 10967 Berlin

Zeit: Dienstag, 8. Mai 2018, 18:00 – 19:30 Uhr

Datenschutz: Themenabend am 11.4.2018

Themenabend „Facebook: Sicherheits- & Privatsphäre-Einstellungen & Datenschutz: Ihre Verantwortung als Website-Betreiber*in“

Mittwoch, 11. April 2018 von 18 bis 20 Uhr in der Gründerinnenzentrale

Vortrag und Gespräch mit Nathalie Grudzinski, Rechtsanwältin, und Tanja Lenke, Unternehmensberaterin

1. Facebook: Sicherheits- & Privatsphäreneinstellungen

Im Vortrag zeigt Unternehmensberaterin Tanja Lenke, welche Sicherheits- & Privatsphäreneinstellungen es auf Facebook gibt, um das eigene Profil zu schützen und dennoch optimal einzurichten, damit potentielle Kund*innen mehr über Sie und Ihr Angebot erfahren können.

2. Datenschutz: Ihre Verantwortung als Website-Betreiber*in

Schon beim Aufruf einer Internetseite werden Daten der Nutzer*innen über­tragen. Je interaktiver Sie Ihre Website gestalten, desto mehr personen­bezogene Daten werden über Ihre Website gesammelt: Daten werden zum Beispiel bei der Eingabe in Online-Formularen erhoben, beim Erstellen eines Kommentars, zum Zwecke der Newsletter-Werbung oder beim Einsatz von Tracking Tools oder Social Media Plugins wie dem Facebook „Like“-Button. Was Sie beim Betreiben einer Website beim Datenschutz beachten müssen und was sich hierbei mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 für Sie ändern wird, erfahren Sie im 2. Teil des Themenabends von Rechtsanwältin Nathalie Grudzinski.

Nach ihrem Vortrag stehen die Referentinnen für Ihre Fragen zur Verfügung.

Referentinnen: Tanja Lenke, she-preneur.de und tanjalenke.de, und Nathalie Grudzinski www.kanzlei-grudzinski.de

Der Themenabend ist eine Veranstaltung der Gründerinnenzentrale.

Bitte melden Sie sich bei Interesse direkt bei der Gründerinnenzentrale an: Telefon: 030- 44 02 23 45 oder E-Mail info(at)gruenderinnenzentrale(dot)de an.

Kosten inkl. Getränke: 10 €

Ort: Gründerinnenzentrale, Anklamer Straße 39/40, Ladenlokal, 10115 Berlin

Zeit: 11. April, 18:00 – 20:00 Uhr