Bitte beachten Sie auch meine aktuellen Beiträge zum Datenschutz bei Webseiten und Marketing unter der DSGVO:
Datenschutz bei Webseiten und Apps - 10 Themen, die Sie beachten sollten (Checkliste/DSGVO)
Direktwerbung datenschutzkonform umsetzen (E-Mail-, Post-, Telefon-Marketing)
Schwerpunkte
Datenschutz
Weiteres in Kürze
Das Tracking von Besuchern auf Webseiten mit Tools wie Google Analytics oder Piwik (Webtracking) ist seit längerem im Fokus der Web-Gemeinde und Datenschützer. Das Tracking des Nutzungsverhaltens von E-Mail Empfängern mittels Ein-Pixel-Bildern (Web-Beacons) und individualisierten Links in E-Mails wurde dagegen bisher wenig beachtet. Dies hat sich nunmehr geändert: Wie mir bekannt ist, hat zumindest eine deutsche Aufsichtsbehörde begonnen, Unternehmen anzuschreiben, die entsprechende Mail- und Newsletter-Tracking Technologien einsetzen.
Nicht nur die Nutzung US-amerikanischer Dienste stellt dabei den Kunden vor datenschutzrechtliche Herausforderungen. Auch wer ein E-Mail-Tracking in Eigenregie betreibt oder deutsche Anbieter nutzt, muss eine Reihe von Punkten beachten.
Mein Beitrag erläutert die Anforderungen an einen datenschutzkonformen Einsatz von E-Mail-und Newsletter-Tracking Technologien und gibt konkrete Hinweise zur Datenschutz-konformen Umsetzung nach dem Telemediengesetz (TMG) und Bundesdatenschutzgesetz (BDSG).
Beitrag zum Newsletter- und E-Mail Tracking lesen
Ist Ihre App oder Mobile Webseite datenschutzkonform? Vermeiden Sie die häufigsten Stolpersteine. Erfahren Sie als Datenschützer, Entwickler, Gründer oder Projektverantwortlicher welches die wichtigsten Anforderungen des Datenschutzrechts an Mobile Business Anwendungen sind und wie Sie diese umsetzen. Verständlich erklärt anhand kleiner Fälle.
Inhalte:
Auf meinem neuen Twitter-Account veröffentliche ich die Themen meines Newsletters jetzt tagesaktuell. Wer nicht auf die Zusammenfassung im Newsletter warten will, kann sich dort informieren und mir folgen.
Ich twittere ausschließlich Meldungen, die für den Datenschutz im Unternehmen relevant sind. Mit Nachrichten zum NSA-Untersuchungsausschuss werden Sie hier also genauso wenig belästigt wie mit persönlichen Statements.
Will ein deutsches Unternehmen Daten einem US-Unternehmen anvertrauen (z.B. Cloud-Anbieter), so müssen besondere Anforderungen erfüllt sein, um ein „angemessenes Datenschutzniveau“ beim Datenempfänger sicherzustellen. Eine Lösung ist dabei, dass das US-Unternehmen sich selbst nach den Safe-Harbor Grundsätzen zertifiziert. Die Safe Harbor Regelung ist bereits seit längerem wegen angeblicher Vollzugsdefizite in der Kritik, weshalb die Aufsichtsbehörden bereits 2010 von deutschen Unternehmen geforder thaben, gewisse Mindestprüfungen vorzunehmen, um sich von der Einhaltung der Safe Harbor Grundsätze zu überzeugen.
Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat nun einen Fragebogen in englischer Sprache veröffentlicht, der eine dokumentierte Überprüfung der wesentlichen Pflichten nach Safe Harbor ermöglichen soll. Den Fragebogen sollen die deutschen Kunden wohl den US Anbietern zum Ausfüllen zusenden.
Der Fragebogen geht deutlich über das von den Aufsichtsbehörden geforderte Mindestprogramm für eine Prüfung hinaus und ist nach meiner Einschätzung kaum praxistauglich. Teilweise werden überflüssige Punkte abgefragt, z.B. ob das Unternehmen der Aufsicht der Federal Trade Commission unterliegt (ist dies nicht der Fall, ist eine Aufnahme in die Safe Harbor Liste bereits ausgeschlossen, was die FTC freilich prüft). Außerdem werden oft Safe Harbor Grundsätze einfach wiederholt, ohne, dass ersichtlich ist, wie das US-Unternehmen hierauf antworten soll. Es fehlt also an konkreten Fragen. Ich kann mir kaum vorstellen, dass ein US-Unternehmen den Fragebogen in annehmbarem Zeitrahmen, sinnvoll und vollständig ausgefüllt zurückliefern kann oder will, außer es handelt sich um einen großen Kunden in Deutschland, der einen hohen Umsatzerlös beschert.
Der IT-Branchenverband Bitkom hat einen aktualisierten Mustervertrag zur Auftragsdatenverarbeitung mit englischer Übersetzungshilfe veröffentlicht. Zu den Neuerungen schreibt Bitkom:
Das Muster berücksichtigt laut Bitkom die Interessen von Auftraggeber wie Auftragnehmer, beide Seiten waren bei der Überarbeitung involviert.
Nach meiner Einschätzung bietet das Muster eine gute Grundlage, bedarf aber für den Praxiseinsatz unbedingt einer Reihe von Anpassungen. So fehlen nach meiner Auffassung Regelungen für die häufigen Fälle von Ketten-(Unter-)beauftragungen. Außerdem sollten die Voraussetzungen und Kosten bei Audits näher geregelt werden. Nicht geeignet ist das Muster zudem für die Fälle von Software-as-a-Service (SaaS) und sonstige Cloud-Leistungen, da hier zu viele dienstspezifische Punkte beachtet werden müssen (eingeschränkte Weisungsmöglichkeit, Datenrückgabe etc.). Auch bei konzerninternen Auftragsdatenverarbeitungen sollten flexiblere, individuelle Lösungen entwickelt werden. Anpassungen erscheinen auch geboten, wenn der Vertrag mit Auftragnehmern außerhalb der EU geschlossen werden sollen (z.B. betreffend Zugriff durch Strafverfolgungsbehörden).
Mit der Do-Not-Track Funktion können Nutzer moderner Browser an Webseiten das Signal senden, dass ihr Surfverhalten nicht nachverfolgt (getrackt) werden soll. Yahoo geht mit schlechtem Beispiel voran und ignoriert dieses Signal in Zukunft. Die Beachtung von Do-Not-Track ist nach deutschem Recht nicht zwingend. Das Telemediengesetz fordert zwar eine Information des Nutzers über das Tracking und die Möglichkeit, hiergegen zu widersprechen (Opt-Out). Der Widerspruch kann technisch aber auch durch einen individuellen Link und Cookie wie z.B. bei Google Analytics umgesetzt werden. Das Do-Not-Track Signal vom Browser ist nicht zwingend zu beachten. Yahoo verhält sich also nicht rechtswidrig, offenbart aber, dass der Firma Profit über Privatsphäre geht.
In dem vom Weißen Haus in Auftrag gegebenen 95-Seitigen Big Data Bericht erläutert eine dem Präsidenten zuarbeitendene Arbeitsgruppe klar und verständlich das Thema Big Data und stellt dar, welche Gefahren für die Privatsphäre entstehen.
Interessant ist zum Beispiel die Aussage, dass Big-Data Technologien das Risiko in großen Datenmengen Personenbezüge herzustellen eher erhöhen, als dass sie zur Anonymisierung beitragen. Zweifel werden auch angemeldet, ob in großen Datenbeständen eine Löschung möglicherweise personenbezogener Daten überhaupt noch möglich ist. Die Arbeitsgruppe betont auch die Bedeutung von Metadaten, zum Beispiel, wer, wann mit wem kommuniziert hat (ohne Kommunikationsinhalt): Man könne nicht davon ausgehen, dass diese quasi „nebenbei anfallenden Daten“ weniger kritisch in Bezug auf den Datenschutz seien als die eigentlichen (Inhalts-)Daten.
Der Europäische Gerichtshof hat in einem wichtigen Urteil entschieden, dass
Geklagt hatte ein spanischer Anwalt gegen Google Spanien. Bei Eingabe seines Namens in die Suchmaschine erschien als erster Treffer die Seite einer spanischen Zeitung, auf der eine 16 Jahre zurückliegende Pfändung gegen den Anwalt erwähnt wird.
Über die Entscheidung des Europäischen Gerichtshofs (EuGH) wurde bereits viel berichtet, zum Teil sehr kritisch.
Für Unternehmen, die nicht gerade eine Suchmaschine betreiben ist vor allem eine Feststellung des Gerichts für die Praxis wichtig: Wenn eine Tochtergesellschaft in der EU die Dienste eines Unternehmens außerhalb der EU vermarktet, so kann diese wirtschaftliche Verstrickung die EU-Gesellschaft zur verantwortlichen Stelle für die Datenverarbeitung der Mutter machen, selbst wenn die Tochter keinen Einfluss auf diese Datenverarbeitung hat. Die Datenverarbeitung durch die Muttergesellschaft unterliegt dann plötzlich voll dem Datenschutzrecht des jeweiligen EU Landes.
Betroffen können hiervon zum Beispiel US Internet-Unternehmen sein, die ihre Dienste über deutsche Tochtergesellschaften vermarkten. Neben Suchmaschinen kommen auch soziale Netzwerke (wie Facebook) oder Anbieter von Online-Werbe-Netzwerken in Betracht.
Die US-Unternehmen unterliegen dann aufgrund ihrer EU-Gesellschaften dem kompletten nationalen Datenschutzecht im Mitgliedstaat. Betroffene Unternehmen sollten prüfen, ob dies für sie zutrifft und die Zulässigkeit der Datenverarbeitungen nach den nationalen EU Vorschriften sicherstellen. So müssen ggf. Datenschutzhinweise angepasst und Einwilligungen nach den strengen EU Vorschriften eingeholt werden.
Hat die EU Tochtergesellschaft keinen Einfluss auf die Datenverarbeitung der Mutter drohen ihr Urteile oder Verfügungen durch nationale Gerichte, denen sie nicht nachkommen kann. Hilft ein Einwirken auf die Muttergesellschaft nicht, so bleibt im Notfall nur die Einstellung der Vertriebstätigkeit durch die EU-Tochter oder die Verlagerung in ein EU Land mit laxerem Datenschutz.
Erlauben Sie mir noch Anmerkungen zu zwei viel diskutierten Themen, die in der Sache meiner Meinung nach fehl gehen:
Häufig wird davon gesprochen, der Europäische Gerichtshof (EuGH) habe ein Recht auf „Vergessenwerden“ geschaffen. Das ist nicht richtig. Der EuGH hat lediglich den bereits geltenden und völlig unstrittigen Grundsatz angewendet, dass personenbezogene Daten nur gespeichert und verarbeitet werden dürfen, wenn eine Erlaubnisnorm dies gestattet. Greift eine Erlaubnisnorm nicht mehr, zum Beispiel weil nach längerer Zeit eine Information irrelevant ist, so ist die Information schon nach geltendem Recht mangels Erlaubnisnorm zu löschen. Das „Recht auf Vergessenwerden“ ist dagegen eine Idee, die im Zuge der geplanten Neuregelung des Datenschutzrechts auf EU-Ebene bei der EU-Datenschutzgrundverordnung entwickelt wurde. Danach sollten Unternehmen nicht nur verpflichtet werden die Daten bei sich selbst zu löschen, sondern auch die Löschung bei Dritten, an die sie die Daten weitergegeben hatten, zu veranlassen. Einen solchen Grundsatz hat der EuGH jedoch in seiner jetzigen Entscheidung nicht aufgestellt. Dennoch wird das EuGH Urteil von den vielen neuen „Datenschutzexperten“ und den Medien unpräzise unter dem Stichwort „Recht auf Vergessenwerden“ diskutiert.
Gerne wird die Entscheidung auch als „Zensur“ und Einschränkung der Informationsfreiheit missverstanden. Beides ist nicht der Fall. Es geht um eine Abwägung zwischen dem Persönlichkeitsrecht des Gegoogelten, dem Informationsinteresse der Suchenden und den unternehmerischen Interessen von Suchmaschinenbetreibern. Der EuGH hat dabei dem Persönlichkeitsrecht der „gegoogelten“ Personen zu Recht einen hohen Stellenwert eingeräumt. Im konkreten Fall ging es um eine lange zurückliegende Pfändung. Dass diese Information bei der Suche nach einem Namen nicht mehr in Google erscheint ist verkraftbar und nicht das Ende der Meinungs- und Informationsfreiheit und auch nicht das Ende der Suchmaschinen. Das Urteil ist keinesfalls ein Freibrief, sämtliche unliebsamen Suchergebnisse zu Personen zu löschen. Für Google und andere Suchmaschinenbetreiber entsteht ein gewisser administrativer Aufwand. Das Löschen von Suchergebnissen ist aber nichts Neues, schon heute werden bestimmte Seiten in den Suchergebnissen ausgefiltert. Wenn Google in Zukunft auf Wunsch der Betroffenen beanstandete Seiten großzügig aus der Ergebnisliste streicht, dann nur, um Rechtsstreitigkeiten mit Betroffenen oder schwierigen Einzelfallabwägungen auszuweichen.
Auch das Argument von Kritikern geht fehl, der EuGH habe durch Nennung des Namens des Klägers im Urteil selbst zur Verbreitung der persönlichkeitsverletzenden Tatsache beigetragen. Der EuGH hat gerade nicht die Veröffentlichung dieser Information untersagt, sondern sieht es lediglich als datenschutzwidrig an, wenn bei einer Suchmaschine unter Eingabe des Personennamens diese irrelevante Information erscheint.
Nach dem Urteil eines amerikanischen Bundesgerichts sind US-Internetunternehmen auch dann zur Datenherausgabe verpflichtet, wenn sich die Server des speichernden Unternehmens nicht in den Vereinigten Staaten befinden. Überraschend ist das Urteil nicht: US-Firmen hatten bereits früher mitgeteilt, entsprechenden Anordnungen zur Datenherausgabe nach dem Foreign Intelligence Surveillance Act (FISA) nachzukommen.
Der Ansatz von US-Technologiefirmen, ihren EU-Kunden Lösungen mit Serverstandort in der EU anzubieten, ist insofern datenschutzrechtlich eine Mogelpackung. Nur wenn es sich um Unternehmen mit Sitz in der EU handelt, Serverstandort die EU ist und die amerikanische Muttergesellschaft hierauf technisch keinerlei Zugriff nehmen kann, lässt sich eine Datenübermittlung ausschließen. Ist dies nicht gewährleistet, muss nicht nur mit einem Zugriff durch US-Ermittlungsbehörden gerechnet werden, es liegt rechtlich auch eine Datenübermittlung in ein unsicheres Drittland vor.
US Anbieter sollten ihren EU-Kunden Verträge anbieten, die den Anforderungen des Europäischen Rechts genügen. Hierzu gehören zum Beispiel EU-Standardverträge und Auftragsdatenverarbeitungsverträge. Deutsche Kunden müssen auf die Einhaltung dieser Anforderungen beharren, auch wenn die Anbieter im Massenmarkt am längeren Hebel sitzen. Notfalls muss eben doch auf einen (ggf. teureren oder schlechteren) Anbieter in der EU zurückgegriffen werden.
Der Europäische Gerichtshof (EuGH) hat die EU-Richtlinie über die Vorratsspeicherung von Daten für ungültig erklärt. Damit muss Deutschland vorerst kein Gesetz erlassen, das Telekommunikationsanbieter zur anlasslosen Speicherung bestimmter Verbindungsdaten verpflichtet. Die EU Kommission hat die Klage gegen die Bundesrepublik wegen mangelnder Umsetzung der Richtlinie in der Folge zurückgenommen.
Das Gericht sieht in der Vorratsdatenspeicherung einen besonders schwerwiegenden Eingriff in die Privatsphäre der Betroffenen und verpasst dem europäischen Gesetzgeber eine schallende Ohrfeige: So fehle es an einer Begrenzung der Nutzung der Daten für schwere Straftaten. Der Zugriff auf die Daten durch Sicherheitsbehörden sei ebenfalls nicht beschränkt. Die Speicherfrist von sechs bis 24 Monate differenziere nicht nach der Sensibilität der Daten. Zudem sei nicht festgelegt, dass die Daten in der EU gespeichert werden müssen und wie ein Missbrauch zu verhindern ist. Das Urteil bietet geradezu einen Kriterienkatalog für eine datenschutzrechtliche Verhältnismäßigkeitsprüfung und zeigt beispielhaft auf, was alles schief gehen kann.
Zur Zweckerfüllung reicht oft ein Zugriff auf anonymisierte Daten, wie dieser Fall des Bundesverwaltungsgericht zeigt: Das Gericht hat entschieden, dass der Personalrat nicht verlangen kann, von der Dienststelle den Zugriff auf die in der elektronischen Arbeitszeiterfassung gespeicherten Daten der namentlich bezeichneten Beschäftigten zu erhalten.
Der Personalrat der Arbeitsagentur Duisburg begehrte eine eigene Einsicht in das elektronische Zeiterfassungssystem und damit den ständigen unmittelbaren Zugriff auf die Arbeitszeitkonten aller Beschäftigten.
Nach Auffassung des Bundesverwaltungsgerichts hat der Personalrat Anspruch auf Auskunft durch die Dienststelle nur, soweit dies zur Wahrnehmung seiner Aufgaben erforderlich ist. Er könne sich zwar auf seine Aufgabe berufen, die Einhaltung der zugunsten der Beschäftigten geltenden Gesetze, zu überwachen. Ein lesender Zugriff auf die Arbeitszeitdaten der namentlich bezeichneten Beschäftigten sei dafür jedoch nicht erforderlich. Es genüge eine anonymisierte Zugriffsmöglichkeit.
Ein schönes Beispiel für eine unwirksame, da unpräzise Einwilligungsklausel in Allgemeinen Geschäftsbedingungen bietet der Fall des Landgerichts Koblenz. Ein Fitnessstudio hatte sich in seinen AGB die Einwilligung eingeholt „zur Erhöhung der Sicherheit“ „Teilbereiche“ des Fitness-Studios per Videokamera zu überwachen und die Aufnahmen zu speichern „solange dies zur Sicherheit der Mitglieder und zur Aufklärung von Straftaten notwendig sei“.
Die Einwilligung ist unwirksam, so das Gericht, weil der Begriff „Teilbereiche“ zu unbestimmt sei. Auch Zweck und Umfang der Speicherung seien zu unpräzise.
Der Fall verdeutlicht, dass Pauschaleinwilligungen datenschutzrechtlich nicht halten und keinerlei Rechtssicherheit bieten.
Ratgeber, Muster und Checklisten
Datenschutz professionell und effizient umsetzen