LG München zur Gestaltung von Cookie-Bannern

Gestaltung von Einwilligungsbanner hat maßgeblichen Einfluss auf Wirksamkeit von Einwilligungen

Dass es Webseitenbetreiber untersagt ist ohne wirksame Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen und es für die Einholung einer wirksamen Einwilligung maßgeblich auf die Gestaltung des Einwilligungsbanners ankommt zeigt das Urteil des LG München vom 29. November 2022 (Az.: 33 O14776/19).

Das LG München hat mit seinem Urteil dem Webseitenbetreiber eines der nach eigenen Angaben größten Nachrichtenportale Deutschlands untersagt, ohne Einwilligung der Verbraucher:innen Tracking-Cookies zur Auswertung des Nutzerverhaltens für Werbe- und Analysezwecke einzusetzen. Dabei bemängelte das LG München insbesondere die Gestaltung des eingesetzten Einwilligungsbanners.

So öffnete sich nach Aufruf der Webseite zwar ein entsprechendes Einwilligungsbanner, über dass der Webseitenbetreiber eine Einwilligung zur Speicherung von Cookies auf dem Endgerät des Webseitenbesucher sowie zur Auswertung von auf dem Endgerät des Webseitennutzer gespeicherten Informationen für Analyse- und Werbezwecke einholen wollte. Auf der ersten Ebene bekamen Nutzer jedoch nur die Möglichkeit den Button „Alles akzeptieren“ zu wählen oder über die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Eine Möglichkeit „alles abzulehnen“ oder ohne weitere Handlung die Webseite zu nutzen bestand nicht.

Wollten Nutzer nicht in vollem Umfang in Speicherung von Cookies auf Ihrem Endgerät und die Auswertung von bereits auf dem Endgerät gespeicherten Informationen einwilligen, so blieb Ihnen nur die Möglichkeit über das Anklicken auf die Schaltfläche „Einstellungen“ eine individuelle Auswahl zu treffen. Nach Anklicken der Schaltfläche öffnete sich eine zweite Ebene auf der im Rahmen von „Privatsphäre-Einstellungen“ auf über 140 Bildschirmseiten individuelle Einstellungen für mehr als 100 Drittanbieter getroffen werden konnten.

Auf dieser Ebene konnten Nutzer wiederholt den Button „Alles Akzeptieren“ wählen oder über die Schaltfläche „Auswahl speichern“ ihre individuellen Einstellungen speichern. Zudem bestand auf dieser Ebene für die Nutzer auch die Möglichkeit „alle ablehnen“ auszuwählen. Während die Schaltflächen „Alles akzeptieren“ und „Auswahl speichern“ prominent am unteren Bildschirmrand erschienen und in ihrer Gestaltung deutlich hervorgehoben waren, befand sich die Möglichkeit „alle ablehnen“ klein und durch die blasse Schrift unscheinbar am rechten oberen Bildschirmrand.

Die über das beschriebene Einwilligungsbanner eingeholten Einwilligungen sind nach Auffassung des LG München unwirksam.

Eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO sei jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die vom Webseitenbetreiber eingeholten Einwilligungen beruhen jedoch nach Auffassung des Gerichts gerade nicht auf einer freiwilligen Entscheidung der Webseitennutzer.

Freiwillig sei eine Entscheidung nur dann, wenn der Webseitennutzer eine echte Wahl habe und auch ohne Nachteile auf die Erteilung der Einwilligung verzichten könne. Aufgrund des Aufbaus des eingesetzten Einwilligungsbanners sei dies für den Webseitennutzer jedoch nicht möglich. Dass die Möglichkeit der Ablehnung besteht sei für den Webseitennutzer zum einen schwer erkennbar und zum anderen mit einem entsprechenden Mehraufwand verbunden. Insbesondere der Umstand, dass die Schaltfläche „Alles akzeptieren“ durch Größe und Gestaltung entsprechend hervorgehoben ist während die die Möglichkeit „alle ablehnen“ nur unscheinbar an anderer Stelle zu finden ist, spreche dafür, dass die Entscheidung des Webseitenbesuchers allein durch die Gestaltung beeinflusst werden soll und damit kein echt Wahlrecht des Webseitennutzers mehr besteht.

Webseitenbetreibern ist daher anzuraten Ihre Einwilligungsbanner noch einmal darauf hin zu überprüfen, ob diese den gesetzlichen Anforderungen, die das LG München in seinem Urteil herausgestellt hat genügen.

Drittlandübermittlung bei Clouddiensten

von SICODA Redaktion

Mit dem Beschluss vom 13.07.2022 hat die Vergabekammer Baden-Württemberg über die Frage entschieden, ob bereits dadurch eine Drittlandübermittlung vorliegt, dass Cloudlösungen von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter eingesetzt werden.

Laut dem Beschluss der Vergabekammer ist es egal, wo die Server ihren physischen Standort haben. Die US-Behörden können trotzdem von der Muttergesellschaft in den USA fordern, die Daten in Europa herauszugeben. Da die nichteuropäische Muttergesellschaft auf die Daten zugreifen kann, besteht eine Übermittlung im Sinne der DS-GVO. Es ist unerheblich, ob ein Zugriff tatsächlich stattfindet.

Zusammenfassung:

Allein die hypothetische Zugriffsmöglichkeit amerikanischer Muttergesellschaften auf Cloud-Server, die in der EU stehen, wird als Datenübermittlung in das Drittland USA gewertet.

Hinsichtlich einer Datenübermittlung in die USA fehlt es an einem Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO. Nach der Auffassung der Vergabekammer seien Standarddatenschutzklauseln im Sinne der DS-GVO in diesem Fall jedoch nicht geeignet, Übermittlungen zu legitimieren. Das latente Risiko des Eingriffs wurde mithilfe der Standarddatenschutzklauseln nicht beseitigt.

Laut dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist der Beschluss des Vergabekammers kritisch zu sehen, weil das bloße Risiko eines Eingriffs durch US-Behörden nicht mit einem tatsächlichen Zugriff gleichgestellt werden sollte.

Zudem übersehe die Vergabekammer, dass wirksame Mittel gegen Zugriffsrisiken eingesetzt werden können. Ein pauschales Übermittlungsverbot sei daher abzulehnen. Stattdessen seien Einzelfallprüfungen bei Drittlandübermittlungen weiterhin Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen. Die Vergabekammer habe zusätzliche technisch-organisatorische Maßnahmen nicht weiter geprüft.

Diese Auffassung unterscheidet sich nicht von der Meinung der Datenschutzkonferenz (DSK) zum Drittlandtransfer, die sich aus dem Kurzpapier 4 ergibt.

Infolgedessen ist man nicht automatisch auf der sicheren Seite, wenn man im Rahmen der Verwendung von z.B. AWS, Microsoft Azure oder Google Cloud Europa als Datenstandort auswählt.

Es ist also immer zu raten, dass Unternehmen beim Einsatz außereuropäischer Cloud-Dienste ein Transfer Impact Assessment (TIA) durchführen.

Sie haben Fragen zum Transfer Impact Assessment? Wir unterstützen Sie gerne.

Mehr Informationen

Wer ist die Vergabekammer Baden-Würtemberg?

Die Vergabekammer ist eine gerichtsähnliche Instanz, die grundsätzlich über die Besetzung von Positionen und die Vergabe von Aufträgen entscheidet. Sie ist rechtlich unabhängig.

Welche Rechtswirkung hat die Entscheidung einer Vergabekammer?

Grundsätzlich ist die Entscheidung einer Vergabekammer für die private Wirtschaft nicht bindend. Das bedeutet, dass Entscheidungen von Aufsichtsbehörden und Gerichten nicht anerkannt werden müssen.

Gesundheitsdaten im Gerichtsprozess

von Susanne Werner

Das Verwaltungsgericht Wiesbaden hat entschieden, dass Gesundheitsdaten von einem Rechtsanwalt im Gerichtsprozess verwendet werden dürfen.

Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen des rechtsanwaltlichen Vortrags im Gerichtsprozess ist nach Art. 6 Abs. 1 lit. f) DS-GVO i.V.m. Art. 9 DS-GVO zu beurteilen.

Dabei ist für den Inhalt der Schriftsätze im Hinblick auf Haftung und Gestaltung der jeweilige Rechtsanwalt als verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DS-GVO anzusehen. Das berechtigte Interesse an der Verarbeitung besteht für den jeweiligen Rechtsanwalt darin, die vertraglichen Verpflichtungen gegenüber seinem Mandanten zu erfüllen. Um seine rechtsanwaltlichen Aufgaben erfüllen zu können, muss es ihm grundsätzlich gestattet sein, vorzutragen, was sein Mandant ihm mitteilt. Um sich nicht selbst der Anwaltshaftung auszusetzen, ist er entsprechend § 138 Abs. 3 ZPO gehalten, den gegnerischen Vortrag zu bestreiten und den Sachverhalt aus Sicht seines Mandaten darzustellen.

Ist zur Durchsetzbarkeit eines rechtlichen Anspruchs die Verarbeitung von Gesundheitsdaten erforderlich, so dürfen diese im Prozess verwendet werden. Gleiches gilt im Umkehrschluss auch für die Abwendung von Rechtsansprüchen.

Quasi beiläufig hat das Gericht damit noch einmal festgehalten, dass Anwälte für ihre Prozessakten eigene verantwortliche Stelle sind. Die Prozessführung des Anwalts ist keine Auftragsverarbeitung.

Links:

VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI – https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002410

Google Analytics verstößt (in Österreich) gegen die DS-GVO

von Oliver Gönner

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick: Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig. Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

TTDSG tritt in Kraft

von Oliver Gönner

Mit Wirkung zum 01.12.2021 wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft treten.

Grundsätzlich setzt der Gesetzgeber mit dem TTDSG eine seit vielen Jahren unerledigte Anpassung der EU-ePrivacy-Richtlinie 2009/136 in deutsches Recht um.

Mit dem TTDSG werden auch die Datenschutzbestimmungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) zusammengefasst.

Welche Auswirkungen hat das TTDSG für Ihr Unternehmen?

Das TTDSG enthält eine Vielzahl von Regelungen für Anbieter von Telemedien (Webseiten und Apps). Für Ihr Unternehmen ist datenschutzrechtlich jedoch allein § 25 TTDSG relevant.

§ 25 TTDSG hat unmittelbare Auswirkungen auf Ihre Webseite.

Im Rahmen des Betriebs Ihrer Webseite müssen Sie weiterhin, wie auch nach dem im letzten Jahr durch den Bundesgerichtshof entschiedenen Planet49-Urteil (AZ: I ZR 7/16 vom 28.05.2020), jegliche Verarbeitung von Webseitenbesucherdaten von einer ausdrücklichen, freiwilligen und informierten Einwilligung des jeweiligen Webseitenbesuchers (Nutzers) abhängig machen.

Eine Analyse der Daten Ihrer Webseitenbesucher oder eine Übermittlung dieser Daten an Dritte (Google Analytics, Youtube, Google Maps, usw.) ohne Einwilligung des jeweiligen Webseitenbesuchers ist auch nach § 25 TTDSG weiterhin rechtswidrig. Neben der einwilligungsgebundenen Analyse der Nutzungsdaten Ihrer Webseitenbesucher bestimmt § 25 TTDSG auch, dass ein Zugriff auf das Endgerät eines Nutzers unter dem Vorbehalt der Einwilligung des jeweiligen Nutzers steht. Nutzungsanalysen, die z. Bsp. auf das Endgerät eines Nutzers (z. Bsp. mit einem Java-Skript) zugreifen, stehen damit ebenfalls unter dem Vorbehalt einer wirksamen Einwilligung des jeweiligen Nutzers.

Handlungsempfehlung zu BGH Cookie Einwilligung II

von goenner_admin

Der BGH hat die Pflichten bei der Cookie Nutzung dahingehend konkretisiert, dass im Ergebnis für alle Cookies, die nicht technisch für die Webseite erforderlich sind, vorher eine Zustimmung vorliegen muss.

Im Einzelnen:

Für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung ist die Einwilligung des Nutzers erforderlich.
Ein voreingestelltes Ankreuzkästchen ist keine wirksame Einwilligung im Sinne des geltenden Rechts.
Im Zusammenhang mit der Einwilligung muss über die konkreten Umstände der Datenverarbeitung aufgeklärt werden.

Die Entscheidung führt dazu, dass Webseitenbetreiber nun aktiv die Zustimmung ihrer Nutzer bei dem Einsatz von Cookies bei der Erstellung von Nutzerprofilen einholen müssen. Die aktive Zustimmung ist sowohl für eigene als auch für fremde Cookies erforderlich.

Die bisher herrschende Praxis des Informationsbanners mit Texten wie „Unsere Webseite verwendet Cookies. [Schließen]“ , der aber keine Auswirkung auf das Setzen und Lesen des Cookies hatte oder die Erklärung „Mit Nutzung unserer Weite stimmen Sie der Verwendung von Cookies zu [Verstanden]“ kann nach diesem Urteil nicht mehr fortgeführt werden. Zukünftig dürfen Cookies erst geschrieben werden, wenn der Nutzer der Verwendung aktiv zugestimmt hat.

Die Einwilligungserklärung muss die Datenverarbeitung für jeden Cookie genau beschreiben. Die Beschreibung muss auch auf die Dauer der Datenverarbeitung eingehen und alle Empfänger der Daten enthalten. Dies kann in der Praxis häufig mit einem Verweis auf die Datenschutzerklärung erreicht werden, die diese Informationen schon enthalten muss.

Die Betroffenenrechte aus dem 3. Kapitel der DS-GVO insbesondere auf Auskunft, Löschung und Widerspruch bleiben natürlich weiterhin bestehen.

Für Interessierte haben wir das Urteil genauer unter die Lupe genommen:

https://www.webkommentar.com/wp-content/uploads/2020/05/Pressemeldung-BGH-Planet-49-SICODA-Bewertung.pdf

Name	Cookie Zustimmung
Anbieter	SICODA GmbH, Impressum
Zweck	Dieser Cookie speichert Ihre Auswahl zur Cookie Einwilligung.
Cookie Name	SICODA-COOKIE-CONSENT
Cookie Laufzeit	1 Jahr

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wir binden unsere Youtube Videos auch in unserer Webseite ein. Wenn Sie diesen externen Inhalt akzeptieren, können Sie alle Videos direkt im Design der Webseite sehen. Wenn Sie diese externen Inhalte nicht akzeptieren, können Sie unsere Inhalte immernoch einsehen, Sie müssen dann aber jedes Video einzeln freischalten.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate