Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.
Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.
Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.
Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.
Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.
Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Nach Ansicht der hessischen Aufsichtsbehörde ist der Einsatz von Office 365 als Cloud-Lösung derzeit nicht datenschutzkonform möglich:
- Es wird dabei eine sehr große Menge an Telemetrie-Daten (Funktions- und Diagnosedaten, Textausschnitte oder Betreffzeilen von E-Mails etc.) an Microsoft übermittelt, deren Verwendungszweck nicht hinreichend von Microsoft dargelegt werden konnte.
- Es bleibt unklar, inwiefern die Daten der anlasslosen Massenüberwachung amerikanischer Sicherheitsbehörden ausgesetzt sind.
Derzeit ist ein Vorlageverfahren beim EuGH anhängig, in welchem geprüft wird, ob die Instrumente zur Datenübermittlung in die USA, wie der Angemessenheitsbeschluss der EU-Kommission („Privacy Shield“), einen ausreichenden Schutz für die Rechte und Freiheiten der betroffenen Personen bewirken (vgl. EuGH: Rechtssache C-311/18: Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 — Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems).
- Microsoft bietet seinen Kunden in Europa das Cloud-Modell durch die Option der deutschen Datentreuhand nicht mehr an. Dabei wurden die Zugriffe auf die Daten in der Cloud durch die T-Systems International GmbH überwacht.
Aufgrund dieser Punkte ist derzeit der Einsatz von Office 365 insbesondere im öffentlichen Bereich unzulässig, da „die digitale Souveränität staatlicher Datenverarbeitung“ hierdurch gefährdet würde.
Die Aufsichtsbehörden bemühen sich wohl, hier eine Lösung mit Microsoft zu finden. Laut der Aufsichtsbehörde in Mecklenburg-Vorpommern müssen sie jedoch „teilweise monatelang [auf Antworten von Microsoft] warten, da offenbar eine aufwendige microsoftinterne Abstimmung mit dem Hauptsitz in Redmond (USA) erforderlich“ ist (vgl. 14. TB der Aufsichtsbehörde MV, Ziffer 7.1.4, S. 30).
Sofern also auch namhafte Anbieter von Cloud-Lösungen sich nicht an die Vorgaben der DSGVO halten (können), werden deren Kunden ihre bereits etablierte Prozesse auch immer wieder umstellen müssen.
Denn, was für Microsoft gilt, gilt ebenso für die Cloud-Lösungen von Google und Apple.
Behörden und Unternehmen sollten dies bei der Beschaffung ihrer Technik daher immer berücksichtigen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Am 26.07.2019 hat das Security Team der A1 Digital den ersten Hackathon in Wien veranstaltet und ein Team der it.sec Penetrationstester war zur Unterstützung dabei.
Ein Hackathon oder auch hack day / hackfest ist ein Event mit einem definierten Ziel bzw. Fokus und kann genutzt werden um verschiedene Projekte und Ziele zu bearbeiten. Hierbei kann der Fokus auf der Entwicklung einer bestimmten Anwendung liegen oder auch auf der Entwicklung verschiedener Anwendungen mit derselben Funktion.
Beim Hackathon der A1 Digital wurde jedoch ein anderer Fokus gesetzt. Ziel war es einen Tag lang Seiten aus dem DACH-Raum zu analysieren und Schwachstellen zu identifizieren. Hierbei wurden nur Seiten in den Scope aufgenommen, welche auch eine offizielle Freigabe in Form eines Bug-Bounty-Programms hatten.
Neben dem Identifizieren von Schwachstellen ging es natürlich auch um den Austausch von Techniken und Vorgehensweisen sowie das Socializing bei Mate und Pizza.
Der erste Hackathon kann durchaus als sehr erfolgreich gewertet werden. Es wurden sowohl von Mitarbeitern der A1 Digital als auch von Mitarbeitern der it.sec verschiedene Schwachstellen identifiziert. Einige konnten leider nicht ausgenutzt werden oder waren nicht im Scope der Bug-Bounty-Programme, andere jedoch warten aktuell auf eine Bewertung durch den jeweiligen Anbieter - hoffentlich dann auch mit der Auszahlung eines Bounties.
Da der erste Hackathon auf ganzer Linie ein Erfolg war, wird es sicher einen 2. Hackathon bei der A1 Digital geben und vielleicht auch einen weiteren bei der it.sec.
Wir bedanken uns bei allen Teilnehmern und freuen uns auf den nächsten Hackathon!
Michael Bieder, BSc
IT-Security Consultant