Datenschutz

Die Entscheidung des EuGH zum Privacy Shield hat jede Menge Staub aufgewirbelt und Fragen offen gelassen. Bisher ist weitestgehend davon ausgegangen worden, dass bis zur Klärung der Rechtslage (etwa eines neuen Abkommens) seitens der Behörden wie auch schon zu Zeiten des Safe-Harbour-Urteils nichts weiter unternommen werde.

Es sind bereits stichprobenartige Kontrollen durch die Datenschutzbehörden vorgenommen worden. Dabei wurden der rechtskonforme Einsatz von Tracking-Diensten unter die Lupe genommen und Anhörungsverfahren eingeleitet. Meistens soll es bei den Kontrollen um den Analysedienst „Google Analytics“ gegangen sein.

Jetzt soll nach einer Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg eine groß angelegte Kontrolle durchgeführt werden. Dabei sollen zwar zunächst die sog. „Big Player“, später aber flächendeckend kontrolliert werden. Die Behörden wollen damit die einheitliche Einhaltung der Vorgaben zum Datenschutz bei Trackingdiensten erreichen.

„Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.

Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein. Wollen Medienunternehmen Tracking-Technologien nutzen, können diese nur erlaubt sein, wenn die/der Nutzer*in hierin wirksam einwilligt – d.h. informiert, freiwillig, vorab, separat und in Kenntnis einer zumutbaren Möglichkeit, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen“ lautet die Pressemitteilung.

Bei einem Verstoß gegen die Vorschriften würden die Behörden zunächst ein Anhörungsverfahren eröffnen, in dem der Betroffene Verwender Gelegenheit zur Stellungnahme erhält. Die Behörden sind befugt, ein Bußgeldverfahren einzuleiten, wenn der Vorwurf nicht entkräftet werden kann.

 

Daher sollten Webseitenbetreiber es möglichst gar nicht erst zu einer Anhörung kommen lassen.

 

Wir haben bereits regelmäßig darüber informiert, dass Tracking Dienste ausschließlich nach erfolgter wirksamer (und im besten Fall auf dokumentierter) Einwilligung des Nutzers aktiv werden dürfen. Hierzu muss die Einwilligung ausdrücklich und informiert erfolgen.

Dies kann unter anderem durch sog. Cookie-Consent-tools erfolgen. Es öffnet sich dann beim Betreten der Seite ein Overlay, bei dem alle Cookie-Einwilligungen einzeln abgefragt werden können. Diese dürfen nicht vorab schon eingestellt sein. Außerdem muss die Möglichkeit bestehen, jederzeit mit Wirkung für die Zukunft Cookies wieder zu deaktivieren.

Es reicht ausdrücklich nicht aus, einen Hinweis zu erteilen, nach dem das Weitersurfen auf der Webseite eine konkludente Einwilligung darstellt!

 

Nun ist nach wie vor die mit dem Privacy-Shield-Urteil aufgetretene Problematik der „informierten“ Einwilligung damit leider noch nicht beseitigt, jedenfalls nicht in jedem Fall. Nachdem nämlich nun der Privacy-Shield nicht mehr wirksam ist, kann das Schutzniveau des Datentransfers nur noch über die sog. Standardvertragsklauseln der EU legitimiert werden. Der Bundesbeauftragte für den Datenschutz hat dazu jedoch mitgeteilt, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.

Eine „Orientierungshilfe“ dazu gibt es seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf):

Es muss im Zielland ein Schutzniveau für die personenbezogenen Daten

sichergestellt sein, das dem in der Europäischen Union entspricht. Der Verantwortliche (also der Webseitenbetreiber) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.

Das gilt insbesondere dann, wenn das Land Datenimporteurs (hier also beispielhaft USA) diesem Pflichten auferlegt, die den hier erforderlichen Schutz gegen den Zugriff von Behörden stören. Wenn also der Datenimporteur aufgrund eigener Pflichten gegenüber seinen Behörden (etwas weil er ihnen den Zugang zu den Daten ermöglichen muss) das Schutzniveau der EU nicht einhalten kann, ist der Transfer nicht erlaubt, sofern nicht andere Maßnahmen den Schutz gewährleisten.

Als Beispiel werden genannt:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

 

Wenn Sie Daten in ein anderes Drittland übermitteln sollten Sie nach Ansicht des LfDI die Rechtslage in dem genannten Land überprüfen, insbesondere hinsichtlich der Zugriffsmöglichkeiten des Geheimdienstes und der dem Betroffenen zustehenden Rechte und Rechtsschutzmöglichkeiten und auch hier die genannten Ergänzungen der Garantien der Standardvertragsklauseln aufnehmen.

 

Der LfDI schlägt folgende Checkliste zur Abarbeitung vor, wobei Kontaktaufnahmen möglichst schriftlich festzuhalten sind, um gegebenenfalls bei einer Prüfung den Willen zur Einhaltung der DSGVO demonstrieren zu können:

 

–      Machen Sie eine Bestandsaufnahme machen: wo und wie exportieren Sie Daten in Drittländer? (darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich

 

–      Setzen Sie sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung. Informieren Sie ihn über die EuGH Entscheidung und die Konsequenzen.

 

–      informieren Sie sich über die Rechtslage im Drittland (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz- Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)

 

–      überprüfen Sie, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen

 

–      überprüfen Sie, ob Sie die von der EU-Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.

 

Hinweis:

Standardvertragsklauseln werden eher nicht nutzbar sein, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. etc.) möglich.

 

–      Überprüfen Sie, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können. Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)

 

–      Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über eine Änderung der Bestimmungen der Standardvertragsklauseln verständigen.

 

Gerne sind wir Ihnen dabei im Einzelnen behilflich.

 

Diese Ankündigung und die damit verbundenen notwendigen Schritte sind, gelinde gesagt, für den juristischen Laien nur sehr schwer umsetzbar. Die Empfehlungen halten wir für fernab jeglicher Praktikabilität, jedoch bieten sie immerhin einen Anhaltspunkt dafür, was mit „zusätzlichen Maßnahmen“ gemeint sein kann.

 

Das OLG Frankfurt am Main, Az.: 6 U 17/19 vom 02.07.2020 hat entschieden, dass die in Spielhallen durch Vorlage eines Lichtbildausweises und Abgleich mit der Sperrdatei vorgeschriebenen Zugangskontrollen keinen Verstoß gegen Vorschriften der DSGVO darstellen.

In einer wettbewerbsrechtlichen Streitigkeit wurde einem Spielhallenbetreiber vorgeworfen, dass er entgegen der gesetzlichen Vorgaben des Hessischen Spielhallengesetz keine ausreichenden Zugangskontrollen durch Vorlage eines Lichtbildausweises und Abgleich mit der Sperrdatei durchgeführt hat. Da keine Unterlassungserklärung abgegeben wurde, reichte der durch unsere Kanzlei vertretende  Verband Klage beim Landgericht Frankfurt am Main ein. Das Landgericht Frankfurt am Main verurteilte den Spielhallenbetreiber. Die hiergegen eingereichte Berufung blieb ohne Erfolg. In der Berufung verteidigte sich der Spielhallenbetreiber u.a. damit, dass die Regelungen des Hessisches Spielhallengesetz gegen höherrangiges Recht verstoßen würden. Das Oberlandesgericht konnte keine Verstöße feststellen, so auch keinen Verstoß gegen die Vorschriften der Datenschutzgrundverordnung. Das Gericht führt insoweit wie folgt aus:

„Sieht man in der vorgeschriebenen Identitätsfeststellung eine Erhebung und Verarbeitung personenbezogener Daten, enthalten die §§ 6,11 Hess. SpielhG eine hinreichende Rechtsgrundlage für diese Erhebung. Nach Art 6 Abs, 1 DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Nach Art 6 Abs, 2, Abs. 3 DSGVO können die Mitgliedstaaten die hierfür notwendigen Rechtsgrundlagen schaffen. Der Zweck der Verarbeitung muss in  dieser Rechtsgrundlage festgelegt werden. Nach §§ 6,11 Hess SpielhG sind die für eine Sperrung erforderlichen Daten zu verarbeiten. Der Zweck dieser Datenverarbeitung ergibt sich aus § 6 Abs. 1 S 1 Hess SpielhG. Danach wird das Sperrsystem zum Schutz der Spielerinnen und Spieler und zur Bekämpfung der Glücksspielsucht unterhalten.“

Weiter stellte das Oberlandesgericht Frankfurt am Main, das es sich bei den §§ 5, 6, 11 Hess SpielhG um Marktverhaltensregeln im Sinne des § 3a UWG handelt.

Der Einsatz von Google Analytics stellt Webseitenbetreiber nach wie vor vor datenschutzrechtliche Fragen.

Hierzu hat nun die Datenschutzkonferenz (DSK) ein aktuelles Grundsatzpapier herausgebracht.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Zwar haben die Stellungnahmen der DSK keinen verbindlichen Charakter, doch kann ihnen entnommen werden, wie die datenschutzrechtlichen Grundsätze der Behörden gehandhabt werden. Die Überprüfung unterliegt allerdings auch nach wie vor den Gerichten.

Die DSK geht grundsätzlich davon aus, dass Google Analytics theoretisch datenschutzkonform einsetzbar ist.

Danach ist als Rechtsgrundlage für den Einsatz des Analysetools nur die Einwilligung des Nutzers einschlägig. Die Rechtfertigung über das sog. „berechtigte Interesse“ des Verwenders (Art. 6 Abs. 1 f) DSGVO) kommt indes nicht in Betracht.


Mit einfachen Worten ausgedrückt bedeutet das: in jedem Fall muss nach Ansicht der DSK die Einwilligung des Nutzers vor dem Einsatz von Google Analytics eingeholt werden.


Die DSK stellt auch Mindestvoraussetzungen an diese Einwilligung auf:

 

Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete

Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit

verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die

Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym

sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen

Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um

Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und

Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit

verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne

Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,

vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine

Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der

Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine

Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das

bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und

eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne

dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an

die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen

Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die

Einwilligung nicht freiwillig und damit unwirksam ist. „

 

Die DSK erteilt des Weiteren konkrete Gestaltungshinweise:

 

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. – Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

 

Nach Ansicht der DSK muss zudem auch jeder Webseite eine Opt-Out-Möglichkeit vorgehalten werden. Dabei sei der bloße Hinweis auf die Möglichkeit der Deaktivierung von Google Analytics über das Browser-Add-On nicht allein nicht ausreichend.

 

Generell ist zu sagen, dass der Einsatz von Google Analytics bereits deswegen nur scheinbar rechtskonform möglich ist, weil die Einwilligung des Nutzers „informiert“ erfolgen muss. Der Nutzer muss also vor der Einwilligung genau erfahren können, was mit seinen Daten geschieht. Da Google diese Angaben jedoch selbst nicht herausgibt, ist jede Einwilligung bereits per se schon nicht vollständig informiert.

Wir empfehlen jedoch, wenigstens die Vorgaben der DSK umzusetzen.

Gerne sind wir Ihnen bei der Umsetzung behilflich und beraten Sie zu dem Thema.

 

Das Problem ist bekannt: Google Analytics auf der eigenen Webseite einzusetzen ohne die Einwilligung des Nutzers eingeholt zu haben, ist unzulässig und kann geahndet werden.

Viele Landesdatenschutzbehörden haben sich dahingehend auch schon zu Wort gemeldet.

Nun hat sich auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz) dazu positioniert. Er folgt der herrschenden Rechtsprechung des EuGH zum Thema Cookies, wonach die Verwendung von Google Analytics immer einer Einwilligung bedarf. Es sind seitens des LfDI Rheinland-Pfalz wohl auch schon erste Untersagungsanordnungen wegen des Einsatzes von Google Analytics ohne Einwilligung erlassen worden.

Grundsätzlich darf nach Art. 6 DSGVO eine Verarbeitung von personenbezogenen Daten nur stattfinden, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO) oder eine gesetzliche Ermächtigung (Art. 6 Abs. 1 lit. b-f DSGVO) vorliegt.

Für Google Analytics kommt daher die Einwilligung des Webseitennutzers (Art. 6 Abs. 1 lit. a DSGVO) oder aber eine Rechtfertigung aufgrund der Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) in Betracht.

Der Diskurs der Vergangenheit, wonach teilweise die wirksame Anonymisierung der IP-Adresse als ausreichend betrachtet wurde, um das berechtigte Interesse des Verantwortlichen überwiegen zu lassen ist mittlerweile überholt. Mittlerweile wird einhellig davon ausgegangen, dass Webanalyse- oder Trackingtools immer nur mit der Einwilligung des Betroffenen verwendet werden dürfen, auch wenn eine Anonymisierung durch „Google universal“ vorliegt.

Nach Aussage des LfDI Rheinland-Pfalz sind daher zwischenzeitlich schon Untersagungsanordnungen an Webseitenbetreiber erlassen worden. Webseitenbetreiber wurden angewiesen, Ihre Webseite datenschutzkonform anzupassen und den Einwilligungsvorbehalt einzuführen.

Wir können daher nur erneut dringend davon abraten, Webseitenanalyse oder Tracking ohne Einwilligung zu betreiben.

Gerne beraten wir Sie zu dem Thema! Unsere Rechtsnwälte sind auf den Bereich des Dantenschitz spezialsiiert. Herr Rechtsanwalt Dr. Stephan Schenk und Frau Rechtsanwältin Agnieszka Schenk sind zudem zertifizierte Datenschutzbeauftragte (DSB-TÜV).

Nächste Seite »