Wie bereits im ersten Teil erwähnt, wurde eine mehrteilige Beschwerde an die CNIL (französische Datenschutzbehörde) gesandt. Nach einigem Hin und Her, zwischenzeitlicher Löschung der Beschwerde und erneutem Versand liegt nun die Antwort vor.
Es ist entscheidend, sowohl den ersten als auch den zweiten Teil der Disneys Datenmacht Serie zu lesen, um den Inhalt dieses Artikels vollständig zu erfassen.
Gastbeitrag von FrauTux
FrauTux ist der Alptraum aller faulen Datenschutzbeauftragten und für die eine oder andere (bittersüße) Kritik hier verantwortlich. Seit 2011 beschäftigt sie sich beruflich mit dem Datenschutz. Sie ist Informatikerin mit Schwerpunkt IT-Sicherheit und mag keine Einführungstexte oder wenn jemand als Experte bezeichnet wird. Seit 2019 schreibt sie für den Kuketz Blog und hat sich hier intensiv mit den Bereichen Tourismus und Bildung auseinandergesetzt. Ihre Spezialität: Komplexe Themen möglichst verständlich und manchmal auch humorvoll aufzubereiten.
- Disneys Datenmacht: Teil I
- Disneys Datenmacht: Teil II
- Disneys Datenmacht: Die Antwort der französischen Datenschutzbehörde – Teil III
1. Die Antwort
Die Antwort der CNIL ist (leicht gekürzt) aus dem Französischen übersetzt. Auszüge daraus werden im Folgenden zitiert und kommentiert:
Ich möchte mich wegen Ihrer Beschwerde gegen das Unternehmen EURO DISNEY ASSOCIES SAS an Sie wenden.
Zunächst möchten wir Sie bitten, die Verzögerung bei der Bearbeitung Ihrer Beschwerde zu entschuldigen. Unsere Kommission wird mit immer mehr Beschwerden befasst, was sich auf die Bearbeitungsdauer auswirkt.
Wie bereits nach der Überprüfung durch die CNIL mitgeteilt, ist die für die Datenverarbeitung im Rahmen von Reservierungen oder Aufenthalten in den Hotels und im Park Disneyland Paris verantwortliche Gesellschaft The Walt Disney Company Ltd. mit Sitz in London.
Die CNIL hat diese Gesellschaft zu den in Ihrer Beschwerde angesprochenen Problemen befragt und folgende Antworten erhalten.
Zunächst stellten Sie sich die Frage, ob in den Hotels im Disneyland Paris möglicherweise Ausweiskopien angefertigt werden. Das Unternehmen gab an, dass die Gäste bei ihrer Ankunft in einem der Hotels aufgefordert werden, ihren Ausweis vorzuzeigen, aber keine Kopien davon gemacht werden.
Zweitens fragten Sie, ob die Buchungsdaten an andere Hotels der Disney-Gruppe weitergegeben werden könnten. Das Unternehmen teilte uns mit, dass, wenn ein Kunde eine Buchung in einem der sieben Hotels, darunter auch die Davy Crockett Crockett Hotels, vornimmt, dies nicht der Fall ist.
Drittens erkundigen Sie sich allgemein nach den Regeln, die für die Datenübermittlung außerhalb der Europäischen Union gelten, die das Unternehmen im Rahmen seiner Datenverarbeitung vornimmt.
Zu diesem Punkt bestätigte das Unternehmen zunächst, dass das Datenschutzbüro, von dem Sie bei Ihrer Anfrage eine Antwort erhalten haben, von The Walt Disney Company Limited betrieben wird, einem Unternehmen mit Sitz im Vereinigten Königreich, einem Land, das von der Europäischen Kommission mit einer Angemessenheitsentscheidung bedacht wurde. Weitere Informationen zu diesem Thema finden Sie auf der Website der CNIL.
In Bezug auf das von der Gesellschaft verwendete One Trust Tool wurde uns mitgeteilt, dass dieses Tool als Portal für Mitteilungen über die Verarbeitung personenbezogener Daten verwendet wird. Das Tool wird von One Trust LLC, einem Unternehmen nach US-amerikanischem Recht, bereitgestellt, das als Auftragsverarbeiter für personenbezogene Daten fungiert und mit dem ein Vertrag gemäß Artikel 28 DSGVO geschlossen wurde.
Das Unternehmen weist darauf hin, dass die Datenübertragung in diesem Rahmen durch die Standardvertragsklauseln der Europäischen Kommission geregelt ist, die durch zusätzliche Maßnahmen ergänzt werden. Insbesondere werden die personenbezogenen Daten innerhalb der Europäischen Union (Frankfurt) gehostet, und nur in Ausnahmefällen können Mitarbeiter von One Trust LLC in den USA zum Zwecke der Wartung und des Kundensupports auf diese Daten zugreifen.
Das Unternehmen hat außerdem erklärt, dass es die Bestimmungen der Art. 44 ff. der DSGVO über die Übermittlung von Daten in Länder außerhalb der Europäischen Union einhalten und sicherstellen wird, dass die identifizierten Übermittlungen in Übereinstimmung mit einer der in der DSGVO vorgesehenen Regelungen durchgeführt werden.
Viertens gaben Sie an, dass die Website von www.disneylandparis.com nicht mehr “nutzbar” sei, wenn der Nutzer Schreib- und Lesevorgänge zu Marketingzwecken ablehne.
In diesem Zusammenhang erklärte das Unternehmen, dass es die Richtlinien der CNIL zu Cookies und anderen Trackern sowie die Empfehlung vom 17. September 2020 strikt anwendet. Das Unternehmen achtet insbesondere darauf, dass:
- Die Website www.disneylandparis.com über eine Plattform zur Verwaltung von Cookies verfügt, die über das Cookie-Banner auf der Website zugänglich ist und die Nutzer über die spezifischen Zwecke jeder Cookie-Kategorie informiert sowie eine einfache Möglichkeit zur Aktivierung und Deaktivierung bietet.
- andere als die “unbedingt notwendigen” Cookies nicht ohne vorherige und ausdrückliche Zustimmung der Besucher der Website auf deren Endgeräten platziert werden;
- oder eine Schaltfläche “Alles ablehnen” auf dem Cookie-Banner einrichten, die es den Nutzern ermöglicht, die Installation aller Cookies abzulehnen, die für das Funktionieren der Website nicht unbedingt erforderlich sind;
- oder einen Link “Cookie-Einstellungen” am unteren Ende der Website platzieren, unabhängig von der besuchten Seite, damit die Nutzer jederzeit auf die Plattform zur Verwaltung von Cookies zugreifen können, um ihre Wahl zu überprüfen oder zu ändern, und damit ihre Zustimmung genauso leicht zurückgezogen werden kann, wie sie ursprünglich gegeben wurde.
Das Unternehmen erklärt, dass diese Maßnahmen zu dem Zeitpunkt, als Sie es kontaktiert haben, wirksam waren.
Fünftens gaben Sie an, dass es nicht mehr möglich sei, einen Parkausweis zu reservieren, ohne die Identität des Parkausweisinhabers anzugeben. Das Unternehmen bestätigte dies und erklärte, dass gemäß den Angaben auf dem Erhebungsformular die Zugangskarten von ihrem Empfänger nicht an Dritte abgetreten werden können, bevor die Transaktion abgeschlossen ist, und dass sich das Unternehmen die Möglichkeit vorbehält, am Eingang der Parks die Übereinstimmung zwischen dem Namen auf der Zugangskarte und einem gültigen Ausweisdokument des Inhabers gemäß den Verkaufsbedingungen zu überprüfen.
Die Erhebung des Vor- und Nachnamens des Begünstigten erfolgt auf gesetzlicher Grundlage.
Insbesondere in Bezug auf die Daten von Minderjährigen, die in diesem Rahmen gesammelt werden, hat das Unternehmen keine besonderen Risiken festgestellt, da die einzigen erforderlichen Daten, die Minderjährige betreffen, ihr Vor- und Zuname sind und diese Daten vom Käufer der Eintrittskarten angegeben werden. Darüber hinaus werden diese Daten für keinen anderen Zweck als die Ausstellung einer ermäßigten Eintrittskarte verwendet.
Schließlich erklärten Sie, dass Telefonanrufe beim Kundenservice systematisch aufgezeichnet würden, ohne dass es eine Möglichkeit gäbe, sich dagegen zu wehren.
Das Unternehmen erklärte uns, dass es die CNIL-Entscheidung Nr. 2014-474 vom 27. November 201 bezüglich der automatischen Verarbeitung personenbezogener Daten durch öffentliche und private Einrichtungen, die zum Abhören und Aufzeichnen von Telefongesprächen am Arbeitsplatz bestimmt sind, anwendet. In diesem Sinne dient die Aufzeichnung von Gesprächen am Arbeitsplatz nur der Schulung, der Entwicklung der Mitarbeiter und der Verbesserung der Servicequalität.
Das Unternehmen weist außerdem darauf hin, dass der Anrufer ordnungsgemäß über die Aufzeichnung informiert wird, bevor der Anruf von einem der Mitarbeiter entgegengenommen wird (d. h. bevor die Aufzeichnung beginnt, falls dies der Fall ist). vial die folgende mündliche Mitteilung (Da wir Ihre Meinung schätzen, bleiben Sie bitte am Ende dieses Anrufs in der Leitung, um einen kurzen Fragebogen mit 5-7 Fragen zu beantworten. Im Rahmen unserer Qualitätssicherung kann dieser Anruf aufgezeichnet werden.)
Der Anrufer wird gebeten, die Taste “0” seines Telefons zu drücken, um die rechtlichen Hinweise im Detail zu lesen, einschließlich der Datenschutzbestimmungen für die Erhebung personenbezogener Daten im Rahmen des Anrufs, die wie folgt lauten: Ihre während dieses Anrufs erhobenen persönlichen Daten werden von The Walt Disney Company Ltd. kontrolliert. – 3 Queen Caroline Street Hammersmith London W 9PE England – und mit Euro DIsney Associés S.A.S. und/oder Euro Disney Vacaces S.A.S., beide mit Sitz in 1 Rond-Point d’Isigny, 77700 Chessy, Frankreich, geteilt. The Walt Disney Company Ltd. hat EUrop Disney Assocés S.A.S. zu ihrem Vertreter in der Europäischen Union ernannt. Wir können Ihre persönlichen Daten mit einem anderen Unternehmen teilen, um Ihre Buchung und Ihre Anfragen zu verwalten und Ihnen die bestmögliche Erfahrung zu bieten, z.B. wenn Sie ein Reisepaket bei uns buchen, das Waren oder Dienstleistungen von Dritten, wie z.B. Tochtergesellschaften, Lieferanten, Vertragspartnern, usw. beinhaltet.
Sie können sich jederzeit von diesen Online-Umfragen abmelden, indem Sie auf den Abmeldelink klicken, der in jeder dieser Umfragen enthalten ist. Disney Destinations LLC mit Sitz in den Vereinigten Staaten kann auf Ihre Daten zugreifen, wenn sie Dienstleistungen in unserem Auftrag erbringt. Im Falle einer Übertragung oder eines Zugriffs auf Ihre Daten außerhalb der EU stellen wir sicher, dass wir über angemessene Garantien in Übereinstimmung mit dem EU-Recht verfügen. Insbesondere unterliegen Datenübertragungen an Disney Destination LLC den Standarddatenschutzklauseln, die von der Europäischen Kommission angenommen wurden. Um mehr über unsere Datenverwendungspraktiken und Ihre Rechte zu erfahren, besuchen Sie bitte https://privacy.thewaltdisneycompay.com/fr/ und kontaktieren Sie unseren Datenschutzbeauftragten, indem Sie eine E-Mail an dataprotectionqdisney.co.uk senden.
In Anbetracht der Antworten des Unternehmens scheint die Verarbeitung der personenbezogenen Daten nicht gegen die Datenschutzbestimmungen zu verstoßen. Ihre Akte wird daher geschlossen.
Vorbehaltlich des Rechtsschutzinteresses der Antragsteller können die Entscheidungen der CNIL innerhalb von zwei Monaten nach ihrer Bekanntgabe vor dem Conseil d’Etat angefochten werden.
Mit freundlichen Grüßen.
Ich finde es lobenswert, dass die CNIL eigenständig gehandelt und nicht einfach auf London verwiesen hat, wie es viele Behörden tendenziell tun. Stattdessen haben sie die Fragen weitergeleitet und auch eigene Recherchen angestellt.
2. The Aftermath
Vorsicht ist jedoch die Mutter der Porzellankiste und so ist Vertrauen gut, Kontrolle aber besser. Deshalb werden die einzelnen Aussagen noch einmal genauer betrachtet und ggf. noch einmal aufgezeigt, wo genau die Fallstricke liegen können.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Scannen von Personalausweisen
Das Unternehmen gab an, dass die Gäste bei ihrer Ankunft in einem der Hotels aufgefordert werden, ihren Ausweis vorzuzeigen, aber keine Kopien davon gemacht werden.
Das ist eine Aussage, die nicht nur zu begrüßen ist, sondern auf die man sich bei Bedarf auch stützen kann. Denn wir haben in den Artikeln die Fallnummer angegeben und wir wissen, dass The Walt Disney Company Ltd. diese Information an die CNIL geschickt hat.
Trotz der früheren Erklärung der CNIL, die besagt, dass auch in Frankreich Personalausweise bei Hotelbesuchen nicht kopiert werden dürfen, beobachtet man leider, dass nur wenige Hotelbetreiber diese Vorgabe beachten. Stattdessen führt dies oft zu langwierigen und unnötigen Diskussionen.
2.2 Weitergabe von Buchungsdaten an andere Disney Hotels
Zweitens fragten Sie, ob die Buchungsdaten an andere Hotels der Disney-Gruppe weitergegeben werden könnten. Das Unternehmen teilte uns mit, dass, wenn ein Kunde eine Buchung in einem der sieben Hotels, darunter auch die Davy Crockett Crockett Hotels, vornimmt, dies nicht der Fall ist.
Auch darauf kann man sich im Zweifelsfall verlassen. Sollte also ein Datenschützer in mehreren Disney-Hotels übernachtet haben und nachweislich etwas anderes feststellen, freuen wir uns natürlich über einen Hinweis.
2.3 Weitergabe von Daten außerhalb Europas
Drittens erkundigen Sie sich allgemein nach den Regeln, die für die Datenübermittlung außerhalb der Europäischen Union gelten, die das Unternehmen im Rahmen seiner Datenverarbeitung vornimmt.
Zu diesem Punkt bestätigte das Unternehmen zunächst, dass das Datenschutzbüro, von dem Sie bei Ihrer Anfrage eine Antwort erhalten haben, von The Walt Disney Company Limited betrieben wird, einem Unternehmen mit Sitz im Vereinigten Königreich, einem Land, das von der Europäischen Kommission mit einer Angemessenheitsentscheidung bedacht wurde. Weitere Informationen zu diesem Thema finden Sie auf der Website der CNIL.
Wie im ersten Artikel erwähnt, ist die Anfrage schon älter: Le formulaire a été enregistré le 02/04/2022 17:17 avec le numéro 28-7285 und 2021 bei The Walt Disney Company (in London, UK) und wie im ersten Artikel erwähnt:
Des Weiteren möchte ich darauf hinweisen, dass zu dem Zeitpunkt (auch wenn der Artikel jetzt erst herauskommt), das Privacy Shield gekippt war und das Vereinte Königreich kein anerkanntes Drittland war.
Das bedeutet, dass die Anfrage so lange liegen gelassen wurde, bis sich die Gesetzeslage geändert hat.
2.4 Der Cookie- und Werbealptraum
In diesem Zusammenhang erklärte das Unternehmen, dass es die Richtlinien der CNIL zu Cookies und anderen Trackern sowie die Empfehlung vom 17. September 2020 strikt anwendet.
Das überprüfen wir gleich.
Das Unternehmen achtet insbesondere darauf, dass: Die Website www.disneylandparis.com über eine Plattform zur Verwaltung von Cookies verfügt, die über das Cookie-Banner auf der Website zugänglich ist und die Nutzer über die spezifischen Zwecke jeder Cookie-Kategorie informiert sowie eine einfache Möglichkeit zur Aktivierung und Deaktivierung bietet.
Teilweise richtig. Wer beispielsweise uMatrix nutzt, dem wird kein Cookie-Banner per Default angezeigt. Jedoch wohl Verbindungen, die Disney versucht aufzubauen:
Versuch 2: Leeres Browserprofil, kein AdBlocker:
Positiv ist, dass es kein Nudging mehr gibt. Sowohl der Button »alle akzeptieren« als auch der Button »alle ablehnen« sind neutral. Im nächsten Schritt schauen wir uns an, was unter »Cookies verwalten« steht:
(in der rechten oberen Ecke befindet sich eine Disneyfigur, die aus Copyrightgründen geschwärzt wurde)
weiter schreibt die CNIL in ihrer Antwort:
andere als die “unbedingt notwendigen” Cookies nicht ohne vorherige und ausdrückliche Zustimmung der Besucher der Website auf deren Endgeräten platziert werden;oder eine Schaltfläche “alles ablehnen” auf dem Cookie-Banner einrichten, die es den Nutzern ermöglicht, die Installation aller Cookies abzulehnen, die für das Funktionieren der Website nicht unbedingt erforderlich sind;
Stimmt, es »gibt« diese Option.
oder einen Link “Cookie-Einstellungen” am unteren Ende der Website platzieren, unabhängig von der besuchten Seite, damit die Nutzer jederzeit auf die Plattform zur Verwaltung von Cookies zugreifen können, um ihre Wahl zu überprüfen oder zu ändern, und damit ihre Zustimmung genauso leicht zurückgezogen werden kann, wiesie ursprünglich gegeben wurde. Das Unternehmen erklärt, dass diese Maßnahmen zu dem Zeitpunkt, als Sie es kontaktiert haben, wirksam waren.
Hierfür habe ich auch noch mal in meiner Beschwerde (kann im ersten Teil nachgelesen werden) nachgelesen:
In der Anlage sende ich Ihnen einige Screenshots. Außerdem möchte ich darauf hinweisen, dass die Website www.disneylandparis.com nicht mehr nutzbar ist, wenn man keine Marketing-Cookies akzeptiert, was ebenfalls einen Datenschutzverstoß darstellt.
Hier muss ich mich ein wenig an die eigene Nase fassen, dass ich das nicht weiter ausgeführt habe, und das betrifft natürlich nicht nur die Cookies, sondern auch die aufgebauten Drittverbindungen, obwohl man den Banner ablehnt. Zum Beispiel, dass die Daten (bspw. IP etc.) auch an Google gehen, wenn man auf »alle Cookies ablehnen« klickt. Das Problem ist, dass dies zwei verschiedene Dinge sind, aber ein Banner dafür verwendet wird.
Zurück zum Thema:
Welche Verbindungen werden denn nun aufgebaut, wenn ich nur technisch-notwendige Cookies haben möchte?
- nr-data.net | fast nur Websiten über das “nr-data.net Websiten Virus” und dann ein versteckter Hinweis auf “The Browser application monitoring agent transmits data to New Relic’s data collection servers via the domain bam.nr–data.net.” – also wieder mal eine Datenweitergabe für die die große Analysesammelwut
- googlevideo.com | Darstellung von Videos
- abtasty.com | The experience optimization company
- play.google.com | Android Apps on Google Play
- contensquare.net | Digital Expierece Analytics
- pingdom.net | Website Monitoring Service and Analytics
- cdn.tagcommader.com
- adn.cloud | Cloud
- gstatic.com | Google Analytics
- fonts.gstatic.com | Google Analytcics/Google Fonts
- iadvize.com | Trusted Generative AI for e-commerce
und nachdem einloggen in das Disney Konto noch zusätzlich:
- google.com | Google
- typekit.net | Adobe’s hosted web font service
Und wie ich schon in vielen Artikeln geschrieben habe, bin ich es leid zu erklären »warum« das schlecht ist, weil es so oft passiert, dass ich es selbst nicht mehr hören oder lesen kann. Deshalb ausnahmsweise und mithilfe von Dataskydd:
Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt — die dem Verantwortlichen übertragen wurde, — oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der für die Verarbeitung Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.Quelle: https://gdpr.dataskydd.net/de/rec/#rec69
Wir müssen also die Möglichkeit haben, »Widerspruch« einzulegen. Diese Möglichkeit war nicht gegeben bzw. der Widerspruch war in diesem Fall unwirksam. Zudem wurden wir in der Datenschutzerklärung auch nicht über alle diese Tracker informiert, sodass meines Erachtens auch keine informierte Einwilligung gem. der DSGVO vorliegt. Die Datenschutzerklärung von Disneyland Paris klärt ebenfalls nicht deutlich darüber auf.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche — ursprüngliche oder spätere — Verarbeitung einschließlich des Profilings einlegen können, als sie mit dieser Direktwerbung zusammenhängt. Die betroffene Person sollte ausdrücklich auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verständlichen und von anderen Informationen getrennten Form erfolgen. Quelle: https://gdpr.dataskydd.net/de/rec/#rec70
5.1b) b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (“Zweckbindung”);5.1c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (“Datenminimierung”);Quelle: https://gdpr.dataskydd.net/de/art/#art5
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Quelle: https://gdpr.dataskydd.net/de/art/#art25
Der EuGH hat am 19.10.2016 entschieden, dass eine IP-Adresse ein personenbezogenes Datum ist (EuGH, Urteil vom 19.10.2016 – C-582/14). IP-Adressen sind somit personenbezogene Daten. Jede Verbindung, die Disneyland Paris auf der Website herstellt, erhält auch unsere IP Adresse und das ohne Information oder Einwilligung, teilweise auch außerhalb der EU.
Zu beachten ist auch, dass wir nur in »technisch-notwendige Cookies« eingewilligt haben, nicht aber in Tools oder Analysedienste von Drittanbietern. Allerdings ist eine Vielzahl von Analysediensten direkt eingebunden, die personenbezogene Daten (IP) weitergeben, nur eben nicht als »Cookie«.
Und dass weder die direkt eingebundenen Fonts noch Google Analytics DSGVO-konform sind, bedarf wohl kaum der Erwähnung. Deshalb, und um den Artikel nicht zu lang werden zu lassen, hier nur der Link:
- Google Fonts einbinden
- Google Analytics
(zu beiden Themen gibt es zahlreiche Links)
Des Weiteren ist zu beachten, dass Webseiten älter sind als Google Analytics und Google Fonts und diese auch vorher schon mit den Standardschriften »funktioniert« haben. Die Bereitstellung von externen Schriften ist also z.B. für den Betrieb einer Website technisch gar nicht notwendig.
Zudem ist bei der Analyse Folgendes aufgefallen: Obwohl wir den Cookies widersprochen und nur technisch notwendige Cookies gesetzt haben, findet sich Folgendes in unserem Cache:
CONSENT:“PENDING+841”
Created:“Fri, 05 2024 14:00:30 GMT ”
Domain:“.google.com”
Expires/Max Age:“Sun, 04 Jan 2026 14:00:30 GMT”
HostOnly: false
HttpOnly: false
Last Accessed:“Fri, 05 Jan 2024, 14:19:08 GMT”
Path:“/”
SameSite:“None”
Secure: true
Size: 18
Abgesehen davon, dass dieses Cookie nicht existieren sollte, ist aus datenschutzrechtlicher Sicht Folgendes interessant:
Expires/Max Age:“Sun, 04 Jan 2026 14:00:30 GMT”
Dieser Cookie läuft erst in 2 Jahren ab. Was rechtfertigt diese Speicherdauer nach der DSGVO?
Gerade beim Cookie gibt es noch einige Punkte, genau wie bei der Website, die datenschutzrechtlich kritisch sind, aber das überlasse ich der fertigen Datasykdd Analyse.
2.5 Parktickets mit Namen schon für Babys
Fünftens gaben Sie an, dass es nicht mehr möglich sei, einen Parkausweis zu reservieren, ohne die Identität des Parkausweisinhabers anzugeben. Das Unternehmen bestätigte dies und erklärte, dass gemäß den Angaben auf dem Erhebungsformular die Zugangskarten von ihrem Empfänger nicht an Dritte abgetreten werden können, bevor die Transaktion abgeschlossen ist, und dass sich das Unternehmen die Möglichkeit vorbehält, am Eingang der Parks die Übereinstimmung zwischen dem Namen auf der Zugangskarte und einem gültigen Ausweisdokument des Inhabers gemäß den Verkaufsbedingungen zu überprüfen.
Dass es »plötzlich« keine Fahrkarten mehr gibt, ist erst seit 2020 der Fall. Covid wurde hier zum Anlass genommen, den Papierverkauf komplett einzustellen.
Die Erhebung des Vor- und Nachnamens des Begünstigten erfolgt auf gesetzlicher Grundlage.
Daten wie Name und Geburtstag von Kindern ab 0 Jahren zu verarbeiten und weltweit im Disney-Konzern auch außerhalb der EU ohne gleichwertiges Datenschutzrecht verarbeiten zu lassen, basiert auf einer gesetzlichen Grundlage? Zur Erinnerung: Daten von Kindern sind besonders schutzwürdig (Art. 38 DSGVO).
Insbesondere in Bezug auf die Daten von Minderjährigen, die in diesem Rahmen gesammelt werden, hat das Unternehmen keine besonderen Risiken festgestellt, da die einzigen erforderlichen Daten, die Minderjährige betreffen, ihr Vor- und Zuname sind und diese Daten vom Käufer der Eintrittskarten angegeben werden. Darüber hinaus werden diese Daten für keinen anderen Zweck als die Ausstellung einer ermäßigten Eintrittskarte verwendet.
Das Unternehmen hat es nicht festgestellt… und die CNIL? Was sagt die Datenschutzbehörde? Diese Daten können nicht nur für Parktickets verwendet werden, sondern z.B. wie in Teil II dokumentiert auch für Zimmerreservierungen und darüber hinaus kann auch das Geburtsdatum der Kinder/Babys angegeben werden. Auch Allergien/Essgewohnheiten/welcher Disney-Charakter ist der Liebste etc. können als personenbezogene Daten verarbeitet werden.
2.6 Aufzeichnung von Telefongesprächen
Schließlich erklärten Sie, dass Telefonanrufe beim Kundenservice systematisch aufgezeichnet würden, ohne dass es eine Möglichkeit gäbe, sich dagegen zu wehren.
Das ist richtig.
Das Unternehmen erklärte uns, dass es die CNIL-Entscheidung Nr. 2014-474 vom 27. November 201 bezüglich der automatischen Verarbeitung personenbezogener Daten durch öffentliche und private Einrichtungen, die zum Abhören und Aufzeichnen von Telefongesprächen am Arbeitsplatz bestimmt sind, anwendet. In diesem Sinne dient die Aufzeichnung von Gesprächen am Arbeitsplatz nur der Schulung, der Entwicklung der Mitarbeiter und der Verbesserung der Servicequalität. Das Unternehmen weist außerdem darauf hin, dass der Anrufer ordnungsgemäß über die Aufzeichnung informiert wird, bevor der Anruf von einem der Mitarbeiter entgegengenommen wird (d. h. bevor die Aufzeichnung beginnt, falls dies der Fall ist). vial die folgende mündliche Mitteilung (Da wir Ihre Meinung schätzen, bleiben Sie bitte am Ende dieses Anrufs in der Leitung, um einen kurzen Fragebogen mit 5-7 Fragen zu beantworten. Im Rahmen unserer Qualitätssicherung kann dieser Anruf aufgezeichnet werden.)
Ja, man wird »informiert«, aber was ist mit der Möglichkeit auf Widerspruch gem. DSGVO? Ein ausgezeichnetes Beispiel für solch einen Fall bietet die Website Datenschutz Notizen.
Im sächsischen Datenschutz-Transparenzbericht von 2022 hier heißt es in der Einleitung wie folgt:
Fast schon regelmäßig geht es dabei um die Qualitätssicherung der geführten Telefonate, und oftmals wird den anrufenden Personen dann keineAlternative zu einer Gesprächsaufzeichnung geboten, das heißt, es erfolgt ein bloßer Hinweis zu Beginn des Telefonats, ohne dass eine Möglichkeit des Abwählens der Gesprächsaufzeichnung besteht
[…]
Festzustellen ist zunächst, dass eine solche Gesprächsaufzeichnung keinesfalls auf Art. 6 Abs. 1 Buchst. f DatenschutzGrundverordnung (DSGVO) gestützt werden kann. Dagegen spricht zum einen, dass eine Gesprächsaufzeichnung schon nicht erforderlich ist, denn die Qualitätssicherung des Telefonats kann auch durch andere Möglichkeiten erreicht werden kann, zum Beispiel durch eine freiwillige Beantwortungvon Fragen mit „Ja“ und „Nein“ im Anschluss an das Gespräch. Darüber hinaus stehen aber auch gewichtige Interessen der anrufenden Personen einer Aufzeichnung entgegen, denn hier geht es um die Gewährleistung der Vertraulichkeit des nicht-öffentlich gesprochenen Wortes.
[…]
Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO setzt voraus, dass die anrufende Person vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob sie mit der Aufzeichnung einverstanden ist und, falls sie einverstanden ist, gebeten wird, ihr Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zubringen. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der Datenschutz-Grundverordnung dar.
Eine weitere Quelle ist die Datenschutzkonferenz 2018.
Das bedeutet, dass die automatische Aufzeichnung von Telefongesprächen nicht den Anforderungen der DSGVO entspricht. Zudem befindet sich das Callcenter in Frankfurt am Main (Deutschland). Bis heute ist die automatische Aufzeichnung ohne Widerspruch aktiv und die Mitarbeiter können sie auch nicht stoppen (wer es selbst hören möchte: 069 13 80 41 07). Die Hessische Datenschutzbehörde wurde, wie in Teil 1 erwähnt, ebenfalls informiert (Eingangsbestätigung am 22.04.2022, seitdem keine weitere Korrespondenz). Leider seit fast zwei Jahren keine Rückmeldung.
3. Was nun?
Unter anderem auch durch das Hin und Her, was das Ergebnis der CNIL war und dadurch, dass ich die ganze Recherche in meiner Freizeit mache, ist meine Reaktionszeit bzw. meine Widerspruchsfrist gewissermaßen schon um ein paar Wochen verstrichen. Da diese Aussagen von Disney aber nachweislich und nachprüfbar so nicht stimmen bzw. hier meiner Meinung nach ein Verstoß gegen die DSGVO vorliegt, wird eine erneute Beschwerde bei der CNIL eingereicht (unter anderem mit Verweis auf diese Recherche hier).
Sobald es Neuigkeiten gibt, werdet ihr diese hier lesen.
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Disneys Datenmacht: Teil I
Disneys Datenmacht: Teil II
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.