Track me if you can: BGH stellt Einwilligungspflicht bei telefonischer Werbung und Cookie-Speicherung fest

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 28. Mai 2020 bestätigt, dass für den Einsatz von technisch nicht unbedingt erforderlichen Cookies eine Einwilligungspflicht gilt, also ein Opt-in erforderlich ist (siehe dazu die Pressemitteilung vom 28. Mai 2020; die Entscheidungsgründe liegen noch nicht vor). Das Ergebnis überrascht nicht, folgt der BGH damit in der Sache dem vorgezeichneten Pfad des Gerichtshofs der Europäischen Union (EuGH) in der Sache „Planet49“ vom 1. Oktober 2019 (Aktenzeichen: C 673/17, Volltext – dazu unser Beitrag). Überraschend ist die konkrete Begründung und Herleitung des BGH zur Einwilligungspflicht nach deutschem Recht. In die in § 15 Abs. 3 S. 1 Telemediengesetz (TMG) vorgesehene Widerspruchslösung („Opt-out“) liest der BGH gegen den Wortlaut eine aktive Einwilligungspflicht („Opt-in“) hinein. 

Mit dem Urteil stellt der BGH die Weichen für den rechtmäßigen Einsatz von Cookies auf Websites und bei Apps. Dabei gelten die vom BGH formulierten Regeln auch für andere Technologien, z.B. Speicherung von Daten im LocalStorage oder das Nutzen des Browser-Fingerprintings. Werden solche Technologien genutzt, die für den Betrieb der Website oder App nicht unbedingt auf Wunsch des Nutzers erforderlich sind, führt nach dem Urteil kein Weg mehr an sog. Consent-Lösungen vorbei. 

Insbesondere Website- Betreiber und App-Anbieter, die nicht bereits aufgrund der EuGH Entscheidungen in Sachen „Planet49“ und „Fashion ID“ (Urteil v. 29.07.2019 – C-40/17, Volltext – siehe dazu unseren Beitrag) die erforderlichen Maßnahmen getroffen haben, sollten spätestens jetzt dringend ihre Websites prüfen. Anderenfalls drohen bereits von den Aufsichtsbehörden angekündigte datenschutzrechtliche Sanktionen und Abmahnungen von Wettbewerbern.  

Was bisher geschah:

Dem Verfahren, das nun den Instanzenzug durchlaufen hat, liegt ein Rechtsstreit zwischen dem Verbraucherzentrale Bundesverband (vzbv) und der Planet49 GmbH zugrunde. Die Planet49 GmbH bot Online-Gewinnspiele zu Werbezwecken an. Die Teilnahme verknüpfte sie mit einer Einwilligung in den Erhalt von Werbung (per Post, Telefon, E-Mail oder SMS) und einer weiteren Einwilligung in das Setzen von Cookies zwecks Nachverfolgung des Nutzerverhaltens. 

Dabei musste die Werbeeinwilligung ausdrücklich durch Anklicken einer Checkbox aktiviert werden, wobei der Nutzer entweder die Werbepartner aus einer Liste von 57 Partner-Unternehmen selbst auswählen oder der Planet49 GmbH die Auswahl überlassen konnte. Die Einwilligung in den Erhalt von Cookies war hingegen bereits durch eine vorselektierte Checkbox aktiviert und musste vom Nutzer händisch deaktiviert werden. Der vzbv verlangte u.a., der Planet49 GmbH zu verbieten, entsprechende Einwilligungen einzuholen bzw. sich hierauf zu berufen. 

In den Vorinstanzen (LG Frankfurt a.M. – Urt. vom 10. Dezember 2014 – 2/6 O 30/14, OLG Frankfurt – Urt. vom 17. Dezember 2015 – 6 U 30/15) erhielt zuerst der vzbv Recht. Planet49 legte allerdings erfolgreich hinsichtlich der Bewertung der „Cookie-Checkbox“ Berufung ein. Der BGH musste sich im Revisionsverfahren schließlich noch mit der Frage der Wirksamkeit einer Einwilligung mittels vorselektierter Checkbox und dem Umfang der Informationspflichten beim Gebrauch von Cookies auseinandersetzen. Er setzte das Verfahren im Oktober 2017 aus, um dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zu den einschlägigen europäischen Rechtsakten vorzulegen.  

Ziel eines solchen Vorabentscheidungsverfahrens ist die einheitliche Anwendung und Auslegung des europäischen Rechts durch die Gerichte der Mitgliedstaaten. Der BGH legte dem EuGH folgenden Fragen zur Klärung vor:   

(1) Liegt bei einer vorausgewählten Checkbox für die Einwilligung in das Setzen (und Auslesen) von Cookies eine wirksame Einwilligung vor?  

(2) Ist von Bedeutung, ob mit dem Cookie personenbezogene oder nicht personenbezogene Daten verarbeitet werden?  

(3) Gehören zu den als Grundlage einer informierten Einwilligung zu erteilenden Informationen auch Angaben zur Funktionsdauer der Cookies sowie zu Zugriffsmöglichkeiten Dritter? 

Bereits in der Sache „Fashion ID“ (s. dazu ausführlich unsere Mandanteninformation) hatte der EuGH entschieden, dass das Auslesen von Informationen von Nutzern einer Website regelmäßig einer Einwilligung bedarf. Dieser Linie folgend entschied der EuGH in der Sache „Planet49” zusammengefasst folgendes (dazu ausführlich unsere Mandanteninformation vom Oktober 2019): 

(1) Eine Einwilligung setzt ein aktives Handeln der betroffenen Person voraus. Vorausgewählte Checkboxen erfüllen diese Vorgaben nicht. 

(2) Es kommt nicht darauf an, ob in Cookies personenbezogene Daten gespeichert werden: Art. 5 Abs. 3 der e-Privacy-Richtlinie, aus dem sich das Einwilligungserfordernis ergibt, gilt uneingeschränkt für alle Informationen, die im Endgerät eines Nutzers gespeichert oder von dort ausgelesen werden.  

(3) Eine informierte Einwilligung setzt neben den Informationen gem. Artt. 13, 14, 21 DSGVO Angaben zur „Funktionsdauer“ der Cookies sowie zu Zugriffsmöglichkeiten Dritter voraus. 

Cookie-Einwilligung II – Das BGH-Urteil:

Nach dem EuGH in der Sache „Planet49“ hat der BGH nunmehr Folgendes entschieden: 

(1) Der für die Einholung von Einwilligungen in werbliche Kontakte (Auswahl der Werbepartner) vorgesehene Prozess der Planet49 GmbH ist nicht geeignet, um wirksame Einwilligungen einzuholen. Der BGH betont, dass eine Einwilligung für den konkreten Fall erfolgen muss. Daran mangelt es, wenn die Gestaltung der Einwilligungserklärung bereits von ihrer aufwendigen Konzeption darauf angelegt ist, dass der Nutzer von der Wahl keinen Gebrauch machen wird (Auswahl von 30 aus 57 Unternehmen) und dem Anbieter die Auswahl überlässt (information– und choice-overload). Auch wenn sich der BGH hier mit der Wirksamkeit der Einwilligung in die werbliche Ansprache auseinandersetzt, kann aus dieser Argumentation auch für Anforderungen an Cookie-Consent-Lösungen ein erstes Meinungsbild des BGH abgeleitet werden: Auch hier stellt sich häufig die Frage, in welchem Umfang und welcher Ausgestaltung Auswahlmöglichkeiten dem Nutzer eingeräumt werden müssen, damit im Ergebnis von wirksamen Einwilligungen ausgegangen werden kann (siehe dazu unten). Dies gilt insbesondere für Fälle, in denen verstrickte Auswahlmöglichkeiten die Ablehnung (erheblich) erschweren (sog. „Nudging“). 

(2) Der BGH sieht auch in dem vorausgefüllten Ankreuzkästchen für die Speicherung von Cookies zur Nachverfolgung des Nutzerverhaltens keine wirksame Einwilligung. Der BGH folgt damit der Entscheidung des EuGH. Interessant ist in diesem Kontext jedoch die Begründung des BGH, die die Kluft zwischen der Vorgabe der e-Privacy-RL und dem deutschen Umsetzungsgesetz schließt. 

Die europäischen Richtlinienvorgabe verlangt eine Einwilligung der betroffenen Person in das Speichern bzw. Auslesen von Informationen auf seinem Endgerät (Opt-in). Ausnahmen ergeben sich nur, wenn diese Verarbeitungsvorgänge der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz dienen oder aber das Speichern bzw. Auslesen unbedingt erforderlich ist, um den ausdrücklich gewünschten Dienst zur Verfügung zu stellen (Art. 5 Abs. 3 S. 2 e-Privacy-RL).  

Europäische Richtlinien müssen anders als unmittelbar in den Mitgliedstaaten wirkende Verordnungen in das nationale Recht umgesetzt werden. Hier war lange Zeit unklar, ob diese Umsetzung der e-Privacy-RL in Deutschland europarechtskonform erfolgt ist, insbesondere welche Konsequenzen sich daraus ergeben, dass die deutsche Regelung in § 15 Abs. 3 S. 1 TMG nach ihrem Wortlaut lediglich einen Widerspruch voraussetzt (Opt-out). 

Der BGH hat nunmehr entschieden, dass die deutsche Regelung der Umsetzung der Richtlinie dient und mithin eine Einwilligung erforderlich ist. Um diese Kluft hinsichtlich des Wortlauts der deutschen und der europäischen Regelungen zu schließen, zauberte der BGH aus § 15 Abs. 3 S. 1 TMG das sinnbildliche Kaninchen aus dem Hut, indem hier ein Einwilligungserfordernis hineingelesen wurde. Konkret erblickt der BGH im Fehlen einer wirksamen Einwilligung den „Widerspruch“ i.S. des § 15 Abs. 3 S. 1 TMG und löst damit die bisher klaren Grenzen zwischen Einwilligung, dem Widerruf dieser Einwilligung und dem Widerspruch auf. Die Auswirkungen dieser “kreativen” Auslegung sind derzeit noch nicht absehbar. Zu hoffen ist, dass der noch ausstehende Volltext der Entscheidung Klarheit bringt.  Der Ansatz überzeugt methodisch jedoch nicht, da sich die Divergenz zwischen Richtlinie und Umsetzungsgesetz argumentativ auch anders schließen ließe (siehe zu anderen Begründungsansätzen unser Kanzleigründer Sascha Kremer in CR 2019, S. 676 ff.). Auch wenn die Begründung holprig erscheint und mithin sicherlich zusätzliche unbeabsichtigte Konsequenzen und Unsicherheit nach sich ziehen wird, ändert dies nichts an der vom EuGH vorgegebenen Position hinsichtlich der Einwilligungspflicht von solchen Verarbeitungsvorgängen. 

Hieraus folgt:  

• Einwilligungsprozesse müssen so ausgestaltet sein, dass der Nutzer tatsächlich eine Auswahl treffen kann. Daran mangelt es, wenn die Gestaltung der Erklärung von ihrer Konzeption darauf angelegt ist, dass der Nutzer von der Wahlmöglichkeit keinen Gebrauch machen wird. 
• Einwilligungen setzen eine aktive Auswahl voraus. Vorausgefüllte Kästchen und anderweitige Erklärungen (z.B.: „mit Weiternutzung der Seite erklären Sie sich damit einverstanden, dass…“) erfüllen diese Voraussetzungen nicht. 
• Technisch nicht unbedingt erforderliche und vom Nutzer nicht ausdrücklich gewünschte Dienste, die Cookies und ähnliche Technologien einsetzen, erfordern zur Nutzung eine Einwilligung der betroffenen Person, also des Website-Besuchers bzw. App-Nutzers. 

Offene Fragen

Auch nach den genannten Urteilen bleiben für Website-Betreiber und App-Anbieter viele Fragen offen. Wir helfen Ihnen dabei, auch diese Problempunkte mit pragmatischen Lösungen anzugehen. Folgende bisher noch offene Fragen stellen sich bei dem Betrieb von Websites und dem Angebot von Apps:  

• Welche Dienste und Funktionen sind technisch unbedingt erforderlich, werden auf ausdrückliches Verlangen des Nutzers erbracht und sind damit von der Einwilligungspflicht befreit (Art. 5 Abs. 3 S. 2 e-Privacy-RL)? Während die Marschrichtung für Analyse- und Tracking-Dienste klar ist (in der Regel nicht unbedingt erforderlich und vom Nutzer nicht ausdrücklich gewünscht), verbleiben hinsichtlich vieler nützlicher Funktionen, die von modernen Websites kaum noch wegzudenken sind, Unklarheiten. Beispielhaft können hier Suchfunktionen auf Websites („Meinten Sie?“), Chat-Dienste und Sicherheits-Funktionen wie CAPTCHA-Dienste für Formulare genannt werden, die nur selten ohne Cookies und ähnliche Technologien auskommen und jedenfalls in gewissem Umfang eine Auswertung der Nutzung voraussetzen. 
• Wie soll mit der sog. Dual-Use-Problematik von Cookies und ähnlichen Technologien umgegangen werden, wenn also Cookies sowohl technisch erforderlich sind, aber auch von Diensten genutzt werden, die sich nicht derart einordnen lassen? 
• Welche Ausgestaltungsmöglichkeiten und Auswahloptionen von Consent-Lösungen sind rechtskonform, so dass wirksame Einwilligungen eingeholt werden können? Nicht selten muss der Nutzer „mehrere“ Klicks durchlaufen, um den Einsatz von technisch nicht unbedingt erforderlichen Cookies abzulehnen. Hier stellt sich insb. die Frage, ob nicht die Ablehnung der Cookies genau so leicht möglich sein muss wie die Einwilligung (vgl. dazu die Entscheidung der dänischen Datenaufsichtsbehörde vom 11. Februar 2020). In diese Richtung könnte auch die Argumentation des BGH zur Einwilligung in Werbung gedeutet werden, weil das aufwendige Einwilligungs- bzw. Änderungsverfahren der Planet49 GmbH darauf angelegt war, den Nutzer faktisch von einer Auswahl abzuhalten (sog. „Nudging“).  
• Auch stellt sich die Frage ob bzw. unter welchen Bedingungen Cookie-Walls zulässig sind. Eine Cookie-Wall hindert Nutzer, die nicht in bestimmte Verarbeitungsvorgänge einwilligen, am Besuch einer Website oder der Nutzung eines Dienstes. Gegen derartige Lösungen hat sich der Europäische Datenschutzausschuss (EDSA bzw. engl. EDPB) ausgesprochen (vgl. dazu auf Englisch EDPB, Guidelines 05/2020 on consent under Regulation 2016/679 vom 4. Mai).
• Der EuGH hat bereits klargestellt, dass die Angaben zur Speicherdauer von Cookies für eine wirksame Einwilligung erforderlich sind. Hier wird zu klären sein, welche Speicherdauer im konkreten Fall insb. mit Blick auf die datenschutzrechtlichen Grundprinzipien noch zulässig ist und ob z.B. eine zu lang konfigurierte Speicherdauer von eigentlich einwilligungsfreien Tools und Dienste nicht im Ergebnis wieder zu einer Einwilligungspflicht führt. 

(Spätestens) Jetzt wird es ernst

Die Aufsichtsbehörden in Spanien und Italien haben bereits im Oktober 2019 Bußgelder i.H.v. 30.000,- und 18.000,- Euro gegen Unternehmen verhängt, welche keine Cookie-Consent-Lösungen auf ihren Websites implementiert und keine Einwilligung eingeholt haben. Auch der Landesdatenschutzbeauftragte Baden-Württemberg hat in seinem Newsletter vom Februar 2020 mitgeteilt, dass aufgrund der Nutzung von Analyse- und Marketing-Tools wie Google Analytics und Google Remarketing ohne Opt-in erste behördliche Anordnungen ergangen und rechtskräftig geworden sind. Auch die Datenschutzkonferenz (DSK) vertritt  die Ansicht (vgl. DSK Beschluss vom 12. Mai 2020), dass Google Analytics in der Regel nur auf eine Einwilligung gestützt werden kann und auch eine gemeinsame Verantwortlichkeit mit Google vorliegt (vgl. dazu auch unseren Beitrag: Umgang mit der gemeinsamen Verantwortlichkeit in der Praxis). Zudem hat der Europäische Datenschutzbeauftragte mit dem Website Evidence Collector eine Open Source Lösung vorgestellt, welche die automatisierte Auswertung der Datenverarbeitungen auf Websites erlaubt, um Gesetzesverstöße leicht erkennbar und dokumentierbar zu machen (Details unter EUROPEAN DATA PROTECTION SUPERVISOR). Die Wahrscheinlichkeit von Sanktionen bei Missachtung der Vorgaben steigt damit drastisch, ebenso die zu erwartende Höhe der Bußgelder.  

Eine interessante Entwicklung zeichnet sich aber auch auf Seiten der Tool-Betreiber ab, die ebenfalls aktiver gegen Nutzer vorgehen, die ihre Dienste entgegen der geltenden datenschutzrechtlichen Vorgaben und der Vertragsbedingungen ohne Opt-ins einsetzen (vgl. dazu unser Beitrag „Google als Datenschützer? Gefahr der Kontoschließung für Website-Betreiber“). Hier ist zu vermuten, dass sich die Dienstanbieter aus der Schussbahn bringen möchten, wenn entsprechende Verstöße durch die Behörden aufgearbeitet und sanktioniert werden. 

Ausgehend von dem DSK-Bußgeldkonzept lässt sich bereits in vielen Fällen absehen, dass empfindliche Bußgelder drohen, wenn einwilligungsbedürftige Tools und Dienste ohne entsprechende Opt-ins betrieben werden. Zögern Sie also nicht, sondern nehmen Sie die datenschutzkonforme Gestaltung Ihrer Website in Angriff. Wie wir Ihnen dabei helfen können, erfahren Sie weiter unten. 

Was Website-Betreiber und App-Anbieter jetzt tun sollten:

Sofern Sie hinsichtlich Ihrer Website oder App nicht bereits umfassend auf die EuGH Urteile in Sachen „Fashion-ID“ und „Planet49“ reagiert haben, sollten Sie unverzüglich auf das BGH-Urteil reagieren. 

Der sicherste Weg ist die Deaktivierung sämtlicher „technisch nicht unbedingt erforderlicher und vom Nutzer nicht ausdrücklich gewünschter“ Funktionen. Dieser Weg ist effektiv, aber keinesfalls erforderlich. 

Umgekehrt gilt aber auch: 

Je mehr Tools für das Online-Marketing und die Nutzeranalyse für Website oder App zum Einsatz kommen, und je umfassender die Funktionen und Möglichkeiten dieser Tools sind, umso größer wird das Risiko, gegen die komplexen Vorgaben zur transparenten Einwilligung zu verstoßen und sich einer Verfolgung durch die Aufsichtsbehörden im Datenschutz oder von Wettbewerbern und Verbraucherschutzverbänden mit Abmahnungen auszusetzen.  

Insbesondere sollte also zunächst geklärt werden: 

• Welche Plugins/Tools sind für Ihr konkretes Angebot und zur Verfolgung Ihrer wirtschaftlichen Interessen essenziell, so dass sich der erhöhte Aufwand für einen datenschutzkonformen Betrieb insgesamt lohnt?  
• Welche Plugins/Tools sind verzichtbar, z.B. weil für einen Zweck gleichzeitig mehrere Tools eingesetzt werden, deren Ergebnisse sich nicht wesentlich unterscheiden (Beispiel: Nutzung von mehreren Heatmap- oder Statistik-Tools gleichzeitig, bei denen selbst das Zusammenführen der Ergebnisse den Aussagegehalt der damit möglichen Analysen nicht signifikant verbessert)? Nutzen Sie die datenschutzrechtliche Überarbeitung Ihrer Website gleichzeitig als Inventur und Bewertung von Tools, Diensten und Funktionen. 

Wenn feststeht, welche Plugins/Tools unbedingt erforderlich, zumindest aber sinnvoll oder nützlich sind, gilt es folgende, z.T. sehr technische Fragen zu beantworten: 

• Welche Informationen werden von den Plugins/Tools auf den Endgeräten Ihrer Nutzer ausgelesen oder dort gespeichert, insbesondere Cookies und ähnliche Technologien? 
• Kommen Fingerprinting-Techniken zum Einsatz (z.B. Browser-, IP- oder OS-Fingerprinting)? 
• Welchem Zweck dienen die Informationen, Cookies und/oder Fingerprints? 
• Wie lange sind die Cookies oder anderen Informationen aktiv (Speicherdauer)? 
• Wer ist der jeweilige Anbieter dieser Cookies bzw. wer nimmt die Verarbeitungen vor? 
• Liegt eine gemeinsame Verantwortlichkeit zwischen Ihnen und dem Anbieter vor und gibt es geeignete Vereinbarungen gem. Art. 26 Abs. 1 S. 2 DSGVO (siehe dazu unseren Beitrag: Umgang mit der gemeinsamen Verantwortlichkeit in der Praxis und den DSK Beschluss vom 12. Mai 2020)? 

Erst wenn diese Informationen vorliegen, kann bewertet werden, für welche Plugins/Tools eine Einwilligung erforderlich ist und welche Informationen Ihren Nutzern erteilt werden müssen. Dabei ergeben sich insbesondere folgende Aufgaben für Sie: 

• Plugins/Tools nach Verarbeitungszwecken in Gruppen zusammenfassen, 
• Cookie-Consent-Lösung für aktive Einwilligungen und deren Widerruf implementieren, 
• Technisch nicht unbedingt erforderliche und vom Nutzer nicht ausdrücklich gewünschte Cookies erst nach Einholen der Einwilligung setzen oder auslesen, und 
• Aktualisierung der Datenschutzerklärung für die Website oder App und Anpassung der Erklärungen an die Inhalte des Consent-Tools. 

Wie können wir Sie unterstützen? 

Die Anforderungen der datenschutzrechtlichen Vorgaben für Websites und Apps können erschlagend wirken. Es gibt jedoch viele konkrete Möglichkeiten, wie wir Sie bei der Umsetzung unterstützen und begleiten können: 

• Nennen Sie uns die von Ihnen für Ihre Website/App genutzten Plugins/Tools und wir prüfen zum Pauschalpreis, welche der Plugins/Tools eine Einwilligung und darüber hinaus gegebenenfalls besondere vertragliche Gestaltungen wie vor allem eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO erfordern. 
• Sie sind sich unsicher, welche Plugins/Tools Sie konkret auf Ihrer Website nutzen oder worauf Sie konkret achten müssen? Wir analysieren Ihre Website (“Website-Check”) zum Pauschalpreis teils automatisiert, teils manuell und erörtern gemeinsam mit Ihnen, wie Sie diese datenschutzkonform betreiben können. Der Website-Check bringt Klarheit und zeigt Ihnen auf, wo Probleme und Risiken bestehen und liefert die Grundlage, um diese zu beheben. Gerne unterstützen wir Sie bei der Auswahl der Tools, zeigen Ihnen Problempunkte von bestimmten Einstellungen auf und geben Hinweise, wie Sie den Dienst am sichersten Nutzen können. Auch bieten wir Ihnen regelmäßige Website-Checks an, damit die Datenschutz-Compliance ihres Webauftritts regelmäßig überprüft wird. 
• Wir erstellen Ihnen für Ihre Website/App einschließlich der von Ihnen genannten Plugins/Tools bzw. auf Basis des Website-Checks eine den gesetzlichen Vorgaben entsprechende Datenschutz-Information („Datenschutzerklärung“) gemäß Art. 13, 14, 21 DSGVO. 
• Wir erarbeiten mit Ihnen die erforderlichen Einwilligungen und die Umsetzung mit einer Cookie-Consent- oder Cookie-Management-Lösung. Dabei unterstützen wir Sie auch beim sinnvollen Gruppieren der von Ihnen eingesetzten Plugins/Tools, um die erforderlichen Einwilligungen so gering wie möglich zu halten. Dies erfolgt abhängig von Art und Anzahl der Plugins/Tools sowie der gewünschten Cookie-Consent- Lösung entweder zum Pauschalpreis oder nach vorheriger Abstimmung nach Aufwand. Gerne unterstützten wir Sie auch bei der Auswahl eines geeigneten Consent-Tools und stehen Ihnen beratend zur Seite. 
• Wir prüfen zum Pauschalpreis, ob die vom Anbieter eines Plugins/Tools bereitgestellten Vereinbarungen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO nebst den zugehörigen Datenschutz-Informationen oder ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO den gesetzlichen Vorgaben entsprechen und von Ihnen abgeschlossen werden können, damit Sie das Plugin/Tool datenschutzkonform nutzen können. 
• Benötigen Sie eine eigene Vereinbarung zur gemeinsamen Verantwortlichkeit nebst zugehörigen Datenschutz- Informationen oder einen eigenen Vertrag zur Auftragsverarbeitung, unterbreiten wir Ihnen ein verbindliches Angebot für deren Erstellung. 
• Wenn Sie die Berechnungen der Aufsichtsbehörden zur Höhe möglicher Bußgelder nachvollziehen möchten, stellen wir unseren Mandanten einen Rechner zur Verfügung, der das Konzept der Datenschutzkonferenz umsetzt. 

Wer sind Ihre Ansprechpartner? 

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf: 

• Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de 
• Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV), daniela.koehnlechner@kremer-recht.de 
• Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV), kristof.kamm@kremer-recht.de 
• Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), nadine.schneider@kremer-recht.de 
• Michael Matejek, Wirtschaftsjurist, michael.matejek@kremer-recht.de 

Alle Ansprechpartner erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt). 

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DSGVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DSGVO erfolgreich geführt oder begleitet. 

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt. Mehr auf dieser Website.