Datenschutz: Vorsorge ist besser als Nachsorge – auch ohne Abmahnwelle

Pressemitteilung der Landesbeauftragten für Datenschutz Schleswig-Holstein vom 09.08.2019

Rückblende: Als die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 eingeführt wurde, reagierten viele Unternehmer mit Angst und Panik vor Datenschutz-Bußgeldern und Abmahnwellen. Dieses Schreckensszenario ist nicht eingetreten: Bußgelder für Datenschutzverstöße werden in Deutschland und in Europa mit Augenmaß verhängt, die prophezeite Abmahnwelle ist bisher ausgeblieben. Dennoch: Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten.

Weiterlesen Datenschutz: Vorsorge ist besser als Nachsorge – auch ohne Abmahnwelle



Sommer, Sonne, Strand und Meer – Achtung: Videoüberwachung!

Pressemitteilung der Landesbeauftragten für Datenschutz Schleswig-Holstein vom 05.08.2019

Videoüberwachung ist ein Dauerbrenner beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Besonders im Sommer häufen sich die Beschwerden. Meist geht es um Kameras, die zu viel Einblick nehmen und manchmal selbst intimste Details aufzeichnen, z. B. in Toiletten- oder anderen Sanitärräumen. In solchen Extremfällen müssen aufgespürte Kameras unverzüglich abgeschaltet werden. In anderen Bereichen kann der Betreiber mit einer geeigneten Konfiguration der Kameras dafür sorgen, dass tiefe Eingriffe in die Privat- oder Intimsphäre vermieden werden.

Weiterlesen Sommer, Sonne, Strand und Meer – Achtung: Videoüberwachung!



„Gefällt mir“ – der EuGH sieht Webseiten-Betreiber und Facebook als gemeinsam verantwortlich

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Mainz, 01.08.2019. Der „Gefällt-mir“-Button ist ein Social Plugin von Facebook, das Betreiber von Webseiten auf ihrer Seite zum Optimieren der Werbung für Ihre Produkte einbinden können und über das Nutzungsdaten der Seitenbesucher an Facebook übermittelt werden. Ohne weiteres Zutun der Seitenbesucher erfährt Facebook damit, wann von welcher IP-Adresse – und bei Facebook-Mitgliedern häufig von welcher Person konkret – welche Internet-Seite aufgerufen wurde. Facebook erhält damit Einblick in das Surfverhalten vieler Nutzerinnen und Nutzer, auch solcher, die nicht Mitglied des Sozialen Netzwerks sind. Der EuGH hat nun mit Urteil vom 29.7.2019 entschieden, dass die Seitenbetreiber hinsichtlich dieser Übermittlungen als Verantwortliche im Sinne des Datenschutzrechts anzusehen sind.

Hintergrund des Verfahrens ist ein Rechtsstreit, mit dem sich das Oberlandesgericht Düsseldorf befasste. Die Verbraucherzentrale NRW hatte gegen den deutschen Modehändler Fashion ID geklagt, der den Facebook-Button in seine Webseiten eingebunden hatte. Schon das Aufrufen der Webseite löst die Übermittlung an Facebook aus, das Betätigen des Buttons ist hierzu nicht erforderlich.

Der EuGH entschied konkret:
* Verbände, die Verbraucherinteressen wahren, können auch bereits unter der Rechtslage der bis zum 24.5.2018 geltenden EU-Datenschutzrichtlinie, gegen Verletzungen des Datenschutzrechts im Namen der Verbraucher Klage erheben (Hintergrund ist, dass die Fragen der Verbraucherzentrale noch auf der ehemaligen Datenschutzrichtlinie beruhten);
* Fashion ID und Facebook sind gemeinsam verantwortlich. Fashion ID ist zwar nicht verantwortlich für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Datenübermittlung vornimmt, jedoch für das Erheben auf der Webseite und für die Übermittlung der Daten an Facebook. Diese Feststellungen gelten dem Grunde nach auch für die Datenschutz-Grundverordnung.
* Der Betreiber einer Website (hier: Fashion ID) muss als (Mit-)Verantwortlicher seine Besucher zum Zeitpunkt über die Datenverarbeitung informieren (u. a. über die Datenübermittlung an Facebook und die Zwecke der Verarbeitung);
* Einwilligungen der Nutzer muss der Betreiber der Webseite nur für die Vorgänge einholen, für die er mitverantwortlich ist (hier: das Erheben und die Übermittlung der Daten), dies jedoch, bevor die Daten erhoben und übermittelt werden
* Falls die Datenverarbeitung mit der Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO begründet werden soll, muss jeder der für die Verarbeitung Verantwortlichen eins solches Interesse verfolgen. Ob im Ergebnis die Erhebung und Übermittlung an Facebook mit Art. 6 Abs. 1 lit. f DS-GVO begründet werden können, lässt der EuGH offen. Dies hängt von der Abwägung der Interessen der Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen im Einzelfall ab. Dass die Übermittlung schon durch das Aufrufen der Seite ausgelöst wird und von den Nutzern weder erkannt noch unterbunden werden kann, spricht allerdings stark gegen eine Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, begrüßt das Urteil des EuGH. „Das Urteil konkretisiert nicht nur den Begriff der gemeinsamen Verantwortlichkeit, sondern unterstreicht auch die Prinzipien der Transparenz und Rechtmäßigkeit der Verarbeitung, die maßgebliche Vorgaben der Datenschutz-Grundverordnung sind. Nutzerinnen und Nutzer müssen wissen, woran sie sind, wenn sie eine Webseite aufrufen. Die deutschen und europäischen Datenschutzaufsichtsbehörden werden das Urteil mit Blick auf die aktuelle Rechtslage eingehend auswerten. Prof. Kugelmann stellt fest: „Dabei wird auch zu prüfen sein, welche Konsequenzen sich aus der aktuellen Rechtsprechung für die Betreiber von Internet-Angeboten und Facebook-Seiten und entsprechend für die aufsichtsbehördliche Praxis des LfDI ergeben. So sind auch andere Methoden des Nutzer-Tracking, bei denen Seitenbetreiber bereitgestellte Analyse-Tools von Drittanbietern nutzen, an diesen rechtlichen Anforderungen zu messen. Insbesondere die Frage einer vorherigen Einwilligung der Nutzerinnen und Nutzer rückt hier in den Blickpunkt.“

Bereits 2018 hatte der EuGH über die gemeinsame Verantwortung von Facebook und den Betreibern sogenannter „Facebook-Fanpages“ entschieden und auch hier eine gemeinsame Verantwortung von Betreiber und Facebook bejaht.“ +++



EuGH-Urteil zu Social-Media-Plugins – Webseitenbetreiber in der Pflicht

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 31.07.2019

Am Montag verkündete der Europäische Gerichtshof ein Urteil zur Frage der datenschutzkonformen Einbindung eines Facebook Like Buttons durch Webseitenbetreiber (C-40/17). Damit stellte er in konsequenter Fortführung seiner Rechtsprechung zur gemeinsamen Verantwortlichkeit für Facebook-Fanpages (C-210/16) fest, dass es auch für die Verwendung von sog. Social Plugins, wie dem Facebook Like Button, eine gemeinsame Verantwortung von Betreibenden einer Homepage und dem jeweiligen Anbieter gibt. Webseitenbetreiber können das Einholen von Einwilligungen bei Nutzerinnen und Nutzern, soweit solche geboten sind, sowie die Erfüllung von Transparenzpflichten nicht auf Facebook abschieben.

Weiterlesen EuGH-Urteil zu Social-Media-Plugins – Webseitenbetreiber in der Pflicht



EuGH–Urteil vom 29. Juni 2019: „Like-Button“, wer ihn auf seiner Webseite einbindet, ist auch verantwortlich! – Gefällt dem TLfDI!

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 30.07.2019

Bereits das Urteil des Europäischen Gerichtshofs (EuGH) zum (Weiter-)Betrieb von Facebook-Fanpages vom 5. Juni 2018 bestätigte die langjährige Rechtsauffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). In ihrem Beschluss vom 5. September 2018 wies die DSK darauf hin, dass Fanpage-Betreiber gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich sind. Die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DS-GVO müssen Fan-Pagebetreiber zusammen mit Facebook nachweisen können. In seinem gestrigen Urteil entschied der EuGH nun, dass die Betreiber, die einen „Gefällt-mir“- Knopf (Like-Button) auf ihrer Webseite einbinden, für die damit verknüpfte Datenübertragung mitverantwortlich sind. Allein der Aufruf einer Webseite, die diese Schaltfläche hat, macht es möglich, Ihr Surfverhalten an Facebook zu übertragen, selbst dann, wenn Sie kein Facebook-Konto besitzen. Das ist gefährlich! Insbesondere deshalb, weil anhand nur weniger Likes ein Persönlichkeitsprofil und Ihr Verhalten prognostiziert werden kann. Allein zehn Likes genügen dafür, dass Facebook Sie besser kennt als Ihre Arbeitskollegen. Und derartige Profile werden auch gern gekauft – von wem und zu welchem Zweck auch immer. Künftig müssen Sie als Nutzer sogenannter Like-Buttons nun zuvor Social-Media-Dienste explizit mit einem weiteren Button aktivieren und damit zustimmen, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Dr. Lutz Hasse meint dazu: „Natürlich ist die explizite Aktivierung nervig – soll auch so sein! Denn jetzt müssen Sie bewusst entscheiden, ob Sie Ihre Privatsphäre von Facebook verhökern lassen wollen.“

Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.