Mit dem EU-US Privacy Shield wurde auch Online Marketing demontiert

Mit dem EU-US Privacy Shield wurde auch Online Marketing demontiert

Was war das EU-US Privacy shield überhaupt und warum wurde es demontiert?
Es war – stark verkürzt – eine Übereinkunft zwischen der EU und den USA, dass sich US-Unternehmen freiwillig der Europäischen DSGVO unterwerfen können. Die Einhaltung der EU-Regeln wurde lokal in USA überprüft, die teilnehmenden Unternehmen taxativ auf einer öffentlichen Liste geführt.
Das war für viele europäische UnternehmerInnen die Grundlage, dass überhaupt personenbezogene Daten an US-Unternehmen im Rahmen von Online Marketing Maßnahmen transferiert werden durften. Dieser Datentransfer passiert in vielen Fällen ohne Zutun des Seitenbetreibers bei jedem einzelnen Klick, wie auch zum Beispiel bei einer Firmenseite auf Facebok.
Der Nachteil – die Nationale Sicherheit geht in den USA natürlich vor Datenschutz. Bundesbehörden wie NSA oder FBI haben also nach den US-Überwachungsgesetzen Zugriff auf alle diese europäischen Daten, wenn sie auf US-Servern abgelegt sind. Das Privacy Shield war also bis zu seiner Demontage durch den EuGH auch ein Zugeständnis der EU an die USA, um auch den europäischen Unternehmern die Geschäfte mit den Internet Giganten in USA zu ermöglichen.

Ist Datentransfer nach USA jetzt nicht mehr legal möglich?
Doch natürlich ist das weiterhin legal möglich, nur eben nicht mehr auf Basis des EU-US Privacy Shields. Jetzt braucht es eine bilaterale Vereinbarung zwischen dem US-Unternehmen und dem EU-Unternehmen entsprechend den sogenannten Standardvertragsklauseln, die den DSGVO konformen Umgang mit den Daten garantieren soll. Ausnahmen, wie zum Beispiel die ausdrückliche Einwilligung des Betroffenen, können in dem Zusammenhang vernachlässigt werden. Eine solche Vereinbarung darf aber nur dann getroffen werden, wenn sie auch nachvollziehbar eingehalten wird, was im Falle von Facebook oder Google nicht möglich ist, da diese auch den US-Überwachungsgesetzen (FISA) verpflichtet sind. Dort ist es also derzeit nicht legal möglich.

Was bedeutet das jetzt in der Praxis?
Am Beispiel Facebook sind die Auswirkungen des Urteils erkennbar. Schon am 5. Juni 2018 hat der EuGH entschieden, dass Fanpagepage-Betreiber für Datenschutzverstöße vor allem beim Tracking auf Facebook (Insights) mitverantwortlich sind. Die Lösung des Problems war eine Datenschutzerklärung auf der Facebook Fanpage, mit einem Verweis auf das EU-US Privacy Shield.
Das reicht jetzt nicht mehr. Jetzt bräuchte es eine Vereinbarung mit Facebook, in der alle unberechtigten Zugriffe, also auch die durch US-Bundesbehörden untersagt werden. Laut EuGH reichen dazu die Standardvertragsklauseln. Diese kann aber Facebook eigentlich gar nicht zusagen, weil es auch den US-Überwachungsgesetzen (FISA) verpflichtet ist. In letzter Konsequenz ist damit aber die geschäftliche Nutzung dieser Plattform derzeit de facto illegal geworden.

Ist das nur ein Facebook Problem?
Sinngemäß (bisher aber ohne Urteil) kann man das natürlich auch auf andere Social Media, Mailing und Marketing Platformen der großen US Internet Konzerne umlegen, wo ebenfalls Daten an Drittländer, jetzt ohne Rechtsgrundlagen, weitergegeben werden. Das betrifft also auch Tracking Dienste außerhalb der Social Media wie z.B. Google, die mit Cookies bewerkstelligt werden. Damit bekommt das ohnehin heikle Cookie Handling eine zusätzliche Komponente der unerlaubten Datenübermittlung an Drittländer. Bis es die ersten Urteile aus der Abmahn-Industrie oder aber weitere Vorstöße von Datenschützern gibt, steht die geschäftliche Nutzung der meisten Online Marketing Tools der großen US-Anbieter für europäische Unternehmen also auf dünnem Eis. EU-Anbieter gibt es in diesem Bereich derzeit nur wenige. Die Hoffnung bleibt, dass es dennoch bald Entscheidungen und Vereinbarungen geben wird, die den UnternehmerInnen in der EU wieder etwas mehr Rechtssicherheit beim Datenschutz im Umgang mit US-Unternehmen geben können.

Datenschutz Beschwerde – aber wie?

Datenschutz Beschwerde – aber wie?

Seit dem 25. Mai 2018 ist die Anzahl an Datenschutz Verfahren massiv angestiegen. Wenn auch Sie meinen, dass in Ihrem Fall die Datenschutz Grundverordnung (DSGVO) oder das Datenschutzgesetz (DSG) nicht korrekt eingehalten wurden, haben Sie die Möglichkeit sich gegen den/die Verantwortlichen zu beschweren. Aber wie funktioniert das?

Die Datenschutzbehörde ist verpflichtet, jeden Fall zu behandeln, der auch die formalen Erfordernisse erfüllt. Welche das sind und welche Elemente eine Beschwerde enthalten muss, ist im § 24 des Datenschutzgesetzes beschrieben:

  1. Die Bezeichnung des als verletzt erachteten Rechts,
  2. soweit dies zumutbar ist, die Bezeichnung des
    Rechtsträgers oder Organs, dem die behauptete
    Rechtsverletzung zugerechnet wird (Beschwerdegegner),
  3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet
    wird,
  4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit
    stützt,
  5. das Begehren, die behauptete Rechtsverletzung
    festzustellen und
  6. die Angaben, die erforderlich sind, um zu beurteilen,
    ob die Beschwerde rechtzeitig eingebracht ist.

Damit sich bei der Beschwerde keine Formfehler einschleichen und Rückfragen vermieden werden, hat die Datenschutzbehörde die entsprechenden Formulare hier bereitgestellt.


Verarbeitung von Mitarbeiter Daten braucht eine Rechtsgrundlage

Verarbeitung von Mitarbeiter Daten braucht eine Rechtsgrundlage

Sehr oft ist es natürlich die Erfüllung einer rechtlichen Verpflichtung (Art. 6 (1) c DSGVO), die eine Verarbeitung von Mitarbeiter Daten rechtfertigt, manchmal aber eben nicht.

Möchte man etwa Daten von Mitarbeitern verarbeiten, damit diese an einem Incentive Programm teilnehmen können, so ist deren Einverständnis unbedingt erforderlich. Dieses kann natürlich grundsätzlich auch mündlich erteilt werden, im Sinne der Dokumentation und der Nachweisbarkeit ist aber die schriftliche oder elektronische Zustimmung sicherlich problemloser.

Auch bei sensiblen Daten wie zum Beispiel dem Religionsbekenntnis oder der Gewerkschaftszugehörigkeit ist ein besonderes Augenmerk angebracht. Zwar gibt es auch dazu natürlich eine rechtliche Verpflichtung, wenn etwa Feiertage berücksichtigt werden oder Gewerkschaftsbeiträge auf Ersuchen der Betroffenen über die Lohnverrechnung abgewickelt werden sollen. Auch in solchen Fällen sollte ein Einverständnis zur Verarbeitung eingeholt werden und im Rahmen der Informationspflicht jedenfalls auf diese Verarbeitung hingewiesen werden, obwohl die Bekanntgabe dieser Daten natürlich freiwillig erfolgt.

Wie freiwillig müssen Werbe Cookies sein

Wie freiwillig müssen Werbe Cookies sein

Sie kennen das. Sie haben eine Website gefunden wo Ihre gesuchte Information angeboten wird, aber nur mit Einwilligung zu Cookies. Ist das jetzt noch freiwillig?

Die Datenschutzbehörde sagt ja, zumindest in einem speziellen Fall einer Online-Zeitung, die ihre Inhalte nur nach Cookie Freigabe verfügbar macht. Der einfache Grund, die Information wäre auch über einen Bezahl-Account oder die Printausgabe der Zeitung verfügbar und der Leser hat durch seine Einwilligung einen deutlichen Vorteil, nämlich den unbeschränkten Zugriff auf alle Informationen.

Das Grundrecht auf Datenschutz beinhaltet nicht nur das Recht auf Schutz der eigenen Daten sondern auch die freie Einwilligung zur Verarbeitung im Gegenzug zu einen deutlich erkennbaren Vorteil, de dadurch entsteht.

Erste Bilanz 2018

Die erste Bilanz nach dem In-Kraft-Treten des Datenschutzgesetzes (DSG) ist nicht aufregend. Es wurden 59 neue Verwaltungsverfahren eingeleitet, zum überwiegenden Anteil rund um das Thema Videoüberwachung im öffentlichen Raum oder in Nachbargrundstücken.

Es gab allerdings auch schon einige Verfahren wegen Verstoß gegen die Informationspflicht (Art. 13 und 14 DSGVO), wegen unzureichender TOMs (Technische und Organisatorische Maßnahmen zur Sicherheit nach Art. 32) sowie verspätete Meldung an die Behörde nach einer Verletzung des Datenschutzes (data breach nach Art. 33)

Die in der DSGVO festgesetzten Höchststrafen (bis zu 20 Mio Euro oder 4% des Umsatzes) wurden nicht verhängt, müssen diese doch verhältnismäßig sein und dürfen auch die wirtschaftliche Existenz des Verantwortlichen nicht gefährden. Geldstrafen können sowohl gegen juristische als auch natürliche Personen ausgesprochen werden, nicht aber gegen Behörden oder Körperschaften öffentlichen Rechts (§30 Abs. 5 DSG). Die höchste Strafe 2018 wurde für eine Videoüberwachung im öffentlichen Raum mit € 4.800,- festgesetzt. Auch der Einsatz von Dash-Cams (Videoaufnahme des Straßenverkehrs) wurde abgestraft.

Datenschutzbehörde ist bei der Justiz

Mit 8.Jänner 2018 ist die Datenschutzbehörde organisatorisch vom BKA ins Justizministerium gewechselt (https://www.dsb.gv.at/). Auf der Website werden nicht nur Informationen, Formulare (z.B. Beschwerde) und Kontakmöglichkeiten angeboten, sondern auch eine Liste von 15 Mitarbeitern, die das derzeitige Team der DSB darstellen.

Spannend auch die derzeit noch recht kurze FAQ-Liste, die hoffentlich in nächster Zeit noch etwas länger werden wird. Ein interessanter Schwerpunkt dort sind Interpretationen rund um das Thema Videokamera.