Zum Inhalt springen

Marketing

Grund­satz­fra­ge geklärt, Pro­blem gelöst oder gar der Todes­stoß? — Der EuGH zu Coo­kies und dem Datenschutz

So oder so ähn­lich wird das aktu­el­le EuGH-Urteil (Az. C‑604/​22 IAB Euro­pe) zum The­ma Daten­ver­ar­bei­tung bei per­so­na­li­sier­ter Wer­bung in der hie­si­gen Pres­se kommentiert.

Die Ver­qui­ckung von Coo­kies und Daten­schutz ist oft ein Grund dafür, dass noch immer gebets­müh­len­ar­tig wie­der­holt wird, der Daten­schutz trägt Schuld an die­sen ner­vi­gen Coo­kie-Ban­nern. Doch dazu spä­ter mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die bel­gi­sche Daten­schutz­be­hör­de zu dem Schluss, dass das Sys­tem des Trans­pa­ren­cy and Con­sent frame­work (TCF), mit dem der Wer­be­ver­band Inter­ac­ti­ve Adver­ti­sing Bureau Euro­pe (IAB), bzw. Wer­be­trei­ben­de im Inter­net Ein­wil­li­gun­gen von Nutzer:innen für ihre per­so­na­li­sier­te Wer­bung sam­melt, gegen die Daten­schutz­grund­ver­ord­nung verstößt.

Ein Bestand­teil der per­so­na­li­sier­ten Wer­bung im Inter­net ist das Real Time Bid­ding. Dazu wer­den in Echt­zeit Gebo­te für Wer­be­plät­ze auf Web­sites oder Anwen­dun­gen von Wer­be­trei­ben­den abge­ge­ben. Die­se Wer­be­plät­ze wer­den ver­stei­gert, um dort Wer­bung anzu­zei­gen, die genau auf die jewei­li­gen Nutzer:innen und deren Vor­lie­ben zuge­schnit­ten sind.

Damit dies funk­tio­nie­ren kann, müs­sen die Prä­fe­ren­zen der jewei­li­gen Nutzer:innen irgend­wo hin­ter­legt wer­den. Hier kommt das oben erwähn­te TCF, kon­kret der soge­nann­te TC-String ins Spiel. Das TC steht auch hier für „Trans­pa­ren­cy and Con­sent“. Eine Kom­bi­na­ti­on aus Zah­len und Buch­sta­ben in denen „gespei­chert“ wird, in wel­che Daten­ver­ar­bei­tung ihrer spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten die Nutzer:innen ein­ge­wil­ligt haben und in wel­che nicht. Das IAB Euro­pe teilt die­sen TC-String mit sei­nen Part­nern, damit die­se auch wis­sen wel­che Wer­bung sie ziel­ge­recht aus­spie­len kön­nen. Auf den Gerä­ten der Nutzer:innen wird für die­sen Zweck ein Coo­kie gespei­chert, damit die Zuord­nung erfol­gen kann wel­cher TC-String zu wel­chen Nutzer:innen gehört.

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

Die bel­gi­sche Daten­schutz­be­hör­de kam zu dem Schluss, dass die­ser ver­wen­de­te TC-String in Kom­bi­na­ti­on mit dem Coo­kie der IP-Adres­se der Nutzer:innen zuge­ord­net wer­den kann und somit ein per­so­nen­be­zo­ge­nes Datum dar­stellt. Des Wei­te­ren befand die Behör­de, dass das IAB Euro­pe als Ver­ant­wort­li­cher auf­tritt, jedoch die DSGVO-Rege­lun­gen nicht voll­stän­dig ein­hält. Im Zuge des­sen ver­häng­te die Behör­de diver­se Maß­nah­men und eine Geld­bu­ße in Höhe von 250.000 Euro.

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Das IAB Euro­pe wehr­te sich natür­lich dage­gen, doch nun urteil­te der Euro­päi­sche Gerichts­hof und bestä­tig­te die Ent­schei­dun­gen der bel­gi­schen Auf­sichts­be­hör­de. Der TC-String ist als per­so­nen­be­zo­ge­nes Datum und das IAB Euro­pe als gemein­sa­mer Ver­ant­wort­li­cher anzu­se­hen, so die Pres­se­mit­tei­lung des EuGH.

Es bleibt also span­nend, vor allem wie nun die Wer­be­wirt­schaft im Inter­net damit umge­hen wird. Bis­her wie­gelt das IAB Euro­pe das Urteil als tech­ni­sche For­ma­lie ab, jedoch bedeu­tet die Ein­stu­fung als gemein­sa­mer Ver­ant­wort­li­cher eine Haft­bar­keit für das IAB Euro­pe, die emp­find­li­che Stra­fen nach sich zie­hen kann.

Der Daten­schutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Daten­schut­zes an unleid­li­chen Coo­kie-Ban­nern? Wie so oft, wenn es heißt der Daten­schutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in ers­ter Linie in der ePri­va­cy-Richt­li­nie, der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die­se wur­de nicht umsonst mehr oder weni­ger lie­be­voll Coo­kie-Richt­li­nie genannt.

Do you like Cookies?

Und wer mehr über das The­ma Coo­kies auf unse­rer Web­site erfah­ren möch­te, hier ent­lang!

E‑Privacy und der geleb­te Datenschutz

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für mes­sa­ging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­indus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futura­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Was ist Datenschutz?

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch, oft im Zusam­men­hang auch mit dem Schutz der Pri­vat­sphä­re. Zweck und Ziel im Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung der Ein­zel­per­son. Jeder soll selbst bestim­men kön­nen, wem er wann wel­che sei­ner Daten und zu wel­chem Zweck zugäng­lich macht. 

Daten­schutz-Defi­ni­ti­on 

Per­so­nen­be­zo­ge­ne Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen”. 

Das Gesetz sieht eine natür­li­che Per­son als iden­ti­fi­zier­bar an, “die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie“ 

  • Namen 
  • einer Kenn­num­mer 
  • Stand­ort­da­ten 
  • einer Online-Ken­nung oder 
  • „einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann” 

Rechts­grund­la­gen im Daten­schutz 

Um per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten zu dür­fen, braucht es eine recht­li­che Grund­la­ge. Ein­fach so erlang­te Daten ande­rer Per­so­nen zu spei­chern, bear­bei­ten, ana­ly­sie­ren .. das klingt nicht logisch oder? 

Arti­kel 6 Absatz 1 DSGVO lie­fert eini­ge mög­li­che Rechts­grund­la­gen, die eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig machen kön­nen. In den sechs auf­ge­zähl­ten Punk­ten a bis f wer­den bekann­te und viel­leicht auch noch nicht so bekann­te Rechts­grund­la­gen wie etwa die Ein­wil­li­gung (a), die (vor)vertraglichen Maß­ga­ben (b) und die berech­tig­ten Inter­es­sen (f) prä­sen­tiert. Ins­be­son­de­re letz­te­re sind sehr beliebt, weil ver­meint­lich unbü­ro­kra­tisch, jedoch auch häu­fig überstrapaziert. 

Auch gesetz­li­che Vor­schrif­ten unter c, sehr wich­tig gera­de für öffent­li­che Stel­len, und lebens­wich­ti­ge Inter­es­sen per se unter d sowie die Öffent­lich­keit /​ öffent­li­che Inter­es­sen sind uns als Rechts­grund­la­gen an die Hand gegeben. 

Norm­ge­bungen 

Nicht nur in der DSGVO und dem neu­en BDSG ist der Daten­schutz anzu­tref­fen. Auch in den spe­zi­al­ge­setz­li­chen Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den /​ Kom­mu­nen — wie z.B. dam vie­len unse­rer Kun­den wohl­be­kann­ten BayDSG — sowie dem TMGSGB und Kir­chen­recht, z.B. DSG-EKD

Lei­der ist jedoch der Urva­ter jeden Daten­schut­zes schon lan­ge in Ver­ges­sen­heit gera­ten. Das Grund­recht, dass es kein Ver­bre­chen ist, über die Preis­ga­be sei­ner Daten selbst zu bestimmen. 

Daten­schutz im Bewusst­sein 

Der ste­tig zuneh­men­den Erhe­bung, Spei­che­rung, Wei­ter­ga­be, Ver­net­zung und Nut­zung von Daten durch fort­schrei­ten­de Tech­no­lo­gi­sie­rung (Email, Inter­net, Mobil­te­le­fo­ne, sozia­le Netz­wer­ke, Kun­den­kar­ten etc.) steht oft eine gewis­se Gleich­gül­tig­keit ent­ge­gen. In wei­ten Tei­len der Bevöl­ke­rung, aber auch auf Unter­neh­mer­sei­te, wird dem Daten­schutz teils kein oder nur ein gerin­ger Stel­len­wert zuge­bil­ligt. Dabei ist Daten­schutz gera­de im Lich­te fort­schrei­ten­der Glo­ba­li­sie­rung ein wich­ti­ger Weg­be­glei­ter von Kind­heit an und in zahl­lo­sen Aspek­ten des All­tags. Die welt­wei­te Ver­net­zung und eine Ver­la­ge­rung von Daten in Län­der, in denen deut­sche und euro­päi­sche Schutz­ge­set­ze kei­ne Gül­tig­keit haben, machen Daten­schutz oft wir­kungs­los oder erschwe­ren die­sen zumin­dest. Daten­schutz ist daher nicht als umständ­li­che Eigen­art son­dern Län­der­über­grei­fen­de Ver­ant­wor­tung zu aufzufassen. 

Daten­schutz prak­tisch gelebt 

Von daher geht es beim The­ma Daten­schutz mitt­ler­wei­le nicht mehr um die rei­ne Daten­si­cher­heit z.B. durch tech­ni­sche Hilfs­mit­tel, son­dern auch um eine effek­ti­ve Durch­set­zung.  Das Yin und Yang eines zeit­ge­mä­ßen und sou­ve­rä­nen Daten­schut­zes sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Auch als TOM bekannt sind sie das Herz­stück von IT-Sicher­heit und Daten­schutz, die bei­den Ele­men­te der Infor­ma­ti­ons­si­cher­heit

.. eine ech­te Errun­gen­schaft 

Bei uns in Deutsch­land ist Daten­schutz kein neu­es The­ma. Schon 1977 trat ein Bun­des­da­ten­schutz­ge­setz in Kraft, wel­ches sich jedoch mit dem Daten­schutz in der öffent­li­chen Bun­des­ver­wal­tung befass­te. Öffent­lich­keits­wirk­sam trat der Daten­schutz mit dem sog. “Volks­zäh­lungs­ur­teil” des Bun­des­ver­fas­sungs­ge­richts 1983 in den Vor­der­grund. Aus­lö­ser waren die zahl­rei­chen Wei­ge­run­gen vie­ler Mit­bür­ger, sich und ihre per­sön­li­chen Lebens­ver­hält­nis­se anläss­lich der bun­des­wei­ten Volks­zäh­lung kund­zu­tun. Das Volks­zäh­lungs­ge­setz wur­de — spek­ta­ku­lär — in Tei­len auf­ge­ho­ben und der Begriff der “infor­ma­tio­nel­len Selbst­be­stim­mung” geprägt. Die­se lei­tet sich aus dem Arti­kel 2 des Grund­ge­set­zes ab — dem Recht auf freie Ent­fal­tung der Persönlichkeit. 

Mehr zum The­ma bei Wiki­pe­dia 

Kon­takt­auf­nah­me mit Daten aus öffent­li­chem Register

Die Deut­sche Gesell­schaft für Poli­tik­be­ra­tung (dege­pol) hat eine Ver­war­nung wegen Daten­schutz­ver­sto­ßes von der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit erhal­ten. In die­sem Zuge erfolg­te die Klar­stel­lung, dass die Gewin­nung von Daten aus öffent­li­chen Regis­tern nicht zu jedem Zweck — wie etwa dem Ver­sand per­so­na­li­sier­ter Wer­bung — zuläs­sig ist. Dies hat Aus­wir­kun­gen sowohl auf die werb­li­che Kon­takt­auf­nah­me als sol­che als auch auf Umfra­gen, die mit Hil­fe sol­cher Infor­ma­tio­nen durch­ge­führt wer­den, im vor­lie­gen­den Fall gegen­über Lobbys.

Beschwer­de durch Betrof­fe­nen aus Lobbys 

Im vor­lie­gen­den Fall waren Ver­bän­de /​ deren Ver­tre­ter aus dem öffent­li­chen Regis­ter über Lob­bys des Bun­des­tags mit­tels Tabel­len­ex­port in Excel ange­schrie­ben und zu Umfra­gen ein­ge­la­den wor­den. Die zugrun­de lie­gen­de Beschwer­de wur­de durch einen Betrof­fe­nen Lob­by-Ange­hö­ri­gen eingegeben. 

Quel­len­an­ga­ben 

Die Daten aus dem Lob­by-Regis­ter sei­en von der dege­pol an den Dienst­leis­ter online​um​fra​gen​.com wei­ter­ge­ge­ben wor­den für den Ver­sand von Anschrei­ben mit per­so­na­li­sier­ter Anre­de und ohne Hin­weis auf Daten­quel­len. Unter ande­rem hier­in wur­de ein Daten­schutz­ver­stoß gese­hen. Eine Quel­len­an­ga­be habe mit dem ers­ten Anschrei­ben erfol­gen müs­sen und wur­de auch in der ver­link­ten Daten­schutz­er­klä­rung ver­misst — so die Datenschutzaufsicht. 

Namen von Lobbyisten

Die Ber­li­ner DSB zog ein berech­tig­tes Inter­es­se der Deut­schen Gesell­schaft für Poli­tik­be­ra­tung in Zwei­fel, nach dem die­se die Daten zur Anfer­ti­gung einer “aus­sa­ge­kräf­ti­gen Stu­die” zu Hono­rar­zah­lun­gen in der Lob­by­welt Deutsch­lands für erfor­der­lich hielt. Fer­ner wur­de moniert, dass in die­sem Zusam­men­hang Namen Ange­hö­ri­ger von Lob­bys ohne Not­wen­dig­keit ver­ar­bei­tet wor­den seien.

“Wei­te­re auf­sichts­recht­li­che Mit­tel”, auch für einen Wie­der­ho­lung­fall, schloss die Daten­schutz­be­hör­de nicht aus. Gene­rell gespro­chen kann es sich bei sol­chen etwa um Vor-Ort-Prü­fun­gen, die Anord­nung von Maß­nah­men oder die Ver­hän­gung von Buß­gel­dern han­deln, um eini­ge Befug­nis­se der unab­hän­gi­gen Daten­schutz­be­hör­den zu nennen.

Regis­ter des Bun­des­tags 

Der Bun­des­tag hat bis­her kein ver­bind­li­ches Ver­zeich­nis hier­zu her­aus­ge­ge­ben. Das Regis­ter des Bun­des­ta­ges über Lob­bys umfasst momen­tan über 2300 Ein­rich­tun­gen, “die eine Auf­nah­me von sich aus bean­tragt“ hät­ten, um ihre Tätig­kei­ten damit trans­pa­rent machen zu wollen. 

Sicher auch aus Daten­schutz­sicht eine begrü­ßens­wer­te Intention. 

EuGH nimmt Web­sei­ten­be­trei­ber bei Face­books Like But­ton in die Pflicht

EuGH Urteil C‑40/​17 zu Face­books Like Button

Am Mon­tag, 29.07.2019 ver­kün­de­te der EuGH in sei­nem Urteil C‑40/​17 eigent­lich wenig Über­ra­schen­des. Das ein­fa­che Ein­bin­den von akti­ven Social Media Kom­po­nen­ten wie dem Face­book Like But­ton (um den ging es hier kon­kret), ist dann doch nicht so ein­fach, wie es sich manch Web­sei­ten­be­trei­ber erhofft.

Die Crux am Face­book Like Button

Als akti­ver Inhalt über­trägt der Face­book Like But­ton bereits beim Öff­nen der Web­sei­te Daten des Sei­ten­be­su­chers an Face­book. Dies geschieht, wenn kei­ne wei­te­ren Vor­keh­run­gen sei­tens des Web­sei­ten­be­trei­bers getrof­fen wer­den, noch bevor der Sei­ten­be­su­cher über die­se Art der Daten­wei­ter­ga­be infor­miert wur­de oder (und hier bleibt ein wei­te­res Urteil abzu­war­ten) in die Wei­ter­ga­be ein­ge­wil­ligt hat.

Ursprüng­lich als kom­for­ta­ble Mög­lich­keit gedacht, Inhal­te der besuch­ten Web­sei­te schnell in Face­books Netz­werk durch den Besu­cher tei­len zu las­sen und damit eine höhe­re Reich­wei­te für die eige­ne Web­sei­te zu erzie­len, bringt die­se Kom­fort­funk­ti­on jetzt Mehr­auf­wand für den Betrei­ber der Web­sei­te mit sich.

Emp­feh­lung zur Umset­zung bzw. Ein­bin­dung des Face­book Like But­ton in die eige­ne Webseite

Orga­ni­sa­tio­nen, die bereits den akti­ven Face­book Like But­ton auf der Web­sei­te nut­zen oder dies in naher Zukunft pla­nen, soll­ten als Reak­ti­on auf das EuGH Urteil zum Face­book Like But­ton nun reagie­ren. So gilt es, die Anga­ben zu den Infor­ma­ti­ons­pflich­ten bzw. die Daten­schutz­er­klä­rung um die Punk­te Erhe­bung und Wei­ter­lei­tung von Besu­cher­da­ten an Face­book zu ergän­zen, sofern noch nicht erfolgt.

Noch offen ist bzw. dis­ku­tiert wird die Fra­ge, ob eine Ein­wil­li­gung des Besu­chers für die Erhe­bung und Wei­ter­ga­be an Face­book not­wen­dig ist oder ob (zumin­dest nicht-öffent­li­che Stel­len) auf das sog. berech­tig­te Inter­es­se abstel­len kön­nen. In den aktu­el­len Dis­kus­sio­nen kris­tal­li­siert sich hier jedoch eine Mehr­heits­mei­nung her­aus, die eine akti­ve Ein­wil­li­gung wie z.B. bei den bereits gut ver­brei­te­ten 2‑Klick-Lösun­gen bevor­zugt bzw. voraussetzt.

2‑Klick-Lösun­gen für die eige­ne Webseite

Wer also so gar nicht ohne Face­books Like But­ton auf der eige­nen Web­sei­te aus­kom­men kann, dem ste­hen mit die­sen Lösun­gen prak­ti­sche Hel­fer­lein zur Ver­fü­gung. Bekannt sind z.B. die bei­den c’t Pro­jek­te Embet­ty und Sha­riff. Für zahl­rei­che Con­tent Manage­ment Sys­te­me wie Word­Press ste­hen fer­ti­ge Plug­ins zur Ver­fü­gung, die rela­tiv ein­fach in die Web­sei­te ein­zu­bin­den sind und den her­kömm­li­chen Like But­ton erset­zen. Optisch durch­aus an das Ori­gi­nal ange­lehnt, ver­fügt die­ser erst mal über kei­ne akti­ven Inhal­te. Erst nach einem ers­ten Klick auf den But­ton, der Anzei­ge und Bestä­ti­gung durch einen wei­tern Klick, um die akti­ven Inhal­te zu star­ten, beginnt die Erhe­bung und Wei­ter­ga­be an Face­book. Die meis­ten 2‑Klick-Lösun­gen kön­nen ent­spre­chend auch mit ande­ren akti­ven Con­nec­to­ren zu wei­te­ren sozia­len Netz­wer­ken umgehen.

Das Urteil des EuGH fußt noch auf der frü­he­ren EU Daten­schutz-Richt­li­nie 96/​45. Da die Grund­sät­ze in der DSGVO jedoch nicht son­der­lich abwei­chen, dürf­te sich in der Anwen­dung des EuGH Urteils wenig ändern.

Coo­kie Opt-In wird Pflicht — Abmahn­ri­si­ko steigt

Für viel weit­rei­chen­der als die kon­kre­ten Anmer­kun­gen zu Face­books Like But­ton hal­ten wir die Aus­sa­ge des EuGH, das Coo­kies ein­wil­li­gungs­pflich­tig sind. Damit setzt der EuGH hier ein deut­li­ches Signal zu den bis­he­ri­gen Unsi­cher­hei­ten aus der Coo­kie Richt­li­nie. Die Rand­be­mer­kun­gen 88–90 haben es hier deut­lich in sich. Details hier­zu lesen Sie aus kom­pe­ten­ter Feder des RA Tho­mas Schwen­ke in sei­nem Blog­bei­trag. Und neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Unse­re Bestands­kun­den haben wir zum The­ma Coo­kies im Rah­men eines Pakets mit wei­te­ren Infor­ma­tio­nen zur Umset­zung aus­ge­stat­tet. Lesern unse­res Blogs emp­feh­len wir den oben ver­link­ten Bei­trag von Schwenke.

 

Ver­falls­da­tum von Einwilligungen

Unter­lie­gen Ein­wil­li­gun­gen einem Verfallsdatum?

Eine Fra­ge, die immer wie­der an uns gestellt wird: “Wie lan­ge ist eine ein mal erteil­te Ein­wil­li­gun­gen z.B. für einen News­let­ter-Emp­fang denn gül­tig?” Wir haben uns mal auf die Suche nach belast­ba­ren Aus­sa­gen dazu gemacht. Denn nicht erst seit der DSGVO ist die­ses The­ma immer wie­der Gegen­stand von Anfra­gen bei uns.

Beschränkt die DSGVO die Gül­tig­keits­dau­er von Einwilligungen?

Ers­te Anlauf­stel­le ist natür­lich stets das Gesetz. Die DSGVO äußert sich zum The­ma Ein­wil­li­gun­gen in Art. 7 Bedin­gun­gen für die Ein­wil­li­gung (exter­ner Link). Den ein­zi­gen Anhalts­punkt zur Gül­tig­keits­dau­er einer Ein­wil­li­gung fin­den wir in Abs. 3:

Die betrof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt. Die betrof­fe­ne Per­son wird vor Abga­be der Ein­wil­li­gung hier­von in Kennt­nis gesetzt. Der Wider­ruf der Ein­wil­li­gung muss so ein­fach wie die Ertei­lung der Ein­wil­li­gung sein.

Somit sind Ein­wil­li­gun­gen wohl bis auf Wider­ruf gül­tig und der Wider­ruf dann auch nur für die Zukunft mög­lich. Auch der Zweck­bin­dungs­grund­satz aus Art. 5 DSGVO steht die­ser Aus­le­gung nicht ent­ge­gen, sofern kei­ne grund­sätz­li­che Zweck­än­de­rung vor­liegt. In die­sem Fall soll­te die Gül­tig­keit von Ein­wil­li­gun­gen auf jeden Fall stets über­prüft werden.

Neben der daten­schutz­recht­li­chen Ein­wil­li­gung ist bei einer Ein­wil­li­gung zu Wer­be­zwe­cken auch das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) (exter­ner Link) zu berück­sich­ti­gen. So schreibt § 7 Abs. 2 Nr. 3 UWG (exter­ner Link) eine Ein­wil­li­gung zu Wer­be­zwe­cken im Sin­ne des UWG für Wer­bung per Email vor. Von einem Ablauf­da­tum ist hier jedoch kei­ne kon­kre­te Rede.

Was sagen die Gerich­te zum The­ma Gül­tig­keits­dau­er von Einwilligungen?

Hier wird es nun etwas wider­sprüch­lich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Akten­zei­chen 104 C 227/​15 (exter­ner Link) wird kon­kret für den Fall von Wer­be-Mails ein Ver­fall der Gül­tig­keit von 4 Jah­ren genannt. Dem ent­ge­gen steht ein Urteil des Bun­des­ge­richts­hof vom 01.02.2018 mit dem Akten­zei­chen III ZR 196/​17 (exter­ner Link), nach dem ein News­let­ter Opt-In nicht allein durch Zeit­ab­lauf erlischt (Sei­ten 15, 16; Rand­num­mern 30–32).

Ja was denn nun? Ablauf der Gül­tig­keit einer Ein­wil­li­gung oder nicht?

Aktu­ell spre­chen wohl mehr Argu­men­te dafür, dass es kein Ablauf­da­tum für gül­ti­ge Ein­wil­li­gun­gen gibt. Den­noch soll­ten wei­te­re Urtei­le zu dem The­ma kon­kret beob­ach­tet und im Zwei­fel her­an­ge­zo­gen wer­den. Eine gute Über­sicht über die Argu­men­te pro und kon­tra Ver­fall von Ein­wil­li­gun­gen fin­den Sie auch auf unse­rem Part­ner­blog (exter­ner Link).

Email-Wer­bung ohne schrift­li­che Ein­wil­li­gung — geht das überhaupt?

Kei­ne Email-Wer­bung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email-Wer­bung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der ers­te Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email-Wer­bung zusam­men mit SMS- und Tele­fax-Wer­bung grund­sätz­lich als unzu­mut­ba­re Beläs­ti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email-Wer­bung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zulässigkeit.

Aus­nahms­wei­se doch Email-Wer­bung ohne Einwilligung?

Ja, Email-Wer­bung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) informieren.

Wie lau­tet die­se Aus­nah­me für Email-Wer­bung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email-Wer­bung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Ori­gi­nal-Zitat aus dem Merkblatt):

  • Er hat die elek­tro­ni­sche Post­adres­se im Zusam­men­hang mit dem Ver­kauf einer Ware oder Dienst­leis­tung von dem Kun­den erhalten,
  • er ver­wen­det die Adres­se zur Direkt­wer­bung für eige­ne ähn­li­che Waren oder Dienstleistungen,
  • der Kun­de hat der Ver­wen­dung nicht wider­spro­chen und
  • der Kun­de wur­de bei Erhe­bung der Email-Adres­se und wird bei jeder Ver­wen­dung klar und deut­lich dar­auf hin­ge­wie­sen, dass er der Ver­wen­dung jeder­zeit wider­spre­chen kann, ohne dass hier­für ande­re als die Über­mitt­lungs­kos­ten nach den Basis­ta­ri­fen ent­ste­hen (in der Regel ist hier­mit ein Abmel­de­link gemeint).

Ver­brau­cher kön­nen zur Wahr­neh­mung ihrer Rech­te bei unzu­läs­si­ger Wer­bung kon­kre­te Hand­lungs­an­wei­sun­gen zur Abwehr und Reak­ti­on gegen das wer­ben­de Unter­neh­men aus dem Merk­blatt ent­neh­men. Wer­be­trei­ben­den ist die­se Über­sicht sehr zu emp­feh­len. Sie kön­nen damit prü­fen, ob die eige­nen Gepflo­gen­hei­ten dem aktu­el­len Recht ent­spre­chen oder even­tu­ell Abmah­nung, Buß­gel­der und wei­te­res Unge­mach dro­hen. Das die Daten­schutz­be­hör­den hier kei­nen Spaß mehr ver­ste­hen, haben Sie bereits frü­her klar zum Aus­druck gebracht — sie­he frü­he­ren Blog-Bei­trag.

Bit­te beach­ten Sie: Wir bezie­hen uns hier auf die Aus­sa­gen in dem ver­link­ten Merk­blatt und füh­ren selbst kei­ne Rechts­be­ra­tung zum UWG durch. Soll­ten die Inhal­te des Merk­blatts nicht kor­rekt (wie­der­ge­ge­ben) sein, über­neh­men wir kei­ne Haftung.

Die mobile Version verlassen