Contents
- 1 Wichtige Datenschutzinformationen für Ihr Unternehmen
- 2 Datenschutz vs. Firmendarstellung im Internet Was ist zu beachten?
- 3 Inhaltsverzeichnis:
- 4 Begrüßung | Ihr Datenschutzbeauftragter vor Ort
- 5
- 6 Datenschutz vs. Internet | Ist eine Cookie-Hinweis Pflicht?
- 7 Die EU-Cookie-Richtlinie
- 8 Allgemeine Informationen zu Cookies
- 9 Was sind Cookies und welche bedürfen einer Zustimmung?
- 10 Präferenz-, Marketing- und Targeting-Cookies
- 11 Der korrekte Cookie-Hinweis
- 12 Die Datenschutzerklärung – ein MUSS für jeden Internetseitenbetreiber!
- 13 Die rechtskonforme Datenschutzerklärung
- 14 Eine Datenschutzerklärung – auch auf Social Media?
- 15 Weitere Besonderheiten bei Social Media
- 16 Kursänderungen im Datenschutz – Konsequenzen?
- 17 Ankündigung: Die ePrivacy-Verordnung kommt!
Wichtige Datenschutzinformationen für Ihr Unternehmen
Datenschutz vs. Firmendarstellung im Internet
Was ist zu beachten?
Inhaltsverzeichnis:
Begrüßung | Ihr Datenschutzbeauftragter vor Ort
Datenschutz vs. Internet | Ist eine Cookie-Hinweis Pflicht?
Was sind Cookies und welche bedürfen einer Zustimmung?
Präferenz-, Marketing- und Targeting-Cookies
Der korrekte Cookie-Hinweis
Musterdarstellung eines Hinweises mit Einstellmöglichkeiten | SSL
Die Datenschutzerklärung – ein MUSS für jeden Internetseitenbetreiber!
Was muss in einer Datenschutzerklärung stehen?
Die rechtskonforme Datenschutzerklärung
Eine Datenschutzerklärung – auch auf Social Media?
Weitere Besonderheiten bei Social Media
Kursänderungen im Datenschutz – Konsequenzen?
Ankündigung: Die ePrivacy-Verordnung kommt!
Begrüßung | Ihr Datenschutzbeauftragter vor Ort
Liebe Leserin, lieber Leser,
fast jedes Unternehmen hat eine Internetseite, auf der individuelle Produkte und Dienstleistungen präsentiert werden. Zum Teil werden hierbei aufwendige Tracking- und Statistik-Tools integriert, externe Schriften eingebunden und das Ganze mit einer oder mehrerer Social-Media-Plattformen vernetzt. Alles mit dem Ziel die eigenen Kunden schnellst- und bestmöglich zu informieren.
Nur ist die gewählte Darstellung auch datenschutzkonform? Werden beispielsweise Cookies oder andere technische Möglichkeiten eingesetzt und wenn ja, wird auch korrekt darauf hingewiesen? Wurde auf der Seite eine gut erreichbare Datenschutzerklärung integriert und ist diese auch vollständig? Werden wirklich alle verwendeten Dienste benannt, die mit Nutzung der Seite Daten verarbeiten? Oder werden – vielleicht unwissentlich – sogar Daten an Dritte weitergeleitet?
Es gibt sehr viele Fragen zum Thema Datenschutz, wenn es um die Darstellung eines Unternehmens im Internet geht, sei es auf einer eigenen Internetseite oder auf einer Fanpage eines Social Media-Anbieters.
Da es zudem fast jedes Unternehmen betrifft und die Datenschutzgesetze durch die kommende ePrivacy-Verordnung bald zusätzlich verschärft werden, läuft diese Ausgabe unserer Datenschutzzeitung unter dem Titel „Datenschutz vs. Firmendarstellung im Internet – Was ist zu beachten?“.
Sie soll Ihnen einen ersten kleinen Überblick darüber verschaffen, was Sie aus der Sicht des Datenschutzes bei Ihren Internet-Präsentationen alles zu beachten haben. Sollten Sie darüber hinaus weitere Informationen benötigen oder eine ausführliche Beratung zum Thema Datenschutz im Allgemeinen wünschen, stehen wir Ihnen jederzeit sehr gerne zur Verfügung.
Sie erreichen uns unter der Telefonnummer +49 (30) 7474 0913 oder per E-Mail an info@cerberus.berlin.
Mit besten Grüßen
Sebastian Krone
Betrieblicher und externer Datenschutzbeauftragter
Consultant für Datenschutz und Informationssicherheit
Datenschutz vs. Internet | Ist eine Cookie-Hinweis Pflicht?
Die EU-Cookie-Richtlinie
Internetseiten verwenden aus unterschiedlichsten Gründen Cookies aller Art. Diese kleinen Alleskönner erleichtern Besuchern das Surfen, sorgen für einen schnelleren Login und helfen dabei, einen reibungslosen technischen Ablauf zu garantieren. Alles in allem sind sie aus der Online-Welt nicht mehr wegzudenken. Aber sind sie mit den vielen neuen Datenschutzbestimmungen auch legal, braucht man einen Cookie-Hinweis oder sogar individuelle Datenschutz-Einstellmöglichkeiten bzw. was ist zu tun, um datenschutzrechtlich alles richtig zu machen?
Beginnen wir bei unserer Erklärung mit der EU-Cookie-Richtlinie. Diese sieht vor, dass Besucher einer Internetseite u. a. über den Einsatz bestimmter Cookies informiert werden müssen. Zudem wird eine ausdrückliche Zustimmung gefordert, was in der Konsequenz bedeutet, dass man nur mit einem Cookie-Hinweis mit ausdrücklicher Zustimmung regelkonform ist, falls man Cookies verwendet, die einer Zustimmung unterliegen.
Das Problem ist nur, dass diese EU-Regelung in Deutschland gar nicht umgesetzt wurde, was normalerweise das Telemediengesetz (TMG, §15 Abs. 3) auf den Plan ruft. Allerdings hat man in einer Konferenz unabhängiger Datenschutzaufsichtsbehörden1 im März 2019 herausgestellt, dass die Anwendbarkeit des §15 TMG nicht gegeben ist und somit keine Rechtssicherheit bietet. Das hat wiederum zur Folge, dass auch in Deutschland die DSGVO greift – alles in allem für jeden Verantwortlichen eine sehr verwirrende Situation und daher wollen wir auf dieser und den nächsten Seiten intensiv auf die Verwendung von Cookies eingehen.
Welche Auswirkungen hat das auf einen „Cookie-Hinweis“?
Mit der Veröffentlichung der Orientierungshilfe der Aufsichtsbehörden im März 2019 wurde klar herausgestellt, dass auch in Deutschland für alle Internetseitenbetreiber ein Hinweis mit ausdrücklicher Zustimmung unumgänglich ist, falls Cookies verwendet werden die einer Zustimmung bedürfen.
Wichtig: Der Hinweis sollte die Art der Cookies unterscheiden und darf nicht nach dem Opt-Out-Verfahren gestaltet sein. Es muss somit eine aktive Zustimmung vom Besucher erfolgen, bevor eine ungewollte Verarbeitung stattfinden kann. Stillschweigen, voreingestellte Parameter oder die Untätigkeit betroffener Personen reichen nicht aus!
1 Link: Orientierungshilfe der Aufsichtsbehörden (PDF)
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf
Allgemeine Informationen zu Cookies
Cookies sind sehr kleine Textdateien, die Informationen speichern können. Sie werden bei Internetseiten unter anderem verwendet, um einen technisch einwandfreien Ablauf zu garantieren. Manche sind nur aktiv, solange die Seite genutzt wird. Sie „zerstören“ sich sozusagen selbst sobald die Seite verlassen oder der Browser geschlossen wird. Es gibt aber auch Cookies, die länger und auch seitenübergreifend wirken. Hiermit ist es zum Beispiel möglich, dass eine Produktseite angesehen wird und genau diese Angebote auf ganz anderen Seiten und Plattformen immer wieder dargestellt werden.
Welche „Arten“ von Cookies gibt es und welche benötigen eine Einwilligung? Folgend ein paar Beispiele (Auszug):
Unbedingt erforderliche-, technisch notwendige-Cookies
Diese Cookies sind zur Funktionserfüllung der entsprechenden Website erforderlich, sprich die Seite könnte ohne diese technischen Helfer die gewünschten Aufgaben und Inhalte nicht bereitstellen.
Diese Form der Cookies bedarf keiner Zustimmung, da Sie für die Bereitstellung der technischen Funktionen zwingend notwendig sind.
Session-Cookies
Session-Cookies „merken“ sich kurzfristig wichtige Information, beispielsweise die Rechte, die Ihnen nach einem Login zugewiesen werden. Diese Informationen werden dann solange vorgehalten, wie der Besucher aktiv auf der Seite tätig ist. Mit längerer Passivität, dem Verlassen der Seite oder – in diesem Fall – einem Logout, verlieren diese Cookies ihr „Gedächtnis“.
Diese, meist technischen Cookies sind unbedenklich und bedürfen keiner Zustimmung.
Leistungs- / Statistik-Cookies
Hier handelt es sich beispielsweise um Zähler, die die Attraktivität der Seite verbessern sollen – welche Seiten bzw. welche Produkte sind am beliebtesten, was wird nicht genutzt, … Meist handelt es sich hier um gruppierte Daten, die anonym gespeichert werden.
Diese Art Cookies könnte als neutral gelten, muss es aber nicht. Somit muss hier individuell geprüft werden, ob und welche Daten verarbeitet werden. Danach wird entscheiden, ob eine Zustimmung benötigt wird, oder ob ein Hinweis auf die Datenschutzerklärung ausreichend ist.
Was sind Cookies und welche bedürfen einer Zustimmung?
Präferenz-Cookies
Mit Präferenz-Cookies kann sich eine Internetseite an Informationen „erinnern“, die die Darstellung der Seite beeinflussen könnten. Ein Thema könnte die gewünschte Sprache sein. Es könnte aber auch eine Ortsbestimmung erfolgen, um dem Besucher regionale Angebote zu präsentieren.
Auch hier muss genau geprüft werden, welche Daten gespeichert werden und ob dies einer Zustimmung bedarf. Die Tendenz geht aber eher zu einem Cookie-Hinweis mit der Möglichkeit z. B. die Regionalität (Ortsangaben) abschalten zu können.
Marketing-Cookies
Marketing-Cookies erlauben es Besuchern auf andere Internetseiten zu „folgen“. Ziel ist es hier, die aufgerufenen Produkte und Dienstleistungen auch auf anderen Seiten verfügbar zu machen, diese dort einzublenden.
Zudem könnten hier Angebote z. B. mit Videos externer Anbieter (z. B. Youtube) unterstützt werden, was automatisch die Verarbeitung von Daten externer Drittanbieter nach sich zieht.
Da das „Folgen“ automatisch Drittanbieter einbindet, ist es hier auf jeden Fall zu empfehlen, einen Hinweis mit entsprechender Zustimmung in die Seite zu integrieren. Zudem könnten hier Funktionen auf der Seite zum Einsatz kommen, die von externen Dienstleistern bereitgestellt werden, die alleine durch das einblenden schon Daten abrufen und verarbeiten.
Targeting- oder „Ziel“-Cookies
Werbebanner platzieren nicht selten Cookies, welche nicht von der besuchten Seite, sondern von einem externen Webserver bereitgestellt werden. Dieser Server ist wiederum ein so genannter „Adserver“, der nur auf der eigentlich besuchten Website eingebunden ist. Diese Adserver nutzen Cookies, um Anwender-Verhalten zu analysieren, bzw. personalisierte Werbung bereitzustellen.
Alleine durch die Tatsache, dass „fremde Dritte“ bei dieser Art eingebunden werden, ist es zwingend notwendig einen Cookie-Hinweis mit expliziter Zustimmung zu platzieren.
Wichtig: Unabhängig von der Cookie-Art, sollte immer eine Prüfung durchgeführt werden. Nicht, dass doch ein Cookie rechtswidrig als „notwendig“ eingestuft wird, mit dem z. B. Verbraucherverhalten oder Ortsdienste „getrackt“ werden.
Info: Die Namen der hier verwendeten Cookies sind nur stellvertretend für viele anderen Bezeichnungen, die gebräuchlich im Internet verwendet werden.
Präferenz-, Marketing- und Targeting-Cookies
Um eine bestmögliche Funktionalität bereitzustellen, werden auf dieser Internetseite Cookies verwendet. Bitte informieren Sie sich nachfolgend mit Details einblenden über die Wichtigkeit der von uns verwendeten Cookies und ihre damit verbundenen individuellen Datenschutz-Einstellmöglichkeiten.
Der korrekte Cookie-Hinweis
Dieser sollte – wenn notwendig- individuell auf die Gegebenheiten des Unternehmens abgestimmt werden und kann von einem einfachen Text bis hin zu einer sehr ausführlichen Darstellung reichen, in dem Cookies im Allgemeinen und im Detail auch alle Funktionen erläutert werden.
Da es spätestens mit der im März 2019 veröffentlichten Orientierungshilfe der Aufsichtsbehörden feststeht, dass es auch in Deutschland einen Cookie-Hinweis geben muss, der die Möglichkeit der Deaktivierung bestimmter Cookies bietet, sollte jedes Unternehmen seinen eigenen Auftritt prüfen. Wichtig ist hierbei auch die Beachtung des Opt-In-Verfahrens, sprich die Angaben müssen datenschutzfreundlich gestaltet sein und zustimmungspflichtige Cookies müssen explizit vom Besucher ausgewählt und bestätigt werden. Zudem muss es die Möglichkeit geben, die Einstellungen jederzeit anpassen zu können.
Ein Musterhinweis
Folgend ein Beispiel, wie ein Hinweis mit individuellen Einstellmöglichkeiten korrekt eingebunden werden könnte: Vor der Auswahlliste sollte eine Nachricht stehen. Hier haben wir in unserem Beispiel einen einfachen Text gewählt:
Hierbei beschreibt der Text, um was es sich bei der Auswahlliste handelt und dass man sich über Details einblenden genau über die verwendeten Cookies informieren kann. Zudem wurden die Voreinstellungen datenschutzfreundlich umgesetzt, weil außer der für den Betrieb der Seite unbedingt notwendigen Cookies alle weiteren abgehackt dargestellt werden. Somit muss der Besucher, wenn er das möchte, der Funktionalität explizit zustimmen. Auch ein Hinweis auf die notwendige Datenschutz-Erklärung ist enthalten, womit die aktuellen Vorgaben der EU-Richtlinie erfüllt sind.
Ergänzend wäre noch folgender Satz sinnvoll: „Mit der weiteren Nutzung der Internetseite stimmen Sie unseren Nutzungsbedingungen zu.“. Aber auch hier dürften keine Funktionen genutzt werden, die noch nicht freigegeben wurden!
Der korrekte Cookie-Hinweis
Um eine bestmögliche Funktionalität bereitzustellen, werden auf dieser Internetseite Cookies verwendet. Bitte informieren Sie sich nachfolgend mit Details einblenden über die Wichtigkeit der von uns verwendeten Cookies und ihre damit verbundenen individuellen Datenschutz-Einstellmöglichkeiten.
Weitere wichtige Informationen finden Sie in unserer Datenschutz-Erklärung.
Um eine bestmögliche Funktionalität bereitzustellen, werden auf dieser Internetseite Cookies verwendet. Bitte informieren Sie sich nachfolgend mit Details einblenden über die Wichtigkeit der von uns verwendeten Cookies und ihre damit verbundenen individuellen Datenschutz-Einstellmöglichkeiten.
Notwendige Cookies sind zur Funktionserfüllung unserer Website erforderlich, sprich die Seite könnte ohne diese technischen Helfer die gewünschten Aufgaben und Inhalte nicht bereitstellen.
Detaillierte Informationen im Cookie-Hinweis
Folgend eine Musterdarstellung, nachdem Details einblenden geklickt wurde:
Dieses Beispiel soll darstellen, wie ein Hinweis mit individuellen Einstellmöglichkeiten aufgebaut sein könnte. Zum einen der allgemeine Hinweis. Zum zweiten die Auswahlliste mit der Möglichkeit individuelle Cookie-Einstellungen vorzunehmen und – nach Klick auf Details einblenden – eine genaue Erläuterung welche Cookies im Einzelnen verwendet werden und welche Funktion diese haben. Als Abschluss noch der Hinweis auf die Datenschutz-Erklärung, so dass der Besucher sich über die Cookie-Einstellungen hinaus über alle datenschutzrelevanten Themen informieren kann.
Dieses Muster müsste noch um die fehlenden Themen (Präferenzen, Statistiken, Marketing, …) ergänzt werden. Unter dem Reiter Allgemeine Informationen könnte zudem dargestellt werden, was Cookies im Allgemeinen sind.
Die Verschlüsselung des Internetprotokolls (Https://)
Von den Datenschutzbehörden wird zur sicheren Datenübertragung im Internet, z. B. beim Einsatz eines Kontaktformulars, eine Verschlüsselung vorgeschrieben – beispielsweise durch die hybride Verschlüsselung Secure Sockets Layer (SSL), die daran zu erkennen ist, dass das Internetprotokoll als Https:// dargestellt und zudem im Browser meist ein „Schloss“ eingeblendet wird.
Die Datenschutzerklärung – ein MUSS für jeden Internetseitenbetreiber!
Grundlagenwissen zur Datenschutzerklärung
Eine Datenschutzerklärung regelt insbesondere den Umgang Ihres Unternehmens mit personenbezogenen Daten: unter anderem wie werden die Daten verarbeitet, werden Daten gesammelt, genutzt oder werden Daten gar an Dritte weitergegeben. Zudem können hier Maßnahmen zum Schutz der Privatsphäre des Besuchers beschrieben werden.
Pflicht für jeden Internetseitenbetreiber
Mit der Einführung der DSGVO wurde es für jeden Internetseitenbetreiber zur Pflicht, auch eine Datenschutzerklärung zu veröffentlichen. Der Link zur Seite muss hierbei gut sichtbar und gut erreichbar sein, beispielsweise direkt im Menü, oder aber am Ende der Seite, wo z. B. auch Adressdaten, Öffnungszeiten, Impressum und viele weitere wichtige Informationen verankert sind.
Geregelt wird das Ganze aktuell im Telemediengesetz (TMG, § 13 Abs. 1). Hier verlangt der Gesetzgeber, dass zu Beginn des Nutzungsvorgangs (z. B. mit dem Aufruf der Webseite) der Nutzer:
„… über Art, Umfang und Zweck der Erhebung und
Verwendung seiner Daten informiert werden muss …“
Ausnahmen bei der Veröffentlichungspflicht
Ausgenommen von der Veröffentlichungspflicht einer Datenschutzerklärung sind nur rein privat genutzte Seiten, wobei auch hier die Erstellung einer solchen Erklärung zu empfehlen ist – sicher ist sicher.
Alle anderen – vor allem kommerziell genutzte – Internetseiten kommen um die Erstellung einer Datenschutzerklärung nicht herum. Dies liegt auch an den automatischen Protokolldateien von Webservern, auf denen unter anderem IP-Adressen, die auch zu den personenbezogenen Daten zählen, gespeichert werden.
Welche Fragen sollten Sie sich stellen?
Betreiber einer Internetseite müssen den Besucher in der Datenschutzerklärung darüber informieren, welche Daten von ihm erhoben, wie diese verarbeitet, gespeichert und vielleicht sogar an Dritte übermittelt werden. Folgende Fragen müssten in der Datenschutzerklärung beantwortet werden:
- Welche Daten werden erfasst?
- Zu welchem Zweck werden die Daten erfasst?
- Ist die Rechtmäßigkeit der Verarbeitung (Einwilligung, Vertrag, Interessenabwägung) gegeben?
- Werden die Daten an Dritte übermittelt?
- Wo bekommt der Besucher Auskunft über seine gespeicherten Daten?
- Wie und wo kann der Besucher widersprechen?
- Werden die Fristen zur automatischen Löschung eingehalten?
Erfassen Sie alle Vorgänge – ein kleiner Auszug, Beispiele:
- Wer ist aus der Sicht des DS für die Webseite verantwortlich?
- Wer ist der Datenschutzbeauftragte?
- Werden Cookies gespeichert und wenn ja, über welchen Zeitraum?
- Verwendet der Server Session Cookies?
- Wird die IP Adresse gespeichert und wenn ja, über welchen Zeitraum?
- Werden Analyse und Statistikdaten erhoben oder gespeichert?
- Werden die Daten an Dritte übermittelt?
- Werden die Daten anonymisiert?
- Welche Daten werden genau erfasst?
- Verwenden Sie Kontaktformulare und wenn ja, wie und was genau wird zu welchem Zweck verarbeitet?
- Wird die Kommunikation von Besuchern zum Webserver verschlüsselt?
- Betreiben Sie auf Ihrer Website Gewinnspiele und wenn ja, welche Daten werden erhoben und zu welchem Zweck weiterverarbeitet?
- Gibt es eine Newsletter-Anmeldung und wenn ja, welche Daten werden erfasst und zu welchem Zweck weiterverarbeitet?
- Ist eine Registrierung bei z. B. Shopsystemen mit der DSGVO vereinbar?
Die hier dargestellten Informationen sollen Ihnen einen ersten kleinen Überblick über die Fragen verschaffen, die Sie sich für Ihre individuelle Datenschutzerklärung stellen sollten. Je nach Umfang Ihrer Darstellung könnten diese Inhalte allerdings deutlich abweichen – umfangreicher oder reduzierter sein.
Wichtig ist auf jeden Fall, dass Ihre Formulierungen einfach und für jeden Besucher nachvollziehbar sind. Daher sollten Sie Fachbegriffe möglichst vermeiden, oder diese verständlich erläutern.
Die rechtskonforme Datenschutzerklärung
Wie erstellt man eine rechtskonforme Datenschutzerklärung?
Wie Sie alleine schon anhand der vielen Fragen erkennen, ist die Erstellung einer ordentlichen Datenschutzerklärung für die eigene Internetseite eine sehr individuelle und sehr komplexe Aufgabe. Zudem werden hier Anforderungen gestellt, die Sie eventuell gar nicht selbst beantworten können. Hierzu ein Beispiel:
Wissen Sie beispielsweise, ob Sie auf Ihrer Internetseite Fonts von einem fremden Dritten nutzen (z. B. aus einer Schriftensammlung von Google)?
Falls ja, dann könnten diese Schriften auf Servern außerhalb der EU liegen. Zudem sind diese kostenfreien Sammlungen nur selten kostenlos, da Sie hier meist mit Ihren Daten, bzw. mit den Daten Ihrer Besucher bezahlen. Das wäre auch der Grund dafür, dass Sie, sollten Sie solche externen Fonts einsetzen, auch die Nutzung dieser Fonts zwingend in Ihre Datenschutzerklärung aufnehmen müssten.
Sie sehen, dass Sie zur Erstellung einer rechtskonformen Datenschutzerklärung sowohl sehr viel Technisches- als auch sehr viel Datenschutzwissen mitbringen müssten. Da diese Anforderung aber oft nicht von nur einer einzigen Person geleistet werden kann, ist es sehr zu empfehlen für diese Aufgabe mehrere Personen im Unternehmen und ggf. auch externe Dienstleister mit einzubinden, unter anderem auch Ihren Internetdienstleister und Ihren Provider.
Eine Datenschutzerklärung im Internet erstellen
Im Internet gibt es einige Generatoren, die bei der Erstellung einer ersten Datenschutzerklärung hilfreich sein können. Allerdings wissen diese automatischen Generatoren auch nicht, welche Fonts oder Tools Sie im Detail einsetzen und welche Besonderheiten Ihre Internetseite im Allgemeinen hat. Zudem werden häufig Standardtexte verwendet, die Ihre Individualität nicht abbilden und somit für Ihre Belange nicht immer zutreffend sein können.
Das ist auch der Grund, warum solche Generatoren nie ohne weiterführende Kontrollen und Ergänzungen verwendet werden sollten.
Ist eine Datenschutzerklärung auch auf Social Media-Präsentationen verpflichtend?
Ja. Hierzu hat der EuGH in 2018 entschieden, dass auch eine Unternehmenspräsentation, welche auf Social Media Seiten publiziert wird, eine eigene Datenschutzerklärung veröffentlichen muss. Schlimmer noch, so könnte eine sogenannte Fanpage sogar für Datenschutzverstöße des Betreibers (z.B. Facebook) mitverantwortlich gemacht werden!
Daher ist auch hier eine wichtige Maßgabe, alle relevanten Angaben in der Datenschutzerklärung zu benennen und nicht auf die globalen Angaben des Betreibers zu vertrauen!
Betroffen von diesen Vorgaben sind unter anderem alle Social Media Seiten, die beispielsweise
- Angebote,
- Werbung,
- bezahlte Leistungen,
- Videos,
- Bewertungen,
- und viele weitere
beinhalten.
Genau genommen wären sogar private Accounts betroffen, wenn hier Angebote oder Hinweise zu einer Firma dargestellt werden.
Fazit
Da alleine schon das Risiko einer Mitverantwortlichkeit gegeben ist, sollte auch hier jeder, der seine Inhalte auf einer Social Mediaplattform veröffentlicht, dort auch eine leicht aufzurufende und detailliert ausgearbeitete Datenschutzerklärung zur Verfügung stellen.
Eine Datenschutzerklärung – auch auf Social Media?
Plugins – Verknüpfungen zu Social Media Plattformen
Die wohl bekannteste Verknüpfung dürfte der „Like-Button“ von Facebook sein. Schnell installiert, zählt er alle Klicks auf der Seite und erhöht die Reichweite des Angebotes, bzw. die Anzahl der Besucher. Allerdings gibt es neben den vielen positiven Aspekten aber auch Risiken, die beachtet werden müssen. So übermittelt das FB-Plug-In beispielsweise auch personenbezogene Daten (u. a. die IP Adresse) und der Übermittlung zu wiedersprechen, ist aktuell ausgeschlossen.
Google Analytics, ein Dienst zum Messen und Analysieren von Website-Besuchern, bietet zwischenzeitig zwar die Möglichkeit sogenannter „Opt-outs“, womit dem Google-Tracking widersprochen und der Dienst abgeschaltet werden kann, aber dennoch ist die Nutzung bei den Landesbehörden sehr umstritten, weil es – rechtskonform – u. a. einer aktiven Zustimmung und keiner Ablehnung bedarf.
Wichtig: Unabhängig von den Tools die Sie nutzen, sollten Sie alle in Ihre Datenschutzerklärung aufnehmen und falls vom Betreiber bereitgestellt, auf jeden Fall eine Möglichkeit zur Deaktivierung bereitstellen. Zur Sicherheit sollten zudem Standardmäßig alle Plugins solange deaktiviert sein, bis eine aktive Zustimmung vorliegt.
Social Media | Sanktionen und Bußgelder
Für Sanktionen und Bußgelder kommen vor allem drei Risiken in Frage:
- Auskunft und Abmahnung durch BesucherBesucher könnten ihre Rechte (DSGVO) geltend machen. Das Spektrum reicht von einer einfachen Auskunft bis zu rechtlichen Schritten, weil die Weiterverarbeitung der Daten nicht belegt werden kann.
- Abmahnung von Mitbewerbern, Abmahnvereinen oder AnwältenMitbewerber, Abmahnvereine oder Anwälte könnten wegen der Nutzung einer Social Media Plattform schnell einen Wettbewerbsvorteil ableiten, weil die Fanpages nicht datenschutzkonform sind.
- Untersagungsverfügung und Bußgeld durch BehördenEine Datenschutzbehörde kann durchaus das Schließen einer Fanpage fordern und ggf. sogar ein Bußgeld erheben.
Ohne eine rechtskonforme Datenschutzerklärung gibt es kaum eine Handhabe gegen diese Punkte wirksam vorzugehen.
Einige Anbieter haben zwischenzeitig datenschutzkonforme Anpassungen vorgenommen, allen voran Google. Auch Facebook hat diverse Verbesserungen vorzuweisen. Eine Transparenz, wie in der DSGVO gefordert, bleiben viele allerdings weiterhin schuldig und somit ist eine eigene Erklärung sehr wichtig!
Beachten Sie weiter, wenn ein Besucher, den Sie von Ihrer Webseite vielleicht durch einen Link zu Ihrer Fanpage schicken und dieser z.B. kein Facebook Konto hat wird ohne sein Wissen von Facebook markiert.
Weitere Besonderheiten bei Social Media
Kursänderungen und Konsequenzen bei Datenschutz-Landesbehörden angekündigt
Weniger Beratungen, mehr Sanktionen. Das ist zusammengefasst in etwa die Meinung, die aktuell von mehreren Datenschutz-Landesbehörden vertreten wird. Unter anderem hat Herr Thomas Kranig (Präsident des BayLDA) einen deutlichen Kurswechsel angekündigt. Zur Begründung wurde benannt, dass die Anfragen an die Behörde in nur einem Jahr um 250% gestiegen sind und keine Zeit mehr bliebe, ausreichende Datenschutz-Beratungen durchzuführen. Daher wird die Beratungstätigkeit künftig deutlich reduziert und im Gegenzug die Kontrollen verstärkt. Unter anderem wurde bereits angekündigt, dass kurzfristig auch „kleinere“ Internetseiten überprüft werden und es wurden auch schon Bußgelder für fehlende Verschlüsselungen in Aussicht gestellt.
Da sich im Zuge dieser Überprüfungen anbietet, auch direkt die Datenschutzerklärung zu kontrollieren, sollte folgender Punkt für alle gewerblich genutzten Internetseiten auf jeden Fall berücksichtigt werden:
„Eine fehlende oder unvollständige Datenschutzerklärung auf
einer gewerblichen Webseite kann als ein Wettbewerbsverstoß
gewertet werden und zu einer Abmahnung führen.“
Ein Beispiel aus der Praxis – Anwalt mahnt Anwältin ab!
Eine Anwältin hatte in Ihrem Impressum nur wenige Zeilen dem Datenschutz gewidmet. Zudem gab es weder eine Datenschutzerklärung, noch war eine Verschlüsselung der Seite eingerichtet – trotz Kontaktformular. Es kam zu einer Anzeige durch einen konkurrierenden Anwalt. Das Urteil vom Landgericht Würzburg war eindeutig – dem Eilantrag auf Unterlassung des Klägers wurde zugestimmt. Jetzt darf die Anwältin die Seite nicht mehr unverschlüsselt und nicht mehr ohne ordentliche Datenschutzerklärung betreiben. Sollte Sie hiergegen verstoßen, droht eine Ordnungsstrafe in Höhe von 250 TEUR und eine Ordnungshaft von bis zu sechs Monaten!
Fazit
Schon eine fehlende Verschlüsselung, aber noch viel mehr eine fehlende oder unvollständige Datenschutzerklärung kann sehr unangenehme Folgen haben. Daher sollte jeder kurzfristig seine Internetseite auf Funktion und Vollständigkeit prüfen und eine fortlaufende Kontrolle sicherstellen. Neue Funktionen und neue Seiten müssen immer wieder neu in der Datenschutzerklärung verankert werden. Zudem könnte auch das Löschen von Inhalten Einfluss auf die DS-Erklärung nehmen!
Kursänderungen im Datenschutz – Konsequenzen?
Was bedeutet ePrivacy?
Von „ePrivacy“ spricht man, wenn es um den Umgang mit personenbezogenen Daten im Internet und den damit verbundenen Schutz der Privatsphäre geht.
Die ePrivacy-Verordnung (ePVO)
Die Tinte unter der DSGVO ist noch nicht so richtig trocken, wird schon die nächste größere Änderung angekündigt – die ePrivacy-Verordnung (ePVO). Sie ist eine weitere EU-Verordnung, wird voraussichtlich ab Mitte 2019 veröffentlicht und wird die ePrivacy-Richtlinie ablösen, die in Deutschland meist im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) umgesetzt wurde.
Wichtige Parameter der neuen ePrivacy-Verordnung
Mit der ePrivacy-Verordnung werden, ergänzend zur DSGVO die Rechte der Nutzer deutlich gestärkt. Folgend ein kleiner Auszug:
- Eine Verarbeitung von Daten soll ohne Einverständnis des Nutzers nicht mehr möglich sein!
- Jede Software und alle Geräte sollen im Standard nach dem Motto „Privacy-by-default“ eingestellt sein, sprich so, dass immer die datenschutzfreundlichste Einstellung greift.
- Datenschutzerklärungen sollen vereinfacht, leicht lesbar werden.
- Durch umfassende Einstellung soll ein effektiver Tracking-Schutz realisiert werden. Das unwissentliche Erstellen von Bewegungsprofilen soll komplett verboten werden.
- Anbieter sollen verpflichtet werden, Daten nach dem Stand der Technik zu sichern und vor unbefugten Zugriffen zu schützen.
- Unter anderem für staatliche Anfragen soll eine ausführliche Transparenz- und Dokumentationspflicht eingeführt werden.
Da in dieser neuen Verordnung unter anderem auch der Einsatz von Cookies neu geregelt und deutlich verfeinert wird, wird auch diese neue Verordnung großen Einfluss auf den Datenschutz im Allgemeinen aber im Speziellen auch auf Ihre individuellen Internetdarstellungen haben.
Umsetzung ab 2020
Mit der endgültigen Fassung der ePrivacy-Verordnung wird ab 2020 gerechnet. Danach wird es – wie bei der DSGVO – wieder eine Übergangsfrist geben, bis die neue Verordnung angewendet wird.
Ankündigung: Die ePrivacy-Verordnung kommt!
Cerberus Data Protection Berlin UG (hb)
Brandenburgische Straße 12
10713 Berlin
Tel.: +49 (30) 74740913
Fax: +49 (30) 74740914
Web: https://www.cerberus.berlin
E-Mail: info@cerberus.berlin
Amtsgericht Charlottenburg, HRB 120065 B
St.Nr. 27/043/30577
Geschäftsführer: Eik Wassberg
Haftungsausschluss
Mit dieser Datenschutzbroschüre soll den Lesern ein Überblick über aktuelle Datenschutzthemen vermittelt werden. Diese Informationen haben nicht den Anspruch einer Rechtsberatung. Die Verantwortung liegt immer beim umsetzenden Unternehmen. Eine Haftung für Fehler jeder Art wird ausgeschlossen.
Redaktion
Sebastian Krone
Bildnachweise
Diese Broschüre wurde in unserem Auftrag von der Firma ITKservice GmbH & Co. KG, Fuchsstädter Weg 2, 97491 Aidhausen erstellt. Alle in diesem Dokument dargestellten Bilder wurden von der ITKservice bei der Firma ccvision.de gekauft und lizensiert.