Mängel auf allen Ebenen: Berliner Aufsichtsbehörde konfrontiert Webseiten-Betreibende mit rechtswidrigem Tracking

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Angesichts der andauernden Defizite beim Einsatz von Tracking-Techniken und Drittdiensten auf Webseiten hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit eine großangelegte Aktion gestartet. Rund 50 Berliner Unternehmen erhalten in diesen Tagen postalisch die Aufforderung, das Tracking auf ihren Webseiten in Einklang mit den geltenden Datenschutzregeln zu bringen. Andernfalls wird die Aufsichtsbehörde förmliche Prüfverfahren einleiten, die zu einer Anordnung oder einem Bußgeld führen können.

„Die Rechtslage ist eindeutig: Wenn Webseiten-Betreibende das Verhalten ihrer Nutzer*innen mit Hilfe von Cookies und anderen Technologien verfolgen wollen, benötigen sie dafür eine Rechtsgrundlage“, sagt Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Auch wenn viele Webseiten mittlerweile differenzierte Cookie-Banner mit mehreren Ebenen anzeigen, wird hiermit häufig gar keine wirksame Einwilligung eingeholt.

Mit dem Einsatz von Tracking-Techniken und Drittdiensten geht die Verarbeitung personenbezogener Daten einher, mindestens der IP-Adresse der Nutzer*innen. Dies dient meist nicht nur dazu, das Verhalten von Nutzer*innen zu analysieren, sondern auch Persönlichkeitsprofile über die gesamte Internetnutzung zu erstellen und anzureichern. Diese Daten werden regelmäßig an eine Vielzahl von Werbenetzwerken in der ganzen Welt übermittelt.

„Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die Ablehnung darf nicht aufwendiger oder gar versteckt sein“, erklärt die Datenschutzbeauftragte. „Zudem werden die Einwilligungsabfragen gerne eingebettet in unvollständige oder missverständliche Angaben und Beschriftungen. Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben, ist mir ein Rätsel.“

Bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit gehen neben persönlichen Beschwerden vermehrt auch allgemeine Prüfanregungen zu Tracking-Prozessen auf Webseiten ein. Die Masse an Hinweisen zeigt nicht nur die Bedenken der Bürger*innen auf, sondern ist auch ein Indikator, wie viele Webseitenbetreibende sich nach wie vor damit schwertun, den rechtlichen Rahmenbedingungen gerecht zu werden.

Für ihre Aktion hat die Aufsichtsbehörde die Gestaltungsmerkmale und konkreten Datenströme auf den ausgewählten Webseiten dokumentiert und die Betreibenden mit den konkreten datenschutzrechtlichen Defiziten konfrontiert. In ihren Schreiben setzt sie die dokumentierten Sachverhalte in Relation zu den rechtlichen Bestimmungen und weist auf besonders kritische Punkte im Einzelfall hin. Neben den oben genannten Mängeln stellt es auch ein anhaltendes und großes Problem dar, in welchem Ausmaß Tracking auf andere Rechtsgrundlagen als auf eine Einwilligung gestützt wird, ohne dass die gesetzlichen Anforderungen hierfür erfüllt sind.

Die Hinweisschreiben wurden an Unternehmen gesendet, deren Cookie-Banner als besonders mangelhaft aufgefallen sind, die vergleichsweise viele Nutzer*innen haben oder die möglicherweise besonders sensitive Daten verarbeiten. Betroffen sind Unternehmen aus diversen Branchen, insbesondere Online-Handel, Immobilien, Finanzen, Soziale Netzwerke, Recht- Dienstleistungen, Software, Gesundheit, Bildung und Vergleichsportale.

Die Verantwortlichen wurden aufgefordert, die Datenverarbeitung unverzüglich in Einklang mit den datenschutzrechtlichen Vorgaben zu bringen. In jedem Fall erfolgt eine zweite Dokumentation der Webseiten, die je nachdem, ob vergangene und/oder andauernde Verstöße festgestellt werden, weitere Maßnahmen der Behörde nach sich ziehen kann.

„Die Aktion ergänzt die bereits laufenden Prüfverfahren, die auf persönlichen Beschwerden beruhen und ist ein Signal an Berliner Webseitenbetreibende“, sagt Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Der Diözesandatenschutzbeauftragte der nordrhein-westfälischen (Erz-)Bistümer veröffentlicht Jahresbericht 2020

Dortmund, 30.07.2021: Der Diözesandatenschutzbeauftragte für die Erzdiözesen Köln und Paderborn sowie die Diözesen Aachen, Essen und Münster (nordrhein-westfälischer Teil) und Verbandsdatenschutzbeauftragter des Verbandes der Diözesen Deutschlands (VDD), Herr Steffen Pau, hat jetzt den Jahresbericht für das Jahr 2020 veröffentlicht.

Das Dokument gibt auf knapp 120 Seiten Auskunft über die Tätigkeit der Aufsichtsbehörde für katholische Einrichtungen der fünf nordrhein-westfälischen (Erz-) Diözesen sowie des Verbandes der Diözesen Deutschlands (VDD).

Thematisch war die Arbeit des Katholischen Datenschutzzentrums durch die Corona-Pandemie geprägt. Vielfach bezogen sich die Anfragen auf die Zulässigkeit einzelner Maßnahmen, wie beispielsweise auf das Führen von Kontaktdatenlisten bei Gottesdiensten oder die Durchführung von Videokonferenzen.

Die Webseite des Diözesandatenschutzbeauftragten der nordrhein-westfälischen (Erz-)Bistümer kann hier abgerufen werden.

Jahresbericht 2020 des Katholischen Datenschutzzentrums (PDF)

Link zu den Jahresberichten 2016 bis 2020

Datenaustausch zwischen WhatsApp und Facebook bleibt auf europäischer Ebene unreguliert

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.07.2021.

Der Europäische Datenschutzausschuss (EDSA) hat den Antrag des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgelehnt, endgültige Maßnahmen zu verhängen, um einen Datenaustausch zwischen WhatsApp und Facebook zu verhindern. Er bewertete diese Frage als nicht dringlich. Auch andere Formen der Regulierung, z.B. Facebook zu warnen, Daten von WhatsApp-Nutzer:innen für eigene Zwecke wie Produktverbesserung und Sicherheit ohne deren Einwilligung zu verarbeiten, wurden nicht ergriffen. Die Datenschutzgrundverordnung (DSGVO) sieht eine Warnung als Möglichkeit in solchen Fällen vor, in denen beabsichtigte Verarbeitungen voraussichtlich gegen die DSGVO verstoßen.

Weiterlesen Datenaustausch zwischen WhatsApp und Facebook bleibt auf europäischer Ebene unreguliert

BayLDA-Tätigkeitsbericht 2020: Anhaltender Bedarf für Beratungen und Entscheidungen im Datenschutz

– Auch im Datenschutz ist die Pandemiebekämpfung Thema Nr. 1 –

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz und des Bayerischen Landesamts für Datenschutzaufsicht vom 13.07.2021

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Michael Will, stellte am Dienstag, den 13. Juli 2021 den Tätigkeitsbericht seiner Behörde für das Jahr 2020 vor. „Auch im Datenschutz war 2020 – das Jahr der Pandemiebekämpfung – geprägt von neuen Arbeitsbedingungen genauso wie von unzähligen neuen Fragestellungen. Das Datenschutzrecht hat diese Bewährungsprobe gut bestanden und die widerstreitenden Interessen effektiver Seuchenabwehr in Unternehmen wie Vereinen und Transparenz bzw. Kontrolle des Einzelnen über seine Daten ausbalanciert. Trotz guter Ausgangsbedingungen bleiben die anhaltend hohen Fallzahlen gerade bei Beschwerden und Datenschutzverletzungen eine Herausforderung.“

Weiterlesen BayLDA-Tätigkeitsbericht 2020: Anhaltender Bedarf für Beratungen und Entscheidungen im Datenschutz

HBDI passt den Zeitraum, in dem Schulen ihre Videokonferenzsysteme umstellen müssen, der Verzögerung in der Einführung des Videokonferenzsystems des Landes an

Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 09.07.2021.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Professor Dr. Alexander Roßnagel wurde darüber informiert, dass sich die Einführung des landeseinheitlichen Videokonferenzsystems für die Schulen des Landes Hessen (Landes-VKS) voraussichtlich verzögern wird. Die Verzögerung beruht auf einem Nachprüfungsantrag im Vergabeverfahren.

Weiterlesen HBDI passt den Zeitraum, in dem Schulen ihre Videokonferenzsysteme umstellen müssen, der Verzögerung in der Einführung des Videokonferenzsystems des Landes an