HEUKING KÜHN LÜER WOJTEK Datenschutz Europa – Was - SDV

HEUKING KÜHN LÜER WOJTEK
Datenschutz Europa – Was kommt auf die Schweiz zu?
SDV-Event:
LAUT, LAUTER, UNLAUTER?
Werbung im Spannungsfeld zwischen Datenschutz und UWG
Zürich, 27. September 2012
RA Florian Geyer, LL.M.
Unsere Sozietät ist eine der großen deutschen
unabhängigen Kanzleien:
 Mit über 250 Rechtsanwälten, Steuerberatern
und Notaren bieten wir den umfassenden
Service einer wirtschaftsrechtlichen Beratung.
 Derzeit verfügen wir über sieben Büros in
Deutschland, ein Büro in Brüssel und eines in
Zürich („Deutsches Recht für Schweizer
Klienten“).
 International kooperieren wir mit führenden
unabhängigen Kanzleien und sind deutsches
Mitglied der „Global Advertising Lawyers
Alliance” (GALA, http://www.galamarketlaw.com/joomla4/).
2
Die EU-Datenschutzgrundverordnung (Entw. v. 25.01.2012)
Überblick:
 Anwendbarkeit
 Rechtmäßigkeit der Datennutzung
 Was noch?
Link zum Entwurf:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF
3
Anwendungsbereich (Art. 3, Art. 4 DS-GVO)
Sachlicher Anwendungsbereich (Art. 2 DS-GVO):
 „Verarbeitung personenbezogener Daten“
(vgl. Art. 4 Abs. 1 bis Abs. 3 DS-GVO, Erwägungsgrund 24)
Räumlicher Anwendungsbereich (Art. 3 DS-GVO):
 1. Alternative (Abs. 1):
- Verarbeitung im Rahmen einer EU-Niederlassung (Erwägungsgrund 19)
 2. Alternative (Abs. 2):
- Betroffene Person in EU
- Datenverarbeitung dient Anbieten von Waren oder Dienstleistungen in der EU oder
- Beobachtung des Verhaltens (Erwägungsgrund 21)
4
Bestellung eines EU-Vertreters (Art. 25 DS-GVO)
Grundsatz (Abs. 1):
 „Jeder für die Arbeit Verantwortliche, der sich in der in Art. 3 Abs. 2 beschriebenen
Situation befindet, benennt einen Vertreter in der Union“
Ausnahmen (Abs. 2):
 Kommissionsbeschluss über angemessenen Schutz im Sinne von Art. 41 DS-GVO
 Unternehmen mit weniger als 250 Mitarbeitern
 Behörden oder öffentliche Einrichtungen
 Nur gelegentliches Angebot von Waren oder Dienstleistungen in der EU
5
Rechtmäßigkeit der Datenverarbeitung (Art. 6 DS-GVO)
Verbot mit Erlaubnisvorbehalt:
 Einwilligung (Art. 6 Abs. 1 lit. a)
 Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f)
(Ermächtigungsgrundlage für Direktwerbung)
 Informationspflichten gem. Art. 14 DS-GVO sind zu beachten
(z. B. Hinweis auf Verarbeitungszweck und das mit der Verarbeitung
verfolgte berechtigte Interesse (Art. 14 Abs. 1 lit. b DS-GVO)
6
Einwilligung (Art. 6 Abs. 1. lit. a, Art. 7 DS-GVO)
 Zweckgebundene und ausdrückliche Willensbekundung nötig
(Erwägungsgrund 25)
 Keine Schriftlichkeit erforderlich
(Wenn schriftlich, dann Trennung von anderen Erklärungen)
 Hinweis auf Widerspruchsrecht (Art. 14 Abs. 1 lit. d DS-GVO)
 Besonderheit bei Direktwerbung (Art. 19 DS-GVO)
 Kein Ungleichgewicht
 Beweislast für Einwilligung beim Verantwortlichen
7
Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO)
 Rechtsgrundlage für Direktwerbung ohne Einwilligung
 Entwurf der DS-GVO sah ursprünglich für Direktwerbung einen
Einwilligungsvorbehalt vor
 Nunmehr grundsätzlich erlaubt mit Recht des Betroffenen zum Opt-out
(Art. 19 DS-GVO)
8
Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f DS-GVO)
Kritik:
 Zweckbindung gem. Art. 5 lit. b, Art. 6 Abs. 4 DS-GVO
„Personenbezogene Daten müssen [...] für genau festgelegte, eindeutige und
rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken
nicht zu vereinbarenden Weise weiterverarbeitet werden“ (Art. 5 lit. b DS-GVO)
(vgl. Schreiben DDV vom 11. Mai 2012 an Bundesminister des Inneren Friedrich)
 Möglichkeit delegierter Rechtsakte gem. Art. 86 DS-GVO zur näheren Regelung
verschiedener Bereiche und Verarbeitungssituationen (Art. 6 Abs. 5 DS-GVO)
9
Das Widerspruchsrecht (Art. 19 DS-GVO)
 Jederzeitiges Widerspruchsrecht (Art. 19 Abs. 1 DS-GVO)
 Hinweis auf Widerspruchsrecht bei Direktwerbung:
„Die betroffene Person muss ausdrücklich in einer verständlichen und von
anderen Informationen klar abgegrenzten Form auf dieses Recht hingewiesen
werden“ (Art. 19 Abs. 2 S. 2 DS-GVO)
 Rechtsfolge: Daten dürfen nicht weiterbenutzt werden (Art. 19 Abs. 3 DS-GVO)
10
Was noch?

Daten von Kindern (u.a. Art. 8 DS-GVO)

Recht auf Vergessenwerden (Art. 17 DS-GVO)

Recht auf Datenübertragbarkeit (Art. 18 DS-GVO)

Übermittlung in Drittstaaten (Art. 41 ff. DS-GVO)

Organisationspflichten gem. Art. 22 ff. DS-GVO
(Datenschutz Policy, Dokumentationspflichten, Privacy by Design und
Privacy by Default)

11
Sanktionen (u. a. Art. 79 Abs. 6 DS-GVO)
Besonderheiten bei Daten von Kindern
Allgemein:
 „Kind jede Person bis zur Vollendung des achtzehnten Lebensjahres“
(Art. 4 Abs. 18 DS-GVO)
 u. a. relevant im Rahmen der Art. 6 Abs. 1 lit f., Art. 6 Abs. 5, Art. 17 Abs. 1 DS-GVO
Verarbeitung personenbezogener Daten von Kindern (Art. 8 DS-GVO):
 Angebot von Internetdienstleistungen
 Einwilligung/Zustimmung der Eltern bei Kindern bis zur Vollendung des
13. Lebensjahres
 Einzelheiten regelt Kommission durch delegierte Rechtsakte (Art. 86 DS-GVO)
12
Recht auf Vergessenwerden (Art. 17 DS-GVO)
Keine weitere Datenverarbeitung bzw. Anspruch auf Löschung bei
Zweckerledigung bzw. Widerruf der Einwilligung (Art. 17 Abs. 1 DS-GVO).
Handlungspflichten des Verantwortlichen:
„Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die
personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf
die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle
vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten,
darüber zu informieren, dass eine betroffene Person von ihnen die Löschung
aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder
Replikationen dieser Daten verlangt“. (Art. 17 Abs. 2 DS-GVO).
13
Recht auf Datenübertragbarkeit (Art. 18 DS-GVO)
„Werden personenbezogene Daten elektronisch in einem strukturierten
gängigen elektronischen Format verarbeitet, hat die betroffene Person das
Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der
verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten
gängigen elektronischen Format zu verlangen“. (Art. 18 Abs. 1 DS-GVO).
„...basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die
betroffene Person das Recht, diese personenbezogenen Daten [...] in einem
gängigen elektronischen Format in ein anderes System zu überführen, ohne
dabei von dem für die Verarbeitung Verantwortlichen, dem die
personenbezogenen Daten entzogen werden, behindert zu werden“. (Art. 18
Abs. 2 DS-GVO).
14
Privacy by Design / Privacy by Default (Art. 23 DS-GVO)
Privacy by Design:
 Der Verantwortliche hat durch technische und organisatorische
Maßnahmen und Verfahren sicherzustellen, dass den Anforderungen der
DS-GVO genügt wird.
Privacy bei Default:
 Es dürfen nicht mehr Daten zusammengestellt oder vorgehalten werden,
als für den jeweiligen Zweck unbedingt nötig.
 Bei Verarbeitungsvorgängen im Internet sind die datenschutzfreundlichsten
Grundeinstellungen zu wählen: „Die Verfahren müssen insbesondere
sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer
unbestimmten Anzahl von natürlichen Personen zugänglich gemacht
werden“ (Art. 23 Abs. 2 S. 2 DS-GVO).
Delegierte Rechtsakte gem. Art. 86 DS-GVO regeln Einzelheiten
15
Vielen Dank für Ihre Aufmerksamkeit
Heuking Kühn Lüer Wojtek
www.heuking.de
16
Florian Geyer, LL.M.
Fachanwalt für gewerblichen Rechtsschutz
Kompetenzen (Auszug)
 Gewerblicher Rechtsschutz (Marken und Designs)
 Wettbewerbsrecht (Werberecht)
 Informationstechnologie
Mitgliedschaften (Auszug)
 DDV Deutscher Dialogmarketing Verband e.V.
 Global Advertising Lawyers Alliance (GALA)
Vorträge (Auszug)
 „Datenschutz und Werbung", in Frankfurt am Main, Köln, Hamburg und
München (HKLW Mandantenseminare, Februar/März 2011)
Florian Geyer, LL.M.
Grüneburgweg 102
60323 Frankfurt am Main
T +49 69 975 61-447
F +49 69 975 61-400
[email protected]
www.heuking.de
17
 Experte bei Anhörung des Landtags Nordrhein-Westfalen zur Novelle des
Jugendmedienschutz-Staatsvertrags, Düsseldorf, November 2010
Veröffentlichungen (Auszug)
 „Markenführung in Sozialen Medien und Netzwerken“ in „Social Branding:
Strategien - Praxisbeispiele – Perspektiven“, Schulten / Mertens / Horx, 31.
Mai 2012
 „BGH erlaubt Preisvergleichsplattform für zahnärztliche Leistungen“,
Financial Times Deutschland, 7. Dezember 2010
 „Plattformbetreiber haben künftig eine Kontrollpflicht“,
Promedia, Mai 2010
Berlin
Unter den Linden 10 · 10117 Berlin
T +49 30 88 00 97-0 · F +49 30 88 00 97-99
[email protected]
Brüssel
Avenue Louise 326 · 1050 Brüssel · Belgien
T +32 2 646 20-00 · F +32 2 646 20-40
[email protected]
Chemnitz
Weststraße 16 · 09112 Chemnitz
T +49 371 382 03-0 · F +49 371 382 03-100
[email protected]
Düsseldorf
Georg-Glock-Straße 4 · 40474 Düsseldorf
T +49 211 600 55-00 · F +49 211 600 55-050
[email protected]
Frankfurt
Grüneburgweg 102 · 60323 Frankfurt am Main
T +49 69 975 61-0 · F +49 69 975 61-200
[email protected]
Hamburg
Neuer Wall 63 · 20354 Hamburg
T +49 40 35 52 80-0 · F +49 40 35 52 80-80
[email protected]
Köln
Magnusstraße 13 · 50672 Köln
T +49 221 20 52-0 · F +49 221 20 52-1
[email protected]
München
Prinzregentenstraße 48 · 80538 München
T +49 89 540 31-0 · F +49 89 540 31-540
[email protected]
Zürich
Bahnhofstrasse 3 · 8001 Zürich · Schweiz
T +41 44 200 71-00 · F +41 44 200 71-01
[email protected]
18
www.heuking.de
Unsere Standorte
Hamburg
Brüssel
Berlin
Düsseldorf
Chemnitz
Köln
München
Frankfurt
Zürich
19