Cookies, Einwilligungsmanagement, Datenschutzinformationen: Aufsichtsbehörden werden aktiv

Seit den „Planet49“-Entscheidungen von EuGH und BGH in 2019 und 2020 ist klar: Die Analyse des Nutzerverhaltens durch Auslesen oder Speichern von Informationen auf Endgeräten – z.B. mit Cookies – bedarf regelmäßig einer informierten Einwilligung (siehe unsere Mandanteninformationen hier und hier).  Soweit die Theorie. In der Praxis wird jedoch nicht nur der Graubereich ausgetestet, was völlig legitim ist, sondern leider immer noch viel zu häufig nichts oder nicht genug getan.

Aufsichtsbehörden verhängen Geldbußen und versenden Hinweise

In Belgien ist im Dezember 2019 eine erste Geldbuße gegen einen Verantwortlichen wegen der Nutzung von Google Analytics auf dessen Website ohne Einwilligung der Nutzer von der dortigen Aufsichtsbehörde im Datenschutz verhängt worden. Auch in Deutschland gibt es verstärkte Aktivitäten: Dort gehen die ersten Hinweise der Aufsichtsbehörden bei Unternehmen gemäß Art. 58 Abs. 1 Buchst. d DSGVO ein.

Bedeutung von Hinweisen der Aufsichtsbehörde

„Hinweise“ gehören zu den Untersuchungsbefugnissen der Aufsichtsbehörden, sind für Verantwortliche aber nicht weniger gefährlich als „Warnungen“ gemäß Art. 58 Abs. 2 Buchst. a DSGVO: Hinweise sind zu „vermeintlichen Verstößen“ zu erteilen – also nach einer zumindest summarischen, ggf. noch nicht ausermittelten rechtlichen Prüfung eines Sachverhalts durch die Aufsichtsbehörde. Sie weisen den Verantwortlichen auf den vermeintlichen DSGVO-Verstoß hin.

Der Hinweis einer Aufsichtsbehörde hat keine unmittelbare Rechtsfolge für den Verantwortlichen; er soll vielmehr präventiv eine Aufforderung zur Selbsthilfe darstellen. Warnungen dahingegen sind Abhilfebefugnisse der Aufsichtsbehörden. Wie der Hinweis stellt die Warnung vor einem drohenden Eintritt einer Datenschutzverletzung noch ein niedrigschwelliges Instrument dar, den Verantwortlichen zu aktivieren. Sie ist aber spezifischer als der Hinweis und wird regelmäßig zusammen mit einer Beratung nach Art. 58 Abs. 3 Buchst. a DSGVO erfolgen. Werden Warnung oder Hinweis missachtet, kann sich das später erschwerend bei der Sanktionierung eines fortbestehenden DSGVO-Verstoßes auswirken. Die Wahl der Befugnisse steht im Ermessen der einzelnen Aufsichtsbehörde; sie ist nicht verpflichtet die Befugnisse nach der Eingriffsintensität zu eskalieren.

Weitere Maßnahmen sind absehbar, wie die länderübergreifende Datenschutz-Prüfung von Tracking-Technologien auf Websites von Zeitungs-Verlagen durch die deutschen Aufsichtsbehörden bestätigt. Hierbei wurde ein umfangreicher Prüfbogen ausgespielt, bei dem Angaben zu Tracking-Diensten auf insgesamt elf Seiten abgefragt wurden (siehe dazu hier).

Risiken für den Verantwortlichen

Wer einen Hinweis erhält, sollte sich der Risiken bewusst sein:

  • Der Verantwortliche muss damit rechnen, dass die Aufsichtsbehörde nachprüfen wird, ob ihr Hinweis beachtet wurde. Ist das nicht geschehen ist mit weiteren Maßnahmen zu rechnen.
  • Für den Fall eines Verstoßes wird die Aufsichtsbehörde bei Nichtbeachtung des Hinweises meist von Vorsatz ausgehen. Das wirkt sich einerseits bußgelderhöhend aus und ist zudem Voraussetzung der Straftatbestände nach § 42 BDSG.

Was bedeutet das für Verantwortliche?

Verantwortliche sollten spätestens jetzt dringend prüfen, wie sie im Bereich Cookies, Einwilligungsmanagement (mit Cookie Consent Tools) und bei den Datenschutzinformationen gemäß Art. 13, 14 DSGVO aufgestellt sind. Die Wahrscheinlichkeit, dass Datenschutzverstöße auf Websites oder in Apps entdeckt werden, wächst weiter. Auch die Beschwerden betroffener Personen nehmen zu, die Aufsichtsbehörden beginnen zudem wegen der „Schrems II“-Entscheidung mit anlassunabhängigen Kontrollen.

Auch der bislang beliebte Benchmark „mehr tun als die meisten anderen, aber nur so viel wie gerade nötig“ sollte hinterfragt werden. Dieser Ansatz kann zwar (noch) zu geringeren Sanktionen führen, z.B. zu einer Untersagungsverfügung statt unmittelbar der Verhängung eines Bußgeldes. Garantiert ist dies aber angesichts der eindeutigen Entscheidung des BGH vom Mai 2020 und des Beschlusses der Datenschutzkonferenz vom 12.5.2020 zu Google Analytics jedoch nicht.

Empfehlung: Schrittweises Vorgehen

Als Verantwortliche sollten Sie folgende Prüfschritte unverzüglich vornehmen:

  1. Bestandsaufnahme durchführen, welche Prozesse betroffen sind:
  • Wo? Typischerweise: Websites, Apps
  • Was? Cookies, Tracking-Pixel, alle anderen Technologien, die Informationen auf einem Endgerät auslesen oder ablegen (z.B. im Local Storage des Browsers).
  1. Bewertung vornehmen, ob für die jeweilige Technologie eine Einwilligung erforderlich ist. Das ist der Fall, wenn nicht
  • alleiniger Zweck die Signalübertragung ist, oder
  • der Einsatz unbedingt erforderlich ist, um den Dienst zu erbringen (gemeint: technisch erforderlich).
  1. Soweit erforderlich: funktionierendes Einwilligungsmanagement implementieren, insbesondere:
  • Informiertheit der Einwilligung sicherstellen, also transparente Informationen über die Art und Weise der Verarbeitung und den Umfang der Einwilligung verfügbar machen
  • Widerrufsmöglichkeit sicherstellen, die so einfach ist wie die Erteilung der Einwilligung (bei „alle akzeptieren“-Buttons im Cookie Management: Widerruf mit einem Klick!)
  • Freiwilligkeit der Einwilligung gewährleisten, also keine per Voreinstellung gesetzten Häkchen, keine Koppelung mit anderen Erklärungen, kein übermäßiges „Nudging“

Update 25.11.2020: Die Nds. LfDI hat „Anforderungen an Consent-Layer (November 2020)“ veröffentlicht. Auch hierein ist ein Blick angeraten; selbstverständlich findet diese Stellungnahme auch Eingang in unsere Beratung.

Achtung beim Einsatz des Transparency Consent Framework (TCF) v2.0 des iab:
Das Framework ist derzeit wohl nicht DSGVO-konform.

  • Datenschutzfreundliche Konfiguration der Dienste sicherstellen, z.B. bei Google Analytics als „Begleitdienst“ von Vimeo (Ist das „piggybacking“ deaktiviert? Wird YouTube ohne Cookies genutzt?)
  1. Datenschutzinformationen auf Aktualität und Vollständigkeit prüfen, dabei die Vorgaben aus dem Schrems-II-Urteil nicht vergessen.
  2. Ständige Erreichbarkeit von Datenschutzinformationen und Impressum sicherstellen.
  3. Bei dieser Gelegenheit: „Altlasten“ beseitigen z.B. Programmcode nicht mehr benötigter Dienstleister entfernen.

Bei Fragen sprechen Sie uns bitte an.

Wer sind Ihre Ansprechpartner?

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt oder wählen eine/n unserer Ansprechpartner/innen – zu unserem Team hier entlang. Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert und international an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig.

KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT-Recht und Datenschutzrecht geführt.

Von Sascha Kremer

Rechtsanwalt, Datenschutzbeauftragter, Unternehmer, Vater.