Der Einsatz von Google Analytics und das Cookie Urteil des EuGH

Wie letzte Woche bekannt wurde, liegen aktuell verschiedenen Datenschutzbehörden eine große Anzahl an Beschwerden wegen dem Einsatz von Google Analytics vor.

Konkret geht es hierbei um knapp 90.000 Websites, die den Datenschutzbehörden Hamburg und Nordrhein-Westfalen gemeldet wurden, weil diese Websites den Dienst Google Analytics nutzen, ohne die geforderten datenschutzrechtlichen Bestimmungen einzuhalten. [Siehe Artikel…]

Allerdings soll es laut eRecht24 auch Bußgeldandrohungen der Datenschutzbehörden Niedersachsen und Bayern geben, die sich gegen unberechtigtes Tracking richten. 

Anderen Quellen nach, handelt es sich bereits um 200.000 Beschwerden bundesweit.

Um welche Verstöße es sich konkret handelt, ist noch nicht bekannt geworden. Die Möglichkeiten sind vielfältig. Jedoch kann man davon ausgehen, dass auch das Cookie-Urteil des EuGHs vom 01.10.2019 hierbei eine Rolle spielen wird. Hier wurde festgestellt, dass Cookies, die technisch nicht erforderlich sind, eine Einwilligung des Users/Betroffenen erfordern. Hiermit sind explizit Tracking- und Werbe-Cookies gemeint.

Tracking ein berechtigtes Interesse nach Art.6 Abs. 1 lit. f DSGVO?

Bislang wurde von vielen Verantwortlichen zum Thema Tracking mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentiert. Das berechtigte Interesse ist eine Möglichkeit, die Rechtmäßigkeit einer Verarbeitung zu begründen. In diesem Falle wäre eine Einwilligung durch den Nutzer überflüssig. Im Gesetzestext findet sich jedoch die Einschränkung „…sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“

Der EuGH scheint im Falle der Tracking-Cookies das berechtigte Interesse nicht als gerechtfertigt zu werten, da er eine Einwilligung verlangt. Da wir bereits vor dem Urteil mit dieser Positionierung gerechnet haben, empfehlen wir unseren Kunden schon lange den Einsatz von Google Analytics (und ähnlichen Diensten) nur unter konsequenter Einhaltung der bestehenden Richtlinien einzusetzen.

Neben den bereits länger bekannten Voraussetzungen (kürzen der IP, Vertrag mit Google, Anpassung der Speicherdauer, …) ist spätestens jetzt auch die Cookie Richtlinie als verbindlich ansehen.

Aber ich habe doch einen Cookie-Banner….

Sollten Sie sich bei der Verwendung von Google Analytics noch auf das berechtigte Interesse stützen und keine Einwilligung einholen oder einen Cookie-Banner verwenden der nur ein „Ok“ zulässt, sollten Sie dringend über eine Umstellung nachdenken. Des Weiteren gibt es leider das Problem, dass Cookie-Banner falsch konfiguriert sind und somit auch keine wirksame Einwilligung darstellen.

Oft übersehen – die Datenschutzerklärung

Bitte vergessen Sie nicht, ebenso Ihre Datenschutzerklärung zu überprüfen. Die Notwendigkeit einer Anpassung ist sehr wahrscheinlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was Sie über den Cookie-Banner wissen müssen

Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.

Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.

Zuerst einmal: Was machen Cookies?

Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.

Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.

Wann ist die Einwilligung der User nötig?

Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.

Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.

Cookies – Wen stört´s?

Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.

Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.

Und nun?

Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.

Wir beantworten Ihnen gerne Fragen zu diesem Thema.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

PSD2: 2-Faktor-Authentifizierung ab 14.09.2019 Pflicht in Online-Shops

Betroffen von der 2-Faktor-Authentifizierung sind Sie in jedem Fall, wenn Ihr Online-Shop eine Kreditkartenzahlung anbietet. Nicht betroffen sind Online-Shops die ausschließlich den klassischen Weg der Überweisung oder Lastschrift verwenden. Mit PayPal befinden Sie sich in einem besonderen Bereich der der Überprüfung bedarf.

Ausnahmen: Whitelist, wiederholende Zahlungen, Transaktionsrisikoanalyse und Beträge unter 30 Euro

Bei Kleinbeträgen unter 30 Euro, Zahlung von Abonnements oder falls Sie als Händler vom Kunden auf eine sogenannte „Whitelist“ gesetzt werden, ist keine Zwei-Faktor-Authentisierung nötig. Eine weitere Ausnahme bildet die Transaktionsanalyse. Sie gibt dem Zahlungsdienstleister die Möglichkeit, die Notwendigkeit der 2-Faktor-Authentifizierung bis zu einem Höchstbetrag von 500 Euro zu entscheiden, indem das Risiko einer Transaktion analysiert wird. Als Händler haben Sie hierauf keinen Einfluss.

Die Umsetzung der Zwei-Faktor-Authentifizierung wird durch den jeweiligen Zahlungsdienstleister gewährleistet. Visa und Mastercard setzen z.B. als zweiten Faktor auf das biometrisches Authentifizierungsverfahren, in der Regel wird dies der Fingerabdruck auf dem Handy zur Bestätigung einer Zahlung sein.

Aber auch Sie als Shop-Betreiber haben unter Umständen einige Anpassungen in Ihrem Shop vorzunehmen, z.B. im Bereich der Zahlungsschnittstelle, in den AGB oder der Datenschutzerklärung.

Card-Not-Present-Transaktion (wie beim Online-Shop wo die Karte dem Händler nicht physisch vorliegt) die ab dem 14.September getätigt werden, die nicht den genannten Anforderungen entsprechen, müssen abgelehnt werden. Abgesehen von der abgelehnten Zahlung ist die Nichteinhaltung der Zahlungsdienstrichtlinie PSD2 abmahnfähig.

Als Online-Händler sollte man nun, knapp einen Monat vor dem Stichtag, dringend an einer konformen Umsetzung arbeiten. Wichtig ist auch die Information der eigenen Kunden, da diese in den meisten Fällen unzureichend informiert sind. Ab dem 14.09. müssen Sie in Ihrem Shop mit Kaufabbrüchen rechnen, wenn Ihre Kunden unvorbereitet auf das neue Authentifizierungsverfahren stoßen. Bereiten Sie sich auf vermehrte Anfragen vor und überdenken Sie die von Ihnen zur Verfügung gestellten Zahlungsmethoden. Hilfreich sind klassische Alternativmethoden, die nicht nur in der Übergangszeit eine wertvolle Ergänzung darstellen, sondern vielleicht auch wieder vermehrt Fans gewinnen. Viele Nutzer schätzen zwar den erhöhten Sicherheitsstandard, sind jedoch trotz allem nicht bereit biometrische Daten preis zu geben. Andere wiederum verfügen nicht über die notwendige Hardware. Arbeiten Sie an Ihrer Kundenbindung, die Whitelist ist Ihre Chance die Zwei-Faktoren-Authentifizierung zu umgehen.

Übrigens sind von der Zwei-Faktor-Authentifizierung nicht nur Online-Händler betroffen, sondern auch das Online-Banking. Sie werden zukünftig für Transaktionen im Online-Banking-Bereich ebenso eine 2-Faktor-Authentifizierung verwenden müssen. Hier ist das Vorgehen im Hinblick auf die Methode sehr unterschiedlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was ist eine 2-Faktoren-Authentifizierung?

Eigentlich ist es eine Zwei-Faktor-Authentisierung (2FA), wird allerdings häufiger Zwei-Faktor-Authentifizierung genannt. Die Begrifflichkeiten Authentifizierung, Authentisierung und Autorisierung werden ohnehin, außerhalb von Sicherheits- und IT-Kreisen, durcheinander geworfen bzw. synonym genutzt. Gemeint ist dabei im digitalen Umfeld meist der Anmeldeprozess bei einem PC, Mobiltelefon oder in einem Netzwerk. Der Standard hier ist oft eine Identifikation mit nur einem Faktor, z.B. einer PIN-Nummer, einem Passwort oder einem Fingerabdruck.

Man unterscheidet diese möglichen Faktoren in folgende Gruppen:

  • Wissen (PIN, Passwort, …)
  • Besitz (Token, Smartcard, Karte, Schlüssel …)
  • Biometrie (Gesichtserkennung, Fingerabdruck, Unterschrift, …)

Was alle drei gemein haben ist die Tatsache, dass keine von Ihnen absolut sicher ist und alle Vor- wie Nachteile haben. Um die Sicherheit bei einer Verifizierung zu erhöhen, kann man eine 2-Faktor-Authentisierung verwenden. Hierbei werden für die Identifikation zwei Faktoren aus unterschiedlichen Gruppen verwendet . Dies könnten z.B. ein Passwort (Wissen) welches Sie auf und eine Eingabe auf Ihrem Handy (Besitz) – so kennt man es schon von einigen Internet-Portalen. Oder Sie geben beim Online-Shopping eine Kreditkartennummer ein (Besitz) und bestätigen Ihre Identität über den Faktor Fingerabdruck (Biometrie).

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

„Whitelist“ beim Online-Shopping – Licht und Schatten

Mit der Pflicht zur starken Kundenauthentifizierung kommen einige Hürden im Online-Shopping. Wo früher die Eingabe einer Kreditkartennummer ausreichend war, wird zukünftig zusätzlich ein Fingerabdruck gefordert. Bei modernen mobilen Endgeräten meist technisch noch leicht umzusetzen, kommt der Desktop-Shopper schon schnell an seine Grenzen, bzw. benötigt immer ein zweites Gerät in seiner Nähe, nicht selten müssen beide Faktoren in einem bestimmten Zeitrahmen bestätigt werden.

Der Zahlungsdienstleister bestimmt die Kategorie der Faktoren. Dies kann z.B. Wissen (PIN) und Inhärenz (Fingerabdruck) sein. Oder wie im Offline-Shopping Besitz (Karte) und Wissen (PIN). Überwiegend scheinen die meisten Zahlungsdienstleister auf Inhärenz also körperliche Merkmale sprich biometrische Daten zu setzen. Nicht jeder fühlt sich wohl dabei biometrische Daten im Netz zu verteilen. Daran vorbei kommt mal nur, wenn die gesetzlich geregelten Ausnahmen greifen.

Dies ist der Fall bei Abo-Zahlungen oder Kleinstbeträgen unter 30 Euro. Eine weitere Ausnahme bildet die Whitelist: Ihre Kunden können Ihren Shop auf eine sogenannte „Whitelist“ setzen, damit fallen weitere Authentifizierungsmethoden weg.

Sie als Shop-Betreiber sollten diese Chance der Whitelist rechtzeitig erkennen und die Möglichkeit nutzen in dem Sie Ihre (Stamm-) Kunden über die Whitelist informieren. Arbeiten Sie an Ihrer Kundenbindung!

Shops, die auf der Whitelist stehen, könnten unter bestimmten Voraussetzungen echte Vorteile gegenüber den Wettbewerbern haben. Habe ich es gerade besonders eilig, mein Eingabegerät nicht bei mir oder sitze ich gerade im mobilen Funkloch, so bestelle ich voraussichtlich dort, wo ich keine weiteren Hindernisse zu erwarten habe.

Leicht denkbar ist ein weiterer Zuwachs für die global Player, wie z.B. Amazon da diese sicherlich sehr schnell auf einer Whitelist aufgenommen werden.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

EuGH-Urteil zum „Gefällt mir“ Button von Facebook

In einem Streit zwischen einem deutschen Online-Shop und einem Verbraucherverband ging es um die Rechtmäßigkeit des Einsatzes des Facebook „Gefällt mir“-bzw. Like-Button.

Der Gerichtshof der Europäischen Union hat am 29.07.2019 geurteilt:

„Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein“

Was bedeutet das für Sie als Betreiber einer Website?

Vorsicht beim Einsatz des Facebook „Gefällt mir“ Buttons

Falls Sie Betreiber einer Website, Blog oder Online-Shop sind und einen Gefällt-Mir-Button von Facebook auf Ihrer Online-Präsenz eingebunden haben, sollten Sie spätestens jetzt darüber nachdenken, ob Sie dies nicht lieber ändern.

Wir sprechen hier vom Gefällt-Mir-Button und von Facebook exemplarisch für alle anderen Buttons und sozialen Netzwerken, welche den gleichen technischen Effekt haben. Ebenso kann man davon ausgehen, dass dies auch für andere Dienste anwendbar ist wie z.B. Tracking- und Online-Marketing-Einbindungen.

Das technische „Problem“ dieser Buttons ist, dass Facebook und Co. durch die Einbindung des Buttons, die Besucher Ihrer Website analysieren können und deren personenbezogene Daten erlangen. Dies gilt nicht nur für Personen die aktiv bei Facebook „mitmachen“, sondern für alle Besucher Ihrer Website.
Sobald ein Besucher Ihre Website öffnet, greift das soziale Netzwerk Daten ab. Dies sind nicht nur Daten wie Informationen über das verwendete Endgerät, sondern auch personenbezogene Daten, die einem besonderen Schutz unterliegen. Die Technik unterscheidet hier nicht zwischen Facebook-Nutzern oder Facebook-Verweigerern.

Gemeinsame Verantwortlichkeit

Tun Sie also „gemeinsame Sache“ mit Facebook, indem Sie sich dazu entschieden haben einen solchen Button einzubinden, geben Sie Facebook die Mittel und Möglichkeiten Datenprofile Ihrer Website-Besucher anzulegen und im Standard auch ohne die Benutzer darüber aufzuklären oder einzuwilligen.

Konsequenterweise sieht der EuGH für diesen Teil des Vorgangs eine gemeinsame Verantwortlichkeit von Ihnen und Facebook.

Lösung dieses Problems kann für Sie als Seitenbetreiber das Vermeiden dieser Buttons sein. Alternativ scheint eine Einwilligung (Opt-In) eine akzeptable Lösung darzustellen. Sichergestellt muss hier sein, dass keinerlei Daten vor der aktiven Einwilligung des Besuchers an Facebook & Co. übertragen werden. Die Möglichkeit durch ein sogenanntes Opt-Out zu widersprechen reicht nicht aus – Sie müssen eine aktive Einwilligung einholen, das Fehlen eines Opt-In kann abgemahnt werden. Nicht nur die Datenschutzbehörde kann hier sanktionieren, auch Verbraucherzentralen können abmahnen, wie im verhandelten Fall.

Wichtig: Die Einwilligung durch Opt-In entlässt Sie als Seitenbetreiber nicht aus der gemeinsamen Verantwortung mit Facebook für den Prozess der Datenerhebung und der Datenübertragung an Facebook. Erst nach der Übertragung sind Sie für das was danach passiert – also wie Facebook die Daten verarbeitet, nicht mehr gemeinsam verantwortlich. Es sei denn, Sie sind Betreiber einer Facebook-Fanpage. Die Facebook Fanpage ist bereits seit 2018 ein Bereich der gemeinsamen Verantwortlichkeit – des Fanpage-Betreibers und Facebook.

Haftung in vollem Umfang

Welche Ausmaße in Bezug auf Haftung dies für Sie haben könnte, formuliert Dr.Schwenke in seinem heute erscheinen Artikel so:

„…Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit.“

Eine Ausnahme zu der Einwilligung über ein Opt-In stellt das sogenannte berechtigte Interesse dar. Ob im Fall des Like-Buttons ein berechtigtes Interesse vorliegen kann, ist aktuell nicht entschieden und somit als nicht sicher anzusehen. Die Voraussetzung eines berechtigten Interesses ist, wenn überhaupt nur gegeben, wenn beide Parteien (Sie als Webseitenbetreiber und Facebook) ein solches berechtigtes Interesse haben. Es reicht nicht aus, wenn einer der beiden Parteien ein berechtigtes Interesse rechtfertigen kann. Wir empfehlen daher ein Opt-In, wenn man die Dienste weiterhin einbinden möchte.

Die Umsetzung dieser technischen Punkte ist jedoch auch nur ein Teil der Voraussetzung die Sie als Seitenbetreiber erfüllen müssen, außerdem müssen Sie mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen und selbstverständlich voll umfänglich in Ihrer Datenschutzerklärung darüber aufklären welche Daten Sie auf Ihrer Website erheben und an wen Sie diese weitergeben.

Cookie Hinweis ist Pflicht

Ein weiterer technischer Aspekt, welcher der Information und der Zustimmung bedarf, ist das Setzen von Cookies.

Facebook setzt ein Cookie auf dem Computer des Users und kann somit den Nutzer nicht nur während dem Aufruf Ihrer Website beobachten, sondern kann Ihn auf Grund des Cookies auf anderen Webseiten wiedererkennen und somit die Daten zusammenführen. Der Effekt ist, dass Facebook & Co. auf diesem Weg detaillierte Profile eines Users anlegen können, welche in Gänze betrachtet ein sehr genaues Bild einer Person ermöglicht. Dieses Profiling des Users führt dazu, dass die Neigungen und Interessen einer Person sehr genau bekannt sind bzw. auch vorhergesagt werden können. Dies trifft nicht nur auf ein mögliches Kaufverhalten zu, sondern auch auf sehr sensible Bereiche wie gesundheitlichen Zustand, finanzielle Situation oder politische Gesinnung.

Verwendet man zustimmungspflichtige Cookies, führt kein Weg an einem Cookie Banner vorbei. Aber Achtung: Nicht jeder im Netz kursierende Cookie-Banner erfüllt auch die Informationspflicht bzw. die technischen Voraussetzungen. Ein weit verbreitetes Problem ist hier der Einsatz von einem Cookie Banner, der lediglich einen Hinweis auf die Verwendung von Cookies gibt. Dies ist nicht ausreichend. Der Cookie-Banner muss verhindern, dass Daten übermittelt werden, deren Übermittlung nicht vorher zugestimmt wurde. Auch hier genügt kein Opt-Out.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Facebook und der Datenschutz

Facebook ist schon je her ein Netzwerk, dass polarisiert. Jedoch hat es eines geschafft, woran die anderen gescheitert sind.  „Alle“ sind drin, selbst die Skeptiker.

Damit ist Facebook natürlich aus Sicht eines Unternehmens der ideale Ort, um Werbung zu betreiben und „ins Gespräch“ mit potenziellen Kunden zu kommen.

Viele Unternehmer haben auf Facebook als Werbe- und Kommunikationskanal gesetzt. Das macht heute den Ausstieg aus dem Netzwerk schwer. Nicht selten wurde die Unternehmenswebsite vernachlässigt, weil man Neuigkeiten, Angebote und Kundenkommunikation direkt auf Facebook abwickelte. Kunden wie Unternehmen haben sich an dieses Medium gewöhnt. Einige Selbständige haben sogar gänzlich auf eine eigene Webseite verzichtet und nur eine Facebook-Seite betrieben.

Verständlicherweise ist die Verunsicherung groß!

Kann man eine Facebook-Seite datenschutzkonform im Einklang mit der DSGVO betreiben?

Nein! Im Moment kann man das nicht.

In unserem Alltag stellen wir immer wieder fest, dass viele Unternehmer das gar nicht glauben können. Dies für eine Sache der Auslegung halten oder die Sichtweise als „zu streng“ einordnen. Dies ist nicht verwunderlich, zumal in der Vergangenheit selbst Anwälte keine klare Position gegen die kommerzielle Nutzung von Facebook bezogen haben. Außerdem: „Die anderen machen es ja auch“. Nun wollen wir Ihnen nicht mit dem Spruch von Mutter kommen „Wenn ein anderer von der Brücke springt…usw.“ aber genauso ist es nun einmal. Nur, weil es noch viele andere machen, ist es noch lange nicht in Ordnung – und vor allem nicht rechtssicher.

Hier die Fakten:

Am 05.06.2018 urteilt der EUGH: „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“ nachzulesen hier: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Dies ist natürlich noch nicht als striktes Verbot zu sehen, jedoch müssen Sie sich nach diesem Urteil darüber im Klaren sein, dass Sie als Betreiber einer Facebook Fan-Seite für eventuelle Verstöße genauso zu Verantwortung gezogen werden können, wie Facebook selbst. Hier spielt es keine Rolle, dass Sie überhaupt keine Möglichkeiten oder Mittel haben, Daten, die über Facebook verarbeitet werden zu kontrollieren. Die logische Konsequenz, wenn man nicht mit in die Haftung genommen werden möchte, ist daher keine Facebook Fan-Page zu betreiben. Sie haben (nach aktuellem Stand) keine Möglichkeit Einfluss darauf zu nehmen, welche Daten Facebook von Ihren Kunden verarbeitet, die Kontrolle liegt bei Facebook.

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat am 06.06.2018 eine Entschließung herausgegeben, die klar das Urteil des EUGH unterstützt und begrüßt. Außerdem sind die durch Facebook zu schaffenden Voraussetzungen noch einmal formuliert, die gegeben sein müssten, um datenschutzkonform agieren zu können. Nachzulesen hier: https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf

Weiterhin wurde am 05.09.2018 durch die DSK ein Beschluss verfasst, der unter andrem folgendes Aussagt „Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“ Hier nachzulesen https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf

Facebook kündigte widerholt an, das Angebot nachzubessern. Einige Veränderungen wurden eingeführt. Nichts desto trotz wurde aktuell am 05.04.2019 folgender Beschluss veröffentlich https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf der noch einmal auf die durch Facebook eingeführten Veränderungen eingeht und diese als nicht ausreichend klassifiziert: „Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Zusammengefasst kann man also nicht davon sprechen, dass die Lage unklar ist. Nach aktuellem Stand sind Facebook-Fanseiten definitiv nicht mit der DSGVO in Einklang zu bringen. Offen bleibt, ob Facebook in der Zukunft eine Lösung für aller geforderten Maßnahmen einführen wird.

Gerne unterstützen wir Sie bei Fragen zu diesem Thema

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Passwort – Sicherheit und Management

Sie werden mir wahrscheinlich augenblicklich zustimmen, dass „123456“ kein sicheres Passwort ist. Fakt ist allerdings, dass genau dieses Passwort immer noch das beliebteste Passwort der Deutschen im Jahre 2018 war. Platz 2 belegte übrigens „12345“ dicht gefolgt von „123456789“. Vielleicht atmen Sie gerade auf, weil Sie sich denken: Kein Problem, so ein einfaches Passwort verwende ich schon mal nicht. Aber: Vergegenwärtigen Sie sich, irgendwer ist es, der derart unsichere Passwörter verwendet!

Das Hasso-Plattner-Institut hat die Top-Ten aus rund 500.000 öffentlich gewordenen Zugangsdaten deren Emailadresse auf „.de“ endete herausgefiltert. Es ist also nicht abwegig, dass auch Ihre Mitarbeiter, Geschäftspartner oder gar ihr Hausarzt oder Steuerberater einer derer ist, die ein Passwort aus den Top-Ten verwenden. Wir sind uns sicherlich einig, dass das kein besonders beruhigender Gedanke ist.

Datensicherheit ist als Teil des Datenschutzes Chefsache – der Grund dafür ist einfach zu benennen: Er ist der Verantwortliche und muss im Zweifel für Datenpannen geradestehen.

Wir empfehlen Ihnen daher im Unternehmen eine Passwortrichtlinie festzulegen. Diese regelt wie ein sicheres Passwort aussieht, wie oft es gewechselt wird, wo es Verwendung findet und auf welchem Weg es aufzubewahren ist. Hier sei gesagt: Ihre Schreibtischunterlage, die Wand hinter ihnen die direkt von der Webcam fokussiert wird  oder ihr Bildschirmrand sind keine geeigneten Speicherorte.

Eine solche Passwortrichtlinie dient nicht nur dem Verantwortlichen im Hinblick auf die Sicherung der Unternehmensgeheimnisse oder Kundendaten. Sie ist auch im Interesse eines jeden Mitarbeiters, dessen Daten ebenfalls in Ihrem Unternehmen verarbeitet werden.

Ein sicheres Passwort

Zu empfehlen ist eine Passwortlänge von mindestens 12 Zeichen. Man kann sagen, je länger das Passwort desto sicher ist es – dies gilt allerdings nur dann, wenn Sie ein kryptisches Passwort wählen. Kryptisch bedeutet, dass ihr Passwort im besten Fall aus Zahlen und Buchstaben (Groß- und Kleinschreibung) sowie Sonderzeichen besteht. Die Buchstaben sollten keinen Sinn ergeben, das heißt kein „echtes“ Wort sein. Verwenden Sie keine Namen oder Wörter die man in einem Wörterbuch finden könnte. Meiden Sie Passworte die sich durch einen Bezug auf Ihre Person ableiten lassen (Geburtsdaten, Autokennzeichen etc.) und verwenden Sie ein Passwort immer nur für einen Dienst. Wandeln Sie Ihr Passwort nicht nur ab, wenn Sie einen anderen Dienst verwenden, sondern erstellen Sie ein komplett anderes, ohne Bezug auf Ihre anderen Passwörter. Außerdem sollten Sie nie ein voreingestelltes Standardpasswort weiterverwenden, ändern Sie es nach dem ersten Anmelden. Sie sollten ein Passwort grundsätzlich in gewissen Zyklen ändern – nicht nur dann, wenn Sie den Verdacht haben, dass Ihr Passwort nicht mehr sicher sein könnte.

Passwortmanagement

Ein solch sicheres Passwort ist selbstverständlich schwer zu merken, insbesondere wenn es sich um mehr als nur ein Passwort handelt. Das BSI rät Bürgern zu einem leich zu merkenden Passwort nach z.B. folgendem Muster: „Ich habe drei Kinder und einen Hund, außerdem eine Katze!“ dieser Merksatz wird dann zu folgendem Passwort „Ih3Ku1H,a1K!„. Ich empfehle diese Methode insbesondere als sogenanntes Master-Passwort, welches dazu dient andere Passwörter die z.B. in einem Passwortmanager gespeichert sind zu sichern. Passwort-Manager speichern das Passwort nicht im Klartext, sondern verschlüsselt. Dieser Weg ist unbedingt dem unverschlüsselten speichern oder dem aufschreiben von Passworten zu bevorzugen. Passwortmanager gibt es als Offline-Programm z.B. KeePass, als auch als Online-Dienst z.B. LastPass.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken