News – Seite 51 – Virtuelles Datenschutzbüro

Länderübergreifende Prüfung: Einwilligungen auf Webseiten von Medienunternehmen sind meist unwirksam – Nachbesserungen sind erforderlich

Veröffentlicht am: 30. Juni 2021

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht

Die Datenschutzaufsichtsbehörden mehrerer deutscher Länder haben die Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten untersucht. Insgesamt wurden auf Basis eines gemeinsamen Prüfkatalogs 49 Webangebote in 11 Ländern geprüft. Schwerpunkt dabei war das Nutzertracking zu Werbezwecken. Die meisten der geprüften Webseiten entsprechen nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Trackingtechniken. Die Medienunternehmen verstoßen damit gegen das Recht ihrer Nutzerinnen und Nutzer auf Schutz ihrer personenbezogenen Daten. Auch erste Anpassungen bei einigen Verantwortlichen konnten die rechtlichen Defizite bisher nicht vollständig beseitigen.

Für Nutzerinnen und Nutzer besteht durch die Praxis der Medienunternehmen ein erhebliches Risiko. Die im Rahmen des Nutzertrackings erhobenen personenbezogenen Daten werden insbesondere zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile genutzt. Diese werden für das Onlinemarketing, insbesondere im Real Time Bidding-Verfahren (Echtzeitauktion von Werbeplätzen) eingesetzt.

Die beteiligten Landesdatenschutzbehörden wirken auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Falls nötig, werden sie aufsichtsbehördliche Maßnahmen ergreifen.

Für die koordinierte Untersuchung verschickten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 einen gemeinsam erarbeiteten Fragebogen an Medienunternehmen in ihrer jeweiligen Zuständigkeit. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärkste Angebote. Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich. Neben den bereits genannten Stellen beteiligte sich auch die Aufsichtsbehörde in Bayern an der inhaltlichen Auswertung der Untersuchungsergebnisse.

Auf den geprüften Medienwebseiten wird eine sehr hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen.

Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzerinnen und Nutzer für die Verwendung von Cookies und Drittdiensten ab.

In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam. Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

• Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.

• Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.

• Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.

• Keine einfache Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.

• Manipulation der Nutzerinnen und Nutzer: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, Nutzerinnen und Nutzer werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.

Verantwortlich: Sven Müller, Tel. 033203 356-0
Kleinmachnow, 30. Juni 2021

Pandemiebekämpfung – Bewährungsprobe für Datenschutz und Öffentlichkeitsprinzip

Veröffentlicht am: 29. Juni 2021

Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 29.06.2021

Das Berichtsjahr war geprägt von der Covid-19-Pandemie. Als Aufsichtsbehörde für Datenschutz überwachte der EDÖB eine hohe Anzahl von digitalen Projekten zu deren Bekämpfung. Als Schlichtungsstelle für Zugangsgesuche nach dem Öffentlichkeitsgesetz hat er vermittelnd darauf hingewirkt, das Bedürfnis der Bevölkerung nach Nachvollziehbarkeit der staatlichen Seuchenbekämpfung mit der für die Bundesverwaltung prioritären Durchführung dieser Aufgabe in Einklang zu bringen.

Weiterlesen Pandemiebekämpfung – Bewährungsprobe für Datenschutz und Öffentlichkeitsprinzip

Landesbeauftragter für den Datenschutz mahnt dringend Einhaltung des Datenschutzes in Testzentren an

Veröffentlicht am: 29. Juni 2021

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 28.06.2021

Die Coronavirus-Testverordnung des Bundes gewährt den Bürgerinnen und Bürgern einen Anspruch auf einen kostenlosen sog. Bürgertest. Die dabei anfallenden zehntausenden Datensätze enthalten nicht nur den Namen, Vornamen, Adressen, Geburtsdaten, Telefonnummern, Passwörter, Testergebnisse, sondern in vielen Fällen auch die Personalausweisnummern. Damit liegen den Testzentren nicht nur sensible Gesundheitsdaten vor, sondern auch die entscheidenden Daten für einen Identitätsdiebstahl. Unter Identitätsdiebstahl versteht man die missbräuchliche Nutzung der personenbezogenen Daten eines Menschen (Identität) durch (kriminelle) Dritte. Mit den Datensätzen können z. B. Onlinegeschäfte, Kreditaufnahmen oder die Eröffnung von zahlungspflichtigen Accounts zu Lasten der betroffenen Person vorgenommen werden. Als Folge drohen nicht nur Ärger, sondern zusätzlich ein erheblicher wirtschaftlicher Schaden. Auch die Einleitung von Strafverfahren wegen Betruges hinsichtlich der vermeintlich abgeschlossener Verpflichtungen können den vom Identitätsdiebstahl Betroffenen drohen. Schließlich können sich die Täter mit den Daten auch gegenüber Behörden als jemand anderes ausgeben. Vor diesem Hintergrund ist der Schutz der in den Testzentren anfallenden Daten besonders wichtig. Dies gilt sowohl während des Betriebes der Stationen, aber auch nach Abschluss dieser Tätigkeit.

Weiterlesen Landesbeauftragter für den Datenschutz mahnt dringend Einhaltung des Datenschutzes in Testzentren an

Datenschutz aus deutschen Ländern in Europa

Veröffentlicht am: 29. Juni 2021

Bundesrat wählt Prof. Dr. Thomas Petri zum Stellvertreter für den gemeinsamen Vertreter im Europäischen Datenschutzausschuss

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 28.06.2021

Der Bundesrat hat in seiner 1006. Sitzung am 25. Juni 2021 den Bayerischen Landesbeauftragten für den Datenschutz, Prof. Dr. Thomas Petri, zum Stellvertreter des gemeinsamen Vertreters im Europäischen Datenschutzausschuss gewählt.

Der Europäische Datenschutzausschuss ist eine Einrichtung der Europäischen Union. Die Mitgliedstaaten werden dort jeweils durch den Leiter einer nationalen Datenschutz-Aufsichtsbehörde vertreten. Eine wesentliche Aufgabe des Europäischen Datenschutzausschusses liegt darin, die einheitliche Anwendung der Datenschutz-Grundverordnung sicherzustellen. Da in Deutschland mehrere Datenschutz-Aufsichtsbehörden bestehen, sieht das Bundesdatenschutzgesetz vor, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Funktion des gemeinsamen Vertreters im Europäischen Datenschutzausschuss wahrnimmt. Sein vom Bundesrat zu wählender Stellvertreter nimmt die Stimme Deutschlands im Europäischen Datenschutzausschuss nicht nur im Verhinderungsfall wahr. Der gemeinsame Vertreter überträgt vielmehr auch in bestimmten, für die Länder wichtigen Angelegenheiten seinem Stellvertreter die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss.

Weiterlesen Datenschutz aus deutschen Ländern in Europa

Befreiung von der Maskenpflicht aus gesundheitlichen Gründen

Veröffentlicht am: 28. Juni 2021

Der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht veröffentlichen neues gemeinsames Papier

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz und des Bayerischen Landesamts für Datenschutzaufsicht vom 28.06.2021

Die Maskenpflicht ist nach der aktuell geltenden 13. Bayerischen Infektionsschutzmaßnahmenverordnung weiterhin ein wesentliches Handlungsinstrument bei der Bekämpfung der COVID-19-Pandemie. Manche betroffenen Personen können allerdings – insbesondere aus gesundheitlichen Gründen – keine Maske tragen. Der bayerische Verordnungsgeber hat die Regelungen zur Befreiung von der Maskenpflicht nun neu gefasst. Bei der Anwendung dieser Regelungen stellen sich auch datenschutzrechtliche Fragen.

Weiterlesen Befreiung von der Maskenpflicht aus gesundheitlichen Gründen