Dynamisch eingebundene Google Fonts nicht DSGVO konform

…Unterlassungserklärungen und Schadensersatz drohen

Um was geht es?

➔ Google Fonts ist ein Dienst, der eine große Auswahl an sehr hübschen Schriften zur Verfügung stellt, die man z.B. als Schriftart für die eigene Website nutzen kann.

➔ Die Einbindung in die eigene Website kann auf zwei verschiedene Wege stattfinden: 1. dynamisch eingebunden 2. lokal eingebunden

Was ist das Problem?

Auf beiden Wegen wird dem User die ausgewählte Schriftart beim Zugriff auf die Website angezeigt. 

Falls Google Fonts verwendet werden, kann ein Laie nicht auf Anhieb sehen welche der beiden Techniken verwendet wird, es jedoch sehr leicht herausfinden. Als Verantwortlicher sollten Sie auf jeden Fall Ihre Website darauf prüfen.

Bei dynamisch eingebundenen Schriften besteht eine technische Verbindung der jeweiligen Website mit Google. Öffnet ein User die Website, wird dessen IP-Adresse an Google übertragen (Server in den USA), Google lädt daraufhin die angeforderte Schrift nach und sie wird auf dem Display des Users angezeigt.

Da die IP-Adresse ein personenbezogenes Datum darstellt, ist dies definitiv ein Fall in dem die DSGVO Anwendung findet.

Die zweite Möglichkeit der Einbindung hingegen findet lokal auf dem Server der jeweiligen Website statt. Die Schriftdatei wird bei Google heruntergeladen und über das Backend der eigenen Website in die Website integriert.

Öffnet ein User dann die Website, wird die Schrift direkt von dem Server der Seite angefordert und stellt keine Verbindung zu fremden Netzwerken her.

Wie kann man es prüfen?

Die wohl einfachste Art festzustellen, ob eine Website Google Fonts dynamisch einbindet, ist die Analyse über den Webbrowser. Öffnen Sie die jeweilige Website in Ihrem Browser. Im Browsermenü gibt es einen Entwicklermodus, dort finden man „Webinformationen“ – wie es z.B. im Safari-Browser heißt. Wählt man dies an, öffnet sich eine Maske, die für die meisten Laien erst einmal abschreckend wirken dürfte… Wählen Sie „Netzwerk“, hier finden Sie nun eine Reihe URLs, lauten diese immer wie die Hauptdomain, scheinen keine Verbindungen zu anderen Diensten zu bestehen. Finden Sie hier jedoch Google URLs (font.googleapis.com oder fonts.gstatic.com) können Sie von einer dynamischen Einbindung ausgehen. (Falls hier weitere “fremde” URLs zu finden sind, lohnt es sich auch da einen näheren Blick darauf zu werfen)

Wieso werden die Fonts so häufig dynamisch eingesetzt?

Das hat mehrere Gründe.

Websites, die bereits vor der DSGVO entstanden sind, wurden selten nach Geschichtspunkten des Datenschutzes aufgebaut. Es ging viel mehr um die vielen großartigen und oft kostenlosen Möglichkeiten, die durch die Dienste von Google & anderen Anbietern zur Verfügung standen. Das Einbinden der dynamischen Fonts war technisch sehr einfach oder sowieso bereits vorgesehen. Selbst wenn die Website eigentlich ohne Google Fonts erstellt wurde, können durch Einbindung von Funktionserweiterungen (Plugins) Google Fonts oder CDNs nachgeladen werden. Das lokale Einbinden war hingegen eher etwas für Spezialisten und im Vergleich eher aufwendiger.

So hat sich die dynamische Einbindung schnell verbreitet und wurde oft zum Standard, auch heute wird es vielerorts völlig unkritisch gesehen. Wir dürfen hier nicht vergessen, dass das Web global ist und nicht überall das gleiche Datenschutzniveau herscht.

Mit Einführung der DSGVO wurde klar, dass diese dynamische Einbindung im Europa zum Problem werden könnte. Trotzdem gab es für dieses Problem nicht gleich eine einfache Lösung. Nicht alle Web-Entwickler haben Ihre Produkte im Hinblick auf die DSGVO bzw. GDPR optimiert. Viele Website-Betreiber wissen überhaupt nicht, welche Fonts und welche Technik in Ihrer eigenen Website genutzt wird und waren sich somit auch nicht über einen Handlungsbedarf im Klaren. Nichtsdestotrotz liegt es in ihrer Verantwortung.

Wir empfehlen unseren Kunden schon seit Einführung der DSGVO auf dynamische Fonts zu verzichten – Nachteilig war diese Haltung noch in keinem Fall.

Es gab aber auch viele Stimmen, die in der Nutzung der dynamischen Google Fonts ein berechtigtes Interesse gesehen haben. Darum ging es jüngst bei LG München. Hier hatte sich ein Websitebetreiber auf das besagte berechtigte Interesse berufen, um die Google Fonts auf seiner Website einzubinden. Das LG München ist zu dem Urteil gekommen, dass dies nicht zulässig ist (Urteil mit Begründung:  https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/).

Der Kläger konnte einen Unterlassungsanspruch und einen Schadensersatz von 100 Euro erreichen. Wer nun denkt: „ …100 Euro…“ der möge überlegen was es bedeutet, wenn sich da mehrere User einer stark frequentierten Website zu einer Klage zusammen tun würden…

Die Empfehlung geht also klar in die Richtung, dass man die Fonts, sofern man sie nutzen möchte, lokal einbindet.

Wer trotzdem unbedingt dynamisch eingebundene Fonts nutzen möchte, der muss zwingend die Einwilligung des Users einholen. Dies muss selbstverständlich geschehen, bevor die IP-Adresse des Users an Google übermittelt wird.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Datenschutz first – ein Appell an Gründer, Startups und Selbständige

Stimmungskiller Datenschutz

Sich „Selbständig machen“, ein Unternehmen gründen, ist in Deutschland erstaunlich einfach. In den meisten Fällen benötigen Sie für den ersten Schritt lediglich eine Gewerbeanmeldung und ein Konto und schon kann es los gehen.

Dass es nicht ganz so einfach ist (oder auf Dauer bleibt) wird den meisten schnell bewusst, wenn sie sich ein erstes Mal um Steuererklärungen und Co. kümmern müssen.

Wer seine Selbständigkeit gut plant, weiß das vorher. Zahlreiche Infoportale und Plattformen im Internet liefern Informationen für den zukünftigen Unternehmer. Hier erhält man Input über die beliebtesten Buchhaltungs-Tools, die innovativsten Bezahlsysteme oder Fördermöglichkeiten.

Viele nützliche Tools stehen einem Startup heute direkt, online, preisgünstig oder gar kostenlos zur Verfügung. Die Einstiegshürde ist niedrig, die Organisation des Arbeitsalltags kann heute digital mit Tools aus aller Welt in der Cloud dargestellt werden. Ein Schlaraffenland für all die, die neu beginnen und sich noch keinem System verpflichtet haben.

Auffällig selten wird hierbei der Datenschutz mit in die Waagschale geworfen. Die einschlägigen Existenzgründer-Portale berichteten knapp über die DSGVO, danach findet sich eher wenig zu dem Thema Datenschutz welches oft als echter „Stimmungskiller“ gilt.

Datenschutz first! Warum der Datenschutz vor allem anderen kommen sollte

Vielen Selbständigen ist leider überhaupt nicht bewusst, dass sie vom Thema Datenschutz betroffen sind. Einzelunternehmer schätzen ihr eigenes tun oft falsch ein. Es ist Ihnen nicht klar, dass sie Daten verarbeiten, die unter die DSGVO und das BDSG fallen oder sie halten ihr Unternehmen für zu klein, um überhaupt davon betroffen zu sein. Beide Ansätze sind falsch.

Jeder Selbständige muss sich an den Rahmen der DSGVO und das BDSG halten. Hierbei ist es erst einmal egal, ob er Einzelunternehmer ohne Mitarbeiter oder ein 50 Personen Betrieb ist. Auch ist es egal, ob Sie 5 Kunden oder 1000 Kunden haben. Auch Ihr Umsatz spielt keine Rolle.

Einzig entscheidend ist, ob Sie personenbezogene Daten verarbeiten. Auch wenn ich Sie und Ihr Unternehmen nicht kenne sage ich mal, dass Sie mit Sicherheit personenbezogene Daten verarbeiten und daher DSGVO und BDSG erfüllen müssen. Beispiele hierfür sind Emailverkehr, Kalender-/Terminverwaltung, Kontaktlisten/Kundenverwaltung, Buchhaltung, …  

Nun wird es Spannend: Was genau muss man denn tun (oder lassen) um die DSGVO zu erfüllen?

Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten führen (VVV oder VVT abgekürzt)

In diesem Verzeichnis werden alle Verarbeitungstätigkeiten protokolliert, die durch Sie bzw. Ihr Unternehmen regelmäßig sattfinden. Inhalt des Verarbeitungsverzeichnis sind Daten zum Verantwortlichen, Zweck der Verarbeitung, Kategorie der personenbezogenen Daten, falls zutreffend Informationen zur Übermittlung in sogenannte Drittländer oder eine internationale Organisation, sowie Fristen für die Löschung der Daten und Informationen zu den technischen und organisatorischen Maßnahmen.

Die genauen gesetzlichen Vorgaben zum Verarbeitungsverzeichnis finden Sie in Art. 30 DSGVO

Das Verarbeitungsverzeichnis muss der Aufsichtsbehörde, auf Anfrage, zeitnah vorgelegt werden. Sie sollten daher von Beginn an ein solches Verarbeitungsverzeichnis führen und dieses gewissenhaft pflegen. Änderungen sollten in einer Historie nachvollziehbar festgehalten werden.

Technische und organisatorische Maßnahmen (Kurz: TOM)

Hierbei geht es um die Maßnahmen, die durch Sie getroffen werden, um die personenbezogenen Daten, die Sie verarbeiten, angemessen zu schützen. Sie haben eine Rechenschaftspflicht!

Als technische Maßnahme versteht man beispielsweise die Sicherung Ihrer Büroräume durch eine Alarmanlage oder eine Schließanlage. Welche technische Maßnahme hier als angemessen erscheint, ist eine Frage der Daten, die Sie verarbeiten. Je sensibler die Daten sind, die Sie verarbeiten, desto höher sollte auch der technische Schutz der Daten sein. Unter dem organisatorischen Schutz von Daten versteht man hingegen beispielsweise eine Zugangs- (oder Zugriffkontrolle) zu den personenbezogenen Daten, die Sie verarbeiten. Zum Beispiel in dem Sie den Zutritt oder Zugriff einschränken, auf die Personen die zwingend mit den Daten arbeiten müssen.

Relevant für die TOM sind z.B. auch die Verwendung von Aktenvernichtern, Passwortrichtlinien, Datenverschlüsselung und der Einsatz von Anti-Virensoftware.

AV-Verträge

Sobald Sie Daten mit Dritten teilen, kommen zwei Szenarien in Betracht: Eine gemeinsame Verantwortlichkeit oder es handelt sich um eine sogenannte Auftragsdatenverarbeitung. In beiden Fällen sind Sie verpflichtet diese Zusammenarbeit vertraglich zu legitimeren, um ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu gewährleisten.

Vielleicht denken Sie jetzt: Ich gebe doch keine Daten weiter, das trifft ganz sicher nicht auf mich zu…. Aber ich denke, da täuschen Sie sich!

Sie nutzen ein cloudbasiertes Buchhaltungsprogramm? Sie benötigen mit dem bereitstellenden Unternehmen ein AV-Vertrag! Sie nutzen einen Messenger-Dienst für die Kommunikation mit Ihren Kunden? Sie müssen mit dem Anbieter einen AV-Vertrag schließen! Sie haben einen Hostingvertrag für Ihre Website oder Ihren Online-Shop? Auch hier müssen Sie mit dem Hoster einen AV-Vertrag schließen! Dies gilt im Übrigen auch für Emailprovider. Aber Vorsicht! Nicht jedes Unternehmen stellt einen AV-Vertrag zur Verfügung oder ist bereit einen mit Ihnen zu schließen! Manche Anbieter (dies betrifft vor allem Messangerdienste und Emailprovider, manchmal aber auch Hoster) richten sich gezielt an Privatkunden, weshalb die Bereitstellung eines AV-Vertrages nicht gegeben ist. Manche Anbieter (z.B. Gmail) unterscheiden den Privatkundenbereich und das Segment der Geschäftskunden. Im privaten, kostenlosen Bereich, also dem Standard-Gmail-Account steht kein AV-Vertrag zur Verfügung und kann auch keiner auf Anfrage geschlossen werden. Sie müssen hierfür einen Business-Account (G-Suite) buchen, damit Sie einen AV-Vertrag zur Verfügung gestellt bekommen.

An dieser Stelle wird langsam deutlich, warum „Datenschutz first!“…

Wenn Sie zu Beginn bereits durch die „Datenschutzbrille“ schauen, können Sie Ihre Selbständigkeit direkt mit geeigneten Tools starten und so bares (Lehr-) Geld sparen.

Hiermit meine ich nicht mögliche Bußgelder oder Kosten für Abmahnung, wenn gleich auch dies eine Rolle spielen kann. Viel wichtiger an diesem Punkt ist, dass Sie erhebliche Mehrkosten und Mehraufwand einplanen müssen, wenn Sie Systeme (vor allem dann, wenn der Laden erst einmal läuft) im laufenden Betrieb umstellen müssen.

Fehlentscheidungen können mit einem guten Beratungsgespräch von Anfang an vermieden werden. Schnell führen falsch gewählte Tools in datenschutztechnische Sackgassen, weil sie nicht datenschutzkonform im Sinne der DSGVO und des BDSG betrieben werden können. Der Irrglaube vieler Selbstständiger liegt darin, dass alles erlaubt ist, was auch auf dem Markt zur Verfügung steht. Doch Unwissenheit schützt nicht vor Strafe und da es zu fast jedem Problem auch eine (datenschutzkonforme) Lösung gibt, ist es in den meisten Fällen völlig überflüssig den riskanten Weg zu wählen. Gerade als Gründer sollte man die rechtlichen Risiken und die möglichen Konsequenzen geringhalten.

Nichts ist so leicht angreifbar wie Ihre Website!

Diesen Satz können Sie ruhig doppeldeutig auslegen.

Natürlich ist eine Website (oder ein Onlineshop) immer einer gewissen Gefahr ausgesetzt beispielsweise gehackt zu werden. Dies ist ein Sicherheitsrisiko und ein Sicherheitsrisiko ist auch immer ein Datenschutzrisiko. Fast immer werden durch eine Website personenbezogene Daten erhoben. Dies geschieht zum Beispiel bereits durch den Einsatz eines Kontaktformulars auf Ihrer Website. Diese personenbezogenen Daten können im Falle einer Sicherheitslücke abgegriffen werden oder öffentlich werden. In diesem Fall sind Sie verpflichtet diese Datenschutzlücke umgehend der Datenschutzbehörde zu melden. Die sich dann Ihr Unternehmen bzw. Ihre VVV und TOM genauer anschauen und daraufhin weitere Schritte, wie z.B. ein Bußgeld abwägen wird.

Eine weitere Gefahr ist Ihre Website, wenn diese technisch nicht den Vorgaben und Anforderungen der DSGVO entspricht. Auch hier gilt wieder: Nicht alles was zur Verfügung steht ist auch erlaubt. Ob Webbaukasten oder Werbeagentur – leider bekommen Sie von beiden häufig etwas ausgeliefert was nicht der DSGVO entspricht. Dies ist besonders problematisch, weil man Ihnen dies zum Problem machen kann, ohne ein Hackergenie mit enormer krimineller Energie zu sein. Hierfür reicht ein verärgerter Kunde oder ein missgünstiger Mitbewerber und ein klein bisschen Kenntnis über den geforderten Standard.

Das besonders Ärgerliche an dieser Sache ist nicht nur die mögliche Beschwerde eines Betroffenen bei der Aufsichtsbehörde oder die Abmahnung durch den Mitbewerber, sondern die Tatsache, dass die Ursache des Problems Ihnen noch nicht einmal einen Mehrwert bringt.

Ich gebe Ihnen ein Beispiel: Der Webbaukasten oder die Werbeagentur meint es besonders gut mit Ihnen und gibt Ihnen die Möglichkeit Google Analytics in der Website einzubinden. Sie freuen sich, weil Sie nun jeden Tag dabei zuschauen können, wie die Besucherzahlen Ihrer Website steigen… Alleine der Einsatz dieses einen Tools (oder die falsche Konfiguration dieses Tools) bringt Ihnen einen bunten Strauß von Problemen, den Sie eventuell erst kennenlernen, wenn eine Abmahnung auf dem Tisch liegt… Der Einsatz von Google Analytics ist generell erst einmal nicht datenschutzkonform. Sie müssen den Einsatz des Tools legitimieren und besondere Bedingungen erfüllen. Dies geschieht nicht von alleine oder weil Google sich für Sie darum kümmert, wahrscheinlich wird dies auch nicht im Baukasten erwähnt und viele Werbeagenturen wissen selbst nicht genau was hinter der Implementierung des Tools noch nötig ist. Erst einmal benötigen Sie eine rechtliche Grundlage, die es Ihnen gestattet personenbezogene Daten durch Google Analytics zu erheben, dies kann z.B. eine Einwilligung über einen Consent-/Cookie-Banner sein. Hier erleben wir zu 80% aller Fälle, dass die Einwilligung nicht vorliegt, weil der Banner schlichtweg falsch konfiguriert ist. Einen Cookie-Banner zu haben, ist also auch kein sicherer Hafen. Ihre Datenschutzerklärung muss einen Passus beinhalten, der genau über die Datenerhebung durch Google Analytics aufklärt. Das Tool selbst muss korrekt konfiguriert werden, da auch hier mehr zur Verfügung steht, als erlaubt (und auch durch nichts zu legitimieren ist). Sie benötigen mit Google einen Vertrag über die Datenverarbeitung.

Ob diese Punkte gegeben sind, lässt sich selbst für einen Laien relativ einfach direkt auf Ihrer Website einsehen (mal abgesehen davon, ob Sie mit Google einen Vertrag geschlossen haben).

Eine gute Datenschutzberatung oder datenschutzerfahrene Agentur würde Sie an dieser Stelle darauf hinweisen, dass Google Analytics diese Probleme mit sich bringt. Wir würden Sie z.B. fragen, ob Sie sich sicher sind, dass Sie überhaupt so ein mächtiges Tool wie Google Analytics benötigen. In den meisten Fällen bekommen wir dann zu hören: Natürlich, ich will ja sehen wie viele Klicks meine Website hat…. Die Auflösung ist allerdings ganz einfach und für die meisten Kunden absolut ausreichend: Es gibt Statistiktools die man in eine Website einbinden kann, die keine sensiblen Daten erheben, nichts desto trotz aber die Besucherzahlen auswerten und aufzeigen von welchen Quellen der Nutzer auf die Seite gefunden hat und welche Seiten am häufigsten besucht wurden. Eigentlich alles, was sich die meisten Klienten wünschen! Datenschutztechnisch absolut unbedenklich! Sie sehen, Sie müssen nicht unbedingt auf etwas verzichten, nur weil Sie sich an den Datenschutz halten.

Natürlich umfasst dieser Beitrag noch längst nicht alle Punkte die Sie als Unternehmer erfüllen oder einhalten müssen, aber mit den angesprochenen Punkten habe Sie schon einmal einen Einblick warum es sich lohnt den Datenschutz von Beginn an einzubeziehen.

Wenn Sie neugierig sind und mehr erfahren möchten, laden wir Sie gerne ein uns zu kontaktieren. Ein erstes Gespräch ist absolut unverbindlich und kostenlos. Gerne vereinabren wir mit Ihnen einen Telefontermin oder ein persönliches Gespräch.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Der Einsatz von Google Analytics und das Cookie Urteil des EuGH

Wie letzte Woche bekannt wurde, liegen aktuell verschiedenen Datenschutzbehörden eine große Anzahl an Beschwerden wegen dem Einsatz von Google Analytics vor.

Konkret geht es hierbei um knapp 90.000 Websites, die den Datenschutzbehörden Hamburg und Nordrhein-Westfalen gemeldet wurden, weil diese Websites den Dienst Google Analytics nutzen, ohne die geforderten datenschutzrechtlichen Bestimmungen einzuhalten. [Siehe Artikel…]

Allerdings soll es laut eRecht24 auch Bußgeldandrohungen der Datenschutzbehörden Niedersachsen und Bayern geben, die sich gegen unberechtigtes Tracking richten. 

Anderen Quellen nach, handelt es sich bereits um 200.000 Beschwerden bundesweit.

Um welche Verstöße es sich konkret handelt, ist noch nicht bekannt geworden. Die Möglichkeiten sind vielfältig. Jedoch kann man davon ausgehen, dass auch das Cookie-Urteil des EuGHs vom 01.10.2019 hierbei eine Rolle spielen wird. Hier wurde festgestellt, dass Cookies, die technisch nicht erforderlich sind, eine Einwilligung des Users/Betroffenen erfordern. Hiermit sind explizit Tracking- und Werbe-Cookies gemeint.

Tracking ein berechtigtes Interesse nach Art.6 Abs. 1 lit. f DSGVO?

Bislang wurde von vielen Verantwortlichen zum Thema Tracking mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentiert. Das berechtigte Interesse ist eine Möglichkeit, die Rechtmäßigkeit einer Verarbeitung zu begründen. In diesem Falle wäre eine Einwilligung durch den Nutzer überflüssig. Im Gesetzestext findet sich jedoch die Einschränkung „…sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“

Der EuGH scheint im Falle der Tracking-Cookies das berechtigte Interesse nicht als gerechtfertigt zu werten, da er eine Einwilligung verlangt. Da wir bereits vor dem Urteil mit dieser Positionierung gerechnet haben, empfehlen wir unseren Kunden schon lange den Einsatz von Google Analytics (und ähnlichen Diensten) nur unter konsequenter Einhaltung der bestehenden Richtlinien einzusetzen.

Neben den bereits länger bekannten Voraussetzungen (kürzen der IP, Vertrag mit Google, Anpassung der Speicherdauer, …) ist spätestens jetzt auch die Cookie Richtlinie als verbindlich ansehen.

Aber ich habe doch einen Cookie-Banner….

Sollten Sie sich bei der Verwendung von Google Analytics noch auf das berechtigte Interesse stützen und keine Einwilligung einholen oder einen Cookie-Banner verwenden der nur ein „Ok“ zulässt, sollten Sie dringend über eine Umstellung nachdenken. Des Weiteren gibt es leider das Problem, dass Cookie-Banner falsch konfiguriert sind und somit auch keine wirksame Einwilligung darstellen.

Oft übersehen – die Datenschutzerklärung

Bitte vergessen Sie nicht, ebenso Ihre Datenschutzerklärung zu überprüfen. Die Notwendigkeit einer Anpassung ist sehr wahrscheinlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was Sie über den Cookie-Banner wissen müssen

Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.

Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.

Zuerst einmal: Was machen Cookies?

Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.

Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.

Wann ist die Einwilligung der User nötig?

Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.

Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.

Cookies – Wen stört´s?

Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.

Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.

Und nun?

Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.

Wir beantworten Ihnen gerne Fragen zu diesem Thema.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern Pflicht

Eine Erleichterung für kleine Unternehmen – wirklich???

Bislang galt laut § 38 BDSG-neu, dass ein Datenschutzbeauftragter (intern oder extern) bestellt werden muss, sobald in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig und automatisiert bedeutet, dass ein Mitarbeiter wiederkehrend (unerheblich ob täglich, einmal pro Woche oder einmal im Monat) personenbezogene Daten mit Hilfe eines technischen Geräts, wie z.B. einem Tablett, Handy oder PC erfasst bzw. verarbeitet.

Buchstäblich über Nacht wurde am 27.06.19 im Bundestag die Gesetzesänderung des § 38 BDSG-neu verabschiedet. Kern dieser Änderung ist die Anhebung der Grenze von 10 auf 20 Personen. Jedoch bedarf es noch einer Bestätigung des Gesetzes durch den Bundesrat.

Anstoß zu dieser Gesetzesänderung gab der Ruf nach weniger Bürokratie und finanzieller Entlastung für kleine und mittelständige Unternehmen, sowie Vereine.

Insbesondere in den Zeitschriften und Onlinepräsenzen zahlreicher Berufsverbände liest man dieser Tage von „DSGVO-Lockerung“, „Erleichterung für Betriebe“ oder „Entlastung für kleine Unternehmen“. Das hört sich gut an, wie könnte man das schlecht finden.

Aber ist es denn wirklich so?

Statistisch gesehen sind hiervon lediglich 293.000 Betriebe in Deutschland betroffen. 3,1 Mio.  Betriebe bleiben weiterhin verunsichert und allein gelassen.

Kritisch wir die Änderung von Landesdatenschutzbeauftragten gesehen. Worte wie „Milchmädchenrechnung“, „Bärendienst“ und „falsche Signale“ fielen in diesem Zusammenhang. Bundesdatenschutzbeauftragter Ulrich Kelber äußerte sich bei Twitter:

 „Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert.“ Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein“

Diese Aussage verdeutlicht, dass die monetäre Entlastung der Zielgruppe ein Trugschluss ist. Nicht nur die Arbeitszeiten die intern ohne Unterstützung eines DSB zu Buche schlägt, auch die höhere Wahrscheinlichkeit von Bußgeldern durch die Datenschutzbehörde oder einer Abmahnung durch Mitbewerber werden recht schnell zur teuren Fehlkalkulation.

Schaut man sich die Meinungen von Datenschutzexperten an, so wird schnell klar, dass es hier nicht ganz so leicht wird, wie die Schlagzeilen ankündigen.

Die Praxis zeigt leider, dass es viele Unklarheiten darüber gibt, was man im Hinblick auf den Datenschutz im eigenen Unternehmen zu tun hat und was nicht. Insbesondere die Unternehmen, die auch bis jetzt noch nichts in Sache Datenschutz unternommen haben, fühlen sich in ihrer Untätigkeit bestätigt. Die Interpretation der Nachricht „Bestellpflicht eines Datenschutzbeauftragten zukünftig ab 20 Personen“ wird schnell zu „Ich habe sowieso weniger als 20 Mitarbeiter, das mit dem Datenschutz betrifft mich nicht.“

Dies trifft jedoch nicht zu. Jeder Selbständige, jedes Unternehmen, jeder Verein – unabhängig von der Mitarbeiterzahl – ist verpflichtet die Gesetze der DSGVO und des BDSG einzuhalten.

Bürokratische To-Do`s wie die Dokumentation und Prüfung der Verarbeitungstätigkeiten, sowie den technischen und Organisatorischen Maßnahmen wird keiner entkommen! Kommen Mitarbeiter oder Auftragsverarbeiter ins Spiel, so kommen noch weitere Formalitäten hinzu. Hiervon wird man nicht entlastet, da wird auch nichts gelockert.

Die Zielgruppe, der man hier ursprünglich eine Erleichterung schaffen wollte, hatte in den meisten Fällen bis zum 25.05.2018 kaum Berührungspunkte mit dem Datenschutz, wenngleich es diesen auch schon vor der DSGVO gab. Es gab also in den meisten Fällen kein Datenschutzkonzept, kein geschultes Personal, keine Abläufe und vor allem kein Wissen über diese Materie, auf der man hätte aufbauen können. Wer musste oder willens war wandte sich an Fachpersonal, meist in Form eines externen Datenschutzbeauftragten.

Wer also tatsächlich entlastet sein möchte, der tut gut daran das Thema Datenschutz in fachkundige Hände zu geben. Dies gilt unabhängig der Mitarbeiterzahl oder Unternehmensgröße.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

EuGH-Urteil zum „Gefällt mir“ Button von Facebook

In einem Streit zwischen einem deutschen Online-Shop und einem Verbraucherverband ging es um die Rechtmäßigkeit des Einsatzes des Facebook “Gefällt mir”-bzw. Like-Button.

Der Gerichtshof der Europäischen Union hat am 29.07.2019 geurteilt:

„Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein“

Was bedeutet das für Sie als Betreiber einer Website?

Vorsicht beim Einsatz des Facebook “Gefällt mir” Buttons

Falls Sie Betreiber einer Website, Blog oder Online-Shop sind und einen Gefällt-Mir-Button von Facebook auf Ihrer Online-Präsenz eingebunden haben, sollten Sie spätestens jetzt darüber nachdenken, ob Sie dies nicht lieber ändern.

Wir sprechen hier vom Gefällt-Mir-Button und von Facebook exemplarisch für alle anderen Buttons und sozialen Netzwerken, welche den gleichen technischen Effekt haben. Ebenso kann man davon ausgehen, dass dies auch für andere Dienste anwendbar ist wie z.B. Tracking- und Online-Marketing-Einbindungen.

Das technische „Problem“ dieser Buttons ist, dass Facebook und Co. durch die Einbindung des Buttons, die Besucher Ihrer Website analysieren können und deren personenbezogene Daten erlangen. Dies gilt nicht nur für Personen die aktiv bei Facebook „mitmachen“, sondern für alle Besucher Ihrer Website.
Sobald ein Besucher Ihre Website öffnet, greift das soziale Netzwerk Daten ab. Dies sind nicht nur Daten wie Informationen über das verwendete Endgerät, sondern auch personenbezogene Daten, die einem besonderen Schutz unterliegen. Die Technik unterscheidet hier nicht zwischen Facebook-Nutzern oder Facebook-Verweigerern.

Gemeinsame Verantwortlichkeit

Tun Sie also „gemeinsame Sache“ mit Facebook, indem Sie sich dazu entschieden haben einen solchen Button einzubinden, geben Sie Facebook die Mittel und Möglichkeiten Datenprofile Ihrer Website-Besucher anzulegen und im Standard auch ohne die Benutzer darüber aufzuklären oder einzuwilligen.

Konsequenterweise sieht der EuGH für diesen Teil des Vorgangs eine gemeinsame Verantwortlichkeit von Ihnen und Facebook.

Lösung dieses Problems kann für Sie als Seitenbetreiber das Vermeiden dieser Buttons sein. Alternativ scheint eine Einwilligung (Opt-In) eine akzeptable Lösung darzustellen. Sichergestellt muss hier sein, dass keinerlei Daten vor der aktiven Einwilligung des Besuchers an Facebook & Co. übertragen werden. Die Möglichkeit durch ein sogenanntes Opt-Out zu widersprechen reicht nicht aus – Sie müssen eine aktive Einwilligung einholen, das Fehlen eines Opt-In kann abgemahnt werden. Nicht nur die Datenschutzbehörde kann hier sanktionieren, auch Verbraucherzentralen können abmahnen, wie im verhandelten Fall.

Wichtig: Die Einwilligung durch Opt-In entlässt Sie als Seitenbetreiber nicht aus der gemeinsamen Verantwortung mit Facebook für den Prozess der Datenerhebung und der Datenübertragung an Facebook. Erst nach der Übertragung sind Sie für das was danach passiert – also wie Facebook die Daten verarbeitet, nicht mehr gemeinsam verantwortlich. Es sei denn, Sie sind Betreiber einer Facebook-Fanpage. Die Facebook Fanpage ist bereits seit 2018 ein Bereich der gemeinsamen Verantwortlichkeit – des Fanpage-Betreibers und Facebook.

Haftung in vollem Umfang

Welche Ausmaße in Bezug auf Haftung dies für Sie haben könnte, formuliert Dr.Schwenke in seinem heute erscheinen Artikel so:

„…Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit.“

Eine Ausnahme zu der Einwilligung über ein Opt-In stellt das sogenannte berechtigte Interesse dar. Ob im Fall des Like-Buttons ein berechtigtes Interesse vorliegen kann, ist aktuell nicht entschieden und somit als nicht sicher anzusehen. Die Voraussetzung eines berechtigten Interesses ist, wenn überhaupt nur gegeben, wenn beide Parteien (Sie als Webseitenbetreiber und Facebook) ein solches berechtigtes Interesse haben. Es reicht nicht aus, wenn einer der beiden Parteien ein berechtigtes Interesse rechtfertigen kann. Wir empfehlen daher ein Opt-In, wenn man die Dienste weiterhin einbinden möchte.

Die Umsetzung dieser technischen Punkte ist jedoch auch nur ein Teil der Voraussetzung die Sie als Seitenbetreiber erfüllen müssen, außerdem müssen Sie mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen und selbstverständlich voll umfänglich in Ihrer Datenschutzerklärung darüber aufklären welche Daten Sie auf Ihrer Website erheben und an wen Sie diese weitergeben.

Cookie Hinweis ist Pflicht

Ein weiterer technischer Aspekt, welcher der Information und der Zustimmung bedarf, ist das Setzen von Cookies.

Facebook setzt ein Cookie auf dem Computer des Users und kann somit den Nutzer nicht nur während dem Aufruf Ihrer Website beobachten, sondern kann Ihn auf Grund des Cookies auf anderen Webseiten wiedererkennen und somit die Daten zusammenführen. Der Effekt ist, dass Facebook & Co. auf diesem Weg detaillierte Profile eines Users anlegen können, welche in Gänze betrachtet ein sehr genaues Bild einer Person ermöglicht. Dieses Profiling des Users führt dazu, dass die Neigungen und Interessen einer Person sehr genau bekannt sind bzw. auch vorhergesagt werden können. Dies trifft nicht nur auf ein mögliches Kaufverhalten zu, sondern auch auf sehr sensible Bereiche wie gesundheitlichen Zustand, finanzielle Situation oder politische Gesinnung.

Verwendet man zustimmungspflichtige Cookies, führt kein Weg an einem Cookie Banner vorbei. Aber Achtung: Nicht jeder im Netz kursierende Cookie-Banner erfüllt auch die Informationspflicht bzw. die technischen Voraussetzungen. Ein weit verbreitetes Problem ist hier der Einsatz von einem Cookie Banner, der lediglich einen Hinweis auf die Verwendung von Cookies gibt. Dies ist nicht ausreichend. Der Cookie-Banner muss verhindern, dass Daten übermittelt werden, deren Übermittlung nicht vorher zugestimmt wurde. Auch hier genügt kein Opt-Out.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Facebook und der Datenschutz

Facebook ist schon je her ein Netzwerk, dass polarisiert. Jedoch hat es eines geschafft, woran die anderen gescheitert sind.  „Alle“ sind drin, selbst die Skeptiker.

Damit ist Facebook natürlich aus Sicht eines Unternehmens der ideale Ort, um Werbung zu betreiben und „ins Gespräch“ mit potenziellen Kunden zu kommen.

Viele Unternehmer haben auf Facebook als Werbe- und Kommunikationskanal gesetzt. Das macht heute den Ausstieg aus dem Netzwerk schwer. Nicht selten wurde die Unternehmenswebsite vernachlässigt, weil man Neuigkeiten, Angebote und Kundenkommunikation direkt auf Facebook abwickelte. Kunden wie Unternehmen haben sich an dieses Medium gewöhnt. Einige Selbständige haben sogar gänzlich auf eine eigene Webseite verzichtet und nur eine Facebook-Seite betrieben.

Verständlicherweise ist die Verunsicherung groß!

Kann man eine Facebook-Seite datenschutzkonform im Einklang mit der DSGVO betreiben?

Nein! Im Moment kann man das nicht.

In unserem Alltag stellen wir immer wieder fest, dass viele Unternehmer das gar nicht glauben können. Dies für eine Sache der Auslegung halten oder die Sichtweise als „zu streng“ einordnen. Dies ist nicht verwunderlich, zumal in der Vergangenheit selbst Anwälte keine klare Position gegen die kommerzielle Nutzung von Facebook bezogen haben. Außerdem: „Die anderen machen es ja auch“. Nun wollen wir Ihnen nicht mit dem Spruch von Mutter kommen „Wenn ein anderer von der Brücke springt…usw.“ aber genauso ist es nun einmal. Nur, weil es noch viele andere machen, ist es noch lange nicht in Ordnung – und vor allem nicht rechtssicher.

Hier die Fakten:

Am 05.06.2018 urteilt der EUGH: „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“ nachzulesen hier: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Dies ist natürlich noch nicht als striktes Verbot zu sehen, jedoch müssen Sie sich nach diesem Urteil darüber im Klaren sein, dass Sie als Betreiber einer Facebook Fan-Seite für eventuelle Verstöße genauso zu Verantwortung gezogen werden können, wie Facebook selbst. Hier spielt es keine Rolle, dass Sie überhaupt keine Möglichkeiten oder Mittel haben, Daten, die über Facebook verarbeitet werden zu kontrollieren. Die logische Konsequenz, wenn man nicht mit in die Haftung genommen werden möchte, ist daher keine Facebook Fan-Page zu betreiben. Sie haben (nach aktuellem Stand) keine Möglichkeit Einfluss darauf zu nehmen, welche Daten Facebook von Ihren Kunden verarbeitet, die Kontrolle liegt bei Facebook.

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat am 06.06.2018 eine Entschließung herausgegeben, die klar das Urteil des EUGH unterstützt und begrüßt. Außerdem sind die durch Facebook zu schaffenden Voraussetzungen noch einmal formuliert, die gegeben sein müssten, um datenschutzkonform agieren zu können. Nachzulesen hier: https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf

Weiterhin wurde am 05.09.2018 durch die DSK ein Beschluss verfasst, der unter andrem folgendes Aussagt „Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“ Hier nachzulesen https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf

Facebook kündigte widerholt an, das Angebot nachzubessern. Einige Veränderungen wurden eingeführt. Nichts desto trotz wurde aktuell am 05.04.2019 folgender Beschluss veröffentlich https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf der noch einmal auf die durch Facebook eingeführten Veränderungen eingeht und diese als nicht ausreichend klassifiziert: „Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Zusammengefasst kann man also nicht davon sprechen, dass die Lage unklar ist. Nach aktuellem Stand sind Facebook-Fanseiten definitiv nicht mit der DSGVO in Einklang zu bringen. Offen bleibt, ob Facebook in der Zukunft eine Lösung für aller geforderten Maßnahmen einführen wird.

Gerne unterstützen wir Sie bei Fragen zu diesem Thema

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken