Mehrere Datenschutz-Aufsichtsbehörden in Europa sorgen aktuell mit Entscheidungen zum beliebten Analysedienst Google Analytics für Unruhe unter Website-Betreibern. Aber sind die Aussagen der Behörden wirklich die Paukenschläge, zu denen sie gemacht werden? Wie verbindlich sind die Vorgaben? Und was können Betreiber jetzt tun, um ihr Risiko zu reduzieren?
Continue readingDie Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.
Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).
Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.
Continue readingAnfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az: C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.
Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. „joint-controller-Vertrag“ vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt. Continue reading
Eigentlich dachten alle, dass die Frage längst geklärt ist. Stellt eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum dar, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? Jedenfalls die deutschen Datenschützer waren bis zuletzt der (mehr oder weniger) festen Überzeugung, dass dem so ist. Das Gegenargument, dass ein Seitenbetreiber mit der IP-Adresse alleine gar nichts anfangen könne, da lediglich der Internet-Provider die IP Adresse einem Anschluss zuordnen könne, wollte man nicht gelten lassen.
Nun hat der BGH ein akutelles Verfahren ausgesetzt und die folgenden Fragen dem Europäischen Gerichtshof zur Auslegung der EG-Datenschutz-Richtlinie vorgelegt: more
In letzter Zeit berichten Kollegen übereinstimmend von kursierenden Abmahnungen gegen Websitebetreiber wegen des fehlerhaften Einsatzes von Google Analytics. Dies deckt sich mit unseren Erwartungen, wonach Datenschutzverstöße immer häufiger Gegenstand von Abmahnungen werden dürften. Continue reading