Art. 13 Abs. 1 b) verpflichtet Unternehmen, in ihrer Datenschutzerklärung die Kontaktdaten des Datenschutzbeauftragten anzugeben, sofern es einen solchen gibt.
Unklar war bisher, ob hier nur die Funktion mit einer entsprechenden E-Mail-Adresse genannt werden muss,
also z.B.
„Sie erreichen unseren Datenschutzbeauftragten jederzeit unter datenschutz@unseronlineshop.de“.
oder ob der Datenschutzbeauftragte namentlich genannt werden muss, z.B.
„Unseren Datenschutzbeauftragten Max Mustermann erreichen Sie unter m.mustermann@unseronlineshop.de“.

Diese Frage hat der BGH nun geklärt.

Im zugrunde liegenden Fall hatte eine Bankkundin geklagt, die eine Auskunft über ihre Daten verlangt hatte, in der der Name des Datenschutzbeauftragten nicht genannt war.
Die Kundin sah sich dadurch in ihrem Auskunftsrecht verletzt und klagte zunächst vor dem Amtsgericht Seligenstadt, wo die Klage jedoch abgewiesen wurde.
Auch die Berufung vor dem Landgericht Darmstadt blieb erfolglos, woraufhin die Klägerin Revision beim Bundesgerichtshof einlegte.
Der BGH wies hier die Auffassung zurück, dass der Datenschutzbeauftragte namentlich zu benennen sei.
In Übereinstimmung mit der herrschenden Meinung in der juristischen Literatur urteilten die Richter, dass gerade nur die Kontaktdaten erforderlich seien, denn es gehe nicht um die Person, sondern um die Funktion, diese müsse für den Betroffenen erreichbar sein, wenn dafür kein Name erforderlich sei, müsse dieser nicht angegeben werden.

Fazit
Das Urteil des BGH schafft Rechtsklarheit in der Frage, wie ein Datenschutzbeauftragter in der Datenschutzerklärung benannt werden muss.
Es reicht aus, den Datenschutzbeauftragten lediglich in seiner Funktion und mit Kontaktdaten wie einer E-Mail-Adresse datenschutz@onlineshop.de sowie der Anschrift des Unternehmens mit z. Hd. des Datenschutzbeauftragten zu benennen.
Eine namentliche Nennung ist ausdrücklich nicht erforderlich.

Der Beitrag BGH – Datenschutzbeauftragter muss nicht namentlich benannt werden erschien zuerst auf Protected Shops.

Kläger war hier ein Verbraucherschutzverband, der gegen Otto.de als Online-Versandhändler mit Marktplatz vorging, weil dieser unter anderem den Erwerb von Waren nur nach Einrichtung eines Kundenkontos ermöglichte, also keinen Gastzugang zuließ.
Der Verbraucherschutzverband sah in dem fehlenden Gastzugang einen Verstoß gegen Art. 5 Abs. 1 lit. c) i.V.m. Art. 25 Abs. 2.
Art. 5 Abs. 1 lit. c) statuiert den Grundsatz der Datensparsamkeit, personenbezogene Daten müssen dem Zweck der Verarbeitung angemessen und auf das erforderliche Maß beschränkt sein (Datenminimierung). Darauf aufbauend verpflichtet Art. 25 Abs. 2 die für die Verarbeitung Verantwortlichen, geeignete Maßnahmen zu treffen, um sicherzustellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden (Datensparsamkeit).

Der Auffassung, dass sich hieraus eine Verpflichtung zur Gewährung eines Gastzugangs ergebe, schlossen sich die Richter des Landgerichts Hamburg jedoch nicht an.
Das Gericht stufte die genannten Teile der Datenschutzgrundverordnung zwar als Verbraucherschutz- und Marktverhaltensregeln ein, sah jedoch keinen Verstoß.
So würde die Einrichtung eines Kundenkontos bei Otto.de nicht gegen die Grundsätze der Datensparsamkeit und Datenminimierung verstoßen.

Eine Datenverarbeitung sei nicht erforderlich, wenn ihr Zweck auch mit einem geringeren Datenerhebungsaufwand erreicht werden könne, wenn also Daten im Übermaß oder für hypothetische Zwecke erhoben würden, für die zum Zeitpunkt der Erhebung noch kein Anlass bestehe.
Zwar hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss festgestellt, dass Online-Händler ihren Kunden grundsätzlich einen Gastzugang gewähren müssen. Der Beschluss lässt jedoch Ausnahmen zu und ist nicht rechtsverbindlich.

Auch der Hamburgische Datenschutzbeauftragte hat auf der Grundlage dieses Beschlusses dargelegt, dass bei Otto.de ein Einzelfall mit besonderen Umständen vorliege, der die Bereitstellung eines Gastzugangs entbehrlich mache. So habe Otto.de dargelegt, dass es als Marktplatz, auf dem auch mehrere tausend andere Verkäufer Waren vertreiben, das Kundenkonto benötige, um die Bestellungen eines Kunden mit den Händlern zu verknüpfen, die Kommunikation mit den Händlern zu ermöglichen und die Gewährleistungs-, Garantie- und Rückgaberechte der Kunden zu ermöglichen. Dies sei über ein Kundenkonto wesentlich einfacher als über die individuelle Kommunikation per E-Mail oder Telefon.
Zudem würde als einziges zusätzliches Datum das gewählte Passwort erhoben, alle anderen erhobenen Daten seien auch bei einer Gastbestellung datenschutzrechtlich nicht zu beanstanden.
Zwar bestünde die theoretische Gefahr, dass ein Kundenkonto von unberechtigten Dritten genutzt werde und diese so Zugriff auf die personenbezogenen Daten eines Kunden erhielten, jedoch könne ein Kunde jederzeit die Löschung des Kontos verlangen, zudem würden Kundenkonten automatisch gelöscht, wenn drei Jahre nach Jahresende keine Bestellung erfolgt sei bzw. nach 30 Tagen, wenn nach Einrichtung eines Kundenkontos keine Bestellung erfolgt sei.

Dieser Auffassung schlossen sich die Richter des Landgerichts Hamburg an.
Die datenschutzrechtliche Erforderlichkeit der Daten wäre nicht zu beanstanden, mit Ausnahme der für den Versand und die Kommunikation erforderlichen Adressdaten und der E-Mail-Adresse, die von Otto.de erhoben werden, des Geburtsdatums und der Telefonnummer, für die die Zwecke der Prüfung der Volljährigkeit, der Abfrage von Bonitätsdaten bei Auskunfteien, der Betrugsprüfung und der Prüfung von Sanktionslisten sowie im Falle der Telefonnummer für die Zustellung durch Transportunternehmen hinreichend dargelegt werden konnten.
Auch das für das Kundenkonto erhobene Passwort sei zulässig, da es gerade dem Schutz der hinterlegten personenbezogenen Daten diene. Auch würden die Vorteile eines Kundenkontos für die Verwaltung von Daten, Bestellungen und Kommunikation etwaige Nachteile der Einrichtung eines Kundenkontos überwiegen.
Zudem sei eine Bestellung auch freiwillig, da ein Kunde die betreffende Ware auch bei einem anderen Online-Händler mit Gastzugang oder im stationären Handel bestellen könne, wo Adressdaten oder ein Passwort gar nicht erhoben würden.

Fazit:

Die DSK, der Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, sieht in einem ihrer Beschlüsse grundsätzlich vor, dass Online-Shops ihren Kunden aus Gründen der Datensparsamkeit und Datenminimierung einen Gastzugang ermöglichen. Die Beschlüsse der DSK sind zwar rechtlich nicht bindend, haben aber im Bereich des Datenschutzes durchaus Gewicht.
Der Beschluss lässt jedoch Ausnahmen zu und wie der Hamburgische Datenschutzbeauftragte und ihm folgend das Landgericht Hamburg ausgeführt haben, kann ein Gastkonto entbehrlich sein,
wenn die Vorteile des Kundenkontos den mit seiner Einrichtung verbundenen Aufwand überwiegen
das Konto ausreichend geschützt ist, die dafür zusätzlich erhobenen Daten auf das erforderliche Maß (in der Regel das Passwort) beschränkt sind und ein datenschutzkonformes Löschkonzept für das Kundenkonto vorliegt.
Das Urteil ist also ausdrücklich nicht als Freibrief zu verstehen, kein Gastkonto anzubieten. Die Ermöglichung von Gastbestellungen ist aus datenschutzrechtlicher Sicht durchaus empfehlenswert.
Auf der Grundlage dieses Urteils kann jedoch davon abgewichen werden, wenn die Notwendigkeit entsprechend begründet werden kann.

Der Beitrag LG Hamburg: Online-Shop muss keinen Gastzugang ermöglichen erschien zuerst auf Protected Shops.

Hier war die Option „Akzeptieren“ farblich dominant hervorgehoben. An dieser Stelle fehlte die Option „Ablehnen“. Diese war auch in der zweiten Ebene beim Klick auf „Einstellungen“ nicht zu finden. Dort konnte der Nutzer nur entweder pauschal alle Cookies akzeptieren oder kein Cookie auswählen und diese Einstellung „speichern“.

Nachdem die Klage vor dem Landgericht aus formalen Gründen abgewiesen worden war, entschied nun das Oberlandesgericht über die leicht modifizierten Anträge der Verbraucherzentrale und gab der Klage statt.

Nach Ansicht des OLG wird dem Besucher mit dem Cookie-Banner weder auf der ersten noch auf der zweiten Ebene eine der Einwilligungsoption gleichwertige Ablehnungsoption angeboten. Vielmehr werde der Besucher durch die Gestaltung des Banners zur Abgabe der Einwilligung gedrängt und von einer Ablehnung eher abgehalten.

Eine solche Einwilligung sei weder freiwillig noch hinreichend informiert, wie es die Vorgaben des § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO verlangen.

Auf der ersten Ebene des Banners finde sich überhaupt keine Widerspruchsmöglichkeit. Mit einem Klick auf „Einstellungen“ könne der Verbraucher dann in der zweiten Ebene die Cookies nur durch einen Klick auf „speichern“ ablehnen, ohne Cookies auszuwählen. Aus dem Wort „speichern“ erschließe sich dem Nutzer aber nicht bereits die konkrete Funktion des Buttons. Damit fehle es nach Ansicht des Gerichts an einer echten Wahlmöglichkeit des Nutzers.

Darüber hinaus hielt das Gericht auch den oben rechts sichtbaren Button „Akzeptieren & schließen“ für unzulässig, da er gegen die Grundsätze der Transparenz und der Freiwilligkeit der Einwilligung verstoße.

“Das „X“-Symbol ist Nutzern als Möglichkeit bekannt, ein Fenster zu schließen, nicht aber als Einwilligung in die Verwendung von Cookies und anderen Technologien durch den Webseitenbetreiber. Dass damit eine Einwilligung erklärt wird, ist dem durchschnittlichen Nutzer nicht bewusst. Zwar steht unmittelbar neben dem „X“-Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist für den Nutzer jedoch irreführend und intransparent. Auch ist für den Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und dieselbe Schaltfläche handelt. Vor diesem Hintergrund kann die Einwilligung mittels des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend noch als freiwillig im Sinne von § 25 Abs. 1 BDSG, Art. 4 Nr. 11 DSGVO bewertet werden”, so das Gericht.

Der Streitwert des Berufungsverfahrens wurde auf 5.000 Euro festgesetzt.

Fazit:

Wir empfehlen daher dringend, bei Cookie-Bannern und Einwilligungs-Tools bereits auf der ersten Ebene eine gleichwertige Gestaltung der Buttons zu wählen. Dabei sollte sowohl eine Zustimmungs- als auch eine Ablehnungsfunktion sowie eine Möglichkeit, zu den individuellen Einstellungen zu gelangen, um dort einzelne Dienste an- oder abzuwählen, vorgesehen werden.

Der Beitrag OLG Köln zu Cookie-Bannern: Buttons müssen gleichwertig gestaltet sein erschien zuerst auf Protected Shops.

Der Beitrag LG Köln – Einsatz von Google Analytics wegen Datenübermittlung in die USA unzulässig erschien zuerst auf Protected Shops.

Wichtig: Die folgende Problematik bezieht sich nur auf eine persönliche Webseite / Ihren persönlichen Onlineshop. Bei Plattformen wie Ebay, Amazon und Yatego haben Sie als dort handelnder Händler keinen Einfluss und müssen sich hier um nichts kümmern. 

Worum es in dem Urteil ging, was der EUGH entschied und welche Folgen dies hat erfahren Sie in folgendem Beitrag. 

Hintergrund:

Bei Cookies handelt es sich um kleine Textdateien, welche von einem Browser auf dem Rechner eines Internetnutzers gespeichert werden und auch wieder ausgelesen werden können. Einerseits sind Cookies für grundlegende Funktionen einer modernen Webseite dringend notwendig, etwa für die Warenkorbfunktion eines Onlineshops, anderseits kann mit Cookies auch das Nutzerverhalten auf einer Webseite nachvollzogen werden. Viele moderne Webanalysetools basieren auf dem Einsatz von Cookies.

Eigentlich gibt es schon seit über 15 Jahren eine europäische Regelung für Cookies durch die sogenannte Cookie-Richtlinie aus dem Jahr 2002. Hier wurde der Einsatz von Cookies erlaubt sofern der Nutzer über diese ausreichend informiert wurde und die Möglichkeit bekommt dem Einsatz von Cookies durch Opt-Out zu widersprechen. Als europäische Richtlinie musste diese vom deutschen Gesetzgeber in ein eigenes Gesetz umgesetzt werden, die eben genannte Regelung fand sich nun im § 15 (3) TMG.

Im Jahr 2009 wurde die Regelung der Cookie-Richtlinie auf europäischer Ebene in der Hinsicht abgeändert, dass nun für nicht technisch notwendige Cookies eine explizite Einwilligung, also ein Opt-In erforderlich wäre. Diese Regelung wurde vom deutschen Gesetzgeber jedoch nicht übernommen, in Deutschland blieb es bei der Opt-Out-Lösung des § 15 (3) TMG, die Bundesregierung hielt diese für ausreichend. Ob dies wirklich zutraf war in den vergangenen Jahren zwar immer wieder ein offener Streitpunkt, faktisch blieb es in Deutschland aber dabei, das im Gegensatz zu anderen europäischen Ländern keine Einwilligung in die Cookie-Nutzung notwendig war.

Eigentlich war geplant, die Internet-Thematik des Datenschutzes durch die parallel zur DSGVO verabschiedende e-privacy-Verordnung zu regeln, diese Verordnung wurde jedoch wegen Streitigkeiten auf EU-Ebene zunächst zurückgehalten, aktuell ist hier immer noch keine Einigung in Sicht. Die seit Mai letzten Jahres geltende DS-GVO, die damit einschlägig ist, trifft über Cookies in dem Sinne jedoch keine eigene Regelung.

Allerdings können durch Cookies personenbezogene Daten verarbeitet werden, für diese Verarbeitung wäre stets eine Rechtsgrundlage notwendig.

Abseits von speziellen Fällen bei welchen Cookies für die Vertragserfüllung einer Webdienstleistung notwendig sein können wären die denkbaren Rechtsgrundlagen für den Einsatz von Cookies die Einwilligung und die berechtigten Interessen.

Bei den berechtigten Interessen ist eine Interessensabwägung zwischen dem Nutzer und dem Webseitenbetreiber notwendig, hier war bisher umstritten ob sich hierauf ein Einsatz von technisch nicht notwendigen Cookies begründen lässt.

Das Urteil des EUGH

Der EUGH musste über die Cookie-Problematik im Rahmen einer BGH-Vorlage entscheiden.
Der zugrundeliegende Fall betraf einen Anbieter von Online-Gewinnspielen.

Dieser sah für Teilnehmer eines Gewinnspiels eine Cookie-Einwilligungserklärung vor, in welcher diese sich mit dem Einsatz eines Webanalysedienstes und interessensgerechten Werbung einverstanden erklären sollten.

Zwar war diese Erklärung mit einer Checkbox versehen, diese war jedoch bereits angekreuzt.

Gegen diese Einwilligungserklärung ging der Bundesverband der Verbraucherzentralen vor. Dieser Streit ging bis zum BGH, der dem EUGH dann mehre Auslegungsfragen bezüglich des europäischen Rechts vorlag.

So sollte der EUGH entscheiden, ob eine solch vorangekreuzte Einwilligung eine wirksame Einwilligung darstellt. Auch wollte der BGH wissen, inwiefern es eine Rolle spielt ob die Cookies personenbezogene Daten enthalten, und welche Informationen zu den Cookies zu erteilen sind.

Der EUGH bekräftigte zunächst, dass für das Setzen von Cookies sofern diese nicht technisch notwendig wären eine vorherige Einwilligung des Nutzers erforderlich sei, sich also nicht über berechtigte Interessen regeln lässt.

Für die Erteilung einer Einwilligung ist ein aktives Verhalten des Nutzers erforderlich, eine vorangekreuzte Checkbox wie hier würde dieses Merkmal nicht erfolgen.

Dies beträfe alle Cookies, unabhängig davon ob diese selbst personenbezogene Daten enthalten.

Die Richter entschieden, es müssen an der Stelle der Einwilligung alle Informationen gegeben werden, welche den Nutzer erlauben, eine informierte Entscheidung zu treffen welche Folgen mit der Einwilligung verbunden sind.

Welche Auswirkungen hat diese Entscheidung?

Zwar muss der BGH auf Basis der Antworten des EUGH noch abschließend über den vorliegenden Fall entscheiden, die Auswirkungen des Urteils sind jedoch schon jetzt relativ klar:

Alle nicht technisch notwendigen Cookies benötigen eine (eigene) Einwilligung.

Was sind Technisch notwendige Cookies?

Technisch notwendige Cookies sind alle Cookies welche direkt für den Betrieb der Webseite notwendig sind.

Betroffen sind:

• Cookies, welche einen Log-In, den Warenkorb oder Bestellverlauf ermöglichen
• Zur Wiedergabe von Videos oder Musik benötigte Cookies
• Cookies von Zahlungsanbieter, vorausgesetzt über diese erfolgt keine Analyse des Nutzerverhaltens
• Cookies für den Betrieb von Live-Chat-Systemen (ohne Analyse des Nutzerverhaltens)
• Cookies welche selbst eine Cookie-Einwilligung speichern.

Die wesentliche Frage ob ein Cookie technisch-notwendig ist oder nicht lautet:

Kann die Webseite in ihrer Grundfunktionalität ohne Einsatz des Cookies einwandfrei funktionieren.

 Welche Cookies benötigen eine explizite Einwilligung?

• Cookies für Webanalyse/ Tracking-Tools wie Google Analytics, Etracker, Econda
• Cookies für Retargeting / Remarketing-Anbieter (Google, Bing, Criteo, Nosto, Facebook Pixel)
• Cookies für Social-Media-Plugins (Facebook, Instagram, Twitter)
• Cookies für Affiliate-Programme
• Cookies für Youtube oder Vimeo-Videos
• Online-Kartendienste (Google Maps, Bing Maps, Open Street Maps)

Wann und wie ist eine Einwilligung einzuholen:

Eine solche Einwilligung ist einzuholen, bevor der jeweilige Anbieter bzw. Cookie eingesetzt wird. Nur mit gegebener Einwilligung darf der jeweilige Cookie dann abgelegt werden, also der jeweilige Dienst dann eingesetzt werden.

Nicht ausreichend ist ein reiner Cookie-Hinweis bei welchen nur über die Verwendung von Cookies informiert wird.

Wie die Einwilligung sinnvoll eingeholt werden muss, hängt jedoch auch vom jeweiligen Dienst ab.

So führt bei Webanalyse oder Retargeting-Tools kein Weg daran vorbei, ein Cookie-Banner der Webseite vorzuschalten. Sofern der Kunde nicht in die Cookies einwilligt muss ihm eine Webseite ohne Webanalyse gegeben werden bzw. es ist kein Retargeting erlaubt.

Bei einem eingebundenen Youtube-Video oder einem Online-Kartendienst kann stattdessen ein vorgeschaltetes Element an der Stelle wo dieses eingebunden ist, eine Einwilligung einholen.

Wird die Einwilligung nicht gegeben, so wird das Video oder die Karte entsprechend nicht eingebunden um eine Cookie-Setzung zu verhindern.

Wie kann das Einholen von Einwilligungen technisch umgesetzt werden?

Shop-Module:

Für verschiedene Shopsysteme gibt es bereits entsprechende Module. Wir bitten um Verständnis, das wir diese jedoch nicht explizit prüfen konnten ob diese alle Vorgaben erfüllen und hier daher keine explizite Empfehlung aussprechen können. Problematisch ist, etwa diese teilweise die Auswahl der Cookies so zusammenfassen, das der Nutzer in die „Webanalyse“ einwilligt. Zwar ist dies schon ein wichtiger Schritt, der sicherste Weg wäre jedoch, explizit die Einwilligung in etwa „Google Analytics“ zu erfragen.

Diese sind auch meist kostenpflichtig.:

Shopware:

https://store.shopware.com/res7213479024655/cookiebot-shopware-6.html
Prestashop:

https://addons.prestashop.com/de/rechtssicherheit/8296-gdpr-cookies-gesetz-hinweis-audit-sperrung.html

https://addons.prestashop.com/de/rechtssicherheit/15954-cookie-law-banner-cookie-blocker.html

Shopify:

https://apps.shopify.com/cookie-optimizer?surface_detail=Cookie&surface_inter_position=1&surface_intra_position=9&surface_type=search

JTL:
https://www.jtl-software.de/jtl-store/erweiterungen/cin-cookie-manager

Plentymarkets:
https://marketplace.plentymarkets.com/plugins/storefront/cookiecontrol_6594 (Aktuell nur für Google Analytics)

XT-Commerce:

https://addons.xt-commerce.com/de/Plugins/DSGVO/DSGVO:-Konformes-Tracking-fuer-Google-Analytics/AdWords-Facebook.html

WordPress:

https://de.borlabs.io/borlabs-cookie/?status=accepted&expires=1575795263&p_sid=30363&p_aid=52804&p_link=1589&p_tok=7582996b-ab56-4975-8913-e0731e47c2a1

Jimdo:

Jimdo hat laut eigener Aussage entsprechende Anpassungen gemacht, so dass Nutzer Cookies akzeptieren oder ablehnen können:
https://www.jimdo.com/de/magazin/eugh-urteil-cookies-opt-in-2019/#Hinweis

Hier wäre daher kein direktes Handeln notwendig

Content-Management-Tools:

Darüber hinaus gibt es sogenannte Content-Management-Tools welche systemübergreifend funktionieren können. Auch für diese gilt, dass wir hier aktuell keine explizite Empfehlung oder Überprüfung vornehmen können.

Beispiele:

Cookie-Hub:

https://www.cookiehub.com/prices
Kostenlos verwendbar, Premium-Variante mit Reports für 40€ Jährlich.

Cookie-Bot:

https://www.cookiebot.com/de/

Kostenlos mit Einschränkungen, Premium-Version für 9/21/37€ monatlich je nach Anzahl der Unterseiten.

Osano -Cookie-Consent:

https://www.osano.com/cookieconsent

Als Open-Source-Version mit Programmieraufwand kostenlos, ansonsten für unter 7.500 Pageviews kostenlos, darüber hinaus ab 99.99$.

Consent-Manager:

https://www.consentmanager.net/

Kostenlose Basis-Version bis 10.000 Pageviews/Monat, sonst ab 50€ pro Monat

Civic Cookie-Control

https://www.civicuk.com/cookie-control/v8/pricing

Kostenlose Basis-Version, kostenpflichtig ab 39 Pfund.

Klaro:

https://klaro.kiprotect.com/

Open-Source und kostenlos, allerdings mit Programmieraufwand

Onetrust:

Kostenlos in Grundfunktion, inklusive Scan der Webseite, allerdings für Einbau Programmieraufwand notwendig.

https://www.onetrust.com/free-edition/

Alle Tools haben leider gemein, dass technischer Aufwand betrieben werden muss, um diese auf seiner Webseite entsprechend einzubauen. Teilweise müssen hier etwa entsprechende Skripte eingebaut bzw. m0difiziert werden um eine Cookie-Setzung zu verhindern

Videos, Onlinekarten und andere Web-Elemente

Videos, Onlinekarten und andere Web-Elemente

Für Web-Elemente wie YouTube- oder Vimeo-Videos oder Einbindungen von Google Maps und ähnlichen Web-Elementen kann auch mit 2-Klick-Lösungen gearbeitet werden,
wodurch der Nutzer zunächst ein vorgeschaltetes Element statt (etwa) dem Video sieht und an Ort und Stelle entscheidet, dass er das jeweilige Element nutzen will und hier dem Einsatz von Cookies zustimmt.

Für YouTube-, Facebook- und Vimeo-Videos empfiehlt sich hier die Lösung Embetty, welche als Open-Source-Lösung von Heise Online angeboten wird.
Nähere Informationen dazu finden Sie hier:

https://www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html

Für Google Maps werden hier Javascript-Scripte kostenlos angeboten:

https://01-scripts.github.io/2Click-Iframe-Privacy/demo.html#foo

Fazit:

Durch das EUGH-Urteil kommt leider ein sehr leidiges Thema auf Onlineshop-Betreiber zu:

Es steht nun fest, dass ein Webseitennutzer in alle Dienste welche Cookies setzen und für den Betrieb der Webseite nicht zwingend notwendig sind einwilligen muss.

Unsere Empfehlung ist daher:

1. Prüfen Sie, welche Tools und Anbieter Sie aktuell auf Ihrer Webseite einsetzen, welche Cookies einsetzen.

Bei OneTrust:
https://www.onetrust.com/free-edition/
oder:

https://www.cookiebot.com/de/

lässt sich jeweils ein kostenloser Scan Ihrer Webseite anfordern, der Ihnen eine Übersicht über verwendete Cookies gibt.

2. Prüfen Sie, wie dringend Sie diese wirklich benötigen

Natürlich ist sowohl Webanalyse wie Retargeting / Remarketing ein sehr wichtiger Service im E-Commerce. Leider ist jedoch auch bei einer richtig umgesetzten Einwilligungseinholung zu befürchten, dass nicht alle Webseitennutzer aktiv in das Tracking einwilligen werden, was dazu führen wird, dass die Datenbasis für die Webanalyse kleiner wird.
Insofern ist hier zu prüfen, ob ein Einsatz hier weiterhin Sinn ergibt.
Der Open-Source Webanalysetool Matomo etwa lässt sich grundsätzlich ohne Einsatz von Cookies einsetzen, allerdings sinkt dadurch die Genauigkeit der Analyse und das statt dessen eingesetzte Trackingverfahren ist auch rechtlich nicht unproblematisch.
Insbesondere, wenn Sie Tools auf Ihrer Webseite einsetzen, welche Cookies setzen, Sie jedoch ohnehin keinen aktuellen oder großen Nutzen aus Ihnen ziehen, ist dies ein guter Zeitpunkt um diese stillzulegen.

3. Für alle Tools welche Sie als weiterhin als notwendig erachten, müssen Sie eine Einwilligung einholen

Hierfür gibt es schon verschiedene Lösungen wie oben ausgeführt, alle sind jedoch leider mit einem nicht zu vernachlässigenden Aufwand verbunden. Welche Lösung die richtige ist hängt hier sehr stark von Ihrem Shopsystem und der Anzahl der verbundenen Dienste zusammen.

Wir bitten um Ihr Verständnis, das wir keinen direkten technischen Support zum Einbau von solchen Lösungen bieten können.

4. Passen Sie Ihre Rechtstexte an

In den nächsten Tagen werden wir Sie darüber informieren, dass Sie im Rechtstextkonfigurator Ihres Onlineshops angeben können, ob Sie für die betroffenen Dienste eine Einwilligung beim Nutzer einholen. Im Anschluss an die Beantwortung müssten Sie die Rechtstexte erneut übernehmen.

Der Beitrag Google Analytics, Google Retargeting & Co – Das Cookie Problem  erschien zuerst auf Protected Shops.

Hintergrund:

Ob Datenschutzverstöße abmahnfähig sind, wurde in Deutschland bereits vor Einführen der Datenschutzgrundverordnung kontrovers diskutiert.

Mit Abmahnungen kann gegen wettbewerbsrechtswidriges Verhalten vorgegangen werden. Dadurch soll der faire Wettbewerb sichergestellt werden und die Gerichte entlastet werden.
Gegen den unlauteren Wettbewerb verstößt, wer einer gesetzlichen Vorschrift zuwiderhandelt, welche auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Darüber hinaus muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerber spürbar zu beinträchtigen.

Hieran knüpft der erste strittige Punkt, denn es ist zum aktuellen Zeitpunkt noch nicht geklärt, ob die Artikel der DSGVO als Marktverhaltensregeln gelten. Die DSGVO selbst enthält dazu keine klare Aussage. Die juristische Literatur war bereits nach alten Recht mehrheitlich der Ansicht, dass datenschutzrechtliche Normen im Einzelfall als Marktverhaltensregeln gelten können, hieran hat sich durch die DSGVO nichts geändert.

Der zweite Streitpunkt ist, ob die DSGVO-Regelung, nach der die Sanktionsmöglichkeiten der Aufsichtsbehörden vorbehalten sind, diese nicht so abschließend regelt, so dass eine andere Art der Rechtsdurchsetzung wie etwa durch Abmahnungen ausgeschlossen wäre.
Hier gibt es aktuell in der Literatur zwei Lager, welche diese Meinung entweder teilen oder ablehnen.

Inzwischen ergingen mehrere Urteile in dieser Sache, auf die im Weiteren eingegangen werden soll.

Gerichtliche Entscheidungen

1. LG Würzburg: Beschluss vom 13.09.2018 – 11 O 1741/18 UWG
   

   Abmahnfähigkeit bejaht

Abgemahnt wurde hier eine Rechtsanwältin, welche eine Homepage betrieb, offensichtlich ohne eine ausreichende Datenschutzerklärung vorzuweisen. Dies wurde vom Gericht ebenso moniert wie die Tatsache, dass die Homepage ein Kontaktformular vorwies, ohne dass die Webseite verschlüsselt gewesen wäre.

Das Gericht nahm hier unter Bezugnahme auf Urteile des OLG Hamburg und OLG Köln, welche sich noch auf die Rechtslage vor DSGVO bezogen an, dass diese Verstöße auch wettbewerbsrechtliche Verstöße sind und daher von Wettbewerbern abgemahnt werden können.

Allerdings ist das Gericht sehr dürftig in seiner Begründung, auch daher weil es als reiner Beschluss daherkommt und keine mündliche Verhandlung erfolgte. Auf die Frage, warum DSGVO-Verstöße Marktverhaltensregeln darstellen sollen wird vom Gericht in keiner Weise eingegangen.

2. LG Bochum – Urteil vom 7.8.2018 – AZ I-12 O 85/18

   Abmahnfähigkeit verneint

Zugrunde lag hier eine Abmahnung gegen einen Onlineshopbetreiber im Bereich von Druckerzeugnissen und Werbemitteln durch einen Mitbewerber.
Neben einer Reihe von fehlerhaften oder fehlenden Klauseln in der AGB wurde vom Abmahner auch das Fehlen von Pflichtinformationen aus Art. 13 DSGVO angegriffen, etwa die Kontaktdaten des Verantwortlichen oder die Information über das Bestehen der Betroffenenrechte.
Während die Richter die Rechtswidrigkeit der AGB-Klauseln bestätigte, lehnten sie dies für die Datenschutzbestimmungen ab.

Das Bochumer Gericht folgte hier der Begründung, dass die DSGVO in ihren Sanktionsmöglichkeiten der Aufsichtsbehörde bzw. der Möglichkeit des Betroffenen sich zu wehren abschließend ist, und daher ein Vorgehen durch Mitbewerber ausgeschlossen ist.

3. OLG Hamburg – Urteil vom 24.10.2018 – 3 U 66/17

   Abmahnfähigkeit bejaht

Im hier zu entscheidenden Fall wehrte sich eine Pharmafirma gegen die Praxis eines Mitbewerbes, auf den Bestellbögen von Therapieallergenen keine Einwilligung der Patienten in die Datenverarbeitung der Gesundheitsdaten einzuholen.

In der ersten Instanz des Landgerichts Hamburg hatte die Klage Erfolg, die Richter hatten die entsprechenden Regelungen im alten Bundesdatenschutzgesetz als Marktverhaltensregelungen eingestuft.
In der Berufung  vor dem OLG Hamburg machte das beklagte Pharmaunternehmen unter anderen geltend, dass die nun in Kraft getretene DSGVO Verstöße abschließend regelt, und daher die Klage des Mitbewerbers ausgeschlossen wäre.

Die Hamburger Richter lehnten diese Ansicht jedoch ab. Die DSGVO-Regeln zu Sanktionen habe keinen abschließenden Charakter der Abmahnungen verhindert.
Interessanter Weise lehnte der Senat jedoch die Ansprüche des Klägers ab, da es zwar ein Datenschutzverstoß annahm, im konkreten Fall sei jedoch keine marktverletzende Regelung betroffen. Denn weder würden Patienten hier als Verbraucher und Marktteilnehmer angesprochen, noch würde mit der Regelung zur Einwilligung in die Verarbeitung von Gesundheitsdaten bezweckt, dass Marktteilnehmer unter gleichen Marktbedingungen agieren.

4. LG Wiesbaden – 05.11.2018, Az. 5 O 214/18

   Abmahnfähigkeit verneint

Hier waren die Streitparteien zwei Auskunfteien – die Klägerin wollte die Beklagte daran hindern, unzureichende Auskünfte an Betroffene zu erteilen.

Das Landgericht Wiesbaden sah die Klägerin jedoch nicht als klageberechtigt an, da es, dem Landgericht Bochum folgend und sich auch auf dieses explizit beziehend, die DSGVO-Sanktionsmöglichkeiten als abschließend wertet, eine Abmahn- bzw. Klagefähigkeit eines Mitbewerbers sei daher ausgeschlossen.

5. LG Magdeburg – Urteil vom 18.Januar 2019

   Abmahnfähigkeit verneint

Hier wehrten sich Apotheker gegen eine Internetapotheke, welche über Amazon apothekenpflichtige Medikamente verkauft. Neben Verstößen gegen apothekenspezifische Gesetze und Verordnungen rügten die Kläger in deren Abmahnung auch Verstöße gegen den Datenschutz.

Das Landgericht Magdeburg erklärte die Apotheker bezüglich des Datenschutzes für nicht klagebefugt, und stellte ebenfalls auf den abschließenden Charakter der Sanktionsmöglichkeiten Datenschutzgrundverordnung ab.

Zwischenfazit:

Aktuell steht es vor deutschen Gerichten also 2:3
Während das LG Würzburg und das OLG Hamburg zu dem Schluss kommen, dass die Sanktionsregeln der DSGVO nicht abschließend sind und daher eine Abmahnfähigkeit von Datenschutzverstößen grundsätzlich bejahen, lehnen die Landgerichte aus Bochum, Wiesbaden und Magdeburg dies ab.
Bezüglich der Frage ob ein Datenschutzverstoß marktverhaltensregelnd sein kann, wird im Wesentlichen davon ausgegangen, dass dies sein kann, jedoch vom konkreten Fall abhängt.

Zum aktuellen Zeitpunkt ist die Frage der Abmahnfähigkeit von Datenschutzverstößen gerichtlich also noch völlig ungeklärt, auch das mit dem OLG Hamburg eine höhere Instanz dies bejaht hat, muss hier noch nichts heißen. Da es sich hier um eine europarechtliche Frage handelt, kann sie letztendlich nur der EUGH abschließend beantworten. Möglicher Weise findet das Gericht dazu schon bald Gelegenheit. Mehr dazu und Initiativen auf gesetzlicher Ebene im Folgenden:

Vorstehende EUGH-Entscheidung:

Aktuell ist beim EUGH ein Verfahren anhängig, bei dem es zwar nicht sicher aber doch wahrscheinlich ist, dass er auch zur Abmahnfähigkeit von Datenschutzverstößen Stellung nimmt.
Zugrunde liegt hier die Klage einer Verbraucherzentrale gegen über einen Onlineshop, da dieser den Facebook-Like-Button einsetzte, und damit Daten an Facebook übertragen wurden, auch ohne das der Besucher mit dem Button interagierte. (Näheres zu dieser Problematik hier)
Hier war eine der Fragen, welche dem EUGH vorgelegt wurde, auch, ob es europarechtlich zulässig ist, dass gegen Datenschutzstöße nicht nur durch Sanktionsmöglichkeiten der Aufsichtsbehörden und die Betroffenenrechte sondern auch durch gemeinnützige Verbände vorgegangen werden kann.

Es gilt abzuwarten wie das oberste europäische Gericht hier entscheidet, jedoch hat der EUGH in der Vergangenheit meist die Auslegung gewählt, bei welcher die Rechtsdurchsetzung des Unionsrechts am wirkungsvollsten scheint, was für ein Bejahen der Abmahnfähigkeit sprechen würde

Politische Gesetzesinitiativen

Schon früh gab es aus der großen Koalition Bestrebungen den Befürchtungen von DSGVO-Abmahnungen den Wind aus den Segeln zu nehmen. Von Unionsseite gab es Bestrebungen deklatorisch DSGVO-Abmahnungen auszuschließen, die SPD wollte jedoch lieber missbräuchliche Abmahnungen im Ganzen eindämmen.
Hierzu gibt es einen aktuellen Gesetzesentwurf des Bundesjustizministeriums, dieser befasst sich nicht mit DSGVO-Abmahnungen, soll jedoch mit verschiedenen Maßnahmen die Hürden für Abmahnungen zu erhöhen.
Vom Freistaat Bayern wurde ein Gesetzentwurf in den Bundesrat eingebracht, der u.a. das UWG um eine Klausel ergänzt hätte, dass DSGVO-Verstöße hiervon nicht betroffen wären, konnte sich jedoch damit nicht durchsetzen.

Fazit:

Ob Datenschutzverstöße abgemahnt werden können, ist aktuell weiterhin nicht vollständig geklärt. Die deutschen Gerichte sind sich uneinig, eine anstehendes Urteil des EUGH könnte hier möglicherweise mehr Klarheit bringen, jedoch ist aktuell noch unklar, wann dieses ergeht und wie deutlich die europäischen Richter hier werden.
Auch auf deutscher Gesetzesebene gibt es Versuche, DSGVO-Abmahnern oder auch missbräuchlichen Abmahnern den Wind aus den Segel zu nehmen, auch hier kann zum aktuellen Zeitpunkt jedoch noch nicht sicher gesagt werden, wo die Reise hingeht.
Bis jetzt ist auch die große DSGVO-Abmahnwelle ausgeblieben, wohl auch wegen der Unklarheit gab es zwar vereinzelte Abmahnungen in diesen Bereich aber eben nicht in höherer Zahl.
Gleichwohl sollte man dies nicht zum Anlass nehmen, Datenschutz auf die leichte Schulter zu nehmen. Denn in jeden Fall bleibt die Möglichkeit einer Datenschutzbehörde, ein Unternehmen bei signifikanten Datenschutzverstößen mit einem Bußgeld zu versehen. Und dieses kann mit einer maximalen Höhe von 20 Millionen bzw. 4% des weltweiten Umsatzes deutlich höher ausfallen als eine Abmahnung kosten würde.

Der Beitrag Abmahnfähigkeit von Verstößen gegen die DSGVO erschien zuerst auf Protected Shops.

Inhaltsübersicht:

1. Erste DSGVO-Bußgelder in Deutschland & Europa
2. EUGH-Urteil zu Facebook-Fanpage
3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.
4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung
5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung
6. Brexit: Großbritannien möglicherweise bald Drittland

1. Erste DSGVO-Bußgelder in Deutschland & Europa

Es dauerte eine Weile, aber inzwischen sind die ersten Bußgelder auf Basis der DSGVO einer deutschen Datenschutzaufsichtsbehörde verhängt worden. Der erste bekannte Fall betraf den Betreiber des Internet-Portals Knuddels.de, einer Social-Media / Chatplattform für Jugendliche, dieser musste Ende November 2018 20.000€ zahlen, da dort durch Hacker eine sechsstellige Anzahl Passwörter entwendet wurde, welche unzureichend geschützt waren. So waren die Passwörter im Klartext, also unverschlüsselt gespeichert.

20.000€ sind deutlich weniger als die Maximalhöhe von 20 Millionen € oder auch 4 % des weltweit erzielten Jahresumsatz eines Unternehmens, welche die DSGVO erlauben würde.
Die Aufsichtsbehörde begründete dies jedoch mit der hohen Kooperationsbereitschaft des betroffenen Unternehmens und der sofortigen Umsetzung von technischen Maßnahmen durch das Unternehmen. Auch habe das Unternehmen für die IT-Sicherheit und der Geldbuße insgesamt eine sechsstellige Summe aufwenden müssen.

Dies zeigt zum einen, dass das Verhängen von Bußgeldern keine theoretische Gefahr ist, es sich aber lohnt, im Falle eines Datenschutzverstoßes bestmöglich mit der Datenschutzaufsichtsbehörde zu kooperieren. Was bei einer Datenpanne zu tun ist, erfahren Sie hier.

80.000€ musste ein Unternehmen ebenfalls in Baden-Württemberg entrichten, da Gesundheitsdaten im Internet landeten.

In Nordrhein-Westfalen wurden bereits über 30 Bußgelder verhängt, allerdings noch in geringer Höhe.
Im vor kurzem veröffentlichten Tätigkeitsbericht von der baden-württembergischen Datenschutzbehörde wurde verlautet dass in einer Vielzahl von Fällen die Ermittlungen noch andauern, einige der Verfahren jedoch bald zum Abschluss kommen würden.
In Frankreich wurde gegen Google gar ein Bußgeld in Höhe von 50 Millionen wegen intransparenten Informationen zur Datenverarbeitung von der dortigen Datenschutzbehörde verhängt, gegen welches der Konzern jedoch vorgeht.

Die meisten Bußgelder erfolgen dabei aufgrund von Beschwerden durch Betroffene, welche die Aufsichtsbehörden zum Ermitteln zwingen.

2. EUGH-Urteil zu Facebook-Fanpage

Am 05. Juni 2018 hatte der EUGH über die Nutzung von Facebook-Fanpages zu entscheiden. Hintergrund war ein Streit zwischen der schleswig-holsteinischen Datenschutz-Aufsichtsbehörde und der Wirtschaftskammer des Bundeslandes. Der Landesdatenschützer hatte der Wirtschaftskammer das Betreiben einer Facebook-Fanpage untersagt, welche sich gegen diese Anordnung gerichtlich wehrte.
Eine Facebook-Fanpage kann von Unternehmen oder auch Privatpersonen verwendet werden, um mit Facebook-Mitgliedern in Kontakt zu treten. Wenn ein Facebook-Nutzer die Fanpage abonniert, bekommt er Nachrichten von dieser in seinem Newsfeed bei Facebook angezeigt.
Die Aufsichtsbehörde störte sich hier insbesondere an „Facebook Insight“, eine Trackingfunktion die von Facebook zur Verfügung gestellt wird, und sowohl Facebook als auch dem Fanpage-Betreiber Informationen über die mit der Seite interagierenden Facebook-Nutzern gab.
Unklar war vor dem EUGH-Urteil, ob hierfür Facebook allein datenschutzrechtlich verantwortlich ist oder ob auch der Betreiber der Fanpage mitverantwortlich wäre.

Die europäischen Richter entschieden, anders als die deutschen Gerichte, auf eine gemeinsame Verantwortlichkeit von Facebook und dem Seitenbetreiber der Fanpage. Denn erst durch das Erstellen der Fanpage durch den Betreiber würden die Datenverarbeitungen dort realisiert. Das Urteil erging zwar noch nach alter Rechtslage, ist jedoch direkt auf die DSGVO übertragbar.

An dem Status des (gemeinsamen) Verantwortlichen hängt eine Reihe von Pflichten und Auflagen für ein Unternehmen.
Insbesondere bedeutet das Urteil, das ein Unternehmen, welches eine Fanpage betreibt,  die umfassenden Informationspflichten der DSGVO zur Verarbeitung der Daten erfüllen muss, obwohl es auf die Datenverarbeitungen durch Facebook weder Einfluss noch genaue Erkenntnisse hat.
Auch können Nutzer grundsätzlich sowohl an Facebook als auch an das Unternehmen, welches die Fanpage betreibt herantreten um ihre Rechte wie etwa das Auskunftsrecht wahrzunehmen.

Aktuell ist weiterhin nicht abschließend geklärt, ob das Betreiben einer Fanpage zulässig ist, darüber muss das Bundesverwaltungsgericht, welches die europarechtlichen Fragen an den EUGH übergab nun anhand der Vorgaben entscheiden.
Von der Datenschutzkonferenz(DSK), der Konferenz der deutschen Datenschutzaufsichtsbehörden kam relativ schnell die Aussage, dass das Betreiben von Fanpages rechtwidrig wäre. Allerdings hat dies erstmal keine rechtliche Wirkung, sondern ist eben die Ansicht der Datenschutzaufsichtsbehörden, die sich bei gerichtlicher Klärung auch als falsch herausstellen könnte.

Auch Facebook reagierte, und stellt seit 11. September ein sogenanntes „Page Controller Addendum“ zur Verfügung. Hier akzeptiert Facebook die Hauptverantwortlichkeit, Unternehmen die Facebook Pages betreiben müssen jedoch die eigene Rechtsgrundlage für die Verarbeitung der Insight-Tracking Daten bestimmen, einen eigenen Verantwortlichen benennen und Nutzeranfragen oder Kontaktanfragen der Aufsichtsbehörde an Facebook weiterleiten.

Wichtig ist, insbesondere, eine Datenschutzerklärung in der Facebook-Fanpage einzubinden, in welcher auf das Page Controller Addendum hingewiesen wird. Hier muss eine Rechtsgrundlage angegeben werden, im Normalfall kommt hier ein berechtigtes Interesse in Betracht.

Aktuell ist nicht bekannt, dass Datenschutzbehörden wegen der Verwendung von Facebook Fanpages Bußgelder ausgesprochen haben, gleichwohl bleibt das Thema präsent. Insbesondere sobald das Urteil des Bundesverwaltungsgerichtes vorliegt kann dies erneut an Fahrt gewinnen.
Letztendlich muss jedes Unternehmen für sich entscheiden, ob der Marketingnutzen der Fanpage das potentielle Risiko eines Bußgeldes wett macht.

Fazit:

Das Betreiben einer Facebook-Fanpage ist aktuell nicht völlig ohne Risiko. Nach Ansicht der Datenschutzaufsichtsbehörden ist dies nicht datenschutzkonform möglich. Ob sich diese Ansicht durchsetzt wird sich erst noch herausstellen, in jedem Fall sollte jedes Unternehmen eine aktuelle Datenschutzerklärung in Ihre Fanpage einbinden.

3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.

Mit Facebook Custom Audiences lassen sich beispielsweise Kundenlisten bei Facebook hochladen. Die Daten werden dabei mit einem sogenannten Hash-Verfahren verschlüsselt, Facebook gleicht die ebenso verhashten Facebook-Nutzer ab und erlaubt somit eine gezielte Ansprache von bzw. Werbung an (ehemalige(n)) Kunden.
An diesen Verfahren störte sich die bayrische Datenschutzbehörde für den nicht öffentlichen Bereich, sie untersagte einem bayrischen Online-Shop die weitere Nutzung und forderte die Löschung der bestehenden Listen.
Der betroffene Online-Shop wehrte sich gerichtlich, verlor jedoch sowohl vor dem VG Bayreuth als auch in der nächsten Instanz, dem VGH München.

Die übergebenen Daten wären weder ausreichend pseudonymisiert noch anonymisiert, da Facebook ja in der Lage ist, diese seinen Nutzern zuzuordnen. Hier läge auch keine Auftragsdatenverarbeitung vor, da Facebook hier nicht nur ausführendes Organ ist, letztendlich entscheidet Facebook wem Werbung präsentiert wird. Daher müsste eine Rechtsgrundlage vorliegen, eine solche sei hier nicht einschlägig. Letztendlich könnte diese Weitergabe auch nur über eine informierte Einwilligung eingeholt werden.

Fazit:
Aktuell kann von einem Einsatz von Facebook Custom Audiences nur abgeraten werden.
Denn dafür wäre wohl eine vorherige Einwilligung des betroffenen Kunden notwendig, es ist jedoch nicht denkbar wie diese sinnvoll eingeholte werden würde, und welcher Kunde darin so einwilligen würde. Ein Einsatz ohne Einwilligung jedoch ist aktuell wohl nicht zulässig und angesichts der potentiellen Bußgelder ein riskantes Unternehmen.

4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung

Etwas beruhigen kann Newsletterversender das Urteil des AG Diez (Urt. v. 07.11.2018 -8 C 130/18). Dies hatte zu entscheiden, ob und in welcher Höhe ein Betroffener auf Basis der DSGVO Schadensersatz verlangen kann, wenn ihm eine unerlaubte Werbenachricht erreicht.
Der Kläger hatte vom Beklagten eine E-Mail erhalten, worin dieser in Hinblick auf die DSGVO eine Einwilligung zum Newsletterbezug erfragte. Da er aber wohl vorher keine Einwilligung eingeholt hatte, war diese E-Mail unzulässig, der Empfänger forderte daher einen Schadensersatz.
Der Beklagte zahlte zwar ohne Anerkenntnis außergerichtlich 50€, der Kläger forderte jedoch mindestens 500€ und zog dafür vors Gericht.

Grundsätzlich gewährt die DSGVO einer Person dessen Daten in irgendeiner Weise missbraucht wurden ein Schadensersatzanspruch.
Das Amtsgericht sah diesen jedoch hier kaum einschlägig, da dieser nicht für Bagatellverstöße ohne wirklichen Schaden gelten könne. Erforderlich wären ein spürbarer Nachteil und eine Beeinträchtigung von persönlichkeitsbezogenen Belangen. Durch eine einzige unerwünschte E-Mail würde kein nennenswerter Schaden entstehen. Da bereits vorgerichtlich 50€ geflossen waren, hielt das Gericht jedenfalls mit dieser Summe einen etwaigen Schaden für beglichen.

Zwar ist dies erst ein Urteil eines Amtsgerichts, dennoch ist es begrüßenswert, dass aus einer einmaligen unerwünschten E-Mail hier kein hohes Haftungsrisiko erwuchs.

5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung

Im zugrundeliegenden Fall wehrte sich ein Kunde gegen eine Email eines Amazon Marketplace Händlers, bei dem er zuvor ein Produkt gekauft hatte.
Der Amazon-Händler schickte ihm seine Rechnung und forderte ihn in dieser E-Mail darüber hinaus auf, ihn positiv zu bewerten. Hiergegen wehrte sich der Kunde wegen unerlaubter Zusendung von Werbung.
Der BGH bei dem der Fall schlussendlich landete erklärte das Vorgehen des Amazon-Händlers für rechtswidrig. Ein Kundenzufriedenheitsanfrage sei als Direktwerbung einzustufen und darf somit nur mit vorheriger ausdrücklicher Einwilligung verschickt werden.

Insbesondere hilft es aus Sicht der Richter nichts, die Kundenanfrage mit einer zulässigen Information wie den Rechnungsversand zu verbinden. Auch wenn die Zusendung einer Rechnung ohne Einwilligung zulässig ist, darf diese nicht zur Werbung missbraucht werden.

Dieses Urteil ging zwar noch nach altem Datenschutzrecht, ist jedoch problemlos übertragbar.

Fazit:
Kundenzufriedenheitsanfragen sind nach Ansicht des BGH klar Werbung und dürfen nur mit vorheriger Einwilligung verschickt werden. Auch ein Verknüpfen mit sachlich zulässigem E-Mailkontakt wie dem Zusenden einer Rechnung ändert hieran nichts.
Selbst ein bloßer Link im E-Mail-Footer welcher zur Bewertung auffordert sollte unterblieben, sofern keine Einwilligung vorliegt. Was Sie bei der Einwilligung zu beachten haben, erfahren Sie hier.

6. Brexit: Großbritannien möglicherweise bald Drittland

   Es sind nur noch wenige Wochen, nach wie vor ist jedoch völlig unklar ob es zum 29.03.2019 noch zu einem geregelten Abkommen zwischen der EU und Großbritannien kommt, zu einem ungeregelten Bruch oder zu einer Verschiebung der Frist.
   Sollte die Frist jedoch nicht verlängert werden, und es kein eigenes Datenschutzabkommen geben, und ein solches war zumindest bisher nie Thema der öffentlichen gewordenen Diskussion, so würde Großbritannien ab Ende März zum Datenschutzrechtlichen Drittland.

Dies betrifft alle Unternehmen, die Daten nach Großbritannien übertragen, etwa weil diese einen britischen Dienstleister einsetzen(z.B. Einsatz von Paymentdienstleister Skrill).

Für Datenübertragungen in Drittländer außerhalb der EU gelten nach der DSGVO besondere Regeln
Eine Datenübertragung wäre unproblematisch, so die EU-Kommission einem Land ein angemessenes Schutzniveau bescheinigen. Solche Garantien gibt es bereits für Länder wie die Schweiz, Norwegen, Kanada oder die USA(Privacy-Shield), ob Großbritannien jedoch eine solche (rechtzeitig) erhalten würde, ist mehr als fraglich.

Ansonsten bedarf es in den meisten Fällen eigenen Abkommen zwischen dem verantwortlichen Unternehmen und dem Auftragsverarbeiter, welche sicherstellen dass die Daten ausreichend geschützt sind. Am häufigsten kommen hier sogenannte Standardvertragsklauseln der EU-Kommission zum Einsatz.
So Daten auf Basis einer Einwilligung ans Drittland übertragen werden sollen, muss der Betroffene bei Einwilligungserteilung ausdrücklich informiert werden dass die Weitergabe ohne Angemessenheitsbeschluss oder andere Garantie erfolgt und er über die möglichen Risiken aufgeklärt werden.
Unproblematisch ist allerdings die Datenübermittlung, so diese zur Erfüllung oder Abschluss eines Vertrages erforderlich ist. Dies ist etwa der Fall bei einer Bestellung in ein Nicht-EU-Land wo durch den Versand eine Datenverarbeitung durch den nicht-europäischen Versanddienstleister erfolgt.

Fazit:

Angesichts der zerfahrenen Verhandlungen und den großen innenpolitischen Zerwürfnissen innerhalb Großbritanniens ist die Gefahr eines Austretens ohne Abkommen wahrlich nicht klein.
Unternehmen sollten daher schon jetzt prüfen, ob diese britische Dienstleister einsetzen oder andersweitig Daten nach Großbritannien übertragen.
Ist dies der Fall, sollten Vorkehrungen getroffen werden, etwa ein Abschluss eines neuen Auftragsverarbeitungsvertrag mit dem Dienstleister auf Basis der Standardvertragsklauseln der EU-Kommission.

Der Beitrag Die ersten Monate  DSGVO – Ein Überblick erschien zuerst auf Protected Shops.

Was war geschehen?

Ein Unternehmen aus der Telekommunikationsbranche versendete eine E-Mail mit zulässi-gen Werbeinhalten an einen Geschäftskunden. Im Footer befand sich ein Link unter dem er explizit zur Teilnahme an einer Online-Umfrage zur Kundenzufriedenheit aufgefordert wurde. In der E-Mail Signatur warb das Unternehmen auch für aktuelle Handys, Tarife und persönliche Produktempfehlungen.
Der Kunde ging rechtlich gegen die Werbung in der E-Mail Signatur vor und wies darauf hin, dass er zu keinem Zeitpunkt seine notwendige Einwilligung erteilt habe und das Zusenden der Werbe-E-Mail daher unzulässig sei.

Die Entscheidung

Das AG Bonn gab dem Kunden Recht. Für den Fall, dass keine ausdrückliche Einwilligung erteilt wurde, ist es unzulässig, Werbe-Mails zu versenden auch wenn sich der unzulässige werbliche Teil lediglich in der E-Mail Signatur befindet. Der Begriff der Werbung umfasst alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Die Aufforderung zur Teilnahme an Produktumfragen des Unternehmens fällt unter diese Definition, da sie der Absatzförderung der Produkte des Unternehmens dienen kann und soll. Daran ändere auch der Umstand nichts, dass lediglich in der Signaturzeile Hinweise auf Kundenzufriedenheitsumfragen und persönliche Produktempfehlungen zu finden waren und die restliche E-Mail Ausführungen, die den Kunden betrafen, beinhaltete.

Fazit

Online-Händler, die E-Mails zu Werbezwecken versenden, müssen darauf achten, dass sie vorab eine ausdrückliche Einwilligung des Empfängers eingeholt haben. Dies gilt auch für Werbung, die in der Signatur der E-Mail beinhaltet ist.
Seit dem 25. Mai 2018 müssen außerdem die Anforderungen der DSGVO an eine rechtswirksame Einwilligung beachtet werden.

Mehr zur rechtskonformen Einwilligung finden Sie hier.

Der Beitrag AG Bonn: Unzulässige E-Mail Werbung auch im Footer erschien zuerst auf Protected Shops.

Damit Sie überprüfen können, welche Schritte Sie bei der Umsetzung schon abhaken können und an welcher Stelle noch Anpassungsbedarf besteht, haben wir eine Checkliste mit den wichtigsten Änderungen durch die DSGVO zusammengestellt.

1.) Datenschutzerklärung aktualisieren

Jeder Online-Händler ist verpflichtet, eine Datenschutzerklärung auf seiner Shop-Webseite bereitzustellen. Damit diese den neuen Anforderungen der DSGVO gerecht wird, sollten Online-Händler überprüfen, ob in ihrer Datenschutzerklärung alle Pflichtinformationen (Art. 13 DSGVO) enthalten sind. Es muss z.B. darüber informiert werden zu welchem Zweck personenbezogene Daten erhoben werden und wer der Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung seine (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

 2.) Verzeichnis von Verarbeitungstätigkeiten

Um die Einhaltung der Datenschutzgrundsätze nachweisen zu können, müssen Online-Händler ein Verzeichnis von Verarbeitungstätigkeiten führen. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Das Anfertigen und Führen eines Verarbeitungsverzeichnisses ist keine einmalige, sondern fortlaufende Arbeit. Wenn sich etwas an einem Verfahren ändert oder ein neues Verfahren hinzukommt, muss das Verzeichnis aktualisiert werden.

Wir unterstützen Sie bei dieser Arbeit.

3.) Technische und organisatorische Maßnahmen

Neben der Webseite sollten Online-Händler dafür sorgen, dass der Schutz und die Sicherheit der personenbezogenen Daten, die im Unternehmen verarbeitet werden, gewährleistet ist. Wenn keine besonders sensiblen Daten (z.B. Gesundheitsdaten, Daten zur sexuellen Orientierung oder politische Meinungen) gespeichert werden, sind im Regelfall Standardmaßnahmen ausreichend.

Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Um eine hinreichende Datensicherheit zu gewährleisten, muss die Shop-Webseite SSL- verschlüsselt sein. Online-Händler sollten eine Übersicht erstellen, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

Mehr zur den technischen und organisatorischen Maßnahmen erfahren Sie hier.

 4.) DSGVO-konforme Einwilligungen einholen

E-Mail Marketing Maßnahmen sind bei Online-Händlern ein beliebtes Werbemittel. Durch die DSGVO hat sich an der Zulässigkeit dieser Maßnahmen nicht viel geändert. Weiterhin basiert die Verarbeitung personenbezogener Daten zu Werbezwecken auf einer Einwilligung des Empfängers. Online-Händler, die z.B. einen Newsletter versenden, müssen darauf achten, dass die Einwilligung mittels Double-Opt-In Verfahrens (Opt-In-Bestellung und Opt-In Bestätigungsmail, dass Newsletter bestellt werden soll) eingeholt und protokolliert wurde. Weiterhin muss der Adressat des Newsletters vor der Erklärung seiner Einwilligung darüber informiert werden, worin er einwilligt. Wichtig ist auch, dass der Empfänger vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen wird.

5.) Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn ständig 10 oder mehr Personen mit der automatisierten Verarbeitung von Daten befasst sind. Die Voraussetzungen unter denen ein Datenschutzbeauftragter zu bestellen ist, sind erweitert worden. Es ist auch Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn im Unternehmen als Kerntätigkeit besonders sensible Daten (z.B. Daten zur sexuellen Orientierung, Gesundheitsdaten) gesammelt werden. Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Dies gilt auch für den Leiter der IT-Abteilung. Voraussetzung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.

Mehr zum Datenschutzbeauftragten erfahren Sie hier.

6.) Neue Pflichten für Händler

Die DSGVO sieht weitere neue Pflichten für Händler vor wie z.B.  die Pflicht Auskunftsanfragen von Nutzern zu beantworten, die Einhaltung von Löschungsfristen („Recht auf Vergessenwerden“) oder die Herausgabe von gespeicherten personenbezogenen Daten in strukturierter, maschinenlesbaren Format (Recht des Betroffenen auf Datenübertragbarkeit). Weiterhin müssen Online-Händler der Meldepflicht nachkommen. Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Außerdem müssen die von der Datenschutzrechtsverletzung Betroffenen informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Wir unterstützen Sie bei der Umsetzung des Auskunfts- und Löschverlangens.

7.) Auftragsverarbeitung

Wer einen Dienstleister mit der Verarbeitung von Daten beauftragt, benötigt dafür eine korrekte Vereinbarung zur „Auftragsverarbeitung“ (früher: Auftragsdatenverarbeitung). Ein solcher Dienstleister kann beispielsweise ein externes Lohnbüro, ein Newsletter-Versanddienst oder ein Web-Analysedienst („Google Analytics“) sein. Zahlungsdienste wie z.B. PayPal werden nicht als Auftragsverarbeiter eingestuft, da bei ihnen fremde Dienstleistungen in Anspruch genommen werden, bei der keine aktive Verarbeitung der Daten übernommen wird.

Neben einer wirksamen Vereinbarung ist Voraussetzung für die Vergabe zur Auftragsverarbeitung, dass der Auftragnehmer „geeignete technische und organisatorische Maßnahmen“ zur Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet.

Bislang war für eine Vereinbarung zur Auftragsdatenvereinbarung Schriftform (Papier mit Unterschrift) vorgeschrieben. Mit der DSGVO werden auch elektronisch abgeschlossene Vereinbarungen möglich. 

Fazit

Kein Online-Händler kommt an der DSGVO vorbei. Auch wenn die DSGVO schon seit einigen Wochen gilt, müssen Online-Händler sich darüber informieren, welche neue Änderungen umgesetzt werden müssen, um keine Abmahnungen oder Bußgelder zu riskieren.

Der Beitrag Checkliste DSGVO: Welche Änderungen sind von Händlern zu beachten? erschien zuerst auf Protected Shops.

Der Einsatz von Facebook Custom Audience verstößt gegen das Datenschutzrecht. Das hat das Verwaltungsgericht Bayreuth am 08.05.2018 in einem von einem Online-Shopbetreiber geführten Eilverfahren gegen das das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) entschieden.

Was war geschehen?

Ein Online-Shopbetreiber hatte das Werbetool „Custom Audience“ zur Erstellung einer Kundenliste zu Werbezwecken auf seiner Seite im Einsatz. Dabei nutzte der Händler insbesondere E-Mail Adressen seiner Kunden, die im Rahmen des Bestellvorgangs erhoben wurden. Eine Einwilligung der Kunden in die Nutzung ihrer E-Mail Adresse für Custom Audience lag nicht vor.

Das BayLDA ordnete daher in einem Bescheid die Löschung der erstellten Kundenlisten an.

Der Shopbetreiber war der Auffassung, dass sein Vorgehen rechtmäßig war, da er mit Facebook einen Vertrag zur Auftragsdatenverarbeitung geschlossen habe.

Die Entscheidung

Das VG Bayreuth urteilte, dass der Einsatz von Custom Audience ohne vorherige Einwilligung rechtswidrig ist.  Der Shop-Betreiber kann sich bei der Übermittlung der E-Mail Adressen nicht auf die Auftragsdatenverarbeitung als Rechtsgrundlage stützen. Voraussetzung hierfür ist, dass der Auftragnehmer weisungsgebunden ist. Es liege aber alleine im Ermessen von Facebook welcher der Kunden Werbung erhalten und welche nicht. Eine weitere Rechtgrundlage wie das sog. „Listenprivileg“ auf die die Übermittlung der personenbezogenen Daten gestützt werden kann, gebe es nicht, denn bei E-Mail Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs.2 S. 3 BDSG (a.F.) nicht enthalten sind.

Fazit   

Der Beschluss des VG Bayreuth ist nach alter Rechtslage ergangen und nicht rechtkräftig. Nach der seit kurzem geltenden DSGVO dürfte die Entscheidung aber nicht anders ausfallen, da die „Auftragsverarbeitung“ ebenfalls auf eine Rechtsgrundlage gestützt werden muss und es kein „Listenprivileg“ mehr gibt.

Neben der der Entscheidung des VG Bayreuth sollten Shop-Betreiber auch das kürzlich ergangene Urteil des EuGH zu Facebook Fanpages beachten (wir berichteten). Der EuGH entschied, dass Betreiber einer Facebook-Fanpage die datenschutzrechtliche Verantwortung gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Fanpage-Besucher trägt. Die Urteilsgründe könnten sich dabei auch auf Facebook-Tools wie Facebook Custom Audience übertragen lassen.

Angesichts der hohen Bußgelder, die durch die DSGVO drohen, sollten Shop-Betreiber den Einsatz von Facebook Custom Audience überprüfen und nur dann nutzen, wenn alle auf der Liste enthaltenen Kunden vorher eine ausdrückliche und informierte Einwilligung erteilt haben.

Der Beitrag VG Bayreuth: Einsatz von Facebook Custom Audience ohne Einwilligung ist rechtswidrig erschien zuerst auf Protected Shops.