> externer Datenschutzbeauftragter > Datenschutz Social Media

Datenweitergabe von WhatsApp an Facebook – kein Löschen und keine Verwendung personenbezogener Daten nach Beschluss des Verwaltungsgerichts Hamburg

Datenweitergabe von WhatsAppWie bereits im Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz?“ beschrieben, reißt wegen der Datenweitergabe von WhatsApp die Thematik „Datenschutz bei WhatsApp“ nicht ab.

Ihr externer Datenschutzbeauftragter informiert Sie über die neuesten Entwicklungen zu dieser Thematik.

Ausgangslage

Im September vergangenen Jahres ging unter anderem der Hamburger Datenschutzbeauftragte Johannes Casper gegen Facebook, bezüglich der Weitergabe von gesammelten personenbezogenen Daten von WhatsApp an Facebook, vor. Nach dessen Ansicht genügen die durch Facebook vorgenommenen Maßnahmen zur Erhebung und Speicherung der personenbezogenen Daten deutscher WhatsApp-Nutzer nicht den Anforderungen des § 4 BDSG.

Nach dem § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) wäre für eine rechtmäßige Erhebung, Verarbeitung und/oder Nutzung der Daten entweder

  • die Zustimmung des Betroffenen oder
  • eine Rechtsgrundlage

erforderlich.

Nach Ansicht des Hamburger Datenschutzbeauftragten habe Facebook keine ordnungsgemäße Zustimmung der betroffenen WhatsApp-Nutzer nach § 4 Abs. 1 BDSG eingeholt. WhatsApp hatte lediglich seine Nutzer um eine Zustimmung der Weitergabe an Facebook gebeten. Nach dem „Doppeltürmodell“ genügt dies jedoch nicht. Nach diesem muss eine Einwilligung nicht nur von der übermittelnden Stelle (WhatsApp) eingeholt werden, sondern auch von der empfangenden Stelle (Facebook). Weiterhin wurde bemängelt, dass der Nutzer keine freie Einwilligung (§ 4a BDSG) über die Weiterleitung seiner Daten abgeben konnte, da dieser der Datenweitergabe nur entgehen kann, wenn das WhatsApp-Konto gelöscht wird. Zudem wurde der Nutzer nicht hinreichend über die von WhatsApp angebotene „Opt-Out“-Möglichkeit informiert, die dem Nutzer einen Datenübertragungsstopp suggerierte, diesen jedoch nicht ausführte. Ebenso war keine Rechtsgrundlage ersichtlich, die die Erhebung der Daten ohne Zustimmung der Betroffenen rechtfertigte.

Er forderte deshalb von Facebook die Löschung der unrechtmäßig erhobenen Daten sowie die Dokumentation des Löschvorgangs.

Gegen diese Verfügung des Hamburger Datenschutzbeauftragten legte Facebook Widerspruch ein und ersuchte um einstweiligen Rechtsschutz.

Vorläufige Pflicht Facebooks zur Beachtung des deutschen Datenschutzrechts

Das Verwaltungsgericht Hamburg hat nun in einem Eilverfahren mit dem Beschluss vom 25.04.2017 entschieden (Az. 13 E 5912/16), dass der Antrag des Hamburger Datenschutzbeauftragten auf Löschung und Dokumentation des Löschverfahrens der von Facebook gesammelten WhatsApp-Nutzerdaten aufgrund eines formellen Fehlers nicht sofort vollziehbar sei.  Folglich müsse Facebook derzeit keine Löschung der Daten vollziehen, darf diese jedoch ohne ordnungsgemäße Einwilligung der WhatsApp-Nutzer nicht nutzen.

Datenweitergabe von WhatsApp – Ausblick

Derzeit sei nach Erklärung der Richter noch offen, ob Facebook mit dem Widerspruch gegen die Anordnung des Hamburger Datenschutzbeauftragten Erfolg haben wird. Es sei noch nicht hinreichend geklärt, ob die Anwendung des deutschen Datenschutzrechts in diesem Fall einschlägig ist und gegen die in Irland firmierte Facebook Ltd. Anwendung findet. Kommt das deutsche Datenschutzrecht jedoch zur Anwendung, wäre die Anordnung des Hamburger Datenschutzbeauftragten voraussichtlich rechtmäßig.

In unserem vorherigen Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz“?“ können Sie weitere Informationen über das Thema einholen. Weiterhin könnte unser Beitrag „Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten“ ebenso interessant für Sie sein.

Sofern Sie zu diesem oder anderen datenschutzrechtlichen Themen Fragen haben, steht Ihnen Brands Consulting gerne zur Seite. Wir unterstützen Sie rund um den Datenschutz und können Ihnen dabei helfen, sich in diesem Gebiet besser zu positionieren.

Nehmen Sie gerne Kontakt zu uns auf und holen Sie ein kostenloses Datenschutzangebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Datenschutz im Internet – Surfen mit Mozillas Browser Firefox Klar

Firefox Klar DatenschutzSeit kurzer Zeit gibt es auch in Deutschland Mozillas mobilen Browser „Firefox Klar“ für das Betriebssystem iOS. Viele Nutzer stellen sich die Frage, ob Firefox Klar oder die Browsererweiterung des Content-Blockers „Klar by Firefox“ Datenschutz-Risiken minimiert. Die Entwickler aus dem Hause Mozilla versprechen den Nutzern mit Firefox Klar jedenfalls eine höhere Privatsphäre und damit einen verbesserten Datenschutz.

Ihr externer Datenschutzbeauftragter informiert über den neuen Browser und erklärt, ob Firefox Klar für mehr Datenschutz im Internet sorgt und Datenschutz-Probleme sowie Datenschutz–Risiken lösen kann.

Datenschutz mit Firefox Klar – Wie Firefox Klar Datenschutz und eine höhere Privatsphäre schafft

Datenschutz im InternetUmgesetzt wird die Sicherung der Privatsphäre des Nutzers unter anderem durch den im Browser integrierten „Tracking-Blocker“, welcher verhindert, dass der Nutzer von Werbe- und Analysenetzwerken verfolgt wird.

Werbe- und Analysenetzwerke sorgen dafür, dass Sie über mehrere Netzwerke hinweg identifiziert werden können. Wird Ihnen auf einer Internetseite Werbung für ein Produkt angezeigt, welches Sie zuvor auf einer anderen Internetseite begutachtet haben, steckt dahinter ein Werbe- und Analysenetzwerk. Durch den Einsatz dieser Form des Marketings kann Werbung äußerst zielgerichtet erfolgen. Durch den „Tracking Blocker“ des Browsers Firefox Klar werden diese Netzwerke blockiert. Positiver Nebeneffekt dieser Funktion ist, dass Werbung weitestgehend ausgeblendet wird. Das Blockieren kann allerdings auch dazu führen, dass einzelne Funktionen von Webseiten nicht mehr genutzt werden können. Klar by FirefoxDies führt zwar zu mehr Datenschutz im Internet für den Nutzer, allerdings könnte die eingeschränkte Nutzerfreundlichkeit („Usability“) auch dazu führen, dass die Nutzerzahlen nach einem kurzfristigen Ansturm wieder rückläufig sein werden.

  1. Der Entwickler Mozilla empfiehlt für diesen Fall, die Internetseite in Firefox oder Safari zu öffnen und bietet dafür in Firefox Klar einen Button an, welcher die Seite auf den genannten Browsern öffnet.
  2. Ebenso existiert ein Löschbutton, der den gesamten Browserverlauf entfernt und somit verhindert, dass Dritte nachvollziehen können, auf welchen Webseiten Sie waren. Eine Löschfunktion für den Verlauf existiert zwar bereits in anderen bzw. nahezu allen gängigen Browsern, Firefox Klar bietet für den Nutzer lediglich einen vereinfachten Weg der Funktionsnutzung.

Surfen mit Mozillas Browser Firefox KlarWeiterhin kann der Nutzer innerhalb der Einstellungen des Browsers selbst und recht einfach bestimmen, welche Inhalte durch Firefox Klar geblockt werden sollen. So lassen sich mitunter Social-Tracker blocken, so dass beispielsweise der Tweet-Button auf Twitter oder auch Like- und Teilen-Buttons auf Facebook verschwinden. Dies hat den Vorteil, dass Social-Media Plattformen wie Facebook, Twitter und Co., das Surfverhalten nicht mehr überwachen können.

Optional lässt sich bei Firefox Klar das Laden von Webfonts (individuelle Schriftarten auf Webseiten) unterbinden, was regelmäßig die Surfgeschwindigkeit und vermutlich auch den genutzten Traffic erhöht. Außerdem ist in Firefox Klar ein Content-Blocker enthalten, der in den iOS-Einstellungen aktivierbar ist. Mit diesem werden Werbe- und Analysenetzwerke auch für Safari blockiert. Möchten Sie weiterhin Safari nutzen, ist auch dies kein Problem. Durch Verschieben des Schiebereglers lässt sich Firefox Klar für Safari aktivieren und die beschriebenen Funktionen in Safari nutzen.

Fazit

Die Funktionen, die Firefox Klar mit sich bringt, dürften für die meisten Nutzer nicht neu sein, da die Einstellungen auch bei der Nutzung anderer Browser eingestellt werden können, allerdings werden diese Funktionen sehr nutzerfreundlich verpackt und lassen sich durch nur wenige Klicks aktivieren. Dazu kommt, dass viele Funktionen, wie die blockierte Werbeverfolgung oder die blockierte Verfolgung durch Social-Media-Buttons, bereits nach Installation des Browsers aktiviert sind. Der Entwickler Mozilla legt, wie schon erwähnt, seinen Schwerpunkt auf die Privatsphäre des Nutzers. Wer mehr Privatsphäre mit wenig Klicks sucht, sollte einen Blick auf Firefox Klar  werfen, allerdings können nicht nur mit Firefox Klar Datenschutz-Risiken minimiert werden.

Wünschen Sie sich mehr Privatsphäre,  Sicherheit und Datenschutz im Internet beim Surfen, möchten allerdings Ihren bisherigen Browser nutzen, dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ oder „JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.“. Gerne können Sie auch direkt Kontakt zu uns aufnehmen oder fordern Sie ein unverbindliches Angebot zum Datenschutz an.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz “?

WhatsApp DatenschutzDie Thematik „ WhatsApp Datenschutz “ reißt seit Einführung der neuen Nutzungsvereinbarung von WhatsApp nicht ab, dabei stehen sowohl Facebook als auch WhatsApp unter erheblicher Kritik. Die geänderte Nutzungsvereinbarung und die damit verbundene Datenweitergabe an Facebook besorgt nicht nur Experten, sondern auch viele WhatsApp-Nutzer. Nun verbuchen europäische Datenschützer und Datenschutzbeauftragte den ersten Erfolg. Facebook stoppt vorerst die Datenweitergabe.

Ihr externer Datenschutzbeauftragter informiert im Folgenden über den aktuellen Status und welche Auswirkungen der vorrübergehende Stopp auf das Thema „ WhatsApp Datenschutz “ hat.

Was Sie bezüglich „ WhatsApp Datenschutz “ wissen sollten

Wie wir bereits in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ berichteten, teilt WhatsApp seit September Account-Informationen mit Facebook. Dies führte in den vergangenen Wochen allerdings zu viel Kritik und schlug wohl größere Wellen als zunächst von Facebook erwartet oder erhofft. Europäische Datenschützer und Datenschutzbeauftragte wurden jetzt mit einem ersten Teilerfolg für ihre Hartnäckigkeit belohnt und auch WhatsApp-Nutzer können, zumindest vorrübergehend, aufatmen, denn die Datenweitergabe wurde vorerst gestoppt.

Wie die britische Datenschutzbeauftragte, Elizabeth Denham, am 07.11.2016 berichtet, hat die britische Datenschutzbehörde einen Durchbruch erreicht und die Datenweitergabe wurde vorerst für Großbritannien gestoppt, allerdings hat Facebook nun verkündet, dass dies auf ganz Europa ausgeweitet wird. Ziel sei es, dass Behördenvertreter ihre Bedenken benennen können und Facebook diese abwägen kann.

Zuvor musste Facebook viel Kritik einstecken. Die britische Datenschutzbeauftragte kritisierte unter anderem, dass WhatsApp-Nutzer nur unzureichend darüber informiert werden, was mit ihren Daten geschieht. Zudem sieht Sie die „eingeholte“ Einwilligung zur Datenweitergabe als ungültig an. Mit dieser Meinung steht Sie nicht alleine, denn auch in Deutschland sehen sowohl Datenschutzbeauftragte als auch Verbraucherschützer die Datenweitergabe als kritisch bzw. unzulässig. Neben der Verbraucherzentrale Bundesverband (vzbv) ging vor allem der Hamburger Datenschützer, Johannes Caspar, gegen Facebook vor. Zwar war Facebook der Meinung, dass die Zuständigkeit nicht beim Hamburger Datenschützer, sondern bei der irischen Datenschutzbehörde liegt, allerdings prüft auch diese derzeit die Zulässigkeit der Weitergabe.

Zudem stellt auch die Artikel-29-Datenschutzgruppe die Wirksamkeit der Einwilligung infrage. Bei der Artikel-29-Datenschutzgruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich aus

  • Vertretern der nationalen Datenschutzbehörden,
  • dem europäischen Datenschutzbeauftragten
  • und einem Vertreter der europäischen Kommission

zusammensetzt.

Fazit

Alles in allem scheint es so, als wäre der Druck auf Facebook zu groß geworden. Zwar wurde die Datenweitergabe nur vorläufig gestoppt, allerdings ist nicht auszuschließen, dass Facebook aufgrund der großen Kritik vielleicht doch und ggf. dauerhaft einknickt und die Datenweitergabe auch in anderen Ländern – zunächst vorläufig und im nächsten Schritt hoffentlich dauerhaft – stoppt und Anpassungen an der Nutzungsvereinbarung sowie am generellen Vorgehen für „informierte Einwilligungen“ vornimmt. Es bleibt daher abzuwarten, wie Facebook auf die Thematik rund um den „ WhatsApp Datenschutz “ weiterhin reagiert.

Wenn Sie wissen wollen, wieso WhatsApp Datenschutz-Risiken, insbesondere für „verantwortliche Stellen“, hervorruft, dann lesen Sie unseren Beitrag „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“ oder nehmen Sie direkt Kontakt mit uns auf. Möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

„Workplace by Facebook und Datenschutz“ – Netzwerk für Mitarbeiter oder doch nur ein Auffangnetz für Daten

Workplace by Facebook DatenschutzVor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.

Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Plattform und erklärt, ob „Workplace by Facebook“ ebenso, wie das klassische Facebook, zu Datenschutz-Problemen führen kann.

Welche Funktionen bietet „Workplace by Facebook“?

Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie

  • Chat,
  • Live-Video,
  • Gruppen,
  • Neuigkeiten,
  • Veranstaltungen
  • und die Möglichkeit Dateien zu teilen,

bleiben bestehen.

Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.

Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.

  • Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
  • Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
  • Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter

Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit  in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.

Verursacht Workplace by Facebook Datenschutz-Risiken?

„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.

  • Facebook ist dem Privacy Shield-Abkommen beigetreten
  • Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
  • Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
  • Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.

Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.

Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.

Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.

Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie

  • Gruppenstatistiken,
  • Statistiken über beanspruchte Konten,
  • Inhaltsstatistiken
  • und Nachrichtenstatistiken.

Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.

Fazit

„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.

Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung durch einen Datenschutzbeauftragten sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen. Wenn Sie mehr zu diesem Thema erfahren wollen, dann lesen Sie doch unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“.

Möchten Sie mehr zum Thema „ Workplace by Facebook Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht

WhatsApp DatenschutzDas Thema „ WhatsApp Datenschutz “ sehen Datenschützer und Datenschutzbeauftragte schon seit Jahren sehr kritisch, insbesondere die Übernahme durch Facebook vor etwa zwei Jahren besorgte viele Experten sowie Nutzer. „Es wird keinen Datenaustausch von Kundendaten zwischen WhatsApp und Facebook geben.“, so oder so ähnlich beruhigte WhatsApp-Gründer Jan Koum besorgte WhatsApp-Nutzer nach der Übernahme. Er berichte von seiner Kindheit, die er in der damaligen UdSSR verbrachte und erinnerte sich an die Worte seiner Mutter am Telefon: „Das erzähle ich dir nur von Angesicht zu Angesicht, nicht jetzt.“.

Diese Worte sind allerdings Vergangenheit, denn spätestens gestern ist gezwungenermaßen genau das eingetroffen, wovor so viele Nutzer Angst hatten. WhatsApp teilt Account-Informationen mit Facebook und den anderen Unternehmen in der Facebook-Unternehmensgruppe, wie Instagram. In der Datenschutz-Richtlinie steht: „Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen.“ Ein Austausch von Kundendaten zwischen WhatsApp und Facebook und die Berührung datenschutzrechtlicher Bestimmungen scheint klar.

Ihr externer Datenschutzbeauftragter informiert, wieso Privatpersonen und „verantwortliche Stellen“ (Unternehmen, Behörden, Vereine usw.) das Thema „ WhatsApp Datenschutz “ nicht außer Acht lassen sollten.

WhatsApp Datenschutz – Facebook-Unternehmensgruppe als „Datenkrake“

Machte WhatsApp mittels Ende-zu-Ende-Verschlüsselung vor einigen Monaten noch einen großen Schritt nach vorne in Richtung Datenschutz und Datensicherheit, so ist die beliebte App mit der Datenweitergabe von Kundendaten sehr weit zurückgefallen. Die geänderte Nutzungsvereinbarung war für viele Nutzer ein Schock.

Welche Informationen werden mit Facebook geteilt?

WhatsApp soll Informationen, wie die Telefonnummer an Facebook weitergeben. Zudem soll WhatsApp mitteilen, wann der Nutzer auf WhatsApp aktiv war. Andere Account-Informationen, wie das Profilfoto oder die Statusmeldungen möchte man im Moment nicht teilen, wobei sich die Nutzer fragen sollten, wie schnell sich dies ändern könnte.

Können sich WhatsApp-Nutzer schützen?

Bestehenden Nutzern räumte man bis zum 25.09.2016 die Möglichkeit ein, sich vor der personalisierten Werbung und den Freundschaftsempfehlungen, mittels WhatsApp-Account-Informationen, zu schützen, wobei dies auf zwei Wegen funktionierte. Hatten bestehende Benutzer der neuen Nutzungsvereinbarung noch nicht zugestimmt, so konnten sie über „Lies“ das Häkchen in der Vereinbarung, das die Verwendung erlaubt, entfernen. Hatte man der Nutzungsvereinbarung bereits zugestimmt, so konnte man in WhatsApp unter Einstellungen -> Account -> Meine Account-Info teilen – je nach Gerätetyp –  das Häkchen entfernen oder den Schieberegler umschalten. Neuen WhatsApp-Nutzern wurde diese Möglichkeit allerdings nicht gewährt.

Achtung! WhatsApp-Nutzer sollten allerdings beachten, dass sie zwar der Werbung widersprochen haben, allerdings die Daten trotzdem an Facebook weitergegeben werden. WhatsApp schreibt auf der Homepage: „Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen.“

Die neue Nutzungsvereinbarung und die Tatsache, dass sich Nutzer letztendlich nicht gegen die Weitergabe schützen können, alarmiert nicht nur die Benutzer selbst, sondern zahlreiche Datenschutzbeauftragte, Datenschützer und die EU-Kommission. Auch ging bereits eine Klage bei der Federal Trade Commission (Verbraucherschutzbehörde) von US-Datenschützern ein.

„ WhatsApp Datenschutz “ – Was sollten „verantwortliche Stelle“ beachten?

WhatsApp FacebookImmer häufiger findet WhatsApp Verwendung innerhalb der sogenannten „verantwortlichen Stellen“, als Kommunikationskanal oder als Marketing-Instrument. Allerdings sind die Risiken für die Unternehmen, Behörden, Vereine, Stiftungen bzw. sonstige verantwortliche Stellen um ein Vielfaches höher als die bei reinen Privatpersonen der Fall sind. Auf der Hand liegt, dass Organisationen über deutlich mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen dürften.

Das erhöhte Risiko für „verantwortliche Stellen“ existierte allerdings bereits vor der Weitergabe der Daten an Facebook, da bereits die Übermittlung an WhatsApp problematisch ist.

Im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der App, greift diese auf die gespeicherten Telefonnummern in Smartphones bzw. die Inhalte der Kontakte bzw. Visitenkarten zu. Diese (personenbezogenen) Daten werden dann nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben. Nicht legitimiert, weil eine Datenübermittlung durch das Bundesdatenschutzgesetz (BDSG) nur auf Basis einer Rechtsgrundlage oder auf informierten Einwilligungen der Betroffenen erfolgen darf. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR)) ohne angemessenes Datenschutzniveau.

Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln, hergestellt wird oder informierte und freiwillige Einwilligungen eines jeden Kontakts im Telefonbuch eingeholt werden. Die Tatsache, dass WhatsApp nun erste Informationen mit Facebook austauscht, könnte zudem zu weiteren Risiken führen, da –wie bereits angedeutet  – regelmäßig deutlich mehr Informationen  innerhalb eines Kontakts hinterlegt sind. Vor zwei Jahren war von einer Datenweitergabe keine Rede, daher muss sich gefragt werden, in welche Richtung sich der Konzern weiter bewegen wird.

Insbesondere für „verantwortliche Stellen“, die eine Privatnutzung von dienstlichen Smartphones oder den dienstlichen Einsatz von privaten Endgeräten erlauben, besteht ein erhöhtes Risiko. Mitarbeiter könnten Apps, unter anderem WhatsApp oder Facebook, installiert haben und personenbezogene Daten nicht legitimiert an Unternehmen in Drittländern übermitteln. Aus diesem Grund sollten klare Regelungen innerhalb einer Organisation respektive verantwortlichen Stelle getroffen werden.

Fazit

Grundsätzlich ist sowohl Privatpersonen als auch „verantwortlichen Stellen“ anzuraten, auf den Einsatz von WhatsApp zu verzichten und auf Messenger zurückzugreifen, deren Anbieter ihren Sitz innerhalb der EU/der EWR haben.

Der Grund ist zum einen, dass das Datenschutzrecht innerhalb der EU/des EWR, mittels EU-Richtlinie, harmonisiert ist. Ein weiterer Grund für „verantwortliche Stellen“ ist, dass per BDSG eine Ausnahmeregelung für Auftragsdatenverarbeitungen, gemäß § 11 BDSG, existiert, die als „Nicht-Übermittlung“ eingestuft wird und das Einholen von informierten Einwilligungen nicht erfordert. Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten extern / intern – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten, wie WhatsApp, ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Haben Sie weitere Fragen zu dem Thema “ WhatsApp Datenschutz ” oder allgemein zu „Datenschutz bei Apps“? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

LG Düsseldorf: Facebook Like-Button und Social-Plugins sind rechtswidrig

Like Buttons Datenschutz konform einsetzen

In seinem aktuellen Urteil vom 09.03.2016 (AZ: 12 O 151/14) hat das Landgericht Düsseldorf (LG Düsseldorf) entschieden, dass allein die Integration des Facebook Like-Button und anderer Social-Plugins auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist. Selbstverständlich nimmt dies Einfluss auf die Datenschutzabteilungen in Unternehmen und Behörden, insbesondere auf die Tätigkeit des Beauftragten für den Datenschutz (kurz Datenschutzbeauftragter).

 

Folgen des Urteils

Bei direkter Integration des Like-Button von Facebook setzt dieser auf dem Rechner des Nutzers sogenannte Cookies. Durch diese sendet der Browser sofort bei Aufruf der jeweiligen Webseite dessen Daten, u.a. die IP-Adresse, an den europäischen Facebook-Serverstandort in Dublin (Irland) und i. d. R. von dort aus weiter in die USA. Hierbei spielt es keine Rolle, ob der Nutzer bei Facebook registriert ist oder nicht. Sollte der Nutzer Mitglied bei Facebook sein und ist während des Besuchs der Seite bei diesem Dienst eingeloggt, werden dessen Informationen und Aktivitäten auf der besuchten Seite mit dem Profil bei Facebook verknüpft und gespeichert. Ähnlich verhält es sich mit anderen sozialen Netzwerken wie Google+, Twitter oder Xing.

Hierfür bedarf es jedoch -nach Ansicht des Gerichts-, neben einer ausführlichen Information des Nutzers, auch dessen ausdrücklicher Einwilligung. Das Urteil (mit Sachstand: 09.03.2016) ist noch nicht rechtskräftig. Zudem stehen noch weitere Entscheidungen in diesem Zusammenhang aus, wie etwa die Entscheidung, ob es sich bei IP-Adressen überhaupt um personenbezogene Daten handelt. Der Bundesgerichtshof hat diese Frage bereits dem Europäischen Gerichtshof vorgelegt. Rein vorsorglich sollte bei internen Prozessen und Verfahren (in Unternehmen und behördlichen Organisationseinheiten) davon ausgegangen werden, dass IP-Adressen als personenbezogene Daten zu sehen sind. Das aktuelle Urteil des Landgerichts Düsseldorf erhöht jedoch zweifellos das Risiko einer Abmahnung durch den Einsatz des Facebook Like-Button.

 

Möglichkeiten für Webseitenbetreiber

Um das Abmahnungsrisiko zu minimieren, könnte auf eine Erweiterung der sog. 2-Klick-Lösung umgestellt werden. Die Anwendung des sog. „Shariff“ gilt derzeit als rechtssicherste und trotzdem nutzerfreundliche Methode zur Einbindung des Facebook Like-Buttons und anderen Social-Plugins. Dabei handelt es sich um eine von dem Computermagazin c’t entwickelte technische Lösung, die es ermöglicht, dass Social-Plugins erst aktiviert werden, wenn der Nutzer auf diese klickt. Auf diese Weise werden, ohne aktives Handeln des Nutzers, keine Daten an Anbieter von Social-Plugins übertragen. Darüber hinaus muss natürlich auch die Datenschutzerklärung der Websites entsprechend angeglichen bzw. ggf. erweitert werden. Ob diese Lösung gänzlich rechtskonform ist, hat das Gericht zwar ausdrücklich offen gelassen, sie bietet aber in jedem Fall die derzeit beste und sicherste Alternative, sofern nicht generell auf eine Einbindung von Social-Plugins verzichtet werden soll oder aus betriebswirtschaftlichen Gründen der Einsatz nahezu gefordert wird.

Fast schon unterstützt, könnte man meinen, wird die Anwendung „Shariff“ sogar von Seiten der Aufsichtsbehörde Schleswig-Holstein, die sie als „datenschutzfreundliche Technologie, (..) die für jeden Webseitenbetreiber obligatorisch sein sollte“ beschreibt. Andere Lösungen, wie etwa ein „Pop-Up-Fenster“ mit entsprechender Information und Einwilligungsmöglichkeit, dürfte dagegen nicht ausreichen, da auch hier die Informationen bereits durch das bloße Laden der Seite an die Anbieter übertragen werdenBetroffene (Nutzer) sind allerdings bereits vor der Erhebung, Verarbeitung oder Nutzung Ihrer Daten zumindest zu unterrichten. Denn schon bei der Erhebung personenbezogener Daten muss der Betroffene über wichtige Aspekte der Verarbeitung personenbezogener Daten informiert werden.

Fazit

Eine Einschränkung der intransparenten Datenerhebung durch soziale Netzwerke wie Facebook, Google+, Twitter, Xing und Co ist grundsätzlich begrüßenswert. Dass dies vielfach auf dem Rücken der Webseitenbetreiber ausgetragen wird, ist für dagegen bedauerlich. Sind Sie oder Ihr Arbeitgeber Webseitenbetreiber?  Haben Sie Fragen zur Integration von Social-Plugins auf Ihrer Webseite?

Falls Sie einen Datenschutzbeauftragten haben, lassen Sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um die Einbindung von Social-Plugins auf Ihrer Webseite.