Sie haben die DSGVO erfolgreich umgesetzt? Wir gratulieren.
Oder tun Sie sich mit einigen Aspekten der DSGVO noch ein wenig schwer? Dann brauchen Sie noch ein paar Tools und Checklisten, die Sie hier finden.
Und nun das: Am Dienstag dieser Woche kam der Paukenschlag: Das EuGH-Urteil vom 2018-06-05.
Dieses Urteil hat im Rechtsstreit 2011 zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und dem IHK Schleswig-Holstein – stellvertretend für die Wirtschaftsakademie Schleswig-Holstein und alle Betriebe Schleswig-Holsteins – eine Entscheidung gefällt:
- Der Betreiber einer Facebook „Fan-Page“ (z.B. Schulen, Unternehmen, öffentliche Verwaltungen) ist durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele der Steuerung oder Förderung seiner Tätigkeiten) an der Sammlung der personenbezogenen Daten der Besucher beteiligt.
Das heisst, das Unternehmen ist neben Facebook ebenfalls dafür verantwortlich, was mit den persönlichen Daten der Besucher der Firmenseite auf Facebook geschieht.
Dies hat trotz des Alters des Falls (von 2011) jetzt Folgen. Denn nach der DSGVO macht die externe Datenverarbeitung (d.h. in diesem Falle bei Facebook) einen Datenverarbeitungsvertrag zwischen dem Unternehmen und Facebook zwingend. Da nach dem Urteil das Unternehmen mitverantwortlich ist für diese Daten, muss es auch wissen, wie Facebook diese sichert.
Aber hier wird Facebook kaum die Bücher offen legen wollen…
PS. Überraschend ist das Urteil nicht, denn im Oktober 2017 hat der Generalanwalt des Europäischen Gerichtshofes (EuGH) ja schon vorgeschlagen,dem ULD in dieser Sache Recht zu geben.
In der Mehrzahl solcher Fälle richtet sich das EuGH in der Rechtssprechung nach dem Generalanwalt. Dies wurde im White Paper vom Deutschen Marketing Verband im Herbst 2017 erklärt (siehe 2. revidierte Auflage, April 2018, zum Download hier: https://mclago.com/best-practice-5/ ).
PPS. Was ist eine Fanpage? Wenn eine Firma/Unternehmen eine Page auf Facebook betreibt welches Facebook Nutzer Liken können.
Dies kann für ein Produkt (Magnum Eis, Migros Ice Tea) oder das Unternehmen selber sein (z.B. Migros, Douglas, Mercedes und BMW).
Aber auch Vereine oder Städte wie Köln, München und Zürich, usw. oder aber auch ein Bundesministerium können eine Facebook Fanpage betreiben.
Und was nun?
Wir erklären was Sache ist und lassen Sie an einigen amüsanten und weniger amüsanten Anekdoten teilhaben.
Update gefällig?
Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten Sie jeweils eine Reminder-Mail, sobald ein neues Thema zu EU-Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU-Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz: Marketing aufgepasst
2018 EU Datenschutz: Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz-Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics (März 2018)
5 Alternativen zu Facebook Messenger und WhatsApp (April 2018)
2018 EU Datenschutz Compliance mit Cookies (Mai 2018)
2018 DSGVO umgesetzt: Facebook-Fanpages und das EuGH-Urteil (Juni 2018) (Sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018, regelmässige Updates z.B. Mai 2018)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Marcom Suisse 5 Monate DSGVO – Erfahrungen – Auswirkungen – Workshop – 30. Oktober 2018[/su_box]
EuGH-Urteil 2018-06-05 in der Rechtssache C-210/16
Wie oben erwähnt, haben auch wir oder der Marketing Club Lago keinen Datenverarbeitungsvertrag mit Facebook.
Aber was können wir anstelle von Facebook-Seiten oder auch Facebook-Gruppen anbieten? Wir wollen schließlich medial präsent bleiben und unsere „Fans“ auf eine für sie bequeme Art über Neuigkeiten informieren.
Klar sind 2 Dinge:
- Facebook’s Zentrale in Ireland ist verantwortlich und
- obwohl der Seitenbetreiber, d.h. das Unternehmen, die Datenverarbeitung von Facebook weder kontrollieren noch beeinflussen kann, ist dieses ebenfalls haftbar – und dies beginnt schon wenn die Seite aufgerufen wird.
Gutes Risiko-Management verlangt nun, dass wir die Seite löschen, bevor es Probleme gibt. Wow, gibt es eine andere Lösung?
Die Antwort ist: Ja, es gibt eine Alternative. Die Lösung wäre, die Seite als Betreiber vorübergehend „nicht sichtbar“ zu machen, bis Facebook eine Option bereithält, die das Speichern von Daten explizit ausschliesst.
Facebook Firmenseite „nicht sichtbar“ machen: So geht es
- Klicken Sie auf „Seite bearbeiten“ oder „Manage Page“
- Settings oder Einstellungen (siehe Screenshot unten) und
- Option „Seite nicht veröffentlichen“ auswählen.
Diese kann nun von keinem Nutzer mehr eingesehen werden, ausgenommen dem Administrator der Firmenseite. Dann heißt es erst einmal: Warten.
PS. Die Problematik ist, dass wenn wir einen Einholung der Zustimmung zur Datenverarbeitung sichern möchten, um unsere Seite online zu lassen, muss der Nutzer vor dem Besuch gefragt werden. Wird die Zustimmung erst dann eingeholt, wenn die Seite aufgerufen wurde, ist diese unwirksam. In diesem Moment hat ja die Datensammlung von Facebook schon begonnen, obwohl der Nutzer noch nicht zugestimmt hat.
Aus diesem Grunde habe ich z.B. die Marketing Club Lago Facebook-Seite auf Offline geschaltet.
2. Best Practice: Datenschutz-Board etablieren
Sie sehen schon, das Urteil vom EuGH verlangt, dass wir sachgemäss interpretieren und dann fachlich richtig umsetzen, was verlangt wird.
Da fällt mir ein Zitat eines Kollegen ein, dem ich nur zustimmen kann:
DSGVO … Und mich beschleicht das Gefühl, das eigentlich keiner genau weiß worum es eigentlich dabei geht.
Die DSGVO umzusetzen ist für uns alle nicht einfach. Dabei ist es auch nicht die beste Lösung, alles einfach dem Datenschutz-Beauftragten zu übertragen.
Neben rechtlichen Dingen hilft es auch ein gewisses Verständnis für End-User an den Tisch zu bringen (Psychologie). Denn der Datenschutz-Beauftragte weiß nicht immer, wie die End-User über die Umsetzung denken. Beispielsweise kann es passieren, dass ein Influencer beginnt sich über ein Brand lustig zu machen…
Natürlich hilft uns auch ein gewisses Know-How auf dem Gebiet der Informatik, um zu verstehen, wie schwierig es ist gewisse Risiken abschätzen zu können.
Viele Probleme werden mit einem Datenschutz-Board verkleinert. Im Datenschutz-Board haben der Datenschützer, IT-Sicherheits-Beauftragte, Marketing, Risk Management und das für Datenschutz verantwortliche Vorstandsmitglied Einsitz zu nehmen.
Nur dieses geballte Know-How sichert die DSGVO-Umsetzung nach Best Practice.
3. USA und EU – Datenschutz
Die neuesten Vorwürfe gegen Facebook besagen, dass das Unternehmen Nutzerdaten von Users und deren Freunden an ca. 60 Gerätehersteller weitergegeben hat. Facebook begründete dieses Verhalten mit dem Ziel, dadurch Nutzern von Apple, Samsung, Amazon und anderen Geräten ein „gutes-Erlebnis“ auf dem Social Network zu sichern.
Facebook scheint hier aber den „Verkauf von Daten“ falsch zu verstehen. Daten werden gewinnbringend weitergegeben und dann wird trotzdem behauptet, sie seien nicht verkauft worden.
Was auch auf Unverständnis stösst, ist, dass Facebook-intern die Weitergabe an Hersteller nicht als Weitergabe an Drittpartien eingestuft wurde. Man betrachtete dies als verlängerter Arm des Unternehmens. Somit erhielten die Hersteller vollen Datenzugriff wie Facebook auf seiner Webseite in einem Statement zu erklären versucht.
Die Senatoren Richard Blumenthal und Ed Markey haben nun Mark Zuckerberg einen Brief gesandt und ihn aufgefordert, deren Fragen zu beantworten. Speziell geht es darum, wie und warum Nutzerdaten mit Apple, BlackBerry und Samsung geteilt wurden.
Im April 2018 wurde in San Franzisko eine Sammelklage gegen Facebook genehmigt. In dieser beschweren sich Illinois Bewohner dass deren biometrische und Gesichtsdaten gespeichert wurden, ohne deren Zustimmung vorher einzuholen. Laut dem Illinois Privacy Gesetz von 2008 ist dies jedoch Pflicht.
In den USA ziehen Konsumenten und Verbraucher-Organisationen mit Hilfe von Sammelklagen und Schadensersatz-Forderungen gegen Unternehmen los. In Europa sind es eher die Europäische Kommission, die versucht, die Technologie-Unternehmen mit Geldbussen (siehe Google 2017, 2.6 Milliarden Euro) in Schach zu halten.
4. Risiko Management
Risiko Management ist insofern schwierig, weil man nicht immer wissen kann, dass jemand heimlich in das eigene Haus eingedrungen ist.
Ein Beispiel ist das IT-Netzwerk der Bundesregierung. Der Angriff auf den IVBB (Informationsverbund Bonn-Berlin) war seit Dezember 2017 intern bekannt. Dieser Digitale Hausfriedensbruch wurde der Bundesregierung jedoch schon einige Zeit vorher durch eine befreundete Organisation mitgeteilt.
Doch diese Information des erfolgreichen Anzapfen des IVBB wurde der Öffentlichkeit erst Ende Februar 2018 mitgeteilt. Auch hier wurde das laut DSGVO lautende 72 Std. Fenster wurde nicht eingehalten!
Lieder können wir nur dann die 72 Std. Frist für das Reporting der Kunden und der zuständigen Datenschutzbehörde einhalten, wenn uns der Hackerangriff überhaupt aufgefallen ist. Ansonsten kann es wie frühere Fälle zeigen Monate dauern, bis der digitale Hausfriedensbruch festgestellt wird. Von der Dunkelziffer ganz zu schweigen.
Da hilft natürlich auch diese Antwort nicht unbedingt:
Datenschützer ist für die „formalen“ Themen bestellt.
Ich glaube, daß ich ihn mit diesen Fragen überfordere – er hat keine Ahnung vom Datenschutz in einem Multibrand Unternehmen.
Ein weiteres Beispiel:
Das grösste Problem ist, dass z.B. die Niederlassung im Land A ein double-opt-in für den Newsletter hat für Kunde Müller aber ich das z.B. in Deutschland nicht weiss. Die Folge ist, dass ich die Person entferne und Land A den weiterhin mit Informationen beliefert. Diese Datenbanken müssen überprüft werden, ein Riesending.
Haben Sie das Problem gelöst?
5. Was ist Ihre Meinung?
Die neue EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Wir haben hier auf die Herausforderung in Sachen Compliance und Datensicherheit hingewiesen und auch darauf, was es für Facebook bedeutet.
ACHTUNG! Diese Problematik betrifft auch Ihre betriebliche Instagram-Seite für den Betrieb, die Marke oder anderes! Warum? Ganz einfach, weil Instagram- und Facebook-Konto/-Seiten ja verbunden sind!
Wie diese gemeinsame Verantwortung zwischen Facebook und Firmen die eine Fanpage oder Gruppe auf Facebook betreiben konkret aussehen wird, ist unklar.
Doch jetzt ist Facebook am Zuge und muss die entsprechenden Optionen implementieren, welche es den Fanpage Betreibern ermöglichen, die Daten der Fans/Followers gemäss DSGVO zu schützen.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:
- Haben Sie auch ein paar Müsterchen von Kollegen oder der Arbeit zum DSGVO?
- Haben Sie die Facebook Fan-Seite vom Unternehmen schon auf unsichtbar eingestellt (siehe Screenshot oben?). Warum oder aber warum nicht?
- Was ist Ihrer Meinung die grösste Herausforderung mit der DSGVO und dem EuGH-Urteil?
Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.
28 Antworten
Lieber Urs
Danke, bin im Bilde, betreue einige Fanpages von Unternehmen.
Wort des Tages ist „Risikoabschätzung“.
Wir trinken jetzt erstmal a Maß im Biergarten denn wer soll einen Verein oder KMU schon anschwärzen. Erstmal Ruhe einkehren lassen.
Gruss
Lieber Peter
Danke für Dein Feedback. Ja ich glaube auch das hier irgend eine Lösung gefunden wird. Doch es zeigt wiederum schön, dass es ein Risiko darstellt, sich z.B. auf Facebook oder Instagram zu exponieren.
Je nachdem, wie diese Firmen die DSGVO verletzen oder eben nicht, entscheidet welche Risiken das Unternehmen eingehen muss um dort aktiv zu sein.
Wie sich dies weiter entwickelt, dass weiss keiner von uns… aber was wird gehen..
DSGVO 2018-05-25 5 Beschwerden von noyb.eu = none of your business
Max Schrem hat Beschwerden eingereicht zum Artikel 12 DSGVO “Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache”
Ebenfalls zum „Koppelungsverbot“ (Artikel 7 Abs 4) = „Dienstleistungen dürfen nicht davon abhängig gemacht werden ob ein Nutzer eine Zustimmung zur Datennutzung abgibt“
noyb Datenschutz kompakt Artikel 12 erfüllt
DrKPI Datenschutz kompakt Artikel 12 erfüllt
Diese Entwicklungen in Kombination mit dem Urteil von dieser Woche werden uns noch viel Spannung bringen.
Das ist vielleicht noch interessant, die Antwort auf den obigen Blogeintrag vom
„Marketing Club Köln Bonn – 08/06/2018, 9:07 am
Wir haben uns entschlossen, zunächst abzuwarten und nichts zu unternehmen… Alles andere wäre kontraproduktiv und fast irrsinnig.“
Ich habe dann am gleichen Tag auf Xing geantwortet wie folgt:
„Danke für die Antwort….
Wir haben das ein wenig anders interpretiert und hoffen natürlich nicht, dass wir „… kontraproduktiv und fast irrsinnig“ vorgegangen sind.
Klar ist, dass wir laut EuGH Entscheid zusammen mit Facebook verantwortlich sind für die Daten unserer Followers/Fans auf der Facebookseite.
Laut DSGVO sind wir verpflichtet mit denjenigen die Daten verarbeiten die uns gehören oder für welche wir Mitverantwortung tragen, einen Vertrag zur Auftragsdatenverarbeitung abzuschliessen.
Da uns das Facebook zur Zeit aber nicht einen solchen Vertrag geben will und ich als Präsident das Risiko nicht tragen möchte, ist unsere Seite zur Zeit unsichtbar.
Ich bezweifle, dass unsere Entscheidung dem Gerichtsentscheid Folge zu leisten und die DSGVO nach deren Sinn und Zweck umzusetzen, als „kontraproduktiv und fast irrsinnig“ bezeichnet werden sollte.
Als Unternehmer kann ich dieses Risiko eingehen und meine Produktseite oder Fanpage Online lassen und sehen was da so kommt.
Als Vorstand in einem Verein denke ich dem Motto „Vorsicht ist die Mutter der Porzellankiste“ zu folgen is für uns effektiver.“
Marketing Club Köln Bonn – 08/06/2018, 10:28 am
Entschuldigung, falls Sie mein „kontraproduktiv und fast irrsinnig“ auf Ihre Entscheidung bezogen haben! Das war keinesfalls so gemeint. Inhaltlich und juristisch handeln Sie nach aktuellem Stand sicher korrekt und reduzieren damit mögliche Risiken.
Meine Aussage bezog sich auf das Urteil an sich und die sich hieraus ergebenden Implikationen. Das war in der Tat aber aus meinem Kommentar nicht ersichtlich.
Wo steckt der Sinn, wenn wir alle Facebook-Fanpages und Gruppen schließen? Das kann auch bei enger Auslegung des Urteils nicht im Sinne der Rechtssprechung sein.
Insofern staune ich wieder einmal über die Auswirkungen der DSGVO, deren Summe mich zu der Aussage „kontraproduktiv und fast irrsinnig“ brachte.
Wir haben uns im Vorstand entschieden, unsere Seite sichtbar zu lassen. So handeln im übrigen auch namhafte Rechtsanwaltskanzleien, deren Fachrichtung Internetrecht und Datenschutz ist. :-) Solange dies noch so ist, sind wir zunächst beruhigt. Bestimmt wird sich in den nächsten Wochen hier eine klarere Linie abzeichnen. Am Ball bleiben und die Entwicklung beobachten ist in jedem Fall notwendig.
Meine Antwort auf Xing
Prof. Dr. Urs E. Gattiker 08/06/2018, 1:49 pm
Lieber Herr oder Frau Kollege/in
Danke für die interessante Antwort. Und nein, dass sah ich nicht als Angriff :-) nur als klare Ausdrucksweise. Sie schreiben:
„Wo steckt der Sinn, wenn wir alle Facebook-Fanpages und Gruppen schließen? Das kann auch bei enger Auslegung des Urteils nicht im Sinne der Rechtssprechung sein. „
Sicher richtig, aber der Rechtssprechung, d.h. dem Gericht geht es darum Recht zu sprechen. In diesem Falle muss Facebook die Dinge ändern, denn seine Kunden sind in der Mitverantwortung, d.h. Facebook und seine Kunden verstossen gegen das Recht.
Es kann ja nicht sein, dass Facebook weiterhin unsere Daten und Gesetze in Sachen Datenschutz mit den Füssen tritt.
Seit 10 Jahren ist Mark Zuckerberg auf einer Entschuldigungstour. Leider hat uns diese keine Verbesserungen gebracht in Sachen Datenschutz. Fast jeden Monat gibt es was neues wo was schief gelaufen ist.
Das Sie die Facebook Page nicht schliessen, würde ich in Ihren Schuhen auch als faires Risikomanagement sehen.
Aber die Seite „unsichtbar“ machen scheint mir aus 2 Gründen die beste Lösung:
1. desto mehr Leute deren Firmenseite auf Facebook verstecken/unsichtbar machen, desto mehr ist Facebook gefordert hier schnellstens zu reagieren und sich gemäss Gesetz zu verhalten.
2. Kunden können Facebook viel schneller dazu bringen die Dinge in Datenschutz zu verbessern, im Gegensatz zu Gerichten die hier langsamer vorgehen müssen.
Es kann nicht sein, dass wir als Nutzer den Übeltäter belohnen, indem wir dessen Gesetzesübertretungen in Sachen Datenschutz akzeptieren… einfach weil er so gross ist wie Facebook und wir finden es mache keinen Sinn all diese Fanpages offline zu nehmen?
Ich hoffe, dass der Druck auf Facebook von Nutzern hier eine Lösungen in den nächsten 30 Tagen bringt?
Doch wenn wir es tolerieren und dem Recht mit unserem Verhalten keinen Nachdruck verschaffen, dann wird Facebook sich keine Sorgen machen. Es kann warten was die Gerichte jetzt tun werden.
Geld für die Prozesskosten ist ja bei Facebook vorhanden.
Schönes Weekend.
Lieber Herr Prof. Gattiker,
besten Dank für Ihre Einschätzung. Es wird uns sicher noch eine spannende Zeit bevor stehen, in der auch Facebook gefordert ist, sich der geltenden Rechtslage anzupassen. Es wäre gut und richtig. Und nicht zuletzt notwendig, um die weitere Nutzung in Europa nicht quasi abzubrechen. Ob das vermehrte Ausblenden von Seiten oder deren Nichtnutzung den nötigen Druck erzeugt, bleibt abzuwarten. Einen Versuch kann es wert sein. Bleiben wir also gespannt.
Beste Grüße und ebenfalls ein schönes Wochenende
Torsten Röcher
Geschäftsführer
Marketing-Club Köln/Bonn e.V.
Lieber Herr Kollege Röcher
Herzlichen Dank für diese Antwort. Sie schreiben:
„… spannende Zeit bevor stehen, in der auch Facebook gefordert ist, sich der geltenden Rechtslage anzupassen. Es wäre gut und richtig. Und nicht zuletzt notwendig, um die weitere Nutzung in Europa nicht quasi abzubrechen.“
Dem oben geschriebenen kann ich nur zustimmen.
Doch dabei braucht es auch uns Nutzer, Firmen und Vereine.
Will heissen, auch wir müssen unsere Verantwortung als Staatsbürger wahrnehmen, d.h. ans Recht halten. Wenn wir dies wollen, heisst die Konsequenz, dass wir die Seite löschen oder aber auf unsichtbar schalten.
Die Verlautbarung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder macht dies in deren Verlautbarung (6. Juni, online seit 8 Juni) ganz klar, wo unter anderem steht:
„Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage Betreibern
ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung
der DS-GVO erfüllt. “
Das heisst, ohne Vereinbarung zwischen Unternehmen oder Verein und Facebook können die beiden Parteien (z.B. Verein und Facebook) deren DS-GVO Verpflichtungen nicht nach Compliance Regeln wahrnehmen.
Details: Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018. Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
Im weiteren steht da auch:
„Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung
personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder
vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist
grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der
DS-GVO erfüllt. “
Die obige Aufforderung kann heute kein Facebook Fanpage Betreiber DS-GVO konform lösen.
Zur Zeit weigert sich Facebook, dem Unternehmen oder Verein wie dem Marketing Club Lago welcher ebenfalls eine Facebook Fanpage betreibt, diese DS-GVO Anforderung technisch korrekt zu erfüllen. Dazu müsste Facebook Hand bieten, was es bis jetzt nicht Willens ist.
Schönes Weekend
Urs
Lieber Urs,
vielen Dank für Deine Ausführungen. Es stimmt wirklich, das Wort des Tages ist Risikoabschätzung! Als ich ich meinem Post auf der Seite des MC Weser-Ems, bei gleichzeitiger Verlinkung zu Eurem Blog, geschrieben habe, habe ich ausgeführt, dass die Politik jetzt am Zug ist. Für mich ist es nach wie vor unverständlich, das ausgerechnet ein deutscher Politiker im Europaparlament, also aus einem Land wo schon fast traditionell der Datenschutz sehr hoch gehalten wird, unter Ausschluss der Öffentlichkeit als Sprecher einer Gruppe diese Form der DSGVO umsetzen konnte. Wie konnte das passieren?
Hier werden vielen kleine und mittelständische Unternehmen dadurch geschädigt, dass diese einen unverhältnismäßigen Aufwand für die Umsetzung der neuen DSGVO betreiben müssen. Hier sind wir alle gefordert unseren regionalen politischen Vertretern kräftig Druck zu machen, dass hier schnellstmöglich Anpassungen vorgenommen werden, die das alles wieder in ein halbwegs verträgliche Maß bringen.
Vor allem aber müssen sofort Maßnahmen getroffen werden, die den Abmahnvereinen einen Riegel vorschieben.
Wie bereits gesagt – Keiner weiß nichts genaues! Egal welche Quelle ich nutze, ich bekomme immer wieder unterschiedliche Antworten. Es ist wie beim Arzt – Fragst du drei, bekommst du vier Antworten. Das heißt, es gibt bei dem Versuch der Umsetzung der neuen DSGVO keinerlei Rechtssicherheit. Selbst wenn man nachweisen kann, durch entsprechende Dokumentation – das man sich ausführlich mit diesem Thema beschäftigt hat, ist man noch lange nicht auf der sicheren Seite. Als hoffentlich ordentliche Kaufleute, sind wir seit jeher immer vertraulich mit den Informationen unserer Kunden umgegangen und daran wird sich auch in Zukunft nichts ändern!
Also, hier „bestraft“ die neue DSGVO ausdrücklich die falsche Zielgruppe. Während die großen Konzerne – natürlich auch die aus Amerika, die wir alle so lieben – nach wie vor mit unseren Daten so umgehen wie sie es für richtig halten, werden die „Kleinen“ im Zweifelsfall als Schuldige behandelt.
Ja ich weiß! Unwissenheit schützt vor Strafe nicht. D.h. wenn ich ein Fahrrad kaufe und dieses ist gestohlen, muss ich es im Fall der Fälle auch wieder zurückgeben. Aber mal ehrlich, wir sind seit fast 10 Jahren im sozialen Netzwerk unterwegs. Und dabei ist es egal, ob wir das als Privatperson sind oder als Unternehmen oder Verein. Wir geben unsere Daten also freiwillig seit vielen Jahren ins Netz, damit wir ggf. die Vorzüge der Digitalisierung nutzen können und das soll jetzt alles falsch sein. Da sollten wir lieber anfangen unseren Nachwuchs im Umgang mit Daten besser zu schulen, da hier Datenschutz so gar nicht vorkommt.
Es gibt also noch wirklich viel zu tun, um mit dem Thema Datenschutz vernünftig umzugehen. Die neue DSGVO ist hier leider nicht zu Ende gedacht. Hier haben einige wenige Personen versucht Ihre Visionen eines selbstbestimmten Lebens im Netz zu verwirklichen. Das funktioniert leider ebenso wenig wie der Irrglaube, den Menschen vorschreiben zu können, an welchem Tag diese Fleisch essen oder ob überhaupt.
Lieber Urs, ich hoffe, das sich vielen Deinem Blog anschließen und wir über den gemeinsamen Erfahrungsaustausch den Aufwand und den Schaden für uns alle minimieren.
In der Hoffnung, dass dieser Datenschutzalptraum bald ein Ende findet
grüßt Euch
Eric Romba
Lieber Eric
Super Kommentar ich muss meine Antwort aufteilen
TEIL 1 – ABMAHNUNGEN
Abmahnungen sind ja ein echt deutsches Phänomen, welches mir einiges Verständnis abringt… und ich nicht so ganz kapiert habe noch vor einigen Jahren.
Du schreibst:
„Hier werden vielen kleine und mittelständische Unternehmen dadurch geschädigt, dass diese einen unverhältnismäßigen Aufwand für die Umsetzung der neuen DSGVO betreiben müssen. Hier sind wir alle gefordert unseren regionalen politischen Vertretern kräftig Druck zu machen, dass hier schnellstmöglich Anpassungen vorgenommen werden, die das alles wieder in ein halbwegs verträgliche Maß bringen.
Vor allem aber müssen sofort Maßnahmen getroffen werden, die den Abmahnvereinen einen Riegel vorschieben.“
Ich glaube da hilft vielleicht auch für unsere Leser zu verstehen, wann eine Abmahnung von wem inkl. Anwälte die auf Abmahnungen spezialisiert sind geschrieben werden kann.
Eine Abmahnung können wir beschreiben als, z.B.:
1. eine Aufforderung zur Unterlassung eines rechtswidrigen Verhaltens z.B.:
– kein Impressum auf der Webseite,
– Cookie sammelt Daten vom Besucher der Webseite oder der Facebook Fanpage ohne dessen vorher eingeholte Zustimmung (opt-in);
2. dient der Vermeidung von Gerichtsverfahren;
3. verlangt vom z.B. abgemahntem Verein einer Facebook Fanpage die Abgabe einer strafbewehrten Unterlassungserklärung;
4. bei Verstössen gegen Gesetz gegen den unlauteren Wettbewerb (UWG) in DE kann z.B. ausgesprochen werden u.a. von der Konkurrenz, Wettbewerbsverbänden, Industrie- und Handelskammern und Verbraucherschutzverbänden – nicht von Konsumenten;
5. ist rechtsmissbräuchlich, wenn der Rechtsverstoss nur gerügt wird, um
Abmahnkosten geltend machen zu können; und
6. kann auch die Forderung von Rechtsanwaltskosten enthalten.
Gerade bei Punkt 6 wäre es vielleicht gut, wenn die Politiker wie von einigen geplant in Berlin diese Methode für 12 Monate aussetzen. Das heisst, für die nächsten 12 Monate können Kosten für eine Abmahnung nicht in Rechnung gestellt werden was zu Beispiel Dinge im Zusammenhang mit der DSGVO betrifft.
Doch die Politik wartet zur Zeit ab, wenn es allenfalls zu einer Flut kommt, wollen die gewählten Repräsentanten wohl was unternehmen. Bis dann….
PS. Gerichte werden klären müssen, in welcher Höhe mit Abmahnungen auch Schadenersatz für Datenschutzverletzungen gefordert werden kann. Viele Abmahnungen im Zusammenhang mit der DSGVO wird es also nur dann geben, wenn deutsche Gerichte in den nächsten Monaten in ihren Urteilen finanzielle Anreize für Abmahner setzen.
TEIL 2 – VERHALTENSWEISE
Eric du schreibst:
Aber mal ehrlich, wir sind seit fast 10 Jahren im sozialen Netzwerk unterwegs. Und dabei ist es egal, ob wir das als Privatperson sind oder als Unternehmen oder Verein. Wir geben unsere Daten also freiwillig seit vielen Jahren ins Netz, damit wir ggf. die Vorzüge der Digitalisierung nutzen können und das soll jetzt alles falsch sein.
Da stimme ich natürlich mit Dir überein. Doch leider ist die Problematik diejenige wie wir diese auch anderswo immer wieder sehen.
1. Alle wollen was für die Umwelt tun, doch dafür den nächsten Städtebesuch oder Anreise für eine Sitzung im Zug anstatt Flieger oder Auto zu machen wollen wir dann doch nicht.
2. Geo-Location Daten sind uns ein Plage, aber wenn wir dann wissen wollen wo wir uns in Düsseldorf gerade befinden und das Konferenzzentrum finden möchten, dann wird schnell das GPS oder Google Maps genutzt.
Also nutzen wir Facebook und andere Kanäle obwohl wir wissen was es für unseren Datenschutz bedeutet.
Aber eben, kostenlos einen Service offerieren ist für viele von uns ein überzeugendes Argument, auch wenn es bedeutet, dass der Anbieter persönliche Daten sammelt.
Auch uns umweltbewusster zu verhalten sind wir alle willens, bis wir dann unsere nächste Reise in die Ferien per Flugzeug absagen sollten…
Aber ich glaube hier geht es auch nur bedingt um heute. Die Datenflut wird immer grösser und unsere Privatsphäre auch immer kleiner. Wir wollen nicht, dass unsere Regierung zu viel über uns weiss. Warum soll dann Facebook wissen das ich eine neue Freundin habe oder aber eine Vorliebe für Lindt oder Frey Schokolade?
Das schöne finde ich, wenn wir die DSGVO konsequent umsetzen werden wir entweder Facebook nicht mehr nutzen können oder aber Facebook passt sich den Regeln an was es schon lange hätte tun müssen.
Übrigens, das Leben geht weiter und als Marketing Club Lago oder auch Ems und als Verein überhaupt, eine Facebook Fanpage ist nicht mein USP :-) Als wir werden auch ohne Facebook weiter lieben, Kinder kriegen und tolle Marketing Veranstaltungen machen.
In diesem Sinne
Lasst es uns Weise anpacken und die uns noch verbleibende Privatspähre schützen.
Grüessli
Urs
Interessante Links zum obigen Slide
1. https://www.syzygy.net/germany/de/news/digital-insight-umfrage-2018-der-preis-der-personlichen-daten
2. 1 Stück Pizza für weniger Datenschutz – Stanford Studenten: https://blog.drkpi.de/dsgvo-eprivacy-auswirkungen-2/
3. Geo Location nein danke, aber Google Maps, GPS, Wetter Daten, usw. werden trotzdem genutzt: https://retail.emarketer.com/article/some-retailers-find-location-tracking-creepy/5a68f78febd40008bc791217?ecid=NL1014
Lieber Urs,
vielen Dank für Deine ausführliche Antwort.
In meinen Kontakten und Diskussionen rund um die DSGVO und deren Folgen, taucht nun immer wieder die Frage auf, ab wann wir eigentliche einen Datenschutzbeauftragten brauchen. Ich war immer von der Regelung ausgegangen, das bei weniger als Mitarbeitern kein Datenschutzbeauftragter benannt werden muss, also auch keine Person namentlich im Internet benannt werden muss.
Hier eine Antwort dazu:
„Die Regelung bzgl. den Mitarbeitern (eigentlich, den entsprechende Inhalte verarbeitende Personen) ist mit dem Übergang zur EU-DSGVO nicht mehr maßgeblich. Maßgeblich ist die Art der persönlichen Daten. U. a. da es sich bei einer politischen Organisation automatisch um persönliche Daten besonderer Art/sensitive Daten handelt (u.a. Politische Meinungen), ist ein Datenschutzbeauftragter zu bestellen. Siehe dazu aber auch §38 BDSG-neu. “
Dazu heißt es in §38 BDSG-neu:
„Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Frage dazu: „Interpretiere ich das richtig, dass wir dann auch in den Marketingclubs einen Datenschutzbeauftragen benennen muss, oder übernimmt das der DMV? Reicht dann für uns der AV-Vertrag zwischen Club und Softwarehersteller.
Du siehts auch hier mal wieder Fragen über Fragen und jeder denkt etwas anderes.
Ich mache mir jetzt einen ruhigen Restsonntag ohne Datenschutz ;-)
LG Eric Romba
Lieber Eric
Herzlichen Dank für Deine ausführliche Antwort inklusive Fragen. Auf Deine Frage
„Die Regelung bezgl. den Mitarbeitern….“ kann ich nicht beantworten, denn ich weiss nicht in welchem Teil der DSGVO du das gefunden hast. Ansonsten ist das eine Interpretation eines Experten den du gefragt hast? DAnn nuss dies von der Working Group 29 und/oder den Gerichten noch bestätigt oder als gegenstandslos klassifiziert werden.
Deine Frage war ja:
„Frage dazu: „Interpretiere ich das richtig, dass wir dann auch in den Marketingclubs einen Datenschutzbeauftragen benennen muss, oder übernimmt das der DMV? Reicht dann für uns der AV-Vertrag zwischen Club und Softwarehersteller.
Die Antwort ist nicht einfach. Doch als nicht-öffentliche Stelle müssen wir dann einen Datenschutzbeauftragten bestellen, wenn unsere „Kerntätigkeit“ als Unternemen oder Verein:
[…] in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ (Art. 37 Abs. 1 b DSGVO) oder ihre „Kerntätigkeit […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“ (Art 37 Abs. 1 c DSGVO).
Siehe auch: https://dejure.org/gesetze/BDSG_2018/38.html
Ein Marketing Club oder aber ein Verein hat in den wenigsten Fällen eine „… umfangreiche regelmässige und systematische Überwachung von betroffen Personen…“ als Kernaufgabe seiner Tätigkeit oder Grund seines Bestehens. Wir beim MC Lago haben als Kerntätigkeit das Vermitteln von Wissen welches wir primär mit Hilfe von öffentlichen Vorträgen und unserer Webseite realisieren. Das trifft vielleicht auch für MC Weser-Ems zu?
Aus diesem Grunde hast du in einem Marketingclub wohl eine Person im Vorstand welche verantwortlich ist in Sachen Datenschutz. Diese hat, wie in einigen Clubs, vielleicht auch ein Mitglied oder Beirat welcher sich in diesem Gebiete auskennt (z.B. Datenschutzbeauftragter im Unternehmen X) und den Vorstand unterstützt oder die Arbeit sogar macht. Doch verantwortlich bleibt das Vorstandsmitglied, der Präsident, alle Vorstände und der Club. Das heisst, verzeigt wird der Club aber bei gewissen Fällen kann auch gegen den Vorstand direkt vorgegangen werden.
Und nein, einen Datenschutzbeauftragten braucht es dann auch nicht.
Ich hoffe das beantwortet Deine Frage.
Grüessli
Urs
PS. ein Vertrag für die Auftragsdatenverarbeitung (AV von Dir gennant) den du ja schon unterschrieben haben solltest mit dem Deutschen Marketing Verband, sollte ebenfalls reichen.
Danke Urs, das ist im wesentlichen genau die Antwort auf die ich gehofft hatte. Getreu dem Motto kann man machen, muss man aber nicht! Denn am Ende ist eh Vorstand oder Geschäftführung verantwortlich.
Grüsse Eric
Lieber Eric
Gerne
Und danke für Deine Fragen die es mir erlaubten zu antworten.
Gute Nacht und einen guten Wochenstart wünsche ich.
Urs
Lieber Urs
Vielen Dank für diesen interessanten Blogbeitrag.
Ich habe mich als Administrator nun entschieden, die Facebook-Seite unseres Plauscheishockeyvereins EHC Winti Stars ebenfalls vorläufig auf „nicht veröffentlicht“ – also unsichtbar – zu setzen.
Ich glaube zwar nicht, dass es Klagen gegen solch kleine Fische im Teich, wie wir es mit 65 Freunden sind, hageln wird. Trotzdem möchte ich die Verantwortung in einem Streitfall nicht (mit-)tragen, auch weil wir offiziell nicht einmal ein Verein mit Statuten sind. Im schlimmsten Fall würden also womöglich noch alle Spieler gemeinsam mithaften.
Ich hoffe, dass noch andere diesem Beispiel folgen werden. Vielleicht können wir so Facebook gemeinsam Beine machen, dass sie eine DSGVO-konforme Funktion bei den Facebook-Seiten einführen.
Liebe Grüsse
Fabio
Lieber Fabio
Gerne, liebe es immer zu hören das unsere Blogeinträge von Nutzen sind für Unternehmen. Du schreibst:
„Ich habe mich als Administrator nun entschieden, die Facebook-Seite unseres Plauscheishockeyvereins EHC Winti Stars ebenfalls vorläufig auf „nicht veröffentlicht“ – also unsichtbar – zu setzen.
Das finde ich eine sehr gute Strategie: Statt die Vogel Strauss Politik zu verfolgen, setzt du den Gerichtsspruch umm indem du eine akzeptable Zwischenlösung implementierst.
Das gibt Facebook wiederum die Möglichkeit eine Lösung anzubieten welche die DSGVO Compliance für Unternehmen mit eigenen Facebook Seiten auf deren Plattform ermöglicht.
Es macht auf jeden Fall keinen Sinn wegen Facebook ein Risiko einzugehen, welches im Falle einer Abmahnung nur zu unnötigen Kosten und Arbeit führen dürfte für den Verein.
Aber Statuten / Satzung sind schon notwendig denn im Falle von Konflikten hilft dies. Statuten werden nicht mehr geändert wenn die Mitglieder diese akzeptiert haben (z.B. beim MC Lago beim Gründungstreffen). Deshalb haben wir die Datenschutzbestimmungen als Anhang, da in DE z.B. die Registrierung vom Verein über eine Amt gemacht werden muss (Gericht) sodass man dann auch von der Umsatzsteuer/Mehrwertsteuer, etc. befreit wird.
Wir ändern das gerade aber wenn du in einer Woche das runterladen möchtest vom MCLago kannst du das tun und als Vorlage verwenden https://mclago.com/der-club/#1491246620486-3b5ae712-a073
Es lohnt sich hier was zu machen, vorallem wenn Daten wie Telefonnummern und Postadressen gesammelt werden braucht es den Datenschutz egal wo man zu Hause ist.
Herzlichst
Urs
Ein guter Beitrag zum richtigen Zeitpunkt.
Persönlich stelle ich fest, dass GDPR-Projektverantwortliche und Marketing-und Kommunikationsabteilungen zwar Vorgaben zur Umsetzung der DSGVO machen, doch bei berechtigten Rückfragen ausweichen, oder sogar in Notwehr zum Gegenangriff übergehen. Das erstaunt, denn für den interessierten Betreiber einer firmeninternen Website offenbart sich hierbei ein wahres Informations-Fiasko.
„Wer ein Verfechter der DSGVO ist, der sollte doch auch detailliert darüber Bescheid wissen?“
Subsumierend schlussfolgere ich, dass wenn GDPR-Verantwortliche bereits um Antworten ringen, resultiert daraus, dass die Differenzierung der DSGVO-Umsetzungsmassnahmen kaum Raum einnehmen kann.
Oder mit anderen Worten:
Den DSGVO-Umsetzungsmassnahmen konzerninterner Datenschutzbeauftragten werden dadurch erst recht stillschweigend Folge geleistet.
Kann das so in die richtige Richtung gehen?
Als Eigentümer einer Firma würde mir bei solchen Settings Angst und Bange werden. Denn wer sagt mir am Ende des Tages, dass mich meine Datenschutz- und Kommunikationsspezialisten in Zukunft wirklich schadlos halten können?
Zudem würde mich interessieren, wie z.B. Onlinevermarketer mit dem Datenschutz umgehen. Diese agregieren ja Daten der Nutzer und deren Besuchen auf vielen verschiedenen Webseiten.
Mit Hilfe dieser Informationen können sie dann individualisierte Werbung schalten. Hier wird Big Data genutzt aber womöglich die Rechte der Nutzer verletzt?
Freundliche Grüsse
Rolf Siebold
Lieber Rolf
Herzlichen Dank für Deinen Kommentar der natürlich nicht einfach ist zu beantworten.
Hier denke ich werde ich meine Antwort an Dich in 4 Kommentare einpacken.
TEIL 1 – Datenschutz und Interdiszipliniartät
Du schreibst:
„„Wer ein Verfechter der DSGVO ist, der sollte doch auch detailliert darüber Bescheid wissen?“
Subsumierend schlussfolgere ich, dass wenn GDPR-Verantwortliche bereits um Antworten ringen, resultiert daraus, dass die Differenzierung der DSGVO-Umsetzungsmassnahmen kaum Raum einnehmen kann.“
Wie die obige Grafik zeit brauchen wir eine Datenschutz Arbeitsgruppe:
Diese muss Wissen aus den Gebieten wie Recht, Informationssicherheit, Psychologie (z.B. Nutzer, Kundenverhalten), Risiko Management haben. Die Gruppe sollte auch ein gutes Verständnis über das Business des Unternehmens besitzen.
Geleitet wird das Team vom Vorstand/Geschäftsleitungsmitglied, welches verantwortlich ist für den Datenschutz.
Mit anderen Worten: Kein Datenschützer oder Rechtsanwalt der Datenschutz macht kann diese Interdisziplinarität alleine sicher stellen. Da braucht es mehr als 1 Person.
Hoffe das beantwortet deine Frage.
Herzlichst
Urs
2. TEIL DER ANTWORT AN ROLF
Du schreibst:
„Zudem würde mich interessieren, wie z.B. Onlinevermarketer mit dem Datenschutz umgehen. Diese agregieren ja Daten der Nutzer und deren Besuchen auf vielen verschiedenen Webseiten.
Mit Hilfe dieser Informationen können sie dann individualisierte Werbung schalten. Hier wird Big Data genutzt aber womöglich die Rechte der Nutzer verletzt?“
Das auch e-Commerce oder Digitale Marktplätze wie Amazon, Galaxus, usw. an diese Regeln halten müssen, da stimmen wir sicher überein.
Hier müssen wir noch auf die e-Privacy oder die Cookie Verordnung warten. Wenn diese so umgesetzt werden soll wie vom Europäischen Parlament verlangt, dann habe solche Services Probleme, denn personalisierte Werbung ist dan ein Ding der Vergangenheit. Doch im Moment klappt es noch.
Ich hoffe dies beantwortet Deine Frage.
Herzlichst
urs
3. TEIL DER ANTWORT AN ROLF
Aber es gibt ausser der Problematik mit der e-Privacy und natürlich dem Tracking der Nutzer auch noch die Sache mit Mailings.
Zum Beispiel habe ich und einer meiner Mitarbeiter am Marken Award in Düsseldorf am 29. Mai teilgenommen als Gast vom Deutschen Marketing Verband (Organisator dieser Award Night ist das Management Forum der Handelsblatt Media Group GmbH).
Seither kriegen wir beide Informationen zu Kongressen welche die Handelsblatt Gruppe aka Management Forum durchführt.
Leider interessieren uns diese nicht, oder wir wissen dank Print Media schon lange über den Kongress wenn dann die Brochure per Post in unserem Briefkasten landet.
Komisch ist, dass weder meine Kollegin noch ich irgendwo unsere Zustimmung für solche Werbung gegeben haben (d.h. opt-in unsererseits nicht vorhanden).
Wir haben jetzt eine eMail an Datenschutz@ManagementForum.com versandt um diese Dinge zu ändern (siehe unten).
Das sollte jetzt klappen. Für uns ist dies ein weiterer Testfall der uns zeigen sollte, ob die DSGVO in der Praxis funktioniert (d.h. werden meine Daten auf Wunsch gelöscht).
Herzlichst
urs
4. TEIL DER ANTWORT AN ROLF
Lieber Rolf
Die Antwort vom Management Forum – Datenschutz Kontakt – kam praktisch postwendend.
Zusicherung, dass unsere Daten für Werbung gesperrt wurden (siehe unten).
Das ist eine der schnellsten Antworten welche ich bekommen habe in einem solchen Fall.
Vorbildlich.
Ein Benchmark für andere Organisationen.
Management Forum Datenschutz: Man kann Fehler machen, aber diese so schnell ausbügeln erscheint uns als sehr vorbildlich.
Danke an Herrn Streb.
Herzlichst
Urs
Facebook hat auf diese Problematik nun reagiert und will die notwendigen Schritte unternehmen. Dies wird es Unternehmen auch weiterhin ermöglichen deren Fanpages rechtssicher betreiben zu können.
„Unserer Ansicht nach ist es nicht sinnvoll, Seitenbetreibern eine gleichrangige Verantwortung für die von Facebook durchgeführte Datenverarbeitung aufzuerlegen…“
https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/
schreibt Facebook in deren Stellungnahme. Facebook will deren Richtlinien für Seitenbetreiber anpassen. Das soziale Netzwerk erhofft sich dabei, dass damit zukünftig klar ist, welche Verantwortlichkeiten beim Seitenbetreiber und welche bei Facebook liegen.
Details zu den Änderungen will das soziale Netzwerk in Kürze veröffentlichen.
Lieber Robert
Herzlichen Dank für diese Informationen.
Da sind wir ja alle gespannt wie diese Richtlinien für Seitenbetreiber angepasst werden sollen.
2 Dinge muss Facebook lösen:
ANTWORT 1 AN ROBERT
1. Verantwortung: EuGH bestätigte die gemeinsame Verantwortung von Facebook und Fanpage-Betreibern. Damit ist eine Vereinbarung zwischen den beiden Parteien notwendig die festlegt, wer von ihnen welche Verpflichtung der DS-GVO erfüllt.
Zum Beispiel Google ermöglich jedem Unternehmen welches Google Analytics nutzt (das sind einige ? ) an Google Ireland eine von Google vorbereitete Vereinbarung zur Datenverarbeitung durch Google unterschrieben einzusenden.
Diese wird dann von Google unterschrieben per Post an das Unternehmen retourniert. Eine logistische Herkulesaufgabe für Google.
Wird Facebook dies auch anbieten…. ?
DANKE ROBERT
Seihe Antwort 2 unten
Herzlichst
Urs
Robert
Hier ANTWORT 2
2. Rechte der Besucher/Nutzer:
„Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung
personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder
vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist
grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der
DS-GVO erfüllt. “
Details: Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018. Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern.
Wie oben erwähnt, macht dies Facebook zur Zeit, denn nur mit Hilfe dieser Daten kann es Nutzern personalisierte Werbung anzeigen. Und diese bringt bis 50% höhere Erträge als Werbung welche nicht mit Hilfe sensibler Daten des Nutzers optimiert wird.
Um die obige Bedingung zu erfüllen muss der Nutzer vor dem Besuch der Facebook Seite (auch Facebook Fanseite genannt) vom Unternehmen die Möglichkeit erhalten, seine Zustimmung zu verweigern.
Diese Zustimmung muss der Nutzer vor dem eigentlichen Besuch der Fanpage geben oder verweigern können. Wenn er auf die Fanpage kommt ist es zu spät. Von diesem Moment an sammelt Facebook Daten.
Die Koppelungsproblematik (siehe Antwort 3 unten) zeigt auch, dass Facebook gemäss DSGVO die Nutzung seiner Services aber nicht davon abhängig machen darf, ob der Nutzer der Erhebung zustimmt!
Herzlichst
Urs
PS. Facebook hat von mehr als 40% der EU Bevölkerung sensible Daten. Das sind laut DSGVO Art 9, Absatz 1, = Zum Beispiel Daten zur Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.
Hier meine letzte Antwort zu deinem tollen Hinweis, Robert.
Antwort 3 an Robert
Facebook hat wegen dem „Koppelungsverbot“ (Artikel 7 Abs 4) auch schon Probleme. Da sagt es nämlich:
„Dienstleistungen dürfen nicht davon abhängig gemacht werden ob ein Nutzer eine Zustimmung zur Datennutzung abgibt“
Auch das wird für Facebook nicht einfach.
Koppelung heisst: die Nutzung von Facebook setzt die Einwilligung des Nutzers voraus, dass Facebook Nutzerdaten sammeln wie auch für Werbezwecke nutzen darf (PS. Darf Facebook auch mit den Inhalten wie Videos, Fotos, usw. tun, welche der Nutzer gepostet hat).
Mit Hilfe sensibler Daten des Nutzers kann Werbung optimiert werden. Dies resultiert wiederum in bis zu 50% höhere Verkaufserträge mit personalisierten Ads auf Facebook. Für Unternehmen sind solche Kennzahlen fast unwiderstehlich attraktiv. Sie bringen damit Facebook grössere Werbeeinnahmen. Diese lukrative Arbeit aufzugeben wird Facebook kaum freiwillig tun wollen.
Kurz, wenn hier Facebook compliant wird, stellt es sein eigenes Business- oder auch Ertragsmodell in Frage.
Da warten wir mal ab und wollen dann sehen wie Facebook seinen Service DSGVO compliant macht.
Nochmals danke für den Hinweis.
Herzlichst
Urs
Habe gerade den Artikel gelesen „bis zu 50% höhere Verkaufserträge mit personalisierten Ads auf Facebook„.
Da steht auch, dass bit zu 74% der EU Nutzer auf Facebook personalisierte Werbung erhalten welche mit Hilfe sensibler Daten optimiert wurde.
…
Liebe Petra
Danke für diesen wichtigen Hinweis… da kann ich nichts mehr dazufügen :-)
Grüessli
urs
Eine interessante Entwicklung is hier auch der „California Consumer Privacy Act – Assembly Bill No. 375, CHAPTER 55„.
Dieser wurde am 2018-06-27 von Senat und Repräsentantenhaus des US-Bundesstaates Kalifornien gebilligt.
Governor Jerry Brown hat diesen am 2018-06-28 (Donnerstag) unterschrieben.
Der Act trifft um 2020-06-01 in Kraft, was der Silicon Valley Lobby noch einige Zeit gibt Änderungen anzustreben.
Das Gesetz betrifft nur „for-profit“ Unternehmen (z.B. Facebook, Uber, Airbnb, usw.) welche die folgenden Charakteristiken aufweisen:
1. Bruttoumsatz ist grösser als $25 Mio; ODER aber
2. kauft jährlich ….. oder teilt für kommerzielle Zwecke die persönlichen Information von 50,000 oder mehr Konsumenten, ODER
3. erzielt mehr als 50% des Jahresumsatzes durch das Verkaufen von persönlichen Daten.
Immerhin, das ist ganz eindeutig eine Reaktion auf das Cambridge Analytica Debakel von Facebook.
Eine interessante Auflistung was das Gesetz so bringen wird gibt es hier.
Pressemitteilung zum Thema von Assemblymember Ed Chau und den Mitautoren von Chapter 55.
Geschichte und Fakten rund um Chapter 55 von Jeremy Kirk.
Mehr Infos auch hier: https://mclago.com/best-practice-10/#comment-169