Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?

In Kürze: Eine gute Social Media Marketing Strategie verlangt, dass wir Kundendaten DSGVO konform nutzen, verwalten und löschen.
Aber wenn Facebook diese persönlichen Daten kennt, ist dies dann DSGVO konform?
Wenn nicht, was bedeutet dies für die Facebook Seite unseres Unternehmens, Vereins oder NGO?
Was immer wir entscheiden, die Fragen zeigen auf, dass die richtige Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) kompliziert und kostenaufwendig ist.
Bonus 4-Punkte Checkliste für DSGVO konforme Nutzung von Google Analytics – Slides zum Download.
Bonus 2 Mehr zu DSGVO Compliance und Google Analytics.
Whitpaper vom Competence Circle Digital Marketplaces oder kurz #CCdigitalM vom Deutschen Marketing Verband:
Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf https://MCLago.com/download/13/
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz. Er zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Download die Slides von der DrKPI®  Präsentation beim #MCLago #DMV: 15 MB, PDF Datei

 
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig? (sie sind hier)
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

• 1. Facebook weiss Bescheid
• 2. Personalisierte Werbung bei Facebook
• 3. Sind wir DSGVO compliant?
• 3a. 4 Punkte Quick Check zum Thema DSGVO Compliance
• 3b. 4 Punkte Schnelltest zum Thema Google Analytics DSGVO Compliance
• 4. Was ist Ihre Meinung?

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. Facebook weiss Bescheid

Schon 2013 hat Michael Kosinski eine Studie veröffentlicht die anzeigte, dass wir mit unseren Daten sehr viel Information im Netz hinterlassen. Zum Beispiel kann anhand unserer Kontakte wie auch Likes, welche wir hinterlassen, bestimmt werden, ob wir gewisse Produkte mögen, Vereinsmitgliedschaften besitzen und gewisse Arten von Sport betreiben.
Auch unsere sexuellen Präferenzen, wie z.B. ob wir schwul oder lesbisch sind, kann relativ genau eruiert werden.

2. Personalisierte Werbung bei Facebook

Artikel 9 (1) der Datenschutz Grundverordnung (DSGVO) sagt unter anderem:

1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Facebook hat von rund 40% der EU Bevölkerung oder 203 Mio Menschen persönliche Daten gespeichert.
Die Verarbeitung solcher sensitiver personenbezogener Daten ist jedoch laut Artikel 9 (1) untersagt.
Die Freigabe solcher persönlicher Daten durch den Nutzer, z.B. um die Nutzung von Facebook zu ermöglichen  – u.a. Daten zu politischer Orientierung, zum religiösen Glauben oder auch zur sexuellen Präferenzen, oder sogar zum Drogenkonsum – ist untersagt.
Doch nun hat eine weitere Studie aufgezeigt, dass Facebook solche Informationen wie ethnische Herkunft oder religiöse Überzeugungen gespeichert hat. Diese werden auch gezielt bei der Schaltung von Werbung bei Nutzern eingesetzt.
Die Studie stellte z.B. fest, dass Frauen Werbungen angezeigt bekommen basierend auf ihren Angaben zum Geschlecht.
Bei gut 70% der Frauen, welche auf Facebook Werbung angezeigt bekommen, nutzt Facebook z.B. Geschlecht also Information, um Werbung für Kosmetik oder Tampons anzugeigen. Die Studie fand ebenfalls heraus, dass homosexuelle Männer Werbung angzeigt bekommen, welche diese Information zur Selektion der Werbeschaltung nutzt.
Cabañas, José González, Cuevas, Ángel und Cuevas Rubén (2018-02-14). Facebook use of sensitive data for advertising in Europe. Aufgerufenen am 23. Feb, 2018 auf https://arxiv.org/abs/1802.05030v1

Während der Diskussionen im Workshop des #MCLago zum DSGVO oder GDPR war klar ersichtlich: Das Alles hat seinen Preis.

3. Sind wir DSGVO compliant?

Die obigen Ausführungen zeigen, dass Facebook Daten noch nicht nach DSGVO Compliance verarbeitet werden. Doch auch unsere eigenen Organisationen sind gefordert.
Wenn Sie die Fragen in den beiden Tabellen unten schriftlich ausarbeiten, d.h. genau dokumentieren, was Sie unternommen haben, haben sie einen weiteren wichtige Schritt unternommen, um Ihre DSGVO Compliance vor dem 25 Mai 2018 sicher stellen zu können.
Das heisst, die Antworten sind wie das Resultat Ihres Inventars des Weinkellers. Wo sind wir gut versorgt und wo müssen wir nachbestellen – in diesem Fall nachbessern, um ein akzeptables Niveau für den Datenschutz zu erreichen.

3a. 4 Punkte Quick Check zum Thema DSGVO Compliance

Die Checklisten unten sowie Ratgeber und Tipps erlauben es Ihnen kurz zu überprüfen, wie weit Ihre Sicherheitsexperten sind was die DSGVO Compliance Vorbereitungen betrifft.
Ist noch wenig oder nichts getan, dann muss sofort etwas unternommen werden. Ansonsten ist das Unternehmen garanteirt bis zum 25 Mai nicht regelkonform was Datenschutz und die DSGVO betrifft.
[su_box title=“4 Punkte Quick Check zum Thema DSGVO Compliance: Lösungen“ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
Eine grundsätzliche Checkliste für die Implementierung der DSGVO in Ihrem Unternehmen haben wir hier für Sie vorbereitet:

• Vorbereitungen für die Umsetzung der DSGVO im KMU: 12 Punkte Checkliste

Versuchen Sie diese Antworten schriftlich zu erstellen. Dabei ist es immer wichtig, dass sie auch dokumentieren, warum sie mit bestimmten Dingen noch nicht fertig sind. Erklären Sie dabei bitte auch, wieso eine Lösung X vorgenommen wurde und nicht eine andere.
Nur somit können Sie nachher genau feststellen, welche kritischen Dinge als nächstes unbedingt angegriffen werden müssen.
1. Haben Sie eine Datenschutzerklärung Online gepostet, welche auch Otto Normalverbraucher verstehen können?
Lösung hier: Datenschutz-One-Pager Tool – kostenlos generieren.
Erklärung: Dieser One-Pager dient in Form einer Kurzübersicht. Er ist verbraucherfreundlich, was das DSGVO verlangt.
Nichtsdestotrotz, das DSGVO erfordert auch eine förmliche Datenschutzerklärung.
Das heisst, sie brauchen beides, eine förmliche und eine verbraucherfreundliche Datenschutzerklärung.
2. Sind Daten von Personen in Exceldateien oder sonstwo verschlüsselt? Vielleicht auch auf dem Home PC?
Lösung hier: Wie sie VeraCrypt kostenlos nutzen können, wird hier erklärt.
Erklärung: Eine Liste von Open-Source Verschluesselungssoftware
3. Habe Sie ein genaues Inventar von den externen Unternehmen, welche im Auftrage Ihre Daten verarbeiten?
Bsp.: Wenn Sie Teil eines Affiliate Marketing Netzwerkes sind, wer ist verantwortlich? Sie als Webseiten Betreiber der einen Link auf Amazon setzt oder Daten an diese weitergibt. Abklären, Sie sind es zu fast 100 %.
Hilfe: Als Auftragsverarbeiter müssen sie mindestens etwas in Ihre AGB’s einbauen, dass die DSGVO anspricht und sicherstellt, dass sich Ihre Partner daran halten.
4. Haben Sie mit Ihren Auftragsverarbeitern einen Vertrag wie im DSGVO verlangt?  Sie brauchen z.B. einen Vertrag mit Google, wenn Sie Google Analytics benutzen.
Bsp.: Laut Art. 28 der DSGVO brauchen wir eine schriftliche Vereinbarung mit dem Auftragsverarbeiter unserer Daten (Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) ist möglich).
Hilfe: Google’s „Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.0)“ neu veröffentlicht. Auch Mailchimp (für Newsletters) zeigt, wie dies bei ihnen funktioniert inklusive Sub-Contractors.
Kompliziertere Angaben gibt es auch von Microsoft (auch hier und sogar auf Deutsch) und von Sales Force zum Thema sowie deren Vertrag zur Auftragsverarbeitung.
[/su_box]
Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b), ob Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicher gestellt sind.
Checken Sie bitte genau, aber weder WhatsApp noch weitere Applikationen können einfach so genutzt werden.

3b.Schnelltest Google Analytics: Setzen wir dieses Tool DSGVO compliant ein?

Auch Nutzer von Google Analytics auf Firmenwebseiten müssen gewisse Vorkehrungen treffen, um compliant zu sein. Einen 4-Punkte Check finden sie in der Tabelle unten.
[su_box title=“Schnelltest und Ratgeber Google Analytics: 4-Punkte Check “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
A. Nutzung Google Analytics. Wenn das Unternehmen oder die Bloggerin Google Analytics nach den Vorgaben der Datenschützer nutzen will, muss ein schriftlicher Vertrag von 18 Seiten Umfang mit Google abgeschlossen werden. Dies betrifft die „Auftragsverarbeitung“ nach § 13 BDSG.
Den von Google und den Datenschützern entwickelten Mustervertrag zur Auftragsdatenverabeitung können Sie hier herunter laden und nutzen:
www.google.com/analytics/terms/de.pdf
Der Vertrag umfasst

1. Anlage: Regelungen zur Auftragsdatenverarbeitung
2. Anlage: Technische und organisatorische Massnahmen

Der Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlag per Post an Google gesendet werden. Die Adresse ist:
Contract Administration Department, Google Ireland Ltd,
Gordon House Barrow Street, Dublin 4, Irland
Nach einigen Wochen erhalten Sie ein gegengezeichnetes Exemplar zurück. Auch für Google Universal Analytics sollten Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser wurde bisher allerdings noch nicht auf Universal Analytics angepasst.
B. Google Analytics and Cookies. Die Cookie Herausforderung ist so, dass der Betreiber einer Webseite einen Link schalten muss zum Browser PlugIn, sodass die Speicherung der Daten unterbunden wird und das Opt-out Cookie gesetzt ist.

Google Analytics Schnelltest – sind Punkte A & B oben richtig umgesetzt.

Sie überprüfen dabei im Unternehmen, ob Google Analytics rechtssicher genutzt wird. Sie kontrollieren die folgenden 4 Dinge:

1. Wurde der Vertrag zur Auftragsdatenverarbeitung abgeschlossen (Punkt 5)?
2. Ist die IP Anonymisierung eingebunden worden?
3. Wurde die Datenschutzerklärung aktualisiert, d.h. darauf hingewiesen, was man tun kann als Nutzer, um ein Tracking seinerseits zu vermeiden?
4. Hat das Unternehmen ein Link zum Browser PlugIn gesetzt (siehe Punkt 6).

[/su_box]
Hier gibt es Datenschutz 2018 Ressourcen inklusive Checklisten
[su_slider source=“media: 8903,8896,8897,8898,8900,8931,8902″]

4. Was ist Ihre Meinung

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Unsere Frage im Titel, ob ein Bewerber für eine Stelle drogensüchtig ist, kann relativ akkurat mit Facebook Likes beantwortet werden.
Sehr befremdend ist jedoch, dass Facebook Werbung schaltet, welche auf personenspezifischen Daten basieren, welche für solche Zwecke gemäss DSGVO nicht rechtens sind.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

• Haben Sie schon überprüft, wie gut Ihre Organisation vorbereitet ist?
• Bei welchen Applikationen oder Social Networks gibt es für Sie noch Klärungsbedarf in Sachen DSGVO?

Fotos bei Corina Rieflin, Dominik Birk und Urs E. Gattiker

Offfenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.
Download die Slides von Markus Neff und Dominique Emerich beim #MCLago #DMV #DMT18:  8 MB PDF Datei

Download die Slides von der DrKPI® Präsentation beim #MCLago #DMV: 15 MB, PDF Datei – siehe unten zum anschauen

[embeddoc url=“http://blog.drkpi.de/wp-content/files//2018-03-DrKPI-GDPR-MCLago.pdf“ width=“100%“ viewer=“google“]