Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?

In Kürze: Eine gute Social Media Marketing Strategie verlangt, dass wir Kundendaten DSGVO konform nutzen, verwalten und löschen.
Aber wenn Facebook diese persönlichen Daten kennt, ist dies dann DSGVO konform?
Wenn nicht, was bedeutet dies für die Facebook Seite unseres Unternehmens, Vereins oder NGO?
Was immer wir entscheiden, die Fragen zeigen auf, dass die richtige Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) kompliziert und kostenaufwendig ist.
Bonus 4-Punkte Checkliste für DSGVO konforme Nutzung von Google Analytics – Slides zum Download.
Bonus 2 Mehr zu DSGVO Compliance und Google Analytics.
Whitpaper vom Competence Circle Digital Marketplaces oder kurz #CCdigitalM vom Deutschen Marketing Verband:
Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf https://MCLago.com/download/13/
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz. Er zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Download die Slides von der DrKPI®  Präsentation beim #MCLago #DMV: 15 MB, PDF Datei

 
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig? (sie sind hier)
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. Facebook weiss Bescheid

Schon 2013 hat Michael Kosinski eine Studie veröffentlicht die anzeigte, dass wir mit unseren Daten sehr viel Information im Netz hinterlassen. Zum Beispiel kann anhand unserer Kontakte wie auch Likes, welche wir hinterlassen, bestimmt werden, ob wir gewisse Produkte mögen, Vereinsmitgliedschaften besitzen und gewisse Arten von Sport betreiben.
Auch unsere sexuellen Präferenzen, wie z.B. ob wir schwul oder lesbisch sind, kann relativ genau eruiert werden.

Facebook 2013: Schon damals hinterliessen wir digitale Spuren über unser Sexleben, Bier Vorlieben, usw.
Facebook 2013: Schon damals hinterliessen wir digitale Spuren über unser Sexleben, Bier Vorlieben, usw.

2. Personalisierte Werbung bei Facebook

Artikel 9 (1) der Datenschutz Grundverordnung (DSGVO) sagt unter anderem:

  1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Facebook hat von rund 40% der EU Bevölkerung oder 203 Mio Menschen persönliche Daten gespeichert.
Die Verarbeitung solcher sensitiver personenbezogener Daten ist jedoch laut Artikel 9 (1) untersagt.
Die Freigabe solcher persönlicher Daten durch den Nutzer, z.B. um die Nutzung von Facebook zu ermöglichen  – u.a. Daten zu politischer Orientierung, zum religiösen Glauben oder auch zur sexuellen Präferenzen, oder sogar zum Drogenkonsum – ist untersagt.
Doch nun hat eine weitere Studie aufgezeigt, dass Facebook solche Informationen wie ethnische Herkunft oder religiöse Überzeugungen gespeichert hat. Diese werden auch gezielt bei der Schaltung von Werbung bei Nutzern eingesetzt.
Die Studie stellte z.B. fest, dass Frauen Werbungen angezeigt bekommen basierend auf ihren Angaben zum Geschlecht.
Bei gut 70% der Frauen, welche auf Facebook Werbung angezeigt bekommen, nutzt Facebook z.B. Geschlecht also Information, um Werbung für Kosmetik oder Tampons anzugeigen. Die Studie fand ebenfalls heraus, dass homosexuelle Männer Werbung angzeigt bekommen, welche diese Information zur Selektion der Werbeschaltung nutzt.
Cabañas, José González, Cuevas, Ángel und Cuevas Rubén (2018-02-14). Facebook use of sensitive data for advertising in Europe. Aufgerufenen am 23. Feb, 2018 auf https://arxiv.org/abs/1802.05030v1

Facebook nutzt heute sensitive Personaldaten um uns relevante Werbung zu zeigen: Dies ist nicht DSGVO compliant.
Facebook nutzt heute sensitive Personaldaten um uns relevante Werbung zu zeigen: Dies ist nicht DSGVO compliant.

Während der Diskussionen im Workshop des #MCLago zum DSGVO oder GDPR war klar ersichtlich: Das Alles hat seinen Preis.
Von rechts nach links unsere Referenten: Dominique Emerich, Markus Neff und Urs E. Gattiker
Von rechts nach links unsere Referenten: Dominique Emerich, Markus Neff und Urs E. Gattiker

3. Sind wir DSGVO compliant?

Die obigen Ausführungen zeigen, dass Facebook Daten noch nicht nach DSGVO Compliance verarbeitet werden. Doch auch unsere eigenen Organisationen sind gefordert.
Wenn Sie die Fragen in den beiden Tabellen unten schriftlich ausarbeiten, d.h. genau dokumentieren, was Sie unternommen haben, haben sie einen weiteren wichtige Schritt unternommen, um Ihre DSGVO Compliance vor dem 25 Mai 2018 sicher stellen zu können.
Das heisst, die Antworten sind wie das Resultat Ihres Inventars des Weinkellers. Wo sind wir gut versorgt und wo müssen wir nachbestellen – in diesem Fall nachbessern, um ein akzeptables Niveau für den Datenschutz zu erreichen.

3a. 4 Punkte Quick Check zum Thema DSGVO Compliance

Die Checklisten unten sowie Ratgeber und Tipps erlauben es Ihnen kurz zu überprüfen, wie weit Ihre Sicherheitsexperten sind was die DSGVO Compliance Vorbereitungen betrifft.
Ist noch wenig oder nichts getan, dann muss sofort etwas unternommen werden. Ansonsten ist das Unternehmen garanteirt bis zum 25 Mai nicht regelkonform was Datenschutz und die DSGVO betrifft.
[su_box title=“4 Punkte Quick Check zum Thema DSGVO Compliance: Lösungen“ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
Eine grundsätzliche Checkliste für die Implementierung der DSGVO in Ihrem Unternehmen haben wir hier für Sie vorbereitet:

Versuchen Sie diese Antworten schriftlich zu erstellen. Dabei ist es immer wichtig, dass sie auch dokumentieren, warum sie mit bestimmten Dingen noch nicht fertig sind. Erklären Sie dabei bitte auch, wieso eine Lösung X vorgenommen wurde und nicht eine andere.
Nur somit können Sie nachher genau feststellen, welche kritischen Dinge als nächstes unbedingt angegriffen werden müssen.
1. Haben Sie eine Datenschutzerklärung Online gepostet, welche auch Otto Normalverbraucher verstehen können?
Lösung hier: Datenschutz-One-Pager Tool – kostenlos generieren.
Erklärung: Dieser One-Pager dient in Form einer Kurzübersicht. Er ist verbraucherfreundlich, was das DSGVO verlangt.
Nichtsdestotrotz, das DSGVO erfordert auch eine förmliche Datenschutzerklärung.
Das heisst, sie brauchen beides, eine förmliche und eine verbraucherfreundliche Datenschutzerklärung.
2. Sind Daten von Personen in Exceldateien oder sonstwo verschlüsselt? Vielleicht auch auf dem Home PC?
Lösung hier: Wie sie VeraCrypt kostenlos nutzen können, wird hier erklärt.
Erklärung: Eine Liste von Open-Source Verschluesselungssoftware
3. Habe Sie ein genaues Inventar von den externen Unternehmen, welche im Auftrage Ihre Daten verarbeiten?
Bsp.: Wenn Sie Teil eines Affiliate Marketing Netzwerkes sind, wer ist verantwortlich? Sie als Webseiten Betreiber der einen Link auf Amazon setzt oder Daten an diese weitergibt. Abklären, Sie sind es zu fast 100 %.
Hilfe: Als Auftragsverarbeiter müssen sie mindestens etwas in Ihre AGB’s einbauen, dass die DSGVO anspricht und sicherstellt, dass sich Ihre Partner daran halten.
4. Haben Sie mit Ihren Auftragsverarbeitern einen Vertrag wie im DSGVO verlangt?  Sie brauchen z.B. einen Vertrag mit Google, wenn Sie Google Analytics benutzen.
Bsp.: Laut Art. 28 der DSGVO brauchen wir eine schriftliche Vereinbarung mit dem Auftragsverarbeiter unserer Daten (Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) ist möglich).
Hilfe: Google’s „Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.0)“ neu veröffentlicht. Auch Mailchimp (für Newsletters) zeigt, wie dies bei ihnen funktioniert inklusive Sub-Contractors.
Kompliziertere Angaben gibt es auch von Microsoft (auch hier und sogar auf Deutsch) und von Sales Force zum Thema sowie deren Vertrag zur Auftragsverarbeitung.
[/su_box]
Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b), ob Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicher gestellt sind.
Checken Sie bitte genau, aber weder WhatsApp noch weitere Applikationen können einfach so genutzt werden.

#MCLago Veranstaltung zur General Data Protection Regulation GDPR - volles und engagiertes Haus beim Südkurier.
#MCLago Veranstaltung zur General Data Protection Regulation GDPR – volles und engagiertes Haus beim Südkurier.

3b.Schnelltest Google Analytics: Setzen wir dieses Tool DSGVO compliant ein?

Auch Nutzer von Google Analytics auf Firmenwebseiten müssen gewisse Vorkehrungen treffen, um compliant zu sein. Einen 4-Punkte Check finden sie in der Tabelle unten.
[su_box title=“Schnelltest und Ratgeber Google Analytics: 4-Punkte Check “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
A. Nutzung Google Analytics. Wenn das Unternehmen oder die Bloggerin Google Analytics nach den Vorgaben der Datenschützer nutzen will, muss ein schriftlicher Vertrag von 18 Seiten Umfang mit Google abgeschlossen werden. Dies betrifft die „Auftragsverarbeitung“ nach § 13 BDSG.
Den von Google und den Datenschützern entwickelten Mustervertrag zur Auftragsdatenverabeitung können Sie hier herunter laden und nutzen:
www.google.com/analytics/terms/de.pdf
Der Vertrag umfasst

  1. Anlage: Regelungen zur Auftragsdatenverarbeitung
  2. Anlage: Technische und organisatorische Massnahmen

Der Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlag per Post an Google gesendet werden. Die Adresse ist:
Contract Administration Department, Google Ireland Ltd,
Gordon House Barrow Street, Dublin 4, Irland
Nach einigen Wochen erhalten Sie ein gegengezeichnetes Exemplar zurück. Auch für Google Universal Analytics sollten Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser wurde bisher allerdings noch nicht auf Universal Analytics angepasst.
B. Google Analytics and Cookies. Die Cookie Herausforderung ist so, dass der Betreiber einer Webseite einen Link schalten muss zum Browser PlugIn, sodass die Speicherung der Daten unterbunden wird und das Opt-out Cookie gesetzt ist.

Google Analytics Schnelltest – sind Punkte A & B oben richtig umgesetzt.

Sie überprüfen dabei im Unternehmen, ob Google Analytics rechtssicher genutzt wird. Sie kontrollieren die folgenden 4 Dinge:

  1. Wurde der Vertrag zur Auftragsdatenverarbeitung abgeschlossen (Punkt 5)?
  2. Ist die IP Anonymisierung eingebunden worden?
  3. Wurde die Datenschutzerklärung aktualisiert, d.h. darauf hingewiesen, was man tun kann als Nutzer, um ein Tracking seinerseits zu vermeiden?
  4. Hat das Unternehmen ein Link zum Browser PlugIn gesetzt (siehe Punkt 6).

[/su_box]
Hier gibt es Datenschutz 2018 Ressourcen inklusive Checklisten
[su_slider source=“media: 8903,8896,8897,8898,8900,8931,8902″]

4. Was ist Ihre Meinung

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Unsere Frage im Titel, ob ein Bewerber für eine Stelle drogensüchtig ist, kann relativ akkurat mit Facebook Likes beantwortet werden.
Sehr befremdend ist jedoch, dass Facebook Werbung schaltet, welche auf personenspezifischen Daten basieren, welche für solche Zwecke gemäss DSGVO nicht rechtens sind.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie schon überprüft, wie gut Ihre Organisation vorbereitet ist?
  • Bei welchen Applikationen oder Social Networks gibt es für Sie noch Klärungsbedarf in Sachen DSGVO?

Fotos bei Corina Rieflin, Dominik Birk und Urs E. Gattiker

Offfenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.
Download die Slides von Markus Neff und Dominique Emerich beim #MCLago #DMV #DMT18:  8 MB PDF Datei

Download die Slides von der DrKPI® Präsentation beim #MCLago #DMV: 15 MB, PDF Datei – siehe unten zum anschauen

[embeddoc url=“http://blog.drkpi.de/wp-content/files//2018-03-DrKPI-GDPR-MCLago.pdf“ width=“100%“ viewer=“google“]

Beitrag teilen

9 Antworten

  1. Lieber Urs
    vielen Dank für die informativen Hinweise zum Thema Social Media, insbesondere Facebook und DSGVO.
    Ich stelle mir auch die Frage, ob Unternehmensprofile beispielsweise auf Twitter oder LinkedIn als kritisch einzuordnen sind.
    Viele Grüße,
    Silvia Wilkes

    1. Liebe Silvia
      Danke für den Kommentar.
      Eine Suche nach Bewerbern in freizeitorientierten Netzwerken wie Facebook oder Twitter ist nicht erlaubt. Inwiefern das durchforsten von LinkedIn erlaubt ist, das werden die Gerichte entscheiden:
      Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen. RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST. 1. EU Datenschutz Grundverordnung (EU DSGVO): Nein zu Social Media? Nicht alles ist klar.
      Inwiefern eine Firmenseite auch eine Auftragsverarbeitung von persönlichen Daten darstellt ist schwierig zu beantworten. Wenn LinkedIn Nutzer dem LinkedIn Profil vom Unternehmen auf LinkedIn folgen (z.B. News Updates) oder diese Privatnutzer der Plattform Mitglieder einer vom Unternehmen moderierten Gruppe auf Xing oder LinkedIn sind, dann werden deren persönliche Daten im Auftrag bearbeitet.
      Da werden die nationalen Datenschützer deren Interpretation vom DSGVO und wie dies Plattformen wie Xing oder LinkedIn mit Firmengruppen oder Firmenprofilen tangiert erklären müssen.
      Zur Zeit ist es nicht klar!
      Ich tendiere aber dazu es so zu sehen, das was für Facebook gilt auch für LinkedIn oder Xing gilt :-) Also einen Vertrag für die Auftragsverarbeitung von persönlichen Daten oder sonst die Firmenseite schliessen.
      Aber inwiefern Microsoft/LinkedIn bereit ist dies zu tun und wie Working Group 29 das interpretiert, dass steht noch in den Sternen, 11 Wochen vor dem 25 Mai, 2018.
      LinkedIN – Was Lieferanten berücksichtigen müssen mit der DSGVO (kurz, knapp und klar)

    2. Uebrigens, Silvia
      Hier gibt es noch eine Checkliste für die Auftragsbearbeitung von Daten
      Was muss in einem Vertrag zur Auftragsdatenverarbeitung beachtet werden?
      Nach Art. 28 Abs. 3 EU-DSGVO sind folgende Punkte zu regeln:
      1. Gegenstand und Dauer der Verarbeitung.
      2. Art und Zweck der Verarbeitung.
      3. Art der personenbezogenen Daten und Kategorien von betroffenen Personen Umfang der Weisungsbefugnisse.
      4. Person welche zur Verarbeitung gefugt sind müssen sich der Vertraulichkeit verpflichtet haben.
      5. Technische wie auch organisatorische Massnahmen zur Sicherstellung müssen veranlasst und dokumentiert sein.
      6. Lieferanten und Subunternehmen von Lieferant müssen hinzugezogen werden.Hinzuziehung von Subunternehmern.
      7. Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
      8. Prozedere für und wie die Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung vonstatten gehen soll.
      9. Kontrollrechte des für die Verarbeitung Verantwortlichen
      10. Duldungspflichten des Auftragsgebers betreffend der Kontrollrechte (siehe Punkt 9).

  2. Lieber Urs
    Herzlichen Dank für die wertvollen Hinweise.
    Wir sind daran, es mit Google Analytics umzusetzen.
    Ziemlicher Info-Dschungel – aber dank deiner Anleitungen geht’s zeitsparend.
    Cheers
    Carrie

  3. Ehrlich gesagt habe ich mich damit noch nicht viel beschäftigt.
    Bei der ganzen Flut an Informationen, weiß ich nicht so wirklich was ich machen muss. Daher ist so ein Artikel wirklich hilfreich.
    Herzliche Grüße
    Petra

    1. Liebe Petra
      Alles klar ja es hilft natürlich wenn man diese Dinge richtig macht. Ich werde bald auch noch weitere Dinge erklären die man auf der Webseite oder dem Blog richtig machen muss was Datenschutz betrifft.
      Jetzt muss man ja noch https:// nutzen wenn man ein Contact Formular auf der Seite hat und diese Personendaten übertragen werden.
      Aber bei Deinem schönen Blog ist das ja schon lange gefixt.
      Herzlichst
      Urs

    1. Das ist ein interessantes Thema. Speziell interessant ist hier die Bitkom welche hier darauf hinweist, dass mit der Auslegung der Formulierung „mit dem
      vereinbar“ in DE die Erfahrung Erfahrung fehlt. Da hat Dominique Emerich dann wieder Recht wenn Sie auf dem MC Lago Blog dem Mark Leinemann in so etwa antwortet, dass wir die Dinge erst dann wissen, wenn uns die Gericht klarmachen was oder wie sie das „mit dem vereinbar“ formulieren.
      Bitkom Dokument auf S. 10 schreibt:
      „Beispiel Zweckänderung: Zwar bleibt der Grundsatz der Zweckbindung erhalten – der Wortlaut der allgemeinen Regelung für die Datenweiterverarbeitung ändert sich jedoch. Die Regelung zur Weiterverarbeitung für einen anderen Zweck als den, zu dem die Daten ursprünglich erhoben wurden, findet sich im BDSG in § 28 Abs. 2, während in der Verordnung Art. 6 Abs. 4 maßgeblich ist. Der Wortlaut des BDSG weicht von dem der Verordnung ab. Während die DS-GVO die Weiterverarbeitung nur zulässt, wenn sie »mit dem ursprünglichen Zweck vereinbar ist«, ist die Übermittlung und Nutzung für einen anderen Zweck nach § 28 Abs. 2 Nr. 1 zulässig, wenn es zur »Wahrung berechtigter Interessen« der verantwortlichen Stelle erforderlich ist und »kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.« Mit der Auslegung der Formulierung »mit dem ursprünglichen Zweck vereinbar« besteht in Deutschland daher wenig Erfahrung – obwohl er bereits in der EU-Datenschutzrichtlinie (DS-RL) enthalten war. Es bleibt daher abzuwarten, wie eng oder weit die Verarbeitungszwecke zukünftig formuliert werden können, um ein Mindestmaß an Flexibilität hinsichtlich der Art der Verarbeitung zuzulassen.“

Überblick

Erhalten Sie jetzt unseren Newsletter!