Die deutschen Datenschutzbehörden ermitteln aktuell gegen europäische Unternehmen wegen rechtswidrigem Cookie-Einsatz. Darunter befinden sich auch bekannte deutsche Firmen. Unternehmen jedenfalls sollten diese Entwicklung dringend beobachten. Federführend ist einmal mehr der österreichische Datenschützer Max Schrems, der gerade erst mit seiner Klage vor dem EuGH den Privacy Shield kippte.

Unzählige Unternehmen in Deutschland verwenden Tracking-Technologien, um die Besucher ihrer (und anderer) Webseiten zu identifizieren und so Nutzerprofile zu erstellen. Dies ist oft bares Geld wert, denn entscheidende Informationen über besuchte Webseiten sowie angesehene oder gekaufte Produkte sind wertvoll. Das Datenschutzrecht jedoch stellt hohe Anforderungen an das Sammeln und Auswerten solcher Nutzerdaten. So hatten der Gerichtshof der Europäischen Union (EuGH) und der Bundesgerichtshof (BGH) gleich mehrere Urteile gefällt, die Online-Tracking und vor allem auch die grenzüberschreitende Nutzung oder Übermittlung personenbezogener Daten vor hohe Hürden stellen.

Spätestens seit dem Urteil des BGH im Mai dieses Jahres kennen alle, die im Internet surfen, die sog. Cookie-Banner. Cookies und ähnliche Technologien ermöglichen es Website-Betreibern, für Seitenbesucher nützliche Funktionen bereitzustellen, z. B. einen „Einkaufswagen“ in einem Online-Shop – allein hierfür wäre keine Einwilligung der Nutzer erforderlich. Allerdings ermöglichen Tracking-Technologien auch, Nutzer*innen geräteübergreifend wiederzuerkennen und ein Nutzer-Profil von ihnen anzulegen und zu speichern. Dieses Wissen kann der Betreiber mit Dritten wie Werbe-Dienstleistern oder Sozialen Netzwerken teilen. Dadurch werden Informationen über das Verhalten und bspw. Vorlieben oder Kaufkraft, politische und religiöse Ansichten und andere sensible Informationen über die jeweiligen Nutzer*innen aus verschiedenen Quellen zusammengeführt. Oftmals finden die Datensammlungen auch außerhalb des Geltungsbereichs europäischer Datenschutzgesetze statt. Wofür diese Datenprofile von den diversen Firmen genutzt werden, ist zumeist unklar. Für diese Anwendungen bedarf es der Einwilligung des Users, welche durch die Cookie-Banner eingeholt werden soll.

Aber erfüllen die eingesetzten Cookie-Banner überhaupt die Anforderungen der Datenschutz-Grundverordnung und geben den Nutzern eine freiwillige und tatsächlich informierte Wahl? Häufig leider nein!

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Nach Privacy Shield: Viele Unternehmen haben Datentransfer nicht gestoppt

Fakt ist, dass die strengen Vorgaben der höchstrichterlichen Entscheidungen, bislang keineswegs von allen Unternehmen entsprechend umgesetzt wurden. Weder was die Einwilligung, noch was den Datentransfer betrifft.

Der Europäische Gerichtshof (EuGH) hatte auf eine Klage des Datenschützers Max Schrems am 16. Juli 2020 den Beschluss der EU-Kommission zum EU-US-Privacy-Shield gekippt. Die Begründung: Bei der Übermittlung von personenbezogenen Daten in die USA könne dieser nach EU-Recht kein angemessenes Datenschutzniveau gewährleisten. Die amerikanischen Behörden hätten zu weitreichende Befugnisse, um auf die übermittelten personenbezogenen Daten zuzugreifen.

Der Privacy Shield war damit tot. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist seitdem unzulässig und musste unverzüglich eingestellt werden. Für Unternehmen bedeutete das: Sie mussten jegliche Datenübertragung unter dem Privacy Shield stoppen. Doch damit standen und stehen weiterhin unzählige Unternehmen vor einem riesigen Problem. Ohne eine entsprechende Lösung im Gepäck, haben viele Unternehmen offenbar zunächst einfach weitergemacht wie bisher. Die Hoffnung: Es werde schon ein Auge zugedrückt.

Doch dem ist nicht so, denn Max Schrems kämpft weiter unermüdlich gegen die mächtigen US-Techkonzerne, die User-Daten absaugen. Diesmal trifft es aber nicht Facebook und Co, sondern 101 europäische Webseiten-Betreiber. Denn obwohl es der EuGH im Juli verboten hatte, gelangen unsere Daten über sie weiter in die USA.

Deshalb schalten sich nun die Datenschutzbehörden ein.

Schrems Organisation NOYB reicht 101 Beschwerden ein

Das Europäische Zentrum für digitale Rechte (NOYB), eine Nichtregierungsorganisation, die 2017 u.a. von eben jenem Max Schrems mitgegründet wurde, hat jüngst via Presseartikel werbewirksam kundgetan, dass sie gegen die Nutzung von Google Analytics und gegen die Nutzung von Facebook Connect die 101 Beschwerden gegen europäische Unternehmen eingereicht hat. Die Beschwerden sind im Netz abrufbar. Zu den Firmen zählen prominente Unternehmen wie u.a. sky.de, lieferando.de, express.de oder auch chefkoch.de.

Hier können die Texte der Beschwerden eingesehen werden: Überblick Beschwerden

Datenschutzbehörden werden aktiv

Die Datenschutzbehörden jedenfalls sind nun gesetzlich verpflichtet, den Beschwerden der Datenschutzaktivisten nachzugehen. Die 101 Unternehmen dürften damit Post bekommen. Zunächst dürften die Datenschutzbehörden wie üblich per Fragebogen die Unternehmen zur Beantwortung auffordern.  Kommen Unternehmen der Aufforderung nicht nach, so folgt in aller Regel ein entsprechender Bescheid mit einem Herausgabeverlangen. Sollte ein Unternehmen nicht kooperieren und es abschließend zu einem Bußgeld kommen, kann die mangelnde Kooperationsbereitschaft zu einem höheren Bußgeld führen.

Die Datenschutzbehörden haben im Anschluss die Datenschutzaktivisten um Schrems über den Ausgang des Verfahrens zu unterrichten. Sollte NOYB mit der behördlichen Entscheidung nicht einverstanden sein, kann diese durch Schrems Organisation gerichtlich überprüft werden. Das NOYB diesen Weg nicht scheut, zeigen Verfahren der Vergangenheit, welche teilweise bis zum EuGH durchgefochten wurden.

Behörden wollen flächendeckend vorgehen –Medienbranche primär betroffen

Ganz unrecht kommt es den Datenschutzbehörden zudem aktuell nicht, in der Sache aktiv werden zu müssen. Zuletzt hatten deutsche Datenschutzbehörden sogar ein flächendeckendes Vorgehen angekündigt.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.

Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein.

Als bundesweit agierende Kanzlei im Datenschutzrecht wissen wir aus unserer Mandatsarbeit, dass darüber hinaus bereits zahlreiche Unternehmen behördliche Nachfragen zu Online-Tracking, dem Einholen von Einwilligungen und dem Einsatz von Cookies erhalten haben.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Neben Beschwerden stehen NOYB weitere Mittel zur Verfügung

Die eingereichten Beschwerden sind indes nur eine Möglichkeit der Datenschutzaktivisten um Max Schrems, gegen Verstöße vorzugehen. So hatte Max Schrems wegen eines vermeintlichen Datenschutzverstoßes ganz aktuell eher still und leise vor dem Landesgericht Wien 500 Euro immateriellen Schadensersatz gegen Facebook erstritten.

Nach Artikel 82 Abs. 1 der EU-Datenschutzgrundverordnung haben Personen grundsätzlich auch einen Anspruch auf Schadenersatz, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Dies gilt dabei nicht nur für materielle, sondern auch immaterielle Schäden. Betroffene haben somit das Recht, Schmerzensgeld gegenüber dem Verursacher einzufordern.

Hinter dem Urteil steht ein bereits sechs Jahre lang währendes Verfahren. Das Urteil ist noch nicht rechtskräftig. Sowohl Schrems als auch Facebook wollen nun obergerichtliche Urteile erwirken. Schrems hofft, einige der spannenden DSGVO-Fragestellungen auch vor den EuGH zu bekommen.

Drohen datenschutzrechtliche Massenklagen nach US-Vorbild?

Das Schrems hartnäckig sein kann, dürfte inzwischen allen Beteiligten klar sein. Das er mit seinem Vorgehen nun auch wieder Erfolg haben kann ist ebenfalls nicht unrealistisch. So hatte in Deutschland zuletzt das Arbeitsgericht (ArbG) Düsseldorf in einem ähnlich gelagerten Fall dem dortigen Kläger, einem Mitarbeiter in einem Unternehmen, gar 5000 Euro Schadensersatz zugesprochen. Das ArbG Düsseldorf urteilte, das das Unternehmen verspätet und nicht vollständig auf einen Auskunftsantrag nach Art. 15 DSGVO geantwortet habe. Damit bestünde ein erstattungsfähiger Nichtvermögensschaden im Sinne von Artikel 82 DSGVO (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18). Das Urteil zeigt: bereits bei kleinsten Datenschutz-Fehlern können hohe Schadensersatzansprüche die Folge sein. In Deutschland haben sich bereits erste Anbieter darauf spezialisiert, Forderungen nach Art. 82 DSGVO massenhaft geltend zu machen.

Die Wertungen des ArbG Düsseldorf sollten jedenfalls aufhorchen lassen. Während von Behörden zur Ahndung von Verstößen verhängte Bußgelder nach dem Wortlaut von Art. 83 Abs. 1 DSGVO tatsächlich ausdrücklich abschreckend wirken sollen, ist für den Schadensersatzanspruch in Art. 82 DSGVO eine entsprechende Vorgabe eigentlich gerade nicht vorgesehen. Die Düsseldorfer Richter aber hatten allem Anschein nach eine Art Strafschaden nach US-amerikanischem Vorbild im Sinn.

Sollten weitere Gerichte dieser eingeschlagenen Richtung folgen, könnten auch bei uns alsbald „amerikanische Verhältnisse“ drohen. Schließlich eignen sich die Verfahren um einen immateriellen Schadensersatz hervorragend für „Massenklagen“. Häufig ist eine Vielzahl von Personen betroffen und die Sachverhalte sind dabei oftmals nahezu identisch. Der Aufwand für solche „Massenklagen“ hielte sich insofern in Grenzen und die Verfahren ließen sich gut bündeln.

Dazu passt, dass der BGH gerade erst dem EuGH die Frage zur Entscheidung vorgelegt hat, inwieweit Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße geltend zu machen (BGH Vorlagebeschluss, I ZR 186/17). Die Antwort auf diese Frage wird massive Auswirkungen darauf haben, in welchem Umfang Unternehmen künftig wegen tatsächlichen oder vermuteten Datenschutzverstößen in Anspruch genommen werden können. Aus Unternehmenssicht lohnt es sich, auch diese Entwicklung genau zu beobachten. Es dürfte jedenfalls nur eine Frage der Zeit sein, bis auch Datenschutzaktivisten wie Max Schrems auf diesen Zug aufspringen werden.

Unsere Rechtsexperten im Datenschutzrecht stehen Ihnen gerne jederzeit beratend zur Seite.

tsp