Home / Aktuelles & Termine / it.sec blog

Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.

Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.

Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Bei unserem letzten Beitrag zum Thema Facebook & Cambridge Analytica ging man noch von ca. 50 Millionen betroffenen Facebook-Nutzern aus, deren Daten missbräuchlich verwendet wurden, mittlerweile ist die Zahl auf 87 Millionen Nutzern gestiegen. Die Daten von bis zu 310.000 Nutzern in Deutschland wurden verwendet, und das, wo nach Angaben von Facebook gerade einmal 65 deutsche Nutzer die installierte App auch genutzt hatten.

Wie das funktioniert? Die Datenschutzeinstellungen bei Facebook machen es möglich. Sobald „Freunde“ und „Freunde von Freunden“ die eigenen Informationen sehen können, greift das typische Schneeballsystem und die Verbreitung von (vermeintlich vertraulichen) Informationen steigt exponentiell. In dem Moment, wo anderen Programmen erlaubt wird, auf Facebook-Informationen zuzugreifen, wird die Gefahr noch größer, dass Daten unkontrolliert verteilt werden.

Die zuständige Ministerin ist empört: Es müsse geprüft werden, ob die Maßnahmen der DSGVO ausreichen, um die Intransparenz der sozialen Netzwerke einzudämmen und Facebook solle die Funktion seiner Algorithmen offenlegen https://katarina-barley.de/wp-content/uploads/E33.pdf. Diesbezüglich habe Facebook bereits eine „wohlwollende“ Prüfung zugesagt.

Nun muss man sich klarmachen: Facebook wird weiterhin die Daten seiner Nutzer als Einnahmequelle benötigen. Die Einführung eines Bezahlmodells ist nach eigenen Angaben keinesfalls geplant. Dass Facebook in diesem Zusammenhang die Grundlage seines Geschäftsmodells, also die Funktionsweise seiner Algorithmen freiwillig „wohlwollend“ offenlegt, scheint in diesem Zusammenhang eher unwahrscheinlich. Ohne behördlichen Zwang ist nicht davon auszugehen, dass ein Unternehmen derartige Geschäftsgeheimnisse freiwillig veröffentlicht.

Zwar ist die Einführung der DSGVO und die damit vorgegebenen Standardeinstellungen „Privacy by Design“ und „Privacy by Default“ ein guter Ansatz, europaweit für eine Eindämmung des unkontrollierten Datenaustauschs zu sorgen. Ob die Behörden den Willen und nicht zuletzt überhaupt das Personal haben, die Einhaltung dieser Vorgaben auch nachzuhalten, bleibt abzuwarten.

Facebook hat als erste Maßnahme den Zugriff anderer Apps auf die eigene Plattform zunächst gestoppt, so dass der Login mittels Facebook-Benutzerprofil bei fremden Anbietern vorerst nicht mehr möglich ist. Allerdings hat jede von Facebook freigegebene App von Fremdanbietern grundsätzlich die Möglichkeit, auf verschiedene Facebook-Schnittstellen zuzugreifen. Nun muss in jedem einzelnen Fall überprüft werden, ob der Zugriff auf diese Schnittstelle überhaupt notwendig ist oder ob ggfs. eine entsprechende Einwilligung seitens des jeweiligen Nutzers vorliegt. Eine Einwilligung muss informiert aufgrund klarer vorheriger Information erfolgen, so will es die DSGVO.

Ob diese Prüfung durch Facebook tatsächlich bis zum 25. Mai 2018, wenn die DSGVO anzuwendendes Recht in der gesamten EU ist, abgeschlossen sein wird und wie mit nachträglichen Änderungen in Nutzungsbedingungen oder in Zweckbestimmungen umgegangen wird – sei es im Text, sei es in der technischen Umsetzung, werden wir beobachten. Bis dahin - und auch generell für die Zukunft - sollte sich der Verbraucher bei Preisgabe von Daten im Rahmen der Nutzung von derartigen Diensten immer wieder bewusst machen, dass er bei der Nutzung von „kostenlosen“ Angeboten selbst das Produkt ist – und nicht etwa Kunde.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Die Datenschutzgrundverordnung (DSGVO) gilt auch für außereuropäische Unternehmen, die auf dem Markt der Europäischen Union tätig sind und damit auch für Anbieter Sozialer Netzwerke. Die Privacy Shield-zertifizierte (vgl. unter https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active) Facebook Inc. hat zudem Niederlassungen innerhalb der Europäischen Union. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, ist dabei unerheblich.

Wegen der unbefugt übermittelten Daten von ca. 50 Mio. Facebook-Nutzern an Cambrigde Analytica, die diese über ein Unternehmen erhielten, das mittels einer mobilen Applikation zu vornehmlich wissenschaftlichen Zwecken sich von den teilnehmenden Facebook-Nutzern Zugriff auf deren Profile und Kontakte geben ließ, ermittelt nun auch die britische Aufsichtsbehörde für Datenschutz.

Geplant war wohl, durch gezieltes Profiling, die politische Willensbildung der Facebook-Nutzer derart zu beeinflussen, um einen Wahlerfolg Donald Trumps im Präsidentschaftswahlkampf und angeblich auch ein Abstimmungsergebnis zu Gunsten eines Austritts Großbritanniens aus der EU zu erzielen. Dabei hatte die Mehrheit der Facebook-Nutzer weder in die Übermittlung ihrer Daten durch Facebook zugestimmt noch wurden sie über die Verwendung und insbesondere über Logik, Tragweite und v.a. Auswirkungen des Profilings informiert. Trotz der sich nach Bekanntwerden des Skandals anschließenden Unschuldsbeteuerungen von Facebook, steht für den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit fest, dass es „auch künftig das Geschäftsmodell von Facebook [bleibt], Daten zu sammeln und sie gegen Geld (…) zugänglich zu machen“ (vgl. unter http://www.handelsblatt.com/politik/deutschland/datenskandal-hamburger-datenschuetzer-zweifelt-an-facebooks-demutsgesten/21121810.html). Vielmehr zeige sich erneut, dass aufgrund der Auswertung personenbezogener Daten „nicht nur das Konsumverhalten von Personen beeinflusst, sondern auch Macht über politische Entscheidungen vermittelt“ wird (vgl. unter https://www.focus.de/finanzen/news/wirtschaftsticker/konjunktur-deutsche-datenschuetzer-wollen-facebook-schnittstellen-pruefen_id_8646575.html).

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30