Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Search Results

DSGVO

In Sachen DSGVO meint man eher nur schlechte Nachrichten zu hören. Heute haben wir aber gute. Jedenfalls, wenn Sie auf Ihrer Webseite eine Google Maps Karte eingebunden haben. Google hat sich bezüglich seines Kartendienstes nun der DSGVO angenommen und eine (halbwegs schöne) Lösung für den DSGVO-konformen Einsatz der Google Maps API geschaffen.

Was ist die Google Maps API und welche Daten werden hierbei verarbeitet?

Die Google Maps API ermöglicht es Ihnen als Webseitenbetreiber kostenlos und einfach eine Google Maps Karte auf der eigenen Homepage darzustellen.

Da die Karten von Google Maps auf Googles eigenen Servern liegen, müssen die Karteninhalte beim Aufruf Ihrer Webseite durch den Nutzer (bzw. automatisch durch dessen Browser) bei Google heruntergeladen werden. Für diese Verbindung erhält Google die IP-Adresse des Nutzers und diese ist seit der DSGVO nunmehr unumstritten auch ein personenbezogenes Datum, das im Sinne der DSGVO verarbeitet werden muss.

Welche Nutzerdaten die Google Maps API noch erhebt und verarbeitet (z.B. Standortdaten und sonstige Informationen über das Nutzerendgerät u.a.), wird seitens Google bislang nicht offengelegt. Die Datenschutzerklärung von Google erläutert nicht, welche Daten explizit von der Google Maps API erhoben werden. Und diesbezügliche Anfragen im Google Maps Hilfeforum bleiben bislang unbeantwortet, vgl. hier. Doch dies nur am Rande. Gehen wir zunächst im Guten einfach davon aus, dass nur die IP-Adresse verarbeitet wird.

Bisherige Rechtslage bei der Nutzung der Google Maps API

Bis dato war unklar, wie die Verarbeitung von Daten durch die Google Maps API DSGVO-konform umgesetzt werden kann. Hier wurden verschiedene Auffassungen vertreten. Wer hier ganz sichergehen wollte, musste auf andere Kartendienste wie bspw. OpenStreetMap ausweichen.

Google ergänzt die Nutzungsbedingungen der Google Maps API um einen Joint Control Contract

Nun hat hat Google seine Nutzungsbedingungen für die Google Maps API aktualisiert. Bestandteil der Nutzungsbedingungen ist nun auch ein Vertrag über die gemeinsame Verantwortlichkeit (sog. Joint Control Contract – kurz JCC) zwischen Google und den Webseitenbetreibern. (Den Vertrag können Sie hier einsehen. Er ist leider nur auf Englisch verfügbar.)

Was ist ein Joint Control Contract?

Ein Joint Control Contract ist ein Vertrag zwischen mehreren Stellen, die gemeinsam für eine Datenverarbeitung verantwortlich sind (gemeinsam verantwortlich – joint control).

Nun muss man zunächst fragen, was eine gemeinsame Verantwortung ist:

Gegenüber der alleinigen Verantwortlichkeit sind nun mehrere Stellen gemeinsam für eine Datenverarbeitung verantwortlich, d.h. die Verantwortung verteilt auf diese mehreren Stellen.

Wann eine gemeinsame Verantwortlichkeit vorliegt, das macht das Gesetz nach Art. 26 DSGVO von den gemeinsamen Zwecken und Mitteln der Verarbeitung abhängig. Einfach ausgedrückt: Zur Datenverarbeitung teilen sich die gemeinsam Verantwortlichen nicht nur dieselbe Hardware/Software (Mittel der Verarbeitung), sondern verfolgen hierbei auch dieselben Interessen (Zwecke der Verarbeitung). Beispiel: Nutzen Sie wie viele andere Kunden ein SaaS-Produkt, sind nicht gleich alle Kunden gemeinsam Verantwortliche, da jeder unterschiedliche Zwecke verfolgt. Anders liegt es beispielsweise bei mehreren Konzernunternehmen, die Kundendaten im konzerneigenen CRM-System verwalten. Diese können gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO sein. Nach einer Entscheidung des EuGH – C210/16 – am 05. Juni 2018 besteht sogar zwischen Seitenbetreibern einer Facebook Fanpage und Facebook eine gemeinsame Verantwortlichkeit (Frau Rechtsanwältin Nina Diercks hat zu dem Urteil in diesem Blogbeitrag berichtet.).

Von den gemeinsam Verantwortlichen verlangt das Gesetz nun, dass diese in einer Vereinbarung die jeweiligen Pflichten eines Verantwortlichen untereinander aufteilen. Und diese Vereinbarung nennt man den Vertrag über die gemeinsame Verantwortlichkeit, Joint Control Contract (kurz JCC) oder auch Joint Controllership Agreement.

Im Fall der Google Maps API liegt es so: Der Zweck der Verarbeitung ist die Darstellung der Karte auf der Webseite und das Mittel der Verarbeitung ist die API selbst. Damit ist der Webseitenbetreiber sowie Google gemeinsam verantwortlich für die im Rahmen der Google Maps API verarbeiteten Daten.

Entspricht der JCC von Google den Anforderungen von Art. 26 DSGVO?

Zugegeben, der Joint Control Contract von Google ist sehr simpel gestaltet. Nach Ziffer 4.1 (a) bis (c) tragen sowohl Sie als Webseitenbetreiber als auch Google schlicht alle Rechte und Pflichten gleichermaßen selbst. Das erscheint nicht ganz so „gemeinsam“, wie sich das der Gesetzgeber gedacht haben mag. Aus der Sicht der Webseitenbetreiber kann jedoch argumentiert werden, dass der Vertrag die wesentlichen Elemente enthält, die das Gesetz verlangt. Zudem soll der Vertrag soll die tatsächliche Beziehung der Vertragsparteien widerspiegeln. Und weder sind Sie als Webseitenbetreiber noch ist Google (als Anbieter der kostenlosen Maps API) daran interessiert, sich mit dem JCC mehr als nötig wechselseitig zu verpflichten. Und letztlich ist auch zu berücksichtigen, dass es „nur“ um die Verarbeitung von ohnehin pseudonymen IP-Adressen geht, die zur Darstellung der Karteninhalte zudem technisch zwingend erforderlich sind.

Ob der Joint Control Contract auch künftigen aufsichtsbehördlichen Einschätzungen genügen wird, lässt sich an dieser Stelle noch nicht prognostizieren. Um ehrlich zu sein, ist dies wohl fraglich. Doch ähnlich wie bei den Facebook-Seiten werden die Aufsichtsbehörden kaum unmittelbar gegen die einzelnen Seitenbetreiber vorgehen, sondern sich in erster Linie an Google wenden und Nachbesserungen an dem JCC verlangen.

Was sollten Sie jetzt tun?

Sofern Sie die Google Maps API auf Ihrer Webseite verwenden, müssen Sie, um den Joint Control Contract mit Google zu schließen, nichts weiter tun, als den Nutzungsbedingungen für die Google Maps API zuzustimmen. Denn der Joint Control Contract ist ein Bestandteil der Nutzungsbedingungen. (Die Nutzungsbedingungen finden Sie hier. Der JCC wird dort nach Ziffer 4.5.2. einbezogen.)

Im Übrigen sollten Sie noch folgende Änderungen in Ihrem Verzeichnis von Verarbeitungstätigkeiten sowie in Ihrer IDV Webseite (Informationen zur Datenverarbeitung bzw. Datenschutzerklärung) vornehmen:

Anpassungen in Ihrem Verzeichnis für Verarbeitungstätigkeiten:

  • Achten Sie darauf, dass bei den „Empfängern von Daten“ im Bereich Ihrer Webseite angegeben ist: Google Maps, Google LLC
  • Im Abschnitt „Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation“ sollten Sie hinsichtlich Ihrer Webseite folgendes aufnehmen bzw. anpassen:

Google Maps, Google LLC.

Auf der Webseite ist Google Maps über eine API eingebunden, um geographische Informationen visuell darzustellen. Zur Darstellung der Karte ist die Verarbeitung der IP-Adresse durch Google LLC. zwingend erforderlich. 

Google LLC. ist Privacy Shield zertifiziert. Die Zusammenarbeit mit Google LLC in datenschutzrechtlicher Hinsicht erfolgt auf der Grundlage eines abgeschlossenen Vertrags über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, abrufbar unter https://privacy.google.com/intl/de/businesses/mapscontrollerterms/.

Im Übrigen tritt der Nutzer durch die Nutzung von Google Maps unmittelbar mit Google in ein Nutzungsverhältnis.

Anpassungen in den Informationen zur Datenverarbeitung (auch Datenschutzerklärung) zu Ihrer Webseite

Ihre Informationen zur Datenverarbeitung auf Ihrer Webseite (auch Datenschutzerklärung genannt) sollten im Abschnitt „Umfang und Zweck der Datenerhebung und –speicherung“ bzgl. Google Maps wie folgt ergänzt werden:

Google Maps

Damit Sie uns leichter finden können, haben wir in unsere Webseite Kartenmaterial des Dienstes Google Maps von Google LLC über eine API eingebunden. Um die Inhalte in Ihrem Browser darstellen zu können, muss Google Ihre IP-Adresse erhalten, denn sonst könnte Ihnen Google diese eingebundenen Inhalte nicht liefern.

Die Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 b) DSGVO, da die IP-Adresse benötigt wird, um Ihnen die Inhalte liefern zu können. Bei dieser Verarbeitung erfolgt unsere Zusammenarbeit mit Google auf Grundlage eines Vertrags über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, der hier abgerufen werden kann.

Weitere Informationen zur Datenverarbeitung durch Google finden Sie in den Datenschutzrichtlinien von Google unter https://www.google.de/intl/de/policies/privacy/.

 

Update  – 13.08.2018 –

Klarstellend ist zu ergänzen: Der JCC von Google ist keine Reaktion auf das Urteil des EuGH zur Facebook-Fanpage vom 05.06.2018, da der JCC schon früher veröffentlicht wurde. (Eine erste Veröffentlichung ist auf den Oktober 2017 datiert. Die Einbeziehung in die Nutzungsbedingungen erfolgte hiernach offenbar am 01.05.2018.)

Zur Diskussion auf Twitter mit Dr. @MalteEngeler dazu, ob der Vertrag tatsächlich als JCC eingeordnet werden kann, vgl. diesen Twitter-Thread.

 

Die Geltung der DSGVO steht unmittelbar bevor. Und mit Hochdruck arbeiten mehr und mehr Unternehmen daran, im Hinblick auf die DSGVO compliant zu werden. Unternehmen, die erst vor kurzem anfingen, sich mit der Thematik zu beschäftigen, finden keine kompetenten Berater mehr. Denn die sind – wie auch wir in der Kanzlei – bereits über alle Kapazitäten hinaus ausgelastet. (Ein Grund dafür, dass der Blog in schönster Regelmäßigkeit schweigt – so gern ich bloggen würde und so viele Themen auch im Kopf sind).

Besser wird es auch nicht dadurch, dass in Sachen DSGVO immer wieder Säue durchs Dorf und Panik wegen diesem oder jenem ausgerufen wird. (Darauf kann ich jetzt im Einzelnen nicht eingehen, nur soviel: Nein, wir werden nicht alle sterben.)

In der letzten Woche trieb dann aber ein Thema ganz besonders der Digital-Branche den Schweiß auf die Stirn und die Wut ins Gesicht: Das neue (in Teilen herzlich unausgereifte) Positionspapier der DSK (Datenschutzkonferenz) zum Tracking. Genau genommen die

„Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 – Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“

Dazu möchte ich schlicht auf zwei Kommentare von zwei geschätzten Kollegen verweisen:

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – von Stephan Hansen-Oest

Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? – von Dr. Martin Schirmbacher

tl;dr Beide arbeiten sehr schön die Schwächen des DSK-Papiers im Hinblick auf das Tracking (was soll das überhaupt sein!?) und das dünne dogmatische Eis, auf dem hier pauschal die Einwilligung gefordert wird, heraus. Beide stellen – zu recht – heraus, dass die DSGVO entgegen dem Postionspapier die Möglichkeit des „Tracking“ bzw. das Erstellen von Nutzerprofilen auf Basis von Art. 6 I f) DSGVO erfolgen kann, wenn berechtigte Interessen des Unternehmens vorliegen und keine überwiegenden Interessen des Betroffenen entgegenstehen – es kommt wie so oft auf den Einzelfall an und darauf, was erfasst wird. Die pauschale Aussage der DSK, es seien Einwilligungen zu fordern, ist jedenfalls… schwierig, um es mal ganz freundlich zu sagen.

Übrigens, der Kollege Hansen-Oest hält daneben mit einer Kritik gegenüber den Aufsichtsbehörden nicht hinter dem Berg, die ich – leider! – in sehr großen Teilen auch aus meiner Praxis heraus für berechtigt halte. Hansen-Oest kritisiert einerseits, dass in den Aufsichtsbehörden oftmals überhaupt keine praktischen Kenntnisse in Bezug auf die Funktionen von Datenverarbeitungen bestehen, teilweise noch nicht einmal bewusst ist, dass dieses oder jenes „ein Praxisproblem“ ist oder werden kann. Auch ich finde, dass dies einem Behördenmitarbeiter, der nur die dogmatische Theorie aus Universitätslehre und Doktorarbeit kennt, bis er seinen Dienst antrat, kaum anzulasten ist. Wohl aber, die mangelnde Bereitschaft, sich auf die Praxis und die dortigen Probleme einzulassen (was aber auch nicht zwingend Fehler des einzelnen Mitarbeiter ist…). Anderseits trifft man auch bei Behördenmitarbeitern immer wieder auf, nun ja, juristische Antworten, bei denen man nicht weiß, ob man lachen oder weinen soll, weil so deutlich wird, dass der- oder diejenige besser einfach gesagt hätte „Wir wissen es doch auch (noch) nicht“ – anstatt etwas zu schreiben, was so löchrig wie eine alte Socke ist. Nein, das ist kein Behördenmitarbeiter-Bashing. Es sind einfach nur Beobachtungen aus der Praxis, die bei mir als Rechtsberaterin in Sachen DSGVO die Frage aufwerfen, wie das denn so werden soll, mit dem Beratungsauftrag der Behörden… Last but not least, um das klar und richtig zu stellen: Auch in den Aufsichtsbehörden sitzen hoch engagierte Kollegen, mit denen jeder Austausch ein Gewinn ist.

Uff, so viel wollte ich dazu doch gar nicht schreiben, aber es musste wohl mal raus. Nun aber zum eigentlichen Thema:

Der rechtskonforme Einsatz von Universal Analytics (Google Analytics) unter der DSGVO

Den ganzen Artikel lesen.

Treue Leser des Blogs wissen, dass wir uns schon seit dem 31. Mai 2016 hier intensiv mit der EU-Datenschutzgrundverordnung beschäftigen. Zum Zeitpunkt der Entstehung etlicher Artikel war das neue BDSG noch nicht verabschiedet und wir arbeiteten mit Entwürfen. So zum Beispiel in Teil 8 unserer Serie, die sich mit den Rechten und Pflichten des Datenschutzbeauftragten befasst. Diesen haben wir jetzt einmal entsprechend überarbeitet und auf den neuesten Stand gebracht:

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Natürlich wollen wir Ihnen auch den Rest der der 11-teiligen Serie nicht vorenthalten, wenn Sie mögen, schauen Sie doch einmal rein:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Teil 10 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – II

Teil 11 – Fragenkatalog der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO

 

Uuund, ja, es ist – aufgrund der massiven Arbeitsüberlastung – immer noch sehr ruhig hier auf dem Blog. Aber wir arbeiten gerade an einem 12. Teil zur DSGVO. Und dieser wird sich explizit mit den Auswirkungen der DSGVO auf HR-Abteilungen befassen.

In diesem Sinne,

auf ganz bald!

 

Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.

Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…

Den ganzen Artikel lesen.

Fast zwei Monate ist es her, dass hier der Artikel Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO I erschien. Dort erläuterten wir, wie sich die Rechtslage hinsichtlich der Kandidatensuche und der Anlage eines Kandidatenpools ab 2018 gestaltet und welchen (erweiterten) Dokumentations- und Informationspflichten Unternehmen spätestens dann nachkommen müssen.

Nun, ein paar sehr arbeitsintensive Wochen und einen phantastischen – natürlich 😉 viel zu kurzen – Urlaub später geht es heute um die rechtlichen Fragen der Kandidatenansprache im Hinblick auf die Änderungen, die uns 2018 erwarten. Das sind – leider – weder kleine Änderungen noch sehr angenehme und das hat vor allem mit der schon im Titel genannten ePrivacyVO zu tun. Man könnte sagen, es wird eher dunkel.

Doch der Reihe nach.

Den ganzen Artikel lesen.

1 2 3 9

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.