Am 28. Mai 2020 entschied der BGH zu Cookie-Bannern

Die bisherige deutsche Rechtslage führte zu „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

1. Unbedingt erforderliche Cookies brauchen keine aktive Einwilligung

Zuerst das „Erfreuliche“: Wenn Cookies unbedingt erforderlich sind, sind Cookie-Banner, die nur weggeklickt werden können, rechtmäßig.

Unbedingt erforderlich können sein technisch notwendige und andere Cookies, die im Interesse des Nutzers sind, wie insb. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden bzw. die Seite ohne sie nicht betrieben werden kann. Es bleibt aber von den Datenschutzbehörden und Gerichten zu klären, wann Cookies unbedingt erforderlich sind und wann nicht.

2. Alle nicht unbedingt erforderlichen Cookies erfordern jetzt eine aktive Einwilligung

Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren, wie insb beim Tracking, zB Google Analytics.

Derartige Cookies sind rechtswidrig, wenn Cookie-Banner nur „weggeklickt“ werden können.

Solche Cookies für Werbe- bzw. Marketingzwecke benötigen jetzt eine aktive Einwilligung. Nutzer müssen die Möglichkeit haben, aktiv in nicht erforderliche Werbe- und Tracking Cookies im Sinne eines Opt-in einzuwilligen. Einwilligungskästchen müssen vom Nutzer aktiv angekreuzt werden; die bloße Bestätigung vorangekreuzter Felder genügt nicht.

Für die Anwendbarkeit der ePrivacy-Richtlinie ist es irrelevant, ob Cookies einen Personenbezug haben oder nicht. Darüber hinaus gilt bei Cookies, die einen Personenbezug haben, die DSGVO.

Zudem ließ der BGH für die Werbeeinwilligung eine Verlinkung auf eine Liste nicht genügen, denn diese Form der Gestaltung sei gerade zu darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren. In dieser Form jedoch sei dann die für die Einwilligung notwendige Informiertheit nicht gegeben.

4. Damit müssen sehr viele Seiten-Betreiber ihre Cookie-Banner ändern

Das Urteil wird große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Professionelle Rechtsberatung ist jedenfalls empfehlenswert.

Link zum Artikel auf WBS Law

Datenschutzrechtliche Schranken von Videoaufnahmen

Kamera

Sind Drohnen und Dashcams oder die Überwachung der eigenen Liegenschaft durch Kameras datenschutzrechtlich überhaupt zulässig? Welche Strafbestimmungen sieht das DSG und die DSGVO für etwaige Verletzungen vor? Mit diesen und weiteren Fragen beschäftigt sich der ausführliche Fachartikel von Dr. Christian Zeilinger und Mag. Andrea Wünscher, in welchem auch ausgewählte Entscheidungen erörtert werden.

Den gesamten Artikel der September-Ausgabe des Österreichischen Anwaltsblatts können Sie HIER nachlesen.

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 3: Informationspflicht

06.09.2019 | Autorin: Mag. Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Dieser Teil beschäftigt sich mit den Informationspflichten, die durch die DSGVO erheblich erweitert wurden. Lassen Sie sich hierbei – neben einem spezialisierten Rechtsanwalt – auch von Ihrem Webdesigner beraten, denn dieser weiß am besten über die technische Umsetzung Ihrer Website Bescheid und kann auch über benötigte Informationen Auskunft geben.

zu Punkt 3. a) des Bescheids:

Die datenschutzrechtlichen Vorgaben nur intern zu erfüllen reicht nicht aus – Sie müssen die betroffenen Personen auch umfangreich über ihre Rechte informieren – bereits im Zeitpunkt der Datenerhebung. Dies kann zB über die Datenschutzerklärung Ihrer Website erfolgen und muss individuell auf Ihr Unternehmen oder Ihren Verein abgestimmt werden.

Es muss in der Datenschutzerklärung deutlich angeführt werden, ob die Informationen gemäß Art. 13 oder Art. 14 der DSGVO erteilt werden. Nach Art. 13 DSGVO ist eine Information erforderlich, wenn die Datenerhebung bei der betroffenen Person selbst durchgeführt wird, wohingegen nach Art. 14 DSGVO immer dann informiert werden muss, wenn die Daten nicht bei der betroffenen Person selbst erhoben werden. Art. 13 DSGVO verlangt die Erteilung folgender Informationen:

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 3: Informationspflicht weiterlesen

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 2: Einwilligung

02.07.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Das Wichtigste vorweg: Nicht in jedem Fall ist – wie vielfach angenommen – für die Verarbeitung personenbezogener Daten eine Einwilligung der betroffenen Person notwendig. Es braucht zwar eine Rechtsgrundlage, diese kann aber unter anderem auch durch eine Vertragserfüllung gegeben sein. Gibt es also beispielsweise einen Kaufvertrag zwischen dem Unternehmen und der betroffenen Person, dürfen die Daten schon aus diesem Rechtsgrund und ohne eine explizite Einwilligung verarbeitet werden.

Weitere Rechtsgrundlagen zur Datenverarbeitung sind gemäß Artikel 6 DSGVO die Erfüllung einer rechtlichen Verpflichtung, die Erforderlichkeit aufgrund der Schutzwürdigkeit lebenswichtiger oder öffentlicher Interessen oder ein berechtigtes Interesse. Jede Datenverarbeitung hat also einer dieser Gründe zu unterliegen.

Den Betroffenen muss bei Einwilligung klar dargelegt werden, für welchen Zweck die Daten gespeichert oder verwendet werden. Wichtig ist auch, dass die Einwilligung, wenn denn eine benötigt wird, vor einer Datenverarbeitung und damit auch vor der Datenerhebung erfolgen muss.

Folgende Schritte sollten daher in Ihren Unternehmen oder Verein beachtet werden, wenn Sie eine Einwilligung benötigen:

  • Prüfen Sie, ob es für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage gibt
  • Trifft kein anderer Grund des Art 6 DSGVO zu, benötigen Sie eine explizite Einwilligung aller betroffenen Personen
  • Ist eine Einwilligung einzuholen, muss diese bereits vor Datenverarbeitung erfolgen
  • Aus der Einwilligungserklärung muss klar hervorgehen, für welchen Zweck die Daten verarbeitet werden
  • Die Einwilligung muss freiwillig geschehen – bei einer Checkbox muss der Betroffene das Häkchen selbst setzen
  • Der Betroffene muss über sein Widerrufsrecht bezüglich der Einwilligung informiert werden
  • Bei einer behördlichen Prüfung müssen Sie nachweisen können, dass die betroffenen Personen in die Verarbeitung eingewilligt haben

Telemarketing ohne Einwilligung: € 2 Mio. Bußgeld verhängt

27.06.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Ein italienisches Unternehmen, das in der Energiebranche tätig ist, ließ über ein Callcenter Neukundenakquise durchführen – allerdings ohne ausreichende Information und ohne Einwilligung der betroffenen Personen für die Verarbeitung ihrer Daten zu Marketingzwecken. Dadurch verstieß es gegen die datenschutzrechtlichen Vorschriften und es wurde eine Geldbuße von mehr als 2 Millionen Euro verhängt.

Bei der Festsetzung der Höhe der Geldbuße wurde auch das „ausgeprägt mangelnde Interesse“ an den datenschutzrechtlichen Bestimmungen miteinbezogen, so die Ausführungen in einer Pressemitteilung. Das Unternehmen, das als Verantwortlicher für den Datenschutz tätig war, zeichnete sich außerdem nie als Verantwortlicher aus. Erschwerend wurde zusätzlich gewertet, dass die Datenerhebungen über ein Drittland stattfanden – das Callcenter hat seinen Sitz in Albanien. Dieses wurde vom verantwortlichen italienischen Unternehmen beauftragt, eine telefonische Kundenakquise durchzuführen, um Neukunden für Strom- und Gaslieferungsverträge zu gewinnen. Dabei nutzte das Callcenter die Kontaktdaten aus seinem eigenen Kundenstamm.

Insgesamt stellte die italienische Datenschutzbehörde 78 Verstöße gegen das Erhebungsverbot und 155 Verstöße gegen das Verarbeitungsverbot fest. Dennoch blieb das Bußgeld am unteren Rand des möglichen Strafrahmens und wurde noch nach der alten italienischen Rechtlage bemessen.

Auch für den österreichischen Datenschutz gilt: Für Akquisetätigkeiten müssen die Angerufenen umfangreiche Informationen über die Verarbeitung ihrer Daten erhalten und zuvor in die zweckmäßige Verarbeitung eingewilligt haben. Gibt es mögliche Verstöße und findet eine Ermittlung der Datenschutzbehörde statt, kann sich eine Kooperation durchaus positiv und strafmildernd auswirken und wird daher empfohlen.