Seite wählen
EuGH, Cookies, Google Analytics, Marketing nach DSGVO!

EuGH, Cookies, Google Analytics, Marketing nach DSGVO!

EuGH, Urteil vom 01.10.2019 – C-673/17 Planet 49

Ein Dauerthema im Datenschutzrecht und im Marketing ist die Zulässigkeit von Trackingmaßnahmen nach DSGVO mit Cookies oder Google Analytics. DAzu hat der Europäische Gerichtshof (EuGH) eine Entscheidung gefällt. Der EuGH hat entschieden, dass „das Setzen von Cookies die aktive Einwilligung des Internetnutzers erfordert, ein voreingestelltes Ankreuzkästchen genügt daher nicht.“

Cookies

Die Judikatur des EuGH und die Stellungnahmen der Datenschutzbehörden behandeln Tracking und Marketing Cookies. Sogenannte Cookies, die  für die Funktion einer Webseite erforderlich sind, können nach wie vor gesetzt werden ohne Einwilligung des Nutzers. Ziel der Rechtsprechung des EuGH ist der Schutz des Nutzers durch Information und Einwilligung. Ob dies praktisch sinnvoll ist oder nicht, ist keine juristische Frage. Es geht für uns Juristen darum, den Werbetreibenden zu erläutern, was derzeit in Hinblick auf Trackingcookies rechtlich zulässig ist. Wir sagen ausdrücklich „derzeit“, da die Datenschutzgrundverordnung DSGVO relativ jung ist und vieles im Fluss ist.

Google Analytics

Viele Webseitenbetreiber nutzen Google Analytics. Nach der obigen Rechtsprechung und den Auskünften der Datenschutzbehörden ist dies ein rechtliches Risiko. Wir verweisen insofern auf die Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Entscheidend ist, ob folgende Voraussetzungen erfüllt sind:

  • Einwilligung des Nutzers, die nicht voreingestellt ist (Diese muss nachgewiesen werden können)
  • Das Tool muss alle Cookies blocken, bis auf das der Einwilligung
  • Erst nach Einwilligung dürfen Cookies gesetzt werden
  • Jedes einzelne Tool ggfs. In Gruppen muss in den Cookies vorkommen

Nach Art. 13 DSGVO muss informiert werden, wie dies gewährleistet ist.

Marketing mit Cookies

Unsere Mandanten fragen uns in diesem Zusammenhang, was noch erlaubt ist. Wir können keine Empfehlung für andere Unternehmen anbieten. Es gibt aber individuelle Tools, die den Vorgaben entsprechen. Zunehmend wird die Frage unter Anwälten diskutiert, ob in der Datenschutzerklärung überhaupt Google Analytics auftauchen soll, weil ja dann die Behörde mit der Nase darauf gestützt wird. Dies kann nicht einheitlich für jede Behörde beantwortet werden und muss jedem Unternehmer selbst überlassen werden.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Marketing und Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Merakist

Informationspflichten nach Art. 14 DSGVO und Makler

Informationspflichten nach Art. 14 DSGVO und Makler

Bußgeld DSGVO Datenschutzgrundverordnung

Die Informationspflichten nach Art. 14 Datenschutzgrundverordnung (DSGVO) und Immobilienmakler scheinen ein gänzlich unbekanntes Thema zu sein. Nicht so für die Datenschutzbehörden. Das musste auch ein Mandant von uns erfahren, als er von der für ihn zuständigen Datenschutzbehörde Post bekam. Worum geht es?

Adresskauf

Immobilienmakler können Objekte nur vermitteln, wenn sie den Eigentümer der Eigentumswohnung oder der Immobilie kennen. Um an die Namen zu kommen, werden dann, je nach Bundesland, Anfragen bei den entsprechenden Behörden gestellt. Diese geben bei Vorliegen eines berechtigen Interesses den Namen und die Anschrift des Eigentümers heraus. Die Makler kontaktieren nun den Eigentümer. In unserem Fall, war aber der Eigentümer gar nicht mit einer Kontaktaufnahme einverstanden. Prompt beschwerte er sich bei der Datenschutzbehörde.

Berechtigtes Interesse

Wie lautete der Vorwurf der Behörde? Es sollen Verstöße gegen Informationspflichten und ebenfalls im Hinblick auf die Erhebung von Daten begangen worden sein. Genauer: Ein Makler muss ein berechtigtes Interesse darlegen, weswegen er ausgerechnet diese personenbezogenen Daten dieses Eigentümers möchte. Hintergrund ist das Anliegen der Behörde, den massenhaften Abruf von Eigentümerdaten zu unterbinden. Früher wurden die Eigentümerdaten ganzer Straßen abgefragt und dann wurde Werbung versandt. Das geht heute nicht, ohne Darlegung eines konkreten berechtigten Interesses. Zumeist wird kein Interesse an der Abfragung einer ganzen Straße vorliegen. Aber kann der Makler im Einzelfall darlegen, dass er eine konkrete Anfrage eines Kunden für  genau dieses Haus oder Wohnung hat, liegt auch ein solches berechtigtes Interesse vor.

Informationspflichten  Art. 14 DS-GVO

Die meisten Makler haben auf ihrer Internetpräsenz Angaben zu Art. 13 DSGVO (Datenschutzerklärung) gemacht. Sie teilen mit, wie sie Daten verarbeiten, wenn jemand auf ihrer Seite ist. Wenn sie aber, wie unserem Fall, einen Eigentümer kontaktieren, verarbeiten sie Daten, die sie nicht beim Eigentümer erhoben haben. Nach Art. 14 DSGVO müssen sie aber darüber informieren. Sie müssen dem Betroffenen ein Blatt mit den in Art. 14 DSGVO enthaltenen Angaben übermitteln. Andernfalls können sie einen Datenschutzverstoß begehen und ein Bußgeld droht. Hier ist äußerste Vorsicht geboten.

Wir helfen Ihnen gerne bei der Erstellung der entsprechenden Informationspflichten nach Art. 14 DSGVO.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutzrecht in Frankfurt am Main und bundesweit

Beitragsbild: Brett Jordan

Aufzeichnungen von Telefongesprächen nach der DSGVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DSGVO und deren Zulässigkeit.

Aufzeichnung des Telefonats als Beweismittel

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DSGVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DSGVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat hierzu folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen

Durch die DSGVO hat sich also letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach § 201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Kanzlei für Datenschutzrecht

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DSGVO) in Frankfurt am Main und bundesweit

E-Mails in „cc“ und die Datenschutzgrundverordnung (DSGVO).

E-Mails in „cc“ und die Datenschutzgrundverordnung (DSGVO).

E-Mail Verkehr in „cc“

Darf ich mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) E-Mails in „cc“ (Carbon Copy = Kopie) versenden oder nicht? Die Antwort auf diese, auf dem ersten Blick harmlose Frage, hat erhebliche Konsequenzen. Tausendfach werden täglich E-Mails in „cc“ versandt und die meisten Absender machen sich keine Gedanken zum Datenschutz. Häufig werden im Büroalltag E-Mails schlicht an einem großen Empfängerkreis mittels „cc“ weitergeleitet. Der Empfänger erfährt dadurch den Inhalt der vorhergehende Nachricht und die Emailbeteiligten. Diese wissen häufig nichts davon.

Geldbußen bei Emails in „cc“

Der Landesbeauftragte für Datenschutz in Sachsen Anhalt, Harald von Bose, hat nun in einem Fall Geldbußen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt, weil eine -wohlgemerkt-private Person- E-Mails in „cc“ versandt hat. Was war passiert? Bislang liegt nur eine Pressemeldung der Behörde vor. Ausweislich dieser soll eine private Person in einen E-Mail Verteiler zwischen 131 und 153 personenbezogene E-Mail Adressen verschickt haben. Dies natürlich ohne deren Einwilligung. Er hat sich über Medien, Behörden etc. beschwert und alle mit in „cc“ aufgenommen. Ein Fehler, wie sich danach herausstellte, weil ein Datenschutzverstoß vorliegt.

E-Mails als personenbezogene Daten

Dafür müssen E-Mails personenbezogene Daten darstellen, die unrechtmäßig verarbeitet wurden. E-Mail-Adresse zählen dann als personenbezogene Daten, wenn sie einer konkreten Person zugeordnet werden können. Werden also beispielsweise Klarnamen in der E-Mail benutzt, so ist eine Zuordnung ohne weiteres möglich (Max.Mustermann@info.de). Wird hingegen allgemein info@info.de benutzt, so ist ein Rückschluss nicht ohne weiteres möglich. Es kommt also auf den Einzelfall an.

Verstoß gegen die DSGVO?

Personenbezogene Daten können nur dann rechtmäßig verarbeitet werden, wenn eine Rechtsgrundlage hierfür besteht. Es liegt auf der Hand, dass in den meisten Fällen solche E-Mail-Verteiler ohne Einwilligung der Betroffenen benutzt werden. Die Weitergabe von personenbezogenen Daten wird, wenn es nicht dem Vertragszweck oder berechtigten Interessen dient, häufig rechtswidrig sein. 

Das Problem an dieser Konstellation ist, dass sich der Verstoß sehr einfach dokumentieren lässt. Man kann schlicht die Email ausdrucken. Daher sollten besonders Anbieter von „Newsletter“ aufpassen. Die Bußgelder können sehr üppig ausfallen..

Lösungsmöglichkeiten „bcc“

Daher kann nur angeraten werden, generell über „bcc“ (blind carbon copy) zu arbeiten.

Der Unterschied:

–           Die E-Mail-Adressen der Empfänger, die in den Feldern „An“ und „Cc“ aufgeführt sind, sind für alle Empfänger sichtbar.

–           Für einen Empfänger, der in „Bcc“ aufgeführt ist, sind die anderen unter „Bcc“ aufgelisteten „Mit-Empfänger“ nicht sichtbar.

Aber Achtung: Es dürfen natürlich nicht Daten unrechtmäßig weitergegeben werden. Davor schützt das „bcc“ ebenfalls nicht. Man vermeidet aber dadurch, dass die anderen Empfänger sehen, wer beispielsweise alles den Newsletter bezieht.

Kanzlei für Datenschutzrecht

Bei Fragen rund um den Datenschutz helfen wir Ihnen gerne. Sie können uns telefonisch unter 069 405 64 282 oder unter info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main.

Aktuelle Positionierung der Datenschutzkonferenz (DSK) zu Fanpages auf Facebook!

Aktuelle Positionierung der Datenschutzkonferenz (DSK) zu Fanpages auf Facebook!

Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz hat sich erneut zur Zulässigkeit von sogenannten Fanpages auf Facebook geäußert. Die Datenschutzkonferenz ist ein Zusammenschluss von Aufsichtsbehörden. Deswegen ist es für jeden Verantwortlichen einer Datenverarbeitung wichtig zu wissen, was die „Bußgeldbehörde“ als rechtmäßig oder rechtswidrig ansieht. Das bedeutet natürlich nicht, dass diese Positionierung als Gesetz verstanden werden muss. Es zeigt nur, wie die Behörde das Gesetz interpretiert. Aus wirtschaftlichen Gesichtspunkten ist es aber ratsam zu wissen, welcher Weg von der Behörde als rechtmäßig oder rechtswidrig angesehen wird. Man kann natürlich dann entsprechend sein Verhalten danach ausrichten oder zumindest anpassen.

Fanpages auf Facebook

Der EuGH (EuGH, C-210/16) hat am 5. Juni 2018 entschieden, dass Betreiber von sogenannten Fanpages für die Verarbeitung von personenbezogenen Daten mit Facebook gemeinsam verantwortlich sind. Das bedeutet in praktischer Hinsicht, dass wenn Datenverstöße durch Facebook vorliegen auch der Fanpagebetreiber mithaftet. Die Praxis wird zeigen, wen (Facebook oder Fanpagebetreiber) die Behörden letztlich in Anspruch nehmen werden. Es sollte aber jedem Unternehmer klar sein, dass er für einen Dritten (Facebook) haftet und auf diesen Dritten aber keinerlei Einfluss hat. Letztlich ist es eine ökonomische Entscheidung, ob man dieses Haftungsrisiko eingehen will oder nicht. Schließlich erntet man die Früchte einer erfolgreichen Fanpage als Marketinginstrument.

Positionierung der DSK

Facebook hat reagiert und „Seiten-Insights Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“ für Fanpagebetreiber zur Verfügung gestellt. Dadurch hat man versucht, den Anforderungen an die DSGVO gerecht zu werden. Die DSK hat sich dann am 01.04.2019 dergestalt positioniert (https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf), dass diese Ergänzungen keine Auswirkungen auf die eigene Verantwortlichkeit des Fanpagebetreiber hat. Prüfungsmaßstab ist in diesem Zusammnehang der Art. 26 DSGVO. Dort werden eine Vielzahl von Anforderung aufgestellt, die erfüllt sein müssen, damit eine datenschutzkonforme Verarbeitung möglich ist. Diesen Anforderungen, insbesondere im Hinblick auf die Trnsparnez, wird die Vereinbarung von Facebook nicht gerecht. So zumindest die Datenschutzkonferenz (DSK). Das Ergebnis der Positionierung lautet dann wie folgt:

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Ausblick:

Das Fazit lautet also, dass derzeit das Betreiben von Fanpages auf Facebook datenschutzkonform laut DSK nicht möglich ist.

Nochmals: Ein Gericht hat dies noch nicht überprüft. Die Positionierung in der DSK sind keine Gesetzesnormen. Es ist aber klar, wie die DSK zu diesem Thema steht. Insofern muss man als Betreiber einer solchen Fanpage wissen, dass ein Bußgeld für die Behörde, bis zu einer etwaigen Nachbesserung durch Facebook, in Betracht kommt. Ob nun die Behörde auf eine Nachbesserung wartet oder schon vorher mit einem Bußgeld zuschlägt, vermögen wir nicht zu beantworten. Ein hohes Risiko besteht und wird mit dieser Positionierung mehr als deutlich. Solche Positionierungen haben natürlich die Wirkung, dass niemand mehr sich darauf berufen kann, nicht zu wissen, wie die Behörde diesen speziellen Fall auslegt.

Das Thema bleibt spannend und dynamisch. Eine gesicherte, rechtlich abschließende Bewertung ist aus diesem Grund nicht möglich. Aus unserer Sicht stellt der Betrieb einer Fanpage ein Risiko dar. Jeder Verantwortliche muss nun ökonomisch für sich abwägen, ob er dieses Risiko eingehen will oder nicht.

Anwalt DSGVO

Sofern Sie Fragen rund um den Datenschutz haben, können uns mich jederzeit telefonisch unter 069 405 64 282 oder per E-Mail an info@rechtsanwalt-dsgvo.de erreichen.

Ihr Anwalt für DSGVO und Datenschutzbeauftragter in Frankfurt.