EU US Privacy Shield - Was nun

Die Meldung schlug letzten Donnerstag, den 16. Juli 2020 wie eine Bombe ein: Der Europäische Gerichtshof erklärt den Privacy Shield und damit den weit überwiegenden Datenverkehr zwischen amerikanischen und europäischen Unternehmen für illegal. Erst auf den zweiten Blick wird klar, dass dieses Urteil nicht nur transatlantische Konzerne betrifft, sondern auch für nahezu jeden Selbständigen, Freiberufler und Gewerbetreibenden gravierende Folgen hat.

Im folgenden Beitrag beleuchten wir den Hintergrund der Entscheidung und deren rechtliche Einordnung, zeigen die Bedeutung für Gewerbe, Unternehmen und Organisationen jeder Größe und geben Ratschläge, wie jetzt zu verfahren ist.

Hintergrund: Schrems gegen Facebook

Um zu verstehen, woher die heutige Lage stammt, muss man etwas in die jüngere Vergangenheit zurückkehren. Seit 2011 befindet sich Max Schrems, ein österreichischer Anwalt, im Rechtsstreit mit Facebook. Anlass des Konflikts ist, dass Herr Schrems bemängelt, wie Facebook, dessen Nutzer er war, seine personenbezogenen Daten verarbeitet. Insbesondere ging es ihm darum, dass Facebook ohne gültige rechtliche Grundlage Daten in die Vereinigten Staaten übertrage. Facebook hingegen war der Ansicht, das damals bestehende Safe-Harbor-Abkommen, ein Vertrag zwischen den USA und der EU, würde genau diese rechtliche Grundlage bieten. 2015 gab der Europäische Gerichtshof Herrn Schrems vollumfänglich recht und kippte Safe Harbor – nicht nur für Facebook, sondern für alle amerikanischen IT-Unternehmen, die Daten von Menschen in der EU verarbeiten.

In Folge des Urteils verhandelte die Europäische Kommission mit der amerikanischen Regierung und erfand 2016 ein neues Programm: den Privacy Shield. Mit nur wenigen Unterschieden zu Safe Harbor sollte es damit wieder eine neue rechtliche Grundlage dafür geben, dass Unternehmen in den USA und in der EU zusammenarbeiten. Bereits damals warnten Datenschützer, dass die fundamentalen Probleme, die das Gericht bereits mit Safe Harbor identifiziert hatte, weiterhin ungelöst bleiben, also auch mit einer Aufhebung des Privacy Shield gerechnet werden müsse. Wie wir heute wissen, sollten sie recht behalten. Warum eigentlich?

Datenübertragungen ins Ausland: EU und Drittländer

Die Datenschutzgrundverordnung (DSGVO) erlaubt grundsätzlich den unbeschränkten Datenverkehr zwischen allen Ländern, in denen sie selbst direkt gilt. Dazu gehören die 27 Mitgliedsstaaten der EU sowie Island, Liechtenstein und Norwegen als Mitglieder des Europäischen Wirtschaftsraums (EWR). Das ist der Grund, warum sich Unternehmen in Deutschland meist keine großen Gedanken machen müssen, wo die Server der Dienstleister, die sie beauftragen. überhaupt stehen – solange alles innerhalb dieser Region bleibt.

Für die sogenannten Drittländer gilt jedoch, dass Daten dorthin im Wesentlichen nur in einem der folgenden drei Fällen übertragen werden dürfen:

  1. Die Europäische Kommission stuft das jeweilige Land in einem langwierigen Verfahren und nach Anpassung der nationalen Rechtslage an das europäische Datenschutzniveau als „angemessen“ ein.
  2. Die an der Datenübertragung beteiligten Parteien ergreifen besondere Sicherheitsmaßnahmen, die zu einem mit der EU vergleichbaren Schutzniveau führen.
  3. Eine besondere Ausnahme kann genutzt werden, z.B. dass die betroffenen Personen explizit in die Übertragung einwilligen, nachdem sie über das Risiko aufgeklärt wurden, oder dass die Übertragung notwendig ist, um einen Vertrag zu erfüllen.

Der erste Fall ist bereits mehrfach eingetreten, so zum Beispiel für die Schweiz, Kanada oder Japan. Für diese und einige wenige weitere Länder gibt es Angemessenheitsbeschlüsse der Europäischen Kommission. Europäische Unternehmen können mit dortigen Unternehmen ohne weitere Vorkehrungen Daten austauschen und dortige Dienstleister beauftragen. Angemessenheitsbeschlüsse sind der Weg, den die DSGVO explizit und bevorzugt vorsieht, um das Datenschutzniveau, das innerhalb der Europäischen Union gilt, auch dann durchzusetzen, wenn Daten die EU verlassen.

Privacy Shield war der Versuch der Europäischen Kommission, einen beschränkten Angemessenheitsbeschluss für die USA zu erlassen: anwendbar für alle amerikanischen Unternehmen, die am Programm teilnehmen wollen und sich entsprechend zertifizieren. Statt also die ganzen USA auf ein europäisches Datenschutzniveau zu heben, sollte das zumindest für den kleinen Teil der Unternehmen möglich sein, die regelmäßig mit Daten aus der EU zu tun hatten: IT-Dienstleister wie Google, Microsoft, Dropbox, Trello, Slack, Facebook, etc. Im Privacy Shield sind Stand heute über 5.000 US-Unternehmen zertifiziert, mit einem enorm breiten Spektrum an angebotenen elektronischen Dienstleistungen und Produkten.

Ja, aber Moment mal, denken Sie vielleicht. Eine Frage drängt sich auf: Warum können die USA nicht einfach ihr Datenschutzgesetz so anpassen, dass es mit den europäischen Regeln kompatibel wird? Warum diese Umweg über eine nur teilweise Angemessenheit. Dazu muss ich kurz ausholen.

Die USA und Datenschutz: eine komplizierte Geschichte

Das amerikanische Rechtssystem kennt aus seiner Tradition heraus nur wenige Einschränkungen für behördliches Eindringen in die Privatsphäre der Bürger. Es gibt zwar schon seit 1791 verfassungsrechtliche Regelungen zum Schutz vor Durchsuchungen ohne Gerichtsbeschluss oder zum Recht auf faire Verfahren. Aber diese Regelungen reichen bei weitem nicht an die Vorgaben heran, die sich heute aus der Europäischen Menschenrechtskonvention (Artikel 8) oder der EU-Grundrechtecharta (Artikel 7 und 8) ergeben. Es gibt in den USA kein allgemeines Datenschutzgesetz und auch keine vergleichbaren allgemeinen Regelungen für Unternehmen oder für Behörden. Es gibt zwar immer wieder ein paar Initiativen zur Schaffung solcher Regelungen, aber selbst diese gehen nie so weit, wie es DSGVO und Europäischer Gerichtshof verlangen.

Hinzu kommt, dass die amerikanische Rechtsprechung im Regelfall Ausländern, die sich nicht in den USA aufhalten, wenige bis keine Rechte einräumt. Davon müsste für einen Angemessenheitsbeschluss mindestens zugunsten von Personen in der EU abgewichen werden, damit sie sich wirksam gegen amerikanische Unternehmen und Behörden wehren können, die ihre Datenschutzrechte verletzen. Angesichts der heutigen geopolitischen Lage, der anstehenden Präsidentschaftswahl in den USA, der übergroßen Bedeutung der Themen nationale Sicherheit und Terrorismusbekämpfung in der amerikanischen Politik und der dort völlig eskalierenden Corona-Pandemie ist damit jedoch bestenfalls langfristig zu rechnen.

Dass es heute jedenfalls keine adäquaten Rechtsbehelfe gibt, war Hauptursache dafür, dass der Europäische Gerichtshof jetzt so geurteilt hat, wie er es tat: EU-Bürger und -Bewohner können sich weder in den USA noch in der EU wirksam gegen Datenzugriffe amerikanischer Behörden wehren. Damit bieten die USA kein angemessenes Schutzniveau und damit dürfen personenbezogene Daten nicht in die USA übertragen werden.

Was das Urteil für europäische Unternehmen bedeutet

Die Folgen der Entscheidung wären nicht so gravierend, wenn die USA nicht der größte Exporteur elektronischer Dienstleistungen wären. Rechnet man China raus, werden die zehn meistgenutzten Websites weltweit von amerikanischen Unternehmen betrieben. Erst auf dem 20. Platz findet sich ein europäischer Betreiber. Der Cloud-Bereich wird von Amazon, Microsoft und Google dominiert, der Bereich Produktivitäts-Tools von Microsoft, Google, Adobe, Slack, Dropbox und Trello -– allesamt amerikanische Unternehmen. Egal wie man es bewertet, aber an amerikanischen Tech-Produkten und -Dienstleistungen führt bisher kaum ein Weg vorbei. Ein Weg, den der Europäische Gerichtshof vorerst versperrt hat.

Dabei sind drei Punkte des Urteils für europäische Unternehmen entscheidend:

  1. Die USA bieten selbst kein angemessenes Datenschutzniveau, weder mit noch ohne Privacy Shield.
  2. Alternative Sicherheitsmaßnahmen zur Sicherstellung des Datenschutzniveaus können nur dann angewandt werden, wenn damit tatsächlich ein ähnlicher Schutz gegeben ist, wie bei einem Angemessenheitsbeschluss – auch und gerade in Hinsicht auf den Zugriff durch amerikanische Behörden.
  3. Unternehmen, die Daten in die USA exportieren, tragen allein die volle Verantwortung dafür, sicherzustellen, dass der vorherige Punkt erfüllt ist.

Der letzte Punkt versetzt gerade kleinere Unternehmen in eine unmögliche Lage:

  • sie sollen im Einzelfall für jeden amerikanischen Dienstleister und jede Datenübertragung überprüfen, ob das amerikanische Rechtssystem Behörden einen unkontrollierten Zugriff auf diese Daten ermöglicht
  • sie sollen die amerikanische Rechtsprechung und Gesetzgebung bezüglich Änderungen beobachten, die zu einer Verschlechterung des tatsächlichen Schutzniveaus führen
  • sie dürfen sich bei ihren Prüfungen nicht auf die Aussagen der Dienstleister verlassen, weil sie immer selbst dem ruinösen Bußgeldrahmen der DSGVO ausgesetzt sind
  • sie müssen alternative Dienstleister aus Ländern finden, in denen die DSGVO direkt gilt (also EU/EWR) oder es einen Angemessenheitsbeschluss gibt

Solange es der Europäischen Kommission nicht gelingt, gemeinsam mit den Vereinigten Staaten zu einer tragfähigen Lösung zu kommen, die den Bedenken des Europäischen Gerichtshofs Rechnung trägt, kann man Unternehmen in Europa nur dazu raten, von amerikanischen Dienstleistern Abstand zu nehmen. Das gilt zumindest solange, wie diese Unternehmen kein Angebot vorweisen können, das komplett innerhalb von Ländern betrieben wird, in denen die DSGVO gilt oder es ein angemessenes Datenschutzniveau gibt. Die Datenschutzbehörden, die autonom und weisungsunabhängig agieren, haben in ihren ersten Stellungnahmen (Rheinland-Pfalz, Hamburg, Bund) bereits erklärt, dass sie das Urteil vollumfänglich umsetzen werden. Die Berliner Datenschutzbeauftragte fordert sogar wortwörtlich, dass Unternehmen „umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“, und kündigt an, ihre Pflicht unzulässige Datenübertragungen zu untersagen ernst zu nehmen.

Was Unternehmen jeder Größe jetzt tun sollten

Wir empfehlen, dass jedes Unternehmen egal welcher Größe die folgenden Schritte durchläuft, um sich der neuen Lage zu stellen:

  1. Führen Sie eine Inventur aller genutzten Dienstleister durch und ermitteln sie, welche davon ihren Sitz in den USA haben bzw. welche Daten in den USA verarbeiten.
  2. Prüfen Sie in den jeweiligen Datenschutzbestimmungen bzw. in den geschlossenen Vereinbarungen dieser Dienstleister, ob er sich auf den Privacy Shield stützt, um Datenübertragungen in die USA rechtlich abzusichern.
  3. Überlegen Sie, ob Sie auf diesen Dienstleister verzichten können oder problemlos auf eine Alternative wechseln können. Das Urteil bietet hier gegebenenfalls auch die Möglichkeit einer fristlosen Kündigung.
  4. Kontaktieren Sie Dienstleister, auf die Sie nicht verzichten können, und fragen mit Verweis auf das Urteil und die Unwirksamkeit des Privacy Shield nach alternativen Sicherheitsmaßnahmen, beispielsweise der Verwendung der Standardvertragsklauseln, die kurzfristig umgesetzt werden können.
  5. Ist der Dienstleister nicht bereit oder nicht in der Lage, alternative Sicherheitsmaßnahmen umzusetzen, raten wir dringend, die Geschäftsbeziehung zu beenden und nach alternativen Dienstleistern mit Sitz in der EU oder einem Land mit Angemessenheitsbeschluss zu suchen. Das gilt erst recht für Plugins und Tools, die auf der eigenen Website für jedermann ersichtlich eingesetzt werden.
  6. In wenigen Fällen ist es möglich, auf die Sonderregelungen aus Art. 49 DSGVO zurückzugreifen. Zum Beispiel können Datenübertragungen in die USA auch dadurch legalisiert werden, dass die betroffenen Personen explizit zustimmen, nachdem sie umfassend über das damit verbundene Risiko aufgeklärt werden. Oder ein bestehender Vertrag mit den betroffenen Personen macht die Übertragung unabdingbar. In den meisten Fällen werden diese Sonderregelungen aus wirtschaftlichen Gründen nicht geeignet sein. Auf keinen Fall ist es zulässig, die regelmäßige Nutzung amerikanischer Dienstleister auf diese Sonderregelungen zu stützen.

Es ist bedauerlich, dass der Gerichtshof keinerlei Übergangsfristen festgelegt hat, das Urteil also sofort wirksam ist. Um so wichtiger ist es, zügig darauf zu reagieren, um Abmahnungen und weitere Verfahren von Datenschutzbehörden, Wettbewerber oder betroffene Personen erfolgreich abwehren zu können. Im BlueDatex-Team gibt es langjährige Erfahrung mit dem Datenaustausch zwischen Europa und den USA. Lassen Sie sich von uns beraten!

Tücken bei Gewinnspielen - 1,2 Mio Bußgeld gegen die AOK

Gewinnspiele sind eine beliebte Methode, an personenbezogene Daten zu Werbezwecken zu gelangen. Im Austausch für die Gelegenheit einen werthaltigen Preis zu gewinnen sind viele Verbraucher bereit, ihre Daten rauszugeben und sich zu Werbezwecken kontaktieren zu lassen. Dass dabei auch vieles schiefgehen kann, zeigt sich in einem aktuellen Verfahren in Baden-Württemberg, das der örtlichen AOK ein Bußgeld in Höhe von 1.240.000 Euro eingehandelt hat.

In diesem Artikel beschreiben wir den Hintergrund des Falls, die rechtliche Einordnung, die Höhe des Bußgeldes und was das für Unternehmer heute bedeutet (Sprung direkt zu den Handlungsempfehlungen).

Hintergrund

Im Rahmen mehrerer Gewinnspiele hat die AOK zwischen 2015 und 2019 Daten gesammelt, die sie mit expliziter Einwilligung der Teilnehmer auch für Werbezwecke nutzen wollte. Dazu hat sie auf den Formularen die Möglichkeit angeboten, durch Ankreuzen die Zustimmung zur Nutzung ihrer Daten zu Werbezwecken zu erteilen.

Später wurden die Teilnehmer dieser Gewinnspiele dann angeschrieben, um sie auf Angebote der AOK Baden Württemberg aufmerksam zu machen. Dabei sollte mithilfe geeigneter interner Maßnahmen sichergestellt werden, dass solche Schreiben nur an die Teilnehmer rausgingen, die auch entsprechend zugestimmt haben. Teilnehmer, die kein Kreuzchen gesetzt hatten, sollten von den Werbeaktionen ausgenommen werden. Tatsächlich wurden die Schreiben aber auch an 500 Teilnehmer versandt, die der Nutzung für Werbezwecke nicht zugestimmt hatten.

Rechtliche Einordnung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt (Art. 6 DSGVO). Im Falle von Gewinnspielen kommen hierfür regelmäßig die Einwilligung, die Vertragserfüllung oder das berechtigte Interesse des Anbieters infrage. Im vorliegenden Fall hat sich die AOK für die Rechtsgrundlage der Einwilligung entschieden.

Wer personenbezogene Daten verarbeitet ist verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Daten im gesetzlichen Umfang geschützt sind (Art 32. DSGVO). Beruht die Verarbeitung auf der Rechtsgrundlage der Einwilligung, muss gewährleistet werden, dass tatsächlich nur die Daten verarbeitet werden, für die eine Einwilligung vorliegt. Die Nachweispflicht dafür trägt das Unternehmen.

Kann ein Unternehmen nicht nachweisen, dass geeignete Maßnahmen getroffen wurden oder dass die getroffenen Maßnahmen tatsächlich geeignet sind, kann hierfür von der zuständigen Datenschutzbehörde ein Bußgeld verhängt werden (Art. 83 DSGVO).

Im vorliegenden Fall konnte festgestellt werden, dass die Daten von 500 Teilnehmern zu Werbezwecken ohne deren Einwilligung verarbeitet wurden, indem sie zu Angeboten der AOK kontaktiert wurden. Die Maßnahmen, die von der AOK getroffen wurden, waren daher im Ergebnis nicht geeignet, ein angemessenes Schutzniveau sicherzustellen.

Höhe des Bußgeldes: kein gutes Zeichen

Die Höhe von Datenschutz-Bußgeldern ist vom Einzelfall abhängig, muss jedoch immer „wirksam, verhältnismäßig und abschreckend“ sein. Zusammen mit der hier anzuwendenden Obergrenze von 2 % des Vorjahresumsatzes oder 10 Mio Euro (je nachdem, was höher ist) ergeben sich empfindliche Sanktionen, die nicht auf die leichte Schulter genommen werden können.

Auf den ersten Blick erscheinen 1,2 Mio. Euro für 500 Fälle, also 2.480 Euro pro Fall hoch: die abschreckende Wirkung wäre wohl auch gewährleistet worden, wenn nur ein Bruchteil davon festgesetzt worden wäre. Schließlich zahlt die Gesetzliche Krankenversicherung auch maximal ca. 93 Euro Provision pro vermittelten Beitragszahler, der TKP liegt sicherlich weit darunter.

Im Vergleich zum Vorjahresumsatz der AOK Baden-Württemberg (2019: 14,1 Mrd Euro) hält sich das Bußgeld aber am untersten Rand des Möglichen auf. Dafür gibt es auch einen Grund: Die Landesdatenschutzbehörde hat einige Faktoren identifiziert, die es zugunsten der AOK gewertet hat. Dazu gehörten:

  • umfassende interne Überprüfungen und Anpassungen des Umgangs mit personenbezogenen Daten durch die AOK
  • konstruktive Zusammenarbeit mit der Behörde
  • zusätzliche interne Kontrollmechanismen für Vertriebstätigkeiten
  • Bedeutung der Krankenkasse als Bestandteil des Gesundheitssystems
  • Gefährdung der gesetzlichen Pflichten der Krankenkasse durch ein zu hohes Bußgeld, auch in Bezug zur Corona-Pandemie

Insbesondere die letzten beiden Faktoren geben jedoch zu denken: Den meisten Unternehmen der Privatwirtschaft wird es nicht möglich sein, eine ähnliche öffentliche Bedeutung oder eine Gefährdung gesetzlicher Pflichten durch die Bußgeldhöhe zu beweisen. Das heißt: selbst wenn ein Unternehmen im vergleichbaren Fall umfassend intern aufgeklärt, Verbesserungen umgesetzt und vollständig mit der Behörde kooperiert hätte, müsste es mit einem höheren Bußgeld als 1,2 Mio Euro rechnen. Um so wichtiger ist es daher dafür zu sorgen, dass ein Fall wie dieser gar nicht eintreten kann.

Handlungsempfehlungen bei Gewinnspielen

Die Nutzung von Gewinnspielen zum Sammeln von Daten potenzieller Kunden ist nicht per se rechtswidrig. Im Gegenteil wird die Nutzung personenbezogener Daten für Werbezwecke explizit von der DSGVO als mögliche Grundlage eines berechtigten Interesses genannt. Der Teufel steckt jedoch im Detail.

Wer Gewinnspiele durchführen möchte, hält sich am besten an folgende Regeln:

  1. Die Teilnahme am Gewinnspiel sollte per Formular erfolgen. In diesem Formular sollten verpflichtend die Daten abgefragt werden, die für eine Kontaktaufnahme und für die Teilnahme am Gewinnspiel notwendig sind.
  2. Das Formular sollte keine allgemeine Einwilligung zur Verwendung der Daten zu Werbezwecken einfordern. Es sollte aber deutlich darauf hinweisen, dass die Daten zu Werbezwecken verwendet werden können.
  3. Das Formular sollte separate Möglichkeiten zur Kontaktaufnahme zu werblichen Zwecken per E-Mail und per Telefon enthalten, die vom Teilnehmer angekreuzt werden müssen. Hintergrund hier ist nicht die DSGVO sondern § 7 UWG, wonach sowohl Telefonanrufe als auch E-Mails (aber keine Postsendungen) zu Werbezwecken bei Verbrauchern ohne vorherige ausdrückliche Zustimmung als unzumutbare Belästigung angesehen werden.
  4. Zusammen mit dem Formular sollte eine Datenschutzbelehrung zur Verfügung gestellt werden, aus der hervorgeht, dass die Daten der Teilnehmer zur Durchführung des Gewinnspiels und zu Werbezwecken verwendet werden. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens an der Durchführung des Gewinnspiels sowie zur Akquise neuer Kunden. Auf das unbeschränkte Widerspruchsrecht muss explizit hingewiesen werden
  5. Im CRM bzw. in der Interessentendatenbank muss sorgfältig gespeichert werden, wozu der Teilnehmer alles seine Zustimmung erteilt hat.

Wir als Partner für wirtschaftlichen Datenschutz empfehlen, den Datenschutzbeauftragten im Unternehmen oder einen externen Datenschutzbeauftragten beim Entwurf von Gewinnspielen bereits frühzeitig einzubinden. So beugen Sie Bußgeldern infolge zu Unrecht genutzter Datensätze vor und können Gewinnspiele rechtssicher zur Adressakquise nutzen.

Cookies 2020

Website-Betreiber dürfen Cookies nur mit vorheriger eindeutiger Einwilligung des Website-Besuchers speichern und auslesen. Mit diesem Urteil vor dem Bundesgerichtshof ging am 28. Mai 2020 ein seit 2014 anhängiger Rechtsstreit (Az. I ZR 7/16) zu Ende. Das Urteil bestätigt letztlich, was in der sonstigen EU schon lange galt. Damit werden viele Praktiken obsolet, die in Deutschland seit Jahren üblich sind. Im Folgenden erläutern wir den Hintergrund, geben Hinweise, was jeder Betreiber einer Website jetzt sofort tun muss, und zeigen einen besonders einfachen Weg, das Cookie-Problem zu lösen.

Rechtlicher und technischer Hintergrund

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um Datensätze, die Websites im Browser eines Besuchers speichern und zu einem späteren Zeitpunkt wieder auslesen. Damit wird es ermöglicht, aufeinander folgende Besuche derselben Website zusammenzuzählen und insbesondere wiederkehrende Kunden zu identifizieren. Cookies werden aber auch dazu eingesetzt, um Besucher über mehrere Websites hinweg zu tracken und online für jeden Besucher passgenaue Werbung auszuliefern. Cookies sind zum Beispiel der Grund, warum Besucher einer Website eines Gartenbaumarktes später wiederholt Werbung für Blumenerde und Gießkannen sehen, wenn sie Facebook aufrufen.

Warum sind Cookies aus Datenschutzsicht ein Problem?

Wie wir hier ausgeführt haben, soll der Datenschutz verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Grundgedanke des Datenschutzes ist daher: Jeder soll wissen, was mit seinen Daten passiert, und Daten sollen im Regelfall nicht entgegen der Interessen der jeweiligen Person verarbeitet werden. Bei Cookies besteht die Herausforderung, dass sie regelmäßig ohne das Wissen des Website-Besuchers gespeichert oder ausgelesen werden. Die meisten Menschen wissen nicht einmal, dass es Cookies gibt, geschweige denn was sie bedeuten.

Schwerwiegender ist jedoch, dass auch viele Betreiber von Websites nicht wissen, dass ihre eigene Website beim Besuch Cookies speichert oder ausliest. Wer sich mithilfe eines der unzähligen Baukastensysteme für Websites wie Jimdo, WiX oder WordPress eine neue Online-Präsenz zusammenstellt, benutzt sehr schnell Cookies, ohne es zu bemerken. Die Anbieter dieser Systeme sind nicht unbedingt transparent, was ihren eigenen Einsatz von Cookies angeht. Aber auch die Einbindung von populären Plugins wie Google Analytics, Vimeo oder Youtube führt zum Speichern und Auslesen von Cookies, ohne dass den Website-Betreibern das bewusst ist.

Warum gibt es dann auf allen möglichen Websites, Online-Shops etc. große Banner und Popups, die über Cookies sprechen und Besucher zum Akzeptieren“ auffordern?

Die Antwort der EU auf die genannte Intransparenz ist die seit 2009 geltende ePrivacy-Direktive. Sie erlegt allen Betreibern von Websites auf, Cookies nur mit Einwilligung des Nutzers zu speichern und auszulesen. In Deutschland wurde dieser Teil der Direktive in § 15 Telemediengesetz (TMG) umgesetzt. Ein Verstoß stellt eine Ordnungswidrigkeit dar, mit einem Bußgeldrahmen von bis zu 50.000 Euro.

Die ePrivacy-Direktive schreibt nicht vor, auf welche Art und Weise die Einwilligung einzuholen ist. Aber ein technisch einfacher und offensichtlicher Weg ist es, den Nutzer zu Beginn des Besuchs der Website über Cookies zu informieren und ihn das irgendwie bestätigen zu lassen. Banner oder Popups sind also schlicht der einfachste Weg, den gesetzlichen Vorgaben zu Cookies zu folgen.

Muss wirklich für jedes Cookie eine Einwilligung eingeholt werden?

Tatsächlich sieht die ePrivacy-Direktive auch eine Ausnahme vor: Cookies, die unbedingt erforderlich sind, um die Website zu betreiben, bedürfen keiner Einwilligung. Für solche Cookies ergab sich aus der Direktive nicht einmal eine Informationspflicht.

Die seit 2018 geltende DSGVO enthält aber eine solche Informationspflicht, sodass über Cookies auf jeden Fall in der Datenschutzerklärung informiert werden muss – unabhängig davon, ob eine Einwilligung erforderlich ist oder nicht.

So weit so klar. Aber worüber streitet man sich vor Gericht?

Die gesetzlichen Vorgaben sind nicht sehr detailliert und bieten viel Spielraum für Interpretationen, was zu einer Reihe von Gerichtsprozessen geführt hat. Viele davon schafften es bis zu den höchsten Gerichten der EU-Mitgliedsstaaten und zum Europäischen Gerichtshof. Eine Auswahl der Streitpunkte:

  • Welche Informationen über Cookies müssen bereitgestellt werden?
    Antwort: Jedes Cookie muss einzeln beschrieben werden samt Zweck und Speicherdauer.
  • Wenn ein Nutzer auf der Website nach unten scrollt oder auf weitere Links auf der Website klickt, die Website also weiter besucht, kann dann von einer Einwilligung ausgegangen werden?
    Antwort: Nein, von einer Einwilligung kann nur ausgegangen werden, wenn der Nutzer ausdrücklich und eindeutig zustimmt.
  • Ist es ausreichend, wenn der Nutzer der Website nur die Möglichkeit hat, allen Cookies zuzustimmen?
    Antwort: Nein, der Nutzer muss die Möglichkeit haben, Cookies je nach Zweck zuzulassen oder abzulehnen.
  • Ist eine bereits gesetzte Häkchenbox erlaubt, um die Zustimmung einzuholen? Der Nutzer müsste also das Häkchen entfernen, um Cookies abzulehnen.
    Antwort: Nein, die Zustimmung muss durch eine eindeutige ausdrückliche Handlung erteilt werden. Ohne diese Handlung darf von keiner Einwilligung ausgegangen werden.
  • Sind Cookies, die für Marketing- oder Werbezwecke verwendet werden, unbedingt notwendig und damit von der Einwilligungspflicht befreit?
    Antwort: Nein, für Marketing- und Werbe-Cookies ist auf jeden Fall die vorherige Einwilligung des Nutzers erforderlich.
  • Wäre es zulässig, erst einmal von der Einwilligung des Nutzers auszugehen, wenn man ihm später die Möglichkeit gibt zu widersprechen (sogenanntes Opt-out)?
    Antwort: Nein, die Einwilligung ist nur gegeben, nachdem der Nutzer durch eine eindeutige und ausdrückliche Handlung seine Zustimmung erteilt hat. Cookies dürfen auch erst danach gespeichert oder ausgelesen werden.

Diese Prozesse erfreuten sich erheblicher Aufmerksamkeit, insbesondere von allen, die Online-Marketing betreiben. Die Sorge: Wenn Cookies tatsächlich nur dann verwendet werden dürfen, nachdem der Nutzer aktiv eingewilligt hat, würden viele Cookies nicht mehr gesetzt werden können. Und dann wäre auch keine passgenaue Werbung über Websites hinweg mehr möglich (Stichwort Remarketing bzw. Retargeting). Salopp gesagt: keine Werbung mehr für Blumenerde oder Gießkannen auf Facebook nach dem Besuch der Website eines Gartenbaumarkts.

Wie steht das alles im Verhältnis zum Datenschutz und der DSGVO?

Zwei Dinge müssen im Verhältnis zwischen ePrivacy-Direktive und DSGVO berücksichtigt werden:

  1. Cookies gelten in der Regel als personenbezogene Daten und sind damit vom Datenschutz erfasst. Theoretisch könnten Cookies auch genutzt werden, um Daten zu speichern, die nichts mit dem Nutzer zu tun haben und damit auch nicht dem Datenschutz unterliegen. Der praktische geschäftliche Nutzen ergibt sich aber regelmäßig erst aus der individuellen Identifikationsmöglichkeit und dem Tracken zwischen Websites.
  2. Die ePrivacy-Direktive gilt in ihrer aktuellen Form seit 2009, die DSGVO trat erst 2018 in Kraft. Damit gelten seit 2018 auch für Cookies die gleichen strengen Anforderungen an Informationspflichten und wirksame Einwilligungen aus der DSGVO wie sonst auch.

Unsere Hinweise und Tipps zum Umgang mit Cookies

In den folgenden Schritten beschreiben wir, was jeder Betreiber einer Website jetzt unverzüglich tun sollte.

1. Bestandsaufnahme – Benutze ich überhaupt Cookies?

Ob eine Website Cookies einsetzt, ist regelmäßig weder für den Besucher am PC zuhause oder im Büro noch für den Betreiber einer Website selbst offensichtlich. Für Letztere ergibt sich die Problematik daraus, dass Websites oft aus verschiedenen Plugins und Erweiterungen Dritter zusammengesetzt werden und die meisten Website-Betreiber die technischen Hintergründe ihrer eigenen Website nicht wirklich verstehen.

Das ist weder verwunderlich noch wirklich zu bemängeln: Wer Visitenkarten drucken lässt, wird sich selten mit den Details des Offset-Drucks, der verwendeten Maschinen und Druckerfarben oder des Druckprozesses auseinandersetzen wollen. Man will einfach Visitenkarten, die gedruckt so aussehen, wie sie am Bildschirm entworfen wurden. Bei Websites ist das nicht anders.

Erste Aufgabe ist es also herauszufinden, ob überhaupt Cookies verwendet werden. Wer Agentur, Webdesigner oder Programmierer für die eigene Website beauftragt hat, fragt am besten diese danach. Wer sich die Website mithilfe eines Baukastens wie Jimdo, WiX oder WordPress zusammengestellt hat, bekommt gegebenenfalls Unterstützung von diesen Anbietern in Form eines Cookie-Plugins, das auch Informationen über genutzt Cookies bereitstellt. Für alle Übrigen empfiehlt sich die Beauftragung eines Web-Programmierers, die selbstständige Arbeit mit Browser-Plugins wie EditThisCookie für Chrome oder Cookie-Editor für Firefox oder auch die Nutzung unseres Website-Checks.

2. Aufräumen – Brauche ich alle Cookies wirklich?

Jede Bestandsaufnahme ist eine Gelegenheit zum Aufräumen. Manchmal sammeln sich über Jahre Plugins und Erweiterungen in Websites an, die nie benutzt werden und schlimmstenfalls die Website verlangsamen. Wir empfehlen daher dringend zu schauen, ob tatsächlich alle Cookies gebraucht werden.

So war es zum Beispiel einige Jahre „schick“, Google Maps direkt in die eigene Website einzubinden, um den Standort des Unternehmens zu verdeutlichen. Eine wesentlich bessere Lösung ist es inzwischen, nur noch ein Bild der Karte in die Website zu integrieren und das Bild mit einem Link zu Google Maps mit der richtigen Standort-Adresse zu versehen. Das hat drei Vorteile: Handy-Benutzer landen mit dem Link direkt in ihrer Google Maps App, die Ladegeschwindigkeit vieler Websites erhöht sich massiv und für Google Maps werden keine Cookies mehr auf der Website gesetzt. Ähnlich können Sie auch mit Vimeo oder Youtube verfahren.

3. Ausnahmen – Welche Cookies sind „unbedingt erforderlich“?

Cookies, die für den Betrieb der Website unbedingt erforderlich sind, bedürfen keiner Einwilligung. Ob diese Ausnahme zutrifft, hängt ganz entschieden von Funktion bzw. vom Zweck ab.

Leider enthalten die gesetzlichen Vorgaben keine Definition, was unter „unbedingt erforderlich“ zu verstehen ist. Es gibt auch kaum verbindliche Rechtsprechung zu dieser Frage. Die folgende Übersicht stellt daher nur unsere Einstufung dar, die wir hier ausdrücklich ohne Gewähr veröffentlichen. Es ist nicht auszuschließen, dass die Datenschutzaufsichtsbehörden und letztlich die Gerichte das anders sehen. Wir halten diese Einstufung jedoch für vertretbar und begründbar.

Funktion / ZweckEinwilligung erforderlich
Anmeldung / Login, Warenkorb, Sprachauswahlnein
Speichern der Einwilligung zu Cookiesnein
Load-Balancingnein
Mediensteuerung (z.B. letzte angeschaute Stelle von Videos)nein
Reichweitenmessung (z.B. mittels Matomo)nein
Remarketing / Retargetingja
Facebook Pixelja
Google Ads Conversion Trackingja
Google Analyticsja

4. Absichern – Cookie-Manager einbauen

Wenn nach Bestandsaufnahme und Aufräumen noch Cookies übrig bleiben, die nicht unbedingt erforderlich sind, empfehlen wir den Einbau eines Cookie-Managers. Es gibt eine Vielzahl von Lösungen am Markt, die sich darauf spezialisieren, die Informationspflichten über Cookies zu erfüllen und wirksame Einwilligungen einzuholen. Diese Lösungen sind nicht immer kostenlos. Hier eine nicht abschließende Auswahl von Lösungen in unsortierter Reihenfolge, die wir aus der Beratungspraxis kennen und für tauglich halten:

Bei einigen Cookie-Managern muss beachtet werden: ihre Benutzung führt dazu, dass personenbezogene Daten von Dritten (nämlich den Anbietern dieser Lösungen) verarbeitet werden. In solchen Fällen ist regelmäßig ein Auftragsverarbeitungsvertrag notwendig, den seriöse Anbieter jedoch automatisch anbieten.

Wir raten ausdrücklich davon ab, Cookie-Manager selbst zu bauen oder selbst entwickeln zu lassen. Zu groß ist das Risiko, Cookies versehentlich doch zu setzen oder auszulesen, ohne dass eine wirksame Einwilligung vorliegt.

Womit muss ich rechnen, wenn ich Nichts tue?

Wenn auf Ihrer Website keine Cookies verwendet werden, gibt es auch keinen Handlungsbedarf. Verwenden Sie jedoch Cookies, ob direkt oder indirekt mittels Plugins wie Google Analytics, Vimeo oder Youtube, und beschaffen sich nicht die notwendige Einwilligung, sind alle folgenden Konsequenzen möglich:

  • Abmahnung und ggf. Schadensersatz und Schmerzensgeldforderungen durch Nutzer
  • Abmahnung durch Wettbewerber
  • Bußgelder durch die 16 deutschen Datenschutzbehörden

Insbesondere der letzte Punkt darf nicht unterschätzt werden: Wenn die Datenschutzbehörden tätig werden, gilt ein erheblich höherer Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des Vorjahresumsatzes, je nachdem welcher Betrag höher liegt. Solange der Rechtsstreit noch beim BGH anhängig war, durften die Datenschutzbehörden wegen der unklaren Rechtslage keine Verfahren wegen Cookies einleiten. Diese Zurückhaltung ist seit der Verkündung des Urteils am 28. Mai 2020 aber vorbei.

Gibt es nicht einen einfacheren Weg, das Thema Cookies abzuhaken?

Ja, den gibt es: Wir bieten als Experten für wirtschaftlichen Datenschutz unseren Website-Check an. Dabei prüfen wir Ihre Website auf Cookies und andere Datenschutzthemen, helfen Ihnen bei der Behebung eventueller Mängel und bestätigen schließlich die Einhaltung aller Regeln. Noch besser: Sie bekommen auch ein grafisches Siegel für Ihre eigene Website, mit dem Sie Ihren Kunden und Partnern demonstrieren, dass alle Datenschutzregeln eingehalten werden.

Ob Weltkonzern oder Kleinstbetrieb – Die DSGVO gilt für alle Unternehmen und mangelnde Verantwortung wird bestraft!

Zuerst ist gegen ein Krankenhaus in Portugal die europaweit erste substanzielle Geldstrafe in Höhe von 400.000 EUR wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) bekannt geworden.

Anfang der letzten Woche wurde nun die erste Rekorde-Strafe in Höhe von 50 Millionen EUR bekannt, die der Internetriese Google in Frankreich wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO-Bußgelder) zahlen soll. Hintergrund: der Weltkonzern hat die Pflicht missachtet, seine Nutzer transparent über die Datennutzung zu informieren, und zudem keine wirksame Einwilligung für die Verarbeitung der Daten zu Werbezwecken vorweisen könne.

Eher zu vernachlässigen erscheint dagegen ein Fall, welcher fast zeitgleich aus Hamburg bekannt wurde. Dort hatte die Datenschutzbehörde an das kleine Versandunternehmen Kolibri Image einen Bußgeldbescheid über 5.000 EUR aufgrund eines fehlenden Auftragsverarbeitungsvertrags erlassen.

Ergo: Ob Weltkonzern oder Kleinstunternehmen – Die DSGVO gilt für alle Unternehmen und mangelnde Verantwortung wird bestraft!

Die eigene Verantwortung muss von den Unternehmen daher erkannt und umgesetzt werden

Neben diesen medienbekannten Fällen gibt es natürlich bereits zahlreiche andere Entscheidungen der Aussichtsbehörden. Allein in Bayern laufen nach Angaben der Datenschutzbehörde zurzeit ca. 85 Bußgeldverfahren nach der DSGVO.

Die häufigsten Auslöser für die Bußgeldverfahren seien dabei Beschwerden von Betroffenen, welche nach Art 38 Absatz 4 DSGVO in erster Instanz dem Zuständigkeitsbereich des Datenschutzbeauftragten des Unternehmens unterfallen. Sie gehen in den meisten Fälle aufgrund von Werbemails, unzulässig aufgezeichneten Telefonaten o.a. ein.

Natürlich sind viele Bestimmungen der DSGVO hochgradig auslegungsbedürftig. Das gilt für „berechtigte Interessen“ (Art. 6 Abs. 1 Satz 1 lit. f DSGVO), für die Frage eines möglichen Kopplungsverbots (Art. 7 Abs. 4 DSGVO) und für unzählige andere Fragen.

Dass Aufsichtsbehörden strenge Maßstäbe an die Auslegung der DSGVO anlegen und im Zweifel für den Betroffenen argumentieren, ist ihnen nicht zu verdenken. Denn der Schutz der Betroffenen ist die originäre Aufgabe der Behörden.

Die Benennung eines Datenschutzbeauftragten kann Ihnen dabei helfen, die Unwägbarkeiten der Datenschutzgrundverordnung gut zu meistern und insbesondere Haftungs- und Bußgeldtatbestände zu vermeiden.