Home / Aktuelles & Termine / it.sec blog

Facebook Custom Audience

19.06.2018 10:26

Carmen Ströhl

Tags: Custom Audience , Datenschutz , Datenschutzerklärung , Datenverarbeitung , DSGVO , Einwilligungserklärungen , Facebook , Facebook-Pixel , Widerruf

Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.

Wie funktioniert Custom Audience?

Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.

Fazit:

In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.

Dr. Bettina Kraft

Senior Consultant für Datenschutz

Teamleitung/Volljuristin

Einwilligung der Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber

22.01.2018 19:48

Sabrina Kieselmann

Tags: Beschäftigtendatenschutz , Datenschutzgrundverordnung , DSGVO , Einwilligung , Einwilligungserklärung , § 26 BDSG-Neu

Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:

  • Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
  • Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
  • Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).

Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.

Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:

  • Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
  • Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
  • Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Einwilligung der betroffenen Person

15.11.2016 09:14

Sabrina Kieselmann

Tags: DSGVO , Einwilligung , Einwilligungserklärung

Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:

  • Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
  • Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
  • Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
  • Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
  • Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
  • Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
  • Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
  • Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
  • Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
  • Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Archiv

November 2020

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30