Cookies (Hinweise oder Banner) auf der Homepage und DSGVO!

Cookies (Hinweise oder Banner) auf der Homepage und DSGVO!

Cookies

Cookies sind in aller Munde und haben zuletzt aber nicht durch ihren Geschmack Aufmerksamkeit erlangt, sondern wegen der Datenschutzgrundverordnung (DSGVO). Cookies können als Datenpakete definiert werden, die zwischen Computerprogrammen ausgetauscht werden. Es gibt zudem auch Session-Cookies, Cookies für LogIns oder Warenkörbe, die keine Daten weitergeben. Sie sind nützlich, weil sie den Besuch einer Webseite erleichtern oder das Verhalten von Nutzer festhalten können.

Cookiehinweise DSGVO

Es gibt nun eine eigene Cookie-Richtlinie, die Vorgaben zu den Cookies macht. Sie ist aber eine europäische Richtlinie, die in Deutschland nicht umgesetzt wurde. In Deutschland gilt der § 15 Abs. 3 TMG, der eine Informationspflicht und ein Widerspruchsrecht vorsieht. Das bedeutet: Nutze ich Cookies, muss ich darüber informieren und ein Widerspruchsrecht einräumen. Die DSGVO hat die Cookies nicht expliziert geregelt, da die E-Privacy Verordnung dies machen sollte. Sie ist aber nicht in Kraft und daher liegt eine derzeit für die Rechtssicherheit unbefriedigend Situation vor. In jedem Fall muss informiert werden und ein Widerspruchsrecht vorgesehen werden.

Trackingcookies

Cookies bzw Trackingcookies sind solche, die ein Nutzerverhalten verfolgen. Sie dienen der Reichweitenmessung. Hier sind die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden, der Europäische Gerichtshof (EuGH Planet 49, C‑673/17 1. Oktober 2019) und nunmehr der Bundesgerichtshof (BGH Az.: I ZR 7/16, Urteil 28. Mai 2020) einig, dass eine Einwilligung notwendig ist. Sie muss proaktiv erteilt werden und nicht in einem voreingestellten Kästchen erzwungen werden. Dann muss auch über den Umfang der Einwilligung informiert werden. Ansonsten liegt ein Datenschutzverstoß vor. Klingt einfach, ist es nicht immer.

Cookiebanner oder Cookiehinweise

Viele Mandanten fragen uns, ob sie beim Einsatz von Cookies einen sogenannten Cookiebanner oder Cookiehinweise nutzen müssen. Nutzen sie Trackingcookies, so muss vor dem Datenaustausch, zwingend eine Einwilligung eingeholt werden. Da hat sich der Cookiebanner oder die Cookiehinweise etabliert. Bei einfachen Cookies kann ebenfalls einen Hinweis aufgenommen werden. Meist werden die Angaben dazu in der Datenschutzerklärung aufgenommen. Es ist noch nicht ganz klar, ob das ausreicht oder an anderer Stelle -meist zu Beginn mit Banner oder Hinweise- informiert werden muss.

Fazit

Wir denken, dass letztlich die Entscheidung des EuGH eine Einwilligung vorher einzuholen, nicht ganz unproblematisch ist. Die meisten Nutzer berichten, dass sie genervt und gedankenlos alle Cookies akzeptieren. Das ist natürlich ein Argument, dass man aus den Allgemeinen Geschäftsbedingungen bei Fitnessverträgen und Handyverträgen kennt. Keiner außer Juristen lesen diese, und die lesen es meist auch nur für Mandanten. Fakt ist aber, dass sich die Unternehmen mehr Gedanken zum Datenschutz machen und damit auch für etwaiges Fehlverhalten sensibilisiert sind. Insofern ist das Erfordernis einer Einwilligung für Cookies zweckmäßig und dient dem Datenschutz. Es ist im Übrigen auch für die Behörde ein, einfach zu ermittelnder Verstoß. Daher raten wir, hier besondere Aufmerksamkeit zu widmen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz und Cookies haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Dex Ezekiel

Google Analytics und DSGVO! DSK-Beschluss

Google Analytics und DSGVO! DSK-Beschluss

Google Analytic undd DSK

Mit Beschluss vom 12.05.2020 hat sich die Datenschutzkonferenz (DSK) erneut zu Google Analytics und DSGVO (Datenschutzgrundverordnung) geäußert. Die DSK stellt zunächst einmal klar, dass zwischen dem Nutzer von Google Analytics und Google LLC kein Auftragsverarbeitungsvertrag vorliegt. Kern der Aussage ist, dass Google LLC sich vorbehalte, die Daten auch zu eigenen Zwecken zu nutzen. Damit hat der Google Analytics Nutzer die Entscheidungsfreiheit. Daraus folgt wiederum, dass keine Auftragsverarbeitung vorliegt. Was meinen die Juristen nun damit?

Einwilligung Google Analytics

Für den praktischen Anwender, der typischerweise kein DSGVO Spezialist ist und nicht sein muss, bedeutet der Beschluss zweierlei:

  1. Es ist datenschutzrechtlich zulässig, Google Analytics zu nutzen.
  2. Es ist eine Einwilligung des Betroffenen erforderlich.

Die gute Nachricht ist, dass dieses Tool zur Reichweitenmessung grundsätzlich benutzt werden darf. Etwas schwieriger wird es schon mit der Umsetzung. Erforderlich ist erstmal eine Einwilligung des Webseitenbesuchers. Diese muss vorher erteilt werden und freiwillig sein. Außerdem fordert die DSK einen deutlichen Hinweis diesbezüglich, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. Die einzelnen Schritte sind in dem Beschluss anschaulich durch die Behörde beschrieben. Wer Google Analytics nutzen will, sollte diese sorgfältig lesen und beachten. Wir haben Sie hier nochmals verlinkt.

Bußgelder

Man kann die Auffassung der DSK teilen oder nicht. Es ist nicht klar, wie ein Gericht, die Rechtslage einschätzen würde. Manche Kollegen teilen die Auffassung der Behörde nicht. Letztlich kann aber aus unserer Sicht empfohlen werden, den Weg der Behörde zu folgen, um ein Bußgeld auszuschließen. Die meisten Gerichte folgen -typischerweise- der Auffassung der Behörde. Wer also kein grundsätzliches Interesse an der Entwicklung des Datenschutzes hat, sollte die Anweisungen beachten.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeuaftragter in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Adeoulu Eletu

Aufzeichnungen von Telefongesprächen nach der DSGVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DSGVO und deren Zulässigkeit.

Aufzeichnung Telefongespräch (DSGVO)

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DSGVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DSGVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat zu der Problematik Telefongespräch nach DSGVO folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen (DSGVO)

Durch die DSGVO hat sich also für Telefongespräch letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach § 201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Kanzlei für Datenschutzrecht (DSGVO)

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DSGVO) und zertifizierter Datenschutzbeuaftragter in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Nik Macmillan

Datenschutz, DSGVO und Zulässigkeit von Facebook Custom Audience.

Datenschutz, DSGVO und Zulässigkeit von Facebook Custom Audience.

Facebook Custom Audience und DSGVO

Ein Thema, das viele Menschen aus dem Bereich Marketing interessiert, ist der Einsatz von Facebook Custom Audience, Datenschutz und DSGVO. Darf ich mit Einführung der DSGVO Facebook Custom Audience noch nutzen oder muss ich es sofort unterlassen? Was passiert, wenn ich es trotz Unzulässigkeit weiter nutze? Das sind nur einige Fragen rund um Facebook Custom Audience.

BayVGH und Facebook Custom Audience

Der Einsatz von Facebook Custom Audience, ist laut Bayerischem Verwaltungsgerichtshof (BayVGH, B.v. 26.9.2018 – 5 CS 18.1157) nicht zulässig. Die bayerische Datenschutzbehörde (Bayerische Landesamt für Danteschutzaufsicht-BayLDA) teilt diese Auffassung. Damit sind Verwaltung und Rechtsprechung auf einer Linie. Was bedeutet das nun für mich als Verantwortlichen?

Das bedeutet erstmals, dass ich bei der Nutzung von Facebook Custom Audience Gefahr laufe, Post von der Datenschutzbehörde zu bekommen. Wenn ich dann gegen eine etwaige Anordnung vorgehen möchte, ist es sehr wahrscheinlich, dass die Gerichte sich dieser Rechtsprechung anschließen.  Mir droht als Verantwortlicher damit ein Bußgeld.

Einwilligung des Betroffenen

In dem zu entscheidenden Fall hat der BayVGH geurteilt, dass keine geeignete Rechtsgrundlage für die Erhebung von Daten über Facebook Custom Audience bestanden hat. Einige Berater gehen jetzt nun dazu über und raten ihren Mandanten, eine Einwilligung bei dem Betroffenen einzuholen und somit eine Rechtsgrundlage zu erschaffen. Ist das ohne weiteres so möglich?

Eine Einwilligung muss nach DS-GVO für einen bestimmten Zweck, in informierter Weise und freiwillig sein. Aus unserer Sicht bestehen im Hinblick auf die Informiertheit bedenken. Ich kann immer nur in eine Datenverarbeitung einwilligen, die ich auch verstehe. Worin willige ich eigentlich ein? Dazu muss dem Betroffenen mitgeteilt werden, was mit seinen personenbezogenen Daten passiert. Es stellt sich damit die Frage, ob der Verantwortliche bei der Nutzung von Facebook Custom Audience dem Betroffenen überhaupt mitteilen kann, wie Facebook seine personenbezogene Daten nutzt.

Was macht Facebook mit den personenbezogenen Daten?

Um das näher erläutern zu können ist wichtig zu verstehen, wie Facebook Custom Audience funktioniert. Facebook Custom Audience ermöglicht es Verantwortlichen, ihre Kunden, die zugleich Nutzer von Facebook sind, gezielt zu bewerben. Zu diesem Zweck wird eine Liste erstellt mit den Kunden und Interessenten mit Namen, Telefonnummer, E-Mail-Adresse, und Wohnort. Diese Liste wird dann hoch geladen und mittels eines Hashwert-Verfahrens  in feste Zeichenketten umgewandelt. Facebook kann dadurch die Liste mit den Nutzern abgleichen und so eine Identität zwischen Kunden und Nutzer von Facebook feststellen. Der Verantwortliche kann dann beispielsweise Werbekampagnen starten. Hauptangriffspunkt des Bayerischen Verwaltungsgerichtshofs ist, das Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder entscheidet, welche Nutzer der Zielgruppenbestimmung des Verantwortlichen entsprechen und folglich bewerben werden. Diese Auswahl trifft Facebook anhand von Kriterien, die eben nur Facebook bekannt sind.

Insofern vertreten wir die Auffassung, dass auch eine Einwilligung mangels Informiertheit nicht rechtswirksam abgegeben werden kann. Eine Lösung ist derzeit nicht in Sicht. Facebook müsste hier mehr Informationen liefern. Ansonsten ist von einer Nutzung von Facebook Custom Audience derzeit abzuraten. Dies gilt natürlich für das Datenschutzrecht. Wer gleichwohl gute Geschäfte damit macht, muss sich auch über die Folgen einer Datenschutzverletzung im Klaren sein.

Anwalt für Datenschutz

Wenn Sie weitere Fragen zum Datenschutz haben, dann können Sie uns jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Rufen Sie uns an!

Ihr Anwalt und zertifizierter Dateschutzbeauftragter für DSGVO in Frankfurt

Beitragsbild: William-Iven

Hinweise zum Datenschutz nach DSGVO bei Abenteuerparks und Hochseilgärten

Hinweise zum Datenschutz nach DSGVO bei Abenteuerparks und Hochseilgärten

Datenschutz DSGVO und Hochseilgärten

Datenschutz kann mit der Datenschutzgrundverordnung (DSGVO) recht abenteuerlich sein, wie die Teilnahme an Abenteuerparks und Hochseilgärten. In dem nachfolgenden Beitrag möchten wir auf einige datenschutzrechtliche Fragen eingehen, die sich im Zusammenhang mit dem Betrieb eines Abenteuerparks oder Hochseilgärten stellen, da uns Mandanten aus dieser Branche danach gefragt haben.

Datenschutzerklärung

Die meisten Betreiber von Abentuerparks und Hochseilgärten nutzen eine Homepage oder Internetpräsenz und fallen dann in die DSGVO. Für diesen Fall erheben sie personenbezogene Daten bzw. verarbeiten solche Daten. Dann ist aber in jedem Fall darüber zu informieren. Praktischerweise macht man das mit einer Datenschutzerklärung. Diese sollte auch nicht versteckt im Impressum sein, sondern zweckmäßigerweise mit einem eigenständigen Reiter oder Schaltfläche hervorgehoben werden.

Teilnehmererklärung

Häufig unterschreiben die Teilnehmer von Hochseilgärten eine sogenannte Teilnehmererklärung. Auf dieser findet sich der Name oder die Anschrift des Teilnehmenden. Häufig wird aber auch die Telefonnummer vermerkt. Außerdem soll bei einigen Betreiber der Teilnehmer ein Feld ankreuzen und dadurch erklären, dass er eine „Einweisung“ erhalten hat. Dadurch erhoffen sich die Betreiber natürlich später, den Nachweis führen zu können, dass der Teilnehmer ordnungsgemäß in den Betrieb des Kletterparks eingewiesen wurde. Es stellt sich die Frage der datenschutzrechtlichen Zulässigkeit solcher Erklärungen. Grundsätzlich können Daten erhoben werden, die zum Zwecke der Vertragsdurchführung notwendig sind. Aus unserer Sicht ist es daher unproblematisch, wenn Daten in der Teilnehmererklärung erhoben werden, die für die Einweisung benötigt werden. Aus unserer Sicht ist das ein Teil der Vertragsdurchführung, da es um die Sicherheit des Teilnehmers geht. Rechtsprechung dazu gibt es aber noch nicht. Wichtig ist in diesem Zusammenhang der Grundsatz der Datenminimierung. So sollten sich auf diesen Formularen keine Daten finden, die nicht für die Vertragsdurchführung erforderlich sind, wie beispielsweise die religiöse Zugehörigkeit. Die Kontrollfrage sollte lauten: „Brauche ich diese Daten, um den Vertrag durchzuführen oder nicht“?

Informationspflichten

Wichtig ist in diesem Zusammenhang ferner für Bertreiber von Abenteuerparks und Hochseilgärten, über die Verarbeitung der personenbezogenen Daten zu informieren. Aus Praktikabilitätsgründen wird es wahrscheinlich nicht möglich sein, die gesamten Datenschutzhinweise auf der Rückseite der Teilnehmererklärung abzudrucken. In diesem Fall müsste natürlich darauf hingewiesen werden, dass sich auf der Rückseite einer Teilnehmerkennung überhaupt etwas befindet. Das Gesetz verlangt lediglich, dass man bei Erhebung der Daten informiert. Wie das dann im Einzelfall durch den Betreiber gehandhabt wird, bleibt ihm überlassen. Manche Autoren sehen einen Medienbruch als zulässig an und lassen es ausreichen, wenn auf der Teilnehmererklärung ein Link enthalten ist, der auf die Datenschutzhinweise verweist. Dieser Link sollte so einfach wie möglich gestaltet sein. Eine Rechtsprechung dazu ist aber bislang noch nicht bekannt. Andere Autoren sehen es als völlig ausreichend, wenn ein deutlich sichtbarer Aushang mit Datenschutzhinweisen neben dem Teilnehmenden aufgestellt wird und diese eben ohne große Schwierigkeiten Information darüber halten können, welche personenbezogenen Daten von ihnen verarbeitet werden.

Achten Sie darauf, dass Verstöße gegen das Datenschutzrecht bußgeldbewehrt sind und es deshalb erforderlich ist, sich über den Datenschutz, zumindest Gedanken zu machen. Sie benötigen zudem ein Verzeichnis der Verarbeitungstätigkeiten und Auftragsverarbeitungsverträge. Sofern Sie Arbeitnehmer beschäftigen muss auch hier der Datenschutz beachtet werden.

Anwalt für Datenschutz

Es stellen sich eine Vielzahl von datenschutzrechtlichen Problemen bei der Verarbeitung von personenbezogenen Daten in Zusammenhang mit dem Betrieb von Abenteuerparks und Hochseilgärten.

Wenn Sie Fragen rund um dieses Thema haben, dann können Sie uns jederzeit telefonisch unter 069 405 64 282 oder per Email unter info@rechtsanwalt-dsgvo.de erreichen. Über Ihren Anruf oder Ihre Nachricht freuen wir uns.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main

Beitragsbild: Nestor Pool