Einsatz von Facebook Custom Audiences – rechtswidrig?

Geschrieben am 13. Oktober 2015 von Dr. Frank Eickmeier

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“ werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 % aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.

EuGH erklärt Safe Harbor-Abkommen für ungültig

Geschrieben am 8. Oktober 2015 von Dr. Petra Hansmersmann

Der Europäische Gerichtshof (EuGH) hat am 6.10.2015 in einem mit Spannung erwarteten Urteil das Safe Harbor-Abkommen für ungültig erklärt.

Eine Übermittlung von personenbezogenen Daten an eine Stelle außerhalb der EU bzw. des EWR ist grundsätzlich nur dann erlaubt, wenn in diesem außereuropäischen Staat ein ausreichendes Datenschutzniveau besteht. Für Übermittlungen in die USA wurde häufig Rückgriff auf das Safe Harbor-Abkommen genommen. Dies ist eine Entscheidung der EU-Kommission (2000/520/EG), die festgestellt hat, dass ein ausreichendes Schutzniveau besteht bei einer Datenübermittlung an US-Unternehmen, die der Kontrolle des US-Handelsministeriums unterliegen, die Grundsätze des Safe Harbor anerkennen und sich entsprechend zertifizieren. Dementsprechend haben sich viele große US-Unternehmen diesen Regelungen unterworfen und sich entsprechend zertifiziert.

(mehr …)

Verhandlungen zur EU-Datenschutzreform treten in Schlussphase ein

Geschrieben am 3. Juli 20153. Juli 2015 von Dr. Petra Hansmersmann

Die seit geraumer Zeit bereits stattfindenden Verhandlungen zu einer Reformierung des EU-Datenschutzrechts treten in die Schlussphase ein: Nach der EU-Kommission und dem EU-Parlament hat sich am 15.6.2015 nun auch der Rat der EU auf eine Verhandlungsposition geeinigt, so dass nun die als „Trilog“ bezeichnete Verhandlungsphase beginnt, in der die EU-Institutionen versuchen werden, eine gemeinsame Position zu finden. Ziel ist es, diese Verhandlungen bis Ende 2015 abzuschließen, damit die Verordnung dann im Jahr 2018 in Kraft treten kann.

Worum geht es und was erwartet uns?

Bisher war die EU im Bereich Datenschutz nur über Richtlinien aktiv, die von den EU-Mitgliedstaaten zunächst noch in nationales Recht umgesetzt werden müssen. Bei dem jetzt verhandelten Gesetzesvorhaben handelt es sich hingegen um eine Verordnung, die mitunter auch als EU-Gesetz bezeichnet wird, weil sie direkt anwendbares EU-Recht darstellt, das keiner weiteren Umsetzung bedarf.

(mehr …)

Trackingtechnologien und Datenschutz

Geschrieben am 25. Juni 2015 von Dr. Frank Eickmeier

In jüngster Zeit entwickeln sich immer mehr neue Trackingtechnologien, die als Alternativen zum Cookie zur Verfügung stehen. Nicht zuletzt durch die e-Privacy Richtlinie der EU versuchen immer mehr Marktteilnehmer, alternative Möglichkeiten auszuloten. Das Cookie ist daher längst nicht mehr die einzige Technologie, die für ein Tracking zur Verfügung steht. Die Stichworte sind „Fingerprinting“, „Local Storage“, eTags, etc.

Um die datenschutzrechtlichen Probleme bei dem Einsatz alternativer Trackingtechnologien besser einschätzen zu können, erscheint es hilfreich, zunächst einmal die datenschutzrechtlichen Grundlagen anzusprechen, die in der Onlinemarketingbranche zur Anwendung gelangen.

Die einschlägigen Gesetze, nämlich das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG), unterscheiden dabei zwischen unterschiedlichen Arten von Daten.

(mehr …)

IP- Adressen: Das Jahr der Entscheidung

Geschrieben am 20. Februar 2015 von Dr. Frank Eickmeier

Vor kurzem hat der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vorgelegt, ob es sich bei IP-Adressen um personenbezogene Daten im datenschutzrechtlichen Sinne handelt (BGH-Beschluss vom 25.10.2014, VI ZR 135/13). Damit kommt es endlich zu einer europaweiten, höchstrichterlichen Rechtsprechung zu dem altbekannten Thema der Onlinebranche, ob IP-Adressen personenbezogen sind oder nicht.

Die Frage ist deshalb von kaum zu überschätzender Bedeutung, weil praktisch jede Onlinetechnologie in irgendeiner Form auf IP-Adressen zurückgreift. Adserver benötigen die IP-Adresse, um Werbung auszuliefern, Re-Targeting-Anbieter können ihr Geschäftsmodell praktisch nicht umsetzen, würden sie nicht auf IP-Adressen zurückgreifen, Geotargeting funktioniert ohne die IP-Adresse nicht, usw.

Warum ist diese Frage wichtig?

Warum ist die Frage wichtig, ob IP-Adressen personenbezogen sind oder nicht? Wären sie personenbezogen, würde jede Übertragung, Verarbeitung oder Speicherung einer IP-Adresse der vorherigen Zustimmung der betroffenen Person bedürfen. Sind sie dagegen nicht personenbezogen, kann jedermann im Rahmen seines Geschäftsmodells auf IP-Adressen zurückgreifen, ohne dass dies der Zustimmung z. B. der User z.B. einer Webseite bedarf: Nach § 12 Abs. 1 Telemediengesetz (TMG), darf „… der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, … es erlaubt oder der Nutzer eingewilligt hat.“ (mehr …)

2von2
« Zurück
1
2

Online-Marketingrecht

Der Blog rund um alle Rechtsthemen im Bereich Datenschutz, Online & Mobile Marketing und Social Media

Schlagwort: personenbezogene Daten

EuGH erklärt Safe Harbor-Abkommen für ungültig

Verhandlungen zur EU-Datenschutzreform treten in Schlussphase ein

Trackingtechnologien und Datenschutz

IP- Adressen: Das Jahr der Entscheidung