Seite wählen
Google Analytics und DSGVO! DSK-Beschluss

Google Analytics und DSGVO! DSK-Beschluss

DSK vom 12.05.2020

Mit Beschluss vom 12.05.2020 hat sich die Datenschutzkonferenz (DSK) erneut zu Google Analytics und DSGVO (Datenschutzgrundverordnung) geäußert. Die DSK stellt zunächst einmal klar, dass zwischen dem Nutzer von Google Analytics und Google LLC kein Auftragsverarbeitungsvertrag vorliegt. Kern der Aussage ist, dass Google LLC sich vorbehalte, die Daten auch zu eigenen Zwecken zu nutzen. Damit hat der Google Analytics Nutzer die Entscheidungsfreiheit. Daraus folgt wiederum, dass keine Auftragsverarbeitung vorliegt. Was meinen die Juristen nun damit?

Einwilligung Google Analytics

Für den praktischen Anwender, der typischerweise kein DSGVO Spezialist ist und nicht sein muss, bedeutet der Beschluss zweierlei:

  1. Es ist datenschutzrechtlich zulässig, Google Analytics zu nutzen.
  2. Es ist eine Einwilligung erforderlich.

Die gute Nachricht ist, dass dieses Tool zur Reichweitenmessung grundsätzlich benutzt werden darf. Etwas schwieriger wird es schon mit der Umsetzung. Erforderlich ist erstmal eine Einwilligung. Diese muss vorher erteilt werden und freiwillig sein. Außerdem fordert die DSK einen deutlichen Hinweis diesbezüglich, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. Die einzelnen Schritte sind in dem Beschluss anschaulich durch die Behörde beschrieben. Wer Google Analytics nutzen will, sollte diese sorgfältig lesen und beachten. Wir haben Sie hier nochmals verlinkt.

Bußgelder

Man kann die Auffassung der DSK teilen oder nicht. Es ist nicht klar, wie ein Gericht, die Rechtslage einschätzen würde. Manche Kollegen teilen die Auffassung der Behörde nicht. Letztlich kann aber aus unserer Sicht empfohlen werden, den Weg der Behörde zu folgen, um ein Bußgeld auszuschließen. Die meisten Gerichte folgen -typischerweise- der Auffassung der Behörde. Wer also kein grundsätzliches Interesse an der Entwicklung des Datenschutzes hat, sollte die Anweisungen beachten.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Adeoulu Eletu

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnung des Telefonats als Beweismittel

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DS-GVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DS-GVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat hierzu folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen

Durch die DS-GVO hat sich also letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach §  201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DS-GVO) in Frankfurt am Main

Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Facebook Custom Audience und DS-GVO

Ein Thema, das viele Menschen, die im Bereich Marketing tätig sind, interessiert ist der Einsatz von Facebook Custom Audience. Darf ich mit Einführung der DS-GVO Facebook Custom Audience noch nutzen oder muss ich es sofort unterlassen? Was passiert, wenn ich es trotz Unzulässigkeit weiter nutze? Das sind nur einige Fragen rund um Facebook Custom Audience.

BayVGH und Facebook Custom Audience

Der Einsatz von Facebook Custom Audience, ist laut Bayerischem Verwaltungsgerichtshof (BayVGH, B.v. 26.9.2018 – 5 CS 18.1157) )nicht zulässig. Die bayerische Datenschutzbehörde (Bayerische Landesamt für Danteschutzaufsicht-BayLDA) teilt diese Auffassung. Damit sind Verwaltung und Rechtsprechung auf einer Linie. Was bedeutet das nun für mich als Verantwortlichen?

Das bedeutet erstmals, dass ich bei der Nutzung von Facebook Custom Audience Gefahr laufe, Post von der Datenschutzbehörde zu bekommen. Wenn ich dann gegen eine etwaige Anordnung vorgehen möchte, ist es sehr wahrscheinlich, dass die Gerichte sich dieser Rechtsprechung anschließen.  Mir droht als Verantwortlicher damit ein Bußgeld.

Einwilligung des Betroffenen

In dem zu entscheidenden Fall hat der BayVGH entschieden, dass keine geeignete Rechtsgrundlage für die Erhebung von Daten über Facebook Custom Audience bestanden hat. Einige Berater gehen jetzt nun dazu über und raten ihren Mandanten, eine Einwilligung bei dem Betroffenen einzuholen und somit eine Rechtsgrundlage zu erschaffen. Ist das ohne weiteres so möglich?

Eine Einwilligung muss nach DS-GVO für einen bestimmten Zweck, in informierter Weise und freiwillig sein. Aus meiner Sicht bestehen im Hinblick auf die Informiertheit bedenken. Ich kann immer nur in eine Datenverarbeitung einwilligen, die ich auch verstehe. Worin willige ich eigentlich ein? Dazu muss dem Betroffenen mitgeteilt werden, was mit seinen Daten passiert. Es stellt sich damit die Frage, ob der Verantwortliche bei der Nutzung von Facebook Custom Audience dem Betroffenen überhaupt mitteilen kann, wie Facebook seine Daten nutzt.

Was macht Facebook mit den Daten?

Um das näher erläutern zu können ist wichtig zu verstehen, wie Facebook Custom Audience funktioniert. Facebook Custom Audience ermöglicht es Verantwortlichen, ihre Kunden, die zugleich Nutzer von Facebook sind, gezielt zu bewerben. Zu diesem Zweck wird eine Liste erstellt mit den Kunden und Interessenten mit Namen, Telefonnummer, E-Mail-Adresse, und Wohnort. Diese Liste wird dann hoch geladen und mittels eines Hashwert-Verfahrens  in feste Zeichenketten umgewandelt. Facebook kann dadurch die Liste mit den Nutzern abgleichen und so eine Identität zwischen Kunden und Nutzer von Facebook feststellen. Der Verantwortliche kann dann beispielsweise Werbekampagnen starten. Hauptangriffspunkt des Bayerischen Verwaltungsgerichtshofs ist, dass Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder entscheidet, welche Nutzer der Zielgruppenbestimmung des Verantwortlichen entsprechen und folglich bewerben werden. Diese Auswahl trifft Facebook anhand von Kriterien, die eben nur Facebook bekannt sind.

Insofern vertrete ich die Auffassung, dass auch eine Einwilligung mangels Informiertheit nicht rechtswirksam abgegeben werden kann. Eine Lösung ist derzeit nicht in Sicht. Facebook müsste hier mehr Informationen liefern. Ansonsten ist von einer Nutzung von Facebook Custom Audience derzeit abzuraten. Dies gilt natürlich für das Datenschutzrecht. Wer gleichwohl gute Geschäfte damit macht, muss sich auch über die Folgen einer Datenschutzverletzung im Klaren sein.

Anwalt für Datenschutz

Wenn Sie weitere Fragen zum Datenschutz haben, dann können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt für DSGVO in Frankfurt

Hinweise zum Datenschutz nach DSGVO bei Abenteuerparks und Hochseilgärten

Hinweise zum Datenschutz nach DSGVO bei Abenteuerparks und Hochseilgärten

In dem nachfolgenden Beitrag möchten wir auf einige datenschutzrechtliche Fragen eingehen, die sich im Zusammenhang mit dem Betrieb eines Abenteuerparks oder Hochseil Garten stellen.

Datenschutzerklärung

Die meisten Betreiber nutzen eine Homepage oder Internetpräsenz. Für diesen Fall erheben sie personenbezogene Daten bzw. verarbeiten solche. Dann ist aber in jedem Fall darüber zu informieren. Praktischerweise macht man das mit einer Datenschutzerklärung. Diese sollte auch nicht versteckt im Impressum sein, sondern zweckmäßigerweise mit einem eigenständigen Reiter oder Schaltfläche hervorgehoben werden.

Teilnehmererklärung

Häufig unterschreiben die Teilnehmer eine sogenannte Teilnehmererklärung. Auf dieser findet sich der Name oder die Anschrift des Teilnehmenden. Häufig wird aber auch die Telefonnummer vermerkt. Außerdem soll bei einigen Betreiber der Teilnehmer ein Feld ankreuzen und dadurch erklären, dass er eine „Einweisung“ erhalten hat. Dadurch erhoffen sich die Betreiber natürlich später den Nachweis führen zu können, dass der Teilnehmer ordnungsgemäß in den Betrieb des Kletterparks eingewiesen wurde. Es stellt sich die Frage der datenschutzrechtlichen Zulässigkeit. Grundsätzlich können Daten erhoben werden, die zum Zwecke der Vertragsdurchführung notwendig sind. Aus meiner Sicht ist es daher unproblematisch, wenn Daten in der Teilnehmererklärung erhoben werden, die für die Einweisung benötigt werden. Diese ist aus meiner Sicht ein Teil der Vertragsdurchführung, da es um die Sicherheit des Teilnehmers geht. Rechtsprechung dazu gibt es aber noch nicht. Wichtig ist in diesem Zusammenhang der Grundsatz der Datenminimierung. So sollten sich auf diesen Formularen keine Daten finden, die nicht für die Vertragsdurchführung erforderlich sind, wie beispielsweise die religiöse Zugehörigkeit. Die Kontrollfrage sollte lauten: Brauche ich diese Daten, um den Vertrag durchzuführen oder nicht?

Informationspflichten

Wichtig ist in diesem Zusammenhang ferner, über die Verarbeitung der Daten zu informieren. Aus Praktikabilitätsgründen wird es wahrscheinlich nicht möglich sein, die gesamten Datenschutzhinweise auf der Rückseite der Teilnehmererklärung abzudrucken. In diesem Fall müsste natürlich darauf hingewiesen werden, dass sich auf der Rückseite einer Teilnehmerkennung überhaupt etwas befindet. Das Gesetz verlangt lediglich, dass man bei Erhebung der Daten informiert. Wie das dann im Einzelfall durch den Betreiber gehandhabt wird, bleibt ihm überlassen. Manche Autoren sehen einen Medienbruch als zulässig an und lassen es ausreichen, wenn auf der Teilnehmererklärung ein Link enthalten ist, der auf die Datenschutzhinweise verweist. Dieser Link sollte so einfach wie möglich gestaltet sein. Eine Rechtsprechung dazu ist aber bislang noch nicht bekannt. Andere Autoren sehen es als völlig ausreichend, wenn ein deutlich sichtbarer Aushang mit Datenschutzhinweisen neben dem Teilnehmenden aufgestellt wird und diese eben ohne große Schwierigkeiten Information darüber halten können, welche Daten von ihnen verarbeitet werden.

Achten Sie darauf, dass Verstöße gegen das Datenschutz bußgeldbewehrt sind und es deshalb erforderlich ist, sich über den Datenschutz Gedanken zu machen.

Anwalt für Datenschutz

Es stellen sich eine Vielzahl von datenschutzrechtlichen Problemen bei der Verarbeitung von Daten in Zusammenhang mit dem Betrieb von Abenteuerparks und Hochseilgärten. Wenn Sie Fragen rund um dieses Thema haben, dann können Sie uns jederzeit telefonisch unter 069 405 64 282 oder per Email unter info@rechtsanwalt-dsgvo.de erreichen. Über Ihren Anruf oder Ihre Nachricht freuen wir uns.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main