kundendaten und dsgvo - schoenherr · • zulässigkeit kontrolle hängt von der art der kontrolle...
TRANSCRIPT
© 2017 schoenherr 1
• Grundsätze zur Erhebung und Verarbeitung personenbezogener
Daten:
- Erhebung für festgelegte, eindeutige und legitime Zwecke
- Verarbeitung auf rechtmäßige Weise und nach Treu und
Glauben
• Diese Grundsätze wurden von der DS-Richtline übernommen und in
der DSGVO weiter fortgeschrieben (Art 5 DSGVO)
• Dazu: Weitergehende Vorgaben unter der DSGVO
• Grundsatz der Datenminimierung
• Grundsatz der Datenrichtigkeit
• Grundsatz der Speicherdauerbegrenzung
• Grundsatz der Datenintegrität und Datenvertraulichkeit
-> Übergang von Richtlinie zur DSGVO bedeutet “Alte Daten im neuen
Gewand”
Kundendaten und DSGVO „Alte“ Daten unter dem DSG, „Neue“ Daten unter der DSGVO?
DSGVO in der Praxis:
Ihre Fragen - unsere Antworten!
© 2017 schoenherr 2
• Anonymisieren, Pseudonymisieren, Löschen:
• Was mache ich mit "alten" Daten unter der DSGVO?
• Sind Kundendatenauswertungen noch erlaubt?
• Austausch von Mitarbeiterdaten und die Überwachung von Mitarbeitern:
• Was ist zukünftig erlaubt?
• Was ist zu beachten?
• Die datenschutzrechtliche Zustimmung vor und nach der DSGVO:
• Wie wirkt sie?
• Was hat ein Unternehmen bei der Vorbereitung auf die DSGVO zu beachten?
Übersicht Modul VI: DSGVO in der Praxis
© 2017 schoenherr 4
• Grundsätze zur Erhebung und Verarbeitung personenbezogener
Daten:
- Erhebung für festgelegte, eindeutige und legitime Zwecke
- Verarbeitung auf rechtmäßige Weise und nach Treu und
Glauben
• Diese Grundsätze wurden von der DS-Richtline übernommen und in
der DSGVO weiter fortgeschrieben (Art 5 DSGVO)
• Dazu: Weitergehende Vorgaben unter der DSGVO
• Grundsatz der Datenminimierung
• Grundsatz der Datenrichtigkeit
• Grundsatz der Speicherdauerbegrenzung
• Grundsatz der Datenintegrität und Datenvertraulichkeit
-> Übergang von Richtlinie zur DSGVO bedeutet “Alte Daten im neuen
Gewand”
Kundendaten und DSGVO "Alte" Daten unter dem DSG "Neue" Daten unter der DSGVO?
© 2017 schoenherr 5
• Wurden die Daten rechtmäßig erhoben?
Bestand bei Erhebung eine vertragliche Grundlage?
Lag bei Erhebung eine gültige Einwilligungserklärung vor?
Wurden die Daten rechtmäßig erhoben (Achtung etwa beim personenbezogenen Internet-Tracking) oder wurden die Daten
rechtmäßig zugekauft (zB bei Adress- oder Direktmarketingunternehmen)?
• Sind die Daten rechtmäßig im Bestand?
Besteht die vertragliche Beziehung fort?
Wurde die Einwilligungserklärung widerrufen bzw gilt sie unter der DSGVO weiter?
Kam es zu einem Widerspruch der Datenverarbeitung?
Sind seit der Datenerhebung gesetzliche Löschvorgaben in Kraft getreten?
Kundendaten und DSGVO Der Datencheck: (i) Rechtmäßigkeit & Zweckbindung
© 2017 schoenherr 6
• Besteht für die Datenverwahrung ein legitimer Zweck?
Untersteht die Datenverwahrung einem legitimen Zweck?
Kam es seit der Erhebung der Daten zu einer (unbeabsichtigten) Zweckänderung?
Grundsätzlich: Ist für die Daten überhaupt ein Verwahrungszweck
definiert?
Kundendaten und DSGVO Der Datencheck: (i) Rechtmäßigkeit & Zweckbindung
© 2017 schoenherr 7
• Customer Data Warehouse wird aus allen Unternehmensbereichen
gespeist, “wächst” ohne rechtliche Kontrolle:
- Daten auf “Vorrat” legen ist grundsätzlich kein legitimer Zweck
- Keine Nachvollziehbarkeit der Datenherkunft = keine Nachvollziehbarkeit ihrer Rechtmäßigkeit
- Gefahr der unerlaubten Zweckänderung: “Vom Vertrag zum Marketing“
• Sonderthema: “Kundenwiedererkennung”:
- DSGVO sieht neben Vertragserfüllung das “berechtigte Interesse” des Verantwortlichen als gesonderten Rechtsgrund vor
- Erwägungsgründe: Direktmarketing. Kundenwiedererkennung unter der DSGVO argumentierbar?
Kundendaten und DSGVO Fallstricke in der Praxis: Rechtmäßigkeit & Zweckbindung
© 2017 schoenherr 8
• Daten müssen auf den Zweck ihrer Verarbeitung qualitativ und
quantitativ begrenzt sein:
Sind die Daten für den Zweck wirklich erheblich, sind sie objektiv geeignet für den Verarbeitungszweck (zB Verarbeitung privater Kontaktinformationen des Kunden)?
Sind die Daten auf das notwendige Maß beschränkt und nicht etwa
überschießend (zB Verarbeitung von Daten zur beruflichen Qualifikation des Kunden im “einfachen” Customer Relationship Management)?
Kann der Verarbeitungszweck nur auf personenbezogener Basis erreicht werden, ist nicht auch mit anonymisierten bzw aggregierten Daten das Auslagen zu finden (zB Reports zum Kundenverhalten, prognostische
Auswertungen)?
Kundendaten und DSGVO Der Datencheck: (ii) Datenminimierung
© 2017 schoenherr 9
• Daten müssen “sachlich richtig” sein:
Sind die Daten richtig, dh spiegeln sie die Realität wieder (vgl 60jähriger Kunde wird seit 20 Jahren im Kundenstamm geführt)?
Sind die Daten noch aktuell (vgl “Costeja”-Erkenntnis des EuGH)? – Vorsicht bei Daten zu Wertungen (zB Bonitätseinstufungen)
Kundendaten und DSGVO Der Datencheck: (iii) Datenrichtigkeit
© 2017 schoenherr 10
• Daten dürfen nur so lange personenbezogen gespeichert werden,
als dies zur Zweckerfüllung erforderlich ist:
Welche gesetzlichen Speicherfristen sind auf meine Daten anwendbar?
Sind die Speicherfristen bereits abgelaufen?
Falls ja: Bestehen empirische Erfahrungswerte, dass über den Ablauf
der Speicherfrist hinaus ein Bedarf an personenbezogener Datenhaltung besteht?
Falls ja: Wie lange definieren sich diese empirischen Speicherfristen (per Selbstdefinition)?
-> wichtig: Dokumentation!
Kundendaten und DSGVO Der Datencheck: (iv) Speicherbegrenzung
© 2017 schoenherr 11
• Daten müssen unter angemessenen Sicherheitsvorkehrungen
aufbewahrt werden:
Sind die Daten in einer sicheren IT-Landschaft aufbewahrt (vgl Datenbestände auf USB-Sticks)?
Wer hat Zugriff auf die Daten und warum?
Werden die Daten innerhalb der Unternehmensgruppe weitergeleitet oder zugänglich gemacht?
Sind die Daten im Monitoring-Fokus (vgl data breach Anforderungen)?
Kundendaten und DSGVO Der Datencheck: (v) Integrität & Vertraulichkeit
© 2017 schoenherr 12
• Vertragsbeziehung schon seit längerem beendet, Kundendaten
“existieren” einfach weiter
• Zustimmungserklärungen nicht mehr auffindbar / nicht
judikaturkonform
• Quelle der Daten unbekannt
• Verschiedene Unternehmensbereiche haben Datenzugriff,
Zugriffsgrund und –zweck sind unbekannt
• “Macht des Faktischen”: Das System erlaubt Dateneinträge, diese
werden vorgenommen, rechtliche Prüfung bleibt aus (zB Einträge zur
Religionszugehörigkeit eines Kunden -> Erhoben wegen
Essensgewohnheiten, weiter “tradiert” in der CRM-Datenbank)
• “Ewige” Datenspeicherung
Kundendaten und DSGVO Fallstricke in der Praxis
© 2017 schoenherr 14
• Löschung von Daten in der DSGVO nicht definiert, nur der Rechtsanspruch auf
Löschung (Art 17 DSGVO)
• OGH 6 Ob 41/10p: “Datenlöschung” vs “Datensperre” (§ 4 Z 9 DSG)
• “Löschen” = Maßnahme, durch welche der Verarbeiter nicht mehr über die Daten verfügt
• “Logisches Löschen” ist ein Weniger, bedeutet nur, dass die Daten innerhalb der EDV-Anlage nicht mehr verfügbar sind (setzt OGH mit “Sperre” gleich)
• “Löschen” bedeutet Irreversibilität, es genügt nicht die Datenorganisation so zu ändern, dass ein gezielter Datenzugriff ausgeschlossen ist
• DSGVO: “Einschränkung”, “Löschung”, “Vernichtung” (Art 4 Z 2 DSGVO) –
“Vernichtung” betrifft physischen Datenträger, “Löschung” betrifft Daten auf dem Datenträger
• DSGVO bietet terminologischen Raum für “entspannte” Folgejudikatur
Kundendaten und DSGVO Fokus: Datenlöschung
© 2017 schoenherr 15
• DSGVO schützt personenbezogene Daten natürlicher Personen (vgl
Art 4 Z 1 DSGVO)
• Gleichlautend: Bundesgesetz zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten (Datenschutzgesetz –
DSG) (Titel des nationalen Datenschutz-Anpassungsgesetzes 2018)
• Dieses erging jedoch nur als Novelle des DSG 2000, dh §§ 1 bis 3 DSG
2000 bleiben bestehen
• Unberührt daher: Grundrecht auf Datenschutz gem § 1 DSG
• Juristische Personen weiterhin Grundrechtsträger?
• Klar ist: Juristische Personendaten kein Schutzgut der DSGVO
• Vorsicht: Sekundärbezug auf Personendaten (zB in einem
Unternehmensdokument erwähnte Mitarbeiter)
Kundendaten und DSGVO Fokus: Juristische Personendaten
© 2017 schoenherr 16
- DSGVO: Daten dürfen nur für jenen Zweck verwendet werden, für
den sie erhoben wurden
- Datenauswertungen dienen regelmäßig anderen Zwecken als jenen
der Datenerhebung, oft ist Zweck noch gar nicht determiniert
- Konfliktbereiche: Grundsätze der Zweckmäßigkeit, Rechtmäßigkeit
und Datenminimierung (= Verarbeitung auf personenbezogener Basis
nur im unerlässlichen Umfang erlaubt)
- Allerdings: Art 6 Abs 4 DSGVO ermöglicht die Datenverarbeitung zu
„Sekundärzwecken“ unter Berücksichtigung:
- Primärzweck zu Sekundärzweck und Datenzusammenhang
- Art der verarbeiteten Daten und Folgen der Weiterverarbeitung
- Schutzgarantien (Verschlüsselung, Pseudonymisierung)
Kundendaten und DSGVO Fokus: Datenauswertungen
© 2017 schoenherr 17
- DSGVO reguliert personenbezogene Daten
- „Personenbezug“ bedeutet die (mittelbare) Bestimmbarkeit der
Identität des Betroffenen
- Achtung: auch „Sachdaten“ (zB Bewegungsdaten eines Kfz) sind im
Regelfall personenbezogene Daten
- Datenschutzrechtliche Lösungsansätze für Datenauswertungen zielen
in der Regel auf die Vermeidung des Personenbezugs der Daten ab
Kundendaten und DSGVO Problemaufriss
© 2017 schoenherr 19
- Datenbestände werden vor der Verknüpfung anonymisiert
- Anonymisierung in der DSGVO nicht definiert; bedeutet im Wesen,
dass die Identität der Betroffenen unabhängig vom Einsatz der Mittel
durch niemanden mehr feststellbar ist (Vorsicht bei Pooldaten!)
- Verarbeitungsergebnisse dürfen keinen Personenbezug zum Ziel
haben (zB Unzulässigkeit des „verfolgten“ RFID Transponders)
- Datenanonymisierung verhindert die Anwendbarkeit der DSGVO
(ErwGr 26)
- Problem: In großen Datenuniversen ist Re-Identifizierung individueller
Personen oftmals potentiell möglich
Kundendaten und DSGVO Datenanonymisierung
© 2017 schoenherr 20
- „Pseudonyme“ Daten in Art 4 Z 5 DSGVO definiert: Personenbezug
nur durch Zuhilfenahme zusätzlicher Mittel möglich, wobei diese
zusätzlichen Mittel gesondert aufbewahrt und technisch /
organisatorisch sicher verwahrt sind
- „Pseudonymisiert“ sind Daten, bei denen etwa der Personenbezug
durch eine Codierung ersetzt wird und der „Halter“ des Codes von
demjenigen, der die Daten verarbeitet, verschieden ist.
- Valide Datenpseudonymisierung bspw durch Datentreuhänder:
- Vereinbarung einer dauerhaften Datencodierung
- Verhinderung zufälliger Identitätsoffenlegung
- Decodierung nur bei „trigger events“, welche außerhalb der Parteiendisposition liegen
Kundendaten und DSGVO Datenpseudonymisierung
© 2017 schoenherr 22
- „Profiling“ in Art 4 Z 4 DSGVO definiert: Datenverwendung, um
persönliche Aspekte einer Person zu bewerten, insbesondere
betreffend Analysen und Vorhersagen zu Arbeits-, Wirtschaftsleistung,
Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten,
Aufenthaltsort oder Ortswechsel
- „Profiling“ heftig diskutiert, Kom.Entwurf 2012 sah noch Verbot des
„Profilings“ vor
- Zulässigkeitsvoraussetzungen zum „Profiling“ fehlen in der DSGVO
- Jedoch Art 22: Verbot einer ausschließlich auf „Profiling“ basierenden
Entscheidung, außer bei Fällen der Vertragserfüllung oder bei
Zustimmung.
- Art 70 lit f: Europäischer Datenschutzausschuss soll Leitlinien für
Profiling bereitstellen
Kundendaten und DSGVO Profiling
© 2017 schoenherr 23
- Unzulässig ist, ausschließlich aufgrund automatisierter Verarbeitung
einer Entscheidung mit rechtlicher Wirkung oder erheblicher
Beeinträchtigung unterworfen zu sein, zB automatisierte
Tarifzuordnung eines Kunden
- Hier muss menschliches Mitwirken eingesetzt werden, um den
Betroffenen vor einem „Bewertungsautomatismus“ zu schützen
- Verbotsausnahmen: (i) Einwilligung des Betroffenen, (ii) objektives
Erfordernis für Vertragsabschluss / -erfüllung (Lit: Smart Metering)
- Kein Profiling mit besonderen Kategorien von Daten (zB
Gesundheitsdaten)
- Kein Profiling bei Kindern (ErwGr 71)
Kundendaten und DSGVO Profiling im Detail
© 2017 schoenherr 24
- Achtung: Profiling muss in der Datenschutzinformation angeführt
werden:
- Information über die involvierte Logik
- Tragweite und Wirkung für den Betroffenen
Kundendaten und DSGVO Profiling im Detail
© 2017 schoenherr 25
- Datenschutz-Folgenabschätzung bei Verarbeitungen mit hohem
Risiko für Rechte und Freiheiten des Betroffenen
- Art 29 Datenschutzgruppe: Working Paper zum Privacy Impact
Assessment führt ausdrücklich Scoring, Profiling, Predicting an
- Profiling führt zur Datenschutz-Folgenabschätzung (Art 35):
- Beschreibung des geplanten Profilings
- Bewertung der Notwendigkeit und Verhältnismäßigkeit des
Profilings
- Bewertung der Risiken für die Betroffenen
- Abhilfemaßnahmen und Nachweis der DSGVO Compliance
- Eventuell: Vorherige Konsultation mit Aufsichtsbehörde (Art 36)
Kundendaten und DSGVO Profiling im Detail
© 2017 schoenherr 26
- Art 89 DSGVO erlaubt Mitgliedstaaten privilegierende Regelungen für
Archiv-, Forschungs- und Statistikarbeiten
- Bisher: § 46 DSG 2000; künftig: § 7 Datenschutz-AnpassungsG 2018
- Recht weitgehende Erlaubnis zur Datenverwendung, wenn das
Auswertungsergebnis keine personenbezogenen Aussagen trifft
- Problem: Statistikbegriff ist wissenschaftlich zu verstehen, nicht im Sinn
kommerzieller Nutzungen und Auswertungen
Kundendaten und DSGVO Anwendungsprivileg des Art 89 DSGVO
© 2017 schoenherr 28
• Kollektivverträge („KV“) und Betriebsvereinbarungen („BV“)
• Jede BV bedarf eines sog „Ermächtigungstatbestands“
• DSGV keine eigenständige Ermächtigungsgrundlage und auch kein
„Gesetz“ iSd § 29 ArbVG
• BV mit dem Regelungstatbestand der Verarbeitung von AN-Daten:
- Die Menschenwürde berührende Kontrollmaßnahmen § 96 Abs 1 Z 3 ArbVG
- Elektronische Personaldatensysteme § 96a Abs 1 Z 1 ArbVG
Mitarbeiterüberwachung DSGV als neuer rechtlicher Rahmen
© 2017 schoenherr 29
• Einführung von Kontrollmaßnahmen und technischen Systemen zur
Kontrolle der AN unterliegt notwendiger Mitbestimmung des BR, sofern
die Maßnahmen die Menschenwürde berühren
- Notwendig bedeutet die zwingende Einbeziehung des BR bei sonstiger Rechtsunwirksamkeit der Kontrollmaßnahme
- Besteht kein BR Einführung Kontrollmaßnahme mit schriftlicher EZ jedes einzelnen AN mgl (Ausnahme)
- Kontrollmaßnahmen bzw -systeme sind seitens des AG veranlasste, auf Dauer angelegte Vorkehrungen, die es ermöglichen, AN zu überwachen
- Objektive Eignung zur Kontrolle (auch wenn AG Kontrollabsicht fehlt)
- Generelle Maßnahme von gewisser Dauerhaftigkeit (keine Ad-hoc-Reaktionen)
- Begriff „Berühren “ versus „Verletzung“ (ständige Überwachung, Telefonabhöranlagen, Glasscheiben, körperliche Untersuchungen, Leibesvisitationen, Eingriffe Intimsphäre) der Menschenwürde
Mitarbeiterüberwachung Tatbestandsmerkmale des § 96 Abs 1 Z 3 ArbVG
© 2017 schoenherr 30
• Regelung betreffend Privatnutzung (private Nutzung gestattet [in
welchem Umfang?], verboten oder nicht geregelt)
• Berühren Kontrollmaßnahmen Menschenwürde BV gem § 96 Abs 1
Z 3 ArbVG erforderlich, allenfalls EZ Mitarbeiter einholen
• Zulässigkeit Kontrolle hängt von der Art der Kontrolle (anonym versus
personenbezogen, menschlich versus techn), von protokollierten
Datenarten (private versus dienstliche Daten), Zweck der Kontrolle,
vom Umfang der Kontrolle (Inhalt versus Verbindungsdaten) sowie
von zeitlicher Dauer der Kontrolle (Stichprobe versus permanente
Kontrolle) ab
• anlassfallbezogene Kontrollen, ob vom oder zu einem bestimmten
Account Mails mit bestimmten Begriffen gesendet wurden
(„screening light“)
• bei Auffälligkeiten bzw konkretem Verdacht AN konfrontieren, um
Aufklärung ersuchen
Mitarbeiterüberwachung Einsichtnahme in Mails und sonstige Dokumente - Arbeitsrechtlicher Rahmen
© 2017 schoenherr 32
• Kameras, welche Betriebsbereiche filmen, in denen AN tätig sind
• Menschwürde nach Meinung des OLG Wien (8 Ra 68/69/95)
jedenfalls berührt, wenn Arbeitsbereich AN im dauernden Blickfeld
eines Videosystems
• überwacht Kamera bloß (teilweise) Verladevorgang, ist
Menschwürde nicht berührt (EA Wien II Re 61/86, LG Korneuburg 15
Cga 45/88)
• Videoanlagen im Bankenbereich dienen zwar nicht vordergründig
der AN-Kontrolle unterliegen aber aufgrund hoher Kontrollintensität
trotzdem Mitbestimmungspflicht gem § 96 Abs 1 Z 3 ArbVG
Überwachungssysteme in der Praxis
© 2017 schoenherr 33
• die Menschenwürde berührende Kontrollmaßnahmen liegen vor,
wenn Videokameras bzw –anlagen
- nicht ausschließlich der Überwachung von Betriebseingängen,
Betriebsanlagen, Werkshallen, Schalterräumen etc dienen,
- sondern auch nicht nur ausnahmsweise und mehr oder weniger
zufällig dort beschäftigte AN erfasst werden
Überwachungssysteme in der Praxis
• Eine Verletzung der Menschenwürde und damit unzulässige
Kontrollmaßnahme liegt vor, wenn
- Arbeitsplatz bzw der dort arbeitende AN ständig durch
ausschließlich auf diesen Arbeitsplatz gerichtete Kameras gefilmt
werden sollte
© 2017 schoenherr 34
- Einsatz Software-Keylogger (= Protokollierungssoftware bei
Eingaben über die Computertastatur)
= verdeckte Überwachung und Kontrolle des AN
= unzulässig, wenn kein auf den AN bezogener, durch konkrete
Tatsachen begründeter Verdacht einer Straftat oder
anderer schwerwiegender Pflichtverletzung besteht
- AG dürfen Mitarbeiter nicht ohne konkreten Verdacht "ins Blaue
hinein" überwachen
- im vorliegenden Fall fehlte es an konkretem Verdacht, weshalb
Kontrollmaßnahme als unzulässig qualifiziert wurde
Überwachungssysteme in der Praxis dt Bundesarbeitsgericht - 27.07.2017, 2 AZR 681/16
© 2017 schoenherr 35
- EGMR nennt Kriterien für zulässige Überwachung der
Internetkommunikation am Arbeitsplatz:
• legitimer Grund für die Kontrollmaßnahmen
• Verhältnismäßigkeit
• Vorabinformation des AN über die Möglichkeit, die Art und
das Ausmaß von Kontrollen
• Eingriff als gelindestes Mittel hätten weniger weitgehende
Überwachungsmethoden ausgereicht
• Prüfung der Schwere des Eingriffs in Art 8 EMRK und der
Konsequenzen der Überwachung (hier: Kündigung)
- Daher im Anlassfall: Verletzung von Art 8 EMRK „Recht auf
Achtung des Privat- und Familienlebens“ umfasst auch
„Briefverkehr“
Überwachungssysteme in der Praxis EGMR 05.09.2017 – 61496/08
© 2017 schoenherr 36
• Einführung von automationsunterstützten Personaldatensystemen
- Fehlende Zustimmung BR kann durch Schlichtungsstelle ersetzt werden
- Mitbestimmung unterliegt Ermittlung, Verarbeitung und Übermittlung von personenbezogenen AN-Daten
- Personenbezogen sind Daten dann, wenn einzelne AN durch die verwendeten Merkmale identifiziert werden können
- Mitbestimmungsfrei sind allgemeine Daten zur Person (Name, Adresse,
Geburtsdatum)
- sowie die Ermittlung von fachlichen Voraussetzungen (Ausbildung, Befähigungsnachweise, bisherige berufliche Tätigkeit)
- Nicht „begünstigt“ wird die Verarbeitung und Übermittlung dieser Daten auch im Konzern
- Allerdings keine Mitbestimmungspflicht sofern tatsächliche oder vorgesehene Verwendung AN-Daten nicht über Erfüllung von Verpflichtungen hinausgeht, die sich aus G, KV oder AV ergeben (zB Arbeitszeitaufzeichnungen)
Datenaustausch im Konzern Tatbestandsmerkmale des § 96a Abs 1 Z 1 ArbVG
© 2017 schoenherr 38
§ 107 TKG
Art 8
Kind
DSGVO Einwilligung Das juristische Spielfeld
Art 9
"sensibel"
ErwGr 32f
ErwGr 42f
Art 7 Einwilligung Art 6
Rechtsgrund-lagen
Definition gem Art 4 Z 11
Art 49
Drittland
RECHTSKONFORM
AnpassungsG OGH
KSchG
© 2017 schoenherr 39
Die Definition:
Freiwillig (vgl auch Art 7 Abs 4)
• Echte Wahl
• Koppelung?
• Achtung: Abhängigkeitsverhältnis
Für den bestimmten Fall
• Kein pauschaler Charakter
• Wer? Welche Daten? Zu welchem Zweck?
• Keine "Blanko-Einwilligung"
DSGVO Einwilligung Die Voraussetzungen
© 2017 schoenherr 40
Die Definition:
In informierter Weise
• Transparenzgebot
• Klare, einfach verständliche, zielpublikumsorientierte Sprache
Unmissverständlich abgegebene Willensbekundung in Form einer
Erklärung oder einer sonstigen eindeutigen bestätigenden
Handlung
• Auch elektronisch
• Jedoch jedenfalls "opt-in"
Durch den Betroffenen selbst
• Einwilligungsbewusstsein
DSGVO Einwilligung Die Voraussetzungen
© 2017 schoenherr 42
Art 7
Nachweisbarkeit der Einwilligung
• Zeitpunkt, Form, Identität etc
Wenn "andere Sachverhalte" dann umso transparenter! ("AGB"-
Transparenz)
Widerruf
• Jederzeit
• Widerruf muss so einfach wie die Einwilligung sein
Art 9: "Besondere Kategorien"
"Ausdrückliche Einwilligung"
DSGVO Einwilligung Die Voraussetzungen
© 2017 schoenherr 43
Art 8: Bei Angeboten von Diensten der Informationsgesellschaft direkt an
das Kind
Vom Kind erst ab Vollendung des 14. Lebensjahres (Anm: DSGVO 16. LJ; durch AnpassungsG auf 14 LJ herabgesetzt, § 4 Abs 4 DSG)
Davor: elterliche Verantwortung
Nachweis der Einwilligung des Trägers der elterlichen Verantwortung
Anstrengungen zur Vergewisserung
Angemessenheit der Maßnahmen ("unter Berücksichtigung der
verfügbaren Technik angemessene Anstrengungen")
DSGVO Einwilligung Bedingungen der Einwilligung eines Kindes
© 2017 schoenherr 44
AG Bad Hersfeld, Beschluss vom 15.5.2017 – F 120/17 EASO
WhatsApp-AGB-Klausel:
"Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste
anbieten können."
Gericht verpflichtete Mutter, von allen Kontakten des Sohnes
eine schriftliche Zustimmung einzuholen
Durch die automatische Weitergabe der Daten ohne
Einwilligung der Kontakte verletzt jeder Nutzer geltendes
Recht
Achtung: Gericht verneinte Fiktion des „implied consent“
DSGVO Einwilligung Praxisfall: WhatsApp
© 2017 schoenherr 45
Übergangsbestimmungen im AnpassungsG:
Nach dem DSG 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen
Überprüfung der Zustimmungserklärungen auf Tauglichkeit unter der DSGVO
Dokumentationsstrukturen schaffen
Zustimmung eingeholt (wann? wie?)
Widerruf erteilt (wann? wie?)
"Sanierungsprojekt"
Was tun, wenn alte Zustimmung nicht zur Einwilligung taugt?
DSGVO Einwilligung Praxistipp
schoenherr is one of the top corporate law firms in central and eastern europe. With our wide-ranging network of offices throughout CEE/SEE, we offer our clients unique coverage in the region. The firm has a long tradition of advising clients in all fields of commercial law, providing seamless service that transcends national and company borders. Our teams are tailor-made, assembled from our various practice groups and across our network of offices. Such sharing of resources, local knowledge and international expertise allows us to offer the client the best possible service. www.schoenherr.eu