Update: TTDSG und Webseiten-Datenschutz – Welchen Änderungsbedarf gibt es durch neue rechtliche Entwicklungen im Webseiten-Datenschutz?

Aktuell tut sich viel im Webseitendatenschutz, die Einschläge kommen näher. Es ist daher dringend geboten, sich als Webseitenbetreiber mit der Thematik zu beschäftigen, um nicht unliebsame und teure Überraschungen zu erleben. Einerseits kann es zu Abmahnungen, z.B. von Verbraucherschutzvereinen, und zu Schadensersatzforderungen kommen und andererseits zu Prüfungen und Untersagungen bis hin zu Bußgeldern durch Datenschutzaufsichtsbehörden (vgl. Art. 58 DSGVO zu den umfangreichen Befugnissen einer Datenschutzaufsichtsbehörde).

Gesetzliche Neuregelung, § 25 TTDSG und Webseiten-Datenschutz

Seit dem 01.12.2021 gilt das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Es fasst die bisherigen datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zusammen und berücksichtigt zugleich die aktuelle Rechtsprechung des EuGH-Urteils zum Cookie-Tracking (Planet 49) und zur Datenübermittlung in die USA (Schrems II). Hörempfehlung: https://www.datenschutz.rlp.de/fileadmin/lfdi/Podcast/Datenfunk_Podcast_14.html und https://dataagenda.de/folge-10-kampf-gegen-den-cookieterror-kann-das-ttdsg-helfen/ Hintergrund der Regelung ist die bislang als unzureichend emfundene Umsetzung der E-Privacy-Richtlinie in deutsches Recht. Die Richtlinie sollte längst durch eine E-Privacy-Verordnung abgelöst werden; eine politische Einigung dazu kam aber bislang auf EU-Ebene noch nicht zustande. Art. 5 Abs. 3 der E-Privacy-Richtlinie lautet:

(3) Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG [Anm. alte Datenschutzrichtlinie von 1995 – jetzt DSGVO] klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder,

soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Für Webseitenbetreiber ist insbesondere § 25 TTDSG von Bedeutung. Darin ist der Grundsatz festgelegt, dass die Speicherung von Informationen, z.B. in Form von Cookies, in Endeinrichtungen des Endnutzers (z.B. via Browser im Speicher des PC, Tablets oder Smartphones) oder der Zugriff auf diese Informationen (Auslesen der Cookies) nur dann zulässig ist, wenn der Endnutzer (User) nach einer klaren und umfassenden Information vorab freiwillig eingewilligt hat. Dies gilt für jede Art von Information, auch für nicht personenbezogene, anonymisierte IP-Adressen.

Einwilligung“ ist zu verstehen als vorherige Zustimmung. Also dürfen entsprechende Infos in Form von Cookies erst dann gesetzt und ausgelesen werden, wenn zuvor die Einwilligung rechtswirksam eingeholt wurde.

Eng verbunden mit der Einwilligung ist die Pflicht, über die freie Widerrufbarkeit der Einwilligung zu informieren und den Widerruf der Einwilligung genauso leicht zu ermöglichen, wie es bei der Einwilligung war.

Von diesem grundsätzlichen Einwilligungserfordernis gibt es zwei Ausnahmen:

  • Entweder muss die Information allein dem Zweck der Nachrichtenübertragung dienen oder – und das dürfte die praktisch relevante Ausnahme sein –
  • die Speicherung und der Zugriff auf die Information sind „unbedingt erforderlich“, um eine vom User ausdrücklich gewünschte Funktion (Telemediendienst) zur Verfügung zu stellen (z.B. Sprachwahl, Warenkorb, Video, Karte etc.).

Unbedingt erforderlich“ ist das was technisch notwendig ist, nicht das, was wirtschaftlich gewünscht ist. Die Luxemburger Datenschutzaufsicht hat eine Leitlinie und eine Kurzübersicht zum Thema Cookies veröffentliche, welche ein Schaubild zur erforderlichen und nicht erforderlichen Cookies enthält (bei Bedarf mit deepl.com übersetzen) und best practice Beispiele für Cookie-Bannerinhalte gibt. Nicht essentiell sind z.B. Cookies zu Trackingzwecken, Profiling-Zwecken, Werbe-Zwecken, Geologalisierung, Social Plugins. Essentiell können Cookies für folgende Zwecke sein: Speicherung der Nutzerwal bezüglich Cookies, Warenkorbinhalt, Kontaktformular-Antworten, Streaming-Inhalte, personalisierte Dienste wie Spracheinstellung, IT-Sicherheit inkl. Betrugprävention, LogIn-Zähler.

Außerdem soll nicht pauschal beim „Betreten“ der Webseite für alle möglichen Funktionen eine Einwilligung eingeholt werden, sondern erst dann im Einzelfall, wenn der User eine bestimmte Funktion nutzen will, z.B. ein von Youtube eingebettetes Video ansehen oder eine von Google Maps bereitgestellte Karte nutzen.

Der entscheidende Unterschied zur bisherigen Rechtslage ist, dass § 25 TTDSG nicht nur bei personenbezogenen Daten greift, sondern generell die Entscheidungshoheit des Users über jegliche Kategorie von Daten, die auf seinen Geräten gespeichert und ausgelesen werden, schützt.

Stellungnahmen und Prüfungsaktivitäten der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden haben hierzu am 20.12.2021 in der Datenschutzkonferenz (DSK) eine „Orientierungshilfe Telemedien 2021“ veröffentlicht, der sich weitere Details zur Anwendung des neuen TTDSG mit Blick auf den Webseiten-Datenschutz entnehmen lassen. Zur Einordnung dieser Orientierungshilfe ist es wichtig zu verstehen, dass es eine Äußerung einer exekutiven Behörde ist,  wie sie das Gesetz interpretiert und anzuwenden gedenkt. Eine derartige Orientierungshilfe hat also nicht selbst Gestzeskraft und ob die Interpretation des Gesetzes einer rechtlichen Überprüfung in allen Detailfragen standhält, kann man wie fast immer und alles in Frage stellen. Die letztendliche Klärung, ob man mit einer anderen Auffassung recht hat, kann unter Umständen 10 Jahre dauern und über Oberverwaltungsgericht, das Bundesverwaltungsgericht, den EuGH und zurück zum OVG gehen, bis man eine verlässliche Gesetzesinterpretation erhält. Es muss jeder für sich entscheiden, ob ihm eine andere Auffassung zu Detailfragen als die der DSK oder des EDSA den mit Zeit, Arbeitsaufwand und Geld verbundenen Rechtsweg wert ist. Jedenfalls bedeutet diese Orientierungshilfe auch eine gewisse Rechtssicherheit und Selbstbindung der Aufsichtsbehörden an diese Gesetzesinterpretation. Wer sich daran hält, dürfte recht sicher vor Bußgeldern sein.

Zuvor hatten die Aufsichtsbehörden schon verschiedene Stellungnahmen zu den Folgen der Entscheidung des europäischen Gerichtshofs (EuGH) zum internationalen Datentransfer („Schrems II“-Entscheidung) und zu Cookie-Einwilligungen vom EuGH und vom Bundesgerichtshof (BGH, Planet 49) veröffentlicht.

Im März 2019 veröffentlichte die DSKOrientierungshilfe für Anbieter von Telemedien“.

Diese Orientierungshilfe wird ergänzt und erläutert durch
LDA Baden-Württemberg: FAQ zu Cookies und Tracking vom 29.04.2019. (UPDATE) Inzwischen liegt eine aktualisierte Fassung der Orientierungshilfe FAQ zu Cookies und Tracking mit Stand 03/2022 vor.

Die DSK veröffentlichte am 12.05.2020 Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich.

Die Anforderungen an eine „Datenschutzkonforme Einwilligung auf Webseiten – Anforderungen Consent-Layer“ hat die LDA Niedersachen im November 2020 in einer Handreichung dargelegt. Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer

Diese erläutert bezogen auf Einwilligungsoptionen auf Webseiten die allgemeine Leitlinie 5/2020 zur Einwilligung gemäß DSGVO vom 04.05.2020 des Europäischen Datenschutzausschusses genauer und auf Cookies bezogen. Insbesondere setzt sich die Aufsicht näher mit dem Nudging auseinander, dem trickreichen Verlocken, die Einwilligung zu erteilen. Die Luxemburger Aufsicht auf irreführendes Design von Buttons (Form, Schriftarten, Farben, Größen, Kontraste)  und „dark patterns“ zu verzichten, da dies zu unwirksamen Einwilligungen führt.

In der Folge haben Aufsichtsbehörden die Prüfung per Fragebogen von Webseitenbetreibern auf die Einhaltung der Datenschutzanforderungen bei der Wahl der Mailhoster, der Webhoster und beim Tracking begonnen.

Handlungsbedarf für Webseitenbetreiber wegen TTDSG und DSGVO

Konsequenz all dessen ist, dass man als Webseitenbetreiber – ggf. durch Rückfragen beim Webmaster – prüfen (lassen) muss, welche Technologien von welchen Dienstleistern man auf seiner Webseite einsetzt, welche Daten diese verarbeiten und wo und ob man dann entscheiden muss, ob man überhaupt einwilligungsbedürftige Technologien einsetzen muss bzw. will. Nutzt man z.B. keine Google-Analytics-Daten, leitet man daraus keine Entscheidungen über Werbemaßnahmen oder Verbesserungen der Webseite ab, kann man die Funktion auch aus der Webseite nehmen und muss sich dann nicht mehr mit den Anforderungen an eine wirksame Einwilligung in Tracking-Cookies befassen.

Wenn man doch eine einwilligungsbedürftige Technologie einsetzt, muss man die Webseitenbesucher darüber informieren, inklusive der damit verbundenen Risiken und dem Erfordernis, die Einwilligung beim User einzuholen. Dabei müssen wichtige Informationen direkt ersichtlich sein und nicht im Kleingedruckten versteckt sein. Es muss eine gleichgewichtige Ablehnungsmöglichkeit auf der gleichen Ebene und nicht in einem Untermenü für weitere Einstellungen angeboten werden. Zudem ist eine einfache Widerrufsmöglichkeit vorzusehen. Unwirksam ist demnach die häufig zu sehende Gestaltung der „Allem zustimmen“–“Einstellungen“-Buttons ohne Widerrufsmöglichkeit. Wobei „Einstellungen“ hierbei optisch oftmals möglichst unauffällig gestaltet sind und man erst nach einem weiteren Klick und Scrollen durch eine ellenlange Optionsliste zum „Ablehnen“-Button kommt.

Zudem bedarf es nun zwingend zweier Rechtsgrundlagen und Einwilligungen. Bei Drittlandübermittlungen kommt ggf. noch eine dritte Einwilligung hinzu:

  1. Einwilligung nach § 25 Abs. 1 TTDSG, dass man überhaupt Informationen (Cookies) auf dem Endgerät speichern und auslesen darf und
  2. Einwilligung nach Art. 7 DSGVO, Art. 6 Abs. I a) DSGVO (Datenschutz-Grundverordnung), dass man die ausgelesenen Daten verarbeiten darf.
  3. Zum Verarbeiten gehört explizit auch die Übermittlung in die USA, was bei Funktionen von US-Anbietern regelmäßig der Fall ist. Dann bedarf es noch einer Rechtsgrundlage nach Kapitel 5 DSGVO, z.B. Art. 49 DSGVO.

Sofern das Tracking mit einem Drittlandtransfer verbunden ist, will die DSK eine Einwilligung nach Art. 49 DSGVO jedoch nicht genügen lassen, da diese Option nur für Ausnahmefälle und nicht für den Umfang und die Regelmäßigkeit der Datenverarbeitung gedacht ist. (OH Telemedien, S. 32) Die DSK stellt dabei auf eine Gesamtbetrachtung aus Sicht des Webseitenbetreibers ab. Aus Sicht des Users mag es sich aber nicht um eine umfangreiche und regelmäßige Verarbeitung handeln, wenn er einmalig oder nur gelegentlich die Webseite besucht. Es bleibt abzuwarten, wie sich hierzu ggf. die Gerichte positionieren. Bleibt es bei der strengen Auffassung der DSK dürfte sich für viele einwilligungsbedürfte Datenübermittlungen in die USA durch die Nutzung von US-Dienstleistern keine Rechtsgrundlage finden lassen. Damit wäre der Einsatz dieser Dienstleister und ihrer beliebten Tools datenschutzrechtlich unzulässig und Webseitenbetreiber müssten mit entsprechenden Konsequenzen rechnen.

Weitere datenschutzrechtlichen Anforderungen

Die Frage, ob eine bestimmte Datenverarbeitung erfolgen darf ist die Frage nach der Rechtsgrundlage (Einwilligung – Opt-In vs. berechtigtes Interesse – Opt-Out). Wenn diese Frage beantwortet ist, also eine Rechtsgrundlage für die Datenverarbeitung gefunden wurde, gilt es gleichwohl die sonstigen datenschutzrechtlichen Pflichten zu beachten.

Dies betrifft insbesondere die interne Dokumentation zur Rechtsgrundlage, zu den Löschpflichten, zur Auswahl der Dienstleister, zu den technischen- und organisatorischen Datenschutzmaßnahmen in einem Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Zudem ist mit den Dienstleistern in der Regel eine Vereinbarung zur Auftragsverarbeitung (AVV), Art. 28 DSGVO nebst TOM (technisch-organisatorischer Datenschutzmaßnahmen) nach Art. 32 DSGVO abzuschließen.

Bei Dienstleistern in Drittländern (= außerhalb EU, EWR, Hauptfall: USA) ist eine Vorab-Risikobetrachtung (Transfer Impact Assessment – TIA) durchzuführen, ggf. EU-Standardvertragsklauseln (SCC) abzuschließen welche u.U. mit „ergänzenden Maßnahmen“ flankiert werden müssen. Bei der Gelegenheit sollte zugleich der Stand der SCC überprüft und ggf. der Dienstleister nach einer aktualisierten Fassung der SCC vom 04.06.2021 gefragt werden. Seite dem 27.09.2021 durften nur noch die neuen Vertragsmuster genutzt werden. Altverträge (vor 07.06.2021) sind bis zum 27.12.2022 zu aktualisieren.

Es bedarf zudem einer Datenschutzinformation nach Art. 13 DSGVO über die beim Besuch und der Interaktion mit der Webseite anfallenden Datenverarbeitungsvorgängen. Die entsprechenden Informationen finden sich meist in separaten Buttons neben dem Impressum unter Bezeichnungen wie „Datenschutzerklärung“, „Datenschutzhinweis“ oder „Datenschutzrichtlinie“. Dieses Dokument dürfte neben technischen Prüfungen das erste sein, was sich Aufsichtsbehörden oder Abmahnvereine ansehen. Daher sollte es mit der auf der Webseite eingesetzten Technik übereinstimmen und rechtlich aktuell sein. So liest man teilweise noch immer von einer Datenübermittlung in die USA auf Grundlage des EU-US-Privacy-Shield, obwohl dieses längst vom EuGH für unwirksam erklärt wurde. Eine weitere häufig anzutreffende Altlast in „Datenschutzerklärungen“ ist das berechtigte Interesse nach Art. 6 Abs. 1f DSGVO als Rechtsgrundlage für das Setzen von Cookies anzuführen und ein Opt-Out für das Cookiesetzen anzubeten, obwohl eine Opt-In, also eine Einwilligung, erforderlich ist.

Schließlich darf, sofern nicht notwendige Cookies gesetzt werden sollen, eine Information über § 25 TTDSG und die Einwilligung als Rechtsgrundlage für das Setzen und Auslesen von Cookies nicht vergessen werden.

Technische Prüfungen, ob und welche Cookies gesetzt werden, können z.B. mit den Tools https://webbkoll.dataskydd.net/de/ oder https://www.dsgvoscan.de/ vorgenommen werden.

Aktuelle Beispiele für Verstöße im Datenschutz und Konsequenzen

Cookies und Bußgelder

Dass es gar nicht so leicht ist, diese Anforderungen zu erfüllen, mussten Google und Facebook in Frankreich erleben, denen wegen intransparenter Cookie- und Einwilligungsgestaltung Bußgelder in zwei- bis dreistelliger Millionenhöhe auferlegt wurden.

Auch in anderen EU-Staaten wurden bereits Bußgelder wegen Datenschutzverstößen bei Cookies verhängt: 15.000 € in Belgien und 30.000 € in Spanien.

Taskforce des EDPB zu Cookie Bannern

Die Datenschutzorganisation von Herrn Schrems, NOYB, der erfolgreich gegen Facebook vor dem EuGH gegen den Datentransfer nach USA geklagt hatte, hatte mehrere hundert Beschwerden gegen verschiedene Webseitenbetreiber und deren Cookie-Banner eingereicht. Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) hat vor kurzem deswegen eine Taskforce zu Cookie-Bannern eingerichtet, um die Reaktion auf Beschwerden von NOYB über Cookie Banner und Consent Management Tools zu koordinieren und zu einer europaweit einheitlichen Prüf- und Beurteilungspraxis zu kommen. Man darf also gespannt sein, was von dort noch an Anforderungen kommt und muss dann ggf. nochmals die Webseite auf Compliance prüfen (lassen).

(Update 25.03.2022) Im März 2022 hat NOYB die zweite Runde seiner Aktivitäten gegen „irreführende Cookie-Banner“ eingeleitet und über 270 Beschwerdeentwürfe an Webseiten-Betreiber geschickt. Damit soll ihnen die Gelegenheit gegeben werden, die Banner binnen 60 Tagen anzupassen; andernfalls folgt eine formale Beschwerde bei der zuständige Datenschutzaufsichtsbehörde. NOYB biete zugleich eine Schrift-für-Schritt Anleitung, für datenschutzkonforme Einstellungen.  Außerdem kündigt die Datenschutzorganisation an, in den nächsten Monaten bis zu 10.000 Webseiten zu scannen, die Content-Management-Plattformen (CMPs) von z.B. Cookiebot und Usercentrics verwenden, welche bislang noch nicht gescannt wurden.

Wettbewerbswidrige Tracking-Cookies

Auch aus Richtung von Verbraucherschutz- und Abmahnvereinen kann Ungemach drohen:
So hat das Landgericht in Frankfurt a.M. entschieden (Urteil vom 19.10.2021 – 3-06 O 24/), dass Tracking ohne vorherige Einwilligung nicht nur datenschutzwidrig, sondern auch wettbewerbswidrig ist.
Ein Verbraucherschutzverein ging erfolgreich gegen einen Fitnessstudiobetreiber vor, der nicht notwendige Cookies gesetzt hatte, bevor eine Einwilligung eingeholt wurde. Dies betraf u.a. Tracking-Cookies von Criteo, Facebook, Google Analytics, Hotjar und Microsoft Ads.

Zum gleichen Ergebnis, was die Wettbewerbswidrigkeit von Datenschutzverstößen angeht, kam bereits das LG Köln, Beschluss vom 29.10.2020, Az. 31 O 194/20.

Google Analytics – Untersagungsanordung

Die Landesdatenschutzaufsicht (LDA) Rheinland-Pfalz hat Untersagungsanordnungen gegen den Einsatz von Google-Analytics ohne wirksame Einwilligung erwirkt und auch gerichtlich durchgesetzt.

Eine Hochschule hatte ein Consent Management Tool von Cookie-Bot von der dänischen Firma Cybot verwendet und wurde wegen Datenschutzverstoß im Eilverfahren vom Verwaltungsgericht Wiesbaden (01.12.2021, Az: 6 L 738/21.WI) verurteilt, die Nutzung des Cookie-Dienstes auf der Webseite zu unterlassen. Bei der Nutzung der Webseite der Hochschule wurde über Cookie-Bot User-Daten an den US-amerikanischen Content Delivery Network Anbieter (CDN) Akamai Technologies übermittelt. Spätestens seit der EuGH-Entscheidung Schrems II ist das datenschutzrechtlich problematisch. Praktische Konsequenz: wenn man ein Consent Management Tool einsetzen will, sollte dies seinerseits nicht auf Tool und Dienstleister (insb. in Drittländern) zugreifen, für deren Einsatz man einer Einwilligung bedarf (zumindest nicht, ohne diese einzuholen).

(Update 30.01.2022) Da im Eilrechtsverfahren Cybot nicht beteiligt war, erwirkte die Firma die Beiladung zum Verfahren zwischen der Hochschule und dem klagenden Anwalt. Auch die Hochschule legte Beschwerde ein. Der Hessische Verwaltungsgerichthof (VGH) hob nun die einstweilige Verfügung Mitte Januar auf, Az. 10 B 2486/21, weil die Voraussetzung für das Eilverfahren nicht gegeben gewesen sei. Der Kläger könne die Hauptsache in einer wichtigen und komplexen Sache abwarten. Man darf auf das Ergebnis der bereits anhängigen Hauptsache gespannt sein.

Die Österreichische Datenschutzaufsicht hatte entschieden, dass die Nutzung von Google Analytics wegen der damit verbundenen Datenübermittlung in die USA nur auf der Grundlage der Standardvertragsklauseln (SCC) unzulässig ist, da durch die Vertragsklauseln ohne ergänzende Maßnahmen kein ausreichendes Datenschutzniveau gewährleistet wird, nachdem durch den EuGH das EU-US-Privacy-Shield für ungültig erklärt wurde. (Entscheidung vom 22.12.2021)

Selbst das Europäische Parlament, welches maßgeblich an der DSGVO beteiligt war, ist am Datenschutz beim Betrieb einer Webseite, auf der Corona-Tests geordert werden konnten, nach Auffassung des Europäischen Datenschutzbeauftragten gescheitert. Die Nutzung von Google Analytics und des US-Zahlungsdienstleisters Stripes war nach seiner Auffassung datenschutzwidrig.

Facebook Fanpage

Auf Anordnung der Datenschutzaufsicht in Schleswig-Holstein (ULD) musste die Wirtschaftsakademie Schleswig-Holstein ihre Facebook Fanpage wegen Datenschutzverstößen von Facebook schließen. Diese Anordnung beschäftigte die Gerichte bis hoch zum EuGH, der Facebook zusammen mit dem Fanpage-Betreiber als gemeinsam Verantwortlicher im Sinne des Datenschutzes ansieht. Das Bundesverwaltungsgericht wies daraufhin das Oberverwaltungsgericht Schleswig-Holstein (OVG) an, seine Entscheidung auf der Grundlage der Vorgaben des EuGH neu zu fassen. Das OVG (Urteil vom 25.11.2021 – 4 LB 20/13) bestätigte daraufhin die Anordnung des ULD, die Facebook Fanpage zu schließen. Jeder Facebook Fanpage Betreiber ist also gut beraten seine Facebook-Aktivitäten zu hinterfragen.

(Update 31.01.2022) Trotz dieser gerichtlich bestätigten Entscheidung (aus Schleswig-Holstein, die natürlich nicht unmittelbar in NRW gilt) weigert sich die Landesregierung in Niedersachsen, der Aufforderung der Landesdatenschutzbeauftragten Barbara Thiel Folge zu leisten und den Betrieb der Facebook-Fanpage der Landesregierung abzuschalten. Konsequent wäre es, wenn die Landesdatenschutzbeauftragte von ihrem Instrumentenkoffer des Art. 58 DSGVO Gebrauch macht und in die nächste Eskalationsstufe geht: nach der Warnung, kann die Verwarnung folgen und auch das Verbot der Verarbeitung, Art. 58 Abs. 2 f) DSGVO, oder das Verbot des Datentransfers in Drittländer, Art. 58 Abs. 2 j) DSGVO, gegen das sich dann die Landesregierung gerichtlich wehren könnte. Den Vorgang, dass sich eine Regierungsstelle weigert, aus den Ermahnungen der Datenschutzaufsicht entsprechende Konsequenzen zu ziehen, finde ich schon erstaunlich. Aber er zeigt, wie hoch umstritten das Thema des Drittstaatentransfers in Anbetracht der faktischen Monopolstellung von US-Anbietern in vielen Bereichen ist und kann helfen, es einer verbindlichen gerichtlichen Klärung zuzuführen.

(Update 25.03.2022) Die Taskforce FacebookFanpages Datenschutzkonferenz (DSK) der Aufsichtsbehörden ist in einem Gutachten vom 18.03.2022  mit dem Titel „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von FacebookFanpages“ zum Ergebnis gekommen:

Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nichterfüllt.

Mit anderen Worten: auch nach dem Kurzgutachten der DSK ist der Betrieb einer Facebook-Fanpage nicht datenschutzkonform. Wer gleichwohl eine Facebook-Fanpage betreibt muss mit Maßnahmen der Aufsichtsbehörde rechnen; diese können von der Schließungsanordnung bis zum Bußgeld gemäß Art. 83 Abs. 5 a) und b) DSGVO rechnen: bis zu 20 Millionen oder 4% des Vorjahresgesamtumsatzes.

Google Fonts – 100 € Schadensersatz

(Update 30.01.2022) Das LG München I, Endurteil vom 20.01.2022, Az. 3 O 17493/20, sprach dem Kläger gegen ein Webseitenbetreiber einen Unterlassungsanspruch und Schadensersatz in Höhe von 100 € zu (immaterieller Schaden, da durch den Kontrollverlust ein mehr als nur unerheblicher Eingriff in das allgemeine Persönlichkeitsrecht vorlag), da der Webseitenbetreiber die Schriftarten von Google (Google Fonts) nicht statisch eingebettet, sondern dynamisch direkt von Google genutzt und dazu die IP-Adresse des Users, welche als personenbezogenes Datum angesehen wird (vgl. BGH, Urt. v. 16.05.2017, Az. VZ ZR 135/15), weitergegeben hat. Die Datenübermittlung an Google lässt sich nicht auf Art. 6 Abs. 1f) DSGVO (berechtigtes Interesse) stützen, insb. nicht bei einer Datenübermittlung in die USA nach der EuGH-Entscheidung Schrems II zur Unwirksamkeit des EU-US-Privacy-Shield. Dieses Problem lässt sich durch Einbetten der Schriften leicht vermeiden. Datenschutz durch Technikgestaltung, Art. 25 DSGVO, gilt auch bei der Erstellung von Webseiten. (Update 21.03.2022) Siehe hierzu auch: LDA Bayern: Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen.

Fazit zu TTDSG und Webseiten-Datenschutz

Es ist also jeder Webseitenbetreiber im eigenen Interesse gut beraten, seine Webseite mit Blick auf die neuen Anforderungen des TTDSG und die aktuelle Auffassung von Gerichten und Aufsichtsbehörden zu DSGVO, Drittlandtransfer und Webseitendatenschutz auf den Prüfstand zu stellen, ggf. nicht wirklich genutzte oder unheilbar rechtswidrige Tools runterzuschmeißen, bei US-Tools nach europäischen Alternativen zu suchen oder sowohl die Gestaltung der Prozesse zur Einholung von Einwilligungen rechtskonform zu überarbeiten als auch die Datenschutzinformationen den eingesetzten Tools und der neuen Rechtslage anzupassen – Stichwort: § 25 TTDSG und Webseiten-Datenschutz – Einwilligung explizit zusätzlich einholen.

David Seiler, 27.01.2022
www.ds-law.eu

Kontakt

Kontaktieren Sie mich

RSS-Feed

Abonnieren Sie meinen RSS-Feed!