Kaum ein paar Tage ist es her, da hat ein Landgericht in München eine Website-Betreiberin zur Zahlung von 100 Euro Schadensersatz verurteilt. Der Grund: Sie hat ohne Zustimmung des Nutzers über die Font-Library die IP-Adresse an Google übermittelt. Das Urteil mag kurios erscheinen – und doch entzündet sich an ihm die Frage, was aus der DSGVO geworden ist: juristisches Kuriositätenkabinett oder belastbarer Datenschutzwall für Nutzer und Nutzerinnen. Unser kleiner Rundumblick versammelt die interessantesten Fragen der letzten Monate.
Das Münchner Google-Fonts-Urteil
Die meisten Websitebetreiber kennen Google Fonts, eine Sammlung von mittlerweile weit über 1000 Schriften, die Google unter einer Apache-2.0-Lizenz zur Verfügung stellt. Die Fonts können auf zwei Wegen in die eigene Website integriert werden, entweder über das @import-Statement im CSS einer Seite oder über das HTML-Tag „link“. Dabei können die Fonts wahlweise auf Google-Servern oder – die bessere Wahl! – auf dem eigenen Server liegen. Diese Variante ist aus datenschutzrechtlicher Sicht unbedenklich, da keine Verbindung zu Servern der Firma Google aufgenommen wird. Das Problem: Beim Abruf der Fonts von einem Google-Server wird die IP-Adresse des Nutzers übertragen. Und dies stellt – wenn ohne explizite Zustimmung erfolgt – einen Verstoß gegen die Persönlichkeitsrechte dar. Das Münchner Landgericht urteilte daher im Sinne des Klägers, da nicht über ein Consent-Banner um Einwilligung gebeten wurde. Dem Versuch der Website-Betreiberin, sich auf berechtigtes Interesse zu berufen, wurde nicht stattgegeben. (Az. 3 O 17493/20)
Wie ein Cookie Consent-Banner aussehen sollte
Wenn Sie auf Ihrer Website nicht auf „fremde“ Cookies oder Cookies zum Tracken von Nutzeraktivitäten verzichten können, benötigen Sie ein Consent-Tool. Leider gibt es bei der Gestaltung der sog. Consent-Banner zahlreiche juristische Fallstricke, die auch zu Abmahnungen führen können. Die Verbraucherzentrale hat im vergangenen Jahr ca. 1000 Webseiten zur Frage untersucht, ob ein Consent-Banner vorhanden und korrekt eingebunden ist. Ergebnis: Bei 100 Webseiten war die Einbindung nach Auffassung der Verbraucherzentrale fehlerhaft, es kam zur Abmahnung. Die Kritikpunkte betreffen hierbei sowohl den Inhalt als auch die Gestaltung der verwendeten Consent-Banner. Der häufigste Fall: Ein Cookie-Banner ist im Grunde funktionslos, weil er nicht das Nutzertracking unterbindet. Eine solche Einwilligung durch „einfaches Weitersurfen“ ist nicht rechtskonform. Der Bundesverband Verbraucherzentralen fordert aber noch mehr: Der Nutzer muss aktiv zustimmen, er muss aber auch – wichtig! – aktiv ablehnen können. Neben dem „Zustimmen“-Button muss es daher auch einen „Ablehnen“-Button geben (der nicht in einem Untermenü oder in einer tieferen Ebene versteckt sein darf). Zulässige Button-Label sind:
- „Alles akzeptieren“ und „Ablehnen“
- „Zustimmen“ und „Nur essenzielle/(technisch) notwendige Cookies zulassen“
- „Alles akzeptieren“ und „Nur essenzielle/(technisch) notwendige Cookies zulassen“
Auch ein dritter Button „Einstellungen“ ist zulässig. Bemängelt wurde zudem, dass bei manchen Tools bereits Checkboxen für bestimmte Funktionen aktiviert waren, ohne dass der Nutzer eine entsprechende Auswahl getroffen hätte. Ein weiterer Streitpunkt war die Hervorhebung des Buttons „Zustimmen“, um Nutzer zu einer dem Website-Betreiber dienlichen Entscheidung zu motivieren. Allerdings herrscht in dieser Frage noch kein Konsens, was „Hervorhebung“ überhaupt bedeutet. Wenn der Button „Zustimmen“ blau ist, der Button „Ablehnen“ hingegen in zurückhaltendem Hellgrau gehalten ist, kann man durchaus von Nudging sprechen, der Nutzer soll in eine entsprechende Richtung gedrängt werden. Um rechtliche Risiken auszuschließen, sollten beide Buttons gleichwertig aussehen. Höchstrichterliche Urteile zu diesen Fragen gibt es zum Augenblick der Niederschrift dieses Beitrags nicht, daher sei hier nur auf die Hinweise der Verbraucherzentrale zu manipulativen Cookie-Bannern sowie die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ der Datenschutzkonferenz (DSK) verwiesen. (Hinweis: Auf der AMTANGEE-Website gibt es kein Consent-Banner, weil wir kein Nutzertracking vornehmen und – ganz im Sinne unser Maxime "Privacy is Key" – Cookies von Drittanbietern unterbinden.)
Cookiebot-Urteil des VG Wiesbaden
Ärger um Cookies auch andernorts. Eines der meistgenutzten Cookie Consent-Tools ist Cookiebot. Das Verwaltungsgericht Wiesbaden hat in einem Urteil Anfang Dezember 2021 die Nutzung von Cookiebot aufgrund der Datenübermittlung für unzulässig erklärt. Der Kläger beschwerte sich, dass das Tool des dänischen Herstellers Cybot auf der Website der Hochschulbibliothek eingesetzt wird. Cookiebot überträgt nach Ansicht des Klägers rechtswidrig die IP-Adresse des Nutzers an in Drittstaaten gelegene Server des US-Unternehmens Akamai Technologies Inc. Ein Auftragsverarbeitungsvertrag zwischen der Hochschule und Cybot bestand nicht, da nach Ansicht von Cybot keine personenbezogenen Daten übermittelt werden. Das Gericht erkannte berechtigterweise in der Übermittlung von IP-Adressen eine Verarbeitung von personenbezogenen Daten. Damit wäre eine Rechtsgrundlage für die Datenübermittlung in Drittstaaten notwendig.
Laut dem Verwaltungsgericht Wiesbaden käme hierfür lediglich eine Einwilligung in die Datenübermittlung in Drittstaaten gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO in Frage. Eine solche Einwilligung lag jedoch nicht vor. In der Praxis müsste damit vor der Einwilligung für technisch nicht notwendige Cookies die Einwilligung zur Nutzung und Übermittlung eines Consent-Tools eingeholt werden. Eine solche Vorgehensweise ist selbstredend technisch kaum umsetzbar und im Grunde auch unzumutbar, womit nur Standardvertragsklauseln als mögliche Rechtsgrundlage in Frage kämen. Da das VG Wiesbaden korrekterweise festgestellt hat, dass Cybot mit der IP-Adresse auch personenbezogene Daten der Nutzer verarbeitet, wird es künftig wohl auch notwendig sein, dass Webseitenbetreiber für die Nutzung von Cookiebot eine Auftragsverarbeitungsvereinbarung mit Cybot abschließen. Ob sich das strittige Urteil in der Rechtsmeinung durchsetzen wird, bleibt allerdings fraglich. (6 L 738/21.WI)
Aus Raider wird jetzt Twix, sonst ändert sich nix
Und aus „Facebook“ wurde unlängst „Meta“ – in puncto Datenschutz hat sich aber auch nichts geändert. Schlimmer noch: Erst vor wenigen Tagen hat Meta, der Mutterkonzern von Facebook, Instagram und WhatsApp, ein Worst-Case-Szenario skizziert. Sollte es keine neue Übereinkunft zum Datenschutz geben, könnten bestimmte Dienste in Europa abgeschaltet werden. Der Jahresbericht des Konzerns an die US-Börsenaufsicht SEC adressiert hierbei explizit Regulierungsbestrebungen der EU im Bereich Datentransfer. Weiter schreibt Meta, der Konzern sei Gegenstand von Gesetzesvorhaben und Regulierungsbestrebungen, ob, wie und unter welchen Umständen er Daten transferieren und verwenden dürfe. Wenn der Konzern keine Daten zwischen Ländern und Regionen mehr transferieren dürfe oder sie nicht mehr unter seinen verschiedenen Diensten und Produkten teilen dürfe, könnte dies Auswirkungen auf die Fähigkeit oder auf die Art und Weise haben, wie Meta seine Dienste oder gezielte Werbung anbieten könne – was wiederum das "finanzielle Ergebnis negativ beeinflussen könnte".
Meta bezieht sich hierbei auf das Privacy Shield-Abkommen. Diese informelle Vereinbarung besagte, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von der EU in die USA übermitteln dürfen. Laut DSGVO muss, wer solche Daten in ein Nicht-EU-Land transferieren will, prüfen, ob die Datenschutzvorkehrungen dort ähnlich hoch sind. Mit Privacy Shield hatte die Europäische Union die US-Datenschutzregeln als grundsätzlich angemessen anerkannt. Jedoch: Im Jahr 2020 erklärte der Europäische Gerichtshof das Abkommen in seiner bisherigen Form für unzulässig. Das Urteil wurde – nach dem österreichischen Datenschutzaktivisten Max Schrems – unter dem Schlagwort „Schrems II“ bekannt und adressiert das Problem, dass sich in den USA geheimdienstliche Überwachung (etwa durch die NSA) nicht auf das zwingend erforderliche Maß beschränkt, der US-Datenschutz daher nicht gleichwertig mit dem europäischen sei. Seit dieser Entscheidung ist es für Unternehmen mit Rechtsunsicherheit verbunden, Daten von der EU in die USA zu transferieren. Von der EU bereitgestellte Standardvertragsklauseln (SCC) dienen als Blaupause und erlegen Unternehmen weitgehende Pflichten auf. Bis heute ist nicht abschließend geklärt, ob diese Klauseln tatsächlich ausreichen, um den Anforderungen der DSGVO zu genügen. Die außerdem von Meta aufgeführten möglichen Regulierungen beziehen sich u.a. auf den Digital Markets Act. Das von der EU geplante Gesetz soll die Macht großer Digitalkonzerne beschneiden und zusammen mit einem verwandten Gesetz, dem Digital Services Act, Grundregeln für das Internet festlegen. Unter anderem soll Tracking, also das Sammeln und Speichern von Daten, um Nutzerinnen gezielter Werbung ausspielen zu können, strenger reguliert werden. Digitalkonzerne lobbyieren hierzu massiv in Brüssel.
Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der Fragen rund um das komplexe Thema der Datenschutz-Grundverordnung allgemein verständlich aufbereitet. Wir haben hierbei unterschiedliche Informationen und Deutungen frei verfügbarer Quellen zusammengetragen und nach bestem Wissen und Gewissen sorgfältig ediert. Die Lektüre soll und kann keine Rechtsberatung ersetzen! Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden. Als Anbieter einer CRM-Lösung sind Datenschutz und IT-Sicherheit für uns von größter Bedeutung. Bitte beachten Sie daher auch zukünftige Blog-Beiträge zum Thema IT-Sicherheit sowie kommende Software-Releases, die bestimmte Gesichtspunkte der DSGVO adressieren.
