Mit dem EU-US Privacy Shield wurde auch Online Marketing demontiert

Mit dem EU-US Privacy Shield wurde auch Online Marketing demontiert

Was war das EU-US Privacy shield überhaupt und warum wurde es demontiert?
Es war – stark verkürzt – eine Übereinkunft zwischen der EU und den USA, dass sich US-Unternehmen freiwillig der Europäischen DSGVO unterwerfen können. Die Einhaltung der EU-Regeln wurde lokal in USA überprüft, die teilnehmenden Unternehmen taxativ auf einer öffentlichen Liste geführt.
Das war für viele europäische UnternehmerInnen die Grundlage, dass überhaupt personenbezogene Daten an US-Unternehmen im Rahmen von Online Marketing Maßnahmen transferiert werden durften. Dieser Datentransfer passiert in vielen Fällen ohne Zutun des Seitenbetreibers bei jedem einzelnen Klick, wie auch zum Beispiel bei einer Firmenseite auf Facebok.
Der Nachteil – die Nationale Sicherheit geht in den USA natürlich vor Datenschutz. Bundesbehörden wie NSA oder FBI haben also nach den US-Überwachungsgesetzen Zugriff auf alle diese europäischen Daten, wenn sie auf US-Servern abgelegt sind. Das Privacy Shield war also bis zu seiner Demontage durch den EuGH auch ein Zugeständnis der EU an die USA, um auch den europäischen Unternehmern die Geschäfte mit den Internet Giganten in USA zu ermöglichen.

Ist Datentransfer nach USA jetzt nicht mehr legal möglich?
Doch natürlich ist das weiterhin legal möglich, nur eben nicht mehr auf Basis des EU-US Privacy Shields. Jetzt braucht es eine bilaterale Vereinbarung zwischen dem US-Unternehmen und dem EU-Unternehmen entsprechend den sogenannten Standardvertragsklauseln, die den DSGVO konformen Umgang mit den Daten garantieren soll. Ausnahmen, wie zum Beispiel die ausdrückliche Einwilligung des Betroffenen, können in dem Zusammenhang vernachlässigt werden. Eine solche Vereinbarung darf aber nur dann getroffen werden, wenn sie auch nachvollziehbar eingehalten wird, was im Falle von Facebook oder Google nicht möglich ist, da diese auch den US-Überwachungsgesetzen (FISA) verpflichtet sind. Dort ist es also derzeit nicht legal möglich.

Was bedeutet das jetzt in der Praxis?
Am Beispiel Facebook sind die Auswirkungen des Urteils erkennbar. Schon am 5. Juni 2018 hat der EuGH entschieden, dass Fanpagepage-Betreiber für Datenschutzverstöße vor allem beim Tracking auf Facebook (Insights) mitverantwortlich sind. Die Lösung des Problems war eine Datenschutzerklärung auf der Facebook Fanpage, mit einem Verweis auf das EU-US Privacy Shield.
Das reicht jetzt nicht mehr. Jetzt bräuchte es eine Vereinbarung mit Facebook, in der alle unberechtigten Zugriffe, also auch die durch US-Bundesbehörden untersagt werden. Laut EuGH reichen dazu die Standardvertragsklauseln. Diese kann aber Facebook eigentlich gar nicht zusagen, weil es auch den US-Überwachungsgesetzen (FISA) verpflichtet ist. In letzter Konsequenz ist damit aber die geschäftliche Nutzung dieser Plattform derzeit de facto illegal geworden.

Ist das nur ein Facebook Problem?
Sinngemäß (bisher aber ohne Urteil) kann man das natürlich auch auf andere Social Media, Mailing und Marketing Platformen der großen US Internet Konzerne umlegen, wo ebenfalls Daten an Drittländer, jetzt ohne Rechtsgrundlagen, weitergegeben werden. Das betrifft also auch Tracking Dienste außerhalb der Social Media wie z.B. Google, die mit Cookies bewerkstelligt werden. Damit bekommt das ohnehin heikle Cookie Handling eine zusätzliche Komponente der unerlaubten Datenübermittlung an Drittländer. Bis es die ersten Urteile aus der Abmahn-Industrie oder aber weitere Vorstöße von Datenschützern gibt, steht die geschäftliche Nutzung der meisten Online Marketing Tools der großen US-Anbieter für europäische Unternehmen also auf dünnem Eis. EU-Anbieter gibt es in diesem Bereich derzeit nur wenige. Die Hoffnung bleibt, dass es dennoch bald Entscheidungen und Vereinbarungen geben wird, die den UnternehmerInnen in der EU wieder etwas mehr Rechtssicherheit beim Datenschutz im Umgang mit US-Unternehmen geben können.

Bewertungs Plattformen können auch unangenehm sein

Bewertungs Plattformen können auch unangenehm sein

Man kennt sie schon, die Plattformen, wo Arbeitgeber, Handwerker, Dienstleister, Hotels, usw. bewertet werden. Das kann für die Betroffenen auch unangenehm sein, wenn die Bewertungen sehr schlecht ausfallen. Das einfachste wäre dann wohl, über ein Löschbegehren die Daten entfernen zu lassen. Auch für Ärzte gibt es solche Plattformen, und da hat die Datenschutzbehörde (DSB) entschieden, dass das nicht so einfach ist.

Die Beschwerde eines Arztes, weil eine Ärzte Plattform sich weigerte, seine Daten zu löschen, wurde von der DSB abgewiesen. Der Betreiber der Plattform hat als Rechtsgrundlage für die Verarbeitung das berechtigte Interesse (Art. 6 (1) f DSGVO) angeführt und recht bekommen.

Ein wichtiger Grund für die Entscheidung der DSB war, dass der Betreiber Schutzmaßnahmen ergriffen hatte, um unsachliche oder auch Mehrfach-Kommentare zu verhindern und so keine ‘Prangerwirkung’ für den betroffenen Arzt eintreten könne. So wurde das berechtige Interesse der Patienten, Informationen über die ärztliche Leistung einzuholen und sich über eben diese Plattform darüber auszutauschen als höher bewertet als das Löschbegehren des Arztes.

Datenschutz Beschwerde – aber wie?

Datenschutz Beschwerde – aber wie?

Seit dem 25. Mai 2018 ist die Anzahl an Datenschutz Verfahren massiv angestiegen. Wenn auch Sie meinen, dass in Ihrem Fall die Datenschutz Grundverordnung (DSGVO) oder das Datenschutzgesetz (DSG) nicht korrekt eingehalten wurden, haben Sie die Möglichkeit sich gegen den/die Verantwortlichen zu beschweren. Aber wie funktioniert das?

Die Datenschutzbehörde ist verpflichtet, jeden Fall zu behandeln, der auch die formalen Erfordernisse erfüllt. Welche das sind und welche Elemente eine Beschwerde enthalten muss, ist im § 24 des Datenschutzgesetzes beschrieben:

  1. Die Bezeichnung des als verletzt erachteten Rechts,
  2. soweit dies zumutbar ist, die Bezeichnung des
    Rechtsträgers oder Organs, dem die behauptete
    Rechtsverletzung zugerechnet wird (Beschwerdegegner),
  3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet
    wird,
  4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit
    stützt,
  5. das Begehren, die behauptete Rechtsverletzung
    festzustellen und
  6. die Angaben, die erforderlich sind, um zu beurteilen,
    ob die Beschwerde rechtzeitig eingebracht ist.

Damit sich bei der Beschwerde keine Formfehler einschleichen und Rückfragen vermieden werden, hat die Datenschutzbehörde die entsprechenden Formulare hier bereitgestellt.


Daten aus öffentlichen Registern

Daten aus öffentlichen Registern

Dürfen Daten aus öffentlichen Registern frei verwendet werden? Die klare Antwort lautet: ja und nein.

Konkret geht es hier um Daten aus dem Grundbuch. Diese Daten sind öffentlich zugänglich und beinhalten keine sensiblen oder strafrechtlich relevanten Daten. Dürfen diese also zu Zwecken der Kontaktaufnahme, also z.B. für ein Angebot zu einer Liegenschaft verwendet werden?

Dazu hat die Datenschutzbehörde festgestellt, dass bei diese Daten keine besondere Schutzwürdigkeit besteht. Eine Abwägung der berechtigten Interessen (Art. 6 (1) f DSGVO) hat ergeben, dass es zulässig ist, diese Daten für ein einmaliges Angebot zu verwenden, wenn diese nicht auch für andere Zwecke verwendet werden.

Im Gegensatz dazu wird eine mehrmaligen Kontaktaufnahme, also eine dauerhafte Verwendung der Daten zu Zwecken der Werbung bzw. für regelmäßige Anfragen, ganz anders beurteilt. Hier werden die Interessen des Betroffenen über jene eines Immobilien Treuhänders gestellt, eine derartige Verwendung der Daten aus dem Grundbuch ist nicht zulässig.

Verarbeitung von Mitarbeiter Daten braucht eine Rechtsgrundlage

Verarbeitung von Mitarbeiter Daten braucht eine Rechtsgrundlage

Sehr oft ist es natürlich die Erfüllung einer rechtlichen Verpflichtung (Art. 6 (1) c DSGVO), die eine Verarbeitung von Mitarbeiter Daten rechtfertigt, manchmal aber eben nicht.

Möchte man etwa Daten von Mitarbeitern verarbeiten, damit diese an einem Incentive Programm teilnehmen können, so ist deren Einverständnis unbedingt erforderlich. Dieses kann natürlich grundsätzlich auch mündlich erteilt werden, im Sinne der Dokumentation und der Nachweisbarkeit ist aber die schriftliche oder elektronische Zustimmung sicherlich problemloser.

Auch bei sensiblen Daten wie zum Beispiel dem Religionsbekenntnis oder der Gewerkschaftszugehörigkeit ist ein besonderes Augenmerk angebracht. Zwar gibt es auch dazu natürlich eine rechtliche Verpflichtung, wenn etwa Feiertage berücksichtigt werden oder Gewerkschaftsbeiträge auf Ersuchen der Betroffenen über die Lohnverrechnung abgewickelt werden sollen. Auch in solchen Fällen sollte ein Einverständnis zur Verarbeitung eingeholt werden und im Rahmen der Informationspflicht jedenfalls auf diese Verarbeitung hingewiesen werden, obwohl die Bekanntgabe dieser Daten natürlich freiwillig erfolgt.