Konkrete Umsetzung des neuen Datenschutzrechts in den sozialen Medien

1

Nach einem kurzen Überblick zum neuen Datenschutzrecht (GDPR/VE-DSG) werden die konkreten Anforderungen des neuen Datenschutzrechts für die Nutzung sozialer Medien vorgestellt. In diesem Zusammenhang werden auch Massnahmen aufgezeigt, um mit dem neuen Recht compliant zu sein.

Daniel Seiler von KPMG am Internet-Briefing in Zürich.

Ab dem 25. Mai 2018 werden die nationalen Datenschutzgesetzte in Europa abgelöst durch die neue Datenschutzgrundverordnung DSGVO.

Daniel Seiler von KMPG am Internet-Briefing über die EU-Datenschutzgrundverordnung

Daniel Seiler über die EU-Datenschutzgrundverordnung

Daniel Seiler über personenbezogene Daten im Sinne der DSGVO

Daniel Seiler über personenbezogene Daten

Personenbezogene Daten umfassen u.a. Name, Heimatort, Audio-Aufnahmen, etc. Es zählt alles dazu, was eine Person identifizieren kann (hellblau hinterlegt). Z.B. auch der „4. Referent an einer Vortragsreihe“.

Gesundheitsdaten, ethnische Herkunft, Sexualleben, Genetik/Biometrie, politische Ansichten, Gewerkschaftsangehörigkeit und Vorstrafenregister gehören zu den „besonders schützenswerten Daten“ (dunkelblau hinterlegt).

Die Hauptpunkte der EU Regulierung umfasst u.a. Komponenten, die Behörden erlauben, Unternehmen die Datenverarbeitung zu verbieten…

Weitere Punkte und Vorgaben sind

  • Hohe Bussen mit empfindlicher Wirkung
  • Beauftragung eines betrieblichen Datenschutzbeauftragten
  • Führen eines Dateninventars
  • Zeitnahe Meldepflicht bei Datenschutzverletzungen
  • Sicherheitsvorschriften für die IT-Security
  • Datenschutzfolgeabschätzungen (Was ist das?)
  • Erhöhte Rechte der betroffenen Personen
  • Erweiterte Definition von „besonders schützenswerten Daten“
  • Erhöhte Anforderungen für die Einwilligung des Nutzer-Trackings
  • Pflichten der Auftragsdatenverarbeiter
  • Privacy by Design und by Default
Daniel Seiler am Internet-Briefing über die Hauptpunkte der DSGVO Regulierung

Die Hauptpunkte der DSGVO Regulierung

In der Schweiz wird in ca. einem Jahr das an die DSGVO angelehnte Datenschutzgesetz in Kraft treten.

Die DSGVO ist für praktisch alle Schweizer Firmen aber schon jetzt relevant: Wer zum Beispiel das Online-Verhalten von EU Bürgern auf seinen Webseiten überwacht (z.B. via Google Analytics), muss sich an die neuen Vorgaben halten.

Daten auf Server in die USA zu transferieren ist besonders heikel, weil die USA nicht über ein nationales Datenschutzgesetz verfügen und deshalb als „Drittstaaten“ gelten.

Der Fall eines Datenlecks bei der Buchungsplattform Bigstar Hotels führte letztlich zu deren Schliessung!

Daniel Seiler am Internet-Briefing über das Datenleck bei President HG

Daniel Seiler über das ausufernde Datenleck bei President HG

Einsatz von Social Networks und die DSGVO

In den Social Networks wie Facebook, Twitter, LinkedIn, etc. gelten deren Privacy Policies. Diese müssen mit der DSGVO kompatibel sein.

Das Teilen oder Retweeten von Inhalten kann strafbar sein, weil man dadurch die Inhalte zu seinen eigenen macht und so unter verschiedene Gesetze fällt.

Die Messung mit Cookies muss mit der Datenschutzverordnung kompatibel sein. Es braucht eine Cookie-Erklärung mit detaillierten Beschrieben, welche Daten gesammelt und somit „verarbeitet“ werden.

Die Zustimmung von Kunden muss immer explizit erfolgen, d.h. vorausgefüllte Checkboxen sind illegal. Bei Newslettern sind Double Opt-In und Opt-Out Optionen zwingend.

Detaillierte Informationen dazu hat Daniel auf dem KMPG-Blog publiziert.

„Überwiegendes Interesse“ erlaubt es, jemanden zu kontaktieren, der einem eine Visitenkarte ausgehändigt hat. Mit einer Handlung, die man aus der Handlung hat ableiten können. Eine extensive Analyse der Person ist damit nicht erlaubt.

Die Einwilligung darf nicht für weitere Zwecke genutzt werden. Man darf beispielsweise nicht einen Facebook-Like verlangen, um eine Bestellung auszulösen. Das Eine ist für das Andere nicht nötig, Einwilligungen sind granular einzuholen.

Daniel Seiler am Internet-Briefing über die granulare Einwilligungsmöglichkeit für Nutzer

Daniel Seiler über die granulare Einwilligungsmöglichkeit für Nutzer

Wichtige Fragen im Zusammenhang mit der DSGVO

  • Wer ist der betriebliche Datenschutzbeauftragte?
  • Sind die Webseiten mit entsprechenden Policies und Pop-ups ausgestattet?
  • Gibt es ein Notfallkonzept bei Datenschutzverletzungen?
  • Welche Daten werden verarbeitet wo, mit wem, wozu und wie?
  • Apps und Online-Services sind mit Privacy by Design & Default zu entwickeln.
  • Kann betroffenen Personen ausgesagt werden, welche Daten man von ihr hat?
  • Werden Newsletter mittels Double-Opt-In angemeldet?
  • Kann man sich in jedem Newsletter abmelden?

Speaker

Daniel Seiler ist spezialisiert auf die Schnittstelle zwischen Recht, IT und operationellen Anforderungen bei und verfügt über langjährige Erfahrung beim Umgang mit rechtlichen Fragestellungen bei (IT-) Projekten oder IT-bezogenen Vorgängen wie Legal Compliance, Datenschutz, Outsourcing, Cloud, Cyber, LegalTech und Digitale Transformationen sowie Social Media und IT-Recht.

Empfehlen Sie uns weiter?

Über unsere Reiseblogger

Walter Schärer bloggt über neuste Internet-Trends im Online Marketing, Social Media, Blogs, Web Analytics, SEO, Mobile und so.

1 Kommentar

  1. Sehr gute Übersicht, Walter. Da hast du ein paar sehr wichtige Punkte notiert, die meist noch nicht bekannt sind.

    Leider gibt es dabei ein paar Ungenauigkeiten, welche ich mir erlaube zu ergänzen:
    – Cookies: sind nicht Bestandteil von DSGVO sondern von im 2019 folgenden ePrivacy
    – Double-Optin ist nicht zwingend, sondern der einfachste Weg, um zu beweisen, es gibt auch andere Varianten.
    – Der Datenschutzbeauftragte werde nicht vom DSGVO gefordert, sondern momentan vom deutschen Gesetz und zwar erst ab 10 Mitarbeiter
    – DSGVO ist doch nicht nur wegen Google Analytics für die meisten Schweizer Unternehmen relevant. Es geht doch darum, dass Europäer auf Schweizer Webseiten einkaufen oder sich registrieren können und unsere Formulare meist noch nicht DSGVO kompatibel sind

    Gerne erfahre ich mehr um DSGVO vorbildsmässig umzusetzen.

Hier kommentieren (Ihre E-Mail bei gravatar.com registrieren für Profilbild)