1. DSGVO
Dem 34. Tätigkeitsbericht des Landesbeauftragen für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) sind im Jahr 2018 deutliche Steigerungsraten bei den Beratungen, aber auch Beschwerden zu entnehmen. Diese positive Veränderung gegenüber den Vorjahren ist auf die Datenschutz-Grundverordnung (DSGVO) zurückzuführen, die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten gilt. Das zeigt: Das Thema Datenschutz hat deutlich an Bedeutung zugenommen.
Nach meiner Auffassung wird die Möglichkeit einer (Online-)Beschwerde im Sinne des Art. 77 DSGVO allerdings von vielen Betroffenen nur unzureichend bzw. überhaupt nicht in Anspruch genommen – obwohl der Verdacht naheliegt, dass eine Stelle (bspw. Unternehmen, Behörden) bei der Verarbeitung von personenbezogenen Daten gegen die DSGVO verstößt. Im Interesse aller Betroffenen sollte sich dies ändern. Denn Art. 77 DSGVO ermöglicht es uns bzw. den Betroffenen eine Prüfung durch die zuständige Aufsichtsbehörde zu erwirken – sofern die Verletzung der eigenen Rechte nachvollziehbar dargelegt werden kann.
Im vorliegenden Beitrag möchten wir euch eine Vorlage bzw. Hilfestellung an die Hand geben und damit sowohl die Hürde als auch die Hemmung vor der Einreichung einer (Online-)Beschwerde verringern. Das Ziel: Die Aufsichtsbehörden zeitnah und stichhaltig über mögliche Datenschutzverstöße informieren, damit diese entsprechend darauf reagieren können.
2. Wie es zu dieser Anleitung bzw. diesem Howto kam
Die Aufsichtsbehörden bzw. Landesdatenschutzbeauftragten der Länder bieten auf ihren Webpräsenzen die Möglichkeit an, einen möglichen Verstoß gegen die DSGVO zu melden. In der Regel stehen dafür Online-Beschwerde-Formulare bereit, die von einem Betroffenen lediglich ausgefüllt werden müssen. Soweit die Theorie – in der Praxis herrscht selbst unter datenschutzinteressierten Nutzern Uneinigkeit darüber, wer bei einem möglichen Verstoß zuständig ist oder wie eine Beschwerde inhaltlich überhaupt aufbereitet sein sollte.
Daher kam mir die Idee, eine Vorlage zu erarbeiten. Kurzerhand habe ich mich mit meiner Idee an Matthias Eberl gewandt, der über das Facebook-Tracking auf drei Viertel aller deutschen Nachrichtenseiten berichtet hat. Eben jenes Thema wollte ich als Aufhänger nehmen und einen Betroffenen suchen, mit dem wir gemeinsam eine Beschwerde formuliert und diese dann bei der zuständigen Aufsichtsbehörde eingereicht haben.
2.1 Suche nach einem Betroffenen
Nachdem mir Matthias signalisiert hatte, dass er die Idee klasse findet, veröffentlichte ich einen Steckbrief, auf den sich betroffene ZEIT-ONLINE-Leser melden sollten – ZEIT ONLINE wurde in diesem Jahr gerade mit dem Negativpreis »Big Brother Award« ausgezeichnet. Aber nicht nur das, sondern nach unserer Auffassung übermittelt ZEIT ONLINE personenbezogene Daten seiner Leser an Facebook.
Zeitnah auf den Aufruf erfolgten die ersten Einsendungen. Nachdem wir die Einsender über unser Vorhaben informiert hatten, waren mehrere Betroffene bereit, eine Beschwerde bei der zuständigen Aufsichtsbehörden einzureichen. Letztendlich haben wir uns dann für einen Betroffenen entschieden, der die Beschwerde vor wenigen Tagen eingereicht hat. Sobald uns eine Rückmeldung von der Aufsichtsbehörde vorliegt, werden wir euch über den Verlauf informieren. Was Alexander S. dazu bewegt hat, eine Beschwerde einzureichen, könnt ihr im Interview nachlesen.
2.2 Schritt-für-Schritt-Anleitung: Facebook-Tracker
Im weiteren Verlauf des Artikels möchten wir euch nun die Schritte vorstellen, die nach unserer Auffassung notwendig sind, um eine möglichst stichhaltige Beschwerde einzureichen. Für die zuständige Aufsichtsbehörde sollte klar erkennbar sein, in welcher Weise die eigenen Rechte verletzt werden.
Die nachfolgende Anleitung befasst sich mit einem konkreten Beispiel. Wir legen eine Beschwerde gegen ZEIT ONLINE ein, da die systematische Auswertung der persönlichen Mediennutzung durch Facebook nach unserer Auffassung einen Verstoß gegen die DSGVO darstellt – und damit eine Verletzung der Betroffenenrechte. Weitere Hintergrundinformationen könnt ihr dem Beitrag Facebook trackt Nutzer auf drei Viertel aller deutschen Nachrichtenseiten entnehmen:
Für diesen Beitrag habe ich 130 deutsche Nachrichtenseiten und Verlagsangebote analysiert. Das Fazit: Facebook liest fast überall mit. Durch Tracking-Tools kann der Konzern in vielen Fällen erkennen, welche Artikel ein Facebook-Nutzer anklickt. Die Gesetze untersagen diese Form von Tracking, aber die Verlage stört das nicht.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.3 Hinweis: Vor der Einreichung einer Beschwerde
Selbstverständlich sollte sein, dass eine Beschwerde erst dann eingereicht wird, wenn der Betreiber der Website zuvor mit einer Frist von beispielsweise zwei Wochen aufgefordert wurde, den Facebook-Tracker zu entfernen und darauf nicht reagiert hat. Das ist der effektivere Weg, entlastet die Behörden und ist gerade bei kleineren Website oder Shops auch eine Sache der Fairness.
Schritt 1: Hat die Seite einen Facebook-Tracker?
Für die Analyse verwendet man am besten Firefox oder Chrome, beide Browser enthalten standardmäßig ein Tool, um die externen Verbindungen einer Seite zu betrachten:
Firefox:
- Im Menü Web-Entwickler/Netzwerkanalyse aufrufen (Oder Strg-Shift-E)
- Eine Seite aufrufen (oder mit Strg-F5 neu laden)
- Im Suchfeld (»Adressen durchsuchen«) »facebook« eingeben
- Wenn Inhalte von
facebook.comerscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies und der Personenbezug kann belegt werden.
Chrome:
- Im Menü
- Eine Seite aufrufen (oder mit Strg-F5 neu laden)
- Im Suchfeld (»Filter«) »Facebook« eingeben
- Wenn Inhalte von
facebook.comerscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies und der Personenbezug kann belegt werden.
Klickt man auf die einzelnen Zeilen und dann auf den Tab Parameter, sieht man, was in den verschiedenen Aufrufen an Facebook übertragen wird. Viele Einbettungen übertragen nur die URL
https://www.zeit.de/politik/ausland/2019-09/iran-hassan-ruhani-atomabkommen-ausstieg
was für eine Beschwerde bereits ausreicht. Bei Facebook Pixel (was ist ein Zählpixel?) sieht man manchmal auch weitere Parameter, zum Beispiel Button-Klicks oder gesuchte Begriffe.
An dieser Stelle sollte man sich auch einen Überblick verschaffen, wo der Tracker überall eingesetzt wird. Bei ZEIT ONLINE ist er auf der Startseite und auf allen Artikelseiten vorhanden. Das notieren wir ebenfalls für die Beschwerde.
Schritt 2: Gab es eine Einwilligung?
Das ist natürlich sehr unwahrscheinlich: Es gibt fast keine (Medien-)Seiten, die rechtswirksam eine Einwilligung in die Datenweitergabe einholen. Um im Einklang mit der DSGVO zu stehen, dürften die Tracker erst dann Daten weitergeben, wenn eingewilligt wurde. Ein Cookie-Banner am unteren Rand, der nicht geklickt werden muss, reicht keinesfalls aus. Die einzige uns bekannte Nachrichten-Seite, die erst trackt, wenn man eingewilligt hat, ist derStandard.at. In solchem Fall kann man die Beschwerde aber noch mit dem letzten Absatz des Mustertextes durchführen (»Lückenhafte Umsetzung der Betroffenenrechte«).
Wenn jetzt jemand das Koppelungsverbot anführen will: Das gilt bei den meisten Nachrichtenseiten aller Wahrscheinlichkeit nach nicht, da die Seiten kostenlos sind und das Tracking die Gegenleistung für den kostenlosen Inhalt ist. Es gibt dann sozusagen nichts, woran etwas gekoppelt wäre. Erst wenn bereits eine primäre Vereinbarung besteht, also bspw. bei einem Abo für den Inhalt gezahlt wurde, besteht eine Hauptdienstleistung und daran darf dann nichts mehr gekoppelt werden. Eine Zustimmung darf in dem Fall nicht mehr Bedingung für die Nutzung gemacht werden.
Schritt 3: Was sagt die Datenschutzerklärung?
Jede Datenweitergabe an Dritte muss in der Datenschutzerklärung aufgeführt sein. Leider ist nicht besonders klar, wie präzise das sein muss, eine Angabe von »Kategorien von Empfängern« ist laut DSGVO auch erlaubt, bspw. »Vermarktungsunternehmen«. Meistens steht aber konkret Facebook in der Liste, so auch bei unserem Beispiel ZEIT ONLINE.
Außerdem muss der Rechtsgrund aufgeführt sein. Davon gibt es sechs Stück, wovon die meisten (z.B. Vertragserfüllung oder rechtliche Verpflichtung) bei Tracking nicht in Frage kommen. Falls es keine Einwilligung gab, kommt eigentlich nur das berechtigte Interesse in Frage. Bei ZEIT ONLINE wird das auch genannt (es ist der DSGVO-Artikel 6, Absatz lit 1f). Da wir in Frage stellen, dass dieses berechtigte Interesse besteht, müssen wir nachlesen, warum die Daten an Facebook weitergeleitet werden sollen. Bei ZEIT ONLINE finden sich im wesentlichen drei Gründe:
- man möchte Anzeigen bei Facebook nur den Personen anzeigen, die vorher die Seite von ZEIT ONLINE besucht haben
- man möchte überprüfen, ob ein Nutzer eine Anzeige bei ZEIT ONLINE angeklickt hat
- man möchte relevante und interessante Anzeigen schalten, um das Angebot zu verbessern
Diese Angaben spielen in der Beschwerde auch eine Rolle und müssten in dem Mustertext entsprechend gestrichen oder angepasst werden.
Außerdem schauen wir pro forma nach, ob es eine Angabe gibt, wer bei der gemeinsamen Datenverarbeitung zwischen der Website und Facebook für die DSGVO-Rechte wie bspw. dem Recht auf eine Datenkopie zuständig ist. Man kann relativ sicher davon ausgehen, dass es hier keine Angabe gibt, weil alle genau wissen, dass das Recht nicht erfüllt werden kann, wie wir noch sehen werden. Das erhöht wiederum die Chancen für einen Erfolg der Beschwerde.
Schließlich schauen wir noch, ob eine Opt-Out-Lösung für Facebook-Tracking genannt wird: Im Normalfall wird unter anderem die zentrale Website Your Online Choices genannt, bei der man ein Opt-Out-Cookie setzen kann. Für diesen Normalfall hat die Musterbeschwerde einen passenden Absatz, der diese Lösung als mangelhaft angreift. Ansonsten kann der Absatz entsprechend geändert oder entfernt werden, er ist nicht zentral für die Beschwerde.
Schritt 4: Dokumentieren
Nun dokumentieren wir das Tracking. Ideal ist der Nachweis mit Weitergabe von personenbezogenen Daten, das ist bei Facebook das Cookie c_user. Die dort verzeichnete Nummer (Facebook-ID) entspricht dem Facebook-Profil, man kann es sogar damit aufrufen. Also sollte man sich bei Facebook einloggen und dann eine beliebige Artikelseite aufrufen. Wir machen einen Screenshot von [1] den übertragenen Parametern:
[2] und den übertragenen Cookies inkl. c_user:
Anschließend klickt man mit der rechten Maustaste in die Zeilen und selektiert Alles als HAR speichern. Diese Datei enthält dann alle Daten der Netzwerkanalyse und kann von der Datenschutzbehörde als Beweis verwendet werden.
Auch die Datenschutzerklärung dokumentieren wir, damit sie nicht nachträglich verändert wird. Entweder in ein PDF drucken oder einen Screenshot des entsprechenden Abschnitts erstellen.
Schritt 5: Die zuständige Behörde finden
Eine Datenschutzbeschwerde ist kostenlos und führt den Betroffenen nicht in einen Prozess. Die Behörde übernimmt diese Aufgabe, falls sich das Unternehmen gegen die Vorwürfe wehrt. Außerdem prüft sie erst selbst die juristische Lage, sodass man auch als Laie nichts falsch machen kann.
Zuerst suchen wir nach der Landesbehörde: Zuständig ist das Bundesland, wo der Betreiber der Website mit dem Tracker ihren Sitz hat. ZEIT ONLINE sitzt beispielsweise in Hamburg. Auf der folgenden Liste können wir die Landesämter für den nicht-öffentlichen und öffentlichen Bereich nachschlagen, die für uns zuständig sind. Hamburg erreichen wir unter httpshttps://datenschutz-hamburg.de.
Schritt 6: Formlose Beschwerde verfassen
Ob die Beschwerde per E-Mail oder Online-Formular verfasst wird, spielt keine Rolle – doch bevor die Beschwerde eingereicht wird, müssen wir zunächst alles in Textform bringen. Anbei eine Vorlage, die wir für euch erstellt haben und die gerne verwendet werden darf. Sie ist speziell für Medienhäuser verfasst, kann aber an den entsprechen Stellen einfach geändert werden:
Sehr geehrte Damen und Herren,
hiermit möchte ich Datenschutzbeschwerde einlegen gegen:
Webseitenbetreiber GmbH
Datenstraße 1
12345 Speicherort(im folgenden Beschwerdegegnerin genannt)
Sachverhalt
Die Beschwerdegegnerin betreibt folgende Website:
http[s]://example.com
Dort ist das Trackingtool Facebook Pixel eingebunden. Ich nutzte die Seite {täglich/wöchentlich/regelmäßig}. Außerdem nutzte ich seit {Januar 1970} das soziale Netzwerk Facebook im gleichen Browser. Der Tracker sendete mindestens die URLs der aufgerufenen Seiten zusammen mit meiner Facebook-ID an Facebook. Wie aus den Business-AGB Facebooks ersichtlich ist, wurden meine Daten dort für personalisierte Werbung (daher mit Bezug zu meinem Profil) gespeichert und für Marketingzwecke ausgewertet. Daraus folgt, dass Facebook über die Einbettung des Tracking-Codes meine Nutzung der Seite der Beschwerdegegnerin personenbezogen auswerten konnte.
Verstöße
Keine Rechtmäßigkeit der Verarbeitung
Nach Art. 6(1)f DSGVO muss ein berechtigtes Interesse der Beschwerdegegnerin an der Datenweitergabe das Schutzinteresse des Betroffenen überwiegen. Im vorliegenden Fall erscheint das aus zwei Gründen besonders zweifelhaft:
- Meine Besuche auf der Website der Beschwerdegegnerin erfolgten ohne Login, waren also meiner Kenntnis nach und auch für die Beschwerdegegnerin zunächst anonym oder pseudonym. Eine Besonderheit der Facebook-Trackers liegt darin, dass durch den Einsatz des Trackers die erfassten Daten gegenüber Facebook mit Personenbezug offengelegt werden, falls nämlich das Login-Cookie
c_uservon Facebook vorliegt und mitgesendet wird. Dieses Cookie sendet die eindeutige User-ID, die auch in die folgende URL eingesetzt werden kann, um zu einem bestimmten Profil zu gelangen: https://facebook.com/profile.php?id=123456789
Die Facebook-Profile werden aber, wie auch der Beschwerdegegnerin bekannt sein sollte, in den meisten Fällen mit personenbezogenen Daten wie E-Mail-Adresse, Telefonnummer oder echtem Namen geführt. Daher werden die erhobenen Daten mit Daten über den Träger des Pseudonyms zusammengeführt.Die Weitergabe des Cookies wird in den Dateien belegt, die dieser Beschwerde beigefügt sind. Diese profilbezogene Datenspeicherung ohne erfolgten Login auf der besuchten Seite ist für einen Besucher weder erwartbar noch erkennbar. Unabhängig von den Informationen in der Datenschutzerklärung widerspricht dies dem, was ein Nutzer objektiv und vernünftigerweise erwarten würde. Hinzu kommt, dass das personenbezogene Tracking für Marketing und Werbung in §15 (3) TMG bereits untersagt war und damit wenig nachvollziehbar wäre, warum gerade in diesem Fall ein berechtigtes Interesse nach DSGVO gegenüber meinen Schutzinteressen überwiegen sollte.- Die Beschwerdegegnerin hat auf ihrer Website eine Datenschutzerklärung beigefügt.
http[s]://example.com/datenschutzerklärung
Dort wird das Facebook-Tracking wie folgt begründet (siehe beigefügte Datei).
Die Zusammenführung mit meinem Social-Media-Konto und dadurch mit realen Identifiern wie E-Mail-Adresse und vollem Namen ist für die genannten Zwecke ({die Zielgruppenbildung, die Erfolgsmessung und die personalisierte Werbeansprache}) nicht notwendig. Ein pseudonymes Tracking mit Cookies würde einen ähnlichen Zweck erfüllen, ohne die Daten unbemerkt mit den persönlichen Daten der Besucher zu verknüpfen. Die Beschwerdegegnerin führt in ihrer Datenschutzerklärung nicht auf, warum meine Besuche auf der Website mit den Daten in meinem Social-Media-Profil zusammengeführt werden sollen.Hinzu kommen weitere Gründe, die gegen ein Überwiegen des berechtigten Interesses sprechen:
- Die personenbezogenen Daten aus dem Aufruf journalistischer Beiträge beinhalten teilweise sensible Kategorien nach Art. 9 DSGVO, da das Interesse an bestimmten Artikeln mit einer gewissen Wahrscheinlichkeit auf vorliegende schützenswerte Daten des Betroffenen schließen lassen (z.B. politische Meinung und Gesundheitszustand). Falls dadurch überhaupt eine Datenverarbeitung nach Art. 6(1)f DSGVO möglich ist, ist das Schutzbedürfnis des Betroffenen in jedem Fall erhöht.
- Weiterhin werden die Daten bei Facebook mit den Daten anderer von mir besuchten Websites angereichert, wie Facebook in seinen Business AGB bekräftigt (Abs. 2.a.v.1, Satz i): https://de-de.facebook.com/legal/technology_terms
Dadurch ist die Ansammlung von Daten und das daraus resultierende Profiling für mich nicht mehr nachvollziehbar. Die Beschwerdegegnerin trägt mit ihrer Verwendung des Facebook-Trackers einen Teil zu dieser intransparenten Verknüpfung von Daten bei.- Schließlich ist das Widerspruchsrecht mangelhaft umgesetzt. Erstens kann es für erstmalige Leser nicht rechtzeitig ausgeübt werden: Insbesondere wenn Artikel über externe Links aufgerufen werden, hat Facebook von einem Besuch bereits erfahren, bevor ein Widerspruch oder eine Information über die Datenschutzerklärung durchgeführt werden kann. Zweitens werden bei einem Opt-Out die bereits gesammelten Daten nicht gelöscht – dies scheint auch auf Antrag nicht möglich zu sein, wie ich noch ausführen werde. Und drittens muss bei dem Opt-Out allein auf Zusicherungen seitens Facebook vertraut werden: Das Opt-Out-Cookie „oo“, das über youronlinechoices.com gesetzt werden kann, verhindert nicht, dass die gelesene URL und meine Facebook-ID an Facebook übertragen werden. Eine zuverlässige Lösung müsste bereits die Übertragung meiner personenbezogenen Daten verhindern (siehe Erwägungsgrund 78 DSGVO).
Keine Beschränkung auf das notwendige Maß
Da der Tracker auf allen Artikelseiten des Angebots integriert ist, werden die Besuche von allen Seiten weitergegeben und damit ein detailliertes Interessensprofil gebildet. Eine Beschränkung auf das notwendige Maß ist hier nicht mehr erkennbar, viel mehr geht es um ein maßloses und zeitlich unbeschränktes Sammeln von Verhaltensdaten.
Lückenhafte Umsetzung der Betroffenenrechte
Die Datensammlung ist rechtswidrig, weil Facebook die Betroffenenrechte, insbesondere das Recht auf Kopie nach Art. 15(3) DSGVO und das Recht auf Löschung nach Art. 17 DSGVO aus technischen Gründen nicht erfüllen kann, wenn diese Daten über die Business Tools bzw. Facebook Pixel gesammelt wurden. Wie Paul-Olivier Dehaye in seiner schriftlichen Aussage gegenüber dem Untersuchungsausschuss des britischen Parlaments erklärte, habe Facebook ihm gegenüber schriftlich bekundet, dass die Daten aus Facebooks Business Tools (darunter auch das Tracking-Tool Pixel):
1. im Digital Ware House (DHW) „Hive“ gespeichert seien
2. diese Daten aus Log-Einträgen bestünden
3. diese Daten nicht pro User indexiert würden
4. es aufgrund der User-Anzahl technisch unmöglich wäre, eine Abfrage pro User durchzuführen
5. und es daher einen unverhältnismäßigen Aufwand erfordere bzw. technisch unmöglich wäre Auskunft über die gespeicherten Daten zu gebenQuelle: DCMS Digital, Culture, Media and Sports Sports Comittee „Disinformation and ‘fake news’“
In Bezugnahme auf die Rechtsprechung zum Facebook-Plugin (Urteil des EuGH: Fashion ID GmbH gegen die Verbraucherzentrale NRW e.V.) kann davon ausgegangen werden, dass auch die Datenweitergabe in diesem Fall von der Beschwerdegegnerin und Facebook in gemeinsamer Verantwortung (Art. 26 DSGVO) durchgeführt wird. Dies würde bedeuten, dass die Beschwerdegegnerin zusammen mit Facebook in einer Vereinbarung sicherstellen müsste, dass alle Rechte und Informationspflichten nach DSGVO erfüllt werden. Das Wesentliche einer solchen Vereinbarung müsste auch in der Datenschutzerklärung erkennbar sein, was in diesem Fall aber nicht geschehen ist. Im Gegenteil scheint die Beschwerdegegnerin die Datensammlung ermöglicht zu haben, obwohl wie belegt erhebliche Zweifel bestehen, dass Facebook die Rechte der Betroffenen erfüllen kann. Die Beschwerdegegnerin müsste den Einsatz des Facebook-Trackers sofort beenden, da Löschung und Datenkopie für die Daten einzelner Betroffener und daher eine rechtmäßige Verarbeitung aus technischen Gründen nicht möglich ist und der Einsatz oder Nichteinsatz des Trackers auf der Website in der alleinigen Verantwortung der Beschwerdegegnerin liegt. Da Facebook bereits wegen zahlreicher anderer datenschutzwidriger Vorgänge bekannt ist, kann nicht darauf vertraut werden, dass mit dem Unternehmen eine rechtssichere Lösung gefunden werden kann.
Weitere Quellen hierzu:
https://slate.com/technology/2018/04/mark-zuckerbergs-misleading-promise-that-eu-privacy-rules-will-apply-to-american-facebook-users.html
https://theoutline.com/post/4145/zuckerbergs-testimony-contradicted-by-his-own-privacy-ops-teamAußerdem die entsprechende Anhörung des Betroffenen Paul Olivier Dehaye vor dem europäischen Parlament:
https://www.europarl.europa.eu/ep-live/en/committees/video?event=20180625-1530-COMMITTEE-LIBE-ITRE-AFCO-JURIZusammenfassung
Damit der Beschwerdegegnerin eine verhaltensbezogene Werbeansprache möglich wurde, wurde ich ohne technische Notwendigkeit einer maßlosen, personenbezogenen Verarbeitung selbst sensibler Leseinteressen ausgesetzt, die für mich nicht erwartbar war. Besonders gravierend ist, dass meine persönlichen Daten nachträglich weder eingesehen noch gelöscht werden können.
Ich bitte die Aufsichtsbehörde zu prüfen, ob der Beschwerdegegnerin der Einsatz des Trackingtools auf Grund von berechtigtem Interesse untersagt werden kann und ob ein Bußgeld zur Abwehr ähnlicher Verstöße verhängt werden kann.
Herzlichen Dank,
Max Mustermann
Musterstr. 1
00000 Musterstadt
Fazit
Ja – die Einreichung einer Datenschutzbeschwerde ist mit Aufwand verbunden. Das sollte bzw. darf euch allerdings nicht vor der Einreichung bei der zuständigen Datenschutzbehörde abhalten. Wenn ihr den Eindruck habt, dass eure Rechte verletzt werden, dann solltet ihr den Aufwand nicht scheuen und möglichst nachvollziehbar schildern, welcher Verstoß vorliegt. Geht die Aufsichtsbehörde der Beschwerde dann nach und ist diese begründet, stehen die Chancen gut, dass nicht nur euer Recht, sondern auch das Recht weiterer Betroffener in Zukunft besser geschützt wird.
Wie sagt man so schön:
Steter Tropfen höhlt den Stein
Nur wenn ihr von der Möglichkeit einer (Online-)Beschwerde im Sinne des Art. 77 DSGVO auch Gebrauch macht, kann sich etwas ändern.
Bildquellen:
Facebook-Zeitungs-Tracking: C. Pfohlmann
Checklist: Eucalyp from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Der Einsatz von Social Media im Arbeitsleben aus datenschutzrechtlicher Sicht
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Der TC-String des Interactive Advertising Bureau (IAB) – Teil2
F-Droid und AFWall+ – Android ohne Google?! Teil4
Online-Werbung: Real Time Bidding und IAB-Standards – Teil1
13 Ergänzungen zu “Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hallo Mike,
funktioniert das auch, wenn ich vermute, dass meine Mail-Adressen „weitergegeben“ wurden?
Ich verwende für verschiedene Anbieter darauf angepasste Mailadressen (domain_des_Anbieters@meine_domain.xyz). Nun habe ich in der Vergangenheit verschiedene Spam-Mails an diese Adressen empfangen.
Zwei dieser Online-Shops habe ich angeschrieben, als Antwort kam, dass sie Sicherheit ernst nehmen und ihnen kein Datenleck bekannt ist. Meine Vermutung liegt nahe, dass die Shops das Verteilen der Newsletter über einen Dienst(Leister) erledigen und dort das Datenleck ist.
Gibt es Möglichkeiten, dies zu melden?
VG
Carsten
Wenn die Verarbeitung der Newsletter über Drittanbieter erfolgt, muss der Onlineshop diese Drittanbieter nennen. Nochmal explizit nachfragen und wenn das verneint wird, darfst du davon ausgehen, dass das Leck beim Anbieter selbst liegt und solltest wie oben beschrieben die Aufsichtsbehörden informieren. Du solltest aber auch erklären können, warum du den Abfluss der Daten an anderen Stelle ausschließt (E-Mail Anbieter etc.).
Wieder einmal ein blitzsauberer Artikel, den zu lesen und weiter zu verteilen sich lohnt. Ich schlage allerdings beim Beschwerdeweg eine abgestufte Strategie vor. Sie muss nicht objektiv richtig sein entspricht aber eher meiner Mentalität.
Was will ich erreichen? Die Seite soll mich nicht mehr tracken. Warum also probiere ich nicht erst einmal, ob ich beim Seitenbetreiber selbst Glück habe? Ich kenne reichlich Seiten mit Facebook-Einbindung, die sich gar nicht einmal darüber im Klaren sind, was sie da anstellen. Wenn ich denen eine Möglichkeit gebe, in der Folge einer freundlich verfassten Mail den Mangel zu beheben, erreiche ich vielleicht viel einfacher das gleiche Resultat, als wenn ich gleich die ganz große Keule heraushole und den LfDI auf sie loshetze. Außerdem kann ich dann immer sagen: Schaut her, ich habe es freundlich versucht und den LfDI nur deshalb eingeschaltet, weil der Seitenbetreiber sich uneinsichtig zeigte. Ich bin keine Querulantin, sondern will einfach nur erreichen, dass meine Rechte nicht weiter verletzt werden. Mir geht es um die Sache, nicht darum, möglichst viel Ärger zu bereiten.
Da sind wir bei dir, siehe Ziffer „2.3 Hinweis: Vor der Einreichung einer Beschwerde“.
Ich bin grundsätzlich bei euch. Allerdings muss man sich auch fragen: Wie wollt ihr eure Daten zurückbekommen? Das geht nicht. Das wäre nicht weiter schlimm: man müsste sich nur regelmäßig neue Hobbies, Berufe, Freunde und Interessen suchen.
Das würde für mich die erwähnte „ganz große Keule“ rechtfertigen. Ich rate aber trotzdem, nett zu bleiben.
Sorry, zeit.de ist kein Kindergarten, alles belesene und erwachsene Leute, die zum größten Teil auch kritisch über FB und Google berichten. Wenn dann einfach Daten geteilt werden, ohne zu fragen, ist eine Beschwerde auf jeden Fall gerechtfertigt.
Moin,
es wäre aber allerdings auch schön, wenn die Beschwerden gemäß §77 von den Ämtern auch beantwortet werden. Ich habe zB eine Beschwerde in Hamburg eingereicht und innerhalb von 24 Stunden wurde mir mitgeteilt, mit Aktenzeichen, das die Beschwerde an das LfDI Baden Würtemberg weiter geleitet wurde (28.8.), weil die dort zuständig seien.
Das ist nun etliche Wochen her! Bei Nachfragen per EMail (11.9.) bekommt man nur einen AutoResponder, das die Mail eingegangen ist und das man nicht nachfragen soll. Weitere Wochen keine Reaktion.
Jetzt habe ich eine Rückfrage an das LfDI BaWü über fragdenstaat.de eingeleitet (13.10.). Auch da kam wieder nur der AutoResponder.
Also, Beschwerden nach §77 schön und gut, dann sollten die Ämter aber bitte auch reagieren.
Gruß,
Jan
Werden sie sicherlich. Vermutlich einfach überlastet.
Die Aussage, dass derstandard.at nicht ohne Zustimmung trackt, hat mich etwas stutzig gemacht, weil ich bereits vorher schlechte Erfahrungen gemacht habe. Insbesondere habe ich mich an deren „privacywall“, an der man scheinbar nur mit Zustimmung zum Tracking vorbeikommt, erinnert.
Wenn man nicht auf „OK“ sondern irgendwo anders (z.B. auf den Menübutton oben rechts) klickt, scheint dies auch als Zustimmung ganz nach „Auch wenn ich diese Website weiter nutze, gilt dies als Zustimmung.“ gewertet zu werden. Zumindest wird der Cookie DSGVO_ZUSAGE_V1 auf true gesetzt, und die privacywall verschwindet. Sogar das Markieren von Text wird so als Zustimmung zum Tracking gewertet.
Sowohl mit als auch ohne Zustimmung auf „OK“ scheint getrackt zu werden, wenn auch nicht mit facebook.
Im Gegensatz zu anderen Webseiten ist aber die Information über Tracker auf einer vorgeschalteten Seite. Solange man das Banner sieht, wird kein Tracker eingesetzt. Dies ist bei allen mit bekannten anderen Betreibern nicht so. Bei diesen wird zwar ein Cookie-Banner eingeblendet oder es gibt eine Datenschutzerklärung, aber die Cookies sind da schon gesetzt worden und man kann die Datenschutzerklärung gar nicht finden, ohne vorher schon Cookies zu bekommen.
Meiner Meinung nach ist das beim Standard fast sauber gelöst. Bei mir haben nur Klicks irgendwo anders als auf das Banner zu dessen Entfernung geführt, darauf könnte aber expliziter hingewiesen werden oder diese Möglichkeit entfernt werden.
Wow Mike, vielen Dank für die Vorarbeit. Liebe Leute, wie und wo können wir Betroffene uns koordinieren, dass wir unsere kostbare Zeit (haha, ich habe sogar ein Abo) nicht verschwenden und sich am Ende bei einem Medium *nicht* beschwert wird? Ich würde einmal vermuten, dass auch eine taz trackt. Ggf. nicht aus pro-aktiv bösem Willen, sondern weil Hausintern die Redaktion versäumt hat einen weniger datenkritischen Mitarbeiter aus der EDV zu dem Thema zu interviewen. Ich finde es schon richtig, den Beschwerdeweg zu gehen – ggf. könnte man aber nett sein und sich Zeit sparen und eine Email mit Frist versenden. Ich schlage von dem her vor, dass wir uns koordinieren. Mich regt es schon auf, wenn die drei von mir hauptsächlich konsultieren Medien mein Leseverhalten Facebook melden. Das geht garnicht. Ich würde diesen drei Euch allen bekannten Medien mailen. Wenn andere anderen Medien mailen, können wir ggf. mit wenig Aufwand viel Pioniersarbeit leisten?
Warum nicht im Kuketz-Forum?
Ich frage mich bei diesem ganzen Thema noch, inwiefern Opt-Out-Cookies wirklich eine zulässige Lösung darstellen können:
Sobald ich den Browser (z.B. verschiedene Geräte) wechsle oder mit einem neuen Browser-Profil anfange oder mich zusätzlich mit Cookie-Managern oder Einstellungen behelfe, ist mit 99-100% das Opt-Out-Cookie beim nächsten Besuch einer trackenden Webseite nicht mehr vorhanden.
Zumindest bei Existenz eines Accounts beim trackenden Unternehmen (in diesem Beispiel hier Facebook), sollte die Opt-Out-Einstellung auch im Account hinterlegt werden, damit sie nicht so leicht verloren geht.
Gibt es hierzu weitergehende rechtliche Betrachtungen? Gibt es technisch sinnvollere Alternativen zu Opt-Out-Cookies (z.B. Opt-In-Cookies), deren Umsetzung sich langfristig evtl. rechtlich durchsetzen ließe?