Datenschutz

Aktuell haben verschiedenen deutsche Datenschutzbehörden in Form einer Pressemitteilungen,  darauf hinweisen, dass Analyse-Dienste wie Google Analytics nur mit Einwilligung nutzbar sind.

So etwa die Behörde aus Hamburg:

https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics

Wir raten Betreibern von Webseiten daher dringend Ihre Webseite diesbezüglich zu überprüfen und ggf. zu überarbeiten.

Es ist davon auszugehen, dass in Zukunft vermehrt Bußgelder diesbezüglich ausgesprochen werden.  

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bereits gegen mehrere Webseiten-Betreiber Bußgeldverfahren eingeleitet.

Achtung! Voraktivierte Kästchen bei Einwilligungserklärungen sind nicht zulässig.

Sollten Sie Hilfe bei der Umsetzung zum Datenschutz haben sind wir Ihnen gerne behilflich.

 

Aktuell wurden gleich zwei Bußgelder in Millionenhöhe durch die Datenschutzbehörden ausgesprochen.

So hat  die Österreichische Datenschutzbehörde ein Bußgeld gegen Österreichische Post in Höhe von 18 Millionen Euro ausgesprochen.  Gemäß  der Pressemitteilung erklärt die Behörde,  dass die ÖPAG (österreichische Post)  unerlaubt die politische Affinität von Betroffenen verarbeitet haben soll. Hinzu kamen weitere Datenschutzverletzungen.  So wurde etwa eine Rechtsverletzung wegen der Weiterverarbeitung von Daten über die Paketfrequenz und die Häufigkeit von Umzügen zum Zweck des Direktmarketings festgestellt, da dies keine Deckung in der DSGVO findet.

Die Entscheidung ist nicht rechtskräftig.

Laut Bild Zeitung wurde gegen die deutsche Wohnen ein Bußgeld in Höhe von 14.5 Millionen Euro verhängt. So sei bereits Juni 2017 festgestellt worden, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert habe, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Auch diese Entscheidung ist nicht rechtskräftig.

Sowohl die Gründe als auch due Höhe sollten Unternehmen zum Anlass nehmen, ihr Unternehmen im Bereich Datenschutz noch einmal überprüfen zu lassen, sofern noch nicht geschehen.

Gerne stehen Ihnen unsere Rechtsanwälte mit Rat und Tat zur Verfügung.  Unsere Kanzlei berät und vertritt regelmäßig Unternehmen im Bereich Datenschutz und unterstützt diese bei Beantwortung von Behördenschreiben und Ähnlichen.

Erst der EuGH, jetzt das Bundesverwaltungsgericht:

Der EuGH hatte bereits im Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind.  Nur drei Monate später hat dann die Datenschutzkonferenz ihren Beschluss zu dem Thema veröffentlicht, und darin festgestellt, dass Facebook-Fanpages illegal seien, weil es keine Vereinbarung mit Facebook gebe. Zwar hat Facebook darauf reagiert, aber der Verbraucherzentrale, der Bundestagsfraktion der Grünen und auch der Berliner Datenschutzbehörde reichte das nicht aus. Daher wurden Anhörungsschreiben an Fanpage-Betreiber versendet.

Hierzu hat nun das BVerwG verhandelt und entschieden (Urt. v. 11.09.2019, Az. 6 C 15.18):

Auch die Betreiber von Fanpages können bei Datenschutzverstößen belangt werden.

Dabei ging das BVerwG auf einer Linie mit dem EuGH, und machte Betreiber von Fanpages mitverantwortlich für die Sammlung von Nutzerdaten im Hintergrund. Nach Ansicht der Datenschutzbeauftragten Schleswig-Holsteins, Marit Hansen, sei dieses Urteil „Rückenwind für den Datenschutz“. Es dürfte sie daher freuen, dass das BVerwG der Ansicht ist, dass Datenschützer Betreiber von Fanpages bei schwerwiegenden datenschutzrechtlichen Mängeln zur Abschaltung der Unternehmensseite verpflichten dürfen.

Das Verfahren ist allerdings schon vor Jahren ins Rollen gekommen. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte 2011 die Wirtschaftsakademie Schleswig-Holstein zur Deaktivierung ihrer Fanpage aufgefordert, da bei dem Besuch der Seite ohne vorige Information des Nutzers dessen Daten erhoben wurden. Die datenschutzrechtliche Verantwortung liege (auch) bei der Akademie, trotz der Tatsache, dass die technische Infrastruktur ja komplett von Facebook stammte.

Die Klage der Akademie gegen diesen Bescheid war zunächst erfolgreich, doch das BVerwG legte den Fall dem Europäischen Gerichtshof (EuGH) vor. Die Entscheidung ist bekannt: der Betreiber einer Fanpage ist für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich.

Das Argument, dass die Datenverarbeitung von Facebook aufgedrängt werde und nicht steuerbar sei, war anscheinend unbeachtlich, denn für die Bundesrichter zählte nur, dass der Betreiber einen Beitrag zu der Datenerhebung leistet und nur als „Türöffner“ dient.

Marit Hansen soll angekündigt haben, Facebook jetzt weiter auf datenschutzrechtliche Verstöße zu prüfen.

Welche Konsequenzen dies alles nun für die Fanpage Betreiber haben wird, hängt wohl maßgeblich davon ab, ob und wie Facebook auf diese Rechtsprechung reagieren wird.

 

Das Landgericht Dresden, Urteil vom 11.01.2019, Az.: 1a O 1582/18 hat entschieden, dass  die Nutzung von Google Analytics  ohne den Zusatz „anonymizeIP“   eine Datenschutzverletzung darstellt.

Geklagt hatte ein Verbraucher, der das gewerbliche Internetportal der Beklagten aufgesucht hatte. Auf der Webseite war Google Analytics  installiert. Dies aber ohne den Zusatz „anonymizeIP“, sodass die IP-Adresse des Klägers an Google  weitergeleitet wurde.

Der Kläger klagte auf Unterlassung und Auskunft. Die Beklagte meinte, das Vorgehen des Verbrauchers sei rechtsmissbräuchlich, da er ein von ihm entwickeltes IP-Tool einsetze, um massenhaft fehlende Hinweise auf eine Anonymisierung von IP-Adressen im Rahmen von Google Analytics  zu ermitteln.  Auch hätte der Kläger selbst Maßnahmen ergreifen können, damit seine IP-Adresse nicht übermittelt werde, zum Beispiel eine entsprechende Einstellung in seinem Browser vornehmen.

Dies überzeugte das Landgericht jedoch nicht. Es stellte fest, dass die Verwendung von Google Analytics  ohne die Erweiterung „anonymizeIP“  datenschutzwidrig sei und  den Kläger in seinem allgemeinen Persönlichkeitsrecht (Artikel 2 Grundgesetz) verletze.

 Der Geltendmachung der Ansprüche sei auch nicht rechtsmissbräuchlich.  So habe der Kläger die Beklagte außergerichtlich selbst angeschrieben und zur Unterlassung aufgefordert. Er habe somit gerade keinen Kostenersatz verlangt. Hätte die Beklagte die außergerichtlich verlangte strafbewehrte Unterlassungserklärung abgegeben, so hätte sie sämtliche Kosten vermeiden können.

Auch sei die Beklagte  und nicht der Kläger verpflichtet, dass nur solche Daten verarbeitet  und an Dritte weiterzuleitet werden, bei denen auch eine Rechtsgrundlage bestünde.

Der Streitwert wurde auf 6.000 € festgesetzt.

Webseitenbetreiber, die google Analytics einsetzen, sollten daher darauf achten, dass die IP Adressen anonymisiert werden. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich.

Sie haben Fragen zum Datenschutz? Wir helfen Ihnen!

Neben seiner Tätigkeit als Rechtsanwalt ist Herr Dr. Schenk auch als externer Datenschutzbeauftragter tätig.