Zulässigkeit von Tracking-Tools auf Websites – Cookie-Banner nötig

Das Bayerische Landesamt für Datenschutzaufsicht hat sich zur Zulässigkeit von Tracking-Tools auf Websites in einer Analyse geäußert, die ich im Rahmen der Cybersecurity-Voraussetzungen von Webseiten vorgestellt hatte.

Dabei konnte sich das BayLDA zur Einwilligung äussern und klarstellen, dass man eine Einwilligung nur ernst nimmt, wenn erst nach Zustimmung die entsprechenden Skripte laufen; Skripte laufen lassen und pro Forma nach einem “ja” fragen reicht nicht:

Eine Einwilligung ist nur wirksam, wenn sie vorab erteilt wird,
d. h. wenn alle Tracking-Skripte blockiert sind, solange bis der Nutzer aktiv zugestimmt hat. Außerdem muss die Einwilligung freiwillig sein und der Nutzer vorab über die Datenverarbeitung informiert werden. Ist auch nur eine dieser Voraussetzungen nicht berücksichtigt, so ist die Einwilligung rechtswidrig.

Papier des BayLDA, Seite 25

Dabei ist zu lesen (Seite 26), dass die Einstellung „do not track“ zu akzeptierten und die Ausführung von Tracking-Skripten zu blockieren ist.

Insgesamt verstehe ich es derzeit so, dass – so unsinnig ich dies finden mag – seitens der Behörden das Risiko zu sehen ist, dass man auf einer sauberen Umsetzung des Cookie-Banners besteht. Dazu gehört eine echte Zustimmung, was heisst: einmal wird nichts ausgeführt bevor zugestimmt wurde – andererseits wird die “do not track” Einstellung im Browser respektiert. Ansonsten ist es nicht DSGVO-Konform.

Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit

Das Bayerische Landesamt für Datenschutzaufsicht (“BayLDA”) hat im Rahmen des “Safer Internet Day 2019” bei ausgewählten Internet-Angeboten eine Testreihe mit zwei Prüfblöcken „Cybersicherheit“ und „Tracking“ im Schnellverfahren durchgeführt. Die Ergebnisse wurden als PDF veröffentlicht und mögen für sich sprechen.

„Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit“ weiterlesen

Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen

Die Landesbeauftragte für den Datenschutz in Niedersachsen hat ein “Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen” veröffentlicht, mit dem klargestellt wird, dass aus dortiger Sicht der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.

Mir selber sind Anfragen zu dieser Thematik bekannt, insbesondere bin ich derzeit in einer laufenden Anhörung einer datenschutzrechtlichen Aufsichtsbehörde tätig, wo es darum geht, dass ein Betrieb an seine Mitarbeiter vor Ort Kundendaten per WhatsApp zur Auftragsabwicklung übersendet hat. Die Thematik ist Ernst zu nehmen, aktuell kann ich nur davon abraten, den Dienst WhatsApp betrieblich einzusetzen. Auch andere Messenger sollten vor einem Einsatz erst geprüft werden, regelmäßig gibt es hier erhebliche Ansatzpunkte für Kritik.

„Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen“ weiterlesen