Bereits an verschiedenen Stellen in unserem Blog haben wir über die sogenannten Datenschutz-Aufsichtsbehörden geschrieben. Diese haben umfangreiche Aufgaben. Eine ist es, die Tätigkeiten der Behörden in Form von Jahresberichten zu dokumentieren und den Parlamente (Landtage und Bundestag) vorzustellen.
Diese Tätigkeitsberichte sind eine gute Informationsquelle für die Rechtsauffassungen und die Ausrichtungen der Behörden und geben einen Richtwert – auch für mögliche zukünftige Überprüfungen bzw. Überprüfungsschwerpunkte.
Wir haben uns alle verfügbaren Tätigkeitsbericht aus dem Jahr 2019 für Sie angeschaut und möchten Ihnen diese nun gerne aufbereitet nach Themenkomplexen als (teilweise gekürzte und angepasste) Zitatauswahl vorstellen. Hierbei haben wir uns die Themen herausgesucht, die am wahrscheinlichsten für Sie interessant sind. Aufgrund des Umfangs, erstellen wir für Sie hieraus eine Blog-Serie. Die Teile der Blogserie können Sie hier auswählen:
Im Volltext können Sie die Tätigkeitsberichte hier nachlesen:
Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz – ZAfTDa
Bei Fragen zu einzelnen Themen, sprechen Sie uns gerne an.
Internet
Betreiber von Facebook Fanpages haben nach derzeitigem Stand keine Möglichkeit, diese datenschutzkonform zu betreiben und müssen deshalb damit rechnen, Adressat von Anordnungen der Aufsichtsbehörden zu werden.
Bayern LDA, Kap. 6, Abs. 6.1
Tracking
Website-Betreiber, die Nutzer ohne Vorliegen einer Einwilligung tracken, begehen ein Datenschutzverstoß, der mit einer empfindlichen Geldbuße geahndet werden kann. Beispielsweise ist die sog. „Datenfreigabe“ an Google standardmäßig durch den Dienst aktiviert. Unter Berücksichtigung der „Orientierungshilfe für Anbieter von Telemedien“ bedeutet das Folgendes: Räumt der Website-Betreiber Google diese Möglichkeit ein, die Daten der Website-Besucher zu eigenen Zwecken zu verwenden, erfordert dies eine Einwilligung der Nutzer.
Wenn in Websites Dritt-Dienste eingebunden werden, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzen, ist das rechtlich nur zulässig, wenn eine Einwilligung der Nutzerinnen und Nutzer eingeholt wird. Zu solchen Diensten gehört auch Google Analytics.
Nordrhein-Westfalen, Kap. 4, Abs. 4.4
Werbeflächen
Die Vergabe der Werbeflächen auf der Webseite der Verantwortlichen erfolgt mittlerweile fast ausschließlich durch einen automatisierten Prozess, der Werbeplätze in Echtzeit verkauft und ausliefert.
Hamburg, Abs. III, Abs. 8
Dies ist unter dem Begriff Real-Time-Bidding oder Real-Time-Advertising bekannt und wird regelmäßig durch den HmbBfDI als nicht datenschutzkonform bewertet. Insbesondere die zahlreichen für den Nutzer und größtenteils auch für die Verantwortlichen selbst nicht nachvollziehbaren Verkettungen von Daten durch eingesetzte Drittdienstleister, die an dem Prozess der Ausspielung zielgenauer Werbung beteiligt sind, der regelmäßig große Umfang der Datenverarbeitung sowie die fehlende Erwartbarkeit der betroffenen Nutzer, dass bspw. Informationen über sie darüber weitergegeben werden, welche Webseiten von ihnen besucht wurden, führen dazu, dass der Einsatz derartiger Trackingmethoden nur auf eine informierte Einwilligung durch den Nutzer gestützt werden kann.
Umfragetools
Hierzu teilte ich mit, dass Survey Monkey ein weit verbreitetes Werkzeug für entsprechende Umfragen ist. Umfragen mit Survey Monkey sind jedoch nicht automatisch anonym. Hier müssen mindestens spezielle Einstellungen vorgenommen werden (siehe auch How-do-I-make-surveys-anonymous unter help.surveymonkey.com). Hinzu kommen Server-logs (siehe Daten-schutzerklärung). Die Aussage, dass Survey Monkey verwendet wird und dass keine personenbezogenen Daten abgefragt werden, reicht nicht aus. Hier sind zusätzliche Maßnahmen erforderlich.
Hessen, Kap. 5
Hashverfahren
Auskünfte von Verantwortlichen zeigen, dass weiterhin veraltete Hashverfahren zur Speicherung von Passwörtern in Onlinesystemen verwendet werden – hier müssen Verantwortliche regelmäßig nachbessern. Aufgrund der aktuellen Entwicklungen im Bereich der Kryptowährungen muss auch der Einsatz aktueller Hashverfahren kritisch geprüft werden.
Nordrhein-Westfalen, Kap. 12, Abs. 12.2
Microsoft Windows
Um eine solche einheitlich vorzunehmen, hat die Datenschutzkonferenz (DSK) eine Arbeitsgruppe eingesetzt, an der ich mich aktiv beteilige. Ziel der Gruppe ist es, eine datenschutzrechtliche Positionierung zu Windows 10 zu erarbeiten, die vor allem Rechtssicherheit für Anwenderinnen und Anwender schaffen soll. , ist es unstrittig, dass die Telemetriedatenverarbeitung datenschutz-rechtlich kritisch zu sehen ist. Fraglich ist vor allem, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten durch Microsoft im vorliegenden Fall gestützt werden kann.
Bund, Kap. 8, Abs. 8.12