Der Online-Datenschutz ist schon seit einiger Zeit für seine Schnelllebigkeit bekannt, was im Zuge der fortschreitenden Digitalisierung erstmal nicht weiter verwunderlich ist. Gerade das Thema Webseite tritt immer wieder mit neuen Schlagzeilen und Urteilen in den Vordergrund. Dieser Artikel soll sich in erster Linie mit der Cookie-Thematik und der Datenübermittlung in die USA befassen, wo viele Daten- und Verbraucherschützer nun aktiv werden.
Hintergrund: Schrems II und Cookies
Am 16.07.2020 hatte der Europäische Gerichtshof (EuGH) in einem Urteil (Az: C-311/18) das Privacy Shield-Abkommen zwischen der EU und den USA für unzulässig erachtet. Das Privacy-Shield bot Unternehmen in den USA die Möglichkeit, sich von der EU ein angemessenes Datenschutzniveau zertifizieren zu lassen, was es ihnen erlaubte, Daten von EU-Bürgern rechtmäßig zu verarbeiten. Das Problem: Die Gesetzeslage in den USA machte es den Unternehmen beinahe unmöglich, sich an die Anforderungen aus der DS-GVO zu halten. Geheimdienste und US-Behörden haben relativ einfach, einen in vielen Fällen ungehinderten Zugang zu den Daten erhalten. Weiterhin war es EU-Bürgern in der Regel nicht möglich, ihre Betroffenenrechte im Sinne der DS-GVO auszuüben. Darunter das Auskunftsrecht oder auch das Recht auf Vergessenwerden.
Das hat den Aktivisten Max Schrems dazu veranlasst, Klage gegen den Datentransfer einzureichen. Mit Erfolg: Der EuGH teilte seine Ansichten und kippte das Privacy-Shield.
Das hat den Aktivisten Max Schrems dazu veranlasst, Klage gegen den Datentransfer einzureichen. Mit Erfolg: Der EuGH teilte seine Ansichten und kippte das Privacy-Shield.
In der Folge wichen viele Unternehmen auf die sog. Standard Contractual Clauses („SCC“) aus, um weiterhin US-Dienstleister einsetzen und Daten in die USA transferieren zu können. Dies diente zunächst als „Notlösung“, denn nach dem Urteil herrschte für ein knappes Jahr eine gewisse Rechtsunsicherheit auf diesem Gebiet. Nun hat die EU-Kommission die SCC überarbeitet und einen Weg aufgezeigt, wie europäische Unternehmen auch weiterhin mit US-Unternehmen Daten austauschen können. Wie diese Lösung aussieht, erfahren Sie hier.
Doch zunächst zum zweiten großen Problem im Online-Datenschutz, den Cookies. Auch hierzu fällte der EuGH ein Urteil und das bereits im Oktober 2019 (Urt. v. 1.10.2019, Az. C-673/17). Hier bezog der EuGH zu einigen Unsicherheiten Stellung:
- Sind die gesetzten Cookies einwilligungspflichtig, so muss diese Einwilligung aktiv erfolgen. Die bis dahin gängige Praxis, einfach nur ein Informationsbanner anzuzeigen („Diese Website verwendet Cookies, mit der Weiternutzung der Website akzeptieren Sie diese.“) ist damit nicht mehr rechtskonform. Auch eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, gilt nicht als wirksam erteilte Einwilligung.
- Zudem müssen Besucher der Webseite nun über die Cookies informieren, insbesondere über die Funktionsdauer und die Weitergabe der Daten an Dritte.
Das Urteil wurde wie erwartet im Mai 2020 durch den Bundesgerichtshof (BGH) bestätigt und war damit auch in Deutschland offiziell rechtskräftig. Viele Webseitenbetreiber wollten aber nicht auf das Webseiten-Tracking verzichten, in der Folge wurden verschiedene, teils fragwürdige Cookie-Banner-Variationen entwickelt, um eine möglichst hohe Einwilligungsquote zu erzielen. Nun treten die Datenschutzbehörden, Max Schrems mit seiner Organisation noyb (None Of Your Business) und die Verbraucherschutzbehörden in Erscheinung, um das Urteil und damit die DS-GVO durchzusetzen.
Sie benötigen Unterstützung bei der Umsetzung der DS-GVO auf Ihrer Website?
Sprechen Sie uns gerne an und vereinbaren Sie ein Gespräch mit einem unserer Berater!
Aktuelle Abmahnungen und Beschwerden: noyb, Datenschutzbehörden & Verbraucherschutz
noyb vs Cookies
Angefangen mit noyb, die im Mai diesen Jahres angekündigt haben, bis zu 10.000 Websites zu scannen und eine entsprechende Beschwerde an die Unternehmen zu schicken. Zusätzlich erhalten diese Unternehmen eine Anleitung, wie der Cookie-Banner korrekt zu konfigurieren ist. Sollten die angeschriebenen Unternehmen die Missstände nicht innerhalb von einem Monat beheben, so reiche noyb eine offizielle Beschwerde bei einer Datenschutzbehörde ein. Die ersten 500 Beschwerden wurden bereits im Mai übermittelt, im August 2021 meldete sich Max Schrems dann zurück. Zwar wurden noyb zufolge 42% der Verstöße behoben, jedoch würden 82% der Unternehmen die Anforderungen der DS-GVO immer noch nicht vollständig umsetzen. Daher wurden rund 422 formale Beschwerden bei den Datenschutzschutzbehörden eingereicht. Nun möchte noyb an seinem Ziel festhalten, innerhalb eines Jahres die restlichen der rund 10.000 Seiten zu überprüfen und auch hier ggf. Beschwerde einzureichen.
Datenschutzbehörden vs Tracking
Auch die Datenschutzbehörden selbst werden aktiv, so gab die Berliner Behörde in einer Pressemitteilung bekannt, gegen Website-Betreiber mit rechtswidrigem Tracking vorgehen zu wollen. 50 Berliner Unternehmen haben bereits eine Aufforderung erhalten, die Website DS-GVO-konform zu gestalten. Im Fokus der Behörde steht auch hier die Notwendigkeit zur Einholung einer wirksamen Einwilligung, im Regelfall wird diese über den Cookie-Banner eingeholt.
Verbraucherschutz vs Cookies
Genauso die Verbraucherzentralen in Deutschland, diese haben vor Kurzem knapp 100 Unternehmen wegen rechtswidrigen Cookie-Bannern abgemahnt. Untersucht wurden über 900 Websites aus unterschiedlichen Branchen, darunter Reisen, Versicherungen oder die Fitness-Branche. Von den abgemahnten Unternehmen hätten rund zwei Drittel mittlerweile eine Unterlassungserklärung abgegeben.
Datenschutzbehörden vs intern. Datentransfer
Im Falle der internationalen Datenübermittlung, also insbesondere dem Einsatz von US-Dienstleistern (wie Google Analytics, Facebook, Mailchimp etc.) nach Schrems II, führen die deutschen Datenschutzbehörden aktuell länderübergreifende Kontrollen durch. Dazu erhalten Unternehmen einen Fragebogen zugeschickt, der sich u.a. mit dem Einsatz von E-Mail-Tools, Webhostern, Trackingtools und eingesetzten Dienstleistern zum Bewerbermanagement befasst.
Spezialfall: Wettbewerbsrecht
Abseits vom Datenschutz drohen Websitebetreibern bei Verstößen gegen den Datenschutz auf der Website wohl künftig auch wettbewerbsrechtliche Konsequenzen. Die Wettbewerbszentrale verklagte einen Betreiber von Fitnessstudios wegen eines unzulässigen Cookie-Banners. Das LG Frankfurt gab der Wettbewerbszentrale in allen Punkten recht (LG Frankfurt a.M., Urteil vom 19.10.2021, Az. 3-06 O 24/21 – nicht rechtskräftig), durch den irreführenden Cookie-Banner hätte sich das Unternehmen einen unzulässigen Vorteil ggü. dem Wettbewerb verschafft. Interessant hierbei: Das Unternehmen gab an, einen Dienstleister für den Betrieb der Website beauftragt zu haben, der den Cookie-Banner geändert habe, ohne es zu informieren. Unternehmer bleiben also für ihre Webseiten verantwortlich, auch dann, wenn der technische Betrieb ausgelagert wird an externe Agenturen.
Was jetzt zu tun ist – Cookies
Zum einen sollten Sie, falls noch nicht geschehen, ein Cookie-Banner nach den Vorgaben der DS-GVO auf Ihrer Website einbinden. Dabei ist auf folgende Dinge zu achten:
Was jetzt zu tun ist – Drittlandtransfer
Um Trackingtools wie Google Analytics, aber auch Dienste wie Google Maps oder YouTube weiterhin einsetzen zu können und damit Daten in die USA übertragen zu können, sollen Sie folgende Schritte einleiten:
Schritt 1 - Inventarisierung
Zunächst sollten Sie sich einen Überblick über die auf Ihrer Website eingesetzten Tools verschaffen. Eine solche Inventarisierung kann manuell oder auch mit einem automatisierten Scan erfolgen.
Schritt 2 - Alternative suchen
Anschließend sollten Sie für die identifizierten Tools nach einer europäischen Alternative suchen. Hier kann die Seite https://alternativeto.net/ eine gute Hilfestellung bieten. Diesen Vorgang sollten Sie dokumentieren und im Idealfall gemeinsam mit Ihrem Datenschutzbeauftragten durchführen, da er in der Regel über das notwendige Fachwissen verfügt. In einigen Fällen wird es schwierig werden, einen gleichwertigen europäischen Anbieter zu finden.
Schritt 3 - SCC schließen
Kommen Sie nach individueller Risikobewertung zu dem Schluss, dass der jeweilige Dienstleister weiterhin eingesetzt werden soll, sind die neuen Standarddatenschutzklauseln mit dem Anbieter abzuschließen. Bei neuen Verträgen müssen diese seit dem 27. September berücksichtigt werden, bei bestehenden Verträgen müssen diese bis spätestens zum 27. Dezember 2022 aktualisiert werden. Oftmals können diese im Mitgliederbereich des jeweiligen Dienstleisters akzeptiert werden.
Ausblick: TTDSG mit neuen Cookie-Regelungen
Am 21. Dezember 2021 soll ein neues Gesetz in Kraft treten, das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Damit soll nun endlich die ePrivacy-Richtlinie in deutsches Recht umgesetzt werden und die Rechtsunsicherheit bzgl. Cookies und vergleichbaren Tracking-Technologien beseitigen. Interessant sind hier die Regelungen in § 25 TTDSG, der sich mit der Speicherung von Cookies und der dafür erforderlichen Einwilligung beschäftigt, sowie die Regelungen in § 26 TTDSG, wo es um Dienste zur Einwilligungsverwaltung geht.
Der § 25 TTDSG bestätigt im Grunde die Urteile vom EuGH und BGH zur Cookie-Thematik, für Webseitenbetreiber ändert sich damit erstmal nichts.
Der § 26 TTDSG hingegen schafft eine Grundlage zur Einführung von sog. „Personal Information Management Services“ (PIMS). Bei solchen Diensten kann der User vorab seine präferierten Dienste auswählen, das Tool gibt diese Informationen dann an die jeweils besuchte Website weiter. Cookie-Banner würden auf Websites damit überflüssig werden. Ein solches Tool gibt es bisher allerdings noch nicht, was auch mit den hohen Anforderungen an dessen Anbieter zusammenhängt.
Fazit
Das Schrems II-Urteil und die Cookie-Thematik begleiten Webseitenbetreiber und Datenschützer schon seit einiger Zeit. Nun scheint für viele Behörden und Verbraucherschützer die Zeit gekommen, das Recht auch durchzusetzen. Ob hieraus tatsächlich eine neue Abmahnwelle entsteht, wird sich zeigen. Wie die aktuellen Entwicklungen aber zeigen, wird das Thema auch in Zukunft weiterhin auf der Tagesordnung stehen. Wenn Sie sich nicht sicher sind, ob Sie die Anforderungen der DS-GVO auf Ihrer Website umsetzen, kontaktieren Sie uns oder buchen Sie unseren Websitecheck.
Daniel Lüttgens