Die Datenschutzgrundverordnung der EU ist seit Mai 2018 anwendbar. Nach einer ersten Beunruhigung ist es aber ziemlich ruhig um diese Problematik geworden.
Die Prüfung der Umsetzung des Datenschutzes und die Einhaltung der Bestimmungen in diesem Bereich wird durch die Datenschutzbehörde (DSB) kontrolliert. Diese Behörde ist auch berechtigt, Übertretungen und Vergehen gegen die Datenschutzbestimmungen zu ahnden.
Am 17. Dezember 2019 nahm die Behörde eine Entscheidung, die für alle von Interesse ist, die eine Internetseite betreiben.
Fakten zum Fall
Die Datenschutzbehörde hat die Webseite eines Dienstleisters für juristische (Online-) Informationen durchleuchtet. Interessant ist, dass dies auf eigene Initiative der Behörde erfolgte.
Bislang gingen die Untersuchungen der DSB auf eine Klage zurück.
Die DSB sah sich die Webseite des Anbieters drei Mal innerhalb von 10 Wochen an. Der Betreiber der Webseite wurde auf die Unzulänglichkeiten hingewiesen und musste Stellung beziehen. Er hatte jeweils ungefähr einen Monat Zeit, um Änderungen anzubringen und die Bemerkungen der DSB zu analysieren und ggf. darauf zu reagieren und die Internetseite anzupassen.
Analyse des Falles
In diesem Beitrag wird nicht auf die Grundsätze der Datenschutzregeln eingegangen. Für nähere Informationen wird auf die Informationsreihe hingewiesen, die in dieser Veröffentlichung bereits erschienen sind (siehe auch https://www.zians-haas.be/de/news/archiv_recht.php).
Dem Betreiber der Webseite wurden u.a. folgende Übertretungen in Sachen Datenschutz vorgeworfen:
- Datenschutzerklärung unvollständig und nur in Englischer Sprache bzw. nicht in der Sprache des Betroffenen
- Verweis auf amerikanisches Recht
- Informationen in Sachen Cookies nicht leicht zugänglich
- Verantwortlicher für die Verarbeitung nicht angegeben
- Rechte des Betroffenen bzw. Möglichkeit zur Beschwerde bei der DSB nicht angegeben
- Keine oder unvollständige Angaben zur gesetzlichen Grundlage oder Ziel der Verarbeitung der Daten
- Einverständnis zur Verarbeitung von Daten, Nutzung von Cookies wurde nicht eingeholt
- Vorausgefüllte Optionen (Verstoß gegen das Prinzip des „opt-in“)
Der Betreiber versuchte, sein Angebot so anzupassen, dass es konform der DSGVO ist.
Schließlich konzentrierte sich die Kritik der DSB auf die Art und Weise, wie Cookies gesetzt wurden und wie bzw. ob das Einverständnis vorher eingeholt wurde.
Die DSB störte sich vor allen an folgenden Punkten:
- Opt-in: die Webseite informierte über Cookies und die entsprechenden Kästchen zur Zustimmung waren bereits ausgefüllt. Dies verstößt gegen das Prinzip, dass der Nutzer der Verwendung von Cookies ausdrücklich zustimmen muss.
- Der Webseitenbetreiber führte eine Diskussion mit der DSB über die technisch notwendigen Cookies. Dabei handelt es sich um Informationen, die zur Nutzung der Seite notwendig sind (z.B. die verwendete Sprache…). Die DSB machte deutlich, dass das Einverständnis selbst zu diesen technischen Cookies („erster Anbieter“) notwendig ist. Der Benutzer der Webseite muss die Möglichkeit haben selbst diese Cookies abzulehnen.
Die Behörde ist aber damit einverstanden, dass statistische Cookies als strikt notwendig gelten können.
- Die Zustimmung (selbst zu technischen Cookies) muss vor jeder Anwendung solcher Cookies erfolgen.
- Bezüglich der analytischen Cookies („Drittanbieter“) wie z.B. Google Analytics machte die DSB deutlich, dass hierzu ein besonderes Einverständnis notwendig ist.
- Muss zu jedem Cookie ein Einverständnis erfolgen? Die DSB ist der Meinung, dass die Zustimmung im Prinzip zu jeder neuen Erhebung von Informationen erfolgen muss, ist aber einverstanden, dass dies vorläufig zu jeder Art von Cookies bzw. Kategorie von Verarbeitungen erfolgen kann. Was aber nicht geht ist, dass dem Nutzer nicht die Wahl gelassen wird, verschiedene Kategorien abzulehnen, so dass er „alles oder nichts“ akzeptieren muss. So muss es z.B. möglich sein, die Marketing-cookies abzulehnen, aber technischen Cookies zuzustimmen.
Entscheidung der DSB
Der Betreiber wurde zu einer Strafe von 15.000 € verurteilt. Die DSB nahm diesbezüglich die folgenden Punkte zur Grundlage der Entscheidung:
- Dauer der Verstöße: manche Verstöße wurden erst nach der zweiten Verwarnung behoben.
- Anzahl der Betroffenen: die Webseite gab an bis zu 35.000 Leser pro Monat zu haben.
- Die Verstöße wurden auf Grund von Nachlässigkeit aber auch absichtlich begangen (Beispiel: vorausgefüllte Zustimmung – opt-out anstatt opt-in)
- Umsatz des Unternehmens von ca. 1,7 Millionen Euro (2018)
- Der Betreiber der Webseite hat die Unzulänglichkeiten versucht zu beheben.
Das Unternehmen ging nicht gegen diese Entscheidung an. Auf der Webseite des Betreibers war aber zu lesen, dass er alles versucht habe, sich gemäß der DSGVO zu verhalten und sogar Spezialisten eingeschaltet habe.
Fazit
Diese Entscheidung der DSB zeigt, dass die Behörde durchaus aktiv ist. Für die Unternehmen, die nicht aktiv auf Internet präsent sind ist das Risiko der Kontrolle aber gering (außer bei einer Anzeige).
Unternehmen, die Daten erheben, damit handeln, viele Nutzer haben oder in gewissen Grauzonen der Datennutzung arbeiten sind aber gut beraten, ihre Datenschutzpolitik zu überdenken.
Rainer PALM
Rechtsanwalt