The training environment will reset in 21 Hours 25 Minutes
GDPR Handout | Done? Check your findings
PrivatePics
Start Products

Das Handout und die Auseinandersetzung mit der Privacy Range sollen helfen, im Webbrowser erkennbareDatenschutzprobleme zu finden. Probleme auf der Serverseite sind kein Bestandteil der Trainingsumgebung und des Handouts.

Was sind personenbezogene Daten?

Definition nach Art. 4 Nr. 1 DSGVO:

„(...) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (...), identifiziert werden kann."

Auch IP-Adressen können demnach personenbezogene Daten sein. Sind auf einer Webseite Tools von Drittanbietern eingebunden, wird die IP-Adresse des Nutzers auch an den Drittanbieter übertragen. Solche Tools können etwa Videos, Karten oder Formulare sein.

Wer darüber bestimmt, welche personenbezogenen Daten wie und wofür (sog. „Mittel und Zwecke") verarbeitet werden, ist sog. Verantwortliche und hat datenschutzrechtliche Pflichten u.a. aus der DSGVO zu erfüllen, etwa die Grundsätze der Verarbeitung personenbezogener Daten („Datenschutzgrundsätze").

Datenschutzgrundsätze (Art. 5 DSGVO) + Praxisbeispiel

  • Rechtmäßigkeit

    Jede Datenverarbeitung bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (siehe Punkt Rechtsgrundlagen), z.B. die Erfüllung eines Vertrags.

  • Fairness & Transparenz

    Betroffene müssen nachvollziehen können, was mit ihren Daten geschieht, z.B. durch eine verständliche, umfassende und leicht zugängliche Datenschutzerklärung.

  • Zweckbindung

    Daten dürfen nur für klar festgelegte Zwecke genutzt werden, z.B. darf eine E-Mail zur Versandbestätigung nicht für den Newsletterversand zweckentfremdet werden.

  • Datenminimierung

    Es dürfen nur die für den jeweiligen Zweck notwendigen Daten erhoben werden, z.B. ist ein Geburtsdatum für eine Bestellung, bei der das Alter keine Rolle spielt, nicht erforderlich.

  • Richtigkeit

    Daten müssen sachlich richtig und auf dem neuesten Stand sein, z.B. durch eine regelmäßige Abfrage bei den Betroffenen, wenn Daten längere Zeit unverändert gespeichert wurden.

  • Speicherbegrenzung

    Daten müssen gelöscht oder anonymisiert werden, sobald der Zweck erfüllt ist, z.B. das automatische Löschen von Mail-Adressen zur Gewinnspielteilnahme nach Ablauf des Spielzeitraums.

  • Integrität & Vertraulichkeit

    Daten müssen korrekt, sicher und geschützt verarbeitet werden, z.B. durch verschlüsselte Passwortspeicherung, regelmäßige Backups und Zugriffskontrollen.

Rechtsgrundlagen

Für jede Verarbeitung muss die Verantwortliche eine der folgenden Rechtsgrundlagen vorweisen:

a) Einwilligung
Die Einwilligung basiert auf einer freiwilligen und informierten Zustimmung des Betroffenen – er darf nicht dazu gezwungen werden. Sie muss zudem klar und deutlich und konkret auf die betreffenden Daten bezogen sein. Verantwortliche müssen die Einwilligung nachweisen können.
b) Vertragserfüllung
Bei Verarbeitungen, die zur Vertragserfüllung erforderlich sind, bedarf es keiner Zustimmung – z.B. die Weitergabe der Adresse zur Warenzustellung an ein Paketunternehmen.
c) Rechtliche Verpflichtung
Eine Verarbeitung ist erforderlich, weil ein Gesetz oder eine andere Rechtsnorm es vorschreibt, z.B. die gesetzlich verpflichtende Aufbewahrung von Rechnungs- und Zahlungsdaten über einen bestimmten Zeitraum bei einem Online-Shop.
d) Lebenswichtige Interessen
Eine Verarbeitung ist rechtmäßig, wenn sie erfolgt, um Leben oder Gesundheit einer Person zu schützen.
e) Öffentliche Aufgabe
Erfüllt eine Behörde oder öffentliche Stelle eine gesetzliche Aufgabe, ist dies eine Rechtsgrundlage für die Datenverarbeitung. So muss z.B. das Einwohnermeldeamt Daten wie Name und Adresse verarbeiten.
f) Berechtigtes Interesse
Betrugsverhinderung oder IT-Sicherheit – Verantwortliche können eigene berechtigte Interessen, aber auch Interessen Dritter anführen, die eine Verarbeitung auf dieser Rechtsgrundlage rechtfertigen. Dabei muss eine Interessensabwägung mit den Interessen der Betroffenen erfolgen.

Transparenzgebot und Informationspflichten

Zur Erfüllung des Transparenzgebots müssen Verantwortliche gem. Art. 13 DSGVO eine Reihe an Informationen bereitstellen:

  • Name und Kontaktdaten der Verantwortlichen sowie ggf. Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und die Rechtsgrundlage für die jeweilige Verarbeitung
  • Die beabsichtigte Speicherdauer der Daten
  • Empfänger der personenbezogenen Daten (inkl. Auftragsverarbeiter; wenn nicht bekannt, Kategorien der Empfänger)
  • Die Betroffenenrechte, einschließlich des Rechts auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde.
  • Falls zutreffend: Übermittlung personenbezogener Daten an Drittstaten
  • Falls zutreffend: Automatisierte Entscheidungsfindung (ohne menschliches Eingreifen, z.B. automatisierte Vorauswahl durch Lebenslauf-Scan bei einem Bewerbungsportal) muss angegeben werden, inkl. Information über die Auswirkungen für die Betroffenen.

Betroffenenrechte und Best Practices

  • Auskunft: Nutzer können jederzeit erfahren, welche Daten über sie gespeichert sind.

    Best Practice: Eine Social Media Plattform ermöglicht es den Nutzern, eine Kopie aller durch die Plattform verarbeiteten personenbezogenen Daten herunterzuladen.

  • Berichtigung: Fehlerhafte oder veraltete Daten können korrigiert werden.

    Best Practice: Der Nutzer eines Versandhandels kann nach einem Umzug die Adresse in seinem Account selbstständig ändern, diese Änderung wird vom System in allen betroffenen Bereichen übernommen.

  • Löschung: Nutzer können verlangen, dass ihre Daten gelöscht werden („Recht auf Vergessenwerden"). Ausnahmen sind möglich (z. B. rechtliche Aufbewahrungspflichten).

    Best Practice: Ein Nutzer löscht seinen Account auf einer Kleinanzeigenplattform. Das öffentliche Profil sowie Accountname und E-Mail-Adresse werden auf der gesamten Plattform gelöscht oder anonymisiert, auch in Chatverläufen mit anderen Nutzern.

  • Einschränkung: Während der Einschränkung dürfen die betreffenden Daten nur noch gespeichert, aber nicht mehr anderweitig verarbeitet werden.

    Best Practice: Eine Nutzerin widerspricht der Analyse von IP-Adressen und Cookies zur Reichweitenmessung durch den Webseitenbetreiber. Bis zur Klärung dürfen die Rohdaten weiter gespeichert, aber nicht mehr für Statistikberichte genutzt werden.

  • Widerspruch: Nutzer können der Verarbeitung widersprechen, sofern sie auf öffentlichem Interesse, Ausübung öffentlicher Gewalt oder berechtigtem Interesse basiert. Gilt auch für Direktwerbung.

    Best Practice: Eine Navigations-App verarbeitet Standort- und Bewegungsdaten ihrer Nutzer, um aggregierte Informationen an die Verkehrsbehörde zur Verkehrsplanung bereitzustellen. Nach Widerspruch eines Nutzers blockiert die App seine Standortdaten für die Weitergabe an die Verkehrsbehörde.

  • Datenübertragbarkeit/Datenportabilität: Nutzer können ihre Daten in einem maschinenlesbaren Format anfordern und an einen anderen Anbieter übertragen.

    Best Practice: Eine Nutzerin wechselt ihre Sport-Tracking-App und fordert die Datenübertragung ein. Sie erhält ihre Trainingsdaten in einem gängigen maschinenlesbaren Format und kann diese in die neue Anwendung importieren.

Cookies und Gestaltung von Einwilligungstools (Consent Management)

  • Einwilligung muss freiwillig und informiert erfolgen.
  • Ablehnung muss auf erster Ebene möglich sein (Auffassung der Aufsichtsbehörden).
  • Vorausgewählte Checkboxen sind keine gültige Einwilligung (EuGH-Urteil „Planet49").
  • Keine Einwilligung nötig für technisch notwendige Cookies für ausdrücklich gewünschte Dienste, z.B. Login oder Speicherung von Warenkorb-Inhalten.
  • Einwilligung nötig für funktionale Cookies, die zusätzliche Funktionen bieten, aber nicht essenziell für die Funktionsweise der Website sind.