Änderung bei Cookie Einwilligung

cookie nur mit zustimmung

Neue Datenschutz Regeln bei Cookies

 

Für Seitenbetreiber ist das Thema Cookies inzwischen zu einer neverending Story um Einwilligungserklärungen geworden. Und die Geschichte geht weiter: Nach einem Urteil des Europäischen Gerichtshofs (EuGH) müssen Betreiber von Internetseiten nun noch komplexere Vorkehrungen treffen, um die Einwilligung ihrer User einzuholen und rechtlich auf der sicheren Seite zu sein.

 

Ein einfaches Banner mit voreingestellten Ankreuzkästchen erfüllt nach diesem Urteil nämlich nicht mehr die datenschutzrechtlichen Anforderungen. Dadurch ist mit einer verschärften Regulierung in Deutschland zu rechnen. Doch was bedeutet das nun für Seitenbetreiber?

 

Rechtliche Definitionen und Aufgaben für Unternehmen

 

Das EuGH-Urteil definiert, dass eine Einwilligung zur Verwendung von Cookies „für den konkreten Fall“ und „unmissverständlich“ erteilt werden muss. Dies bedeutet, dass der Nutzer aktiv zustimmen muss. Ein passives Weitersurfen oder wegklicken eines Banners reichen damit nicht mehr aus. Zusätzlich müssen dem Nutzer klare und verständliche Informationen zur Verwendung seiner Daten zur Verfügung gestellt werden. Außerdem müsse er die Funktionsweise der Cookies verstehen können und über die Funktionsdauer, die Zugriffsmöglichkeiten Dritter und die Empfänger informiert werden.

 

Rechtlich wäre es leicht zu sagen: „Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.“ Diese Aussage ist juristisch 100%ig richtig. Sie wird den meisten Unternehmen aber praktisch nicht weiterhelfen. Für sie bedeutet das Urteil, dass sie entweder das Webtracking über Drittseiten deutlich einschränken oder eine aktive Einwilligung mit umfassenden Erläuterungen vorsehen. Die wichtigste Frage für Internetseitenbetreiber ist nun: Wie können sie diese Vorgaben praktisch und effizient umsetzen?

 

Tools und Tipps zur Umsetzung der Cookie Regeln

 

Zusammengefasst dürfen Tracking-Cookies also nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden. Zu beachten ist erstmal, dass nicht alle Cookies betroffen sind. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind zum Beispiel Warenkorb-Cookies, Cookies für LogIns, Cookies die eine Länder- oder Sprachauswahl betreffen oder Cookies, die Consent Tools für die Cookie Einwilligung setzen

 

In der aktuellen Diskussion und bei dem Urteil des EuGH geht es im Wesentlichen um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.

 

Empfehlungen von Consent Tools:

 

+ Cookiebot

Wie schon an verschiedenen Stellen vorgestellt nutzen wir die Lösung von Cookiebot: https://cookie.dsbok.de. Kunden die ein Konto über uns bestellte haben, können die neuen Einstellungen von uns administrieren lassen.

 

+ Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

 

Für DSBOK Kunden bieten wir eine Lösung von Usercentrics an, die ohne Zusatzkosten exklusiv in Mandat enthalten ist und die wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt. Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know How.

 

+ Borlabs Cookie: PlugIn für WordPress

Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie.

 

+ Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat:

https://www.consentmanager.de/

 

Checkliste für Consent Tools:

 

Egal für welches Consent Tool Sie sich entscheiden, prüfen Sie auf jeden Fall, ob folgende Voraussetzungen erfüllt sind:

 

+ Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein

+ Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken

+ Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden

+ Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein

 

Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Achten Sie darauf, dass Sie Ihr Consent Tool in Ihrer Datenschutzerklärung darstellen. Zu beachten ist außerdem, dass bei einer Nutzung von Consent Tools die Datenschutzerklärung angepasst werden muss.

 

Für die Umsetzung sollten sich Seitenbetreiber nicht zu viel Zeit lassen. Es wurden zwar keine Fristen gesetzt, aber die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.

 

Tipps für Werbetreibende zum Cookie-Urteil:


Schritt: Prüfen

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:

  • Welche Plugins/Tools werden für dieWebsite/App genutzt? Häufig ist dies nicht bekannt, weil ein IT Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
  • Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten Ihrer Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter/System? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät Ihrer Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
  • Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?
  • Speichert das Plugin/Tool Bewegungs oder Aktionsdaten des Benutzers aus denen sich personenbezogene Profile erstellen lassen?

    Schritt: Maßnahmen ergreifen

Für jedes Plugin/Tool, für das alle oder einige der obenstehenden Fragen mit „ja“ beantwortet werden, können folgende Maßnahmen teilweise oder gesamt erforderlich sein:

  • Schließen Sie mit dem Anbieter des Plugins/Tools eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO ab. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine von Ihnen vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
  • Informieren Sie die Nutzer Ihrer Website/App über das Plugin/Tool und stellen Sie dafür alle Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS- GVO zur Verfügung. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
  • Holen Sie vor der Aktivierung des Plugins/Tools eine ausdrückliche Einwilligung (Opt- in) der Nutzer ein, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht.
  • Dokumentieren Sie den hierfür implementierten Prozess sowie die technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen.

Vorgehen bei Social-Media-Plugins

Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen sie Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Trackingtool auf dem eigenen Server

Wenn das eingesetzte Trackingtool auf der eigenen Serverlandschaft installiert ist und keine Daten an Dritte schickt, ist zu beachten, dass trotzdem für das Tracking eine Einwilligung eingeholt werden sollte. Die Problematik mit dem weiteren Empfänger entfällt an dieser Stelle. Ggf. muss mit der Agentur, die das Plugin/Tool betreut/einrichtet ein AV Vertrag abgeschlossen werden. Hier werden zwar keine personenbezogenen Daten an Dritte weitergegeben aber der Sachverhalt, das aus dem Tracking automatisiert Profile erstellt werden können erfordert die Einwilligung.

Einwilligungserklärungen nutzerfreundlich gestalten

Viele Firmen versuchen die Einwilligung durch Nebensätze wie „… wenn Sie nicht zustimmen, können wir Ihnen eventuell verschiedene Dienste auf unserer Webseite nicht richtig anbieten…“ zu „erzwingen“. Dies stellt im Rahmen der DSGVO ein Problem da, weil zum einen dem User keine nennenswerten Nachteile durch die Verweigerung der Einwilligung entstehen. Zudem gilt bei der Einwilligung „Privacy by design“ und „privace by default“. Design ist hier auf den Inhalt bezogen. Die textliche Gestaltung suggeriert hier, dass der Betroffene das System nicht vollständig benutzen kann, wenn er nicht zustimmt.

Dazu noch ein wichtiger Tipp zum Schluss: Eine gut gemachte Einwilligung, erzeugt mehr Zustimmung beim Betroffenen als eine karge Wort-Wüste die es auf das allernötigste reduziert.

Weitere Informationen zu dem Thema finden Sie in meinem PDF „Cookies und Tracking“, das Sie sich herunterladen können. Kontaktieren Sie mich, wenn Sie mit Ihrem Unternehmen Unterstützung bei der Umsetzung benötigen. Melden Sie sich einfach bei mir und genießen Sie trotz der ganzen Diskussion weiterhin Ihre Kekse zum Kaffee!

 

Geschäftsgeheimnisse besser schützen – ansonsten geht der Rechtsschutz verloren

datenpannen fehlversendungen

Seit dem 18. April diesen Jahres ist das Gesetzt zum Schutz von Geschäftsgeheimnissen (GeschGehG) in deutsches Recht transformiert. Damit ist nicht mehr nur der Schutz von personenbezogenen Daten, sondern auch von Betriebsdaten geregelt. Für Unternehmen resultieren daraus einschneidende Änderungen, die noch nicht in allen Firmen angekommen ist. Dabei wäre es wichtig sich intensiv mit dem Gesetz zu beschäftigen!

Unternehmen müssen Datenschutzmaßnahmen überprüfen

Es legt nämlich nicht nur fest, was unter ein Betriebs- oder Geschäftsgeheimnis fällt, sondern bietet nur noch rechtlichen Schutz, wenn Unternehmen bestimmte Geheimhaltungs- und Datenschutzmaßnahmen getroffen haben. Das neue Gesetz sollte für jedes Unternehmen der Anlass sein die eigenen Schutzvorkehrungen eingehend zu prüfen, denn es genießt nur noch derjenige Schutz, der seine Betriebsgeheimnisse gesichert hat.
Mit dem GeschGehG wird eine EU-Richtline in nationales Recht umgesetzt. Ziel ist der Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Laut der GeschGehG ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“ Auch muss ein Geschäftsgeheimnis Gegenstand von „angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ sein.

Rechtsschutz nur mit Sicherheitsmaßnahmen

Bei einem geklauten Fahrrad hat nur derjenige eine Chance auf Schadensersatz oder vor Gericht, der sein Fahrrad auch abgeschlossen hat. Wer es einfach so auf der Straße stehen lässt handelt fahrlässig. Genauso werden Unternehmen vor Gericht Probleme bekommen, wenn sie bei sich zum Beispiel Datenklau feststellen und nicht für ausreichenden Schutz der Daten gesorgt haben. Unternehmen müssen also aktiv werden und angemessene Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse treffen, um im Falle einer rechtswidrigen Nutzung oder Offenlegung Unterlassungs- oder Schadensersatzansprüche geltend machen zu können.
Zu den neuen Anforderungen der Schutzmaßnahmen gehörten unter anderem organisatorische und technische Maßnahmen, wie etwa die Einordnung von Arbeitnehmern nach bestimmten „Geheimhaltungsstufen“ oder das Einführen von Zugriffsbeschränkungen, Passwörtern und Zugangscodes. Es sollten aber auch eindeutige vertragliche Regelungen zum Schutz und zur Nutzung von Betriebsgeheimnissen getroffen werden, die sich auf Offenlegungen innerhalb eines Unternehmens oder gegenüber Dritten bestehen.

Dokumentation des Konzepts für Datenschutz

Außerdem sollten Unternehmen ihr Schutzkonzept umfassend dokumentieren, um angemessene Geheimhaltungsmaßnahmen nachweisen zu können. Mein Rat dazu: Je bedeutender und geheimer Daten und die daraus resultierenden Informationen sind, desto höhere Anforderungen sind an das Schutzkonzept zu stellen.
Das GeschGehG bedeutet für Unternehmen also einen gewissen Aufwand, denn es wird ein höherer Gehemnisschutz in technischer, organisatorischer und rechtlicher Hinsicht verlangt. Insgesamt ist das Gesetz aber ein Fortschritt für Unternehmen, denn sie profitieren von einem deutlich verbesserten Rechtsschutz und haben eine größere Absicherung – vorausgesetzt sie werden aktiv und kümmern sich darum.

Grundsätzlich ist zu sagen, dass mit dem GeschGehG endlich der immer weiter steigenden Bedeutung von Geschäftsgeheimnissen in einer globalen Wirtschaftswelt Rechnung getragen wird, wie sie nun mal in einer modernen Wissens- und Datengesellschaft existiert.

Die DSGVO wirkt – es gibt aber noch viel zu tun!

1 Jahr DSGVO

Vor gut einem Jahr ist die DSGVO in Kraft getreten und der allgemeine Tenor in der deutschen Öffentlichkeit ist leider eher negativ. Zu kompliziert, sorgt nur für Probleme und schwierig umzusetzen sind die häufigsten Vorurteile. Das ist eine falsche Darstellung, die leider eine abschreckende Wirkung hat. Dabei ist es für Unternehmen unerlässlich, sich mit dem wichtigen Thema Datenschutz zu beschäftigen.

Die negative Darstellung der DSGVO finde ich sehr ärgerlich, denn dadurch ist der Datenschutz immer noch ein Thema, das in Unternehmen zu langsam ankommt. Es wird nicht ernst genug genommen oder Unternehmer sind abgeschreckt sich damit zu beschäftigen. Und dabei ist das Thema Datensicherheit für jedes Unternehmen ein existentiell wichtiger Bereich.

Unternehmen müssen den Datenschutz stärker priorisieren

Über die Einführung der DSGVO ist die Problematik von eklatanten Sicherheitslecks beim Datenschutz in Unternehmen erst aufgedeckt worden und eine Sensibilisierung hat eingesetzt. Diese Sicherheitslecks resultieren meistens aus veralteter EDV und überholten Softwareprogrammen. Viele Unternehmen haben sich vor Investitionen in die Aktualisierung ihrer EDV gescheut und damit die Türen für Sicherheitslücken weit geöffnet. Das aber nicht so wahrgenommen.

Die Sensibilisierung für das Thema Datenschutz hat aber dank der DSGVO begonnen und die Umsetzung ist gar nicht so kompliziert! Ich habe zum Beispiel aus den Anforderungen der DSGVO eine Reihe von technisch-organisatorischen Maßnahmen (TOMs) entwickelt, über die alle Probleme erkannt und gelöst werden können. In meinen TOMs habe ich 97 Punkte festgelegt, über die der Sicherheitsstandard in Unternehmen definiert wird. Das fängt schon mit der Schlüsselregelung für die Büroräume oder mit der Auswahl des Putzpersonals an und zieht sich bis zu den Passwortregeln oder dem Rollen- und Rechtesystem. Das sind wichtige Punkte, die oftmals weder von der IT-Abteilung noch von der Geschäftsführung beachtet werden.

Die Umsetzung der DSGVO geht zu langsam voran

Bei allen Fortschritten im letzten Jahr geht die Umsetzung in den Unternehmen allerdings immer noch viel zu langsam voran. Oft läuft alles noch nach dem Motto „Das machen wir mal nebenbei“ und so ist es kein Wunder, dass erst 46 Prozent der Unternehmen in Deutschland DSGVO-konform sind. Das muss ernster genommen werden. Und der Aufwand ist viel niedriger als man denkt: Wenn man die Mängel im technisch-organisatorischen Bereich in einem Stück abstellt macht das den Aufwand 2/3 kleiner, als wenn das stückchenweise passiert. Unterbrechungen im Ablauf sind einfach ineffizient und sollten vermieden werden.

Sehr ärgerlich finde ich es auch, dass momentan Politiker fordern den Geltungsbereich der DSGVO nicht mehr auf den Mittelstand und kleine Unternehmen anzuwenden. Das ist kontraproduktiv und könnte den Schwung, den wir beim Thema Datensicherheit haben wieder verlangsamen. Es ist wichtig klarzustellen, dass Datenschutz für jedes Unternehmen äußerst wichtig ist – egal welche Größe es hat.

Datenschutz muss zum Standard in Unternehmen werden

Datensicherheit und der Schutz personenbezogener Daten muss zu einer Standard-Aufgabe für jedes Unternehmen werden. So wie das Anlegen des Sicherheitsgurts beim Auto fahren inzwischen eine Selbstverständlichkeit ist über die die wenigsten noch nachdenken. Das gilt auch für jedes Auto und nicht nur für die großen Limousinen. In einem Kleinwagen ist es genauso wichtig.

Ein weiterer wichtiger Punkt zu mehr Datensicherheit ist die Weiterbildung der IT-Mitarbeiter. Hier müssen die Unternehmensleiter etwas investieren. Die Anforderungen an diese Mitarbeiter werden nämlich immer größer und das Thema entwickelt sich schnell weiter. Gerade im Bereich Netzsicherheit. Ein Budget für die Investitionen in die IT und die Mitarbeiter sollte ein Automatismus in den Unternehmen sein.

Aufmerksamkeit für das Thema Datensicherheit verstärken

Mein Resümee nach einem Jahr DSGVO ist also, dass wir alle dankbar sein sollten das damit das Thema Datensicherheit und der Schutz personenbezogener Daten in Deutschland endlich stärker ins Bewusstsein der Unternehmen gerückt ist. Es war höchste Zeit die Aufmerksamkeit darauf zu lenken. Nun müssen wir noch daran arbeiten, dass es nicht als so kompliziert und schwierig umzusetzen wahrgenommen wird. Denn eins ist klar: Um das Thema Datensicherheit kommt kein Unternehmen herum!

 

Lesen Sie dazu auch meinen Artikel zum Schutz von Geschäftsgeheimnissen (GeschGehGz), das am 1. April 2019 in Kraft getreten ist.

 

 

 

DSGVO News, 8 Monate nach der Einführung sind wenig Betriebe vorbereitet

DSGVO nach 8 MOnaten

Die DSGVO ist nun seit 8 Monaten anwendbar und ich möchte Ihnen eine kurze Übersicht geben.
Zuerst einmal möchte ich allen Kunden für gute Zusammenarbeit danken. Leider war ich Aufgrund der hohen Anfragen von Betroffenen meiner Kunden nicht so schnell mit den Auditierungen wie geplant. Auf der anderen Seite war das Setup des Datenschutzmanagements in den Betrieben auch nicht ganz einfach. Verantwortlichkeiten mussten geklärt werden und Datenströme personenbezogener Daten ermittelt und beurteilt werden. Auch die Anforderungen an die IT und die Bemühungen der Umsetzung konnten in der Regel nicht zeitnah umgesetzt werden. Ich danke Ihnen nochmals für Ihre Geduld.

DSGVO und Abmahnungen nach UWG:
Eine wichtige Entscheidung der Gerichte im Zusammenhang mit der DSGVO ist wohl, dass die nicht Einhaltung der DSGVO nun auch in diversen Abmahnungen auftaucht und als Verstoß gegen das UWG geltend gemacht werden kann. Es gibt zwar vereinzelte Gerichte, die bei diesen Fällen anders entschieden haben aber letztlich hat nun ein OLG (Hamburg) zugestimmt, dass diese Abmahnungen rechtsgültig sind. Das heißt, dass ein Mitbewerber eine Abmahnung mit Unterlassungserklärung Aufgrund eines Verstoßes gegen die DSGVO als wettbewerbswidrig abmahnen kann. Ein Beispiel hierfür wäre zum Beispiel ein fehlenden SSL Zertifikat auf Webseiten auf denen personenbezogene Daten eingegeben werden können oder eine nicht korrekte Datenschutzerklärung. Leider sind die Abmahnungen an Unternehmen damit in den letzten 3-4 Monaten sprunghaft angestiegen. Bei nötigen Änderungen an Ihrer Webseite halte ich Sie informiert.

ePrivacy und faulige Coockies: 
Viel Wirbel gab es auch um diverse Anbindung an die Social-Media Kanälen und auch Google Dienste, die in viele Firmenwebseiten eingebunden sind. Firmen sind praktisch mitverantwortlich für den Datenschutz der Nutzer Ihrer Social-Media Profile und müssen an verschiedenen Stellen deutlich darauf hinweisen. Leider ist die Geschichte hier auch noch nicht zu Ende, da uns nach der DSGVO noch die ePrivacy Verordnung ins Haus steht (2020). Zu diesem Thema erhalten Sie in Kürze noch einen gesonderten Newsletter.

Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO:
Bundesweit ergingen bisher in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen. Vor allem kleine Unternehmen sind auf die neuen Regeln offenbar nicht vorbereitet.
Auf der Behördenseite nehmen die Aktivitäten zur DSGVO deutlich Fahrt auf. Verschiedene Datenschutzbehörden der Bundesländer haben Stichprobenweise Fragebogen an Betriebe geschickt, um den Stand der DSGVO Umsetzung abzufragen. Die Anzahl der Beschwerden bei Behörden ist nicht nur in Deutschland explodiert. Erste Zahlen beschreiben über 40.000 ernst zu nehmende Beschwerden und 20.000 Eigenmeldungen von Datenpannen in Firmen in ganz Europa.

Die deutschen Datenschutzbehörden rüsten auf:
Bisher liegen noch nicht aus jeder Landesbehörde Zahlen vor. „Die Anzahl der Beschwerden hat sich gegenüber dem Jahr 2017 um 30 Prozent erhöht, die Anzahl der Beratungen hat sich mehr als verdoppelt, die Anzahl der gemeldeten Datenpannen im Jahr 2018 hat sich mit 774 mehr als verzehnfacht“, teilte etwa der Landesdatenschützer von Baden-Württemberg, Stefan Brink, dem Handelsblatt auf Anfrage mit.
Alles in Allem wird die DSGVO langsam ernst genommen und viele Unternehmen nutzen die Gelegenheit, um Ihre IT deutlich sicherer zu gestalten, was nicht nur dem Schutz personenbezogener Daten dienlich ist, sondern auch der Absicherung des Geschäftsinhaltes.

Stand der DSGVO Umsetzung bei ca. 72%
Auch bei meinen Kunden gab es diverse Datenpannen und wie bereits erwähnt sehr viele Anfragen von Betroffenen. Die Erfüllung aller AV Vertragsanforderungen war neben den Auditterminen der größte Brocken meiner Arbeit. Die Abstimmung der einzelnen Parteien und die Vielfallt der unterschiedlichen AV Vertragsmuster ist aufwendig.

In der Gesamtheit aller Kunden Betriebe ist der Status der Umsetzung der DSGVO im Durschnitt bei 72% und damit schon deutlich besser als der Durschnitt aller bundesdeutschen Betriebe (46%), nach ersten Umfragen des Handelsverbandes. Eine Statistik dazu veröffentliche ich im Februar in meinem Blog. Ich danke Ihnen für das entgegengebrachte Vertrauen und dieses gute Ergebnis.

DSGVO Hilfe für KMU und Vereine

Letzten Monat haben wir mit dem Bau der Workshop Plattform DSBOK AKADEMIE begonnen. Die DSGVO Workshop Plattform soll kleine und mittelständische Betriebe, Arztpraxen, Vereine und sonstige Einrichtungen mit nicht mehr als 9 Mitarbeitern unterstützen. Die Umsetzung der Datenschutzgrundverordnung macht insbesondere kleineren Firmen zu schaffen.  Bis zum Frühjahr 2019 entsteht unter www.dsbok-akademie.de eine Online Workshop Plattform, mit der Firmeneigentümer Ihre Firma auf die DSGVO vorbereiten und die wichtisgten Anforderungen umsetzten und protokollieren.

US Gesetz hebelt DSGVO aus

cloud act

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben. Dies galt bisher allerdings nur, wenn die Daten in den USA lagen. Mit dem CLOUD Act stellt die Trump Regierung nun auch den Zugriff auf ausländische Server sicher.

Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. C.L.O.U.D steht für „Clarifying Lawful Overseas Use of Data Act“, ( „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“).  Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Unternehmen in den USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Auch wenn die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen im Detail voneinander abweichen, gilt dies im Grundsatz so in vielen Ländern. Ein neues LIcht hat allerdings ein Streit zwischen dem US-Konzern Microsoft und der US-Regierung auf dieses Thema geworfen. Das Unternehmen hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.

Microsoft argumentierte in dem Fall mit dem Datenschutz und damit, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind. Und das sieht in einem solchen Fall vor, dass irische Behörden und Gerichte auf der Basis von Rechtshilfeabkommen ihren US-Kollegen Amtshilfe gewähren oder eben verweigern. Nur bei Vorliegen aller entsprechenden Voraussetzungen darf dann eine Datenübermittlung stattfinden. Unabhängig von Daten ist Amtshilfe bislang bei grenzüberschreitenden strafrechtlichen Ermittlungen stets das übliche Vorgehen.

Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Nun muss Microsoft den US-Ermittlungsbehörden Zugriff auf die in der EU gespeicherten Daten gewähren. Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.

Der CLOUD Act der USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Firmen wie Microsoft hatten z.B. Ihren Service Office 365 aus Datenschutzgründen in Datencentren der T-Systems in Deutschland ausgelagert um selber keinen Zugriff mehr auf die Daten zu haben. Mit dem CLOUD Act kann auch diese Lösung nicht vor Zugriffen der US Regierung schützen.

Wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig  nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen.

 

DSGVO und Visitenkarten

DSGVO Vistenkarte Messe

Eine Frage, die ich sehr häufig von meinen Kunden höre ist: Jemand überreicht mir auf einer Messe oder sonstiger Begebenheit seine Visitenkarte. Muss meine Firma denjenigen über unsere Datenschutzhinweise informieren?

Der Betroffene nimmt in diesem Fall persönlich den Kontakt auf. Eine formalistischer gestufter Informationsprozess wäre hier angebracht. Dazu gehört zum einen die mündliche Basisinformation mit dem Hinweis auf die Datenschutzerklärung auf der Internetseite.

Pragmatisch und nach dem Sinn und Zweck der Regelung zur Informationspflicht handelt es sich bei der Abspeicherung der Angaben einer Vistenkarte um eine Fallgestalltung des Art. 13, Abs. 4 der DSGVO:

Die Informationspflicht entfällt. Denn der Betroffene hat damit, dass er mit seiner Vistenkarte ausgehändigt, schon zum Ausdruck gebracht, dass er über alle Informationen verfügt, die es Ihm gestatten, die weitere Datenverarbeitung hinzunehmen.

Nicht desto Trotz, dürfen Sie den Betroffenen nun nicht einfach mit Werbemails beschicken. In der Regel spricht man hier auch von einem „Singel Opt-In“ (SOI). Heißt, Sie dürfen den Betroffenen nur bezüglich der bei der Übergabe besprochenen Thematik anschreiben (Zweckbindung). Gegen eine weitere gegenseitige Kommunikation ist auch nichts einzuwenden.  Weitere E-Mails werblicher Form bedürfen jedoch eines Doppel-Opt-Ins (DOI).

Spätestens wenn Sie dem Kontakt ein Angebot schicken und seine personenbezogenen Daten in einem CRM System oder ERP System speichern, ist ein Hinweis zum Datenschutz notwendig.

Auf jeden Fall sollten Sie nicht vergessen, auch in Ihren E-Mails einen Hinweis mit Verlinkung auf Ihre Datenschutzerklärung zu geben. Damit kommen Sie ganz automatisch Ihrer Informationspflicht nach DSGVO innerhalb Ihrer Korrepondenz nach.

Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?

Steuerberater AV Vertrag

Im DSK-Kurzpapier vom 20.7.2018 der Datenschutzkonferenz wird hierzu nun ganz klar Stellung genommen:

In dem bundesweit abgestimmten DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung nach der DSGVO steht u.a. folgendes:
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einemeigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines – Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) …“
Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a
DS-GVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz). Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können
sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.

Weiterführende Links:
Datenschutzkonferenz, Kurzpapier 13

Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.

AV Verträge (Auftragsverarbeitung) ehem. Auftragsdatenverarbeitung

auftragsverarbeitungsvertrag

Wann brauche ich einen AV-Vertrag?

Immer wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit dem Verarbeiter ein AV-Vertrag geschlossen werden.
Dieser AV- Vertrag sichert den DSGVO konformen Umgang mit den personenbezogenen Daten.

Firmen haben in der Regel eingehende AV-Verträge und ausgehende AV-Verträge.

AV-Vertrag Eingang:

Ein von Ihnen beauftragter Dienstleister verarbeitet personenbezogene Daten von Ihnen oder einem Kunden von Ihnen und sichert uns durch den AV-Vertrag den DSGVO konformen Umgang damit zu.
Beispiel: Werbeagentur, Hosting Anbieter, IT Dienstleister, Google, usw. Diese AV-Verträge müssen proaktiv eingefordert werden

AV-Vertrag Ausgang:

Sie verarbeiten für Dritte personenbezogene Daten und sichern unseren Kunden durch den AV-Vertrag  den DSGVO konformen Umgang damit zu.
Beispiel: Auftragsdatenverarbeitung, Sonstige Service Leistungen
Diese AV-Verträge werden in der Regel von Ihren Kunden angefordert

AV- Vertrag Koppelung:

Wenn Sie Leistungen Dritter in Anspruch nehmen um Ihren Kunden Produkte oder Dienstleistungen anzubieten, müssen Sie die Eingangs AV-Verträge mit diesen Dritten mit den Ausgangs AV-Verträge an Ihre Kunden gegebenenfalls abgleichen. Sie sollten in den Ausgangs AV-Verträgen nie ein höheres Datenschutzniveau zusichern als das welches Ihnen von dem Dritten zugesichert wird. Ob Sie Koppelungen haben, geht aus dem Verzeichnis der verarbeitenden Tätigkeiten hervor.

Für Fragen und Erläuterungen stehe ich gern zur Verfügung.

Quo vadis, Facebook? Rechtsexpertin erklärt die dramatischen Folgen des EuGH-Urteils für Netzwerk und Nutzer

Pressemitteilung:  Meedia, 5.6.2018, 21:50

Das überraschende Urteil des Europäischen Gerichtshofs (EuGH) hat den Tech-Konzern Facebook und vor allem Betreiber von Fan-Pages kalt erwischt: Demnach sind letztere mitverantwortlich für Datenschutz-Verstöße bei der Nutzung des Social Networks und können dafür haftbar gemacht werden. Juristin und Lehrbeauftragte der FH Aachen Anja Neubauer, analysiert für MEEDIA die massiven Auswirkungen des Richterspruchs.

Ein Gastbeitrag von Anja Neubauer

Durch das Inkrafttreten der DSGVO am 25. Mai 2018 ist Facebook schon verschärft ins Fadenkreuz der Datenschutzbehörden gerutscht. Jedoch schon lange zuvor gab Facebook Grund zu Klagen von Datenschützern. Am heutigen 5. Juni 2018 wurde durch den EuGH im Fall des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen die Wirtschaftsakademie Schleswig-Holstein GmbH entschieden, dass diese aufgrund einer simplen „Fan-Page“ für die Verarbeitung von personenbezogenen Daten durch Facebook ebenfalls verantwortlich sind – und das obwohl die Wirtschaftsakademie weder die Verarbeitung abstellen kann, noch in irgend einer Weise Facebook mit der Verarbeitung der personenbezogenen Daten der Besucher beauftragt hat. Zudem hat der EuGH in diesem Urteil klar gestellt, dass auch eine EU-ansässige Datenschutzbehörde gegen eine im Mitgliedsstaat niedergelassene Tochtergesellschaft von Facebook vorgehen kann.

Der Fall begann vor mehr als sieben Jahren. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hatte am 3. November 2011 die Wirtschaftsakademie aufgefordert, ihre Facebook-Seite zu löschen, da Facebook Daten der Besucher dieser „Fan-Page“ sammele, jedoch weder die Wirtschaftsakademie noch Facebook die Nutzer hierüber aufkläre. Die Wirtschaftsakademie wies die Schuld von sich, da sie zum Einen Facebook nie mit der Datensammlung beauftragt habe und zum Anderen natürlich auch diese Datensammlung und -verarbeitung von ihr nicht kontrolliert werden könne.

Der EuGH hat nun letztinstanzlich knallhart reagiert: Auch wenn für die Wirtschaftsakademie nicht vermeidbar sei, dass Facebook diese Daten sammele, so hafte sie gemeinschaftlich mit Facebook zusammen für diesen Verstoß. Der Betreiber einer solchen „Fan-Page“ sei durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele der Steuerung oder Förderung seiner Tätigkeiten) an der Sammlung der personenbezogenen Daten der Besucher beteiligt. Auch lässt der EuGH die Argumentation nicht gelten, dass man als Seitenbetreiber die Sammlung nicht ausschließen könnte. Denn schließlich kann man diese Daten in Form von Statistiken als Seitenbetreiber sehen und entsprechend die Angebote gezielter gestalten. Auch wenn man diese Funktion nicht nutze, so bliebe es bei der Beachtung der Verpflichtung im Bereich des Schutzes personenbezogener Daten. Damit ist die Aufklärungspflicht gemeint und natürlich auch, dass der Nutzer – jetzt insbesondere nach der DSGVO – die Möglichkeit bekommen muss, der Datensammlung und – verarbeitung zu widersprechen.
Aber was heißt das nun in der Konsequenz?

Dies ist natürlich ein Schlag für alle Facebook-Seitenbetreiber, Entsprechendes müsste natürlich auch für alle Facebook-Gruppenbetreiber gelten.

Und dies, obwohl die Datenverarbeitung unausweichlich für den Seiten- oder Gruppenbetreiber ist. Der EuGH hat deutlich gesagt, dass a) Facebook mit seiner Zentrale in Irland verantwortlich ist und b) dass auch, selbst wenn die Datenverarbeitung durch den Seitenbetreiber nicht kontrollier- oder beeinflussbar sei, dieser ebenfalls hafte, und zwar in dem Moment, wo die Seite aufgerufen wird.

In erster Konsequenz heißt das, dass alle Seitenbetreiber ihre Seiten löschen oder zumindest „nicht sichtbar“ schalten müssten! Und zwar so lange, bis Facebook eine Option bereithält, dass die Speicherung der Daten explizit ausgeschlossen werden kann!

Dies funktioniert wie folgt: Auf der Seite oben auf „Bearbeiten“ klicken, dann den ersten Punkt „Seite veröffentlichen“ auf „Seite nicht veröffentlichen“ stellen, Grund auswählen – fertig. Dann kann außer dem Admin der Seite selbst kein Nutzer mehr diese Seite sehen.

Natürlich könnte man auch darüber nachdenken, ob nicht eine Aufklärung ausreichen könnte, denn die Datenschützer rügten vor allem, dass “keine Aufklärung der Nutzer über Facebook” erfolge.

Daher könnte man überlegen, inwieweit z.B. ein oben auf der Seite fixierter Post mit der Aufklärung der Nutzer (“Wenn Sie diese Seite besuchen, speichert und verarbeitet Facebook Ihre Daten….”) hier vielleicht ausreichen könnte. Dabei ist jedoch zu bedenken, dass eine Aufklärung mit der Einwilligung VOR dem Besuch (und damit vor dem Beginn der Datensammlung) der Facebook-Seite stattfinden muss, da sie sonst unwirksam ist.

Wenn also der Nutzer eine solche “Aufklärung” bereithalten würde, wird diese den strengen DSGVO-Vorschriften nicht standhalten – und daher wäre eine solche “Hinweismeldung” auf der Facebook-Seite nach meinem Dafürhalten nicht rechtswirksam umsetzbar. Einzig das „nicht sichtbar“-Schalten entspricht also der vom EuGH vorgesehenen Lösung – bis eben eine entsprechende Funktion zum Ausschalten der Datensammlung von Facebook bereitgehalten wird.

Zudem muss man beachten, dass es gerade nicht möglich ist, in irgendeiner Form die Datensammelflut zu verhindern – was die Richter des EuGH eben zu diesem harten Urteil bewegte. Schließlich kann der Seitenbetreiber die Daten auch nutzen, die ihm Facebook zur Verfügung stellt, auch wenn es sich nur um einen marginalen Anteil in Form von Statistiken handelt, die der Betreiber der Seite einsehen kann.

Ich persönlich werde daher meine Facebook-Seiten nun erst einmal auf „nicht sichtbar“ schalten, bis Mark Zuckerberg eine rechtskonforme Lösungsmöglichkeit für die Sammlung der Nutzer meiner Seiten bereithält und diese mir als Betreiber der Seiten zur Verfügung stellt. Eine andere Alternative sehe ich persönlich nach dem Urteil des EuGH nicht.

Für Gruppen hat der EuGH nichts in seinem Urteil verlauten lassen. In der logischen Konsequenz müsste der Gedanke hier jedoch fortgeführt werden – und im Ergebnis müsste man auch hier dazu kommen, dass auch die Sammlung von Daten durch den Betreiber einer Facebook-Gruppe mitverantwortet wird. Wenn auch hier keine Statistiken zugänglich sind wie bei Facebook-Seiten. Es werden ja schließlich auch Personenzahlen und Likes gezählt.

Hier bleibt also abzuwarten, ob und inwieweit die Rechtsprechung eine Fortentwicklung macht. Gut sieht es jedoch nicht aus für die Gruppenbetreiber.
Quo vadis, Facebook?

Mark Zuckerberg, der vor dem US-Kongress in mehrstündigen Befragungen noch schwitzte, gab sich vor dem EU Parlament neulich noch betont locker, beantwortete die vorab (!) an ihn zur Sichtung überreichten Fragen und meinte, dass Facebook schon immer die neuen Regelungen wie Datenkontrolle, Transparenz und Verantwortlichkeit berücksichtigt habe: „Wir haben diese Werte immer geteilt und den Leuten die Möglichkeit der Kontrolle gegeben, welche Informationen sie teilen und mit wem. Jetzt werden wir noch weiter gehen, um diese neuen Regeln umzusetzen.“
Kann Facebook das denn?

Kurz gesagt: Nein! Der Facebook-Seitenbetreiber kann eben diese Kontrolle nicht an die Seitenbesucher weitergeben. Seitens Facebook stehen lange angeforderte Antworten in sämtlichen Bereichen aus. Angesichts des Urteils des EuGH sehen sich nun Facebook-Seitenbetreiber in der direkten Verantwortlichkeit. Und zwar auf Augenhöhe mit Facebook selbst. Das mag zwar unschön sein, ist aber die logische (und richtige) Konsequenz, wenn Datenschutz nicht nur eine Hülse sein soll, sondern ernsthaft und in allen Konsequenzen durchgeführt werden soll.

Folge: Alle, die Fanpages besitzen, sind nun in der Haftung wie Facebook selbst. Die Datensammlung ist so nicht DSGVO-konform.

Unfair? Vielleicht. Für die Gewerbetreibenden, insbesondere die Kleinen, die sich durch die Präsenz in der Community mit Millionen Nutzern etwas mehr Werbung versprachen. Für Facebook sicher nicht: Facebook ist nicht nur eine Social Media Plattform, sondern das weltweite Role-Model zur Datenverarbeitung, um mit Profiling durch Werbung Geld zu verdienen.

Und Facebook macht abhängig – sei es im „sozialen Bereich“ mit Casino-Methoden, sei es im wirtschaftlichen Bereich für alle diejenigen, die selbst ihre Produkte und Dienstleistungen eben auch in Form von Facebook-Fanpages bewerben. Man „kann halt nicht mehr ohne“. Man kommt um Facebook nicht mehr herum.

Die Abhängigkeit der Nutzer und Gewerbetreibenden ist von Facebook gewollt. Dies natürlich in erster Linie, um viel Geld zu verdienen. Und wie verdient eine Plattform Geld, die – scheinbar – alles kostenlos zur Verfügung stellt? Mit Daten. Und dies nicht zu knapp. Zum einen verdient Facebook mit bezahlter Werbung – die Werbeanzeigen sind relativ günstig, und Facebook wirbt mit einer hohen Reichweite an Kunden. Die Effizienz wird durch die profilgenaue Bewerbung so attraktiv gemacht. Dabei kann der Werbende viele Funktionen einstellen, wie Land, Geschlecht, Interessen, kann nach Kategorien fein justieren.

Großes Problem: Nach den Vorgaben der DSGVO ist exakt diese Profilerstellung nicht erlaubt. Die Profilings, die angeblich alle anonymisiert von Facebook gespeichert werden, können überhaupt nicht anonymisiert sein. Denn auch wenn Facebook diese Daten nicht sichtbar an die Werber, Seitenbetreiber und „normale Nutzer“ weitergibt, so speichert Facebook dauerhaft die Interessen, Bewegungen im Internet und auch die Häufigkeit der Besuche auf bestimmten Seiten. Noch schlimmer: Auch persönliche Interessen, politische Ausrichtung, sexuelle Interessen, Einkaufsverhalten, verfügbares Einkommen von Haushalten und noch Vieles mehr.

Auch, wenn die Seitenbetreiber bei Facebook dies so genau nie erfahren, hat der EuGH genau hier den Schlussstrich gezogen: Auch wenn es der Seitenbetreiber weder exakte Daten kennt, noch nutzt, noch beeinflussen kann: Der Seitenbetreiber erhält Statistiken des Nutzerverhaltens und Facebook kennt die Benutzer genau, kann sogar exakte Daten über die jeweiligen User im Internet bereithalten. Sämtliche Beteuuerungen von Mark Zuckerberg gegenüber dem Kongress in den USA als auch vor dem EU Parlament waren insofern reine Beschwichtigungen, die nie umgesetzt werden konnten. Wie auch?

Das komplette Profiling wird nun durch die Regelungen der DSGVO unterbunden. Ein Rechtfertigungsgrund ist auch nicht ersichtlich. Insbesondere nicht, wenn der Schutz der Daten der Betroffenen höher ist als das monetäre Interesse eines global operierenden IT-Konzerns.

Ein Problem, für das weder Zuckerberg, noch seine Mitarbeiter eine Lösung haben. Er hat seine Hausaufgaben einfach nicht gemacht, denn die DSGVO kam ja nicht überraschend! Das fällt Facebook nun auf die Füße. So erstaunt auch Zuckerbergs Schmallippigkeit in den Anhörungen nicht: Eine Antwort auf die neuen Anforderungen hat er nicht, weil er sonst angesichts der DSGVO das Scheitern seines Geschäftsmodells hätte zugeben müssen.

Wenn über die Profilerstellung aber kein Geld mehr verdient werden kann, bleibt Facebook nur noch eine einzige Möglichkeit: Facebook wird kostenpflichtig. So weit hergeholt scheint dieser gedankliche Ansatz nicht, da selbst Zuckerberg dies gegenüber dem US-Kongress erwähnte. Er hüllt sich aber auch hier bislang in Schweigen.

Ein Ansatz könnte sein, wie es das Forbes Magazine nun für seine Homepage löste, denn der User kann dort nun zwischen verschiedenen Varianten wählen: 1) Kostenlose Benutzung der Seite, wobei der User sich mit dem Setzen von Cookies und Tracking einverstanden erklärt, 2) Der User nimmt das Miniabo und ist mit Cookies einverstanden 3) Der User wird Premiumkunde und zahlt dafür, dass er nicht getrackt wird und keine Werbung sieht.

Sicher sinnvoll für ein seriöses Magazin, das auch einen Ruf zu verlieren hat, aber gleichwohl Geld verdienen muss, dem Nutzer so aber auch zumindest auch in seiner Sorge Rechnung trägt, dass er komplett ausgelesen wird.
Wie könnte dieses Modell bei Facebook aussehen?

Wenn die Nutzer auch hier unterscheiden könnten, würden viele sicher ganz auch auf Facebook verzichten. Angesichts der Datendiskussion im Rahmen der DSGVO sind viele Nutzer nun verunsichert, wer welche Daten wo und wann schon früher von ihnen speicherte. Das konnte man auch nach dem Cambridge Analytica-Skandal gut beobachten, nach dessen Aufdeckung sogar etliche Prominente von heute auf morgen von Facebook verschwanden und ihre Profile aufkündigten.

Viele Nutzer werden sich dann vielleicht auch die Frage stellen, ob Facebook für sie den entsprechenden Nutzen hat und ebenfalls gehen. Bei vielen Seitenbetreibern wird dies heute sicher schon der Fall sein. Einige werden bleiben wollen, aber dann wird der Preis sicherlich bei der Entscheidung einen enormen Einfluss nehmen: Ist es zu teuer, werden noch mehr Nutzer gehen und sich auch nicht für die kostenpflichtige Variante entscheiden.

Ich bin mir jedenfalls sicher, dass schon allein die optionale Möglichkeit zur Entscheidung das Wegbrechen vieler Nutzer für Facebook zur Folge hat. Im Ergebnis werden dann auch natürlich die Reichweiten schmelzen – mit dem Ende des Facebook-Pixels, also dem „Cookie“, der alle Daten von externen Seiten zusätzlich sammelt, würden dann auch viele Werber Facebook den Rücken kehren. Und das wird angesichts der heutigen Rechtsprechung sicher nur eine Frage von Wochen sein, bis dies der Fall ist.

Und natürlich darf man nicht die Angst vor Bußgeldern durch die Datenschutzbehörden unterschätzen:

Die Facebook-Seitenbetreiber haben heute zumindest einen Vorgeschmack bekommen, wie schnell sie auch selbst in die Haftung kommen, wenn sie Facebook nutzen. Das alleine wird viele Gewerbetreibende dazu veranlassen, Facebook nun den Rücken zu kehren, bevor sie sich selbst haftbar machen.

Fazit

Facebook-Seitenbetreiber haften nun gemeinschaftlich mit Facebook für die von Facebook verursachten Datenschutzverstöße.

Facebook erhält nicht nur durch die neuen Regelungen zum Datenschutz durch die DSGVO eine Menge Gegenwind, auch andere Tech-Größen wie Apple verweigern bei der Mithilfe der Datensammlung durch Facebook nunmehr die Hilfe.

Datensammlung als Geschäftsmodell wird so für Facebook nicht mehr nur beschränkt, sondern regelrecht sabotiert.

Die Möglichkeiten, Facebook auch ohne Datensammlung zu monetarisieren, sind sicher vielfältig. Jedoch stellt sich angesichts Datenskandalen, Reichweitenrückgängen und fehlender DSGVO-Konformität die Frage, inwieweit das Vertrauen der Nutzer und Werber nicht bereits nachhaltig zerrüttet ist. Die Bereitschaft zur Zahlung für einst kostenlose Services steht also in Frage und stellt Zuckerberg vor massive Probleme.

Fakt ist, dass nach der neuen Rechtsprechung des EuGH nun Tausende ihre Fanpages abschalten oder unsichtbar machen werden, um nicht selbst ins Fadenkreuz der Datenschützer zu gelangen – was zu einem massiven Einbruch nicht nur der Nutzerzahlen sondern auch der Werbetreibenden auf Facebook führen wird.

Außerdem werden Facebook juristische Tricks, etwaigen Bußgeldern in Europa zu entgehen, nicht mehr viel nutzen: Der EuGH hat klargestellt, dass eine Haftung über die Zweigstelle in Irland durchsetzbar ist.

Facebook stehen harte Zeiten bevor. Und es wird sich sehr verändern. Es ist nur sicher, dass es nicht mehr so (gut) für Zuckerberg bleiben wird, wie es war.

Über die Autorin: Anja M. Neubauer ist Inhaberin der Neubauer Media Medien- und Consultinggruppe. Sie arbeitet als Honorarprofessorin Jura im Fachbereich Design der RWTH Aachen. Neubauer ist Spezialistin für Internet-, Urheber-, Wettbewerbs-, Marken- & Medienrecht.

Quellennachweis:

Quo vadis, Facebook? Rechtsexpertin erklärt die dramatischen Folgen des EuGH-Urteils für Netzwerk und Nutzer