31.08.2020 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Auf Vorlage des BGH hatte der Europäische Gerichtshof beschlossen, dass bei einem Webseitenbesuch Einwilligungen für das Setzen von Cookies eingeholt werden müssen (EuGH-Urteil vom 1.10.2019, Az.: C-673/17, Planet49). Auch der Bundesgerichtshof bestätigte dies dann in seinem Folgeurteil vom 28.05.2020 (Az: I ZR 7/16, Planet49). Bereits nach dem ersten Urteil haben die Firmen richtigerweise begonnen, ihre Cookie-Verwendung zu überprüfen.
Jetzt kündigen die Landesdatenschutzbehörden eine konzertierte Aktion an, die der Prüfung der rechtskonformen Nutzung von Cookie-Technologien und verwandten Techniken dient. Siehe z.B. hier. Es handelt sich um eine bundesweit gestartete Aktion.
Es ist in Folge ein Fragebogen einer Behörde aufgetaucht, der entsprechenden Unternehmen zugeleitet wird. Offenbar knöpft man sich zunächst die Medien-Branche vor. Es ist davon auszugehen, dass bundesweit Unternehmen aus der Branche gleichlautende Mitteilungen erhalten haben.
„Die Datenschutzaufsichtsbehörden beobachten, dass viele Betreiber von Webseiten beim Einsatz von Tracking-Diensten leider nicht die erforderlichen datenschutzrechtlichen Anforderungen erfüllen. Dies gilt insbesondere für viele Webseiten aus der Medien-Branche, auf denen solche Dienste häufig in besonders großem Umfang genutzt werden….“
Die Unternehmen sollen jetzt einen umfangreichen Fragebogen beantworten und tabellarische Auflistungen an die jeweilig zuständige Behörde übermitteln. Noch handelt es sich um eine informelle Bitte. Die Fragen passen allerdings auch auf alle anderen Webeseitenbetreiber.
So wird u.a. gefragt nach dem Einsatz von Zählpixeln, Analysediensten, Marketingdiensten Trackingdiensten, Wetter- und Chatdiensten, welche Daten der Nutzer verarbeitet werden von Adressdaten über IP-Adressen, Accountdaten bis hin zu Geräte- und Werbe-IDs und ob diese Daten aggregiert und zu (Browser)Fingerprints zusammengeführt und gespeichert werden. Es soll die Rechtsgrundlage für jede erhobene Information, „insbesondere für die cookie-basierte Verarbeitung und für jeden eingebundenen Dienst“ erläutert werden. Es soll angegeben werden, ob diesbezüglich eine Datenschutz-Folgenabschätzung vorgenommen wurde und wenn nicht, wie man dazu kommt, dass die Datenverarbeitung nicht zu einem besonders hohen Risiko führt. So geht es fort mit immer tiefer reichenden Fragen zu jeglicher Datenverarbeitung der Daten von Webseitenbesuchern.
Spätestens jetzt muss sich jedes Unternehmen fragen, warum man auf der eigenen Webseite trotz Cookie-Einsatz keine ausdrücklichen Einwilligungsmöglichkeiten vorsieht. Einfach weitersurfen lassen geht nicht mehr und kann äußerst teuer werden. Immer drängender werden zudem die Fragen zu einem „Weiter so“ bei der Übermittlung von Daten in die USA, nachdem der EuGH mit seinem PrivacyShield-Urteil dieser den rechtlichen Boden entzogen hat.
Die Fragestellungen, die aufgeworfen werden, sind äußerst komplex. Hier sollten sich die Unternehmen unbedingt qualifizierten Rechtsrat einholen, denn nicht nur Bußgeldrisiken drohen. So werden die Verlangen nach „Schmerzensgeld“ (immaterieller Schadensersatz) immer häufiger. Unlängst wurde ein Arbeitgeber, der Auskünfte nur verzögert erteilt hatte, zu einem Zahlbetrag von 5.000 Euro verurteilt. Die Angelegenheit ist in der Berufung.
Auch der Datenschutzaktivist Schrems, der die EuGH Entscheidung zu PrivacyShield herbeigeführt hat, arbeitet auf diesem Feld und erstritt vor dem Landesgericht Wien immateriellen Schadensersatz in Höhe von 500 Euro wegen eines Datenschutzverstoßes, den wohl auch das Gericht sah. Die Entscheidung ist nicht rechtskräftig.
Den Unternehmen drohen also jetzt immer häufiger auch Schadensersatzklagen, die sich zudem noch gut in Massenverfahren geltend machen lassen. Es würde nicht wundern, wenn dies nicht bald Legal-Tech Unternehmen auf den Plan ruft, die schon mit Flugverspätungsentschädigungen oder bei VW & Co Geschäftschancen wahrnehmen.
Es baut sich ein Sanktionsgebilde auf, das für Unternehmen immer mehr existenzbedrohend wird, jedenfalls wenn die Unternehmensleitung dem Thema Datenschutz nicht die richtige Aufmerksamkeit schenkt und an der Beratung spart.