Datenschutz-News 08/2020

Aus aktuellem Anlass informieren wir Sie heute in einer Doppelausgabe ausführlich über den Einsatz von Google Analytics, der bundesweiten Kontrolle von Online-Trackingdiensten durch die Aufsichtsbehörden sowie weiteren aktuellen Ereignissen der letzten Wochen. Der Europäische Datenschutzausschuss (EDSA) hat am 05. Mai 2020 die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert und stellte klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Die Datenschutzaufsichtsbehörden haben vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet. Das Urteil des Bundesgerichtshofs (BGH) vom 28. Mai 2020 ist eindeutig: Nutzer müssen dem Setzen von Tracking-Cookies – und damit der Sammlung personenbezogener Daten – aktiv zustimmen. 

Nicht weniger aufsehenerregend war das Urteil des Europäischen Gerichtshofs (EuGH) zur Übermittlung personenbezogener Daten in Drittländer (‚Schrems II‘). Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy-Shields ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy-Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist.

Bundesweite Kontrolle von Online-Trackingdiensten der Aufsichtsbehörden steht unmittelbar bevor

Themengebiet: Tracking-Technologien auf Websites
19.08.2020 - Pressemitteilung des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg

Wie auf den Internetseiten der baden-württembergischen Aufsichtsbehörde zum Datenschutz hier zu lesen ist, befragen die Aufsichtsbehörden einiger Bundesländer derzeit Medienunternehmen in ihren jeweiligen Zuständigkeitsbereichen bezüglich des Einsatzes von Trackingdiensten auf deren Internetseiten. Die Aufsichtsbehörden betonen in ihren Anschreiben an die im ersten Schritt ausgewählten Medienhäuser, das es sich bislang lediglich um eine „Auskunftsbitte“ handelt und nicht i.S.d. Verwaltungsverfahrensrechts um einen Verwaltungsakt, der auf die Erteilung von Auskünften gerichtet ist, und daher eine Beantwortung nicht verpflichtend ist. Ein FAQ für einen Überblick zu Cookies und Tracking gibt die Aufsichtsbehörde hier.

Bereits im März 2019 hat die Konferenz der unabhängigen Datenschutzbehörden (DSK) die Orientierungshilfe für Anbieter von Telemedien verabschiedet. Hierin wird dargelegt, dass für die Einbindung von Drittdienstleistern auf der Webseite, insbesondere über Cookies und andere Trackingmechanismen, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie für das Erstellen von Nutzerprofilen unter Anwendung der DSGVO eine vorherige informierte Einwilligung erforderlich ist. Dieses Ergebnis wird auch durch das BGH-Urteil vom 28.05.2020 (Az: I ZR 7/16, Planet49) bestätigt. Hier wird das Einwilligungserfordernis auf § 15 Abs. 3 Telemediengesetz (TMG) gestützt, den der BGH richtlinienkonform im Lichte der ePrivacy-Richtlinie 2002/58/EG dahingehend auslegt, dass für das Setzen von Cookies eine Einwilligung erforderlich ist, die bloße Möglichkeit des Opt-Out-Verfahrens also nicht ausreichend ist. Wegen Art. 5 Abs. 3 ePrivacy-Richtlinie 2002/58/EG i.V.m. Art. 94 Abs. 2 DSGVO sind in Bezug auf die Voraussetzungen einer wirksamen Einwilligung auch danach die Regelungen der DSGVO maßgeblich.

Der Europäische Datenschutzausschuss (EDSA) hat dann am 05.05.2020 die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert und stellte klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Auch die bloße Weiternutzung einer Seite wird nicht als wirksame Einwilligung angesehen. Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, die Aktualisierung:

„Es gibt immer noch Internetseiten, die durch ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“

Was ist zu beachten:

Die Nutzer müssen in einer Datenschutzinformation (diese muss leicht zugänglich sein) ausführlich über den Einsatz von Tracking-Tools auf der Webseite informiert werden. Es ist in der Information eine klare, nicht irreführende und nicht verschleiernde Überschrift zu wählen z.B. „Verarbeitung Ihrer Nutzerdaten durch Google“. Links müssen eindeutig und unmissverständlich beschrieben sein und der Zugriff auf das Impressum und auf die Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden. Darüber hinaus sind folgend sechs Anforderungen an eine informierte Einwilligung zu beachten:

  1. Die Einwilligung muss die konkrete Verarbeitungstätigkeit durch den Anbieter des Tracking-Tools umfassen. Eine allgemeine und pauschale Einwilligung in die Nutzung von Cookies und von Analysewerkzeugen genügt nicht.
  2. Es muss klar und deutlich beschrieben werden, dass die Verarbeitung durch den Anbieter erfolgt.
  3. Es muss klargestellt werden, dass die Daten nicht anonym sind.
  4. Es muss beschrieben werden, welche Daten konkret durch den Anbieter verarbeitet werden.
  5. Es muss darüber informiert werden, dass der Anbieter die Daten zu beliebigen eigenen Zwecken, wie zur Profilbildung, nutzt und die Daten mit anderen Daten, wie evtl. Google-Accounts, verknüpfen kann.
  6. Die Nutzer müssen aktiv einwilligen, z.B. durch Anklicken einer Schaltfläche, ein vorausgefülltes Häkchenfeld ist nicht ausreichend. Auch eine Widerspruchslösung mit dem Inhalt, dass sich der Nutzer der Webseite durch die weitere Nutzung der Webseite z.B. mit dem Einsatz von Google Analytics einverstanden erklärt, ist nicht ausreichend.

Wird Google Analytics in den von Google empfohlenen Standardeinstellungen eingesetzt oder kann der o.g. Nachweis, dass Google die Daten nicht für eigene Zwecke verarbeitet, nicht geführt werden, ist für den Einsatz von Google Analytics eine Einwilligung erforderlich und es muss im Webauftritt eine Einwilligungsfunktion nach den o.g. Anforderungen eingebaut werden. Mit Google muss dann ein Vertrag über eine gemeinsame Nutzung i.S.v. Art. 26 DSGVO abgeschlossen werden.

Hinweis:

Vor der Einwilligung (= Setzen eines Häkchens durch den Webseitenbesucher und absenden des Formulars) dürfen keine Daten übertragen oder nachgeladen werden. Der Nutzer muss eine freie Wahlmöglichkeit haben und die Einwilligung auch verweigern können, ohne Nachteile zu erleiden.

…wie geht es weiter?

Es muss davon ausgegangen werden, dass die Aufsichtsbehörden nach den stichpunktartigen Prüfungen von Online-Trackingdiensten in ausgewählten Medienunternehmungen diese Prüfungen auch auf weitere Unternehmen der Privatwirtschaft ausdehnen werden. Will man sich nicht dem Risiko eines Bußgeldverfahrens aussetzen, muss der Einsatz von Tracking-Tools wie z.B. Google Analytics sogfältig und kritisch überprüft werden. Nach der in dem Beschluss vertretenen Auffassung der Datenschutzaufsichtsbehörden ist die Verarbeitung im Zusammenhang mit Google Analytics, entgegen der bis zum Inkrafttreten der DSGVO vertretenen Auffassung, keine Auftragsverarbeitung gemäß Art. 28 DSGVO mehr. Wurde ein AV-Vertrag abgeschlossen, ist dies künftig der falsche Vertrag. Es muss ein Vertrag über eine gemeinsame Verarbeitung nach Art. 26 DSGVO als gemeinsam Verantwortliche abgeschlossen werden.

Wenn nicht spezielle Funktionen von Google Analytics erforderlich sind und alternative Werkzeuge von anderen Anbietern zur Zweckerreichung zur Verfügung stehen, die die Daten nur im Auftrag und für Zwecke des Seitenbetreibers und nicht auch für eigene Zwecke verarbeiten und die Daten nicht in Drittländern speichern, könnte das Problem durch einen Umstieg auf eines dieser Tools gelöst werden.

Vor dem Hintergrund des am 16. Juli 2020 vom EuGH verabschiedeten Urteils in der Sache C-311/2018, auch besser bekannt unter „Schrems II“, stellt sich die Frage, ob Tracking-Tools wie Google Analytics überhaupt noch rechtskonform betrieben werden können. Solange hier keine spezifischeren Aussagen seitens der europäischen Aufsichtsbehörden veröffentlicht werden, die eine Möglichkeit aufweisen, Tracking-Tools, die personenbezogene Daten in unsichere Drittländer übertragen, rechtssicher zu betreiben, besteht ein nicht unwesentliches Risiko einer Bußgeldforderung oder zumindest einer Untersagung des Betriebs.

In dem Zusammenhang sei auch auf das Urteil des BGH vom 23.06.2020 zum Missbrauch der Marktstellung von Facebook hingewiesen, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, laut Pressemitteilung als einen wichtigen Etappensieg für den Datenschutz sieht.

Die vollständige News inkl. Quellenangaben sowie weiteren Informationen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.

 

Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.