Cookies 2020

Website-Betreiber dürfen Cookies nur mit vorheriger eindeutiger Einwilligung des Website-Besuchers speichern und auslesen. Mit diesem Urteil vor dem Bundesgerichtshof ging am 28. Mai 2020 ein seit 2014 anhängiger Rechtsstreit (Az. I ZR 7/16) zu Ende. Das Urteil bestätigt letztlich, was in der sonstigen EU schon lange galt. Damit werden viele Praktiken obsolet, die in Deutschland seit Jahren üblich sind. Im Folgenden erläutern wir den Hintergrund, geben Hinweise, was jeder Betreiber einer Website jetzt sofort tun muss, und zeigen einen besonders einfachen Weg, das Cookie-Problem zu lösen.

Rechtlicher und technischer Hintergrund

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um Datensätze, die Websites im Browser eines Besuchers speichern und zu einem späteren Zeitpunkt wieder auslesen. Damit wird es ermöglicht, aufeinander folgende Besuche derselben Website zusammenzuzählen und insbesondere wiederkehrende Kunden zu identifizieren. Cookies werden aber auch dazu eingesetzt, um Besucher über mehrere Websites hinweg zu tracken und online für jeden Besucher passgenaue Werbung auszuliefern. Cookies sind zum Beispiel der Grund, warum Besucher einer Website eines Gartenbaumarktes später wiederholt Werbung für Blumenerde und Gießkannen sehen, wenn sie Facebook aufrufen.

Warum sind Cookies aus Datenschutzsicht ein Problem?

Wie wir hier ausgeführt haben, soll der Datenschutz verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Grundgedanke des Datenschutzes ist daher: Jeder soll wissen, was mit seinen Daten passiert, und Daten sollen im Regelfall nicht entgegen der Interessen der jeweiligen Person verarbeitet werden. Bei Cookies besteht die Herausforderung, dass sie regelmäßig ohne das Wissen des Website-Besuchers gespeichert oder ausgelesen werden. Die meisten Menschen wissen nicht einmal, dass es Cookies gibt, geschweige denn was sie bedeuten.

Schwerwiegender ist jedoch, dass auch viele Betreiber von Websites nicht wissen, dass ihre eigene Website beim Besuch Cookies speichert oder ausliest. Wer sich mithilfe eines der unzähligen Baukastensysteme für Websites wie Jimdo, WiX oder WordPress eine neue Online-Präsenz zusammenstellt, benutzt sehr schnell Cookies, ohne es zu bemerken. Die Anbieter dieser Systeme sind nicht unbedingt transparent, was ihren eigenen Einsatz von Cookies angeht. Aber auch die Einbindung von populären Plugins wie Google Analytics, Vimeo oder Youtube führt zum Speichern und Auslesen von Cookies, ohne dass den Website-Betreibern das bewusst ist.

Warum gibt es dann auf allen möglichen Websites, Online-Shops etc. große Banner und Popups, die über Cookies sprechen und Besucher zum Akzeptieren“ auffordern?

Die Antwort der EU auf die genannte Intransparenz ist die seit 2009 geltende ePrivacy-Direktive. Sie erlegt allen Betreibern von Websites auf, Cookies nur mit Einwilligung des Nutzers zu speichern und auszulesen. In Deutschland wurde dieser Teil der Direktive in § 15 Telemediengesetz (TMG) umgesetzt. Ein Verstoß stellt eine Ordnungswidrigkeit dar, mit einem Bußgeldrahmen von bis zu 50.000 Euro.

Die ePrivacy-Direktive schreibt nicht vor, auf welche Art und Weise die Einwilligung einzuholen ist. Aber ein technisch einfacher und offensichtlicher Weg ist es, den Nutzer zu Beginn des Besuchs der Website über Cookies zu informieren und ihn das irgendwie bestätigen zu lassen. Banner oder Popups sind also schlicht der einfachste Weg, den gesetzlichen Vorgaben zu Cookies zu folgen.

Muss wirklich für jedes Cookie eine Einwilligung eingeholt werden?

Tatsächlich sieht die ePrivacy-Direktive auch eine Ausnahme vor: Cookies, die unbedingt erforderlich sind, um die Website zu betreiben, bedürfen keiner Einwilligung. Für solche Cookies ergab sich aus der Direktive nicht einmal eine Informationspflicht.

Die seit 2018 geltende DSGVO enthält aber eine solche Informationspflicht, sodass über Cookies auf jeden Fall in der Datenschutzerklärung informiert werden muss – unabhängig davon, ob eine Einwilligung erforderlich ist oder nicht.

So weit so klar. Aber worüber streitet man sich vor Gericht?

Die gesetzlichen Vorgaben sind nicht sehr detailliert und bieten viel Spielraum für Interpretationen, was zu einer Reihe von Gerichtsprozessen geführt hat. Viele davon schafften es bis zu den höchsten Gerichten der EU-Mitgliedsstaaten und zum Europäischen Gerichtshof. Eine Auswahl der Streitpunkte:

  • Welche Informationen über Cookies müssen bereitgestellt werden?
    Antwort: Jedes Cookie muss einzeln beschrieben werden samt Zweck und Speicherdauer.
  • Wenn ein Nutzer auf der Website nach unten scrollt oder auf weitere Links auf der Website klickt, die Website also weiter besucht, kann dann von einer Einwilligung ausgegangen werden?
    Antwort: Nein, von einer Einwilligung kann nur ausgegangen werden, wenn der Nutzer ausdrücklich und eindeutig zustimmt.
  • Ist es ausreichend, wenn der Nutzer der Website nur die Möglichkeit hat, allen Cookies zuzustimmen?
    Antwort: Nein, der Nutzer muss die Möglichkeit haben, Cookies je nach Zweck zuzulassen oder abzulehnen.
  • Ist eine bereits gesetzte Häkchenbox erlaubt, um die Zustimmung einzuholen? Der Nutzer müsste also das Häkchen entfernen, um Cookies abzulehnen.
    Antwort: Nein, die Zustimmung muss durch eine eindeutige ausdrückliche Handlung erteilt werden. Ohne diese Handlung darf von keiner Einwilligung ausgegangen werden.
  • Sind Cookies, die für Marketing- oder Werbezwecke verwendet werden, unbedingt notwendig und damit von der Einwilligungspflicht befreit?
    Antwort: Nein, für Marketing- und Werbe-Cookies ist auf jeden Fall die vorherige Einwilligung des Nutzers erforderlich.
  • Wäre es zulässig, erst einmal von der Einwilligung des Nutzers auszugehen, wenn man ihm später die Möglichkeit gibt zu widersprechen (sogenanntes Opt-out)?
    Antwort: Nein, die Einwilligung ist nur gegeben, nachdem der Nutzer durch eine eindeutige und ausdrückliche Handlung seine Zustimmung erteilt hat. Cookies dürfen auch erst danach gespeichert oder ausgelesen werden.

Diese Prozesse erfreuten sich erheblicher Aufmerksamkeit, insbesondere von allen, die Online-Marketing betreiben. Die Sorge: Wenn Cookies tatsächlich nur dann verwendet werden dürfen, nachdem der Nutzer aktiv eingewilligt hat, würden viele Cookies nicht mehr gesetzt werden können. Und dann wäre auch keine passgenaue Werbung über Websites hinweg mehr möglich (Stichwort Remarketing bzw. Retargeting). Salopp gesagt: keine Werbung mehr für Blumenerde oder Gießkannen auf Facebook nach dem Besuch der Website eines Gartenbaumarkts.

Wie steht das alles im Verhältnis zum Datenschutz und der DSGVO?

Zwei Dinge müssen im Verhältnis zwischen ePrivacy-Direktive und DSGVO berücksichtigt werden:

  1. Cookies gelten in der Regel als personenbezogene Daten und sind damit vom Datenschutz erfasst. Theoretisch könnten Cookies auch genutzt werden, um Daten zu speichern, die nichts mit dem Nutzer zu tun haben und damit auch nicht dem Datenschutz unterliegen. Der praktische geschäftliche Nutzen ergibt sich aber regelmäßig erst aus der individuellen Identifikationsmöglichkeit und dem Tracken zwischen Websites.
  2. Die ePrivacy-Direktive gilt in ihrer aktuellen Form seit 2009, die DSGVO trat erst 2018 in Kraft. Damit gelten seit 2018 auch für Cookies die gleichen strengen Anforderungen an Informationspflichten und wirksame Einwilligungen aus der DSGVO wie sonst auch.

Unsere Hinweise und Tipps zum Umgang mit Cookies

In den folgenden Schritten beschreiben wir, was jeder Betreiber einer Website jetzt unverzüglich tun sollte.

1. Bestandsaufnahme – Benutze ich überhaupt Cookies?

Ob eine Website Cookies einsetzt, ist regelmäßig weder für den Besucher am PC zuhause oder im Büro noch für den Betreiber einer Website selbst offensichtlich. Für Letztere ergibt sich die Problematik daraus, dass Websites oft aus verschiedenen Plugins und Erweiterungen Dritter zusammengesetzt werden und die meisten Website-Betreiber die technischen Hintergründe ihrer eigenen Website nicht wirklich verstehen.

Das ist weder verwunderlich noch wirklich zu bemängeln: Wer Visitenkarten drucken lässt, wird sich selten mit den Details des Offset-Drucks, der verwendeten Maschinen und Druckerfarben oder des Druckprozesses auseinandersetzen wollen. Man will einfach Visitenkarten, die gedruckt so aussehen, wie sie am Bildschirm entworfen wurden. Bei Websites ist das nicht anders.

Erste Aufgabe ist es also herauszufinden, ob überhaupt Cookies verwendet werden. Wer Agentur, Webdesigner oder Programmierer für die eigene Website beauftragt hat, fragt am besten diese danach. Wer sich die Website mithilfe eines Baukastens wie Jimdo, WiX oder WordPress zusammengestellt hat, bekommt gegebenenfalls Unterstützung von diesen Anbietern in Form eines Cookie-Plugins, das auch Informationen über genutzt Cookies bereitstellt. Für alle Übrigen empfiehlt sich die Beauftragung eines Web-Programmierers, die selbstständige Arbeit mit Browser-Plugins wie EditThisCookie für Chrome oder Cookie-Editor für Firefox oder auch die Nutzung unseres Website-Checks.

2. Aufräumen – Brauche ich alle Cookies wirklich?

Jede Bestandsaufnahme ist eine Gelegenheit zum Aufräumen. Manchmal sammeln sich über Jahre Plugins und Erweiterungen in Websites an, die nie benutzt werden und schlimmstenfalls die Website verlangsamen. Wir empfehlen daher dringend zu schauen, ob tatsächlich alle Cookies gebraucht werden.

So war es zum Beispiel einige Jahre „schick“, Google Maps direkt in die eigene Website einzubinden, um den Standort des Unternehmens zu verdeutlichen. Eine wesentlich bessere Lösung ist es inzwischen, nur noch ein Bild der Karte in die Website zu integrieren und das Bild mit einem Link zu Google Maps mit der richtigen Standort-Adresse zu versehen. Das hat drei Vorteile: Handy-Benutzer landen mit dem Link direkt in ihrer Google Maps App, die Ladegeschwindigkeit vieler Websites erhöht sich massiv und für Google Maps werden keine Cookies mehr auf der Website gesetzt. Ähnlich können Sie auch mit Vimeo oder Youtube verfahren.

3. Ausnahmen – Welche Cookies sind „unbedingt erforderlich“?

Cookies, die für den Betrieb der Website unbedingt erforderlich sind, bedürfen keiner Einwilligung. Ob diese Ausnahme zutrifft, hängt ganz entschieden von Funktion bzw. vom Zweck ab.

Leider enthalten die gesetzlichen Vorgaben keine Definition, was unter „unbedingt erforderlich“ zu verstehen ist. Es gibt auch kaum verbindliche Rechtsprechung zu dieser Frage. Die folgende Übersicht stellt daher nur unsere Einstufung dar, die wir hier ausdrücklich ohne Gewähr veröffentlichen. Es ist nicht auszuschließen, dass die Datenschutzaufsichtsbehörden und letztlich die Gerichte das anders sehen. Wir halten diese Einstufung jedoch für vertretbar und begründbar.

Funktion / ZweckEinwilligung erforderlich
Anmeldung / Login, Warenkorb, Sprachauswahlnein
Speichern der Einwilligung zu Cookiesnein
Load-Balancingnein
Mediensteuerung (z.B. letzte angeschaute Stelle von Videos)nein
Reichweitenmessung (z.B. mittels Matomo)nein
Remarketing / Retargetingja
Facebook Pixelja
Google Ads Conversion Trackingja
Google Analyticsja

4. Absichern – Cookie-Manager einbauen

Wenn nach Bestandsaufnahme und Aufräumen noch Cookies übrig bleiben, die nicht unbedingt erforderlich sind, empfehlen wir den Einbau eines Cookie-Managers. Es gibt eine Vielzahl von Lösungen am Markt, die sich darauf spezialisieren, die Informationspflichten über Cookies zu erfüllen und wirksame Einwilligungen einzuholen. Diese Lösungen sind nicht immer kostenlos. Hier eine nicht abschließende Auswahl von Lösungen in unsortierter Reihenfolge, die wir aus der Beratungspraxis kennen und für tauglich halten:

Bei einigen Cookie-Managern muss beachtet werden: ihre Benutzung führt dazu, dass personenbezogene Daten von Dritten (nämlich den Anbietern dieser Lösungen) verarbeitet werden. In solchen Fällen ist regelmäßig ein Auftragsverarbeitungsvertrag notwendig, den seriöse Anbieter jedoch automatisch anbieten.

Wir raten ausdrücklich davon ab, Cookie-Manager selbst zu bauen oder selbst entwickeln zu lassen. Zu groß ist das Risiko, Cookies versehentlich doch zu setzen oder auszulesen, ohne dass eine wirksame Einwilligung vorliegt.

Womit muss ich rechnen, wenn ich Nichts tue?

Wenn auf Ihrer Website keine Cookies verwendet werden, gibt es auch keinen Handlungsbedarf. Verwenden Sie jedoch Cookies, ob direkt oder indirekt mittels Plugins wie Google Analytics, Vimeo oder Youtube, und beschaffen sich nicht die notwendige Einwilligung, sind alle folgenden Konsequenzen möglich:

  • Abmahnung und ggf. Schadensersatz und Schmerzensgeldforderungen durch Nutzer
  • Abmahnung durch Wettbewerber
  • Bußgelder durch die 16 deutschen Datenschutzbehörden

Insbesondere der letzte Punkt darf nicht unterschätzt werden: Wenn die Datenschutzbehörden tätig werden, gilt ein erheblich höherer Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des Vorjahresumsatzes, je nachdem welcher Betrag höher liegt. Solange der Rechtsstreit noch beim BGH anhängig war, durften die Datenschutzbehörden wegen der unklaren Rechtslage keine Verfahren wegen Cookies einleiten. Diese Zurückhaltung ist seit der Verkündung des Urteils am 28. Mai 2020 aber vorbei.

Gibt es nicht einen einfacheren Weg, das Thema Cookies abzuhaken?

Ja, den gibt es: Wir bieten als Experten für wirtschaftlichen Datenschutz unseren Website-Check an. Dabei prüfen wir Ihre Website auf Cookies und andere Datenschutzthemen, helfen Ihnen bei der Behebung eventueller Mängel und bestätigen schließlich die Einhaltung aller Regeln. Noch besser: Sie bekommen auch ein grafisches Siegel für Ihre eigene Website, mit dem Sie Ihren Kunden und Partnern demonstrieren, dass alle Datenschutzregeln eingehalten werden.

Nachdem auch in Deutschland zunehmend höhere Bußgelder verhängt wurden, diskutieren die Datenschutzbehörden nunmehr ein nachvollziehbares Modell zur Bemessung der Bußgeldhöhe. Teilweise wird dieses Modell auch schon eingesetzt, wie erste darauf verweisende Bescheide deutlich machen.

Anders als die frühere Gesetzgebung zum Datenschutz sieht die DSGVO empfindliche Sanktionsmöglichkeiten bei Datenschutzverstößen vor. Nach Art. 83 DSGVO können die Datenschutzbehörden Bußgelder von bis zu 20 Mio Euro oder von bis zu 4 % des Vorjahresumsatzes–je nachdem, welche Betrag höher ist–verhängen. Die Verordnung sieht selbst aber keine detaillierten Regelungen vor, wie ein Bußgeld im Einzelfall innerhalb dieser Bandbreiten zu bemessen ist. Dieser Mangel soll mit dem bisher unveröffentlichten Modell beseitigt werden.

Konkret sieht der Entwurf vor, den Vorjahresumsatz eines Unternehmens als Grundlage für die Berechnung zu nehmen. Dieser Wert wird durch 360 geteilt, um zu einem Tagessatz zu kommen. Der Tagessatz wird dann – abhängig von der Schwere des Verstoßes – mit einem Faktor zwischen 1 und 14,4 multipliziert, um das Basis-Bußgeld zu berechnen. Die Zahl 14,4 ist kein Zufall: sie spiegelt nach Rückrechnung die zuvor erwähnten 4 % wider. Diese Vorgehensweise hat jedoch zur Folge, dass selbst ein Verstoß “mittlerer Schwere” und damit ein Faktor von 7,2 zu einem Basis-Bußgeld von 2 % des Vorjahresumsatzes führt.

Auf das Basis-Bußgeld werden sodann Auf- und Zuschläge berechnet, mit denen die Art und Weise des Verstoßes, seiner Folgen und weitere Umstände gewürdigt werden. Beachtenswert ist jedoch, dass hier wesentlich mehr Umstände für Zuschläge als für Abschläge berücksichtigt werden.

Mit dem vorgeschlagenen Modell ergeben sich aus unserer Sicht handfeste Konflikte mit den Vorgaben der DSGVO. Diese sieht nämlich vor, dass Bußgelder nicht nur wirksam und abschreckend sondern eben auch verhältnismäßig sein müssen. Und besagter Art. 83 DSGVO enthält auch eine Liste von Umständen, die “in jedem Einzellfall” von den Datenschutzbehörden “gebührend berücksichtigt” werden müssen. Dazu gehören:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Eine pauschale Festlegung auf Basis des Vorjahresumsatzes gibt die DSGVO indes nicht her, erst recht nicht mit einem Faktor, der allein den ersten Punkt dieser Liste reflektiert. Mit der DSGVO soll die Durchsetzung der Datenschutzregeln anhand eines risikoorientierten Maßstabs geprüft werden, der akzeptiert, dass Verstöße auch bei bester Umsetzung aller angemessenen und gebotenen Maßnahmen durch die Verantwortlichen geschehen können. Diese können dann nicht nur deswegen hoch bestraft werden, weil der Verantwortliche viel Umsatz macht.

Bisher ist das Berechnungsmodell nicht veröffentlicht und damit einer öffentlichen Diskussion nur bedingt zugänglich. Mit einer Veröffentlichung ist nach Aussage der Datenschutzkonferenz im November zu rechnen. Wir bleiben dran!

Die Auswirkungen der DSGVO auf den Gesundheitssektor

Für die Verarbeitung von Gesundheitsdaten gelten aufgrund von Art. 9 Abs. 1 sowie Art. 4 Abs. 11 DSGVO strenge Anforderungen. So ist unter anderem ein Datenschutzbeauftragter zu benennen. Die Aufgabe dieses Datenschutzbeauftragten ist es, umfangreich zum Thema Datenschutz zu beraten. Damit können auch Praxen, Apotheken, Unternehmen und Verbände, die diese Thematik vernachlässigt haben mit der Unterstützung eines Datenschutzbeauftragten die Einhaltung aller Datenschutzvorgaben erreichen. Die Pflicht, einen Datenschutzbeauftragten zu bestellen ist aber auch unabhängig von der Branche schnell erreicht: Bereits ab 20 Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden, wenn diese mit der Verarbeitung von personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu). Ein relevanter Umgang mit personenbezogenen Daten kann bereits in üblicher E-Mail-Kommunikation liegen, aber auch Buchhaltungsvorgänge oder der unternehmensinterne Lieferant fallen darunter.

Die Vorteile des externen Datenschutzbeauftragten

Ein Datenschutzbeauftragter kann intern oder extern bestellt werden. Soll der Datenschutzbeauftrage aus dem eigenen Betrieb besetzt werden, muss das Unternehmen dessen spezifisches Fachwissen nachweisen können. Es müssen regelmäßige Fortbildungsmaßnahmen gewährleistet und Fachliteratur angeschafft werden. Die Tätigkeit als Datenschutzbeauftragten bindet die Arbeitszeit des Mitarbeiters und der interne Datenschutzbeauftragte genießt auch einen umfassenden Kündigungsschutz. Gegen den internen Datenschutzbeauftragten spricht auch, dass der externe Datenschutzbeauftragte einen objektiveren Blick auf den Betrieb hat.

Auch wichtig: Wenn der externe Datenschutzbeauftragte nicht ordnungsgemäß arbeitet, haftet dieser, wenn das Unternehmen Zahlungsansprüchen ausgesetzt ist. Ein effizienzorientiertes Unternehmen sollte daher die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten genau abwägen.

Gibt es keinen Datenschutzbeauftragten, obwohl die Datenschutz-Grundverordnung dies vorgibt, können hohe Bußgelder durch die Aufsichtsbehörden verhängt werden. Zu einer entsprechenden Prüfung der Aufsichtsbehörde kann es bereits aufgrund der Beschwerde eines Patienten oder Kunden kommen. Da die Geldstrafen viel höher ausfallen können, als unter der alten Gesetzeslage, ist das gesamte Thema „Datenschutz“ damit viel relevanter. Neben der Sorge um hohe Strafzahlungen gilt aber auch: Datenschutz ist zukünftig eines der wesentlichen Qualitätsmerkmale eines Unternehmens und damit nicht mehr ein zu vernachlässigender „Graubereich“, wie das Thema mitunter oft eingestuft wird.

Auch mit dem Inkrafttreten der Datenschutz-Grundverordnung haben Sie weiterhin ein Wahlrecht dahingehend, ob Sie einen internen oder externen Datenschutzbeauftragten bestellen. Die Vorteile eines externen Datenschutzbeauftragten überwiegen jedoch eindeutig:

  • Der teils lästige Kündigungsschutz eines internen Datenschutzbeauftragten entfällt;
  • Sie sparen sich die Investition in Aus- und Fortbildung des internen Datenschutzbeauftragten;
  • Keine Bindung von personellen Ressourcen;
  • Ein externer Datenschutzbeauftragter bringt mehr Unabhängigkeit und Souveränität mit, womit eine Lösungsfindung bei sensiblen Themen erleichtert werden kann.

Rechtliche Konsequenzen

Sie sollten die Vorschriften der DSGVO sehr ernst nehmen. Dieses Mal meinen es die Behörden ernst, dies zeigt der Beispielssachverhalt, welcher einer Entscheidung des Verwaltungsgerichts Karlsruhe vom 6. Juli 2017 zum Aktenzeichen 10 K 7698/16 zugrunde liegt, wo Behörden bereits vor Inkrafttreten der DSGVO Maßnahmen gegen ein Unternehmen verhängen wollten. Außerdem sind die nationalen Behörden den EU-Aufsichtsbehörden zur Rechenschaft verpflichtet. Deutschland als Mitgliedstaat der EU würde sich selbst Sanktionen aussetzen, sofern die Vorgaben der DSGVO nicht ordnungsgemäß eingehalten und Verstöße dagegen rechtlich geahndet werden.

Recht auf Vergessenwerden

Worum geht es? Ein aktuelles Urteil des Oberlandesgerichtes Frankfurt am Main (Urteil vom 6. September 2018 – 16 U 193/17) zum Datenschutz im Internet behandelt die Klage eines Geschäftsführers eines Regionalverbandes in Hessen gegen den Suchmaschinenbetreiber Google. Der Regionalverband war in eine finanzielle Schieflage geraten und musste im Jahr 2011 einen Fehlbetrag von knapp 1 Million € vermelden. Aus gesundheitlichen Gründen konnte der Kläger kurz vor Vermeldung der negativen Geschäftsentwicklung seiner Tätigkeit nicht mehr nachkommen und nicht an der letztlich erfolgreichen Restrukturierung mitwirken.

Die geschäftlichen Turbulenzen des Regionalverbandes führten zu einer entsprechenden Berichterstattung in der regionalen Presse und somit zu einer Reihe an Artikeln, die nicht nur in gedruckter Form veröffentlicht, sondern von den entsprechenden Verlagen auch online verfügbar gemacht wurden. Dementsprechend zeigt die Suchmaschine Google bei einer Suche nach dem Vor- und Zunamen des Klägers, sowohl isoliert als auch in Verbindung mit bestimmten geographischen Angaben, mehrere Treffer an, die zu diesen Online-Artikeln der örtlichen Presse führen. Das galt 2011 und ist auch heute noch der Fall – denn „das Internet vergisst nicht“.

Aber genau das wollte der ehemalige Geschäftsführer nicht länger hinnehmen. Mit seiner Klage am Oberlandesgericht Frankfurt wollte der Kläger erreichen, dass Google bei einer Suche nach seinem Namen nicht länger Treffer anzeigt, die die geschäftliche Entwicklung des Regionalverbandes in 2011 im Zusammenhang mit seinem Gesundheitszustand beschreiben.

Urteil stellt Informationsrecht über persönliche Interessen

Bei der Klage am Oberlandesgericht Frankfurt handelt es sich um ein Berufungsverfahren. Das Landgericht hatte die Klage erstinstanzlich als zulässig erachtet, aber als unbegründet abgewiesen.

Es sind zwei Aspekte, die den Fall aus einer juristischen Perspektive interessant machen. Zum einen ist seit der Klage am Landgericht die DSGVO in Kraft getreten. Und diese statuiert nach Art. 17 das Recht auf Löschung oder auch das „Recht auf Vergessenwerden“. Zum anderen stellt sich die Frage, wie Suchmaschinen mit sensiblen Gesundheitsdaten umzugehen haben und wie das Interesse des Einzelnen am Schutz seiner personenbezogenen Daten mit dem Interesse der Öffentlichkeit auf Meinungs- und Informationsfreiheit in Einklang gebracht werden kann.

Im vorliegenden Fall urteilt das Oberlandesgericht Frankfurt in einer noch nicht rechtskräftigen Entscheidung zugunsten der Suchmaschine. Das Gericht wertet das Recht der Nutzer von Google auf Kommunikationsfreiheit höher als den Schutz der personenbezogenen Daten des betroffenen Geschäftsführers.

In der Urteilsbegründung heißt es: Es handelt sich um „wahre Tatsachenbehauptungen, die grundsätzlich hinzunehmen sind, auch wenn sie nachteilig für den Betroffenen sind.“ Und: Die „Veröffentlichung dieser Daten war aber zulässig, auch wenn verständlich ist, dass der Kläger sie nicht in der Öffentlichkeit wissen möchte.“

Auch Google & Co. unterliegen der DSGVO

Auch wenn sich der konkrete Kläger im vorliegenden Fall nicht auf einen Unterlassungsanspruch nach Art. 17 DSGVO berufen konnte, lässt das Urteil einige spannende Schlussfolgerungen für die Praxis zu.

Die Entscheidung des Oberlandesgerichtes macht klar, dass die DSGVO durchaus auch Internetgiganten wie den amerikanischen Konzern Google bindet, wenn diese Daten von Personen in der Europäischen Union verarbeiten. Dies gilt zunächst für die sachliche Anwendbarkeit der DSGVO, da personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Das von Suchmaschinen vorgenommene Auffinden, Speichern und systematisierte Zur-Verfügung-Stellen von Informationen ist damit ohne Weiteres erfasst.

Dies gilt aber auch für die räumliche Anwendbarkeit der DSGVO auf Datenverarbeiter ohne Niederlassung in der Union. Voraussetzung hierfür ist, dass die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen entgeltlich oder unentgeltlich anzubieten. Suchmaschinenbetreiber bieten die Möglichkeit, das Internet gezielt nach vorhandenen Informationen zu durchsuchen und auf diese zuzugreifen. Indiz zur Bejahung der Ware oder Dienstleistung ist dabei auch die verwendete Sprache.

Sensible Gesundheitsdaten werden nicht ausreichend geschützt

Das Urteil bleibt allerdings an anderer Stelle hinter den Erwartungen zurück. Nach Art. 17 DSGVO ist ein Löschungsgrund dann gegeben, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Stellt man hierbei auf den Inhalt der Presseartikel ab, so käme laut Oberlandesgericht unter Verweis auf die Rechtsprechung des Bundesgerichtshofes eine Zweckerfüllung „allenfalls dann in Betracht, wenn sich jegliches Informationsinteresse durch Zeitablauf erledigt hätte“. In der Urteilsbegründung räumt das Gericht selbst ein, dass „bereits zweifelhaft“ sei, ob die geforderte Zweckerfüllung „bei einem Presseartikel überhaupt eintreten kann“ . Zu Ende gedacht kann das Gericht hier also nur dahingehend verstanden werden, dass ein Anspruch auf Löschung von Presseartikeln nach Art. 17 DSGVO nie erwachsen kann. Diese zwei knappen Sätze des Gerichts sagen damit Großes aus: Das Internet vergisst nicht.

Dies ist umso bemerkenswerter, da es hier um besonders sensible personenbezogene Daten in Form von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO geht. In zeitlicher Hinsicht stellt das Urteil dabei heraus, dass die Interessen des Klägers auf Entfernung seiner personenbezogenen Daten aus der Trefferliste noch hinter dem öffentlichen Interesse an deren Abrufbarkeit – ihrer Sensibilität im Sinne des Art. 9 Abs. 1 DSGVO ungeachtet – zurücktreten müssten. Wann die an den Zeitablauf zu stellenden Anforderungen erfüllt sind, lässt das Gericht aber offen. Dies könne nur durch die Abwägung der widerstreitenden Interessen im Einzelfall festgestellt werden.

Datenschutz im Internet = das Internet vergisst nicht?

Es fällt auf, wie wenig Bedeutung den sensiblen Gesundheitsdaten des Klägers, die in künftigen Lebensbereichen immerhin herausragende Bedeutung entfalten können, beigemessen und wie behutsam dagegen der Suchmaschinenbetreiber in die Pflicht genommen wird. Wieso dieser eine „besondere Stellung“ einnehmen soll, ist nicht nachvollziehbar. Die Differenzierung zwischen einfachen personenbezogenen Daten und den hier vorliegenden sensiblen personenbezogenen Daten kommt aus nach unserer Einschätzung zu kurz.

Näher liegt da schon eher der Rückgriff auf die Rechtsprechung des EuGH zu den Facebook-Fanpages. Danach haftet der Betreiber einer Facebook-Fanpage mit Facebook gemeinsam für die Verarbeitung personenbezogener Daten auf der Fanpage. Datenschutzrechtlich „Verantwortliche“ sind demnach beide. Dass demgegenüber Suchmaschinenbetreibern nur die behauptet geringen Pflichten zukommen sollen, überzeugt nicht.

Es bleibt festzuhalten, dass die Entscheidung des Oberlandesgerichts Frankfurt am Main aufschlussreich ist, gleichwohl nicht vermag, den Ausschlag zu geben zwischen einem „Recht auf Vergessen“ einerseits und einem „Das Internet vergisst nicht“ andererseits. Gerade im Kontext sensibler Gesundheitsdaten ist eine Klärung der zugrundeliegenden Fragen aber über den konkreten Einzelfall hinaus von grundlegender Bedeutung. Entsprechend mit Spannung zu erwarten ist die Revision über die Frage der zeitlichen Anwendbarkeit von Art. 17 DSGVO, der Anwendbarkeit der Norm auf das konkrete Begehren des Klägers sowie des Umgangs von Suchmaschinen mit sensiblen Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO.