Kategorie: Datenschutz

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) warnt seit kurzem vor provozierten Schadensersatzansprüchen, aufgrund missbräuchlicher anmutender Anfragen zu Betroffenenrechten gem. Art. 15-22 DSGVO.

Ziel dieserart Missbräuche sind außergerichtliche Zahlungen eines immateriellen Schadenersatzes zzgl. Rechtsanwaltkosten.

Mitarbeiter des GDD habe eine Vermehrung gleichartiger Fälle bemerkt und konnten so eine bestimmte Vorgehensweise feststellen:

• Eine Kontaktperson versucht auf irgendeine Weise mit Ihrem Unternehmen in Kontakt zu treten und dabei seine personenbezogenen Daten zu hinterlassen. Ideal dafür sind Kontaktformulare oder Newsletter-Abonnements.
• Nach einigen Wochen meldet sich die Kontaktperson bei Ihrem Unternehmen und fordert Auskunft, wie auch Löschung der gespeicherten Daten (Betroffenenanfrage).

Im Umgang mit der Betroffenenanfrage können den Verantwortlichen Ihres Unternehmens leicht folgende potentielle Fehlern unterlaufen: 

• Die personenbezogenen Daten werden vorschnell gelöscht und die Betroffenenanfrage ignoriert.
• Es wird (versehentlich) die falsche Auskunft gegeben, dass keine personenbezogenen Daten der Speicherung vorliegen. Allerdings liegen zumindest Rufnummer/E-Mail-Adresse vor.
• Es erfolgt keine Reaktion auf die Betroffenenanfrage.

Begehen sie einen der aufgelisteten Fehler, so verstößt Ihr Unternehmen gegen die DSGVO, woraus sich ein Anspruch auf Ersatz eines immateriellen Schadens in vierstelliger Höhe ableiten ließe.

Ihr Unternehmen ist gem. Art. 12 Abs. 3 S.1 DSGVO verpflichtetet, die Kontaktperson binnen eines Monats über die ergriffenen Maßnahmen zu unterrichten. Des Weiteren begründet der Art 15 DSGVO ein Auskunftsrecht bezüglich der Speicherung und Verwendung der personenbezogenen Daten, solange es mit einem überschaubaren Aufwand einhergeht. Aus Art. 17 DSGVO ergibt sich das Recht auf Löschung der personenbezogenen Daten.

So missbräuchlich diese Vorgehensweise auch zu sein scheint, ist sie nicht generell rechtswidrig – seien Sie besonders achtsam mit Betroffenenanfragen!

Generell gilt:

• Identifizieren Sie die Kontaktperson zuverlässig und überprüfen Sie jegliche Systeme gründlich auf personenbezogene Daten dieser. 
• Löschen Sie niemals voreilig die gefunden Daten und geben Sie keine falschen Auskünfte bezgl. personenbezogener Daten.
• Kommen Sie dem Auskunftsrecht und dem Löschverlangen in korrekter Art und Weise nach, dokumentieren Sie dieses sorgfältig und Sie sind vor dem provozierten Schadensersatz im Kontext Art. 15-22 DSGVO geschützt.

Am 21. Dezember vergangenen Jahres verhängte Niedersachsens Landesbeauftragte für Datenschutz (LfD), Barbara Thiel, ein Bußgeld in Rekordhöhe von 10,4 Millionen Euro gegen die Notebookbilliger.de AG (NBB) mit Hauptsitz in Sarstedt bei Hildesheim.

Der Online Händler NBB soll laut LfD in die Persönlichkeitsrechte der Mitarbeiter und Kunden eingegriffen haben, indem diese seit mindestens zwei Jahren in unverhältnismäßigen Ausmaß mit Hilfe von Videokameras beobachtet und überwacht wurden.

Dieser Überwachung fehlte es scheinbar an jeglicher Rechtsgrundlage.

Aus Art. 6 Abs. 1 DSGVO geht hervor, dass eine solche Überwachung einen engen Zeitraum, wie auch eine bestimmte Mitarbeiter-Auswahl erfordere. 

NBB ließ seine ca. 900 Mitarbeiter rund um die Uhr in jeglicher Umgebung (Geschäfts-, Lager- und Aufenthaltsräumen) per Videoüberwachung aufzeichnen. Selbst das Verhalten der Kunden in Wartebereichen wurde kontinuierlich erfasst, womit NBB eindeutig den Schutz personenbezogener Daten vernachlässigte und sich i.S.d. Art. 83 Abs. 5 DSGVO für „besonders gravierende Verstöße“ strafbar machte. 

Hinzu kommt die unverhältnismäßig lange Aufbewahrung des Videomaterials von NBB. Häufig wurde dieses Material erst nach 60 Tagen gelöscht. 

Gemäß Art. 5 DSGVO beträgt die maximale Speicherdauer der Videoüberwachung 72 Stunden und nur in Ausnahmefällen 10 Tage.

Oliver Hellmold, CEO der Notebookbilliger.de AG, weist jegliche Vorwürfe zurück und legt Einspruch gegen den hohen Bußgeldbescheid ein. 

In einer eigenen Pressemitteilung (PDF) und einem FAQ-Artikel rechtfertigt sich das Unternehmen mit der Begründung, lediglich Straftaten wie Diebstähle vorbeugen zu wollen.

LfD betitelt diesen Rechtfertigungsgrund als unverhältnismäßig, da es mildere Mittel gäbe, um solch Ziele zu erreichen. Angefangen bei Stichproben einfacher Taschenkontrollen.

Noch ist das Bußgeld nicht rechtskräftig, sodass gemeinsam auf den nächsten Gerichtstermin gewartet wird. 

Die Videoüberwachung von NBB wurde mittlerweile regelkonform konfiguriert.

Am 24. Dezember 2020 einigten sich die Europäische Union und das Vereinigte Königreich zum allerletzten Zeitpunkt auf ein gemeinsames Handelsabkommen, um einen „harten Brexit“ abzuwenden. Leider konnten in der Kürze der Zeit nicht alle offenen Fragen befriedigend geklärt werden. 

Der 1.250 Seiten starke Vertrag regelt im „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ den Datenschutz.

Die Verarbeitung und Speicherung von personenbezogenen Daten im Vereinigten Königreich ist ab dem 01. 01.2021 erst einmal rechtskonform.

Bis zum 30.04.2021 gilt das Vereinigte Königreich nicht als Drittland.

Diese Frist verlängert sich automatisch bis zum 31.06.2021. Der Vertrag sieht vor, dass beide Seiten der automatischen Verlängerung widersprechen können. 

Nach dem Ende der Übergangszeit – am 01.05.2021 oder am 01.07.2021 – wird das Vereinigte Königreich zum Drittland.

Die anschließende Entwicklung ist schwer zu prognostizieren. Würde die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau im Vereinigten Königreich bestätigen, so wäre das Vereinigte Königreich ein sog. „Sicheres Drittland“, in dem die Verarbeitung und Speicherung von personenbezogenen Daten durchgeführt werden kann.

Die Rechtssituation im Vereinigten Königreich ist mit den USA vergleichbar – die USA ist kein sicheres Drittland, das Safe Harbor ist gescheitert und das EU-U.S. Privacy Shield ist unwirksam. Es ist zu befürchten, dass das Vereinigten Königreich ab dem 01.07.2021 zu einem „unsicheren“ Drittland wird.

Es ist möglich die Datenübertragung in ein Drittland zu legitimieren, wenn die Einwilligung des Betroffenen vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist oder zusätzliche überprüf- und durchsetzbare Datenschutzgarantien vorliegen. Aus Sicht der Unternehmen läuft es somit aller Wahrscheinlichkeit nach auf eine Prüfung und Bewertung des Einzelfalles hinaus.

Seit dem 25. Mai 2018 gilt die DSGVO bzw. die Datenschutz-Grundverordnung für private und öffentliche Stellen im gesamten Europäischen Wirtschaftsraum. Die Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten zielt auf den Schutz der betroffenen Personen und deren Daten selbst.

Die Durchsetzung der regulatorischen Anforderungen der DSGVO gerät im Hinblick auf die drastischen Bußgeldandrohungen bei Verstößen in den Fokus unternehmerischen Handelns. 

Die Höhe des Bußgeldrahmens beträgt bei besonders gravierenden Verstößen bis zu 20 Millionen Euro. Bei weniger gewichteten Verstößen befindet sich die maximale Höhe bei ganzen 10 Millionen Euro.

Neben den hohen Bußgeldern verlieren die weiteren Sanktionen bei Datenschutzverletzungen häufig an Beachtung, obwohl diese ebenfalls gravierende Folgen mit sich bringen können.

Im Artikel 58 DSGVO sind Untersuchungsbefugnisse (Absatz 1) und umfassende Abhilfebefugnisse (Absatz 2) der Aufsichtsbehörden gesetzlich geregelt.

Neben der einfachen Offenbarung aller Informationen bezüglich des Datenschutzes, dem unbeschränkten Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen, sind Aufsichtsbehörden nach Erwägungsgrund 129 DSGVO dazu befähigt, vorrübergehend oder endgültig die Verarbeitung personenbezogener Daten zu beschränken. Im Worst-Case-Szenario darf auch ein Verbot verhängt werden.

Eine solche Maßnahme kann abhängig von der Bedeutung der Verarbeitung/Übermittlung personenbezogener Daten die behördlich angeordnete Stilllegung von Systemen nach sich ziehen.

Für Unternehmen, deren Geschäftsmodell vorwiegend auf mit Datenverarbeitungssystemen angebotenen Services wie beispielsweise im Bereich des e-Commerce basiert, können die Folgen gravierend sein. 

Der Art. 34 DSGVO bedingt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person – bei einem Shutdown Ihrer Systeme ist eine Beschädigung der Geschäftsbeziehungen auch für die Kunden, die durch den Vorfall nicht direkt betroffen waren kaum zu vermeiden.

Der Bundesgerichtshof BGH hatte bei einem Verhandlungstermin am 30.01.2020 über die Frage zu entscheiden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind. Am 28.05.2020 war der Verkündungstermin in dieser Sache und der BGH bestätigte die europäischen Vorschriften, nach denen Nutzer dem Setzen von Cookies aktiv zustimmen müssen (s. auch News 02.10.2019: Speicherung von Cookies nur mit aktiver Einwilligung der Nutzer rechtskonform und News 12.05.2020: Einfache Cookie-Banner künftig unzureichend).

Dies hat zur Folge, dass viele Webseitenbetreiber ihre sog. Cookie-Banner umgestalten müssen. Ein Klick auf OK oder ausgewählte Checkboxen sind nicht mehr zulässig. Cookies müssen solange blockiert werden, bis der Nutzer seine Einwilligung erteilt hat.

Die Umsetzung der rechtlichen Vorgaben erfordert entsprechende technische Lösungen, z. B. mit sog. Consent Tools.
Sprechen Sie uns an – wir unterstützen Sie bei der Einführung von datenschutzkonformen Maßnahmen.

Cookies und andere Tracking-Mechanismen werden auf vielen Webseiten auch zur Ermittlung des Benutzerverhaltens eingesetzt. Da hierbei personenbezogene Daten verarbeitet werden, muss dies mit der Einwilligung des Nutzers geschehen. Bei der rechtlichen Beurteilung für die Wirksamkeit der Einwilligung wurde lange vorausgesetzt, dass es genügt, dass über die Cookies und Trackingmechanismen in der Datenschutzerklärung aufgeklärt wird und der Benutzer die Webseite, z. B. durch Anklicken eines „OK“-Buttons, nutzt.

Der Europäische Gerichtshof EuGH stellt in einem am 01.10.2019 getroffenen Urteil fest, dass Internetnutzer der Speicherung von Cookies beim Besuch einer Webseite auf ihrem PC ausdrücklich zustimmen müssen und eine bereits voreingestellte Zustimmung unzulässig ist. Der Bundesgerichtshof BGH hatte bei einem Verhandlungstermin am 30.01.2020 über die Frage zu entscheiden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind, der Verkündungstermin in dieser Sache ist am 28.05.2020. Es wird davon ausgegangen, dass die deutschen Gerichte den bei ihren Urteilen an die Vorgaben des EuGH halten werden.

Der Europäische Datenschutzausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Dieser Datenschutzausschuss hat sich am 05.05.2020 in den Guidelines 05/2020 on consent under Regulation 2016/679 auch mit dieser Frage beschäftigt und festgestellt, dass es nicht ausreicht, die bloße Weiternutzung der Webseite als Einwilligung in die Cookie-Nutzung zu werten. Das Abhalten des Benutzers von der Website durch das Aufstellen einer sog. Cookie-Wall, bei der der Nutzer nur die Wahl Ja/Akzeptieren hat und damit das Tracking zwangsläufig akzeptieren muss (oder die Webseite nicht benutzen kann) ist nicht zulässig, eine Webseite muss auch ohne Zustimmung zum Tracking zu besuchen sein.
Zukünftig werden Webseiten, die mit Cookies und anderen Tracking-Tools arbeiten, zwingend über ein Cookie Consent Plugin verfügen müssen, das dem Benutzer eine Einwilligungs-Auswahl für die verwendeten Tracking-Tools anbietet. Ist dies nicht der Fall, ist der Betrieb der Webseite nach den Datenschutzaufsichtsbehörden nicht mehr zulässig.
Einfache Cookie-Banner werden damit in absehbarer Zeit nicht mehr datenschutzkonform einsetzbar sein.

Sprechen Sie uns an – unsere Datenschützer unterstützen Sie gerne bei der Einführung von neuen Softwareprodukten und bei der Umsetzung von datenschutzrechtlichen Maßnahmen.