Ich berate in den Bereichen Technologie-, Urheber- und Datenschutzrecht mit besonderem Fokus auf Technologietransaktionen, datenbasierten Projekten und kollaborativer Softwareentwicklung.
Als Associate in unserem Hamburger Büro und Mitglied unseres Commercial-Teams sowie unserer Sektorgruppe Technologie und Kommunikation berate ich Mandanten zu sämtlichen Aspekten des Datenschutz- und IT-Rechts.
Cookies und cookie-ähnliche Online-Tools sind nicht nur bei der Websitegestaltung hoch praxisrelevant, die (Einwilligungs-) Voraussetzungen, unter denen diese Tools eingesetzt werden dürfen, sind auch in aller Munde.
Sie sind mit grundlegenden Planet49-Entscheidungen des EuGH und des BGH in Bewegung geraten und seitdem im kontinuierlichen Fluss: Der kürzlich geleakte Referentenentwurf eines Telekommunikations-Telemedien-Datenschutz-Gesetzes („TTDSG“) sieht in § 9 eine Regelung zur Umsetzung dieser Entscheidungen vor. Die Schrems-II-Entscheidung des EuGH, mit der das Gericht die Anforderung an Datenübermittlungen etwa in die USA deutlich in die Höhe geschraubt hat, wirken sich auch auf zahlreiche cookie-basierte Webseiten-Tools wie Analysedienste (z.B. Google Analytics) aus.
Ende August haben zudem zehn deutsche Aufsichtsbehörden in einer konzertierten Aktion mit der Prüfung der Cookie-Praktiken von Webseiten begonnen und zur Durchführung der Prüfung umfassende Fragebögen, Ausfüllhinweise und Antwortbeispiele versandt. Die Prüfung betrifft zwar aktuell ausschließlich deutsche Verlagshäuser. Die veröffentlichten Informationen geben jedoch weiteren Aufschluss darüber, welche Anforderungen von sämtlichen Webseiten-Betreibern erfüllt werden müssen. Im Folgenden zeigen wir, welche Anforderungen an Webseiten sich aus den neusten Entwicklungen ergeben.
Sieben Dinge, die Webseiten-Betreiber jetzt tun müssen
Bestandsaufnahme über sämtliche Cookies und ähnliche Technologien; z.B.
• Web-Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS Session IDs, TLS Session Tickets oder andere zur Identifizierung genutzte Dienste
Denken Sie auch an:
• Zählpixel, Cookies und ähnliche Technologien in Analyse-, Marketing-, Karten- und Wetterdiensten und
• sonstige Verfahren zur Aggregation von Daten.
Prüfung, ob die Cookies und sonstigen Online-Tools funktional oder für das Angebot der Webseite technisch notwendig sind
Wenn ja,
• Dokumentation der Interessenabwägung • Verifikation der Widerspruchsmöglichkeit für die Datenverarbeitung
Wenn nein,
• Einholen und Dokumentation der Einwilligung der Nutzer (→ Cookie-Banner)
• Verifikation der Widerrufsmöglichkeit für die Einwilligung
Prüfung,
• welches der eingesetzten Online-Tools Nutzerdaten in die USA oder andere Drittländer ohne „angemessenes“ Datenschutzniveau übermittelt und
• welche Risiken für die Nutzerdaten mit der Übermittlung einhergehen
Datenschutz-Folgenabschätzung zu den genutzten Online-Tools
Prüfung und eventuell Überarbeitung von Cookie-Banner, Cookie Policy bzw. Datenschutzerklärung
Checkpunkt 1: Relevante Online-Tools
Webseiten-Tools, die Nutzerdaten verarbeiten, werden gemeinhin unter dem Stichwort „Cookies“ zusammengefasst. Einwilligungen der Webseiten-Nutzer in die Verwendung solcher Online-Tools holen die Webseiten-Betreiber entsprechend über einen sogenannten „Cookie-Banner“ ein. Dieser wiederum informiert die Nutzer mittels einer verlinkten „Cookie Policy“ über die eingesetzten Online-Tools.
Die von den Aufsichtsbehörden versandten Fragebögen verfolgen einen deutlich breiteren Ansatz. Sie beziehen sich neben Cookies etwa auf ähnliche Technologien zur Speicherung von Informationen oder zum Zugriff auf Informationen auf den Endgeräten der Nutzer sowie auf Zählpixel und Fingerprinting. Um sicherzustellen, dass die Verarbeitung von Nutzerdaten über eine Webseite datenschutzkonform ist, müssen sämtliche dieser Online-Tools analysiert werden.
Checkpunkte 2-4: Dos and Don’ts: Berechtigtes Interesse vs. Einwilligung
Je nachdem, ob der Einsatz eines Online-Tools auf die Einwilligung des Nutzers oder auf die berechtigten Interessen des Webseiten-Betreibers gestützt wird, müssen unterschiedliche Anforderungen erfüllt werden. Hierbei sind vor allem folgende Punkte sind zu beachten:
Checkpunkt 5: Datenübermittlung in die USA oder sonstige Drittländer ohne Angemessenheitsbeschluss
Die Schrems-II-Entscheidung des EuGH hat die Hürden für eine datenschutzkonforme Übermittlung von personenbezogenen Daten in Drittländer erhöht. Dies betrifft Übermittlungen in alle Länder außerhalb des Europäischen Wirtschaftsraums, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, also etwa die USA, China, Indien und Russland. Vor dem EuGH-Urteil wurden solche Übermittlungen von personenbezogenen Daten durch Cookies oder andere Online-Tools zumeist auf das EU-US Privacy Shield oder so genannte Standardvertragsklauseln gestützt. Da der EuGH das Privacy Shield jedoch für ungültig erklärt hat und den Abschluss von Standardvertragsklauseln häufig für sich allein nicht mehr ausreichen lässt, bedarf die Nutzung zahlreicher Cookies und weiterer Online-Tools nunmehr einer genaueren Prüfung.
Es empfiehlt sich daher
zu prüfen, bei welchen Online-Tools eine Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss erfolgt
zu prüfen, auf welche rechtliche Grundlage der Anbieter des s die Datenübermittlung stützt und wie er sich gegebenenfalls zu darüberhinausgehenden Sicherheitsvorkehrungen äußert
eine Einschätzung zum Risiko für die übermittelten Daten vorzunehmen, insbesondere anhand der Rechtsordnung des Ziellandes, der Sensitivität der Daten und der Identifizierbarkeit des Nutzers im Zielland; hierfür ist gegebenenfalls die Hinzuziehung von Rechtsrat erforderlich
die weiteren Entwicklungen zum Thema Datenübermittlungen abzuwarten; solche Entwicklungen können sich beispielsweise durch neue behördliche Leitlinien oder die Veröffentlichung neuer, von der Europäischen Kommission gebilligter Standardvertragsklauseln ergeben.
Checkpunkt 6: Datenschutz-Folgenabschätzung
Auch wenn der Einsatz von Cookies und ähnlichen Technologien von der Konferenz deutscher Datenschutzbehörden nicht in der Liste der Verarbeitungsvorgänge genannt wird, für die eine Datenschutz-Folgenabschätzung immer erfolgen muss, kann eine solche erforderlich sein. Das gilt vor dem Hintergrund von Art. 35 Abs. 3 lit. a DSGVO und Erwägungsgrund (75) der DSGVO jedenfalls dann, wenn Cookies und ähnliche Technologien ein Tracking der Nutzer über mehrere Seiten ermöglichen.
Checkpunkt 7: Datenschutzerklärung
Datenschutzerklärungen, Cookie Policy und Cookie-Banner sollten mit Blick auf diese umfassende Liste überprüft werden, etwa um sicherzustellen, dass alle relevanten Dienste und Technologien erfasst und die Angaben zu Datenübermittlungen in Drittländer aktuell sind.