Kategorie: Websiteanalyse
28. Februar 2021
Am 10. Februar 2021 einigten sich die EU-Mitgliedsstaaten auf ein Verhandlungsmandat für die überarbeiteten Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste. Durch diese aktualisierte Version soll festgelegt werden, in welchen Fällen Anbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert werden.
Der ursprüngliche Text wurde von der Kommission erstmals im Januar 2017 vorgelegt, Monate nachdem Europas Flaggschiff der Datenschutzreform, die Datenschutzgrundverordnung, fertiggestellt worden war. Der neue Text wurde unter der portugiesischen Ratspräsidentschaft ausgearbeitet und wird die Grundlage für die Verhandlungen des Rates mit dem Europäischen Parlament über die endgültigen Bedingungen der Datenschutzverordnung für elektronische Kommunikation bilden. Der portugiesische Vorsitz wird nun Gespräche mit dem Europäischen Parlament über den endgültigen Wortlaut einleiten.
Die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 muss aktualisiert werden, um neuen technologischen Entwicklungen und Marktentwicklungen – wie der derzeit weit verbreiteten Nutzung der Internet-Sprachtelefonie (Voice-over-IP/VoIP), den webgestützten E‑Mail- und Nachrichtenübermittlungsdiensten sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer – Rechnung zu tragen, so der Rat.
Als spezielleres Gesetz („lex specialis“) zur Datenschutz-Grundverordnung wird sie die bisherige Verordnung konkretisieren und ergänzen. So gelten im Gegensatz zur DSGVO viele Bestimmungen über die Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen.
Es sei das erklärte Ziel, die digitale Transformation in Europa voranzutreiben. Insbesondere vor dem Hintergrund der COVID-19-Pandemie arbeitet die EU daran, den technologischen Wandel zu beschleunigen. Die Digitalisierung ist für das Wachstum und die Widerstandsfähigkeit der EU von großer Bedeutung. Die EU arbeitet aktuell an mehreren politischen Maßnahmen, die dazu beitragen sollen, das Ziel des digitalen Übergangs zu erreichen. Dabei sind die wichtigsten Politikbereiche digitale Dienste, Datenwirtschaft, künstliche Intelligenz, Basistechnologien, Konnektivität und Cybersicherheit. Ein Schlüsselelement des digitalen Übergangs ist der Schutz der Werte der EU sowie der Grundrechte und der Sicherheit der Bürger.
Die Umsetzung der ePrivacy-Richtlinie war längst überfällig. Es ist aber wahrscheinlich, dass der aktuelle Vorschlag im Laufe der Verhandlungen mit dem Europäischen Parlament noch einige Änderungen erfahren wird. Die Verordnung würde dann zwei Jahre nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten.
8. Februar 2021
Die norwegische Datenschutzbehörde “Datatilsynet” hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.
Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats “Forbrukerrådet” und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.
Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.
Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.
Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.
3. Juli 2020
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das “Landesgericht für ZRS Wien” entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei “Verantwortlicher” im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
14. November 2019
Nach Information der in London erscheinenden “Financial Times” leiten mehrere spezialisierte Gesundheitswebsites Gesundheitsdaten über Internet-Klicks zu medizinischen Symptomen und Krankheitsbildern an die riesigen Digitalkonzerne wie Google, Amazon und Facebook weiter.
Der größte Nutzer dieser Übermittlung ist das von Google übernommene Unternehmen DoubleClick. Aber auch drugs.com und die British Heart Foundation sind Empfänger dieser Daten. Die Zeitung stellte fest, dass eine Weiterleitung von Daten etwa zu Stichwörtern wie Abtreibung oder Drogen bei 79 von 100 überprüften Websites stattfand. Diese Weiterleitung erfolgte ohne Einverständnis der Nutzer.
Technisch findet die Weitergabe der Daten hauptsächlich mittels Cookies oder durch IP-Identifizierung statt.
5. Juni 2019
Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe “Telekommunikation und Informationsgesellschaft”, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).
Entstehung
Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.
Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.
Frühzeitige Implementation sinnvoll
Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.
23. Januar 2019
Die Organisation Non-OF-Your-Business (NOYB) kritisiert die aus ihrer Perspektive bestehenden strukturellen Verstöße gegen die DSGVO. So moniert NOYB die fehlerhafte – oder gänzlich unterbleibende – Auskunftserteilung im Kontext etwaiger Betroffenenanfragen.
Konkret kritisiert die Organiation die großen bekannten Streaming-Dienste aus den Bereichen Film, Musik und Video. Diese würden ihren Nutzern selbst im Falle eines beantworteten Auskunftsbegehrens nach Art. 15 der Datenschutzgrundverordnung (DSGVO) lediglich Daten in unzureichendem Maße zur Verfügung stellen. Insbesondere würde nicht mitgeteilt, wer die Daten von den Verantwortlichen erhalte.
Problematisch ist dies aufgrund der Tatsache, dass die Verantwortlichen – bei einem dahingehenden Auskunftsbegehren – zur Mitteilung gewisser Informationen an die betroffenen Personen verpflichtet sind. Hiervon sind nach Maßgabe des Art. 15 Abs. 1 lit c) DSGVO ebenfalls die Empfänger der personenbezogenen Daten umfasst. Ein derartiger Verstoß birgt mithin das Risiko eines Bußgeldes durch die Aufsichtsbehörde.
20. Dezember 2018
Der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michael Bobek, hat sich nun für die Verantwortlichkeit von Webseitenbetreibern bei der Einbindung von „Gefällt-Mir“-Knöpfe ausgesprochen. Diese sind für die damit verknüpfte Datenübertragung mitverantwortlich.
In der Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler handelte es sich unter anderem um die Frage, ob der Webseitenbetreiber, der ein Plug-In eines Dritten wie den „Gefällt-mir“-Knopf integriert auch für die dadurch ausgelöste Datenübertragung mitverantwortlich ist. Diese Frage hat Michael Bobek nun wie folgt beantwortet:
„Eine Person, die ein von einem Dritten bereitgestelltes Plug-In in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.“
Demnach soll der Seitenbetreiber nicht für die „Gesamtkette“ der Prozesse mitverantwortlich sein, sondern nur für diejenigen Prozesse bei denen der Webseitentreiber und in diesem Fall Facebook gemeinsame Zwecke verfolgen.
4. September 2018
Ab sofort kann man eine neue Browser-Version von Firefox herunterladen – Firefox 62. Diese Version verbessert den Datenschutz und stellt mehr Tab-Einstellungen zur Verfügung.
Firefox verfügt zwar schon länger über einen eingebauten Tracking-Schutz. Dieser war jedoch bisher nur im Privatmodus voreingeschaltet. Jeder, der normal im Internet surft, muss diesen sogenannten “Schutz vor Aktivitätenverfolgung” selbst einschalten. Diese Einstellungen sind zwar nicht schwer, erfordern aber einen Besuch in den Firefox-Einstellungen. Bei Firefox 62 kann man über das zentrale Firefox-Menü und einen simplen Schalter diese Einstellungen vornehmen. Damit ist das Aktivieren dieser Funktion nicht nur schneller und einfacher möglich, sondern viele Nutzer werden zudem daran erinnert, dass es diesen Schutz überhaupt gibt.
Auch Cookies und andere Websitendaten, die gespeichert werden, können schon länger gelöscht werden. Durch Firefox 62 ist es jetzt möglich, in der Adressleiste alle Informationen zur aktuellen Seiten einzusehen. Dort kann man Informationen zur Sicherheit der Verbindung finden, ob der Schutz zur Aktivitätenverfolgung ein- oder ausgeschaltet ist und kann Berechtigungen einsehen. Darüber hinaus wurde ein Löschknopf eingebaut, der Cookie- und Websitedaten sofort löscht.
In den Tab-Einstellungen können die Nutzer von Firefox 62 jetzt festlegen, welche Details in den neuen Tabs zu sehen sein sollen. Es ist möglich, bis zu vier Zeilen in den einzelnen Rubriken einzublenden (z.B. “wichtige Seiten” oder “Pocket-Empfehlungen”). Am schnellsten erreicht man diese Einstellungen wie gehabt über ein neu geöffnetes Tab und einen Klick oben rechts auf das Zahnradsysmbol.
12. März 2018
Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).
Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.
Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.
Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.
Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.
6. Oktober 2017
Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner “Custom Audience” an.
Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der “Facebook Custom Audience” gibt:
- Custom Audience über die Kundenliste:
Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen. - Custom Audience über das Pixel-Verfahren:
Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: “Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.” Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.
Die Prüfung der Unternehmen, die “Facebook Customer Audience” für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von “Customer Audience” zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.
