Datenschutz

Der Einsatz von Google Analytics stellt Webseitenbetreiber nach wie vor vor datenschutzrechtliche Fragen.

Hierzu hat nun die Datenschutzkonferenz (DSK) ein aktuelles Grundsatzpapier herausgebracht.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Zwar haben die Stellungnahmen der DSK keinen verbindlichen Charakter, doch kann ihnen entnommen werden, wie die datenschutzrechtlichen Grundsätze der Behörden gehandhabt werden. Die Überprüfung unterliegt allerdings auch nach wie vor den Gerichten.

Die DSK geht grundsätzlich davon aus, dass Google Analytics theoretisch datenschutzkonform einsetzbar ist.

Danach ist als Rechtsgrundlage für den Einsatz des Analysetools nur die Einwilligung des Nutzers einschlägig. Die Rechtfertigung über das sog. „berechtigte Interesse“ des Verwenders (Art. 6 Abs. 1 f) DSGVO) kommt indes nicht in Betracht.


Mit einfachen Worten ausgedrückt bedeutet das: in jedem Fall muss nach Ansicht der DSK die Einwilligung des Nutzers vor dem Einsatz von Google Analytics eingeholt werden.


Die DSK stellt auch Mindestvoraussetzungen an diese Einwilligung auf:

 

Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete

Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit

verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die

Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym

sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen

Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um

Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und

Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit

verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne

Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,

vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine

Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der

Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine

Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das

bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und

eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne

dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an

die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen

Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die

Einwilligung nicht freiwillig und damit unwirksam ist. „

 

Die DSK erteilt des Weiteren konkrete Gestaltungshinweise:

 

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. – Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

 

Nach Ansicht der DSK muss zudem auch jeder Webseite eine Opt-Out-Möglichkeit vorgehalten werden. Dabei sei der bloße Hinweis auf die Möglichkeit der Deaktivierung von Google Analytics über das Browser-Add-On nicht allein nicht ausreichend.

 

Generell ist zu sagen, dass der Einsatz von Google Analytics bereits deswegen nur scheinbar rechtskonform möglich ist, weil die Einwilligung des Nutzers „informiert“ erfolgen muss. Der Nutzer muss also vor der Einwilligung genau erfahren können, was mit seinen Daten geschieht. Da Google diese Angaben jedoch selbst nicht herausgibt, ist jede Einwilligung bereits per se schon nicht vollständig informiert.

Wir empfehlen jedoch, wenigstens die Vorgaben der DSK umzusetzen.

Gerne sind wir Ihnen bei der Umsetzung behilflich und beraten Sie zu dem Thema.

 

Das Problem ist bekannt: Google Analytics auf der eigenen Webseite einzusetzen ohne die Einwilligung des Nutzers eingeholt zu haben, ist unzulässig und kann geahndet werden.

Viele Landesdatenschutzbehörden haben sich dahingehend auch schon zu Wort gemeldet.

Nun hat sich auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz) dazu positioniert. Er folgt der herrschenden Rechtsprechung des EuGH zum Thema Cookies, wonach die Verwendung von Google Analytics immer einer Einwilligung bedarf. Es sind seitens des LfDI Rheinland-Pfalz wohl auch schon erste Untersagungsanordnungen wegen des Einsatzes von Google Analytics ohne Einwilligung erlassen worden.

Grundsätzlich darf nach Art. 6 DSGVO eine Verarbeitung von personenbezogenen Daten nur stattfinden, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO) oder eine gesetzliche Ermächtigung (Art. 6 Abs. 1 lit. b-f DSGVO) vorliegt.

Für Google Analytics kommt daher die Einwilligung des Webseitennutzers (Art. 6 Abs. 1 lit. a DSGVO) oder aber eine Rechtfertigung aufgrund der Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) in Betracht.

Der Diskurs der Vergangenheit, wonach teilweise die wirksame Anonymisierung der IP-Adresse als ausreichend betrachtet wurde, um das berechtigte Interesse des Verantwortlichen überwiegen zu lassen ist mittlerweile überholt. Mittlerweile wird einhellig davon ausgegangen, dass Webanalyse- oder Trackingtools immer nur mit der Einwilligung des Betroffenen verwendet werden dürfen, auch wenn eine Anonymisierung durch „Google universal“ vorliegt.

Nach Aussage des LfDI Rheinland-Pfalz sind daher zwischenzeitlich schon Untersagungsanordnungen an Webseitenbetreiber erlassen worden. Webseitenbetreiber wurden angewiesen, Ihre Webseite datenschutzkonform anzupassen und den Einwilligungsvorbehalt einzuführen.

Wir können daher nur erneut dringend davon abraten, Webseitenanalyse oder Tracking ohne Einwilligung zu betreiben.

Gerne beraten wir Sie zu dem Thema! Unsere Rechtsnwälte sind auf den Bereich des Dantenschitz spezialsiiert. Herr Rechtsanwalt Dr. Stephan Schenk und Frau Rechtsanwältin Agnieszka Schenk sind zudem zertifizierte Datenschutzbeauftragte (DSB-TÜV).

Das Verwaltungsgericht Mainz hat durch  Urteil vom 20.02.2020 , Az.: 1 K 476/19.MZ entschieden, dass die Abtretung einer Arzt-Forderung an eine ärztliche Verrechnungsstelle auch ohne Einwilligung des Kunden erlaubt ist.

Mögliche Rechtsgrundlagen sind zum einen der geschlossene Vertrag (Art. 6 Abs.1 b DSGVO) und zum anderen das berechtigte Interessen (Art. 6 Abs.1 f) DSGVO).

Der Kläger ist Tierarzt und hatte mit der ärztlichen Verrechnungsstelle einen Vertrag geschlossen, nachdem er seine Forderung abtritt, sobald der Kunde mit der Bezahlung in Verzug ist.

Zu diesem Zweck schlossen die Parteien auch  eine Vereinbarung über die Auftragsdatenverarbeitung (Auftragsverarbeitungsvertrag).

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)  sah hierin einen DSGVO-Verstoß und sprach daher eine Verwarnung aus.

Hiergegen ging der Arzt vor

Das Verwaltungsgericht Mainz  gab dem Arzt nun Recht.

Bis die ärztliche Verrechnungsstelle die Forderung als eigene ausgebe, liege eine Auftragsdatenverarbeitung vor. Daher hätten die Parteien zurecht eine entsprechende Vereinbarung abgeschlossen.

Sobald die Rechte an der Verbindlichkeit auf die Verrechnungsstelle übergangen seien, sei die Datenverarbeitung durch Art. 6 Abs.1 b) DSGVO (Verarbeitung zu Vertragszwecken) und aus Art. 6 Abs.1 f) DSGVO (berechtigtes Interesse) gerechtfertigt.

Denn die Bezahlung der offenen Forderungen sei eine Pflicht aus dem geschlossenen Arzt-Kontrakt.

Durch die Forderungsabtretung sei auch keine Zweckänderung nach Art. 6 Abs.4 DSGVO eingetreten.

Es habe auch keiner ausdrücklichen Zustimmung des Kunden bedurft, da dies nur notwendig gewesen wäre, wenn es sich bei den Informationen um Gesundheitsdaten gehandelt habe.

Im vorliegenden Fall beträfen die Daten jedoch die Gesundheit des behandelten Tieres und nicht des Halters, sodass es sich um keine Gesundheitsdaten handeln würde.

Die Entscheidung zeigt einmalmehr, dass es sich lohnt sich gegen Entscheidungen der Landesbeauftragten für Datenschutz zur Wehr zu setzen.

!Achtung: Der Fall betrifft nur die Abtretung eines Tierarztes. Bei einem Arzt der Menschen behandelt bedarf es grds einer Einwilligung.  

Haben auch Sie Ärger mit Datenschutzbehörden oder benötigen Rechtsrat im Bereich Datenschutz? Wir helfen Ihnen!

Erst der EuGH, jetzt das Bundesverwaltungsgericht:

Der EuGH hatte bereits im Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind.  Nur drei Monate später hat dann die Datenschutzkonferenz ihren Beschluss zu dem Thema veröffentlicht, und darin festgestellt, dass Facebook-Fanpages illegal seien, weil es keine Vereinbarung mit Facebook gebe. Zwar hat Facebook darauf reagiert, aber der Verbraucherzentrale, der Bundestagsfraktion der Grünen und auch der Berliner Datenschutzbehörde reichte das nicht aus. Daher wurden Anhörungsschreiben an Fanpage-Betreiber versendet.

Hierzu hat nun das BVerwG verhandelt und entschieden (Urt. v. 11.09.2019, Az. 6 C 15.18):

Auch die Betreiber von Fanpages können bei Datenschutzverstößen belangt werden.

Dabei ging das BVerwG auf einer Linie mit dem EuGH, und machte Betreiber von Fanpages mitverantwortlich für die Sammlung von Nutzerdaten im Hintergrund. Nach Ansicht der Datenschutzbeauftragten Schleswig-Holsteins, Marit Hansen, sei dieses Urteil „Rückenwind für den Datenschutz“. Es dürfte sie daher freuen, dass das BVerwG der Ansicht ist, dass Datenschützer Betreiber von Fanpages bei schwerwiegenden datenschutzrechtlichen Mängeln zur Abschaltung der Unternehmensseite verpflichten dürfen.

Das Verfahren ist allerdings schon vor Jahren ins Rollen gekommen. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte 2011 die Wirtschaftsakademie Schleswig-Holstein zur Deaktivierung ihrer Fanpage aufgefordert, da bei dem Besuch der Seite ohne vorige Information des Nutzers dessen Daten erhoben wurden. Die datenschutzrechtliche Verantwortung liege (auch) bei der Akademie, trotz der Tatsache, dass die technische Infrastruktur ja komplett von Facebook stammte.

Die Klage der Akademie gegen diesen Bescheid war zunächst erfolgreich, doch das BVerwG legte den Fall dem Europäischen Gerichtshof (EuGH) vor. Die Entscheidung ist bekannt: der Betreiber einer Fanpage ist für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich.

Das Argument, dass die Datenverarbeitung von Facebook aufgedrängt werde und nicht steuerbar sei, war anscheinend unbeachtlich, denn für die Bundesrichter zählte nur, dass der Betreiber einen Beitrag zu der Datenerhebung leistet und nur als „Türöffner“ dient.

Marit Hansen soll angekündigt haben, Facebook jetzt weiter auf datenschutzrechtliche Verstöße zu prüfen.

Welche Konsequenzen dies alles nun für die Fanpage Betreiber haben wird, hängt wohl maßgeblich davon ab, ob und wie Facebook auf diese Rechtsprechung reagieren wird.

 

Nächste Seite »