Neue Vorgaben der Datenschutz-Aufsichtsbehörden zu Tracking und Cookies

Die Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.

Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).

Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.

Continue reading

Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az:  C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. „joint-controller-Vertrag“ vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt. Continue reading

BGH will’s wissen: Sind IP-Adressen personenbezogene Daten?

Eigentlich dachten alle, dass die Frage längst geklärt ist. Stellt eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum dar, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? Jedenfalls die deutschen Datenschützer  waren bis zuletzt der (mehr oder weniger) festen Überzeugung, dass dem so ist. Das Gegenargument, dass ein Seitenbetreiber mit der IP-Adresse alleine gar nichts anfangen könne, da lediglich der Internet-Provider die IP Adresse einem Anschluss zuordnen könne, wollte man nicht gelten lassen.

Nun hat der BGH ein akutelles Verfahren ausgesetzt und die folgenden Fragen dem Europäischen Gerichtshof zur Auslegung der EG-Datenschutz-Richtlinie vorgelegt: more