Unser Blog
Facebook Pixel: Ist das Tracking per Pixel erlaubt?
16. Dezember 2019Der Bayerische Blutspendedienst kämpft mit der Anschuldigung einer massiven Datenpanne, nachdem er sensible Daten von Blutspendern an Facebook übermittelt hat, darunter auch Angaben zu Schwangerschaften, Drogenkonsum, HIV-Infektionen oder Diabetes. Interessenten konnten sich durch Beantwortung von Fragen in Form eines Spende-Checks auf der Webseite des Bayerischen Roten Kreuzes (BRK) vorab informieren, ob Sie überhaupt als Spender in Frage kommen. Dieser Test war Anlass eines Verfahrens des Landesamtes für Datenschutzaufsicht gegen das BRK gewesen. Denn zu Analysezwecken wurde das Trackingtool Facebook Pixel installiert, welches durch seine falsche Konfiguration sensible Daten an Facebook übermittelt hat. Konkret wurden die beantworteten Fragen mit Ja und Nein mit dem sozialen Netzwerk geteilt. Dadurch ist es Facebook möglich, Rückschlüsse auf Erkrankungen der Betroffenen zu ziehen. Ob der Einsatz des Facebook-Pixels rechtmäßig war ist zurzeit Gegenstand des Prüfverfahrens. Bei Einsatz eines Tracking-Tools übermittelt nicht der Webseitenbetreiber, die Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht. Auch Facebook verbietet explizit die Nutzung von Pixel in dieser Form. In seiner Stellungnahme heißt es: ‘‘Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden.‘‘ Dieser Fall zeigt deutlich, dass mit wenig Aufwand über den Browser nicht nur die Aufsichtsbehörden Websites prüfen, sondern jedermann testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde…
WeiterlesenWindows 10 datenschutzkonform einsetzen.
2. Dezember 2019Das Betriebssystem Windows 10 ist schon länger im Visier der deutschen und europäischen Datenschutzbehörden. Es geht hierbei um den nicht offensichtlichen Datenversand vom Betriebssystem an den Softwarehersteller. Auch wenn Microsoft bestrebt war in der Vergangenheit diese Problematik nachzubessern, hat der Konzern bis heute noch keine Lösung vorgelegt, die die Datenschutzbehörden zufrieden stellt. Dieses ist der Grund dafür, dass die deutschen Datenschutzbehörden ein Prüfungsschema erstellt haben, welches durch jeden Verantwortlichen im Unternehmen umgesetzt und abgearbeitet werden muss. Die Anwendungshinweise der DSK, welche das Prüfschema zu Windows 10 enthalten, sind in zwei Dokumente untergliedert. Das erste Dokument enthält das eigentliche Prüfschema und dient als Leitfaden für den Verantwortlichen, den Datenschutzbeauftragten und den IT-Verantwortlichen/ IT-Dienstleister zur datenschutzkonformen Verwendung von Windows 10. Diese Prüfschema muss für jede eingesetzte Windows 10 Version durchlaufen werden. Das bedeutet auch, dass jedes Funktionsupdate (1809, 1903, 1909 usw.), welches im Unternehmen eingespielt werden soll, eine erneute Prüfung anstößt. Das zweite Dokument enthält weitergehende Informationen zu Windows 10 und die Konfigurationsmöglichkeiten. Diese können die IT-Verantwortlichen / IT-Dienstleister nutzen, um die Konfiguration im Unternehmen datenschutzkonform umzusetzen. Die beiden Anwendungshinweise finden sie hier auf der Seite der Datenschutzkonferenz: Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anlage 1 zum Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf
WeiterlesenBenötige ich als Verantwortlicher ein Consent-Banner beim Tracking (Cookie-Banner)?
28. November 2019In der Regel benötigt jeder ein Consent-Banner, der Trackingtools (Third-Party-Cookies) auf seiner Webseite verwendet. Es gibt jedoch Trackingtools (First-Party-Cookies), bei denen Sie kein Consent-Banner benötigen. Wir möchten Ihnen daher eine kurze Hilfestellung mit auf dem Weg geben. Stellen Sie sich als Verantwortlicher einfach folgende Fragen: Verknüpfe ich als Verantwortlicher Nutzungsdaten der Webseite mit anderen Daten des einzelnen Nutzers? Verwendet der Anbieter die erhobenen Daten auch für seine eigenen Zwecke? Benötige ich die Daten des Nutzers nicht nur für die statistische Analyse der Webseite (Zweck der Verarbeitung)? Ist die Speicherung der Daten begrenzt und definiert? Gebe ich dem Betroffenen eine Möglichkeit des Widerspruches (Opt-Out-Verfahren)? Erfolgt eine Profilbildung, damit ich dem Nutzer seine Merkmale sowie seine Interessen zuordne? Wenn Sie als Verantwortlicher alle Fragen mit „Nein“ beantworten können, dann können Sie sich auf das berechtigte Interesse gem. Art. 6 Abs. 1 f) DSGVO berufen und müssen kein Consent-Banner für das Tracking zur Verfügung stellen. Sehr gerne beraten wir Sie zu diesem Thema – rufen Sie uns einfach an. Ihr Datenschutzteam der blu Systems
WeiterlesenMesse und Kongress für IT-Sicherheit
4. Oktober 2019Besuchen Sie uns beim Stand der Secure.Bayern auf der diesjährigen Messe und Konferenz für IT-Sicherheit it-sa in Nürnberg vom 8. bis 10. Oktober. https://www.it-sa.de/ Wir freuen uns auf den fachlichen Austausch mit Ihnen!
WeiterlesenEUGH hat entschieden: Cookies erfordern aktive Einwilligung
2. Oktober 2019In seinem Urteil (Rechtssache C-673/17 ,1. Oktober 2019, Urteil in der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH) entschied der EUGH, „dass die für die Speicherung aber auch den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ Besonders erwähnenswert ist, dass der EUGH hierbei explizit keine Unterscheidung zwischen personenbezogenen und sonstigen Daten macht. Begründet wird dies mit dem im Recht der EU verankerten Prinzip, den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen. Der EUGH setzt damit nochmal ein deutliches Zeichen. Bemerkenswert ist dies auch, weil Deutschland in der Umsetzung der EU-Privacy Richtlinie bisher einen Sonderweg beschritten hat. Aus Sicht der Regierung- und entgegen der Auffassung der Aufsichtsbehörden- entspricht das deutsche Telemediengesetz nämlich dieser Umsetzung. Im Rahmen des TMG wäre eine Opt-Out-Lösung für Cookies möglich. Das Urteil muss deshalb auch dahingehend gewertet werden, dass diese Ansicht (spätestens jetzt) nicht mehr haltbar ist. Da die Einführung der EU-Privacy Verordnung wohl noch länger dauern wird, muss sich der Gesetzgeber überlegen, ob eine EU-rechtskonforme Umsetzung der Richtlinie nicht doch noch notwendig ist. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen das Unternehmen Planet49 GmbH. Was bedeutet dies für Unternehmen und Websitebetreiber? Wir hatten schon mehrmals darauf hingewiesen, dass eine rechtskonforme Einwilligung ein aktives Handeln des Nutzers erforderlich macht. Auch die Cookie-Banner müssen den, nunmehr durch das Urteil des EUGH bestätigten Anforderungen angepasst werden. Denn…
WeiterlesenBundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen
19. September 2019In den letzten zwei Wochen waren mehrere Datenpannen bzw. vermeintliche Datenpannen im Gesundheitswesen publik geworden. Das BayLDA überprüft nach eigenen Angaben derzeit die (eventuell erfolgte) Weitergabe von Gesundheitsdaten eines Blutspendedienstes an Facebook. Nun berichten einige Medien, gemeinsame Recherchen des Bayrischen Rundfunks und von ProPublica hätten ergeben, dass sensible Gesundheitsdaten von Millionen Nutzern auf ungesicherten Servern gelegen hätten. Jens Spahn nimmt dies zum Anlass, für Patientendaten höchste Datenschutzstandards einzufordern. Er wird mit den Worten zitiert, dass „viele das Thema noch zu sehr auf die leichte Schulter nehmen würden“. Sicherlich lässt sich nicht pauschalisieren, dass Dienstleister oder Unternehmen aus dem Gesundheitswesen besonders nachlässig mit dem Thema Datenschutz umgehen würden. Der Bundesgesundheitsminister mag aber mit seiner Einschätzung dahingehend durchaus richtig liegen, dass das Bewusstsein für die besondere Sensibilität von Gesundheitsdaten noch nicht bei allen Marktteilnehmern ausreichend vorhanden ist. Der Verlust bzw. die unbefugte Einsichtnahme dieser Daten, etwa durch Versicherungen oder Arbeitgeber, hat aber für die betroffene Person unter Umständen weitreichende negative Konsequenzen. Die blu Systems GmbH wird deshalb aus (leider) aktuellem Anlass gegen Ende des Jahres eine Konferenz für das Thema „Healthcare-Datenschutz“ ausrichten. Wir informieren Sie rechtzeitig.
WeiterlesenUS-amerikanisches Datenschutzgesetz?
19. September 2019Der Austausch personenbezogener Daten mit US-amerikanischen Unternehmen wird für viele deutsche Unternehmen Alltag sein. Nicht zuletzt stehen viele Server auf US-amerikanischem Boden. Für die USA hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt, unter der Voraussetzung dass der Empfänger dem so bezeichneten US-Privacy Shield angehört. Viele Datenschützer stellen jedoch in Frage, ob man das US-amerikanische Datenschutzniveau guten Gewissens dem Europäischen gleichsetzen kann. Nicht zuletzt die in den letzten Monaten häufig aufgetretenen Datenpannen großer amerikanischer Konzerne lassen Zweifel aufkommen. Und nicht wenige äußern, dass es sich von Seiten der Europäischen Kommission wohl eher um eine politische, denn eine aus Sicht des Datenschutzes fundierte Entscheidung handelt, den USA die Angemessenheit des Niveaus zu bestätigen. Die Gruppe der „Zweifler“ wird sich seit letzter Woche eher bestätigt sehen. Über 50 Schwergewichte der US-amerikanischen Wirtschaft haben in einem offenen Brief an den US-Kongress ein Bundesweites Datenschutzgesetz gefordert. Begründet wird dies unter anderem mit wirtschaftlichen Argumenten (fehlende Wettbewerbsfähigkeit amerikanischer Unternehmen durch die Erschwernisse des Datenschutzes). Hintergrund ist, dass zuletzt einige Bundesstaaten Datenschutzgesetze erlassen hatten, teilweise mit dem Vorbild DSGVO, weil eine bundesweite Regelung bisher fehlt. Der Vorschlag der Unternehmen, „Framework for Consumer Privacy Legislation“ liest sich oberflächlich betrachtet zunächst so, als hätten die Unternehmen begriffen, dass die Sensibilität für den Schutz personenbezogener Daten vornehmlich im letzten Jahr deutlich zugenommen hat. Fast wöchentlich erscheinende Pressenachrichten von großen Datenpannen amerikanischer Konzerne dürften den jeweiligen Public Affairs Abteilungen nicht gefallen haben. Wer genauer hinsieht wird jedoch schnell eines Besseren belehrt. Im letzten Satz des Dokumentes heißt es…
WeiterlesenSchwere Datenpannen und Kopplungsverbot
5. September 2019Schwere Datenpannen In der vergangenen Woche, so berichten mehrere Medien übereinstimmend, gab es wieder mehrere große Datenpannen. Einerseits fällt sicher der Vorfall beim Mastercard-Bonusprogramm in diese Kategorie, da von bis zu 90.000 Datensätzen die Rede ist, die teilweise sogar Kreditkartendaten enthalten sollen. Fast schon als „normal“ zu bezeichnen ist die gerade eben veröffentlichte Meldung, bei Facebook hätte es eine weitere Datenpanne gegeben, diesmal sind (vermutlich) über 400 Millionen Telefonnummern von Facebook-Nutzern in die falschen Hände gelangt. Zunehmend höhere Bußgelder durch deutsche Aufsichtsbehörden? In diesem Kontext scheint es erwähnenswert, dass die deutschen Aufsichtsbehörden die bisher gepflegte Zurückhaltung bei der Verhängung hoher Bußgelder immer mehr ablegen. Wie aus einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit hervorgeht, wird demnächst von der Behörde ein Bußgeld „in bis zu zweistelliger Millionenhöhe“ verhängt, nachdem zuvor bereits zwei hohe Bußgelder im sechsstelligen Bereich verhängt wurden. Entscheidung des OLG Frankfurt zum Kopplungsverbot Von eher praktischer Relevanz aus Sicht der Unternehmen dürfte es sich bei einer kürzlich ergangenen Entscheidung des OLG Frankfurt (6 U 6/19 v. 27.06.2019) handeln. Im entschiedenen Rechtsstreit ging es um die bislang häufig diskutierte Fragestellung, ob eine Einwilligung (in diesem Fall für den Empfang des Newsletters des Unternehmens) mit einer Teilnahme an einem Gewinnspiel verknüpft werden kann. Nach überwiegend vertretener Meinung widersprach dies dem in der DSGVO verankerten Kopplungsverbot. In der Überzeugung der Frankfurter Richter überwiegt der Ansatz der Freiwilligkeit der Einwilligung. Der Verbraucher, so die Urteilsbegründung, könne und müsse selbst entscheiden, ob ihm die Teilnahme an einem Gewinnspiel unter der Bedingung einer…
WeiterlesenEuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst
8. August 2019Es ist ein bekanntes Bild: auf einer Unternehmenswebsite befindet sich ein Facebook „Like“-Button. Viele Unternehmen nutzen dieses Mittel, aus unterschiedlichen, meist marketingstrategischen Gründen. Bisher allerdings, ohne dafür eine gesonderte Einwilligung des Websitenutzers einzuholen. Dieses Vorgehen könnte zukünftig mit einem erhöhten Bußgeldrisiko behaftet sein. Durch die Einbindung des Facebook „Like“-Buttons werden nämlich personenbezogene Daten des Nutzers verarbeitet und an Facebook weitergeleitet und zwar unabhängig davon, ob der Button betätigt wird oder nicht. Der EuGH, der in seiner Entscheidung den Ausführungen des Generalanwalts gefolgt ist, erkennt darin eine (gemeinsame) Verantwortlichkeit des Websitebetreibers mit der Konsequenz, für diese Datenverarbeitung eine rechtliche Grundlage liefern zu müssen, in aller Regel eine Einwilligung. Zudem müssen die Informationspflichten und/oder die Datenschutzerklärung dementsprechend angepasst werden. In der Praxis wird der Nutzer nun sehr häufig noch nach einer zusätzlichen Einwilligung gefragt werden. Fraglich ist noch, welche Ausstrahlwirkung das EuGH-Urteil entfalten wird. Es ist aber zu erwarten, dass sich die Verwendung von Social-Media-Plugins auf Websiten grundlegend ändern wird.
WeiterlesenNo-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?
23. Juli 2019Übereinstimmend melden mehrere Medien, dass die neue britische Regierung an einer „No-Deal-Brexit“-Lösung arbeiten würde. Staatsminister Michael Gove wird mit den Worten zitiert, „…ein No Deal ist jetzt eine realistische Annahme und darauf müssen wir vorbereitet sein. Die gesamte Maschinerie der Regierung wird auf Hochtouren arbeiten“. Unternehmen ist deshalb dringend zu empfehlen, sich auf diese Situation auch unter datenschutzrechtlichen Gesichtspunkten vorzubereiten. Sollte das Vereinigte Königreich ohne eine Vereinbarung mit der EU austreten, würde dies bedeuten, dass es zum Drittland i.S.d. der DSGVO werden würde, mit allen drastischen Konsequenzen. Auch eine Übergangsfrist für die Geltung der DSGVO im VK wäre unter diesen Voraussetzungen nicht anzunehmen. In ihrem Beschluss vom 8. März 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bereits klargestellt, dass eine Datenübermittlung personenbezogener Daten in das VK dann nur noch unter Maßgabe der für Drittländer in der DSGVO vorgesehen Mechanismen möglich sei, zumal ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO derzeit für das VK nicht existiert. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte eine Information , die von allen datenübermittelnden Stellen unbedingt zu beachten ist. Zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus muss demnach eine der folgenden Garantien die Grundlage der Datenverarbeitung bzw. –übertragung bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unternehmen können hierfür die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Allerdings muss darauf hingewiesen werden, dass der Europäische Gerichtshof (EuGH) aktuell die Rechtmäßigkeit der EU-Standardvertragsklauseln immer noch überprüft. Die Verwendung der Klauseln ist bis zu einer Entscheidung…
WeiterlesenDas Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?
14. Juli 2019Am 27.06.2019 beschloss der deutsche Bundestag mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD das zweite deutsche Datenschutzanpassungsgesetz.Über hundert Gesetze sind durch die geplante Änderung betroffen, vielfach diskutiert wird aber eine (mögliche) Aufweichung der Benennungspflicht eines DSB von Unternehmen. Die DSGVO als Bürokratiemonster? In der öffentlichen Wahrnehmung wird die DSGVO, die nun seit etwas über einem Jahr gültig ist, als bürokratisches Hindernis wahrgenommen. Insbesondere Vereine und KMU haben im letzten Jahr medial ihren Unmut über die Anforderungen der DSGVO kundgetan, die als zu umständlich und aufwendig empfunden werden. So verwundert es denn auch nicht, dass besonders Wirtschaftsverbände oder etwa die CDU-Mittelstandsvereinigung die als zu hoch wahrgenommene Belastung für kleine und mittelständische Unternehmen reduzieren wollen. 10 oder 20? Gewissermaßen symbolisch entzündete sich diese Diskussion an der Frage, ab wie vielen (personenbezogene Daten verarbeitenden) Mitarbeitern von Seiten des Unternehmens ein DSB zu bestellen ist. Bisher, so ist es im BDSG-neu festgehalten, sind dies zehn Mitarbeiter. Dort lässt sich in § 38 BDSG-neu nachlesen: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Diese Personengrenze von zehn Mitarbeitern, so die Mittelstandsvertreter, sei deutlich zu niedrig angesetzt und belaste daher kleine Unternehmen unverhältnismäßig. Gleiches Recht für alle? Tatsächlich ist es der Ansatz der DSGVO, im Prinzip, von einigen Ausnahmen wie etwa die Verhältnismäßigkeit bei TOMs abgesehen, keinen Unterschied zwischen…
WeiterlesenUnser wöchentlicher Datenschutzblog
14. Juli 2019
In unserem Blog wollen wir Ihnen wöchentlich aktuelle Entwicklungen, Fragestellungen aber auch Handlungsempfehlungen aus dem Bereich Datenschutz vorstellen und mit Ihnen diskutieren.