> datenschutz Facebook

Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz “?

WhatsApp DatenschutzDie Thematik „ WhatsApp Datenschutz “ reißt seit Einführung der neuen Nutzungsvereinbarung von WhatsApp nicht ab, dabei stehen sowohl Facebook als auch WhatsApp unter erheblicher Kritik. Die geänderte Nutzungsvereinbarung und die damit verbundene Datenweitergabe an Facebook besorgt nicht nur Experten, sondern auch viele WhatsApp-Nutzer. Nun verbuchen europäische Datenschützer und Datenschutzbeauftragte den ersten Erfolg. Facebook stoppt vorerst die Datenweitergabe.

Ihr externer Datenschutzbeauftragter informiert im Folgenden über den aktuellen Status und welche Auswirkungen der vorrübergehende Stopp auf das Thema „ WhatsApp Datenschutz “ hat.

Was Sie bezüglich „ WhatsApp Datenschutz “ wissen sollten

Wie wir bereits in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ berichteten, teilt WhatsApp seit September Account-Informationen mit Facebook. Dies führte in den vergangenen Wochen allerdings zu viel Kritik und schlug wohl größere Wellen als zunächst von Facebook erwartet oder erhofft. Europäische Datenschützer und Datenschutzbeauftragte wurden jetzt mit einem ersten Teilerfolg für ihre Hartnäckigkeit belohnt und auch WhatsApp-Nutzer können, zumindest vorrübergehend, aufatmen, denn die Datenweitergabe wurde vorerst gestoppt.

Wie die britische Datenschutzbeauftragte, Elizabeth Denham, am 07.11.2016 berichtet, hat die britische Datenschutzbehörde einen Durchbruch erreicht und die Datenweitergabe wurde vorerst für Großbritannien gestoppt, allerdings hat Facebook nun verkündet, dass dies auf ganz Europa ausgeweitet wird. Ziel sei es, dass Behördenvertreter ihre Bedenken benennen können und Facebook diese abwägen kann.

Zuvor musste Facebook viel Kritik einstecken. Die britische Datenschutzbeauftragte kritisierte unter anderem, dass WhatsApp-Nutzer nur unzureichend darüber informiert werden, was mit ihren Daten geschieht. Zudem sieht Sie die „eingeholte“ Einwilligung zur Datenweitergabe als ungültig an. Mit dieser Meinung steht Sie nicht alleine, denn auch in Deutschland sehen sowohl Datenschutzbeauftragte als auch Verbraucherschützer die Datenweitergabe als kritisch bzw. unzulässig. Neben der Verbraucherzentrale Bundesverband (vzbv) ging vor allem der Hamburger Datenschützer, Johannes Caspar, gegen Facebook vor. Zwar war Facebook der Meinung, dass die Zuständigkeit nicht beim Hamburger Datenschützer, sondern bei der irischen Datenschutzbehörde liegt, allerdings prüft auch diese derzeit die Zulässigkeit der Weitergabe.

Zudem stellt auch die Artikel-29-Datenschutzgruppe die Wirksamkeit der Einwilligung infrage. Bei der Artikel-29-Datenschutzgruppe handelt es sich um ein Beratungsgremium der EU-Kommission, das sich aus

  • Vertretern der nationalen Datenschutzbehörden,
  • dem europäischen Datenschutzbeauftragten
  • und einem Vertreter der europäischen Kommission

zusammensetzt.

Fazit

Alles in allem scheint es so, als wäre der Druck auf Facebook zu groß geworden. Zwar wurde die Datenweitergabe nur vorläufig gestoppt, allerdings ist nicht auszuschließen, dass Facebook aufgrund der großen Kritik vielleicht doch und ggf. dauerhaft einknickt und die Datenweitergabe auch in anderen Ländern – zunächst vorläufig und im nächsten Schritt hoffentlich dauerhaft – stoppt und Anpassungen an der Nutzungsvereinbarung sowie am generellen Vorgehen für „informierte Einwilligungen“ vornimmt. Es bleibt daher abzuwarten, wie Facebook auf die Thematik rund um den „ WhatsApp Datenschutz “ weiterhin reagiert.

Wenn Sie wissen wollen, wieso WhatsApp Datenschutz-Risiken, insbesondere für „verantwortliche Stellen“, hervorruft, dann lesen Sie unseren Beitrag „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“ oder nehmen Sie direkt Kontakt mit uns auf. Möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

„Workplace by Facebook und Datenschutz“ – Netzwerk für Mitarbeiter oder doch nur ein Auffangnetz für Daten

Workplace by Facebook DatenschutzVor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.

Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Plattform und erklärt, ob „Workplace by Facebook“ ebenso, wie das klassische Facebook, zu Datenschutz-Problemen führen kann.

Welche Funktionen bietet „Workplace by Facebook“?

Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie

  • Chat,
  • Live-Video,
  • Gruppen,
  • Neuigkeiten,
  • Veranstaltungen
  • und die Möglichkeit Dateien zu teilen,

bleiben bestehen.

Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.

Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.

  • Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
  • Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
  • Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter

Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit  in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.

Verursacht Workplace by Facebook Datenschutz-Risiken?

„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.

  • Facebook ist dem Privacy Shield-Abkommen beigetreten
  • Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
  • Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
  • Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.

Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.

Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.

Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.

Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie

  • Gruppenstatistiken,
  • Statistiken über beanspruchte Konten,
  • Inhaltsstatistiken
  • und Nachrichtenstatistiken.

Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.

Fazit

„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.

Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung durch einen Datenschutzbeauftragten sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen. Wenn Sie mehr zu diesem Thema erfahren wollen, dann lesen Sie doch unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“.

Möchten Sie mehr zum Thema „ Workplace by Facebook Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht

WhatsApp DatenschutzDas Thema „ WhatsApp Datenschutz “ sehen Datenschützer und Datenschutzbeauftragte schon seit Jahren sehr kritisch, insbesondere die Übernahme durch Facebook vor etwa zwei Jahren besorgte viele Experten sowie Nutzer. „Es wird keinen Datenaustausch von Kundendaten zwischen WhatsApp und Facebook geben.“, so oder so ähnlich beruhigte WhatsApp-Gründer Jan Koum besorgte WhatsApp-Nutzer nach der Übernahme. Er berichte von seiner Kindheit, die er in der damaligen UdSSR verbrachte und erinnerte sich an die Worte seiner Mutter am Telefon: „Das erzähle ich dir nur von Angesicht zu Angesicht, nicht jetzt.“.

Diese Worte sind allerdings Vergangenheit, denn spätestens gestern ist gezwungenermaßen genau das eingetroffen, wovor so viele Nutzer Angst hatten. WhatsApp teilt Account-Informationen mit Facebook und den anderen Unternehmen in der Facebook-Unternehmensgruppe, wie Instagram. In der Datenschutz-Richtlinie steht: „Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen.“ Ein Austausch von Kundendaten zwischen WhatsApp und Facebook und die Berührung datenschutzrechtlicher Bestimmungen scheint klar.

Ihr externer Datenschutzbeauftragter informiert, wieso Privatpersonen und „verantwortliche Stellen“ (Unternehmen, Behörden, Vereine usw.) das Thema „ WhatsApp Datenschutz “ nicht außer Acht lassen sollten.

WhatsApp Datenschutz – Facebook-Unternehmensgruppe als „Datenkrake“

Machte WhatsApp mittels Ende-zu-Ende-Verschlüsselung vor einigen Monaten noch einen großen Schritt nach vorne in Richtung Datenschutz und Datensicherheit, so ist die beliebte App mit der Datenweitergabe von Kundendaten sehr weit zurückgefallen. Die geänderte Nutzungsvereinbarung war für viele Nutzer ein Schock.

Welche Informationen werden mit Facebook geteilt?

WhatsApp soll Informationen, wie die Telefonnummer an Facebook weitergeben. Zudem soll WhatsApp mitteilen, wann der Nutzer auf WhatsApp aktiv war. Andere Account-Informationen, wie das Profilfoto oder die Statusmeldungen möchte man im Moment nicht teilen, wobei sich die Nutzer fragen sollten, wie schnell sich dies ändern könnte.

Können sich WhatsApp-Nutzer schützen?

Bestehenden Nutzern räumte man bis zum 25.09.2016 die Möglichkeit ein, sich vor der personalisierten Werbung und den Freundschaftsempfehlungen, mittels WhatsApp-Account-Informationen, zu schützen, wobei dies auf zwei Wegen funktionierte. Hatten bestehende Benutzer der neuen Nutzungsvereinbarung noch nicht zugestimmt, so konnten sie über „Lies“ das Häkchen in der Vereinbarung, das die Verwendung erlaubt, entfernen. Hatte man der Nutzungsvereinbarung bereits zugestimmt, so konnte man in WhatsApp unter Einstellungen -> Account -> Meine Account-Info teilen – je nach Gerätetyp –  das Häkchen entfernen oder den Schieberegler umschalten. Neuen WhatsApp-Nutzern wurde diese Möglichkeit allerdings nicht gewährt.

Achtung! WhatsApp-Nutzer sollten allerdings beachten, dass sie zwar der Werbung widersprochen haben, allerdings die Daten trotzdem an Facebook weitergegeben werden. WhatsApp schreibt auf der Homepage: „Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen.“

Die neue Nutzungsvereinbarung und die Tatsache, dass sich Nutzer letztendlich nicht gegen die Weitergabe schützen können, alarmiert nicht nur die Benutzer selbst, sondern zahlreiche Datenschutzbeauftragte, Datenschützer und die EU-Kommission. Auch ging bereits eine Klage bei der Federal Trade Commission (Verbraucherschutzbehörde) von US-Datenschützern ein.

„ WhatsApp Datenschutz “ – Was sollten „verantwortliche Stelle“ beachten?

WhatsApp FacebookImmer häufiger findet WhatsApp Verwendung innerhalb der sogenannten „verantwortlichen Stellen“, als Kommunikationskanal oder als Marketing-Instrument. Allerdings sind die Risiken für die Unternehmen, Behörden, Vereine, Stiftungen bzw. sonstige verantwortliche Stellen um ein Vielfaches höher als die bei reinen Privatpersonen der Fall sind. Auf der Hand liegt, dass Organisationen über deutlich mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen dürften.

Das erhöhte Risiko für „verantwortliche Stellen“ existierte allerdings bereits vor der Weitergabe der Daten an Facebook, da bereits die Übermittlung an WhatsApp problematisch ist.

Im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der App, greift diese auf die gespeicherten Telefonnummern in Smartphones bzw. die Inhalte der Kontakte bzw. Visitenkarten zu. Diese (personenbezogenen) Daten werden dann nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben. Nicht legitimiert, weil eine Datenübermittlung durch das Bundesdatenschutzgesetz (BDSG) nur auf Basis einer Rechtsgrundlage oder auf informierten Einwilligungen der Betroffenen erfolgen darf. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR)) ohne angemessenes Datenschutzniveau.

Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln, hergestellt wird oder informierte und freiwillige Einwilligungen eines jeden Kontakts im Telefonbuch eingeholt werden. Die Tatsache, dass WhatsApp nun erste Informationen mit Facebook austauscht, könnte zudem zu weiteren Risiken führen, da –wie bereits angedeutet  – regelmäßig deutlich mehr Informationen  innerhalb eines Kontakts hinterlegt sind. Vor zwei Jahren war von einer Datenweitergabe keine Rede, daher muss sich gefragt werden, in welche Richtung sich der Konzern weiter bewegen wird.

Insbesondere für „verantwortliche Stellen“, die eine Privatnutzung von dienstlichen Smartphones oder den dienstlichen Einsatz von privaten Endgeräten erlauben, besteht ein erhöhtes Risiko. Mitarbeiter könnten Apps, unter anderem WhatsApp oder Facebook, installiert haben und personenbezogene Daten nicht legitimiert an Unternehmen in Drittländern übermitteln. Aus diesem Grund sollten klare Regelungen innerhalb einer Organisation respektive verantwortlichen Stelle getroffen werden.

Fazit

Grundsätzlich ist sowohl Privatpersonen als auch „verantwortlichen Stellen“ anzuraten, auf den Einsatz von WhatsApp zu verzichten und auf Messenger zurückzugreifen, deren Anbieter ihren Sitz innerhalb der EU/der EWR haben.

Der Grund ist zum einen, dass das Datenschutzrecht innerhalb der EU/des EWR, mittels EU-Richtlinie, harmonisiert ist. Ein weiterer Grund für „verantwortliche Stellen“ ist, dass per BDSG eine Ausnahmeregelung für Auftragsdatenverarbeitungen, gemäß § 11 BDSG, existiert, die als „Nicht-Übermittlung“ eingestuft wird und das Einholen von informierten Einwilligungen nicht erfordert. Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten extern / intern – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten, wie WhatsApp, ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Haben Sie weitere Fragen zu dem Thema “ WhatsApp Datenschutz ” oder allgemein zu „Datenschutz bei Apps“? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

LG Düsseldorf: Facebook Like-Button und Social-Plugins sind rechtswidrig

Like Buttons Datenschutz konform einsetzen

In seinem aktuellen Urteil vom 09.03.2016 (AZ: 12 O 151/14) hat das Landgericht Düsseldorf (LG Düsseldorf) entschieden, dass allein die Integration des Facebook Like-Button und anderer Social-Plugins auf Websites ohne die Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons rechtswidrig ist. Selbstverständlich nimmt dies Einfluss auf die Datenschutzabteilungen in Unternehmen und Behörden, insbesondere auf die Tätigkeit des Beauftragten für den Datenschutz (kurz Datenschutzbeauftragter).

 

Folgen des Urteils

Bei direkter Integration des Like-Button von Facebook setzt dieser auf dem Rechner des Nutzers sogenannte Cookies. Durch diese sendet der Browser sofort bei Aufruf der jeweiligen Webseite dessen Daten, u.a. die IP-Adresse, an den europäischen Facebook-Serverstandort in Dublin (Irland) und i. d. R. von dort aus weiter in die USA. Hierbei spielt es keine Rolle, ob der Nutzer bei Facebook registriert ist oder nicht. Sollte der Nutzer Mitglied bei Facebook sein und ist während des Besuchs der Seite bei diesem Dienst eingeloggt, werden dessen Informationen und Aktivitäten auf der besuchten Seite mit dem Profil bei Facebook verknüpft und gespeichert. Ähnlich verhält es sich mit anderen sozialen Netzwerken wie Google+, Twitter oder Xing.

Hierfür bedarf es jedoch -nach Ansicht des Gerichts-, neben einer ausführlichen Information des Nutzers, auch dessen ausdrücklicher Einwilligung. Das Urteil (mit Sachstand: 09.03.2016) ist noch nicht rechtskräftig. Zudem stehen noch weitere Entscheidungen in diesem Zusammenhang aus, wie etwa die Entscheidung, ob es sich bei IP-Adressen überhaupt um personenbezogene Daten handelt. Der Bundesgerichtshof hat diese Frage bereits dem Europäischen Gerichtshof vorgelegt. Rein vorsorglich sollte bei internen Prozessen und Verfahren (in Unternehmen und behördlichen Organisationseinheiten) davon ausgegangen werden, dass IP-Adressen als personenbezogene Daten zu sehen sind. Das aktuelle Urteil des Landgerichts Düsseldorf erhöht jedoch zweifellos das Risiko einer Abmahnung durch den Einsatz des Facebook Like-Button.

 

Möglichkeiten für Webseitenbetreiber

Um das Abmahnungsrisiko zu minimieren, könnte auf eine Erweiterung der sog. 2-Klick-Lösung umgestellt werden. Die Anwendung des sog. „Shariff“ gilt derzeit als rechtssicherste und trotzdem nutzerfreundliche Methode zur Einbindung des Facebook Like-Buttons und anderen Social-Plugins. Dabei handelt es sich um eine von dem Computermagazin c’t entwickelte technische Lösung, die es ermöglicht, dass Social-Plugins erst aktiviert werden, wenn der Nutzer auf diese klickt. Auf diese Weise werden, ohne aktives Handeln des Nutzers, keine Daten an Anbieter von Social-Plugins übertragen. Darüber hinaus muss natürlich auch die Datenschutzerklärung der Websites entsprechend angeglichen bzw. ggf. erweitert werden. Ob diese Lösung gänzlich rechtskonform ist, hat das Gericht zwar ausdrücklich offen gelassen, sie bietet aber in jedem Fall die derzeit beste und sicherste Alternative, sofern nicht generell auf eine Einbindung von Social-Plugins verzichtet werden soll oder aus betriebswirtschaftlichen Gründen der Einsatz nahezu gefordert wird.

Fast schon unterstützt, könnte man meinen, wird die Anwendung „Shariff“ sogar von Seiten der Aufsichtsbehörde Schleswig-Holstein, die sie als „datenschutzfreundliche Technologie, (..) die für jeden Webseitenbetreiber obligatorisch sein sollte“ beschreibt. Andere Lösungen, wie etwa ein „Pop-Up-Fenster“ mit entsprechender Information und Einwilligungsmöglichkeit, dürfte dagegen nicht ausreichen, da auch hier die Informationen bereits durch das bloße Laden der Seite an die Anbieter übertragen werdenBetroffene (Nutzer) sind allerdings bereits vor der Erhebung, Verarbeitung oder Nutzung Ihrer Daten zumindest zu unterrichten. Denn schon bei der Erhebung personenbezogener Daten muss der Betroffene über wichtige Aspekte der Verarbeitung personenbezogener Daten informiert werden.

Fazit

Eine Einschränkung der intransparenten Datenerhebung durch soziale Netzwerke wie Facebook, Google+, Twitter, Xing und Co ist grundsätzlich begrüßenswert. Dass dies vielfach auf dem Rücken der Webseitenbetreiber ausgetragen wird, ist für dagegen bedauerlich. Sind Sie oder Ihr Arbeitgeber Webseitenbetreiber?  Haben Sie Fragen zur Integration von Social-Plugins auf Ihrer Webseite?

Falls Sie einen Datenschutzbeauftragten haben, lassen Sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um die Einbindung von Social-Plugins auf Ihrer Webseite.