Schlagwort-Archive: DSGVO

Online-Seminar: Wie gestalte ich eine rechtssichere Website, 18./20.4.2023

Im Online-Seminar erhalten Sie Tipps für eine rechtssichere Website (Fotorechte, Datenschutz, Cookies etc.):

Für Websitebetreiber:innen stellen sich viele rechtliche Fragen, zum Beispiel bei der Verwendung von Fotos, Analyse Tools und Social Media Plugins auf der Website. Das Online-Seminar bietet einen verständlichen Überblick über die rechtlichen Grundlagen, insbesondere zu folgenden Themen:

  • Impressumspflicht
  • Verantwortung für eigene und fremde Inhalte auf der Website
  • Urheberrechtsverletzung
  • (Un)zulässige Fotonutzung
  • Datenschutz auf der Website (Informationspflichten nach DSGVO, Cookies etc.)
  • Abmahnung

Das Online-Seminar eignet sich besonders für Freiberufler:innen, Gewerbetreibende und Blogger:innen und alle, die eine Website haben, planen oder betreuen.

Kursleiterin: Rechtsanwältin Nathalie Grudzinski

Zeit: 18. + 20. April 2023, jeweils von 10:00 – 12:30 Uhr

Ort: Das Seminar findet online in der VHS Cloud statt.

Das Seminar wird veranstaltet von der VHS Berlin-Reinickendorf: Kursnummer: Re5135-F-O

Zur Anmeldung zum Online-Seminar auf der Internetseite der VHS Berlin geht es hier

Datenübermittlung in Nicht-EU-Staaten

In aller Kürze

  • Die Datenübermittlung in Nicht-EU-Staaten ist nur unter bestimmten Bedingungen zulässig, z.B. wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat.
  • Seit Juli 2023 gibt es ein neues Datenschutzabkommen zwischen der EU und den USA, das EU-U.S. Data Privacy Framework, das ein ausreichendes Datenschutzniveau für den Datentransfer gewährleistet.
  • Eine weitere Möglichkeit, Daten in Drittstaaten zu übermitteln, sind Standardvertragsklauseln, die von der EU-Kommission erstellt werden.
  • Das Privacy Shield war ein früheres Datenschutzabkommen zwischen der EU und den USA, das vom EuGH im Juli 2020 für ungültig erklärt wurde.

Datenübermittlung in Drittländer

Eine Datenübermittlung in Staaten außerhalb der EU ist nur ausnahmsweise erlaubt, wenn sichergestellt ist, dass in dem Land ein angemessenes Datenschutzniveau herrscht (vgl. Art. 45 DSGVO). Die europäische Kommission hat dies für bestimmte Länder festgestellt, z. B. Andorra, Neuseeland, Japan oder die Schweiz. Nach dem Brexit gibt es für Großbritannien seit Ende Juni 2021 ebenfalls einen Angemessenheitsbeschluss.

Soweit die Datenübermittlung in den Drittstaat zulässig ist, weil für den Staat ein Angemessenheitsbeschluss der Kommission vorliegt, brauchen Sie für die Übermittlung keine zusätzliche Genehmigung, wenn Daten in dem jeweiligen Drittstaat verarbeitet werden. Allerdings benötigen Sie für die Datenverarbeitung – wie stets, wenn Sie Daten verarbeiten – eine Rechtsgrundlage (z. B. Vertragsdurchführung gemäß Art. 6 Abs. 1 b DSGVO).

Datenübermittlung in die USA zulässig?

UPDATE JULI 2023: Data Privacy Framework

Am 10.7.2023 ist das EU-U.S. Data Privacy Framework (DPF) in Kraft getreten, ein Datenschutzrahmen für den Datentransfer zwischen der EU und den USA. Die EU-Kommission hat zudem in einem Angemessenheitsbeschluss für die USA ein ausreichendes Datenschutzniveau festgestellt.

Damit ist die Datenübermittlung an US-Unternehmen wie z. B. Google, die personenbezogene Daten (z. B. IP-Adressen) auch in den USA verarbeiten und unter dem dem EU-U.S. DPF zertifiziert sind, nunmehr wieder zulässig.

Denken Sie bei der Nutzung von US-Diensten daran, dass Sie weiterhin eine Rechtsgrundlage aus der DSGVO für die eigentliche Datenverarbeitung benötigen (z. B. Einwilligung in die beabsichtigte Datenverarbeitung oder berechtigte Interessen etc.).

Frühere Datenschutzabkommen mit den USA sind in der Vergangenheit mit Rechtsmitteln erfolgreich zu Fall gebracht worden, so zuletzt das Privacy Shield (s. unten). Es kann davon ausgegangen werden, dass in der Zukunft auch gegen den neuen EU-US-Datenschutzrahmen Klage erhoben werden wird. Der österreichische Datenschutzaktivist und Rechtsanwalt Max Schrems und sein Verein noyb haben bereits angekündigt, dies zu tun.

Rechtslage vor dem EU-U.S. Data Privacy Framework

EU-US Privacy Shield

Für US-Unternehmen gab es bisher die Möglichkeit, sich über den EU-US Datenschutzschild, sog. Privacy Shield, zertifizieren zu lassen. Über dieses Abkommen zwischen der EU und den USA wurde in der Vergangenheit ein angemessenes Datenschutzniveau hergeleitet. US-Konzerne wie Google, Facebook oder Microsoft haben sich entsprechend zertifizieren lassen.

EuGH erklärt Privacy Shield für ungültig

Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) das Abkommen über den Privacy Shield jedoch für ungültig erklärt (EuGH, Urteil vom 16.7.2020, C-311/18, „Schrems II“) .

Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichender Datenschutz herrscht. So dürfen US-Behörden und US-Nachrichtendienste nach amerikanischem Recht auf personenbezogene Daten zugreifen, die aus der EU in die USA übermittelt wurden. Betroffene in der EU können sich dagegen nicht wehren, weil ihnen kein Rechtsweg eröffnet ist.

Die Pressemitteilung des EuGH zum Privacy Shield finden Sie hier.

Nach dem Wegfall des Privacy Shield fehlte es an einer Grundlage für die Datenübermittlung in die USA und es wurde zumeist auf Standardvertragsklauseln zurückgegriffen.

Datenübermittlung auf Basis von Standardvertragsklauseln

Auch ohne Angemessenheitsbeschluss kann die Datenübermittlung zulässig sein, sofern es geeignete Garantien gibt. Geeignete Garantien können beispielsweise durch entsprechende Standardvertragsklauseln erbracht werden (vgl. Art. 46 Abs. 3 a DSGVO). Die Standardvertragsklauseln werden von der EU-Kommission erstellt. Sie dienen dazu, das Datenschutzniveau der EU bei einer Datenübermittlung in einen Drittstaat zu gewährleisten. Eine nach dem EuGH-Urteil aktualisierte Fassung vom Juni 2021 finden Sie hier.

Viele US-Unternehmen stützen die Datenübermittlung in die USA auf diese Standardvertragsklauseln, insbesondere in der Zeit nach dem Wegfall des Privacy Shield.

Die Nutzung der aktualisierten Standardvertragsklauseln ist seit dem 27.9.2021 für Neuverträge Pflicht, für Altverträge musste bis 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden.

Auch wenn Sie die neuen Standardvertragsklauseln nutzen, bleiben Sie (wie bisher) dafür verantwortlich zu prüfen, dass der Datenschutz im Drittstaat auch tatsächlich eingehalten wird. Ein nicht ganz leichtes Unterfangen…

Datenschutz: Ein Überblick

Datenschutz auf der Website

In aller Kürze

  • Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten, beispielsweise Name, Telefonnummer, IP-Adresse etc.
  • Als Verantwortliche:r einer Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Sie müssen in der Datenschutzerklärung unter anderem über die Zwecke der Datenverarbeitung, die Rechtsgrundlagen, die Dauer der Datenverarbeitung und die Rechte der Betroffenen informieren.

Im Einzelnen:

Datenschutz auf der Website

Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in Kraft ist, schützt Personen bei der Verarbeitung ihrer personenbezogenen Daten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage in der Datenschutz-Grundverordnung (DSGVO) gibt. Die Rechtsgrundlagen finden Sie in Art. 6 DSGVO (z. B. Einwilligung oder berechtigtes Interesse). Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig. Aber auch wenn Sie sich auf eine Rechtsgrundlage berufen können, sollten Sie so wenig Daten wie möglich erheben: Es gilt das Gebot der Datensparsamkeit. Das lässt sich im Internet aber kaum umsetzen, denn schon beim Aufruf einer Website werden zumindest die Zugriffsdaten der Besucher:innen gespeichert.

Was sind personenbezogene Daten?

In Artikel 4 DSGVO finden Sie einen Katalog mit den Definitionen von Begriffen, die im Datenschutz relevant sind. Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; (…)  (vgl. Art. 4 Nr. 1 DSGVO).

Um zu klären, ob eine Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die die verantwortliche Stelle (oder eine andere Person) nach allgemeinem Ermessen wahrscheinlich nutzen wird, um die Person direkt oder indirekt zu identifizieren (Erwägungsgrund 26 der DSGVO). Die Rechtsprechung legt den Begriff weit aus.

Beispiele für personenbezogenen Daten:

Name, Anschrift, E-Mail-Adresse, Telefonnummer, Online-Kennungen wie IP-Adresse oder Cookies, Steuernummer, Bankverbindung, Geburtsdatum, Kfz-Kennzeichen, Haarfarbe, Größe, Abbildung von Personen auf Fotos etc.

Wo werden Daten erhoben?

Auf einer Website werden – neben der IP-Adresse – häufig Daten über Kontaktformulare abgefragt, beispielsweise zwecks Anmeldung zu einem Workshop oder einem Newsletter oder bei der Anfrage für eine Dienstleistung, die Sie anbieten. Daten werden auch verarbeitet, wenn Sie auf Ihrer Website Analyse-Tools (z. B. Google Analytics) verwenden oder  Social Media Plugins nutzen (z. B. den „Gefällt-mir“-Button von Facebook).

Datenschutz: Informationspflichten nach der DSGVO

Als Verantwortliche:r der Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Das machen Sie üblicherweise in der Datenschutzerklärung. Die Informationen, die Sie mitteilen müssen, finden Sie in Artikel 13 DSGVO. Danach müssen Sie zum Beispiel hierüber informieren:

  • Name und Kontaktdaten der verantwortlichen Stelle (und der/des Datenschutzbeauftragten, soweit vorhanden)
  • Zwecke der Datenverarbeitung, zum Beispiel für die Vertragsdurchführung, zur Website-Optimierung, für Werbezwecke usw.
  • Sie müssen auch die Rechtsgrundlagen nennen, auf deren Basis Sie die Daten verarbeiten. Wesentliche Rechtsgrundlagen sind beispielsweise die Einwilligung (Art. 6 Abs. 1 a) DSGVO) oder die Erfüllung eines Vertrags (Art. 6 Abs. 1 b)
  • Dauer der Datenverarbeitung (wann löschen Sie die Daten?) bzw. Kriterien für die Festlegung der Dauer (Art. 13 Absatz 2 a DSGVO)
  • Rechte der Betroffenen, insbesondere Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) , Löschung (Art. 17 DSGVO), Widerspruchsrecht (Art. 21 DSGVO) etc.
  • Bei Einwilligung: Hinweis auf Widerrufsrecht erforderlich (Art. 13 Absatz 2 c DSGVO)

Als Verantwortliche:r einer Website müssen Sie die Datenschutzhinweise in transparenter Weise bereitstellen. Sie müssen also genau wie für das Impressum einen eindeutig bezeichneten Link (z. B. „Datenschutzerklärung“ oder „Datenschutz“) auf Ihrer Website bereithalten. Beim Klick auf diesen Link gelangen Ihre Besucher:innen zu den Datenschutzhinweisen. Wichtig ist dabei, dass die Nutzer:innen den Link auch aufrufen können, wenn sie sich gerade auf einer Ihrer Unterseiten befinden.  

Was Sie beim Datentransfer in Nicht-EU-Staaten beachten müssen, lesen Sie hier.

Vorsicht beim Cookie-Banner

Wenn Sie ein Cookie-Banner verwenden, achten Sie darauf, dass die Datenschutzerklärung dadurch nicht verdeckt wird. Das gilt übrigens auch für Ihr Impressum. Wenn Nutzer:innen das Banner erst „wegklicken“ müssen, um  Ihre Datenschutzerklärung und Ihr Impressum zu finden, sollten Sie das zügig reparieren.  

Datenschutz-Grundverordnung: vollständiger Text

Die vollständige Fassung der Datenschutz-Grundverordnung mit allen Erwägungsgründen finden Sie auf der Website der EU hier .

DSGVO: Was ändert sich für Website-Betreiber*innen? Vortrag am 8. Mai

Die DSGVO kommt: Was ändert sich für Website-Betreiber*innen? – Vortrag am 8. Mai in Berlin

Eine Website lässt sich nicht betreiben, ohne dass dabei personenbezogene Daten gesammelt werden.

Daten werden zum Beispiel übertragen, wenn Nutzer*innen Ihnen via Kontaktformular eine Frage stellen oder sich für Ihren Newsletter anmelden. Inhalte werden auf der Website kommentiert oder gleich per Klick in sozialen Netzwerken geteilt und für die Website-Optimierung werden Analyse Tools eingesetzt…

DSGVO: Was ändert sich für Website-Betreiber*innen ab 25. Mai 2018

Rechtsanwältin Nathalie Grudzinski gibt Ihnen einen Überblick darüber, worauf Sie als Website-Betreiber*in aus datenschutzrechtlicher Sicht achten müssen – und was sich dabei für Sie ab 25. Mai 2018 wegen der EU-Datenschutz-Grundverordnung (DSGVO) ändern wird.

Der Vortragsabend ist eine Veranstaltung von tech-teachers e.V., Projekt BER-IT.

Bitte melden Sie sich direkt beim Veranstalter an. Einzelheiten finden Sie unter dem folgenden Link auf der Website von tech-teachers e.V.

Kosten: 10,- EUR

Anmeldeschluss: 3. Mai 2018

Ort: BER-IT, Beratungszentrum für Frauen, Kottbusser Damm 79, 10967 Berlin

Zeit: Dienstag, 8. Mai 2018, 18:00 – 19:30 Uhr

Datenschutz: Themenabend am 11.4.2018

Themenabend „Facebook: Sicherheits- & Privatsphäre-Einstellungen & Datenschutz: Ihre Verantwortung als Website-Betreiber*in“

Mittwoch, 11. April 2018 von 18 bis 20 Uhr in der Gründerinnenzentrale

Vortrag und Gespräch mit Nathalie Grudzinski, Rechtsanwältin, und Tanja Lenke, Unternehmensberaterin

1. Facebook: Sicherheits- & Privatsphäreneinstellungen

Im Vortrag zeigt Unternehmensberaterin Tanja Lenke, welche Sicherheits- & Privatsphäreneinstellungen es auf Facebook gibt, um das eigene Profil zu schützen und dennoch optimal einzurichten, damit potentielle Kund*innen mehr über Sie und Ihr Angebot erfahren können.

2. Datenschutz: Ihre Verantwortung als Website-Betreiber*in

Schon beim Aufruf einer Internetseite werden Daten der Nutzer*innen über­tragen. Je interaktiver Sie Ihre Website gestalten, desto mehr personen­bezogene Daten werden über Ihre Website gesammelt: Daten werden zum Beispiel bei der Eingabe in Online-Formularen erhoben, beim Erstellen eines Kommentars, zum Zwecke der Newsletter-Werbung oder beim Einsatz von Tracking Tools oder Social Media Plugins wie dem Facebook „Like“-Button. Was Sie beim Betreiben einer Website beim Datenschutz beachten müssen und was sich hierbei mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 für Sie ändern wird, erfahren Sie im 2. Teil des Themenabends von Rechtsanwältin Nathalie Grudzinski.

Nach ihrem Vortrag stehen die Referentinnen für Ihre Fragen zur Verfügung.

Referentinnen: Tanja Lenke, she-preneur.de und tanjalenke.de, und Nathalie Grudzinski www.kanzlei-grudzinski.de

Der Themenabend ist eine Veranstaltung der Gründerinnenzentrale.

Bitte melden Sie sich bei Interesse direkt bei der Gründerinnenzentrale an: Telefon: 030- 44 02 23 45 oder E-Mail info(at)gruenderinnenzentrale(dot)de an.

Kosten inkl. Getränke: 10 €

Ort: Gründerinnenzentrale, Anklamer Straße 39/40, Ladenlokal, 10115 Berlin

Zeit: 11. April, 18:00 – 20:00 Uhr