„Schrems II“: Der Europäische Gerichtshof kippt das „Privacy Shield“-Abkommen – sind damit bald sämtliche Datentransfers in die USA tabu?

Geschrieben am

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

  • Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
  • Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.

„Voice Branding“ – Product Placement via Sprachassistent?

Sprachassistenten – sei es in Form von intelligenten Lautsprechern wie „Google Home“ oder „Amazon Echo“ im Wohnzimmer, „Siri“ auf dem Smartphone oder „Cortana“ auf dem PC – sind immer weiter verbreitet. Auch die Werbung hat diesen neuen Kanal längst für sich entdeckt und experimentiert mit neuen Formen für intelligente Markenbotschaften. Dabei stellt sich natürlich die Frage, wie diese rechtlich zu bewerten sind.

Ein Amazon Echo Spot (Foto: Zebonaut, CC BY-SA 4.0)

Neuer Kanal, alte Fragen

Aus juristischer Sicht stellen sich im neuen Kanal der Sprachassistenten die altbekannten Fragen des Werberechts:

  • Wie sind die Informationspflichten aus dem Verbraucherschutz umzusetzen?
  • Wie kennzeichnet man Werbung korrekt und im Einklang mit den geltenden Vorgaben des Medienrechts?
  • Und was ist mit den Nutzerdaten, die es DSGVO-konform zu erheben und zu nutzen gilt?

Formen des Voice Branding

Relativ verbreitet sind insbesondere im Bereich intelligenter Lautsprecher so genannte „Branded Skills“: Der Nutzer kann hier wie eine Handy-App zum Beispiel eine Funktionalität seines Lieblings-Radiosenders installieren oder die Inhalte einer Content-Plattform leichter zugänglich machen. Dadurch reagiert der Sprachassistent auf bestimmte Befehle nicht mehr neutral, sondern „branded“, antwortet also mit der Stimme des Skill-Anbieters. Rechtlich besonders spannend sind andere Formen des „Voice Branding“, die darüber hinausgehen und sich in den Bereich der echten Produktplatzierung bewegen.

Das Thema wird bereits seit 2017 diskutiert, als ein Test des intelligenten Lautsprechers „Google Home“ mit nicht gekennzeichneter Werbung für die Neuverfilmung von „Die Schöne und das Biest“ die Runde machte. Dort spielte das Gerät unverhofft einen kurzen Werbeclip zum Kinostart ab, wenn der Nutzer das Gerät nach den Neuigkeiten des Tages fragte:

Rechtliche Grenzen des Voice Branding

Im Bereich des Wettbewerbsrechts sind insbesondere die Kennzeichnungspflichten ein Problem: Wie kann man ohne visuelle Hilfen wie „Sternchenangaben“ und „Kleingedrucktes“ die gesetzlich vorgegebenen Mindestangaben machen und redaktionelle Inhalte (also normale Suchergebnisse und objektive Empfehlungen) von „sponsored content“ trennen?

Medienrechtlich waren Sprachassistenten selbst bislang nicht als Presse und auch nicht als Rundfunk einzuordnen – der neue Medienstaatsvertrag möchte jedoch diese Grenze verschieben und die Vorgaben des bisherigen Rundfunkstaatsvertrags auch auf Sprachassistenten als „Benutzeroberflächen“ anwendbar machen. Die Regeln des Telemedienrechts gelten daneben sowieso.

Insbesondere muss Werbung medienrechtlich auch per Sprachassistenten erkennbar sein. Aufgrund der Neuartigkeit des Mediums ist davon auszugehen, dass die Aufsichtsbehörden und auch die Gerichte hier zunächst eher streng herangehen werden. Insbesondere das oben erwähnte Beispiel des Disney-Spots hätte auf jeden Fall recht deutlich gekennzeichnet werden müssen.

Die umfassenden verbraucherschutzrechtlichen Informationspflichten müssen ebenfalls eingehalten werden, auch wenn das im neuen Medium der Sprachassistenten insbesondere beim Abschluss von Verträgen sehr schwierig ist. Das kann unter Umständen dazu führen, dass der Sprachassistent eine ganze Menge an Informationen „abspulen“ muss, so wie man es zum Beispiel aus der Radiowerbung für Pharmazeutika kennt.

Datenschutzrechtlich stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung von Nutzerprofilen zu Werbezwecken. Hier ist zu beachten, dass die derzeit viel diskutierte „Planet49“-Rechtsprechung nicht greift, da keine Cookies gespeichert werden, sondern das Tracking auf der Grundlage einer Geräte-ID erfolgt. Das bedeutet, dass die Frage allein nach der Datenschutzgrundverordnung zu entscheiden ist und eine Verarbeitung auf der Grundlage berechtigter Interessen des Werbetreibenden (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommt.

Wettbewerbsrechtich müssen die Anbieter von Sprachassistenten schließlich allen Werbetreibenden einen neutralen Zugang zu ihrer Plattform gewähren.

Fazit

Die rechtlichen Probleme sind hinlänglich bekannt – wie sie jedoch praktisch umgesetzt werden können, ohne den Nutzer nicht zu vergraulen, ist bislang offen. Abzwarten ist auch die weitere Entwicklung hinsichtlich des Medienstaatsvertrags, der immer noch nicht ratifiziert ist, und der weiterhin nur als Entwurf vorliegenden ePrivacy-Verordnung. Auch in technischer Hinsicht wird sich hier sicher noch viel verändern und zusätzlich zu den hier diskutierten Möglichkeiten sind sicherlich weitere neue Werbeformen denkbar.

Google Analytics datenschutzkonform einsetzen: aktuelle Hinweise der Aufsichtsbehörden

Eine Frage, die uns von Website-Betreibern immer wieder gestellt wird, ist die nach dem rechtskonformen Einsatz des beliebten Webanalyse-Tools „Google Analytics“ (GA). Wie stelle ich das Tool richtig ein? Brauche ich eine Einwilligung meiner Besucher? Handelt es sich um eine Auftragsverarbeitung? Solche Fragen sind Dauerbrenner in unserer Beratungspraxis.

Dass bei GA eine erhebliche Rechtsunsicherheit seitens der User besteht, ist auch den Aufsichtsbehörden bekannt, weshalb sie in der Vergangenheit immer wieder Hinweise zum datenschutzgerechten Einsatz machten. Zuletzt gaben sie in einer konzentrierten Aktion im November 2019 eine gemeinsame Pressemitteilung heraus, in der sie darauf hinwiesen, dass der Einsatz von GA in Zukunft nur noch auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO möglich sei. Da diese Pressemitteilung allerdings nicht sonderliche viele Anwendungshinweise enthielt, haben die Aufsichtsbehörden über die Datenschutzkonferenz (DSK) am 12.05.2020 nachgelegt und mittels eines Beschlusses „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht.

Bemerkenswert ist dabei schon der folgende Umstand: Die DSK macht gleich zu Beginn des Textes klar, dass alle Angaben „unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH“ stünden. Das am 12.05.2020 schon absehbare und am 28.05.2020 ergangene Urteil des Bundesgerichtshofs in der Rechtssache „Planet49“ (Urteil vom 28. Mai 2020, Az. I ZR 7/16, wir berichteten), das unmittelbar auch Einfluss auf den Einsatz von Cookies zu Werbe- und Analysezwecken hat, ignorieren die Aufsichtsbehörden dabei. Jeder Leser der Behörden-Hinweise zu Google Analytics sollte also im Auge behalten, dass diese Hinweise vor dem BGH-Urteil verfasst wurden und somit die maßgeblichen Erwägungen des Bundesgerichtshofs nicht berücksichtigen. Warum man hier nicht die knappen zwei Wochen abwarten konnte, ist unklar.

Noch einen weiteren Hinweis fügt die DSK am Anfang des Textes ein: Ihre Ausführungen seien als eine Ergänzung der Orientierungshilfe für Anbieter von Telemedien zu verstehen und keine Empfehlung zum Einsatz von GA, sondern nur eine Beschreibung der datenschutzrechtlichen Mindestanforderungen. Im Übrigen fänden die Hinweise keine Anwendung, wenn der Nutzer von den empfohlenen Standardeinstellungen abweicht oder Google Analytics 360 verwendet. An dieser Stelle eine Hilfestellung von uns: Mit den „empfohlenen Standardeinstellungen“ meint die DSK die im folgenden Screenshot dargestellten vier Kästchen, die bei der Anmeldung für GA standardmäßig aktiviert sind und eine Datenfreigabe an Google enthalten.

Screenshot: Google Analytics Anmeldemaske, abrufbar unter https://analytics.google.com/analytics/web/provision/#/provision/create.

Werden diese vier Kästchen deaktiviert, finden die rechtlichen Bewertungen der DSK und die darauf basierenden Hinweise keine Anwendung. Warum Sie diese vier Kästchen dennoch deaktivieren sollten, erklären wir weiter unten.

Nach dieser ganzen Vorrede nun zu den inhaltlichen Aussagen des DSK-Papiers:

  1. Rechtsverhältnis zwischen Nutzer und Google

Als erstes wird von der DSK festgestellt, dass es sich beim Verhältnis zwischen Google Analytics-Anwender und Google nicht um ein Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO handelt. Ein solches Verhältnis läge schließlich nur vor, wenn der Nutzer die Zwecke und Mittel der Verarbeitung selbst bestimmen und Google die Daten allein auf Weisung des Nutzers verarbeiten würde. Dies sei aber bei GA nicht der Fall. Vielmehr würden die Zwecke und Mittel (teilweise) allein von Google vorgegeben. Zwar biete Google einen Auftragsverarbeitungsvertrag (AVV) für GA an, gleichzeitig sei nach den Standardeinstellungen aber der Abschluss eines Controller-Controller-Vertrags erforderlich, da Google für bestimmte Verarbeitungsvorgänge selbst davon ausgeht, eigenständiger Verantwortlicher zu sein [Anmerkung: Laut Google wird ein solcher Controller-Controller-Vertrag abgeschlossen, wenn das Kästchen „Google-Produkte und –Dienste“ oben im Screenshot aktiviert ist]. Ein solcher Wechsel zwischen der Stellung als Verantwortlicher und Auftragsverarbeiter sei aber nicht möglich, da GA einen einheitlichen Lebensvorgang darstellen würde.

Folge: Nach Ansicht der DSK ist die Rechtsbeziehung zwischen Google und dem Nutzer als gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu klassifizieren. Es müsste daher eigentlich ein entsprechender Vertrag zwischen Google und dem Nutzer abgeschlossen werden, den Google allerdings derzeit nicht anbietet. Auf diesen Umstand geht die DSK nicht ein.

  • Rechtsgrundlage

Die DSK geht davon aus, dass GA „in der Regel“ nur mit Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO genutzt werden könne. Ein Einsatz auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO scheide dagegen regelmäßig aus, da die Interessen der Websitebesucher die der Websitebetreiber überwiegen würden. Die DSK dazu:

„Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.“

An dieser Stelle wird besonders deutlich, dass die DSK ihre Hinweise vor Verkündung des BGH-Urteils in der Rechtssache „Planet49“ veröffentlichte. Die DSK geht hier – wie schon in ihrer Orientierungshilfe Telemedien (S. 2-6) – offenbar davon aus, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei. Ein anderes Verständnis deutet hingegen die Pressemitteilung des Bundesgerichtshofs an. Danach scheint der BGH der Ansicht zu sein, dass § 15 Abs. 3 S. 1 TMG sehr wohl richtlinienkonform auslegbar und damit anwendbar sei. Dies hätte Auswirkungen auf die Frage, ob ein Rückgriff auf die Rechtsgrundlagen der DSGVO überhaupt erforderlich ist.

Zusätzlich ist nochmals anzumerken, dass diese Rechtsauffassung der DSK immer nur für den Fall gilt, dass die oben beschriebenen Standardeinstellungen gewählt werden und sämtliche Datenfreigabeoptionen aktiviert sind.

Folge: Die DSK hat ihre Rechnung ohne den Bundesgerichtshof gemacht. Ob ihre Einschätzung von Mitte Mai auch weiterhin haltbar ist, wird sich hoffentlich zeigen, wenn die Urteilsgründe des BGH zur Rechtssache „Planet49“ veröffentlicht sind. Unsere Vorschläge zum weiteren Vorgehen lesen Sie unten.

  • Von der DSK empfohlene Maßnahmen

Die DSK listet (relativ untypisch für sie) einige halbwegs konkrete Maßnahmen auf, die bei der Einholung der Einwilligung berücksichtigt werden müssen.

· Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

· In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

· Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

· Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.“

Auch einige Gestaltungshinweise werden gegeben:

· Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.

· Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

· Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.

· Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

Darüber hinaus muss der Websitebetreiber eine dauerhaft verfügbare Widerrufsmöglichkeit implementieren, beispielsweise in Form eines Buttons. Der bloße Hinweis auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von GA reiche nicht aus (insbesondere weil das Add-On nicht für Apps greife). Zusätzlich muss in der Datenschutzerklärung die Verwendung von GA transparent und umfassend beschrieben werden. Letztlich muss die die Funktion „anonymizeIp()“ zur Kürzung der erfassten IP-Adressen aktiviert werden.

  • Bewertung der Hinweise der DSK und Fazit

In den Dschungel der Anforderungen an einen rechtskonformen Einsatz von Google Analytics versucht die DSK mit ihren Hinweisen etwas Licht zu bringen. Leider gelingt dies nur zu einem sehr geringen Teil. Größte Kritikpunkte an dem Papier sind, dass zum einen nicht erklärt wird, wie die Behörden die Situation sehen, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe vom Nutzer deaktiviert werden und zum anderen, dass das BGH-Urteil „Planet49“ nicht abgewartet wurde.

Aufgrund dieser Kritikpunkte bleiben weiterhin viele Fragen offen:

  • Wie bewertet die DSK die Situation, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe, die standardmäßig aktiviert sind, vom Nutzer deaktiviert werden? Liegt dann wieder eine Auftragsverarbeitung vor?
  • Wenn die DSK davon ausgeht, dass unter den Standardeinstellungen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt: Wie sollen Websitebetreiber GA rechtskonform nutzen, wenn ein solcher Vertrag von Google derzeit nicht angeboten wird?
  • Wie sieht die rechtliche Bewertung zur Frage der Einwilligung nach dem Urteil des Bundesgerichtshofs nun aus? Geht die DSK weiterhin davon aus, dass eine Einwilligung grundsätzlich erforderlich aber ein Einsatz auf Basis von Art. 6 Abs. 1 lit. f DSGVO prinzipiell möglich ist?

Unser Rat:

Die Stellungnahme der DSK hat keine Rechtswirkung, sondern spiegelt nur die Auffassung der Aufsichtsbehörden zur Auslegung der DSGVO wider. Ob diese Auffassung richtig ist, müssen letztlich die Gerichte entscheiden. Im Fall von GA ist die Situation zudem insofern besonders, als dass nach Veröffentlichung der Hinweise der DSK noch der Bundesgerichtshof entschieden hat und unklar ist, wie die Behörden mit dieser Entscheidung umgehen werden.

Unter diesen Voraussetzungen sollten Nutzer von GA sich auf drei wesentliche Punkte konzentrieren:

  1. Rechtsverhältnis: Behalten Sie die Standardeinstellungen zur Datenfreigabe (Screenshot) bei, besteht zwischen Ihnen und Google höchstwahrscheinlich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Den dafür erforderlichen Vertrag bietet Google derzeit nicht an, so dass GA unter diesen Voraussetzungen nicht guten Gewissens eingesetzt werden kann. Wir empfehlen daher, in jedem Fall sämtliche Datenfreigaben zu deaktivieren. Ob dann automatisch ein Auftragsverarbeitungsverhältnis besteht, wie von Google angenommen, wird von den Behörden nicht erörtert. Sofern Sie hierzu eine rechtliche Einschätzung benötigen, kontaktieren Sie uns gern.
  2. Rechtsgrundlage für den Einsatz von GA: Ob tatsächlich in jedem Fall eine Einwilligung des Nutzers beim Einsatz von GA eingeholt werden muss, kann nach wie vor kaum verlässlich gesagt werden. Wir hoffen, dass die Urteilsgründe des BGH in Sachen „Planet49“ mehr Klarheit bringen werden. Wir beraten Sie gern, wie Sie in der Übergangszeit am besten vorgehen sollten.
  3. Gestaltung der Einwilligung: Sofern Sie eine Einwilligung einholen möchten, sollten die Hinweise der DSK herangezogen werden. Sehr interessant ist dabei, dass der Websitebetreiber in der Einwilligungserklärung grundsätzlich darüber aufklären muss, was genau mit den Daten passiert. Mit anderen Worten muss darüber aufgeklärt werden, was genau Google mit den Daten anstellt. Das ist mit den von Google bereitgestellten Informationen aber kaum möglich. Der DSK reicht es hier aber offenbar aus, dass auf diesen Umstand hingewiesen wird, wenn sie ausführt:

In der Einwilligung muss klar und deutlichbeschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. […] Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.“

Diese Gestaltungshinweise sollten bei der Einholung der Einwilligung zwingend beachtet werden.

Die „Planet49“-Entscheidung des Bundesgerichtshofs – warum die Frage nach den Cookies immer noch nicht geklärt ist

Mit dem heutigen Urteil des Bundesgerichtshofs ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH, einer Anbieterin von Online-Gewinnspielen, zu Ende. Der Prozess hatte insbesondere die Frage nach der rechtlichen Wirksamkeit der Einwilligung von Website-Besuchern in die Speicherung von Marketing-Cookies zum Gegenstand. Diese Frage wurde dadurch aufgeworfen, dass die Beklagte im Jahre 2013 ein Gewinnspiel auf ihrer Website veranstaltet hatte. Hierfür gelangte der Nutzer auf eine Seite mit einem Webformular, auf dem er Namen und Anschrift angeben musste, wobei sich unter den Eingabefeldern für die Anschrift zwei Einverständniserklärungen mit Ankreuzfeldern befanden. Das erste Ankreuzfeld war nicht mit einem voreingestellten Häkchen versehen. Das hier zu erteilende Einverständnis bezog sich auf Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS. Die Nutzer konnten die Sponsoren und Kooperationspartner selbst auswählen und ihr Einverständnis jederzeit widerrufen.

Das weitere Ankreuzfeld war bereits mit einem voreingestellten Häkchen versehen. Dieser voreingestellte Haken konnte zwar entfernt werden, eine Teilnahme am Gewinnspiel war allerdings nur möglich, wenn der Nutzer mindestens eines der beiden Felder mit einem Haken versah. Der Nutzer sollte im Rahmen dieser Erklärung dahin gehend einwilligen, dass ein mit einer Tracking-ID versehenes Cookie auf dem Endgerät gespeichert werden sollte:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [die Beklagte] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier [Link zur Datenschutzerklärung].“

Der Nutzer wurde ferner darauf hingewiesen, dass mittels der gespeicherten ID jeder Besuch auf den Websites eines für Remintrex registrierten Werbepartners festgehalten würde und darüber hinaus erfasst würde, für welche Produkte sich der Nutzer interessiert und welche er kauft.

Während das Landgericht Frankfurt am Main die Beklagte zur Unterlassung beider Einverständniserklärungen verurteilte, erzielte der Kläger im Rahmen der Berufung lediglich mit dem Antrag bezüglich der Nutzung von Cookies bei voreingestellten Einwilligungserklärungen Erfolg. Nachdem das OLG Frankfurt die Revision zum Bundesgerichtshof zuließ, strengte der BGH ein Vorabentscheidungsverfahren vor dem Europäischen Gerichtshof an, um insbesondere die Frage nach der Wirksamkeit von Einwilligungen in die Setzung von Cookies unionsrechtlich klären zu lassen. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Am 1. Oktober 2019 verkündete der EuGH das so genannte Planet49-Urteil und stellte fest, dass für eine wirksame Einwilligung eine aktive Handlung des Einwilligenden zu verlangen ist wofür vorausgewählte Checkboxen nicht ausreichen (siehe unseren Beitrag im Blog). Der EuGH begründete dies damit, dass eine voraktivierte Checkbox keine Aktivität des Nutzers darstelle. Vielmehr bestünde die Handlung des Nutzers bei voreingestellten Kästchen lediglich darin, die Voreinstellung abzuwählen.

Der BGH übernahm mit seinem heutigen Urteil diese Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Bislang ist lediglich die Pressemitteilung öffentlich, die ausführlichen Entscheidungsgründe werden erst in den nächsten Tagen veröffentlicht. Der wichtigste Satz in der Pressemitteilung lautet wie folgt:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“

Die ersten Reaktionen auf das Urteil und insbesondere auf diesen Kernsatz sind sehr unterschiedlich – und der Teufel liegt im Detail. Korrekt formuliert es aus unserer Sicht zum Beispiel der ARD-Rechtsexperte Frank Bräutigam:

Die Betonung liegt hier auf dem Wort Wenn. Denn die grundsätzliche Frage, Ob eine Einwilligung für das Setzen von Marketing-Cookies erforderlich ist, hatte der BGH (ebensowenig wie der EuGH im Vorabentscheidungsverfahren) nicht zu entscheiden. Anders ausgedrückt: Die eigentlich spannende, in der Onlinemarketing-Branche seit Jahren diskutierte Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – keine Silbe. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Marschroute, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. (Damit widerspricht das Urteil übrigens der im März 2019 veröffentlichten Auffassung der deutschen Datenschutzaufsichtsbehörden, die deutsche Vorschrift sei als europarechtswidrig anzusehen und daher überhaupt nicht mehr anwendbar.) Bereits in den letzten Wochen war zu beobachten, dass große Online-Medien wie Spiegel Online auf Einwilligungsmodelle umstiegen.

Dabei bringt die Einwilligung als Rechtsgrundlage für das Onlinemarketing einen Strauß neuer Probleme mit sich: Wie können Online-Publisher Einwilligungen wirksam einholen, auf die sich alle am Onlinemarketing beteiligten Unternehmen stützen können, ohne ihren Nutzern völlig überfrachtete Popups anzeigen zu müssen? Wie kann die nach der DSGVO jederzeitige Widerrufbarkeit der Einwilligung in dieser Kette praktisch umgesetzt werden? Was geschieht, wenn Nutzer die Einwilligung massenhaft verweigern und so das Geschäftsmodell werbefinanzierter Online-Angebote unterlaufen? Viele Branchenmitglieder setzen ihre Hoffnungen derzeit in das Transparency and Consent Framework 2.0 des Branchenverbands IAB, dass die Verarbeitung von Nutzerdaten auf der Grundlage von Einwilligungen standardisieren soll.

Eigentlich liegt das Problem aber ganz woanders: Denn der europäische Gesetzgeber hatte ursprünglich beabsichtigt, die Frage des Onlinemarketings in der geplanten ePrivacy-Verordnung – als Nachfolgerin der alten ePrivacy-Richtlinie und Schwestergesetz zur Datenschutzgrundverordnung – neu zu regeln. Weil jedoch im Europäischen Rat keine Einigkeit über die Frage erzielt werden konnte, wie der Schutz der Privatsphäre der betroffenen Nutzer mit dem bestehenden Geschäftsmodell werbefinanzierter Onlineangebote zu vereinbaren ist, liegt der Plan seit Jahren auf Eis. Vielleicht gibt das heutige Urteil des Bundesgerichtshof der deutschen Ratspräsidentschaft in der zweiten Jahreshälfte 2020 jetzt den entscheidenden Impuls. Zumindest auf nationaler Ebene hat die deutsche Bundesregierung bereits eine Anpassung des Telemediengesetzes angekündigt.

Die Einwilligung ist nicht „besser“ als das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

VG Mainz: Einwilligung nicht besser als Interessenabwägung

Die DSGVO kennt in Art. 6 Abs. 1 sechs Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Der Verordnungsgeber hat diese sechs Erlaubnistatbestände in den Buchstaben a–f hintereinander aufgezählt. Dass die Einwilligung dabei an erster Stelle in Buchstabe a zu finden ist, sagt nichts darüber aus, dass diese Rechtsgrundlage über den anderen steht oder in irgendeiner Weise „besser“ ist als die anderen.

Häufige Fehlvorstellung: Einwilligung hat keinen Vorrang

Immer wieder sieht man in Gerichtsentscheidungen aber liest in der juristischen Literatur, dass von einem Vorrang der Einwilligung ausgegangen wird, diese insofern als „besser“ oder datenschutzfreundlicher wahrgenommen wird.

So entschied beispielsweise der bayerische Verwaltungsgerichtshof in seinem Beschluss zur Weitergabe gehashter E-Mail-Adressen im Rahmen von Facebook Custom Audiences , dass die Datenweitergabe an Facebook auf Basis berechtigter Interessen (die Entscheidung erging noch zum alten BDSG, als Rechtsgrundlage wurde aber eine Norm vergleichbar zu Art. 6 Abs. 1 lit. f DSGVO herangezogen) nicht rechtmäßig sei. Als Begründung wurde unter anderem angeführt, die Datenverarbeitung auf dieser Rechtsgrundlage sei nicht erforderlich, weil das Unternehmen ja problemlos eine Einwilligung hätte einholen können:

„Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Ast. ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Ast., bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium i.R.d. Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben. …“

(BayVGH, Beschl. vom 26.9.2018, Az. 5 CS 18.1157, ZD 2019, 43, Rz. 29)

Ein solches Rechtsverständnis würde in der Praxis zu erheblichen Problemen führen, denn mit dieser Argumentation wäre in bestehenden Vertragsbeziehungen eine Datenverarbeitung auf Grundlage berechtigterer Interessen (Art. 6 Abs. 1 lit. f DSGVO) so gut wie nie möglich, denn man könnte dem Verantwortlichen immer vorhalten, dass es ihm ja möglich gewesen wäre, eine Einwilligung im Rahmen der bestehenden Rechtsbeziehung einzuholen.

Aktuelles Urteil des VG Mainz: Gleichwertigkeit der Rechtsgrundlagen

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem aktuellen Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es zwar nicht um das Onlinemarketing, sondern um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

„Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a, Art. 7 DSGVO – zulässig sein. Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

(VG Mainz Urt. v. 20.2.2020, Az. 1 K 467/19, BeckRS 2020, 5397, Rz. 27)

Dieser Aussage des VG Mainz ist auf ganzer Linie zuzustimmen. Schließlich stellt es einen erheblichen Eingriff in die Grundrechte des datenschutzrechtlich Verantwortlichen dar, wenn man davon ausginge, die Einwilligung hätte grundsätzlich Vorrang. Es ist daher Aufgabe von Verantwortlichen, Behörden und Gerichten, nicht in die „Einwilligungsfalle“ zu tappen und diesen Gedanken im Rahmen von Interessenabwägungen außen vor zu lassen.