[datensicherheit.de, 10.01.2013] Mit der nach wie vor wachsenden Ausbreitung des Social-Media-Marketings und -Commerce geht auch der Trend einher, Soziale Erweiterungsmodule auf Unternehmenswebsites direkt einzubinden. Bei diesen sogenannten „Social-Plugins“ integrieren Internetseiten-Betreiber einfach kleine Anwendungen mit minimalen Programmieraufwand im eigenen Portal (bspw. facebook: „Gefällt mir“-Button, twitter: „Tweet“-Button oder Google+: „+1“-Button). Verkannt wird dabei aber zumeist, so Rechtsanwalt Dr. Sami Bdeiwi, dass die Integration solcher Plugins in die Websites deutscher Anbieter datenschutzrechtlich problematisch ist. In seinem aktuellen Gastbeitrag stellt Dr. Bdeiwi dar, welche datenschutzrechtlichen Bedenken bei der Verwendung von solchen Plugins bestehen und welche Möglichkeit zur datenschutzkonformen Einbindung verbleibt:

Datenschutzrechtliche Bedenken

Eine Einwilligung zur Datenerhebung – § 4a Bundesdatenschutzgesetz und § 13 Abs. 2 Telemediengesetz – liegt in den meisten Fällen der Verwendung von Social-Plugins nicht vor. Dies erst recht nicht vor dem Hintergrund, dass Soziale Netzwerke bereits durch das Aufrufen einer Internetseite mit dem entsprechenden Plugin die IP-Adresse des Internetnutzers erhalten, selbst wenn der Plugin-Button nicht angeklickt wird.
Das Soziale Netzwerk kommuniziert aufgrund der Einbindung des Plugins mit dem Internetnutzer so, als hätte der Internetnutzer von vornherein die Website des Sozialen Netzwerks angesteuert. Neben der URL der besuchten Internetseite kann dabei eine Kennung übertragen werden, die zumindest bei im jeweiligen Netzwerk angemeldeten Nutzern direkt mit einer Person verknüpft werden kann. Wenn der Nutzer mit den Plugins interagiert, wird die entsprechende Information ebenfalls direkt an einen Server des jeweiligen Netzwerks übermittelt und dort gespeichert. Diese Informationen werden zudem auf dem jeweiligen Netzwerk veröffentlicht. So können die Netzwerkbetreiber komplette Surfprofile ihrer Nutzer erstellen. Eine Verknüpfung mit einer Person oder die Übermittlung von Informationen bezüglich der Interaktion kann nur durch Ausloggen aus dem jeweiligen Netzwerk vor Nutzung des Plugins verhindert werden.

Datenschutzkonforme Einbindung

Die meisten Internetseiten-Betreiber, die Social-Plugins verwenden, beschränken sich darauf, auf die vorbenannten Umstände zur Datenübermittlung in ihren Datenschutzbestimmungen hinzuweisen. Daneben erfolgt der Hinweis, dass Einzelheiten zu Zweck und Umfang der Datenerhebung sowie die weitere Verarbeitung und Nutzung der Daten durch die Netzwerke, aber auch den diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutz der Privatsphäre der Nutzer, den Datenschutzhinweisen des Betreibers des entsprechenden Netzwerks entnommen werden kann, flankiert mit den Hyperlinks zu den entsprechenden Bedingungen des jeweiligen Netzwerks.
Ignoriert wird dabei, dass die Datenschutzbeauftragten des Bundes und der Länder anlässlich der „82. Datenschutzkonferenz“ bereits am 28./29. September 2011 konstatiert haben, dass neben der hinreichenden Information der Internetnutzer (siehe oben) aber auch die Einräumung eines Wahlrechts bei der Implementierung von Social-Plugins erforderlich ist. Die aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise sei unzulässig, wenn bereits durch den Besuch einer Internetseite und auch ohne Klick auf den jeweiligen Button eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.
Daher wurde in der Folgezeit eine Vielzahl kreativer Lösungen entwickelt, um eine technische Möglichkeit der Einwilligung bzw. der Einräumung des Wahlrechts zu schaffen. So zeigt bspw. der sogenannte „2-Click-Button“, der mittlerweile von vielen Internetseiten-Betreibern umgesetzt wird, eingebundene Drittinhalte erst nach einem ausdrücklichen Klick des Nutzers auf einen datenschutzrechtlichen unbedenklichen Dummy an. Dabei sind die Plugin-Buttons standardmäßig ausgeschaltet und somit werden beim Laden der Internetseite keine Daten übertragen. Wenn der Nutzer eines der Netzwerke nutzen will, muss er zunächst den gewünschten Button aktivieren. Erst wenn er einen Button aktiviert hat, wird die Verbindung mit dem Netzwerk hergestellt, so dass er mit einem zweiten Klick seine Empfehlung übermitteln kann. Vereinzelt wird dabei noch die Möglichkeit eingeräumt, die dauerhafte oder temporäre Aktivierung auszuwählen, wobei nach diesseitiger Ansicht eine Zustimmung bei jedem Besuch einer Internetseite neu erteilt werden müsste.

Dr. Sami Bdeiwis Praxisempfehlung

Auch wenn, um der sogenannten „2-Click-Button“-Lösung zu entsprechen, nicht unerhebliche und deutlich umfangreichere technische Eingriffe als bei der bloßen Einbindung von Social-Plugins in die Internetpräsenz des jeweiligen Betreibers erforderlich sind, wird empfohlen, diese Hürde zu nehmen. Bei der Verwendung von Social-Plugins im Rahmen des Social-Media-Marketings und -Commerce kann nach diesseitiger Auffassung nur durch die sogenannte „2-Click-Button“-Lösung eine datenschutzkonforme Einbindung von Social-Plugins gewährleistet werden.

Foto: Kanzlei volke2.0., Lünen

Dr. Sami Bdeiwi empfiehlt die sogenannte „2-Click-Button“-Lösung

Der Autor:

Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er betreut Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®

[datensicherheit.de, 30.11.2012] Rechtsanwalt Dr. Sami Bdeiwi nimmt in einem aktuellen ds-Gastbeitrag Stellung zur Einbringung und Nutzung privater Endgeräte in die Unternehmensstruktur – im Englischen Bring Your Own Device (BYOD) genannt:

BYOD ist zur Zeit in aller Munde und nach wie vor der Trend in der IT-Welt. In diesem Kurzbeitrag wird dargestellt, warum es diesen Trend gibt und welche Gefahren er für den Datenschutz und die Datensicherheit birgt; abschließen wird der Beitrag mit einer Praxisempfehlung.

Warum es BYOD überhaupt gibt

Die Gründe für BYOD und das nach wie vor steigende Interesse daran sind mannigfaltig: Der Mitarbeiter, der im und für das Unternehmen seinen eigenen PC, Laptop, Tablet oder – immer häufiger – sein eigenes Smartphone nutzen darf, hat sich das Endgerät zumeist selbst ausgesucht, fühlt sich damit wohl und will so schnell und unkompliziert wie möglich auf die für ihn relevanten Daten zugreifen.
Das Unternehmen spart sich etwaige Anschaffungskosten und kann seinen Mitarbeiter, der das Gerät schließlich auch privat nutzt, zumeist ständig erreichen. Auch dürfte ein Mitarbeiter, der mit dem ihm vertrauten Material arbeiten darf, auch motivierter und produktiver sein. Sollte BYOD nicht der Unternehmensphilosophie entsprechen oder gar von dem Unternehmen gewollt sein, so wird es in der Praxis doch zumeist geduldet.

Möglicher Widerspruch zum Datenschutz und zur Datensicherheit

Von Arbeitgebern und Arbeitnehmern wird häufig nicht beachtet, dass BYOD zu einer Fülle von Problemen führen kann: Hervorgehoben sei der für den Datenschutz und die Datensicherheit wichtigste Aspekt – und zwar, dass naturgemäß jedes BYOD-Gerät auch mit einer Software aufgespielt ist und sich bei einem Gerät, welches privat angeschafft wurde und auch in der Freizeit genutzt wird, zumeist auch private Daten befinden. Dies führt dann zu Folgeproblemen, von denen die wichtigsten nachfolgend kurz angerissen werden.

1. Problem: Software-Lizenzierung
   Häufig findet eine unlizenzierte Nutzung der privaten Software durch den Mitarbeiter statt. Dies ist deswegen problematisch, da der Mitarbeiter mit dieser Software auch dienstliche Daten bearbeitet. Sollte bei dem Unternehmen eine Lizenzprüfung erfolgen, kann es für den Verstoß haftbar gemacht werden. Denn grundsätzlich sind nicht die Eigentumsverhältnisse an dem Gerät, sondern die Nutzung des Geräts ist entscheidend für die Verantwortlichkeit.
2. Problem: Vermengung privater und beruflicher Daten
   Da in der Praxis keine Umsetzung der strikten Trennung von privaten und beruflichen Daten auf BYOD-Geräten existiert, werden entsprechende Daten auch vermengt. Infolgedessen können Szenarien entstehen, in denen die jeweils anderen Daten mit ausgewertet werden. So können beispielsweise bei Audits der Softwarehersteller oder strafrechtlichen Durchsuchungen beim Unternehmen auch die private Daten des Mitarbeiters beleuchtet werden. Umgekehrt können bei einer Durchsuchung der privaten Daten auch die beruflichen Daten betroffenen sein. Insofern droht bei der Verletzung datenschutzrechtlicher Vorschriften die Verhängung empfindlicher Bußgelder.
3. Problem: Erhöhtes Angriffspotenzial
   Eine Einbindung der BYOD-Geräte in unternehmensweite Sicherheitssysteme findet in der Praxis zumeist nicht statt. Auch IT-Richtlinien, sofern vorhanden, berücksichtigen diese Geräte in der Regel nicht. Daher bieten BYOD-Geräte eine große Angriffsfläche für Hacker und Viren. Der Verlust aller Daten droht ebenso wie imageschädigende Veröffentlichungspflichten.

Foto: Kanzlei volke2.0., Lünen

Dr. Sami Bdeiwi empfiehlt den Unternehmen u.a. eine eigene BYOD-Policy

Dr. Sami Bdeiwis Praxisempfehlung

Ob der datenschutz- und datensicherheitsrechtlichen Bedenken ist davon auszugehen, dass der Trend BYOD weiter zunimmt, weil die IT-Innovationen immer mehr aus dem Endverbraucherbereich als aus den IT-Unternehmen kommen.
Um den oben genannten Gefahren zu begegnen, empfiehlt es sich, dass Problem progressiv anzugehen. Das heißt zum einem, dass Mitarbeiter, die BYOD-Geräte nutzen, sensibilisiert werden müssen. Dies kann beispielsweise durch Inhouse-Schulungen und Fortbildungen gewährleistet werden. Zum anderen muss ein Augenmerk auf ein Update der IT-Richtlinien gelegt werden. Empfehlenswert ist insofern auch eine eigene BYOD-Policy, die sich über die entsprechenden Verpflichtungen verhält. Optimalerweise wird eine Partionierung der Endgeräte umgesetzt, die Daten der betrieblichen und beruflichen Nutzung strikt getrennt. Denkbar ist auch eine Virtualisierung des Zugriffs, wonach berufliche Daten sich nie auf dem BYOD-Gerät befinden.

Der Autor:
Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er betreut Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®