EuGH-Urteil vom 01.10.2019 zu Cookies auf Webseiten

Ein Urteil des Europäischen Gerichtshofes zur Notwendigkeit von Einwilligungserklärungen bei der Nutzung von Cookies auf Webseiten, Az. C-673/17, hat vergangene Woche für Aufsehen gesorgt. Der EuGH hat sich insbesondere auch mit der Frage beschäftigt, wie diese Einwilligungserklärung auszugestalten ist.

Nach dem Urteil des EuGH muss der Nutzer einer Internetseite zumindest bei nicht notwendigen Cookies eine freie Einwilligungsentscheidung treffen dürfen.

Im entschiedenen Fall dienten die Cookies zur Sammlung von Daten für Werbezwecke. Die Cookies waren daher nicht für den Betrieb oder die Nutzung der Webseite zwingend notwendig.

Nach der Datenschutzgrundverordnung (DSGVO) ist für eine solche Datenerhebung eine Einwilligung notwendig, soweit kein anderer Rechtfertigungsgrund eingreift.

In diesem Fall hat der EuGH auch klargestellt, wie die Einwilligung erfolgen muss.

Die vom  Verantwortlichen verwendeten voreingestellten Ankreuzkästchen genügten hierzu nicht.

Vielmehr muss der Nutzer der Webseite das Ankreuzkästchen aktivieren,  damit eine wirksame Einwilligung vorliegt.

Werden keine „Ankreuzkästchen“ verwendet, so bedeutet dies, dass bei einem Weiterklicken des Cookiehinweises nicht automatisch die Cookies aktiviert werden dürfen, um die volle Funktionalität der Webseite nutzen zu können.

Willigt der Nutzer der Webseite nicht ein, so dürfen auch keine solchen nicht notwendigen Cookies verwendet werden.

Ein weiterer Aspekt kommt hinzu: Nach Auffassung des EuGH ist die Grenze für personenbezogene Daten sehr weit zu ziehen. Der Nutzer soll nämlich vor jedem Eingriff in seine Privatsphäre geschützt werden. Insbesondere soll er auch gegen die Gefahr geschützt werden, dass "Hidden Identifiers" oder ähnliche Instrumente mittelbar zu einer Identifizierung und damit zu einem Personenbezug führen. Das heißt, im Zweifel ist davon auszugehen, dass personenbezogene Daten vorliegen und die DSGVO anzuwenden ist.

 

Social Media Plug Ins und Anforderungen nach der DSGVO

Welche Anforderungen gelten an die Einbindung eines Like-Buttons von Facebook in die Internetseite nach der Datenschutzgrundverordnung? Inwieweit muss der Webseitenbetreiber seine Nutzer informieren und deren Einwilligung einholen?

Ein aktuelles Urteil des EuGH schafft Klarheit (Urteil des EuGH v. 29.07.2019, C-40/17).

Bei der Verwendung von Social Media Plug Ins, wie z.B. dem Facebook Like-Button, ist der Webseitenbetreiber für die Datenerhebung (auch) verantwortlich.

Damit diese Datenerhebung rechtmäßig ist, muss eine ausdrückliche Einwilligung durch den Nutzer erfolgen. Diese kann durch eine 2-Klick-Lösung realisiert werden.

D.h. die Daten dürfen nur dann an den Social-Media-Anbieter übermittelt werden, wenn der Nutzer die Funktion bewusst aktiviert hat.

Was nach dem Urteil nicht erlaubt ist: Wenn die Übermittlung von Daten an Facebook stattfindet, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerkes Facebook ist oder den "Gefällt mir"-Button angeklickt hat. Den meisten Nutzern dürfte gar nicht klar sein, dass auch personenbezogene Daten von ihnen an Facebook übermittelt werden, selbst wenn sie kein Konto dort haben und nur die Webseite aufrufen, auf der der Like-Button integriert ist. Zumindest IP-Adressen können bereits übermittelt werden, was ja als Erhebung und Weiterleitung personenbezogener Daten anerkannt ist.

Sollten Sie auf Ihrer Internetseite das Facebook Plug-in nutzen, so sollte kontrolliert werden, ob tatsächlich eine 2-Klick-Lösung implementiert ist. Selbstverständlich ist der Nutzer auch in der Datenschutzerklärung über die Datenerhebung zu informieren.

Für die weitere Verarbeitung der Daten durch den Social-Media-Anbieter ist dann jedoch auch dieser verantwortlich. Der deutsche Webseitenbetreiber hingegen gilt nur für die Erhebung und Weiterleitung der Daten als der Verantwortliche. Allerdings sind beide, sowohl der Anbieter als auch der Webseitenbetreiber, gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO, so der EuGH.

Wichtig ist auch noch, dass gemäß Art. 26 DSGVO zwischen dem Webseitenbetreiber und dem genutzten Dienst eine Vereinbarung vorgesehen ist. Dies ist bei Facebook gegeben, allerdings bei anderen Diensten nicht. Ist eine solche Vereinbarung nicht vorhanden, ist von der Einbindung eines solchen Dienstes abzuraten, da die Vorgaben der DSGVO nicht eingehalten werden können. Darüber hinaus muss der wesentliche Inhalt dieser Vereinbarung der betroffenen Person zur Verfügung gestellt werden [Art. 26 (2) Satz 2 DSGVO]. Es steht zu befürchten, dass diese Pflicht zumindest auch dem Webseitenbetreiber auferlegt wird. Ein kurzer Hinweis sollte daher in der Datenschutzerklärung hierzu zu finden sein.

 

Quo vadis, DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist nun mittlerweile seit fast einem Jahr in Kraft. Zeit, um ein erstes vorsichtiges Resümee zu ziehen.

Die Datenschutzaufsichtsbehörden haben bisher noch keine große Aktivität gegenüber kleineren Unternehmen an den Tag gelegt. Dies soll sich jedoch ändern.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Februar 2019 angekündigt, Unternehmenswebseiten zu überprüfen. Hierbei steht die Verwendung von Cookie-Bannern im Mittelpunkt.

Nach der Verlautbarung des BayLDA wird die „Alternativlosigkeit“ vieler Cookie-Banner als problematisch angesehen.

Bei der Umsetzung ist genau darauf zu achten, dass ohne Einwilligung nur in wenigen Ausnahmefällen das Setzen von Cookies erlaubt ist. Die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) steht immer unter dem Vorbehalt, dass nicht die Interessen des Betroffenen überwiegen.

Oft wird die notwendige Güterabwägung zwischen unternehmerischem Interesse auf der einen Seite und dem Interesse des Betroffenen auf der anderen Seite jedoch nicht vorgenommen und einfach pauschal von einer Berechtigung des unternehmerischen Interesses ausgegangen.  Vielfach ist dies jedoch nicht der Fall und es müsste eine explizite Einwilligung eingeholt werden.

Nach Ansicht des BayLDA muss in der Datenschutzerklärung belastbar begründet werden, warum die Interessen des Verantwortlichen die Interessen des Betroffenen überwiegen.

Eine solche Begründung dürfte strenggenommen meist nicht stichhaltig sein.

Allenfalls bei reinen Session-Cookies, die aus technischen Gründen notwendig sind, kann man dies annehmen.

Konsequenterweise ist somit nach der Auffassung des BayLDA (fast) immer eine Einwilligung erforderlich.

Somit sollte das Cookie erst gesetzt werden, wenn der Nutzer tatsächlich seine Einwilligung aktiv erteilt hat.

Gleiches gilt natürlich auch für Plug-Ins oder Skripte.

Besonders schwierig umzusetzen ist dies bei der Nutzung von Diensten wie Vimeo, Google-Fonts, Google Maps, Youtube und Facebook-Plug-ins.

Empfehlung: Bei der Überarbeitung einer Webseite sollte daher zukünftig darauf geachtet werden, dass Cookies, Plug-Ins oder Skripte erst gesetzt bzw. aktiviert werden, wenn eine Einwilligung erfolgt ist.

Die Datenschutzerklärung ist jeweils natürlich entsprechend anzupassen.

Bereitet Ihnen die DSGVO immer noch Kopfzerbrechen?

Vielen Unternehmern und Freiberuflern ist erst kurz vor dem Stichtag 25.05.2018 bewusst geworden, welch tiefgreifende Umstellungen das neue Datenschutzrecht (DSGVO) mit sich bringt.  

So waren nicht nur umfangreiche Änderungen bei Online-Shops und Websites nötig, auch betriebsintern galt es, Arbeitsabläufe im Hinblick auf den Schutz der Daten von Kunden und Mitarbeitern abzuklopfen. Beim Kundenkontakt mit Datenerhebung müssen z.B. auch Informationspflichten erfüllt werden, meist muss ein Verfahrensverzeichnis („Verzeichnis der Verarbeitungstätigkeiten“) zum Umgang mit personenbezogenen Daten geführt werden, dessen Angaben nach dem Erwägungsgrund des Art. 82 DSGVO so detailliert sein müssen, dass die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse von der Aufsichtsbehörde („am Schreibtisch“) kontrolliert werden können.

Die betriebsinternen Abläufe müssen also durchleuchtet und in eine dokumentierte Form gebracht werden, die den gesetzlichen Vorgaben entspricht. Oft wird dem Unternehmer hier erst klar, dass es einen strukturierten und kontrollierten Umgang mit personenbezogenen Daten in seinem Unternehmen noch gar nicht gibt.

Ich bin Ihr erfahrener Ansprechpartner in Sachen Umsetzung der DSGVO und helfe Ihnen auch, wenn es bereits deswegen zu Konflikten mit Wettbewerbern oder Behörden kam.

Auftragsverarbeiter- weitere Auftragsverarbeiter - Auftragsverarbeiterergebnisse- diese Begriffe sind Ihnen unbekannt? Dann wird’s aber Zeit, dass Sie sich mit ihnen beschäftigen:

Zum 25. Mai 2018 ist das neue Bundesdatenschutzgesetz (BDSG) mitsamt der Datenschutzgrundverordnung (DS-GVO) in Kraft getreten, und beinahe jedes Unternehmen, das Daten natürlicher Personen verarbeitet, muss entsprechende organisatorische Maßnahmen treffen, um die hohen Datenschutzanforderungen zu erfüllen. Es können sonst Bußgelder im zweistelligen Millionenbereich fällig werden.

Alle Unternehmen, die Softwaredienstleistungen für andere Unternehmen anbieten und infolgedessen mit personenbezogenen Daten umgehen müssen, sollten sich zudem mithilfe eines Vertrages zur Auftragsverarbeitung gegen ausufernde Kosten infolge der Umorganisation absichern. In so einem Vertrag werden die Pflichten von Auftragnehmer („Auftragsverarbeiter“) und Auftraggeber klar definiert und es kann festgelegt werden, wer die Kosten für welche Zusatzleistung, die infolge des Datenschutzes zu erbringen ist, zu tragen hat.

Achtung bei Verkauf eines Onlineshops: Bußgeld wegen Datenschutzverletzung droht.

Werden bei Verkauf eines Onlineshops auch die Kundendaten an den Erwerber veräußert, geht das Bayerische Landesamt für Datenschutz (BayLDA) davon aus, dass dies eine Datenübermittlung im Sinne des § 3 Abs. 4 Nummer 3 BDSG darstellt.

In einem solchen Fall, in dem keine Zustimmung der Kunden vorlag, wurde durch das Bayerische Landesamt für Datenschutz gegenüber dem Verkäufer und auch dem Erwerber Bußgeld in fünfstelliger Höhe festgesetzt.

Empfehlung: Bei einem Verkauf eines Onlineshops oder eines anderen Unternehmens sollte für die Übermittlung der Daten die Einwilligung der Kunden eingeholt oder  zumindest ein Widerspruchsrecht eingeräumt werden, was vom BayLDA als zulässig angesehen wird.

 

Man sieht: Auch die Übertragung des selbst-erworbenen Kundenstamms ist nicht ohne weiteres möglich.

Neues Urteil: Facebook-"Gefällt mir"-Button führt zur Abmahnung

Die Verbraucherzentrale NRW hat verschiedene Unternehmen wegen Verwendung des Facebook-"Gefällt mir"-Buttons abgemahnt und Unterlassungsansprüche gerichtlich durchgesetzt.

Die Verwendung dieses "Gefällt mir"-Buttons auf einer Unternehmenswebseite führt dazu, dass Cookies bei dem Webseitenbesucher gesetzt werden und die IP-Adresse gespeichert wird.

Nach Ansicht des Landgerichts Düsseldorf hätten die Website -Betreiber hierüber belehren und eine Einwilligung einholen müssen.

Begründet wird dies auch damit, dass die IP-Adresse bei einer späteren Anmeldung bei Facebook somit Rückschlüsse auf das Surfverhalten des dann bekannten Nutzers zulässt.

Die Verbraucherschützer lassen sich nun feiern, da sie den Datenschutz gestärkt hätten.

Das Urteil des Landgerichts ist jedoch fragwürdig. Personenbezogene Daten liegen nämlich nur vor, wenn auch Rückschlüsse auf die Person möglich sind. Der Unternehmer, der lediglich den Facebook-Button einbindet, hat jedoch keinen eigenen Zugriff auf die Daten des Facebook-Cookies und Facebook  wird ihm auch keine Rückmeldung über einen zukünftigen Facebook-Nutzer geben. 

Für den Webseitenbetreiber stellen diese Daten somit gerade keine personenbezogenen Daten dar.

Meldet sich allerdings der Seitenbesucher bei Facebook an, so akzeptiert er deren Bedingungen. Personenbezogene Daten liegen daher bei Facebook vor.

Es wäre daher also eher Aufgabe der Verbraucherzentralen, die Vertragsbedingungen von Facebook gerichtlich überprüfen zu lassen. Aber stattdessen geht man lieber gegen Unternehmen vor, die lediglich der Vorliebe ihrer Kunden für Social Media  gerecht werden wollen.

 

Empfehlung: Der „Gefällt mir"-Button muss daher gelöscht werden. Alternativ kann eine Umgehungslösung installiert werden, die keine Cookies verwendet oder es kann eine entsprechende Belehrung erfolgen und eine Einwilligung eingeholt werden. Beide Alternativen erhöhen allerdings den Aufwand für den Webseitenbetreiber.

Dashcam-Aufzeichnungen im Straßenverkehrsprozess doch zulässig!

AG Nürnberg, Urteil vom 08.05.2015 - 18 C 8938/14, jetzt erst veröffentlicht.

 

Die Rechtslage zur Nutzung von Dashcams ist umstritten. Eine eindeutige gesetzliche Regelung fehlt. In einem jüngst veröffentlichten Urteil des AG Nürnberg wird die Verwendung von Aufzeichnungen in einem Zivilprozess für zulässig erachtet.

Ein Verstoß gegen § 6b Abs. 1 Nr. 3 BDSG liegt nicht vor. Diese Regelung zur Videoüberwachung bezieht sich nach der Erwägung des Gerichts nach seinem Wortlaut nur auf die Überwachung öffentlicher Flächen durch stationäre Anlagen. Somit gilt dies nicht für eine Aufzeichnung aus einem Fahrzeug heraus.

Auch liegt ein berechtigtes Interesse nach § 6 b Abs. 1 Nr. 3 BDSG in der Beschaffung von Beweisen für einen wirksamen Individualrechtsschutz

Aber selbst, wenn ein Gericht dies anders bewerten sollte und damit ein Verstoß gegen § 6 b BDSG gegeben wäre, so führt dies nicht zu einem Beweisverwertungsverbot im Zivilverfahren. Das BDSG enthält eben kein Beweisverwertungsverbot.

Auch durch das Recht am eigenen Bild (§ 22 S. 1 KunstUG) kann der Täter die Verwertung von Aufzeichnungen vor Gericht nicht verhindern.

§ 22 KunstUG schützt nur vor der unzulässigen Verbreitung oder öffentlichen Zurschaustellung. Die Herstellung solcher Abbildungen ist hierdurch nicht verboten.

§ 24 KunstUG lässt ausdrücklich die Zurschaustellung zum Zwecke der Rechtspflege, also  z.B. die Verwendung im Rahmen eines Gerichtsprozesses, zu.

 

Insgesamt stellt die Bewertung des Gerichts ein praxisnahes Urteil dar. Man kann man daher davon ausgehen, dass eine z.B. auf die Dauer der Fahrt begrenzte Aufzeichnung zulässig ist. Ereignet sich ein Unfall und hat der Geschädigte keine andere Möglichkeit, Beweis vorzulegen, so darf die Aufzeichnung auch aufbewahrt und im Gerichtsprozess verwendet werden.

 

Einigkeit besteht, dass eine Veröffentlichung im Internet oder die Weitergabe an die Polizeibehörden aus Blockwartmentalität keine solche Rechtfertigung bieten und daher einen Verstoß gegen das Datenschutzgesetz darstellen (siehe auch VG Ansbach, Urt. v. 12.08.2014 - AN 4 K 13.01634).

Cloud Contracting - Datenschutz

EuGH kippt Safe Harbour-Modell!

Es drohen anlass- und verdachtsunabhängige Datenschutz-Prüfungen

Das Bayerische Landesamt für Datenschutzaufsicht hat im Sommer 2013 begonnen, bei zufällig stichprobenartig ausgewählten Unternehmen eine schriftliche Prüfungsaktion durchzuführen.

 

Erfahren Sie mehr hierzu und beachten Sie die Checkliste!

 

Wichtige Rechsprechungsänderung!

Das Fehlen einer Datenschutzerklärung ist wettbewerbswidrig.

Urteil des OLG Hamburg v. 27.6.2013, 3 U 26/12.

Datenschutz / Datenschutzrecht

Datenschutz rückt in den Kernbereich der unternehmerischen Sorgfaltspflicht.

Bis vor nicht allzu langer Zeit wurde dem Datenschutz relativ wenig Bedeutung zugemessen. Bedeutsam war vor allem  der Arbeitnehmerdatenschutz in den Betrieben. Datenschutz bei der Nutzung von personenbezogenen Daten zu Geschäftszwecken und zur Werbung wurde von vielen Unternehmen nur unzureichend beachtet.

Zwar sind Verstöße mit hohen Bußgeldern bedroht, allerdings war die Gefahr der Entdeckung zumindest bei kleineren Unternehmen bislang gering.

Es ist jedoch zu erwarten, dass sich dies zukünftig ändert. Einerseits verstärkt sich die Sensibilität der Aufsichtsbehörden, andererseits dürfte auch der zunehmende Wettbewerb für eine Kontrolle des Datenschutzes sorgen.

Nachdem Teile der Rechtsprechung mittlerweile Datenschutzverstöße  auch als Wettbewerbsverstöße ansehen, ist damit zu rechnen, dass zunehmend die Einhaltung der Regeln des Datenschutzes in den Focus von wettbewerblichen Auseinandersetzungen gerät.

So ist nach einem Urteil des OLG Köln v. 19.11.2010, Az. 6 U 73/10, die Verwendung der Kenntnis, zu welchem neuen Vertragspartner der Kunde gewechselt ist, ein Datenschutzverstoß und als wettbewerbswidrig zu unterlassen.

Dem Unternehmer drohen bei solchen Verstößen daher Abmahnungen und kostenträchtige Auseinandersetzungen. Darüber hinaus besteht auch noch die Gefahr der Verhängung von Bußgeldern.

Sorgen Sie daher als Unternehmer vor und gestalten Sie auch Ihre Werbemaßnahmen datenschutzkonform.

Selbstverständlich unterstütze ich Sie auch bei sonstigen juristischen Fragen des Datenschutzes.

Schützen Sie Ihre Daten!