Schlagwort: cookies

Weiterleitung von Gesundheitsdaten an Digitalkonzerne

14. November 2019

Nach Information der in London erscheinenden „Financial Times“ leiten mehrere spezialisierte Gesundheitswebsites Gesundheitsdaten über Internet-Klicks zu medizinischen Symptomen und Krankheitsbildern an die riesigen Digitalkonzerne wie Google, Amazon und Facebook weiter.

Der größte Nutzer dieser Übermittlung ist das von Google übernommene Unternehmen DoubleClick. Aber auch drugs.com und die British Heart Foundation sind Empfänger dieser Daten. Die Zeitung stellte fest, dass eine Weiterleitung von Daten etwa zu Stichwörtern wie Abtreibung oder Drogen bei 79 von 100 überprüften Websites stattfand. Diese Weiterleitung erfolgte ohne Einverständnis der Nutzer.

Technisch findet die Weitergabe der Daten hauptsächlich mittels Cookies oder durch IP-Identifizierung statt.

Bußgeld aufgrund mangelhaftem Cookie-Banner

24. Oktober 2019

Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.

Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.

Nach Ansicht der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem oder keine Cookie- Konfigurationsanzeige zur Verfügung, die es dem Nutzer ermöglicht, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur die Möglichkeit, die Cookies generell zuzulassen und auf der Seite weiterzusurfen.

Das Bußgeld von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines Verstoßes gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen.

Voreingestellte Einwilligung für das Setzen von Cookies ist unzulässig

9. April 2019

Am 21.03.2019 hat der Europäische Gerichtshof die Schlussanträge des Generalanwalts in dem Verfahren des VZBV (Verbraucherzentrale Bundesverbandes) gegen den Werbedienstleister Planet49 veröffentlicht.

Unter anderem liegt dem Verfahren die Frage zugrunde, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein.

Der EuGH-Generalanwalt ist der Ansicht, die Praxis einer voreingestellten Einwilligung für das Setzen von Cookies verstoße gegen die bisherige ePrivacy-Richtlinie und die Datenschutzgrundverordnung. Zudem haben die jeweiligen Dienstanbieter den Nutzer klar und umfassend darüber zu informieren, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf die Cookies haben.

Klaus Müller, Vorstandsmitglied des Verbraucherzentrale Bundesverbands äußerte sich zu den Schlussanträgen wie folgt: „Cookie-Banner auf Webseiten geben Verbrauchern oft keine aussagekräftigen Informationen und keine rechtskonformen Wahlmöglichkeiten. Verbraucher werden somit online verfolgt, ohne die Hintergründe verstehen zu können und ohne eine gültige Einwilligung erteilt zu haben. Die heutige Stellungnahme des Generalanwalts bestätigt, dass dies inakzeptabel ist. Damit unterstützt der Generalanwalt auch die jahrelange Auffassung des vzbv, dass die deutsche Bundesregierung die bisherige ePrivacy-Richtlinie nicht konform in deutsches Recht umgesetzt hat. Umso drängender ist nun eine strenge Durchsetzung der Datenschutzgrundverordnung sowie die zügige Annahme einer strikten ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird. Es darf keine Verfolgung der Interessen von Verbrauchern ohne deren vorherige Einwilligung geben und diese Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Praktiken wie vorgeklickte Kästchen, Tracking Walls und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden.“

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

Firefox verbessert Datenschutz

4. September 2018

Ab sofort kann man eine neue Browser-Version von Firefox herunterladen – Firefox 62. Diese Version verbessert den Datenschutz und stellt mehr Tab-Einstellungen zur Verfügung.

Firefox verfügt zwar schon länger über einen eingebauten Tracking-Schutz. Dieser war jedoch bisher nur im Privatmodus voreingeschaltet. Jeder, der normal im Internet surft, muss diesen sogenannten „Schutz vor Aktivitätenverfolgung“ selbst einschalten. Diese Einstellungen sind zwar nicht schwer, erfordern aber einen Besuch in den Firefox-Einstellungen. Bei Firefox 62 kann man über das zentrale Firefox-Menü und einen simplen Schalter diese Einstellungen vornehmen. Damit ist das Aktivieren dieser Funktion nicht nur schneller und einfacher möglich, sondern viele Nutzer werden zudem daran erinnert, dass es diesen Schutz überhaupt gibt.

Auch Cookies und andere Websitendaten, die gespeichert werden, können schon länger gelöscht werden. Durch Firefox 62 ist es jetzt möglich, in der Adressleiste alle Informationen zur aktuellen Seiten einzusehen. Dort kann man Informationen zur Sicherheit der Verbindung finden, ob der Schutz zur Aktivitätenverfolgung ein- oder ausgeschaltet ist und kann Berechtigungen einsehen. Darüber hinaus wurde ein Löschknopf eingebaut, der Cookie- und Websitedaten sofort löscht.

In den Tab-Einstellungen können die Nutzer von Firefox 62 jetzt festlegen, welche Details in den neuen Tabs zu sehen sein sollen. Es ist möglich, bis zu vier Zeilen in den einzelnen Rubriken einzublenden (z.B. „wichtige Seiten“ oder „Pocket-Empfehlungen“). Am schnellsten erreicht man diese Einstellungen wie gehabt über ein neu geöffnetes Tab und einen Klick oben rechts auf das Zahnradsysmbol.

Datenschutzkonferenz sieht Einwilligungserfordernis bei Einsatz von Cookies und Tracking

14. Mai 2018

Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.

Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services „unbedingt erforderlich“ sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.

Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.

Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell „ein berechtigtes Interesse“ der Unternehmen darstelle und so gerade „grundsätzlich nicht von einer Einwilligung abhängig ist“. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.

Bericht über massives Lobbying zur E-Privacy-Verordnung

18. Oktober 2017

Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht „Big Data Is Watching You“ der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.

Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.

Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.

 

ePrivacy-Verordnung: Verlage wehren sich gegen Cookie-Banner im Browser

30. Mai 2017

In Ergänzung zur EU-Datenschutzgrundverordnung (DSGVO), wird 2018 die ePrivacy-Verordnung in Kraft treten. Dabei sollen nach dem mit der DSGVO eingeführten Privacy-by-Design-Grundsatz, die Cookie-Banner nach der EU-Kommission zukünftig nicht mehr auf jeder Website, sondern in den Browsern auftauchen. Privacy-by-Design soll die Berücksichtigung des Daten- bzw. des Persönlichkeitsrechtsschutzes bereits in der Phase der Technikentwicklung sicherstellen. Browser-Hersteller müssen demnach alle technischen Voreinstellungen Privatsphäre-freundlich ausgestalten. Damit erfolgt die Einwilligungserklärung der Nutzer zur Datenerhebung zukünftig zentral.

Deutschlands führende Verlage äußerten sich in einem offenen Brief an das EU Parlament kritisch gegenüber dieser neuen Regelung, denn sie befürchten damit keinen Zugriff mehr auf die für ihr Geschäft notwendigen Nutzerdaten zu haben. Zudem, so argumentieren u.a. die Zeit, die Süddeutsche und die F.A.Z., würden die neuen Regelungen die browsermarktführenden US-Internetkonzerne wie Google, Apple oder Microsoft weiterhin begünstigen. Diese bekämen noch mehr Einfluss auf den Nachrichtenkonsum der Verbraucher und auf das ob und wie der Zugriffsfreigabe von Verbraucherdaten gegenüber den Verlagen. Damit besteht zudem die Gefahr, dass der Nutzer die Kontrolle über seine Daten zunehmend verliert womit ein Verstoß gegen das datenschutzrechtliche Transparenzgebot vorliegt.

Darüber hinaus kann der Regelungsentwurf zu Lasten des digitalen Nachrichtengeschäftes dazu führen, dass kaum noch Nutzer dem Datentransfer zustimmen. Soweit die Verlage nicht mehr auf sogenannte Third-Party-Cookies zugreifen können, kann außerdem die Möglichkeit der Verlage, den Nutzern relevante Inhalte und Werbung anzuzeigen, und damit das Werbefinanzierungsmodell von Nachrichten, behindert werden.

Auch aus Datenschutzkreisen wird der neue Regelungsentwurf kritisiert. So monierten die Datenschützer der Artikel-29-Gruppe, dass mit dem neuen Regelungsentwurf der Einwilligungserklärung der Nutzer nach vorheriger Belehrung entgegen gewirkt werde. Die Datenschützer setzten sich dafür ein, unterschiedliche Tracking-Ziele gesondert freischalten zu lassen. Demnach würden z.B. die für Werbung genutzten Daten, von solchen Daten, die der Navigationsverbesserung auf Websites dienen, getrennt werden.

Google: Der Suchmaschinenbetreiber zahlt 22,5 Millionen Dollar für Cookies in Safari-Browser

20. November 2012

Medienberichten zu folge kann der Streit der Suchmaschine des US-amerikanischen Unternehmens Google Inc. um die durch Google initiierten und dabei die Datenschutz-Einstellung umgehenden Cookies im Safari-Browser mit der amerikanischen Handelskommission FTC mit der Zahlung von 22,5 Millionen Dollar beendet werden. Eine Billigung dieses Vergleiches kündigte die zuständige US-Richterin Susan Illston am Freitag an, da ihr die Summe angemessen erscheine.

Folgende Beiträge könnten Sie auch interessieren:

http://www.datenschutzticker.de/index.php/2012/08/google-bildung-eines-datenschutzteams/

http://www.datenschutzticker.de/index.php/2011/03/google-analytics-und-die-datenschutzkonforme-ausgegstaltung-von-websiteanalysen/

Kategorien: Allgemein · Mobile Business
Schlagwörter: , , ,

Google: Rekordstrafe für Cookie in Safari-Browser

15. August 2012

Wie die Federal Trade Commission (FTC) vermeldete, ist das Verfahren um die durch Google initiierten und dabei die Datenschutz-Einstellung umgehenden Cookies im Safari-Browser mit der zuständigen US-Heimatschutzbehörde nach Zahlung einer Rekordstrafe von 22,5 Millionen Dollar (18,2 Millionen Euro) beendet.

Das Vorgehen von Google war dabei ebenso kreativ wie rechtswidrig, hatten es die Entwickler des IT-Giganten doch geschafft, ohne die Zustimmung der Safari-Nutzer Cookies auf deren Geräten zu hinterlassen, welche Rückschlüsse auf deren Verhalten im Netz zuließen. Apples Standardbrowser Safari blockte im Gegensatz zu anderen Browsern standardmäßig die Cookies von Dritten. Einer Seite, auf der ein Anwender ein Formular in einem Werbebanner ausfüllt, war es jedoch durch Apple erlaubt, einen Cookie zu setzen. Google versteckte einen Cookie dabei in einem unsichtbaren Formular eines „+1-Button“, der dem Browser einen Nutzerzugriff vortäuschte und so den Cookie auf der Festplatte der Safari-User installierte. Dieser Google-Button dient eigentlich der Weiterempfehlung von Webinhalten durch Google-Plus-User. Publik wurde das Vorgehen Anfang 2012 als das Wall Street Journal die Praxis der Öffentlichkeit offenbarte. Google relativierte die Vorwürfe und erklärte, es seien keine persönlichen Informationen erfasst worden und ergänzte nun, der Konzern würde höchste Datenschutz- und Sicherheitsstandards wahren.

Die Höhe der Strafe erscheint dabei in einem wechselhaften Licht. Einerseits sei des laut FTC die höchste Strafe, die je einem Unternehmen auferlegt worden sei. Betrachtet man jedoch den Quartalsgewinn in Höhe von 2,8 Milliarden Dollar wird ersichtlich, dass die Strafe nicht einmal einen Tagesgewinn von Google ausmacht. Wesentlich schwerer wird der wiederholte Imageschaden wiegen. Nach den erst kürzlich diskutierten Vorgängen um rechtswidrig erhobene WLAN-Daten und deren weiterhin nicht vollständigen Löschung begeht Google mit dem neuerlichen Vorgang innerhalb kurzer Zeit den zweiten schweren Datenschutzverstoß.

Kategorien: Online-Datenschutz
Schlagwörter: , , , ,
1 2