Auf der Basis der Ergebnisse hat die Artikel-29-Gruppe im September 2014 einen Maßnahmen-Katalog an
Google übersandt, mit dem die Einhaltung der gesetzlichen Vorschriften sichergestellt werden kann. Diese
Empfehlungen betreffen drei Bereiche:
-
Die Information der Nutzer muss umfassend und in eindeutiger Sprache verfasst sein sowie alle verarbeiteten Daten und Verarbeitungszwecke benennen. Vorzugsweise sollten die Informationen in einer mehrstufi gen Struktur präsentiert werden.
-
Die Kontrolle durch die Nutzer muss durch die leichtere Auffindbarkeit des vorhandenen Dashboards verbessert werden, auf dem die Nutzer die Datenschutzeinstellungen nach ihren Vorstellungen vornehmen können. Die Voreinstellungen sollen datenschutzfreundlich sein. Vor allem darf die Verknüpfung der personenbezogenen Daten aus verschiedenen Google-Diensten nur mit informierter Einwilligung des betroffenen
Nutzers erfolgen. Denn im Anschluss werden die ausgewerteten Daten für Werbezwecke genutzt. Davon
betroffen sind auch Daten von Nutzern, die keinen Google-Account haben und lediglich die Suchmaschine
nutzen oder Websites von Dritten mit Google-Cookies besuchen.
-
Zuletzt wird Google aufgefordert, Richtlinien für die Speicherung der Nutzer-Daten zu definieren und den
europäischen Datenschutzbehörden zu übermitteln.
Eine Stellungnahme von Google stand bei Redaktionsschluss noch aus.
Die Artikel-29-Gruppe hat die Aktualisierung des Microsoft Service Agreement einschließlich der Datenschutzgrundsätze zum Anlass genommen, die Datenschutzbehörden von Luxemburg und Frankreich mit der Prüfung
der neuen Privacy Policy zu beauftragen. Von der Aktualisierung sind sämtliche Dienste von Microsoft betroffen, etwa Hotmail, Microsoft-Konto, Windows Live Messenger, Windows-Fotogalerie, Bing, MSN und Office.
Einige der anhand eines Fragenkatalogs erarbeiteten Empfehlungen hat Microsoft bereits umgesetzt, andere
- wie die Verbesserung der Information der Nutzer über den gesamten Verarbeitungsprozess ihrer Daten und die
transparentere Gestaltung der Datenschutzeinstellungen - stehen noch aus. Microsoft hat angekündigt, eine nutzerfreundliche Datenschutzstruktur in Form eines Dashboards zu installieren, damit Nutzer problemlos auf ihre
Daten zugreifen und Einstellungen vornehmen können. Auch hier werde ich den weiteren Fortgang beobachten.
In beiden Verfahren fand eine konstruktive und enge Kooperation unter den europäischen Datenschutzbehörden
statt, die hoffentlich zeitnah zu einem erfolgreichen Abschluss der Verhandlungen mit Google und Microsoft
führen wird.
8.9.3 Der datenschutzkonforme Betrieb von Websites bei Bundesbehörden ist nicht selbstverständlich
Wie ich bei Kontrollen von Bundesbehörden-Websites feststellen musste, werden grundlegende Datenschutzvorgaben nicht immer eingehalten oder korrekt umgesetzt.
Gemäß § 13 Absatz 1 Telemediengesetz (TMG) muss die Datenschutzerklärung so gestaltet sein, dass ihr Inhalt
für den Nutzer jederzeit und von jeder Stelle des Internetangebotes aus direkt abrufbar ist. Diesen Vorgaben
wird z. B. dann Genüge getan, wenn sich der Menüpunkt „Datenschutz“ auf der obersten Ebene der Meta-Navigation befindet. Dies war bei einigen Internetangeboten von Bundesbehörden nicht gegeben. Vielmehr wurde
- selbst bei neu gestalteten Websites - die Datenschutzerklärung inhaltlich als Teil des Impressums ausgeführt,
ohne dass ein direkter Zugriff über die Meta-Navigation möglich war. Ich habe die Bundesbehörden gebeten,
ihre Internetangebote zu prüfen und gegebenenfalls anzupassen. Dennoch ist mir bei einer späteren Kontrolle
– 160 –
BfDI 25. Tätigkeitsbericht 2013-2014