Kategorie: Websiteanalyse

Der Entwurf der EU-Kommission zur geplanten Chatkontrolle

19. Dezember 2022

In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.

Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.

Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.

Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.

Ist Tech-Solutionismus die Lösung?

Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.

Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.

Verschlüsselte Kommunikation aufbrechen

Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.

Das “Datenschutzgrundrecht”

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.

 

Guide zur Vermeidung von Google Fonts Abmahnungen

30. November 2022

Am 24. November 2022 veröffentlichte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen eine Hilfestellung für Verantwortliche.
In dieser kurzen Checkliste werden Webseiten-Betreiber über Möglichkeiten zum Umgang mit Abmahnungen im Kontext der Nutzung von Google Fonts sowie zur Überprüfung ihrer Einstellungen dargelegt.

Dies soll zukünftige Abmahnungen aufgrund einer online Einbindung des Dienstes Google Fonts und daraus folgenden Nachfragen bei der Aufsichtsbehörde eindämmen.

Weitere Informationen zum Thema Google Fonts finden Sie in unseren bereits veröffentlichten Blogbeiträgen zu diesem Themengebiet.
Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?
Weitere Datenschutzbehörden raten von Web-Fonts ab

Überprüfung der Abmahnschreiben

Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:

  • Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
  • Ist auf der Webseite Google Fonts eingebunden?
  • Ist Google Fonts online eingebunden?
  • Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?

Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor, so die LfD Niedersachsen.

NOYB: Beschwerde wegen Cookie-Banner

11. August 2022

Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.

Informelle Beschwerden an 500 Unternehmen

Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.

Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.

Wann ist der Cookie-Banner rechtswidrig?

Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.

Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.

Fazit

Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Gutachten zu Facebook- Fanpages: es gibt keine wirksame Rechtsgrundlage

7. April 2022

Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)

Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.

Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.

Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.  Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.

Reaktion auf das Kurzgutachten

Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden. 

Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.


LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig

4. März 2022

Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.

Hintergrund

Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.

Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.

Konsequenz für Webseitenbetreiber

Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.

Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.

Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.

Österreich: Einsatz von Google Analytics rechtswidrig

4. Februar 2022

Die österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt. Die Entscheidung könnte wegweisend für weitere europäische Länder und damit auch entscheidend für deutsche Webseitenbetreiber sein.

Gründe für die Entscheidung

Google Analytics erhebt personenbezogene Daten, überträgt diese an Google – und Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Die von Google ins Feld geführten Standardvertragsklauseln helfen dem mangelden Datenschutzniveau bei Google nicht ab, wie 2020 der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil erkannt hat. Nach Auffassung der österreichischen Datenschutzbehörde können nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach Artikel 44 DSGVO bieten. Damit gilt: wenn ein österreichischer Webseitenbetreiber Google Analytics einsetzt, legt er Google rechtswidrigerweise Daten offen. Konsequenz kann sein, dass die Webseite wegen rechtswidrigen Verhaltens eingestellt werden muss.

Konsequenz für deutsche Webseitenbetreiber?

Die Entscheidung hat für deutsche Webseitenbetreiber zunächst keine direkten Auswirkungen. Anlass für die Entscheidung war eine Beschwerde der Datenschutzorganisation NOYB. NOYB hatte 101 Beschwerden gegen die Nutzung von Google Analytics und Facebook Connect auf europäischen Webseiten in fast allen EU-Ländern eingelegt, darunter auch bei fünf deutschen Landesdatenschutzaufsichtsbehörden, nachdem der EuGH mit dem Schrems II-Urteil den Privacy Shield aufgehoben hatte.

Der Europäische Datenschutzausschuss (EDSA) hat daraufhin eine Task Force zur europaweit einheitlichen Bearbeitung der Beschwerden gegründet. In der ersten Beschwerde hat die österreichische Datenschutzbehörde nun entschieden. Auch die niederländische Datenschutzbehörde prüft aktuell, ob die Verwendung von Google Analytics zulässig ist: Sie hat in einen Leitfaden zur Nutzung von Google Analytics die Warnung aufgenommen, dass die Verwendung Google Analytics „möglicherweise bald nicht mehr erlaubt“ sei. Anfang 2022 sei dann auch von ihr eine Entscheidung zu erwarten.

Aufgrund des Zusammenschlusses in der Taskforce ist es allerdings möglich, dass vergleichbare Entscheidungen in sämtlichen EU-Mitgliedstaaten fallen. Max Schrems von NOYB sieht ein Indiz dafür auch darin, dass der EU-Datenschutzbeauftragte die Covid-19-Test-Webseite des Europäischen Parlaments wegen der Einbindung von Google Analytics auf eine Beschwerde von NOYB hin verwarnt hat.

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Verbraucherschützer mahnen Firmen wegen Cookie-Bannern ab

17. September 2021

Die Verbraucherzentralen in Deutschland haben knapp 100 Unternehmen abgemahnt, weil diese sich laut Verbraucherschützer rechtswidrig die Zustimmung zum Datensammeln beim Surfen im Web erschlichen haben. Bei einer Untersuchung von 949 Webseiten hätten zehn Prozent der Firmen mit ihren Cookie-Bannern eindeutig gegen die Vorgaben des Telemediengesetzes und der Datenschutzgrundverordnung verstoßen, erklärte die Verbraucherzentrale Bundesverband (vzbv) am Freitag in Berlin.

Viele Cookie-Banner bewegen sich in der rechtlichen Grauzone

Bei der Aktion wurden Webseiten aus unterschiedlichen Branchen wie Reisen, Lebensmittel-Lieferdienste oder Versicherungen untersucht. Neben den eindeutig rechtswidrigen Bannern, gab es zudem viele Banner, die sich in einer rechtlichen Grauzone bewegten. „Die Banner wirkten auf den ersten Blick zulässig, versuchten aber durch Tricks, die Entscheidung der Seitennutzer und Nutzerinnen zu lenken.“

Die Verbraucherschützer haben 98 Abmahnungen wegen klarer Verstöße gegen das TMG und die DSGVO verschickt. In zwei Drittel der Fälle hätten die Unternehmen inzwischen eine Unterlassungserklärung abgegeben.

Auftakt Cookie-Aktion

Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzerinnen und Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

vzbv-Vorstand Klaus Müller sagte, rechtswidrige Cookie-Banner seien kein Kavaliersdelikt. „Die zunehmende Daten-Schnüffelei gefährdet die Privatsphäre der Verbraucherinnen und Verbraucher und führt zum durchleuchteten Bürger.“ Die Verbraucherzentralen und Verbände wollen in Zukunft verstärkt gemeinsam juristisch agieren, um gegen gravierende Probleme des Verbraucherschutzes oder offensichtliches Marktversagen anzugehen. Die Cookie-Abmahnaktion bildet dazu den Auftakt.

Datenschutzverein noyb legt Beschwerde gegen Medienhäuser ein

20. August 2021

Der Datenschutzverein noyb (none of your business) legte am 13.08.2021 Beschwerde gegen die Cookie-Paywalls von sieben großen Nachrichten-Websites (SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de) ein.

Hinter den Cookie-Paywalls steht ein fragwürdiges Konzept:

Entweder stimmen die Nutzer*innen der Datenweitergabe an mitunter hunderte Tracking-Unternehmen zu oder sie schließen ein Abonnement für bis zu 84,00 Euro pro Jahr ab. Dabei stelle sich die Frage, ob eine Einwilligung freiwillig erteilt werden kann, wenn sonst ein Vielfaches des Marktpreises gezahlt werden müsse, um so die eigenen Daten nicht preiszugeben. Darüber hinaus werde auch gegen das Kopplungsverbot verstoßen. Auch die konkrete Einwilligungsausgestaltung wird angegriffen.

Medien rechtfertigen Abonnements

Die betroffenen Medienhäuser rechtfertigen ihre Abonnements in öffentlichen Statements. Heise.de veröffentlichte dazu: „Für uns war die Einführung des Pur-Abos Anfang 2021 aufgrund der Entwicklung des Online-Werbemarkts notwendig. Die meisten unserer Leserinnen und Leser akzeptieren, dass wir in der aktuellen Situation des Werbemarktes ihre Einwilligung für die Werbevermarktung benötigen.“

Datenschutzaufsicht und Rechtsprechung: Abonnements können DSGVO-konform sein

Die Datenschutzbehörde Österreich entschied bereits 2018 im Fall “Der Standard”, dass die damalige Ausgestaltung nicht zu beanstanden wäre: “Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und die betroffene Person ist mit keinen beträchtlichen negativen Folgen konfrontiert.“ Bei noyb sei man jedoch dazu entschlossen, diese Entscheidung zu revidieren. Nach eigenen Angaben wurde dieser Fall von einem Laien vor die Behörde gebracht und basiere auf faktisch falschen Annahmen.

Darüber hinaus verweist beispielsweise auch der Heise Medien Verlag auf die zuständige Datenschutzbehörde Niedersachsen. Dort bestätigte die Datenschutzbeauftragte Barbara Thiel in ihrer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten, dass solche Abonnements DSGVO-konform sein können: „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.“

Weitere Defizite bei der Freiwilligkeit

Des Weiteren sei die Einwilligung mit einem großen Aufwand und Kosten für die Nutzer*innen verbunden. “Nein” zu sagen, sei äußerst aufwändig. Man müsse seinen Namen, Anschrift und Kreditkartendaten preisgeben. Zusätzlich entständen auch vergleichsweise hohe Kosten für die Nutzer*innen.” Diese ständen in einem groben Missverhältnis zur Weitergabe der Daten. Während diese den Medienhäusern nur ein paar Cent pro Nutzer*in bringe, verlange der SPIEGEL oder die FAZ aktuell je 59,88 Euro pro Jahr um Daten nicht weiterzureichen. Die ZEIT verlange 62,40 Euro und der Standard gar 84,00 Euro pro Jahr für sein “PUR Abo” ohne Werbung, so der Verein.

„Die meisten Nutzer*innen besuchten dutzende Nachrichtenseiten pro Monat, weshalb für sie substanzielle Kosten entstehen würden, um die Weitergabe ihrer Daten zu verhindern“, so der Datenschutzverein.

noyb sieht toxische Abhängigkeit von großen Konzernen

Nach Angaben des Datenschutzvereins erhielten laut einer Studie aus den USA Medien nur etwa 4% der Mehreinnahmen durch die Datenweitergabe. „Viele Medienhäuser haben sich in eine toxische Abhängigkeit von großen Konzernen begeben. Sie verscherbeln die Daten und das Vertrauen ihrer Leser für ein paar Cent. Die großen Gewinne wandern trotzdem zu den großen Unternehmen der Werbeindustrie – genau wie die Daten“, so der Datenschutzjurist Alan Dahi.

Ein Lösungsansatz

Laut noyb liege die Lösung in datenschutzkonformer Werbung. „Wir brauchen ordentlich finanzierte Medien. Es ist jedoch ein Trugschluss, dass die Finanzierung unbedingt durch das Verschleudern von Userdaten an Google und Co. passieren muss. Innovative Werbesysteme, die Medienhäuser selbst betreiben und bei denen sowohl Daten als auch Gewinne bei den Qualitätsmedien bleiben, sind nicht nur rechtlich geboten, sondern wohl auch eine wirtschaftliche Überlebensfrage. Aktuell werden die ehemaligen Flaggschiffe der freien Presse zu Litfaßsäulen und Datensammler für die Werbeindustrie. Wir müssen wieder zu einem System kommen, wo der Leser der Werbung folgt, nicht die Werbung dem Leser”, so Dahi in dem von noyb veröffentlichten Statement.

Pages:  1 2 3
1 2 3