Google Analytics und Datenschutz

Google setzt Forderungen der Aufsichtsbehörden um

(hmbbfdi, 15.9.2011) Seit Ende 2009 haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises und Google Gespräche über die erforderlichen Änderungen zum gesetzeskonformen Einsatz von Google Analytics geführt. Hintergrund dafür bildete der entsprechende Beschluss der Aufsichtsbehörden der Länder zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten.

Durch konstruktive Gespräche ist es gelungen, sich gemeinsam auf zentrale Punkte zu einigen und diese umzusetzen. Insbesondere hat Google das Verfahren dahingehend geändert, dass

•    den Nutzern die Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten eingeräumt wird. Google stellt ein so genanntes Deaktivierungs-Add-On zur Verfügung (http://tools.google.com/dlpage/gaoptout?hl=de). Dieses Add-On war bisher für Internet Explorer, Firefox und Google Chrome verfügbar. Google hat nun Safari und Opera hinzugefügt, so dass alle gängigen Browser berücksichtigt sind;
•    auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist. Die Löschung erfolgt innerhalb Europas;
•    mit den Webseitenbetreibern ein Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abgeschlossen werden soll.

Für Webseitenbetreiber stellt der Hamburgische Datenschutzbeauftragte besondere Hinweise auf seiner Homepage www.datenschutz-hamburg.de zur Verfügung. Macht ein Webseitenbetreiber von diesen Möglichkeiten Gebrauch, wird dadurch ein beanstandungsfreier Betrieb von Google Analytics gewährleistet.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Wir befinden uns am Ende eines langen, aber konstruktiven Abstimmungsprozesses. Die intensive Zusammenarbeit zwischen den Datenschutz-Aufsichtsbehörden einerseits und Google andererseits haben die erzielten Verbesserungen ermöglicht. Ausdrücklich begrüße ich auch die Ankündigung von Google, dass die technischen Änderungen europaweit umgesetzt werden sollen. Ich möchte jedoch auch daran erinnern, dass die Arbeit nicht abgeschlossen ist. Insbesondere ist zu berücksichtigen, dass nicht Google, sondern die Webseitenbetreiber, die das Produkt einsetzen, für den datenschutzgerechten Einsatz verantwortlich sind.“

Darüber hinaus wird künftig erforderlich sein, die technischen Anforderungen des Opt-Out auch auf Smartphones zu übertragen. Hinzu kommt, dass die Entwicklung der Analyse-Software mit dem derzeitigen Stand der Umsetzung keineswegs endgültig abgeschlossen ist. Technische und rechtliche Veränderungen erfordern eine kontinuierliche Weiterentwicklung. So werden die ausstehende Umsetzung der E-Privacy-Richtline, aber auch die Einführung von IPv6 neue Schritte erfordern.

Hierzu gilt es, auch weiterhin mit Google im Dialog zu bleiben.

Neues Widerrufsrecht im Online-Handel zum 4. August 2011

Der Bundestag hat das Widerrufsrecht für den Online-Handel geändert. Das neue Gesetz tritt zum 4. August 2011 in Kraft.
Hintergrund ist ein Urteil des Europäischen Gerichtshofs EuGH vom 3. September 2009. Mit diesem wurden die deutschen Werteersatzvorschriften in Teilen für europarechtswidrig eingestuft.

Die neuen Regeln betreffen Online-Shopbetreiber.
Zwar gibt es eine dreimonatige Übergangsfrist bis zum 4.11.2011, es wird jedoch geraten, die Belehrung sofort zu ändern.

E-Postbrief nicht „so sicher und unverbindlich wie der Brief“ laut Urteil LG Bonn

Nach einem Urteil des Landgerichtes Bonn vom 30.06.2011 (Az. 14 O 17/11) darf die Deutsche Post ihr Produkt E-Postbrief nicht mehr mit den folgenden Slogans bewerben:

„So sicher und unverbindlich wie der Brief“

„Der E-Postbrief überträgt die Vorteile des klassischen Briefs in das Internet und bietet damit auch in der elektronischen Welt eine verbindliche, vertrauliche und verlässliche Schriftkommunikation.“

Die Verbraucherzentrale Bundesverband hatte gegen diese ihrer Meinung nach irreführende Werbung geklagt und nun im oben genannten Urteil Recht bekommen.

Nach der Auffassung des Landgerichtes ist die von der Deutschen Post getroffene Aussage, dass der E-Postbrief „so sicher wie der Brief“ sei, zunächst einmal unwahr.

Außerdem, so die Bonner Richter, erwecken die Werbeslogans die Auffassung, dass auch rechtlich relevante Erklärungen, wie z. B. die Kündigung eines Mietvertrages, mit dem E-Postbrief verbindlich versendet werden können.

 

In der Pressemitteilung der Verbraucherzentrale vom 15.08.2011 heißt es: „In einigen Fällen ist für eine rechtsverbindliche Erklärung die Schriftform zwingend vorgeschrieben, etwa bei der Kündigung eines Wohnungsmietvertrages. Der Brief muss dabei eigenhändig unterschrieben sein.

Fehlt die Unterschrift, gilt die Erklärung als nicht abgegeben. Das Schriftformerfordernis kann bei der elektronischen Kommunikation nur durch eine qualifizierte elektronische Signatur ersetzt werden. Diese Möglichkeit besteht beim E-Postbrief jedoch nicht. Verbraucher können durch eine falsche Annahme, elektronische Post sei so verbindlich wie ein Brief, Fristen versäumen und erhebliche Nachteile erleiden.“

 

Das Urteil ist noch nicht rechtskräftig.

ULD: „Gefällt mir“ Button – Facebook-Reichweitenanalyse abschalten

ULD an Webseitenbetreiber: „Facebook-Reichweitenanalyse abschalten“

Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.
Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro.

Thilo Weichert, Leiter des ULD: „Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.

Unser aktueller Appell ist nur der Anfang einer weitergehenden datenschutzrechtlichen
Analyse von Facebook-Anwendungen. Das ULD wird diese in Kooperation mit den anderen deutschen Datenschutzaufsichtsbehörden vornehmen. Eine umfassende Analyse ist einer kleinen Datenschutzbehörde wie dem ULD mit einem Wurf nicht möglich; zudem ändert Facebook kontinuierlich seine technischen Abläufe und Nutzungsbedingungen. Niemand sollte behaupten, es stünden keine Alternativen zur Verfügung; es gibt europäische und andere Social Media, die den Schutz der Persönlichkeitsrechte der Internet-Nutzenden ernster nehmen. Dass es auch dort problematische Anwendungen gibt, darf kein Grund für Untätigkeit hinsichtlich Facebook sein, sondern muss uns Datenschutzaufsichtsbehörden dazu veranlassen, auch diesen Verstößen nachzugehen. Die Nutzenden können ihren Beitrag dazu leisten, indem sie versuchen datenschutzwidrige Angebote zu vermeiden.“

Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre
Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen, wenn sie eine umfassende Profilbildung durch das Unternehmen vermeiden wollen. Die Profile sind personenbezogen; Facebook fordert von seinen Mitgliedern, dass diese sich mit ihrem Klarnamen anmelden.

Das ULD hat seine datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook im Internet veröffentlich unter https://www.datenschutzzentrum.de/facebook/

Diese Analyse soll künftig fortgeschrieben, d. h. erweitert und präzisiert werden. Anregungen hierzu nimmt das ULD gerne entgegen per E-Mail über facebook@datenschutzzentrum.de

Bei Nachfragen oder im Fall von allgemeinen sonstigen Fragen wenden Sie sich bitte an:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223

Widerspruchsfrist gegen Microsoft Streetside gestartet

Noch bis Ende September besteht für Hauseigentümer und Mieter die Möglichkeit, vorab Widerspruch gegen die Veröffentlichung der Außenansicht ihrer Hausfront in Microsofts
Panoramadienst „Streetside“ einzulegen.

Nach Ablauf dieser Frist sind Widersprüche erst wieder möglich, wenn der Panoramadienst offiziell gestartet und online ist.

Unter http://www.microsoft.com/maps/de-DE/streetside.aspx stellt Microsoft neben einer FAQ (Sammlung von Antworten auf häufig gestellte Fragen) auch das notwendige Formular für den Vorabwiderspruch zur Verfügung.

Bundesrat fordert strenge Regeln fürs Social-Web

Der Bundesrat hat am 17.06.2011 einen Gesetzesentwurf zur Änderung des Telemediengesetzes (Drucksache 156/11) eingebracht. Ziel ist eine Verbesserung des Schutzes privater Daten, insbesondere in Social-Networks. Grundsätzlich sieht er die Verwendung von Daten im Social-Web als potentiell gefährlich.

Unter anderem sieht der Entwurf vor, dass ein Nutzer eines Social Networks künftig leicht erkennbar, unmittelbar erreichbar und ständig verfügbar seine datenschutzrechtlichen Sicherheitseinstellungen im Blick hat.

Interessant ist auch die Forderung eines generellen Opt-in für Cookies. Vor der Nutzung einer Webseite mit Cookies soll der Nutzer künftig die Datenschutzbestimmungen ausdrücklich akzeptieren müssen. Wie das technisch umzusetzen wäre, ist noch nicht ganz klar.

Der Entwurf des Bundesrats wird nun der Bundesregierung und danach dem Bundestag vorgelegt. Wir dürfen gespannt sein.

Schlechte Noten für App-Stores

Stiftung Warentest, bekannt für die Bewertung von Produkten und Dienstleistungen, hat jüngst 10 in Deutschland verfügbare App-Stores unter die kritische Lupe der Tester genommen und stellt fest: „Alle ließen bei Service und Datenschutz zu wünschen übrig.“

Auf der Internetseite von Stiftung Warentest (www.test.de) ist zu lesen:

„Viele App-Stores informieren ihre Kunden nicht darüber, auf welche Telefonfunktionen und Daten die angebotenen Apps zugreifen. Datenschützer warnen davor, dass App-Stores oder die App-Entwickler über viele Apps Zugriff auf private Daten, zum Beispiel das persönliche Adressbuch, haben, ohne dass die Nutzer dies merken.“

Die bei diesem Test erreichte Höchstnote war „befriedigend“. Der Radiosender D-Radio berichtete zu diesem Thema ebenfalls am 29.07.2011.

Cloud Computing und Datenschutz

Der Einsatz von Cloud Computing im Unternehmensumfeld hat eine Vielzahl an Argumenten die für und gegen den Einsatz dieser Architektur sprechen.

Herr Dr. Tilo Weichert vom UlD äußerte sich umfassend im Rahmen eines Vortrages in Wien zu diesem Thema. Nach seinen Ausführungen kann die Auslagerung von Daten in eine Cloud dazu führen, daß nach der Abgabenordnung (AO) in Verbindung mit dem Handelsgesetzbuch (HGB) die Prüfung durch die Finanzbehörde zu einem Stolperstein für das gesamte Projekt werden kann.

Von zentraler Bedeutung ist das Bundesdatenschutzgesetz bzw. das anwendbare Datenschutzrecht. In der Regel ist bei der Auslagerung von IT-Systemen, Anwendungen oder Prozessen in eine Cloud dabei die Durchführung einer Vorabkontrolle angezeigt.

Social Media Plattformen

Facebook und andere Social Media Plattformen erfordern zurzeit Handlungsbedarf hinsichtlich des Datenschutzes aber auch des Schutzes von Know how der Unternehmen.
Das Anbinden von Funktionalitäten rund um Facebook in Webseiten und die Anmeldung in diesem Netzwerk setzt voraus, dass man sich vor Anmeldung oder z. B. Platzierung des „Gefällt mir“-Buttons umfassend über mögliche Risiken informiert.

Mitglieder von Facebook sollten sich über ihre Sicherheitseinstellungen in Klaren sein und voreingestellte Standardeinstellungen kritisch überprüfen.
Beispielsweise ermöglicht die neue Funktion von Facebook der Gesichtserkennung, dass „Facebook-Freunde“ aus dem sozialen Netzwerk auf hochgeladenen Fotos wiedererkannt und mit ihrem Namen versehen werden können.

Das Bundesland Hessen hat einen Entwurf zur Änderung des Telemediengesetzes TMG im Bundesrat eingebracht, der in der Sitzung von 17. Juni 2011 vorgestellt wurde. Der Bundesrat hat dem Gesetzesentwurf zugestimmt und ihn an den Bundestag weitergereicht.
Der Gesetzesentwurf zur Änderung des TMG sieht vor, dass Nutzer von Social Media Plattformen zunächst der höchst möglichen Sicherheitsstufe zugeordnet werden müssen. Außerdem soll der Zugriff von Suchmaschinen auf Informationen von Nutzerprofilen erschwert werden.

Unerlaubte Fax-Werbung

Unternehmen erhalten häufig unseriöse Fax-Zusendungen mit Werbeangeboten.

Kürzlich wurde im Namen einer Firma ein Fax verbreitet, bei dem der Fax-Empfänger zur Vermeidung von Abmahnungen aufgefordert wird, seinen Webauftritt zu überprüfen. Mit dem Hinweis wurde gleichzeitig ein Angebot zur Überprüfung des Webauftritts zum Preis von EUR 49,00 zzgl. MwSt. ausgesprochen.  

Dieses Angebot kann als unerlaubte Fax-Werbung angesehen und als Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) unter Strafe gestellt werden.