Kategorie: Websiteanalyse
11. August 2022
Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.
Informelle Beschwerden an 500 Unternehmen
Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.
Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.
Wann ist der Cookie-Banner rechtswidrig?
Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.
Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.
Fazit
Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.
7. Juli 2022
Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.
Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.
Der Sachverhalt
Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.
IP-Adresse: personenbezogenes Datum
Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.
Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.
Weitere Maßnahmen erforderlich
Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.
7. April 2022
Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)
Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.
Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.
Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.
Reaktion auf das Kurzgutachten
Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden.
Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.
4. März 2022
Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.
Hintergrund
Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.
Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.
Konsequenz für Webseitenbetreiber
Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.
Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.
Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.
4. Februar 2022
Die österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt. Die Entscheidung könnte wegweisend für weitere europäische Länder und damit auch entscheidend für deutsche Webseitenbetreiber sein.
Gründe für die Entscheidung
Google Analytics erhebt personenbezogene Daten, überträgt diese an Google – und Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Die von Google ins Feld geführten Standardvertragsklauseln helfen dem mangelden Datenschutzniveau bei Google nicht ab, wie 2020 der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil erkannt hat. Nach Auffassung der österreichischen Datenschutzbehörde können nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach Artikel 44 DSGVO bieten. Damit gilt: wenn ein österreichischer Webseitenbetreiber Google Analytics einsetzt, legt er Google rechtswidrigerweise Daten offen. Konsequenz kann sein, dass die Webseite wegen rechtswidrigen Verhaltens eingestellt werden muss.
Konsequenz für deutsche Webseitenbetreiber?
Die Entscheidung hat für deutsche Webseitenbetreiber zunächst keine direkten Auswirkungen. Anlass für die Entscheidung war eine Beschwerde der Datenschutzorganisation NOYB. NOYB hatte 101 Beschwerden gegen die Nutzung von Google Analytics und Facebook Connect auf europäischen Webseiten in fast allen EU-Ländern eingelegt, darunter auch bei fünf deutschen Landesdatenschutzaufsichtsbehörden, nachdem der EuGH mit dem Schrems II-Urteil den Privacy Shield aufgehoben hatte.
Der Europäische Datenschutzausschuss (EDSA) hat daraufhin eine Task Force zur europaweit einheitlichen Bearbeitung der Beschwerden gegründet. In der ersten Beschwerde hat die österreichische Datenschutzbehörde nun entschieden. Auch die niederländische Datenschutzbehörde prüft aktuell, ob die Verwendung von Google Analytics zulässig ist: Sie hat in einen Leitfaden zur Nutzung von Google Analytics die Warnung aufgenommen, dass die Verwendung Google Analytics „möglicherweise bald nicht mehr erlaubt“ sei. Anfang 2022 sei dann auch von ihr eine Entscheidung zu erwarten.
Aufgrund des Zusammenschlusses in der Taskforce ist es allerdings möglich, dass vergleichbare Entscheidungen in sämtlichen EU-Mitgliedstaaten fallen. Max Schrems von NOYB sieht ein Indiz dafür auch darin, dass der EU-Datenschutzbeauftragte die Covid-19-Test-Webseite des Europäischen Parlaments wegen der Einbindung von Google Analytics auf eine Beschwerde von NOYB hin verwarnt hat.
31. Januar 2022
Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.
Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.
Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.
Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.
17. September 2021
Die Verbraucherzentralen in Deutschland haben knapp 100 Unternehmen abgemahnt, weil diese sich laut Verbraucherschützer rechtswidrig die Zustimmung zum Datensammeln beim Surfen im Web erschlichen haben. Bei einer Untersuchung von 949 Webseiten hätten zehn Prozent der Firmen mit ihren Cookie-Bannern eindeutig gegen die Vorgaben des Telemediengesetzes und der Datenschutzgrundverordnung verstoßen, erklärte die Verbraucherzentrale Bundesverband (vzbv) am Freitag in Berlin.
Viele Cookie-Banner bewegen sich in der rechtlichen Grauzone
Bei der Aktion wurden Webseiten aus unterschiedlichen Branchen wie Reisen, Lebensmittel-Lieferdienste oder Versicherungen untersucht. Neben den eindeutig rechtswidrigen Bannern, gab es zudem viele Banner, die sich in einer rechtlichen Grauzone bewegten. „Die Banner wirkten auf den ersten Blick zulässig, versuchten aber durch Tricks, die Entscheidung der Seitennutzer und Nutzerinnen zu lenken.“
Die Verbraucherschützer haben 98 Abmahnungen wegen klarer Verstöße gegen das TMG und die DSGVO verschickt. In zwei Drittel der Fälle hätten die Unternehmen inzwischen eine Unterlassungserklärung abgegeben.
Auftakt Cookie-Aktion
Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzerinnen und Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.
vzbv-Vorstand Klaus Müller sagte, rechtswidrige Cookie-Banner seien kein Kavaliersdelikt. „Die zunehmende Daten-Schnüffelei gefährdet die Privatsphäre der Verbraucherinnen und Verbraucher und führt zum durchleuchteten Bürger.“ Die Verbraucherzentralen und Verbände wollen in Zukunft verstärkt gemeinsam juristisch agieren, um gegen gravierende Probleme des Verbraucherschutzes oder offensichtliches Marktversagen anzugehen. Die Cookie-Abmahnaktion bildet dazu den Auftakt.
20. August 2021
Der Datenschutzverein noyb (none of your business) legte am 13.08.2021 Beschwerde gegen die Cookie-Paywalls von sieben großen Nachrichten-Websites (SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de) ein.
Hinter den Cookie-Paywalls steht ein fragwürdiges Konzept:
Entweder stimmen die Nutzer*innen der Datenweitergabe an mitunter hunderte Tracking-Unternehmen zu oder sie schließen ein Abonnement für bis zu 84,00 Euro pro Jahr ab. Dabei stelle sich die Frage, ob eine Einwilligung freiwillig erteilt werden kann, wenn sonst ein Vielfaches des Marktpreises gezahlt werden müsse, um so die eigenen Daten nicht preiszugeben. Darüber hinaus werde auch gegen das Kopplungsverbot verstoßen. Auch die konkrete Einwilligungsausgestaltung wird angegriffen.
Medien rechtfertigen Abonnements
Die betroffenen Medienhäuser rechtfertigen ihre Abonnements in öffentlichen Statements. Heise.de veröffentlichte dazu: „Für uns war die Einführung des Pur-Abos Anfang 2021 aufgrund der Entwicklung des Online-Werbemarkts notwendig. Die meisten unserer Leserinnen und Leser akzeptieren, dass wir in der aktuellen Situation des Werbemarktes ihre Einwilligung für die Werbevermarktung benötigen.“
Datenschutzaufsicht und Rechtsprechung: Abonnements können DSGVO-konform sein
Die Datenschutzbehörde Österreich entschied bereits 2018 im Fall “Der Standard”, dass die damalige Ausgestaltung nicht zu beanstanden wäre: “Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und die betroffene Person ist mit keinen beträchtlichen negativen Folgen konfrontiert.“ Bei noyb sei man jedoch dazu entschlossen, diese Entscheidung zu revidieren. Nach eigenen Angaben wurde dieser Fall von einem Laien vor die Behörde gebracht und basiere auf faktisch falschen Annahmen.
Darüber hinaus verweist beispielsweise auch der Heise Medien Verlag auf die zuständige Datenschutzbehörde Niedersachsen. Dort bestätigte die Datenschutzbeauftragte Barbara Thiel in ihrer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten, dass solche Abonnements DSGVO-konform sein können: „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.“
Weitere Defizite bei der Freiwilligkeit
Des Weiteren sei die Einwilligung mit einem großen Aufwand und Kosten für die Nutzer*innen verbunden. “Nein” zu sagen, sei äußerst aufwändig. Man müsse seinen Namen, Anschrift und Kreditkartendaten preisgeben. Zusätzlich entständen auch vergleichsweise hohe Kosten für die Nutzer*innen.” Diese ständen in einem groben Missverhältnis zur Weitergabe der Daten. Während diese den Medienhäusern nur ein paar Cent pro Nutzer*in bringe, verlange der SPIEGEL oder die FAZ aktuell je 59,88 Euro pro Jahr um Daten nicht weiterzureichen. Die ZEIT verlange 62,40 Euro und der Standard gar 84,00 Euro pro Jahr für sein “PUR Abo” ohne Werbung, so der Verein.
„Die meisten Nutzer*innen besuchten dutzende Nachrichtenseiten pro Monat, weshalb für sie substanzielle Kosten entstehen würden, um die Weitergabe ihrer Daten zu verhindern“, so der Datenschutzverein.
noyb sieht toxische Abhängigkeit von großen Konzernen
Nach Angaben des Datenschutzvereins erhielten laut einer Studie aus den USA Medien nur etwa 4% der Mehreinnahmen durch die Datenweitergabe. „Viele Medienhäuser haben sich in eine toxische Abhängigkeit von großen Konzernen begeben. Sie verscherbeln die Daten und das Vertrauen ihrer Leser für ein paar Cent. Die großen Gewinne wandern trotzdem zu den großen Unternehmen der Werbeindustrie – genau wie die Daten“, so der Datenschutzjurist Alan Dahi.
Ein Lösungsansatz
Laut noyb liege die Lösung in datenschutzkonformer Werbung. „Wir brauchen ordentlich finanzierte Medien. Es ist jedoch ein Trugschluss, dass die Finanzierung unbedingt durch das Verschleudern von Userdaten an Google und Co. passieren muss. Innovative Werbesysteme, die Medienhäuser selbst betreiben und bei denen sowohl Daten als auch Gewinne bei den Qualitätsmedien bleiben, sind nicht nur rechtlich geboten, sondern wohl auch eine wirtschaftliche Überlebensfrage. Aktuell werden die ehemaligen Flaggschiffe der freien Presse zu Litfaßsäulen und Datensammler für die Werbeindustrie. Wir müssen wieder zu einem System kommen, wo der Leser der Werbung folgt, nicht die Werbung dem Leser”, so Dahi in dem von noyb veröffentlichten Statement.
4. August 2021
Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde.
Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.
Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.
Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.
In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.
Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.
29. März 2021
Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.
Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung “einfach, verständlich und rechtssicher“ auszugestalten.
Unterschiedliche Lösungsansätze
Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.
Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.
Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für “Cookies akzeptieren” und “Cookies ablehnen” gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.
Nicht wenige Unwägbarkeiten
Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.
Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.
