Die Datenschutzaufsichtsbehörden in 11 Bundesländern haben insgesamt 49 Websites von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von externen Tracking-Diensten untersucht. Wir hatten über den Start dieser Untersuchung berichtet („Tracking im Fokus der Aufsichtsbehörden: länderübergreifende Prüfung von Medien-Websites“). Bei der Prüfung wurde ein Schwerpunkt auf das Tracking von Nutzern zu Werbezwecken gelegt. Die meisten der geprüften Webseiten entsprachen im Ergebnis nicht den rechtlichen Anforderungen.

Rechtlicher Hintergrund

Nach § 15 Abs. 3 Telemediengesetz (TMG) (der ab dem 1. Dezember durch den inhaltlich gleich laufenden § 25 TTDSG ersetzt wird) – bedarf das Setzen von Cookies einer Einwilligung (es sei denn, ein Cookie ist für den Betrieb der Website „unbedingt erforderlich“).

Diese Einwilligung muss bestimmte, in der Datenschutzgrundverordnung (DSGVO) definierte Anforderungen erfüllen: Die Einwilligung muss freiwillig, informiert, unmissverständlich und in Bezug auf eine bestimmte Datenverarbeitung zu einem bestimmten Zweck abgegeben werden.

Überprüfung durch die Datenschutzaufsichtsbehörden

In einer gemeinsamen Aktion überprüften nun die Datenschutzbehörden in Baden-Württemberg, Bayern, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, im Saarland, Sachsen und Schleswig-Holstein, ob die Websites großer Medienanbieter diesen Anforderungen entsprachen. Hierfür war im August 2020 zunächst ein Fragebogen an die Betreiber verschickt worden.

Ein besonderer Augenmerk wurde dabei auf reichweitenstarke Onlineangebote gelegt, welche eine hohe Anzahl Tracking-Diensten verwenden, die überwiegend der Finanzierung durch nutzerspezifische Werbung dienen. Die dabei erhobenen personenbezogenen Daten werden von den Betreibern zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile weitergegeben. 

Ergebnis der Überprüfung: Regelmäßig keine wirksamen Einwilligungen

Die Datenschutzbehörden stellten bei Ihrer Überprüfung fest, dass die Websites zwar in der Regel differenzierte Einwilligungen ihrer Nutzer für die Verwendung Tracking-Diensten abfragen. In der Mehrheit der Fälle wurden die Einwilligungen allerdings nicht wirksam eingeholt.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

• Tracking bereits vor der Einwilligung: Häufig wurden einwilligungsbedürftige Dienste bereits beim Laden der Website eingebunden und so Tracking-Cookies gesetzt – bevor der Nutzer eine Einwilligung gegeben hatte. Diese Praxis ist stets unzulässig! Erst nach der wirksamen Einwilligung dürfen Tracking-Dienste und vergleichbare Technologien aktiviert werden.
• fehlende Informationen: Auf der ersten Ebene der Einwilligungs-Banner wurden nur unzureichende oder falsche Informationen über das Tracking der Nutzer gegeben.
• unzureichender Umfang der Einwilligung: Wenn der Nutzer keine Einwilligung erteilte, blieben dennoch zahlreiche Tracking-Dienste aktiv.
• keine einfache Ablehnung: Während bei allen Einwilligungs-Bannern auf der ersten Ebene eine Schaltfläche vorhanden war, mit der eine Zustimmung zu sämtlichen Tracking-Diensten erteilt werden konnte, fehlte auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking abzulehnen oder das Banner ohne Entscheidung schließen zu können (ob das Gesetz eine solche Schaltfläche erfordert, ist umstritten).
• „Manipulation“ der Nutzer: Die Ausgestaltung der Einwilligungs-Banner wies zahlreiche Formen des so genannten „Nudging“ auf. Das bedeutet, Nutzer wurden unterschwellig zur Abgabe einer Einwilligung beeinflusst, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet war als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung verkompliziert wurde (wo hier die Grenze des rechtlich Zulässigen verläuft, ist ebenfalls umstritten).

Konsequenzen

Nach Feststellung einer Vielzahl von Mängeln wirken die beteiligten Landesdatenschutzbehörden nun auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Nach Angaben der Datenschutzaufsichtsbehörden (Pressemitteilung des Hamburgischen Datenschutzbeauftragen vom 30. Juni 2021) konnten auch erste Anpassungen bei einigen Verantwortlichen die rechtlichen Defizite bislang nicht vollständig beseitigen. Zwar wurden noch keine Bußgelder verhängt, es wurde jedoch bereits angekündigt, dass nötigenfalls weitere aufsichtsbehördliche Maßnahmen ergriffen werden.

Was bedeutet das für Sie?

Auch wenn bislang noch keine Bußgelder verhängt wurden, machen die Aufsichtsbehörden jetzt mit der Umsetzung „Planet49“-Entscheidung des Europäischen Gerichtshofs ernst. Wir empfehlen unseren Mandanten, die Ausgestaltung ihrer Einwilligungs-Banner (erneut) zu überprüfen. Nach unserer Erfahrung warten viele Website-Betreiber damit, bis es zu spät ist und die Aufsichtsbehörde „vor dem Haus steht“.

Es nur sehr eingeschränkt möglich, die nötigen Nachbesserungen zur Einholung von wirksamen Einwilligungen erst während einer Überprüfung zu ergreifen: Bereits vor Versendung der Fragebögen waren die ausgewählten Websites durch die Aufsichtsbehörden technisch gesichert und analysiert worden. So war ein Abgleich der technischen Ausgestaltung vor und nach den Antworten der Website-Betreiber möglich.

Für eine rechtliche Überprüfung Ihrer Einwilligungspraxis sind wir gern für Sie da.

Im April 2021 hatte das Bundesarbeitsgericht in einem mit Spannung erwarteten Urteil die Reichweite des datenschutzrechtlichen Auskunftsanspruchs noch offenlassen können, da die Klage bereits unzulässig war. Nun musste der Bundesgerichtshof (BGH) in einem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) dazu Stellung beziehen, wie weit dieser Auskunftsanspruch reicht und sorgt hierdurch für mehr Rechtsklarheit – jedoch nicht zur Freude der Praxis.

Grundsätzliches

Seit Geltung der Datenschutzgrundverordnung (DSGVO) ergibt sich der Auskunftsanspruch nicht mehr aus § 34 Bundesdatenschutzgesetz (BDSG), sondern aus Art. 15 DSGVO. Gemeinsam mit den Informationspflichten des Verantwortlichen aus Art. 13 DSGVO und Art. 14 DSGVO stellt Art. 15 DSGVO somit einen fundamentalen Teil der Betroffenenrechte dar.

Der Anspruch aus Art. 15 DSGVO ist dabei dreigeteilt:

1. Der Betroffene hat einen Anspruch auf Auskunft, ob ihn betreffende personenbezogene Daten verarbeitet werden.
   Hieraus folgt ebenso ein Anspruch auf Negativauskunft. Sofern keine personenbezogenen Daten des die Auskunft begehrenden Betroffenen verarbeitet werden, so ist dies zu bestätigen.
2. Werden personenbezogene Daten des Betroffenen verarbeitet, steht dem Betroffenen ein Recht auf Auskunft über diese Daten zu.
   Dem Betroffenen sind die unter Art. 15 Abs. 1 DSGVO aufgelisteten Informationen mitzuteilen. In welchem Umfang und Detail diese Informationen dem Betroffenen jeweils mitzuteilen sind, ist äußerst umstritten.
3. Darüber hinaus hat der Verantwortliche dem Betroffenen nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
   Der Inhalt und die Reichweite des Rechts auf eine Datenkopie sind ebenso umstritten.

Was war geschehen?

Der Kläger schloss 1997 mit der Beklagten einen Vertrag über eine Lebensversicherung. Im Jahr 2016 widersprach er dem Zustandekommen des Vertrags. Nachdem das Versicherungsunternehmen den Widerspruch zurückwies, forderte der Versicherungsnehmer zunächst „Datenauskunft im Sinne von § 34 Bundesdatenschutzgesetz (BDSG)“ und anschließend Auskunft gemäß Art. 15 DSGVO. Das Versicherungsunternehmen erteilte in der Folge mehrfach Auskunft, die der Versicherungsnehmer jedoch als unvollständig empfand.

In der Folge erhob der Versicherungsnehmer Klage auf Auskunft, wobei im Vordergrund seines Auskunftsbegehrens die mit ihm geführte Korrespondenz (einschließlich E-Mails), die internen Telefon- und Gesprächsnotizen und sonstige interne Vermerke der Beklagten zu dem zwischen den Parteien bestehenden Versicherungsverhältnis und auch die internen Bewertungen der Beklagten zu den Ansprüchen des Klägers aus der streitgegenständlichen Versicherungspolice standen.

Sowohl das Amtsgericht Brühl als auch das Landgericht Köln wiesen die Auskunftsklage ab. In der Folge legte der Kläger Revision ein, weshalb sich nunmehr der BGH mit der Frage des Umfangs des Auskunftsanspruchs zu beschäftigen hatte.

Entscheidende Fragen – und Antworten

Entscheidend für die Beurteilung des Auskunftsanspruchs waren für den BGH dabei drei Fragen.

1. Fallen die begehrten Informationen unter den Begriff der personenbezogenen Daten?
   Nach Ansicht des BGH fallen die begehrten Informationen unter den Begriff der personenbezogenen Daten. Der BGH legt den Begriff der personenbezogenen Daten in seinem Urteil weit aus und lehnt eine teleologische Reduktion des Begriffs auf „signifikante biografische Informationen […], die im Vordergrund des […] Dokuments stehen“ ab. Eine solche Auslegung könne nach Ansicht des BGH vor dem Hintergrund der Rechtsprechung des Europäischen Gerichtshofs (EuGH) keinen Bestand haben.
2. Ist ein Anspruch bei Kenntnis des Betroffenen von den personenbezogenen Daten ausgeschlossen?
   Ein Anspruch auf Auskunft ist nach dem BGH auch nicht durch Kenntnis des Betroffenen von den personenbezogenen Daten ausgeschlossen. Dass der Betroffene zwangsläufig den Inhalt der von ihm versendeten oder empfangenen Schreiben schon kennt, ändere nichts an der Einordnung ihres Inhalts als personenbezogene Daten im Sinne der DSGVO. Denn dass eine Korrespondenz früher einmal stattgefunden hat, bedeute nicht, dass der Verantwortliche diese Daten aktuell immer noch verarbeitet. Die Auskunft soll den Kläger in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen.
   Zu beachten sei ferner, dass der Auskunftsberechtigte grundsätzlich wiederholt Auskunft verlangen kann (vgl. Erwägungsgrund 63 Satz 1, Art. 12 Abs. 5 Satz 2 DSGVO). Dies spricht ebenfalls dagegen, dass sich das Auskunftsrecht nach Art. 15 DSGVO auf Daten beschränke, die dem Betroffenen noch nicht bekannt sind.
3. Beschränkt sich der Auskunftsanspruch auf extern zugängliche Daten?
   Der Auskunftsanspruch setzt nach Ansicht des BGH offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten „extern“ zugänglich sind. Somit sind auch interne Vermerke von dem Anspruch umfasst.
   Zu beachten ist jedoch, dass nach der Rechtsprechung des EuGH rechtliche Analysen zwar personenbezogene Daten enthalten können, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst aber keine Information über den Betroffenen und damit kein personenbezogenes Datum darstellt (vgl. EuGH, Urteil vom 17. Juli 2014 – Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.).

Vor dem BGH hatte die Revision demnach größtenteils Erfolg: Das Versicherungsunternehmen habe bisher weder zu der Korrespondenz mit dem Versicherungsnehmer noch zu internen (Telefon-)Vermerken Auskunft erteilt. Diese seien jedoch von dem Auskunftsanspruch gedeckt.

Unser Fazit

Es handelt sich um eine wegweisende Entscheidung in einem Feld, in welchem in der Praxis bisher erhebliche Rechtsunsicherheit herrschte. Zwar vermag das Urteil nicht alle offenen Fragen zu beantworten, jedoch stellt es klar, dass Art. 15 DSGVO dem Betroffenen einen umfassenden Auskunftsanspruch gewährt, welcher insbesondere auch Korrespondenz und interne Vermerke umfasst. Nun gilt es für die Praxis, sich hierauf einzustellen und interne Vorgänge in mögliche Auskunftsbegehren einzubeziehen.

Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, kurz „Garante“) hat am 22. Juni bekannt gegeben, dass sie gegen Iren Mercato, ein Unternehmen aus dem Energiesektor, ein Bußgeld in Höhe von 2,9 Millionen Euro verhängt hat. Der Entscheidung liegen Werbemaßnahmen zu Grunde, die nicht von einer wirksamen Einwilligung oder anderen Rechtsgrundlage gedeckt waren.

Was war passiert?

Mehrere Betroffene hatten gegen Iren Beschwerden bei der italienischen Datenschutzbehörde Garante eingereicht, nachdem sie unaufgefordert Werbung erhalten hatten. In der anschließenden Untersuchung stellte die Behörde fest, dass Iren personenbezogene Daten für Telemarketing-Aktivitäten verarbeitet hatte, die sie nicht direkt erhoben, sondern aus anderen Quellen erworben hatte. Iren hatte Listen mit personenbezogenen Daten von einem Unternehmen erhalten, das dieses wiederum von zwei anderen Unternehmen erworben hatte. Dabei hatte Iren nicht überprüft, ob für alle Übermittlungen personenbezogener Daten wirksame Einwilligungen der Betroffenen eingeholt worden waren. So stellte sich heraus, dass die Betroffenen zwar Einwilligungen für Marketingzwecke erteilt hatten, diese Einwilligungen jedoch nicht die Übermittlung von Kundendaten an Iren umfassten.

Rechtlicher Hintergrund

Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage nach der Datenschutzgrundverordnung. Am praktisch relevantesten sind dabei die Einwilligung des Betroffenen, die Erforderlichkeit der Datenverarbeitung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenverarbeitung auf der Grundlage berechtigter Interessen. Für Werbezwecke wie im vorliegenden Fall kommt regelmäßig lediglich die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage in Betracht.

Damit eine Einwilligung wirksam ist, müssen die folgenden Voraussetzungen erfüllt sein:

Freiwilligkeit

Die Einwilligung setzt zunächst eine freiwillige Entscheidung des Betroffenen voraus. Nach der DSGVO kann eine Einwilligung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

Informiertheit

Außerdem muss die betroffene Person ihre Einwilligung „in informierter Weise“ erteilen. Das setzt voraus, dass die betroffene Person mindestens weiß, wer der Verantwortliche ist und für welchen Zweck ihre Daten verarbeitet werden sollen. Insgesamt muss die Unterrichtung die betroffene Person in die Lage versetzen zu wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt.

Nach Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person zudem darüber zu informieren, dass sie jederzeit ihre Einwilligung widerrufen kann.

Bezug auf einen bestimmten Zweck und eine bestimmte Verarbeitung

Außerdem muss sich die Einwilligung auf „einen oder mehrere bestimmte Zwecke“ beziehen.

Die Einwilligung muss sich weiterhin auf bestimmte Verarbeitungstätigkeiten beziehen. Einwilligungen, die einen im Zeitpunkt der Einwilligung nicht absehbaren Kreis von Verarbeitungstätigkeiten abdecken sollen, genügen nicht.

Unmissverständlichkeit

Zudem muss die betroffene Person die Einwilligung unmissverständlich zum Ausdruck gebracht haben. Diese Willensbekundung kann in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen.

Keine wirksame Einwilligung für Datenübermittlungen an ungenannte Dritte

Iren hatte die Daten von einem Unternehmen erworben, welche diese wiederum von zwei anderen Unternehmen erhalten hatte. Die beiden Unternehmen, welche die Daten erhoben hatten, hatten dabei von den Betroffenen eine Einwilligung für die Weitergabe von Daten an Dritte eingeholt. Die Garante entschied, dass die Verarbeitung der Daten durch Iren als weiteren Verantwortlichen nicht auf die pauschale Einwilligung in die Weitergabe der Daten an Dritte gestützt werden kann, da die Daten von einem zwischengeschalteten Verantwortlichen erworben wurden.

Auch durfte sich Iren nicht auf eine vertragliche Regelung verlassen, nach welcher das zwischengeschaltete Unternehmen garantierte, dass eine wirksame Einwilligung vorliege. Im Fall des Erwerbs von Daten von einem Zwischenhändler könne sich Iren nicht auf eine Garantie, nach welcher das zwischengeschaltete Unternehmen die Wirksamkeit der erteilten Einwilligung vertraglich zusichert berufen. Iren hätte überprüfen müssen, ob die Einwilligung auch die erneute Datenweitergabe umfasst.

Die Garante betonte, dass die von einem Betroffenen erteilte Einwilligung in Werbeaktivitäten Dritter sich nicht auf weitere Übermittlungen an andere Dritte bezieht. Solche Übermittlungen seien nicht durch die erforderliche spezifische und in Kenntnis der Sachlage erteilte Einwilligung gedeckt.

Zum Bußgeld

Die Datenschutzbehörde nahm deshalb einen Verstoß gegen Art. 6 Abs. 1 lit. a und Art. 7 Abs. 1 DSGVO an. Zudem lag nach Ansicht der Datenschutzbehörde ein Verstoß gegen die allgemeinen Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz sowie der Rechenschaftspflicht aus Art. 5 Abs. 1 lit. a und Abs. 2 DSGVO vor.

Die Garante setzte dehsalb gegen Iren Mercato eine Geldbuße in Höhe von 2,9 Millionen Euro fest. Die Höhe der Sanktion wurde vor allem damit begründet, dass die personenbezogenen Daten, die ohne wirksame Einwilligung übermittelt worden waren, mehrere Millionen Personen betrafen.

Fazit

Die Entscheidung der Garante verdeutlicht, dass insbesondere Unternehmen, die personenbezogene Daten von anderen Unternehmen zu Werbezwecken übernehmen, genau prüfen müssen, ob eine wirksame Einwilligung der Betroffenen vorliegt und ob diese Einwilligung auch die Übermittlung an und die Nutzung durch das eigene Unternehmen umfasst. In keinem Fall darf man sich rein auf vertragliche Zusicherungen verlassen, sondern sollte konkret prüfen, ob sich die Einwilligung der Betroffenen auch auf die eigenen Verarbeitungszwecke erstreckt.

Die Europäische Kommission hat am 4. Juni eine neue Version der Standardvertragsklauseln verabschiedet. Die Anpassung der „SCCs“ (Standard Contractual Clauses) stand bereits seit dem Beginn der Anwendbarkeit der DSGVO 2018 im Raum und erhielt durch das Urteil des Europäischen Gerichtshofs im Fall „Schrems II“ besondere Relevanz für Unternehmen, die Daten in Nicht-EU-Länder („Drittländer“) übertragen. Mit dieser Information wollen wir Ihnen einen Überblick zur Bedeutung der SCCs allgemein, den jetzt eingeführten Neuerungen sowie aktuellen Diskussionen und weiteren Entwicklungen geben.

Wann kommen Standardvertragsklauseln zum Einsatz?

Zur Erinnerung: Die DSGVO knüpft internationale Datentransfers an besondere Voraussetzungen. Wann immer Daten aus der EU an einen Empfänger in einem Nicht-EU-Land übertragen werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt):

1. Auf der „ersten Stufe“ bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang zunächst immer einer Rechtsgrundlage nach Art. 6 DSGVO (häufig ist hier die „Datenverarbeitung zur Vertragserfüllung“ einschlägig) oder einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. (Dies wird beim Drittlandstransfer häufig übersehen, wenn man nur auf die „zweite Stufe“ schaut.)
2. Auf der „zweiten Stufe“ stellt sich die Frage, ob die Datenübermittlung in ein Drittland nach Art. 44 DSGVO nach den Vorschriften des 5. Kapitels der DSGVO zulässig ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer in das Drittland nicht unter das Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht die DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Erstens kann für das Empfängerland ein genereller Angemessenheitsbeschluss der EU-Kommission vorliegen, zweitens können „geeignete Garantien“ gem. Art. 46 DSGVO (zu denen die Standardvertragsklauseln zählen) vereinbart werden, oder es kann drittens eine Ausnahmeregelung nach Art. 49 DSGVO greifen.

Welche Bedeutung haben die neuen Standardvertragsklauseln
vor dem Hintergrund des „Schrems II“-Urteils?

In der Entscheidung des Europäischen Gerichtshofs in Sachen „Schrems II“ war das bis dahin für Datentransfers in die USA auf der „zweiten Stufe“ vielfach genutzte „Privacy Shield“-Abkommen für ungültig erklärt worden. Unternehmen, die sich bis dato zur Absicherung der Zusammenarbeit mit Dienstleistern in den USA auf diesen Mechanismus beriefen, mussten eine andere Lösung finden und wechselten in den allermeisten Fällen zu den Standardvertragsklauseln.

Dabei ist jedoch eine wichtige Aussage des „Schrems II“-Urteils zu beachten, die häufig übersehen wird: Der Europäische Gerichtshof bestätigte in seiner Entscheidung zwar im Grundsatz die Gültigkeit der Standardvertragsklauseln, stellte jedoch gleichzeitig fest, dass auf diese Weise nicht pauschal jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCCs nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland auch faktisch gewährleisten (und dokumentieren), dass die Regelungen der SCCs dort auch eingehalten werden können. In Bezug auf die USA machte der EuGH deutlich, dass dies aufgrund der dortigen Überwachungsgesetze nicht so einfach möglich ist. Für die erforderlichen „zusätzlichen Maßnahmen zur Gewährleistung eines ausreichenden Datenschutzniveaus“ veröffentlichte die baden-württembergische Datenschutzaufsichtsbehörde Vorschläge für die Erweiterung der Standardvertragsklauseln („SCC Plus“) und die Durchführung der vorgeschriebenen Risikoabschätzung („Transfer Impact Assessment“, TIA). Am 18. Juni veröffentlichte der Europäische Datenschutzausschuss die finaler Fassung einer Orientierungshilfe zum Thema.

Dabei blieben auch einige weitere Themen offen: Wie können die SCCs für so genannte „Processor-to-Processor“-Verhältnisse genutzt werden? Welche „zusätzlichen Maßnahmen“ sind ausreichend? Die nun veröffentlichten überarbeiteten Standardvertragsklauseln sind der Versuch der EU-Kommission, diese offenen Fragen zu beantworten.

Ab wann gelten die neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln wurden am 4. Juni verabschiedet. Ab dem 27. September 2021 dürfen die alten SCCs nicht mehr für neue Vereinbarungen werden; für „Altfälle“ haben Unternehmen jetzt 18 Monate Zeit, um die neuen Standardvertragsklauseln in bestehende Vereinbarungen einzuarbeiten.

Was regeln die neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln sind modular aufgebaut und können so im Vergleich zu den alten SCCs mehr unterschiedliche datenschutzrechtliche Beziehungen abdecken, also Datentransfers zwischen datenschutzrechtlich Verantwortlichen und/oder Auftragsverarbeitern. Standen bislang nur Klauseln für Datentransfers „Controller-to-Controller“ und „Controller-to-Processor“ zur Verfügung, wurden diese nun um die Optionen „Processor-to-Processor“ und „Processor-to-Controller“ erweitert.

Damit stehen nun innerhalb eines Dokuments die folgenden Module zur Verfügung:

1. Controller-to-Controller
2. Controller-to-Processor
3. Processor-to-Processor
4. Processor-to-Controller

Werden die Module 2 und 3 korrekt ausgefüllt, benötigt man keinen separaten Auftragsverarbeitunsgvertrag (AVV) nach Artikel 28 Abs. 3 DSGVO mehr – man kann also jetzt die erste und zweite „Stufe“ in einem Dokument erledigen. Lediglich Modul 4 bietet nicht diese Möglichkeit nicht. Da das Ausfüllen der Klauseln recht kompliziert werden kann, erarbeiten wir derzeit eine „Ausfüllhilfe“ für Unternehmen.

Neben dem modularen Aufbau des neuen Dokuments sind zwei weitere wesentliche Änderungen in den Klauseln 14 und 15 enthalten:

Klausel 14 setzt eine der Vorgaben des „Schrems II“-Urteils um: Sie verpflichtet Daten exportierende Unternehmen, für jeden Datentransfer im Rahmen eines „Transfer Impact Assessment“ das durch die Datenübertragung geschaffene Risiko für die Betroffenen einzuschätzen. Diese Prüfung muss dokumentiert und der Aufsichtsbehörde auf Anfrage vorgelegt werden. Es ist zu hoffen, dass sich diesbezüglich Standards in Bezug auf häufig genutzte Anbieter etablieren werden, um den bürokratischen Aufwand in Grenzen zu halten. So unangenehm der mit diesem Schritt verbundene Aufwand ist: Erst kürzlich hat das Bayerische Landesamt für Datenschutzaufsicht einem Unternehmen die Nutzung des Diensts „Mailchimp“ untersagt, weil keine Risikoabschätzung vorgelegt werden konnte.

In Klausel 15 findet sich eine neue Verpflichtung für den Datenimporteur, die ebenfalls das „Schrems II“-Urteil umsetzt: Im Falle einer Anfrage ausländischer Behörden auf die übertragenen Daten müssen sowohl der Datenexporteur als auch alle Betroffenen infomiert werden.

Weitere Neuerungen sind erweiterte Rechte der Betroffenen gegenüber dem Datenimporteur, die Option, dass weitere Parteien einer bestehenden SCC-Vereinbarung beitreten können.

Was ist nun zu tun?

Abhängig davon, in welchem Umfang Sie Daten in Nicht-EU-Länder übertragen, ist die Umstellung auf die neuen Standardvertragsklauseln mehr oder weniger aufwändig. Insbesondere die Erfassung der betroffenen Datenströme im Unternehmen, die Dokumentation der Risikoabschätzungen sowie die Vereinbarung der neuen SCCs mit Ihren Partnern und Dienstleistern kann einige Zeit in Anspruch nehmen. Beachten Sie insbesondere, dass neben Ihren Beziehungen zu großen Anbietern wie Amazon oder Google auch ihr „Kerngeschäft“ mit Ihren eigenen Kunden betroffen sein kann, wenn sie als Auftragsverarbeiter auftreten und Daten in Drittländer übertragen.

Wir empfehlen die folgenden Schritte:

1. Bestandsaufnahme („Mapping“)

Prüfen Sie, wo in ihrem Unternehmen Daten in Drittländer übertragen werden und welche Rolle Sie dabei einnehmen. Wenn möglich, nutzen Sie hierzu ihr Verarbeitungsverzeichnis und passen es gleich mit an. Kommen Sie bei Unsicherheiten gern auf uns zu.

Für Konzerne: Bitte beachten Sie, dass nicht nur der Drittlandstransfers an Externe erfasst werden, sondern auch interne Datenflüsse zu überprüfen sind.

2. Abschluss der neuen Standardvertragsklauseln

Schließen Sie mit jedem Unternehmen mit Sitz in einem Nicht-EU-Land, an das Sie Daten übertragen, die neuen Standardvertragsklauseln ab. (Wir erarbeiten dazu aktuell eine Ausfüllhilfe, die demnächst zur Verfügung steht.) Im Fall großer US-Anbieter geschieht dies voraussichtlich innerhalb der nächsten Monate „automatisch“ durch eine Anpassung der AGB der einzelnen Dienstleister.

An dieser Stelle müssen wir auf ein wesentliches Problem hinweisen, das weiterhin besteht: Ob und in welchem Umfang auch die neuen Standardvertragsklauseln durch zusätzliche vertragliche und technische Maßnahmen ergänzt werden müssen („SCC Plus“), bleibt offen.

3. Risikoabschätzungen (Transfer Impact Assessments) durchführen

Klausel 14 der SCCs schreibt im Anschluss an das „Schrems II“-Urteil des EuGH vor, dass für jeden internationalen Datentransfer eine Risikoabschätzung durchzuführen und zu dokumentieren ist. Der mit diesem Schritt verbundene Aufwand sollte bei der Planung der Umsetzung besonders berücksichtigt werden.

Welche Fragen bleiben offen?

Zu begrüßen ist, dass mit den neuen Standardvertragsklauseln endlich auch eine Option für „Processor-to-Processor“-Beziehungen vorliegt. Auch der Wegfall des separaten Abschlusses einer Auftragsverarbeitungsvereinbarung verringert den mit internationalen Datentransfers verbundenen Aufwand.

Ein ganz wesentlicher Punkt bleibt jedoch unbeantwortet, denn: Ob die neuen Standardvertragsklauseln das durch das „Schrems II“-Urteil geschaffene Problem des Datenzugriffs durch Sicherheitsbehörden in Ländern wie den USA lösen, bleibt fraglich. Unklar bleibt hier, welche technischen und organisatorischen Maßnahmen geeignet sind, um ein „angemessenes Datenschutzniveau“ zu gewährleisten. Auch ist unklar, in welchen Fällen die SCCs weiterhin um zusätzliche Vereinbarungen ergänzt werden müssen („SCC Plus“). Außerdem liegt bislang keine praktische Handlungsanweisung für die korrekte Umsetzung der Risikoabschätzung vor.

Zu einer weiteren äußerst technischen Frage, nämlich genauen den Anwendungsbereich der Standardvertragsklauseln gemäß Erwägungsgrund 7, will sich die Europäische Kommission in den nächsten Wochen noch einmal äußern.

Für Unternehmen bedeuten die neuen Standardvertragsklauseln zunächst einmal einen erheblichen Arbeitsaufwand. Die bestehende Rechtsunsicherheit in Bezug auf internationale Datentransfers ist keineswegs beseitigt. Für Datentransfers in die USA haben die EU und die neue US-Regierung laut EU-Justizkommissar Didier Reynders Verhandlungen zu einem neuen bilateralen Abkommen aufgenommen. Ob und wie dieses aussehen könnte, sowie die Frage, ob die neuen Standardvertragsklauseln bis dahin für Datentransfers in die USA „gefahrlos“ genutzt werden kann, ist derzeit völlig unklar. Über diese Entwicklungen halten wir Sie natürlich auf dem Laufenden – sprechen Sie uns bei Fragen jederzeit gern an.      

Um das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) zu vereinheitlichen, stand bereits seit einiger Zeit eine Novellierung im Raum. Dieses neue „Telekommunikations- und Telemedien-Datenschutzgesetz“ (TTDSG) wurde nunmehr verabschiedet und tritt im November in Kraft. Wesentliche Neuerungen für die Onlinemarketing-Branche ergeben sich aus dem Gesetz nicht – zumindest vorerst.

Was ist geschehen?

Vorrangig wurde mit dem viel diskutierten neuen § 25 TTDSG die bereits 2009(!) von der EU überarbeitete ePrivacy-Richtlinie umgesetzt. Hintergrund ist unter anderem, dass der deutsche Bundesgerichtshof im Mai 2020 im so genannten „Planet49“-Urteil entschieden hatte, dass die alte deutsche Vorschrift zur Frage der Cookie-Einwilligung in § 15 Abs. 3 TMG ihrem Wortlaut nach Art. 5 Abs. 3 ePrivacy-Richtlinie widerspreche (siehe auch unseren ausführlichen Beitrag zum damaligen Urteil).

Art. 5 Abs. 3 ePrivacy-Richtlinie lautet (mit Auslassungen zur besseren Lesbarkeit):

„[D]ie Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines […] Nutzers gespeichert sind, [ist] nur gestattet […], wenn der betreffende […] Nutzer […] seine Einwilligung gegeben hat. Dies steht einer […] Speicherung oder dem Zugang nicht entgegen, […] wenn dies unbedingt erforderlich ist, damit der Anbieter […], [den] Dienst zur Verfügung stellen kann.“

Was ist neu (oder auch nicht)?

Die Anforderungen aus Art. 5 Abs. 3 ePrivacy-Richtlinie werden nun in § 25 TTDSG (endlich) in nationales Recht umsetzt. Der Wortlaut ist weitestgehend gleichlaufend (mit Auslassungen zur besseren Lesbarkeit) :

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer […] eingewilligt hat. […] Die Einwilligung […] ist nicht erforderlich, […] wenn die Speicherung von Informationen […] oder der Zugriff auf […] gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Praktisch relevante Änderungen (gegenüber der Rechtslage vor dem Erlass des neuen Gesetzes) ergeben sich hieraus nicht. Denn bereits seit dem „Planet49“-Urteil ist § 15 Abs. 3 TMG so auszulegen, dass die Vorgaben aus Art. 5 Abs. 3 ePrivacy-Richtlinie eingehalten werden. Die neue Regelung in § 25 TTDSG folgt dieser Linie. Insbesondere schreibt sie das Einwilligungserfordernis aus der ePrivacy-Richtlinie fort.

Weiter bestehende Rechtsunsicherheiten

Auch bezüglich der für die Praxis äußerst relevanten Ausnahme, nach der eine Einwilligung nicht erforderlich ist, wenn die Informationsverarbeitung „unbedingt erforderlich“ ist, damit der Anbieter den aufgerufenen Dienst zur Verfügung stellen kann, enthält das TTDSG keine Neuerungen. Die Ausnahme entspricht nahezu wortgleich der Regelung aus Art. 5 Abs. 3 ePrivacy-Richtlinie.

Es bleibt somit weiterhin unklar, wann genau eine Informationsverarbeitung zur Erbringung eines Dienstes „unbedingt erforderlich“ ist (diskutiert wird diese Ausnahme für Analytics-Dienste, aber auch für das Affiliate-Marketing). Diese Debatte wird bereits seit der Novelle der ePrivacy-Richtlinie im Jahr 2009 geführt. Die beinahe wortgleiche Umsetzung der Richtlinie im TTDSG verpasst die Chance, für Rechtsklarheit in der Praxis zu sorgen.

Zur Verdeutlichung der schlichten Übernahme nachstehend der nebeneinander gestellte Wortlaut der Ausnahmeregelung (mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):

Der deutsche Gesetzgeber wollte mit dem § 25 TTDSG schlicht die vom EuGH angemahnte Korrektur vorzunehmen, versäumt dabei jedoch, aus den in der Praxis gesammelten Erfahrungen mit der schwer greifbaren Formulierung der „unbedingten Erforderlichkeit“ zu lernen und Klarstellungen aufzunehmen. Die Begründung des Regierungsentwurfs sagt dazu (S. 35 und 40 f., mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):

„§ 2[5] TTDSG […] orientiert sich […] eng am Wortlaut von Artikel 5 Absatz 3 der E-Privacy-Richtline.“

Es bleibt zu hoffen, dass der Praxis durch eine Positionierung der Datenschutzkonferenz (DSK) in naher Zukunft eine Orientierungshilfe an die Hand gegeben wird, wie es die Aufsichtsbehörden in Großbritannien und in Frankreich vorgemacht haben.

Tatsächliche Neuerungen beim „Wie“ der Einwilligung

Eine nennenswerte Neuerung könnte sich hingegen aus § 26 TTDSG ergeben. Nach dieser Vorschrift können „Dienste zur Verwaltung von […] erteilten Einwilligungen“, also Consent Management Platform-Dienste (CMPs), von einer unabhängigen Stelle anerkannt werden, wenn sie gewisse Voraussetzungen erfüllen. Eine solche Anerkennung soll zu einer erhöhten Rechtssicherheit der Art und Weise der Einholung der Einwilligung führen.

Das Gesetz ermächtigt die Bundesregierung, durch Rechtsverordnung die dafür geltenden Anforderungen näher auszugestalten. Es ist zu hoffen, dass hierdurch eine erhöhte Rechtsklarheit in Bezug auf (un-)zulässiges „Nudging“ erreicht wird. (Unter Nudging werden Gestaltungen von Cookie-Bannern verstanden, die Website-Besucher zur Abgabe einer Einwilligung bewegen sollen.) Mit einer solchen Verordnung ist aber frühestens Anfang 2022 zu rechnen.