Einführung
Seit dem sog. Schrems II-Urteil des Europäischen Gerichtshofs aus dem Sommer 2020 herrscht große Unsicherheit darüber, wie man mit Vertragspartnern umgehen soll, bei denen mit einer Übermittlung von Daten in die USA zu rechnen ist, sei es, weil sie selbst oder die Konzernmutter dort ansässig sind oder weil sie ihrerseits Dienstleister beauftragen, die ihren Sitz oder den der Konzernmutter in den USA haben. Recht überraschend verkündete die EU-Kommission nun Ende März, dass man sich anlässlich des Europabesuchs von Präsident Biden mit der US-Regierung auf einen neuen Rahmen für den transatlantischen Datenaustauch verständigt habe. Wie schnell diese Verständigung in einen Angemessenheitsbeschluss münden wird, der – wie früher das sog. EU-US-Privacy Shield – das angemessene Datenschutzniveau bei US-Unternehmen bestätigt und ob dieser Angemessenheitsbeschluss dann auch den bereits angedrohten rechtlichen Prüfungen standhalten wird, lässt sich heute nicht vorhersagen. Fest steht, dass noch einige Zeit ins Land gehen wird, bis die US-Regierung die vereinbarten Regelungen ihrerseits umsetzen und die EU-Kommission auf dieser Basis dann den Angemessenheitsbeschluss verfassen wird.
Wie wichtig die Schaffung eines wirksamen Rechtsrahmens für die potentielle Übermittlung von Daten in die USA ist, zeigen die nachfolgend zusammengefassten Entscheidungen, die im Laufe des Winters ergangen sind und über die jeder Anbieter einer Webseite informiert sein sollte.
Verwaltungsgericht Wiesbaden: Unzulässigkeit der Einbindung von Cookiebot
Mit Beschluss vom 1. Dezember 2021 stellte das Verwaltungsgericht Wiesbaden (Az.: 6 L 738/21.WI) im einstweiligen Verfahren zu Lasten einer Hochschule fest, dass die Einbindung des Consent-Management-Tools Cookiebot auf der Webseite unzulässig sei. Das Gericht begründete seine Entscheidung mit der unrechtmäßigen Datenübermittlung in die USA.
Cookiebot wird eingesetzt, um die Zustimmung von Webseitenbesuchern zur Verwendung von Cookies einzuholen und zu verwalten. Um diesen Dienst erbringen zu können, erfasst und speichert das Tool bestimmte personenbezogene Daten von Nutzern wie etwa die IP-Adresse. Bei Cookiebot handelt es sich zwar um ein Angebot der Cybot A/S mit Sitz in Dänemark. Diese greift aber auf Serverkapazitäten des US-amerikanischen Unternehmens Akamai Technologies Inc. zurück und übermittelt damit Daten in die USA. Die Vereinbarungen zwischen der Cybot A/S und dem US-Unternehmen zum Schutz der Daten bewertete das Gericht als unzureichend.
Die Entscheidung des Verwaltungsgerichts Wiesbaden wurde inzwischen wegen Verfahrensfehlern vom Hessischen Verwaltungsgerichtshof aufgehoben. Wie die Sache in der Hauptsache ausgehen wird, bleibt abzuwarten.
Landgericht München: Anspruch auf Schadensersatz und Unterlassung wegen Verwendung von Google Fonts
Das Landgericht München erklärte in einem Urteil vom 20. Januar 2022 (Az.: 3 O 17493/20), dass dem Besucher einer Webseite wegen der Einbindung von Google Fonts ein Unterlassungs- sowie Schadensersatzanspruch in Höhe von EUR 100 zusteht. Die Betreiberin einer Webseite hatte Google Fonts nicht lokal, sondern dynamisch über die Online-Version in ihre Webseite eingebunden, ohne die Einwilligung beim Besucher einzuholen. Bei der dynamischen Einbindung der Schriftarten von Google wird beim Besuch der Webseite über eine Schnittstelle eine Verbindung zum Google Server aufgebaut, von dem die benötigten Schriftarten geladen und angezeigt werden. Dies bedingt, dass mindestens die IP-Adresse des jeweiligen Webseitennutzers an Google übermittelt wird. Auch wenn die Server von Google laut eigener Aussage in Europa stehen, haben die US-Dienste die Möglichkeit auf diese Daten zuzugreifen.
Das Landgericht München erklärte diese Form der Einbindung von Google Fonts für datenschutzwidrig. Das Gericht argumentierte mit einer fehlenden Einwilligung des Webseitennutzers in die Datenübermittlung in die USA.
Mehrere EU-Datenschutzaufsichtsbehörden erklären den Einsatz von Google Analytics für unzulässig
Am 13. Januar 2022 beurteilte die österreichische Datenschutzaufsichtsbehörde die Nutzung von Google Analytics als unzulässig. Sie erklärte dies damit, dass Google für die Datenübermittlung in die USA zwar den Abschluss der EU-Standardvertragsklauseln anbiete, diese aber als Schutzmaßnahme nicht ausreichten, da sie lediglich die Vertragsparteien verpflichteten, nicht aber den potentiellen Zugriff der US-Behörden auf personenbezogene Daten von Nutzern verhinderten. Erforderlich sei es daher – in Anlehnung an die Schrems-II-Entscheidung – zusätzlich zu den geschlossenen Standardvertragsklauseln, besondere Schutzmaßnahmen zu vereinbaren und umzusetzen, um den Zugriff von US-Behörden auf die Daten von Nutzern auszuschließen. Diese Schutzmaßnahmen könnten technischer oder organisatorischer Natur sein; bei Google seien sie aber derzeit, so die Einschätzung der österreichischen Datenschützer, unzureichend.
Auch die niederländische und die französische Datenaufsicht bescheinigten Google Analytics bereits, nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu genügen. In Norwegen ist eine Prüfung derzeit anhängig. Die Entscheidungen der EU-Datenaufsichtsbehörden haben zwar zunächst keine unmittelbare Auswirkung auf deutsche Unternehmen. Es dürfte allerdings nur eine Frage der Zeit sein, bis es auch in Deutschland zu einer aufsichtsbehördlichen Entscheidung kommt, die sich voraussichtlich an den vorbenannten bereits ergangenen Entscheidungen orientieren wird.
Datenschutz in den Telemedien und der Telekommunikation: Der Einsatz von Cookies nach dem TTDSG
Am 1. Dezember 2021 trat das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft, das die datenschutzrechtlichen Anforderungen für die Telekommunikation und Telemedien regelt. Diese waren bisher sowohl in der DSGVO als auch im Telekommunikations- und im Telemediengesetz verteilt. Das TTDSG richtet sich an alle Anbieter von Telemedien- und Telekommunikationsdiensten und bestimmt, dass und wie diese personenbezogene Daten ihrer Nutzer zu schützen haben. Eine wichtige Regelung stellt § 25 TTDSG dar, die (endlich) die Einwilligungspflicht für Cookies ausdrücklich und europakonform regelt. Die Art und Weise, wie die Einwilligung eingeholt werden muss, bestimmt sich weiterhin nach der DSGVO. Es gelten also die bekannten Voraussetzungen:
- freiwillig,
- für einen bestimmten Fall,
- in informierter Weise,
- durch eine unmissverständliche Willensbekundung und
- als eindeutige bestätigende Handlung (Opt-In),
- mit Hinweis auf eine Widerrufsmöglichkeit.
Die Datenschutzkonferenz hat am 20. Dezember 2021 eine Orientierungshilfe zur rechtssicheren Umsetzung des TTDSG veröffentlicht. Inhaltlich geht es vor allem darum, wie das Cookie-Consent-Management auf Grundlage von § 25 TTDSG ausgestaltet werden sollte.
Praxisempfehlungen
Die jüngst ergangenen Entscheidungen zeigen, dass der Einsatz von US-Dienstleistern, und zwar auch als Unterauftragnehmer von Dienstleistern in der Europäischen Union (EU), immer mehr in den Fokus von staatlichen Stellen gerückt und damit das Risiko etwaiger Beanstandungen deutlich gewachsen ist. Verantwortliche sind gut beraten, wenn Sie bei der Nutzung von Angeboten zur Gestaltung und Verbesserung der Webseiten und damit verbundener Leistungen auf Anbieter aus der EU zurückgreifen und sich auch die Einbindung der Sub-Dienstleister kritisch ansehen. Sollte die Beauftragung von US-Anbietern mangels gleichwertiger Alternativen in der EU trotz der dargestellten Risiken gewünscht sein, ist eine sorgfältige Dokumentation der ergriffenen Schutzmaßnahmen unbedingt zu empfehlen. Auch die Dokumentation der eingehenden Prüfung von alternativen Diensten im Inland und in der EU sollte dabei nicht fehlen.
An diesen Empfehlungen ändert auch die Aussicht auf einen neuen Angemessenheitsbeschluss der EU zum angemessenen Datenschutzniveau bei US-Unternehmen erst einmal nichts. Zwar hat man sich laut den ersten Informationen insbesondere darauf verständigt, den potentiellen Zugriff von US-Behörden auf Daten aus der EU einzuschränken und die Rechtsbehelfe von EU-Bürgern und den betroffenen Unternehmen zu verbessern. Jedoch wird es sicherlich noch länger dauern, bis diese Vereinbarung final umgesetzt ist. Auch dann bleibt zudem abzuwarten, welche Anbieter sich den neuen Bedingungen unterwerfen werden.
Unternehmen sollten ferner (erneut und regelmäßig) ihr Cookie-Consent-Management überprüfen. Wie die dargestellte Entscheidung zu „Cookiebot“ zeigt, kann hier eine selbst entwickelte Consent-Management-Lösung durchaus die bessere Alternative zu den Anbietern der bekannten Tools sein.
Hinweis
Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.