Schlagwort: Facebook

06/19-Linklösung, Cookie-Banner, Haftung

Weitere Aufsichtsbehörde sieht in Lohnabrechnung von Steuerberatern eine Auftragsverarbeitung

Nach Nordrhein Westfalen und Baden Württemberg sieht nun auch die hessische Aufsichtsbehörde in der Durchführung von Gehaltsabrechnungen eine Auftragsverarbeitung. Begründet wird dies mit dem Argument, dass die Abrechnung nach fest vorgegebenen Regeln vorgenommen werde, ohne dass dem Steuerberater dabei ein eigener Entscheidungsspielraum zukommt. Ist ein Steuerberater darüber hinaus auch mit klassischer Steuerberatung beauftragt, so ist hierfür aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGO erforderlich. Bei gemischten Leistungsangeboten soll aber jede Leistung separat zu beurteilen sein.

 

Verweis auf Webseite ist zulässig

Im FAQ-Bereich der hessischen Aufsichtsbehörde wurde nun auch die bisher umstrittene Frage der Zulässigkeit einer Link-Lösung beantwortet. Und zwar positiv.

Die hessische Aufsichtsbehörde geht dabei von der Zulässigkeit eines Medienbruchs aus. Nach ihrer Auffassung würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Ausdrücklich zulässig ist es demnach, einen Anrufer auf die Datenschutzerklärung auf der Homepage zu verweisen. Hiervon sei nur dann eine Ausnahme zu machen, wenn die betroffene Person der Verweisung offensichtlich nicht folgen kann.

 

Ratgeber zum Beschäftigtendatenschutz

Aus Baden-Württemberg stammt der sehr lesenswerte Ratgeber zum Beschäftigtendatenschutz, welchen ich wärmstens empfehlen kann.

 

Update in Sachen Facebook Fanpage

Die Datenschutzkonferenz (DSK) geht in ihrer Positionierung vom 01.04.2019 weiterhin davon aus, dass derzeit ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist. Weiter Infos zum Thema finden Sie unter: https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/

 

Zu den Anforderungen von Cookie-Bannern beim Webtracking

Wie bei jeder Verarbeitungstätigkeit kann der Einsatz von Cookies bei Tracking-Maßnahmen aufgrund einer Einwilligung oder aufgrund der berechtigten Interessen erfolgen. Eine Einwilligung kann durch einen sogenannten Cookie-Banner eingeholt werden. Nicht ausreichend sind jedoch die üblichen Banner, die lediglich eine knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite platzieren. In solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat. Nach Vorgabe der Aufsichtsbehörden sollten Nutzer daher für eine Einwilligung zunächst auf einen entsprechenden Button klicken (Opt-in), bevor überhaupt Cookies gesetzt werden. Erst dann sollte die Webseite und Cookies geladen werden und ein Weitersurfen möglich sein.

 
In ihrer Orientierungshilfe für Anbieter von Telemedien stellt die DSK insbesondere folgende Anforderungen an eine wirksame Einwilligung in Form eines Cookie-Banners:

 
• Alle einwilligungsbedürftigen Verarbeitungsvorgänge sind gesondert darzustellen. Dies hat unter Nennung der jeweiligen Dienstleister und der hinreichenden Beschreibung der Funktion der entsprechenden Verarbeitung zu erfolgen.
• Während der Banner angezeigt wird, müssen alle weitergehenden Skripte einer Website, die potenziell Nutzerdaten erfassen, blockiert werden.
• Die Erklärung muss unmissverständlich sein, z.B. durch Anklicken eines nicht voraktivierten Kästchens beim Besuch einer Website oder durch Klick auf eine Schaltfläche. Bei mehreren einwilligungsbedürftigen Verarbeitungsvorgängen müssen diese gesondert anwählbar sein
• Erst nach aktiver Handlung des Nutzers darf die einwilligungsbedürftige Datenverarbeitung tatsächlich beginnen.
• Der Besuch der Website muss auch möglich sein, wenn man nicht in das Setzen von Cookies einwilligen möchte.

 

Haftung für Datenschutzverstöße von Beschäftigten

Nach einer neuen Entschließung der DSK sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Demnach soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Nach Auffassung der Konferenz kann dem Verantwortlichen demnach nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 

Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung

In einer weiteren Orientierungshilfe des DSK gibt es eine gute Übersicht in die zutreffenden Maßnahmen der Zugangssicherung. Unter 2.2 heißt es nun wortwörtlich: „Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich.“ Bisher hatte sich nur die Aufsichtsbehörde in Baden Württemberg gegen das Erfordernis eines regelmäßigen Passwortwechsels ausgesprochen.

scales icon with long shadow

Mitverantwortung für Facebook-Fanpage

Risiko Facebook-Fanpage

Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften.

In der Beratungspraxis stellt sich immer wieder die Frage, ob die eigene Facebook-Fanpage nun ohne Risiko weiter betrieben werden kann. Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften. Das Betreiben einer Fanpage ist daher aktuell nicht ohne das Risiko einer entsprechenden Haftung möglich.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies sollte durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt werden kann.

 

Betreiber in der Mitverantwortung

Beim Besuch einer Fanpage werden auf dem Endgerät des Nutzers Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Facebook empfängt die in den Cookies gespeicherten Informationen und verarbeitet diese. Das Unternehmen kann dadurch sein System der Werbung verbessern. Für den Betreiber einer Fanpage hat es den Vorteil, dass ihm Statistiken zur Verfügung gestellt werden, mit welchen er seinen Web-Auftritt besser steuern und vermarkten kann. Mit der Einrichtung einer Fanpage ist der Betreiber auch an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Besucher beteiligt und damit gemeinsam mit Facebook für die Verarbeitung verantwortlich.

 

Vereinbarung zur gemeinsamen Verantwortung

Inzwischen hat Facebook auf das Urteil des EuGH reagiert und eine Vereinbarung zur gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO vorgelegt. Hierin stimmt Facebook zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen. Gleichzeitig wird aber gefordert, dass eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO besteht, der Verantwortliche für die Verarbeitung der Seite benannt und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt sind.
 

 

Update vom 01.04.2019

In ihrer Positionierung  vom 01.04.2019 geht die Datenschutzkonferenz (DSK) allerdings davon aus, dass die Vereinbarung nicht den Anforderungen aus Art. 26 DSGVO entspricht. Zum einen seien die dargestellten Verarbeitungstätigkeiten nicht hinreichend transparent und konkret. Zum anderen stehe einer gemeinsamen Verantwortung entgegen, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will.

 

Datenschutzerklärung

Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken und aufgrund welcher Rechtsgrundlage durch Facebook und die Fanpage-Betreiber verarbeitet werden. Ebenso sind Name und Kontaktdaten des Verantwortlichen und ggfls. die Kontaktdaten des Datenschutzbeauftragten anzugeben. Idealerweise sollte dies durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt oder direkt in die Fanpage eingefügt werden kann. Aus Gründen der besseren Darstellung sollte die Datenschutzerklärung zusätzlich als separater Link im Impressum hinterlegt werden.

Informationen zu Seiten-Insights-Daten finden sich unter: https://www.facebook.com/legal/terms/information_about_page_insights_data.

Konsequenz

Absolute Rechtssicherheit lässt sich vorerst nur erreichen, wenn die Sichtbarkeit der eigenen Fanpage aufgehoben wird.Bis Facebook entsprechend nachbessert, geht die DSK davon aus, dass der Betrieb von Fanpages rechtswidrig ist.

In jedem Fall sollten Seitenbetreiber das bestehende Risiko und den Vorteil einer Weiternutzung sorgfältig abwägen. Zudem ist zu beachten, dass sich die Entscheidung des Europäischen Gerichtshofs auch auf Dienste wie Twitter, Instagram und Youtube auswirkt.

Meiner Meinung nach sollten Fanpage-Betreiber Ruhe bewahren und die weitere Entwicklung abwarten. Das Urteil des Gerichtshofes erging im Vorabentscheidungsverfahren. Das heißt, dass das Bundesverwaltungsgericht in der Sache noch entscheiden muss, ob die Datenschutzbehörde direkt gegen den Betreiber einer Facebook-Fanpage vorgehen kann oder ob eher Facebook der richtige Adressat ist. Es ist daher zu erwarten, dass auch die Datenschutzbehörden die Entscheidung des Bundesverwaltungsgerichts abwarten.

 

23/18-Page Controller Addendum, Datenschutz-Auskunftszentrale

WARUNG VOR FAXEN DER DATENSCHUTZ-AUSKUNFTSZENTRALE

In den letzten Tagen haben viele meiner Mandanten ein Fax von der Datenschutzauskunft-Zentrale erhalten. Die mir vorliegenden Exemplare sind im Wortlaut identisch. Vom Absender wird der Kauf eines Basisdatenschutzes für jährlich 592,62 Euro beabsichtigt Bitte füllen Sie das Formular daher unter keinen Umständen aus. In diesem Zusammenhang möchte ich gern auf die Warnung der Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit hinwiesen.

 

DATENSCHUTZBEHÖRDEN ÜBERLASTET

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit teilte kürzlich mit, dass nicht mehr innerhalb der vorgegebenen Fristen entschieden werden könne. Nach der DSGVO müssen Aufsichtsbehörden Beschwerdeführern innerhalb von höchstens drei Monaten das Ergebnis der Untersuchung oder zumindest einen Verfahrensstand mitteilen. Auch die übrigen Aufsichtsbehörden arbeiten derzeit mit der Bearbeitung von Beschwerden und Anfragen an der Schmerzgrenze. In den Monaten Mai bis Juli 2018 erreichten die Behörde 1.380 Datenschutzbeschwerden von Bürgern. Im gleichen Vorjahreszeitraum waren lediglich 344 solcher Eingaben zu bearbeiten.

 

ANPASSUNGEN BEI FACEBOOK

Facebook hat endlich auf das Urteil des EuGH (https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/) reagiert und eine Ergänzung als Teil der AGB vorgelegt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte den Betrieb einer Fanpage noch am 05.09.2018 für rechtswidrig erklärt. Wie von den Aufsichtsbehörden und gemäß Art. 26 DSGVO gefordert, erkennt Facebook nun die gemeinsame Verantwortung für die Verarbeitung der Insights-Daten an und übernimmt die Verantwortung bei Auskünften, Informations- und Meldepflichten sowie der Sicherheit. Auch nach der Ergänzung durch Facebook müssen Seitenbetreiber eine eigene Rechtsgrundlage für die Datenverarbeitung festlegen und im Rahmen ihrer Informationspflichten mittels einer eigenen Datenschutzerklärung über die Datenverarbeitung informieren. Aufgrund der strengen Anforderungen der Aufsichtsbehörden an eine Einwilligungserklärung beim User-Tracking kann ein gewisses Restrisiko bei Betrieb der eigenen Fanpage nach wie vor nicht ausgeschlossen werden.

The Sound of Facebook

Mit einem neuen Musikdeal macht sich Facebook auf den Weg zur neuen Jukebox. Das Unternehmen schloss dafür mit dem International Copyright Enterprise (ICE) einen Vertrag,