Kategorie: Tracking

E-Mail-Anbieter veröffentlichen Umfrage zur Cookie-Nutzung

27. Mai 2020

„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.

Großteil der Nutzer von Cookie-Hinweisen „genervt“

Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.

Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.

Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung

Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.

Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).

Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.

Schlussfolgerungen

Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.

Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

13. Mai 2020

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

„Cookie Walls“ unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

Weiterleitung von Gesundheitsdaten an Digitalkonzerne

14. November 2019

Nach Information der in London erscheinenden „Financial Times“ leiten mehrere spezialisierte Gesundheitswebsites Gesundheitsdaten über Internet-Klicks zu medizinischen Symptomen und Krankheitsbildern an die riesigen Digitalkonzerne wie Google, Amazon und Facebook weiter.

Der größte Nutzer dieser Übermittlung ist das von Google übernommene Unternehmen DoubleClick. Aber auch drugs.com und die British Heart Foundation sind Empfänger dieser Daten. Die Zeitung stellte fest, dass eine Weiterleitung von Daten etwa zu Stichwörtern wie Abtreibung oder Drogen bei 79 von 100 überprüften Websites stattfand. Diese Weiterleitung erfolgte ohne Einverständnis der Nutzer.

Technisch findet die Weitergabe der Daten hauptsächlich mittels Cookies oder durch IP-Identifizierung statt.

BfDI- personenbezogenes Webtracking nur mit Einwilligung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.

Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.

Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.

„Lovoo“ steht wegen fehlenden Datenschutzes in der Kritik

12. August 2019

Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.

So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.

Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.

„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.

Kategorien: Allgemein · DSGVO · Social Media · Tracking

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Die künftige ePrivacy-VO – eine Bestandsaufnahme

5. Juni 2019

Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe „Telekommunikation und Informationsgesellschaft“, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).

 Entstehung

Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.

Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.

Frühzeitige Implementation sinnvoll

Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.

Apple plant datenschutzgerechtes Werbe-Tracking

24. Mai 2019

Unter dem Namen „Privacy Preserving Ad Click Attribution“ hat Apple einen neuen Vorschlag zur Standardisierung eingereicht. Dieser soll Werbetracking im Web ermöglichen, ohne die Privatsphäre der Nutzer zu beeinträchtigen, erklären die für den Safari-Unterbau WebKit zuständigen Entwickler in einem Blog-Beitrag.

Im Kern sollen entscheidende Teile von Werbeabläufen anonymisiert werden. So müsse Seite A, bei der man auf eine Werbung klickt, nicht wissen, dass man auf der dann aufgerufenen Seite B ein Produkt gekauft hat. Zur Messung der Effektivität sei lediglich notwendig, dass Seite A weiß, dass „irgendwer“ danach einen Kauf getätigt hat.

Um dies zu erreichen sollen Cookies, die nur für ein detailliertes Tracking gedacht sind, generell verboten werden. Berichte über die Interaktion mit Werbung sollen um 24 bis 48 Stunden verschoben werden, um die Zuordnung weiter zu erschweren. Im Privatsphärenmodus des Browsers soll eben jenes Tracking komplett unterbunden werden. Zudem soll der Browserhersteller nichts darüber erfahren. Demzufolge sollen alle Auswertungen lokal am Gerät vorgenommen werden.

Im Browser Safari werden solche Tracking-Cookies bereits entweder gleich blockiert oder nach wenigen Tagen automatisch gelöscht. Damit soll ein längerfristiges Werbe-Tracking und eine seitenübergreifende Erstellung von Nutzerprofilen unterbunden werden.

Kategorien: Allgemein · Tracking
Schlagwörter: ,

Viele Android-Apps spionieren Nutzer unzulässig aus

18. Februar 2019

Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.

Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.

Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: „Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.“

Kategorien: Allgemein · Mobile Business · Tracking
Schlagwörter: , , ,

Like-Button – Webseitenbetreiber könnten mithaften

20. Dezember 2018

Der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michael Bobek, hat sich nun für die Verantwortlichkeit von Webseitenbetreibern bei der Einbindung von „Gefällt-Mir“-Knöpfe ausgesprochen. Diese sind für die damit verknüpfte Datenübertragung mitverantwortlich.

In der Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler handelte es sich unter anderem um die Frage, ob der Webseitenbetreiber, der ein Plug-In eines Dritten wie den „Gefällt-mir“-Knopf integriert auch für die dadurch ausgelöste Datenübertragung mitverantwortlich ist. Diese Frage hat Michael Bobek nun wie folgt beantwortet:
„Eine Person, die ein von einem Dritten bereitgestelltes Plug-In in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.“

Demnach soll der Seitenbetreiber nicht für die „Gesamtkette“ der Prozesse mitverantwortlich sein, sondern nur für diejenigen Prozesse bei denen der Webseitentreiber und in diesem Fall Facebook gemeinsame Zwecke verfolgen.

1 2 3 7