Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.

Französische Datenschutzbehörde CNIL verhängt Rekord-Bußgelder gegen Google und Amazon wegen rechtswidriger Nutzung von Werbe-Cookies

Mit dem „Planet49“-Urteil des Europäisches Gerichtshofs wurde 2019 höchstrichterlich entschieden, dass die Verwendung von Werbe-Cookies die vorherige Zustimmung des Nutzers in Form einer aktiven Einwilligung erfordert. Die 7. Dezember ergangene Entscheidung der französischen Datenschutzbehörde CNIL gegen Google und Amazon gleicht einem Paukenschlag: Während Google und Google Ireland zusammen 100 Millionen Euro Strafe zahlen sollen, ist die Amazon-Tochter Europe Core mit einem Bußgeld in Höhe von 35 Millionen Euro belegt worden.

Sanktionierung der bisherigen Cookie-Praxis

Gegenüber Google erhebt die CNIL den Vorwurf, „ohne vorherige Zustimmung und ohne angemessene Information Werbe-Cookies auf den Computern von Nutzern der Suchmaschine google.fr platziert“ zu haben. Im Rahmen der durch die CNIL beanstandeten Praxis hatte Google bei dem Aufruf der Seite google.fr ein Banner mit der Überschrift „Rappel concernant les règles de confidentialité de Google“ („Erinnerung bezüglich der Datenschutzeinstellungen“) angezeigt. Die darauf befindlichen zwei Schaltflächen waren mit „Me le rappeler plus tard“ („Erinnere mich später“) und „Consulter maintenant“ („Jetzt zugreifen“) beschriftet.

Den Rechtsverstoß sieht die CNIL darin, dass dieser Banner den Nutzern keinen Hinweis auf das Setzen von Cookies erteilte, zumal bereits Werbe-Cookies bereits gesetzt wurden, sobald die Nutzer die Seite google.fr aufgerufen hatten. Selbst wenn die Nutzer sich entschieden hätten, die Schaltfläche „Consulter maintenant“ („Jetzt zugreifen“)aufzurufen, seien sie nicht ausreichend über die Cookies aufgeklärt worden. Den Nutzern habe so die Information gefehlt, wie sie dem Einsatz der Cookies widersprechen können.

Auch gegenüber der zum Amazon-Konzern gehörigen Europe Core wurde das automatische Setzen von Cookies ohne eine vorherige Zustimmung des Nutzers beanstandet.

Auch Anpassungen genügen nicht

Google hat die beschriebene Praxis seit der Einleitung des Bußgeldverfahren zwar angepasst. So ist der Cookie-Banner von Google seit September wie folgt gestaltet: Personen, die google.fr besuchen, sehen nun ein Popup in der Mitte ihres Bildschirms, bevor sie auf die Suchmaschine zugreifen können, das den Titel „Avant de continuer“ („Bevor Sie fortfahren“) trägt und übersetzt den folgenden Hinweis enthält:

Google verwendet Cookies und andere Daten, um seine Dienste und Anzeigen bereitzustellen, zu verwalten und zu verbessern. Wenn Sie zustimmen, werden wir die Inhalte und Anzeigen, die Sie sehen, auf der Grundlage Ihrer Aktivitäten in Google-Diensten wie Suche, Karten und YouTube anpassen. Einige unserer Partner werten auch aus, wie unsere Dienste genutzt werden. Klicken Sie auf Weitere Informationen“, um mehr über Ihre Möglichkeiten zu erfahren, oder besuchen Sie jederzeit die Seite g.co/privacytools, wo Cookies, Partner und g.co/privacytools anklickbare Links sind.

Am unteren Rand des Popups befinden sich zwei Schaltflächen mit den Beschriftungen „Plus d’information“ („Mehr Informationen“) und „J’accepte“ („Ich akzeptiere“).

Auch wenn die CNIL diesen neuen Hinweis über die Nutzung von Werbe-Cookies als unbestreitbaren Fortschritt zur früheren Praxis wertet, sind die Informationen aus Sicht der Datenschützer nach wie vor nicht geeignet, den Nutzer über alle Zwecke der hinterlegten Cookes und die Möglichkeit des Widerspruchs aufzuklären. Google und Google Ireland wurde deshalb eine Dreimonatsfrist zur erneuten Anpassung gesetzt, um weitere Strafzahlungen zu vermeiden.

Ein ähnliches Ultimatum stellt die CNIL an Europe Core, denn auch bei der Amazon-Tochter wird ein bereits überarbeitetes Informationsbanner noch nicht als Lösung des Problems gesehen.

Website-Betreiber sollten die Ausgestaltung ihrer Cookies-Banner überprüfen

In Anbetracht des drastischen Vorgehens der französischen Datenschützer ist beim Einsatz von Werbe-Cookies ein besonderes Augenmerk auf die rechtskonforme Ausgestaltung der Einwilligung und der dazu erforderlichen Information der Nutzer zu legen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat dazu eine Handreichung erstellt, mit deren Hilfe die korrekte Cookie-Einwilligung auf Webseiten erleichtert werden soll. Diese ist als erste Orientierung für die Überprüfung der Datenschutzkonformität durchaus geeignet.

Danach sind kurz zusammengefasst insbesondere folgende Punkte für die Beurteilung der Wirksamkeit der Abgabe einer Einwilligung im Zusammenhang mit der Verwendung von Cookies von Bedeutung:

  1. Cookie-Einsatz erst nach erteilter Einwilligung
    Vor dem Setzen nicht notwendiger Cookies muss eine Einwilligungeingeholt werden.
  2. Informiertheit der Einwilligung
    Im Rahmen der Einwilligungsabfrage müssen die Nutzer mit den erforderlichen Informationen ausgestattet werden, insbesondere hinsichtlich der Identität des Verantwortlichen, der Verarbeitungszwecke, der verarbeiteten Daten und über das Bestehen eines Widerrufsrechts.
  3. Eindeutige und freiwillige Einwilligung
    Die Abgabe der Einwilligung bedarf einer eindeutigen bestätigenden Handlung. Die Nutzer müssen die Einwilligung auch verweigern können.
  4. Keine unzulässige Einflussnahme auf die Nutzerentscheidung
    Die Verweigerung der Einwilligung darf nicht unnötig kompliziert sein („Nudging“). Unzulässig sind auch Ansätze, die darauf abzielen, Nutzer, nachdem sie die Einwilligung abgelehnt haben, wiederholt nach dieser zu fragen, um diese „mürbe“ zu machen. 
  5. Widerruflichkeit der Einwilligung
    Der Widerruf der Einwilligung muss auf demselben Weg und so einfach wie die Erteilung der Einwilligung möglich sein.

Gern unterstützen wir Sie bei der Prüfung Ihrer Cookie-Nutzung und einer gegebenenfalls nötigen Überarbeitung Ihrer Plattform.

Frankreich: neue Orientierungshilfe zum Online-Tracking veröffentlicht

Die französische Datenschutzaufsichtsbehörde CNIL hat Anfang des Monats unter dem Titel „Cookies und andere Tracker“ zwei Papiere verabschiedet, in denen sie ihre Sichtweise zur Frage der Einwilligung beim Online-Tracking darlegt. Beim ersten der beiden Dokumente handelt es sich um „Leitlinien“, also in etwa um eine „Orientierungshilfe“ in der Sprache der deutschen Datenschutzkonferenz, das zweite Papier beinhaltet dagegen praktische Umsetzungsempfehlungen für Publisher, die prinzipiell keinen rechtlichen Gehalt haben.

Einwilligung auch beim Fingerprinting und im Mobile Tracking erforderlich

In Deutschland ist nach wie vor nicht geklärt, ob nach dem „Planet49“-Urteil des Europäischen Gerichtshofs das Erfordernis einer Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie nur für Cookies oder auch für „cookieless“-Technologien wie Fingerprinting und Mobile Tracking gilt. Denn bei diesen Technologien erfolgt im Vergleich zum Tracking mit Cookies kein Zugriff auf Daten im Endgerät des Nutzers, sondern es werden lediglich Informationen genutzt, die das Endgerät ohnehin an den Server des Publishers überträgt. Ohne weitere Diskussion folgt die CNIL in ihrem Papier derjenigen Ansicht, die für alle Tracking-Technologien eine Einwilligung für erforderlich hält – wohl dem ursprünglichen Ansinnen des Gesetzgebers aus dem Jahr 2009 entsprechend, „technologieneutrale“ Regeln aufzustellen. Es bleibt abzuwarten, ob diese Position auch in Deutschland Schule macht.

Cookie Walls: die CNIL bleibt skeptisch

Obwohl das höchste französische Verwaltungsgericht, der Conseil d’État, das von der CNIL ursprünglich erlassene Verbot von Cookie Walls aufgehoben hatte, bleibt die Behörde in ihrer neuen Verlautbarung skeptisch: Consent-Management-Plattformen (CMPs), die Nutzern den Zugriff zu verweigern, wenn sie keine Einwilligung abgeben, führen für die CNIL zumindest „in bestimmten Fällen“ zur „Beeinträchtigung der Freiwilligkeit“ – und damit zur Unwirksamkeit – der Einwilligung. In Deutschland sind Cookie Walls bereits weit verbreitet, unseres Wissens auch mit dem Segen der hiesigen Aufsichtsbehörden. Auch die CNIL wird sich dieser Entwicklung nicht versperren können, zumal ihr bei diesem Thema nunmehr gerichtlich die Hände gebunden sind.

In ähnlicher Form findet sich die Problematik an anderer Stelle des Papiers erneut wieder: Die CNIL fordert, dass Publisher es (wie in der „Second Layer“ der CMP nach dem TCF 2.0 vorgesehen) Nutzern ermöglichen müssen, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken oder diese auszuschließen.

Transparenzpflichten

Hinsichtlich der Transparenzpflichten des Publishers beim Einsatz von Tracking-Technologien macht die Stellungnahme der CNIL zunächst den erfreulichen Eindruck, als folge man im Wesentlichen der Linie des TCF 2.0. Problematisch ist jedoch, dass eine vollständige Liste aller Verantwortlichen gefordert wird, die einwilligungspflichtige Tracker verwenden. Dies stellt ein Problem für Publisher dar, die Nutzerdaten für die Weitergabe an Dritte erheben (Data Broker oder Data Enrichment genannt). Hier kann der Publisher unmöglich wissen, wer die Daten letzten Endes erhält und nutzt. Die CNIL stellt hier also eine Bedingung auf, die für einen großen Teil der Branche praktisch nicht umsetzbar ist. Auch in Deutschland tritt dieses Problem auf – und wird auch vom TCF 2.0 nicht zufriedenstellend gelöst.

Publisher und Dienstleister als Joint Controller

Ohne konkret zu werden, bläst auch die CNIL in das bei allen Aufsichtsbehörden so beliebte Horn der gemeinsamen Verantwortlichkeit: Nach dem „Fashion-ID“-Urteil des Europäischen Gerichtshofs sind Publisher beim Einsatz von Tracking-Skripten wie dem Facebook-Pixel zumindest für den Vorgang der Datenerhebung gemeinsam verantwortlich, was den Abschluss einer gesonderten Vereinbarung erforderlich macht und entsprechende Transparenzpflichten auslöst.

Kein Einwilligungserfordernis für Analytics

Die erfreulichste Nachricht der CNIL findet sich ganz am Ende ihres Papiers: Für den Einsatz von Analytics-Diensten benötige man keine Einwilligung – auch dann nicht, wenn dazu Cookies gesetzt werden. Zu diesem Ergebnis kommt die Behörde über eine kreative Auslegung einer Ausnahmevorschrift der ePrivacy-Richtlinie: Der Einsatz von Webanalyse-Diensten sei für die Arbeit der Publisher in den Augen der CNIL „unbedingt erforderlich“. Dies gilt jedoch nicht, wenn die dabei erhobenen Daten für über die strikte Messung der Besucherzahlen hinaus gehende Zwecke genutzt werden – dann braucht es doch wieder eine Einwilligung.

Wird die „alles ablehnen“-Schaltfläche Pflicht?

Die CNIL wird nicht müde, es zu betonen: Für den Nutzer muss die Verweigerung der Einwilligung genauso einfach sein wie ihre Erteilung. Sie empfiehlt(!) daher, Nutzern bereits in der so genannten First Layer der CMP die Möglichkeit zu geben, mit einem Klick alle Cookies abzulehnen. Anders ausgedrückt: Die CNIL wünscht sich, dass Publisher unmittelbar neben der Schaltfläche “alle Cookies akzeptieren” auch direkt einen Button „alle Cookies ablehnen“ anzuzeigen – und ihn nicht in der Second Layer über die Schaltfläche „Einstellungen“ zu verstecken:

So wünscht es sich die CNIL: Direkt neben der Schaltfläche „alles akzeptieren“ bietet die CMP einen „alle ablehnen“-Button.

Geltungsdauer der Einwilligung

Hinsichtlich der Geltungsdauer der Einwilligung sieht es die CNIL schließlich als „gute Praxis“, die Abgabe oder Verweigerung der Einwilligung sechs Monate lang zu speichern. Aus Sicht der Publisher ist diese Äußerung als praktischer Anhaltspunkt einerseits erfreulich, andererseits wäre hier mehr Flexibilität wünschenswert: Die CNIL möchte aber verhindern, dass die CMP bei jedem Besuch einer Website erneut angezeigt wird und Nutzer so zur Einwilligung gedrängt werden.

Fazit

Es ist zu begrüßen, dass die CNIL – gerade im Vergleich zu den deutschen Aufsichtsbehörden – ihre Auslegung der gesetzlichen Anforderungen auf diese Weise klarstellt und sich darum bemüht, praktische Hinweise zu ihrer Umsetzung zu geben. Es ist gut möglich, dass die in den beiden Papieren vertretenen Ansichten auch hierzulande Schule machen. Um so mehr ist es wichtig, dass sich auch die deutsche Onlinemarketing-Branche mit ihnen auseinandersetzt und frühzeitig den Austausch mit den Aufsichtsbehörden sucht – und im Zuge der geplanten Novelle des deutschen Telemediengesetzes durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ („TTDSG“) auch mit dem Gesetzgeber. Dabei lohnt es sich auch, Haltung zu zeigen und nicht jede veröffentlichte Auslegung einfach hinzunehmen. Das beste Beispiel dafür ist die erfolgreiche Klage gegen das französische Verbot von Cookie-Walls. Besonders spannend wird dabei sein, welche CMP-Gestaltungen zukünftig von den Behörden und letztlich von den Gerichten akzeptiert werden – wir beraten Sie dazu gern.

Tracking im Fokus der Aufsichtsbehörden: Länderübergreifende Prüfung von Medien-Websites

Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen „Planet 49“ (Urteil vom 28.5.2020, Az. I ZR 7/16; wir berichteten) auch die Aufsichtsbehörden beim Thema Tracking und Cookies aktiv werden würden. Nun ist es so weit: In einer koordinierten länderübergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbehörden gegen größere Medienhäuser vor (konkret handelt es sich um die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste öffentliche Ankündigung ist der Pressemitteilung des LfDI Baden-Württemberg vom 19.08.2020 zu entnehmen.

Die Aufsichtsbehörden haben demnach an die reichweitenstärksten Verlage in Ihrem Zuständigkeitsbereich ein förmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten müssen. Dabei haben die Behörden Ihren Schreiben einen umfangreichen Fragebogen beigefügt, der auszufüllen ist.

Sowohl der Fragebogen, als auch die dazugehörigen Erläuterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de veröffentlicht:

Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbehörden ist. Offenbar geht man dort davon aus, dass „das Problem mit den Cookies“ in der Medienbranche ganz besonders ausgeprägt ist, weshalb diese Branche ein guter Startpunkt für die eigenen Regulierungsbemühungen ist. Man wird damit rechnen müssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.

Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren für den Einsatz von Tracking-Technologien gewinnen lassen.

Welche Erkenntnisse kann man aus den Anschreiben erlangen?

Los geht es mit den Anschreiben der Behörden (derzeit liegen uns Fassungen aus Rheinland-Pfalz und Baden-Württemberg vor). Das erste was hier auffällt ist, dass diese – anders als der Fragebogen und die dazugehörigen Dokumente – unter den Behörden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.

Zwar sagt sowohl die Behörde aus Baden-Württemberg als auch die aus Rheinland-Pfalz, für den Einsatz von Tracking-Technologien benötige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begründung ist jedoch anders. So verweist der LfDI Baden-Württemberg allein auf die „Orientierungshilfe Telemedien“, die die Aufsichtsbehörden im letzten Frühjahr herausgegeben haben. Konkret heißt es:

„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder(DSK) hat in verschiedenen Veröffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen – vor allem zu Werbezwecken – dienen. Insbesondere mit der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf) wurden diese ausführlich erläutert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zulässig, wenn die Nutzer darin ausdrücklich eingewilligt haben.“

Dies ist insofern fragwürdig, als dass die Ausführungen in der angesprochenen Orientierungshilfe lange vor den (für den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache „Planet 49“ erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fußen, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei (Orientierungshilfe Telemedien, S. 2-6). Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des – vom BGH für wirksam erachteten § 15 Abs. 3 S. 1 TMG – jedoch nicht möglich. Kurzum: Die rechtlichen Ausführungen des LfDI Baden-Württemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angestoßen und wollte es trotz des Urteils nun nicht mehr stoppen.

Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zunächst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber über und erwähnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngemäß: „Der BGH erklärt zwar § 15 Abs. 3 TMG für anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: Für Cookies braucht man eine Einwilligung“.

Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort für bare Münze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu § 15 Abs. 3 TMG zu verstehen sind.

Insbesondere zur Zuständigkeit der Aufsichtsbehörden bereitet die vom BGH beschlossene Anwendbarkeit von § 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbehörden sowohl für die Aufsicht als auch die Verhängung von Bußgeldern zuständig sind, ist alles andere als klar.

An dieser Stelle ein kurzer Exkurs:

Selbstverständlich sind die Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung und Ahndung von Verstößen in Bezug auf die DSGVO zuständig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverhältnisses nicht anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann überwacht.

Das TMG selbst enthält keine Zuständigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in § 1 Abs. 1 Hs. 2 RStV geregelt, dass für Telemedien (der juristische Begriff für Webangebote) die Abschnitte IV. bis VI. sowie § 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der Überschrift „Aufsicht“ der § 59 RStV, in dem es in Abs. 1 S. 1 heißt:

„Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“

Weiter heißt es in § 59 Abs. 2 RstV:

„Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“

Daraus folgt zunächst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbehörden für die Aufsicht zuständig. Für die Aufsicht über die Einhaltung anderer als datenschutzrechtlicher Bestimmungen für Telemedien sind hingegen die jeweiligen Landesmedienanstalten zuständig.

Da der § 15 TMG im Telemediengesetz in Abschnitt „4. Datenschutz“ steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbehörden deshalb für die Aufsicht zuständig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wie hier nachzulesen ist.

Nicht ausdrücklich geregelt in § 59 RStV ist jedoch eine Regelung zur Zuständigkeit für die Verteilung von Bußgeldern. Wären die Datenschutzaufsichtsbehörden hierfür nicht zuständig, wären sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie könnten zwar wie jetzt Auskunft verlangen, jedoch Verstöße nicht per Bußgeld ahnden. (Ende Exkurs)

Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbehörden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies stürzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.

Was offenbart der Fragebogen?

Der elfseitige Fragebogen enthält eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe überrascht.

Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber müssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgefüllt werden – die Dienste müssen auch in den beigefügten Tabellendokumenten minutiös mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf lässt der Fragebogen an dieser Stelle auch erkennen, dass die Behörden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern sämtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Prüfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur geklärt wurde, dass der Einsatz von Cookies unter § 15 Abs. 3 TMG fällt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht geklärt. Neben der Nennung aller Tracking-Technologien müssen auch die jeweiligen Rechtsgrundlagen nebst Erläuterungen angegeben werden.

Im nächsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (Änderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Behörden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool für die Einholung der Einwilligung eingeführt haben.

Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, nämlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier müssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabwägung vorlegen zu können. Etwas überraschend fragen die Behörden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderjährige. Viele Verantwortliche werden hier Erklärungen finden müssen, warum ihr Angebot nicht an unter 16-Jährige gerichtet ist und wie sie deren Nutzung wirksam ausschließen.

Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabschätzungen (DSFA). Die Behörden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgeführt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Prüfungen der Risiken von Datenverarbeitungen. Die Behörden verlangen hier eine Begründung, falls man eine solche DSFA nicht durchgeführt hat. Ob daraus ersichtlich wird, dass die Behörden eine solche Folgenabschätzung bei Tracking generell für erforderlich halten, wird allerdings nicht ganz klar.

Was steckt in den zusätzlichen Erläuterungen?

Zusammen mit dem Fragebogen schicken die Behörden noch Erläuterungen an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort heißt es:

„Dies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie „Verstanden“, „Alles klar“, „Ja und weiter“ oder „Einverstanden“ entsprechen in aller Regel keiner Einwilligung.“

Dieser Hinweis ist insbesondere für die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine „freie Wahl“ hat, wenn ihm im Consent-Banner die Möglichkeiten „Ja / Nein“ als Buttons gegeben werden, oder ob auch Gestaltungen wie „Ja / Weitere Einstellungen“ rechtskonform sind.

Hier lässt der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbehörden auch andere Gestaltungsmöglichkeiten als ein klares „Ja/Nein“ für rechtmäßig halten, da hiernach eine „Ablehnung oder vergleichbare Alternative“ zur Auswahl stehen muss und solche Gestaltungen ggf. als „vergleichbare Alternative“ angesehen werden können.

Fazit

Mit ihrer länderübergreifenden Aktion bringen die Aufsichtsbehörden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grundsätzlich ist es zwar zu begrüßen, dass in diesem – von Unklarheiten geprägten – Rechtsbereich eine Klärung der für Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Behördenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen „Planet 49“ nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschlächtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von § 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausfällt, wirkt fast ironisch.

Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Behörden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos für Unternehmen sind jetzt:

  • Sie sollten in jedem Fall eine umfassende Prüfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Klären Sie für sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten könnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter möglich. Sollten Ihnen Informationen von Drittanbietern für eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.
  • Klären Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?
  • Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsmöglichkeit hat.
  • Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabwägung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Behörde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer möglich, die entsprechenden Dokumentationen noch „auf die Schnelle“ zu erstellen.

Sofern Sie Fragen zur Aktion der Aufsichtsbehörden haben oder Unterstützung bei den notwendigen Schritten benötigen, zögern Sie nicht, uns anzusprechen.

„Schrems II“: Der Europäische Gerichtshof kippt das „Privacy Shield“-Abkommen – sind damit bald sämtliche Datentransfers in die USA tabu?

Geschrieben am

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

  • Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
  • Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.