Viele von Ihnen haben im letzten Jahr unsere Datenschutz-Beratung in Anspruch genommen und auch 2019 die Umsetzungsprojekte fortgesetzt.

Datenschutz und Datensicherheit sind keine einmaligen Projekte, sondern eine Daueraufgabe – werden diese für längere Zeit vernachlässigt, geht intern viel Wissen und eine bereits erreichte Routine innerhalb einiger Jahre wieder verloren. Daher ist es sinnvoller, jedes Jahr kontinuierlich daran zu arbeiten, als einmalig großen Aufwand zu treiben und diesen danach wieder in Vergessenheit geraten zu lassen.

In beiden Bereichen – Datenschutz und Datensicherheit – gilt es außerdem, sich dauerhaft auf dem Laufenden zu halten. Das ist auch der Grund für unser Schreiben, da der Europäische Gerichtshof mit den Urteilen „Fashion ID“ vom Juli und besonders „Planet 49“ vom 1. Oktober 2019 zwei wichtige Entscheidungen gefällt hat, die alle unsere Kunden betreffen. Nachfolgend beschreiben wir kurz die Hintergründe und die Auswirkungen.

Die DSGVO, die ePrivacy-Richtlinie und Cookies / Tracking


Im Zuge der Datenschutz-Beratung unserer Kunden 2018 haben wir Ihnen (korrekterweise) mitgeteilt, dass die DSGVO die Verwendung personenbezogener Daten für Werbezwecke grundsätzlich zulässt und es in vielen Fällen ausreichend ist, den Betroffenen ein Widerspruchsrecht einzuräumen. Das galt auch für Cookies und Mail-Newsletter, soweit dort entsprechende Mechanismen eingesetzt werden.

Gleichzeitig haben wir allerdings darauf hingewiesen, dass Rechtsunsicherheiten bestehen, weil die schon sehr viel ältere ePrivacy-Richtlinie der EU und die in vielen Fällen missglückte gesetzliche Umsetzung eigentlich eine Einwilligung für die meisten Verarbeitungen verlangen. Diese Regelungen wurden allerdings bis 2018 großflächig ignoriert und Verstöße von den Behörden de facto auch nicht verfolgt. Unklar war allerdings, inwieweit sich das ab Wirksamwerden der DSGVO ändern würde. Zudem war eigentlich schon 2016 vorgesehen, bis zum Mai 2018 die ePrivacy-Richtlinie durch eine Nachfolgeregelung (ePrivacy-Verordnung) abzulösen, die Klarheit schaffen würde und europaweit einheitlich gilt. Wir haben in der Datenschutz-Beratung daher darauf hingewiesen, dass man sich auf dem Laufenden halten muss.

Seither sind zwei Dinge (nicht) passiert:


·    Nach wie vor ist die ePrivacy-Verordnung nicht ausverhandelt, wobei man hier leider der EU-Ratspräsidentschaft Österreichs im zweiten Halbjahr 2018 eine erhebliche Mitschuld geben muss. Seither stehen die Verhandlungen praktisch still.

·    Der Europäische Gerichtshof hat mittlerweile jedoch zwei Urteile gefällt, in denen er die alte ePrivacy-Richtlinie angewendet hat. Das liegt daran, dass diese in Bezug auf „Einwilligungen“ auf die alte Datenschutzrichtlinie verwiesen hat. Der EuGH hat die Ansicht vertreten, dass nunmehr die Bestimmungen der DSGVO auf diese Einwilligung anzuwenden sind. Gleichzeitig hat er betont, dass die Richtlinie die Einwilligung für jegliche Erhebung von Daten verlangt, die auf Endgeräten der Nutzer_innen online erhoben werden, auch für nicht personenbezogene. Begründet wird dies richtigerweise damit, dass auch derartige Erhebungen einen Eingriff in die Privatsphäre bedeuten können.

Konkret bedeutet das:


·    Für jegliche Erhebung von Daten, die im Endgerät eines Nutzers gespeichert sind oder abgerufen werden und die für die Erbringungen eines Online-Dienstes nicht zwingend notwendig sind, muss vorab eine Einwilligung eingeholt werden. Dies gilt auch für nicht-personenbezogene Daten. Erst sobald diese Einwilligung erteilt wurde, dürfen die Daten erhoben werden und zB entsprechende Cookies gesetzt werden, vorher ist dies technisch zu unterbinden. Bitte beachten Sie, dass daher z.B. jegliche Nutzung von Universal Analytics oder ähnlicher Tools eine Einwilligung erfordert!
·    Die Einwilligung muss ausdrücklich erfolgen und freiwillig sein. Es darf weder ein entsprechendes Kästchen vorab angeklickt sein, noch ein einfacher „OK“-Button vorhanden sein.
·    Es müssen alle von der DSGVO vorgesehenen Informationen verfügbar sein (vollständige Datenschutzerklärung).
·    Im Regelfall muss die Nutzung der Webseite auch möglich sein, ohne diese Einwilligung zu erteilen.
·    Wenn Cookies oder vergleichbare Technologien für den online-Dienst erforderlich sind, wird keine Einwilligung benötigt, es reicht die entsprechende Information in der Datenschutzerklärung. Was zwingend „notwendig“ ist, muss im Einzelfall beurteilt werden, ggf. bestehen hier derzeit auch rechtliche Grauzonen.

Derzeit werden viele Webseiten umgestellt, da davon auszugehen ist, dass die Datenschutzbehörden nun die Anpassung an die neue Rechtslage verstärkt kontrollieren. Insbesondere, wenn Sie sich auch an den deutschen Markt richten, wäre zukünftig wohl auch mit Abmahnungen zu rechnen. Bei den Datenschutzbehörden wurden außerdem aktuell schon Beschwerden gegen tausende Unternehmen eingebracht. Es bestehen zwar Unsicherheiten, inwieweit derartige Verstöße abmahnfähig sind, aber entsprechende Verfahren sind mit erheblichen Kosten und Risiken verbunden (die Rechtsprechung in Deutschland ist dazu bislang nicht einheitlich).

Während die bisherige Praxis mit sinnlosen Cookie-Banners unbefriedigend war, gilt dies für die jetzt zu erwartende strikte Durchsetzung der – eigentlich schon seit 2009 bestehenden – Rechtslage genauso. Wenn man der jetzigen Situation etwas Positives abgewinnen kann, dann nur, dass der Druck auf eine baldige, sinnvolle Neuregelung steigt. Sobald die ePrivacy-Verordnung ausverhandelt ist, wird nach jetzigem Stand allerdings auch hier mit einer zweijährigen Übergangszeit bis zum Wirksamwerden zu rechnen sein.


Insgesamt können wir derzeit nur raten, Webseiten an die „alte neue“ Rechtslage so schnell wie möglich anzupassen. 

Kontakt:

Mag. Lothar Gamper
Beratung Datenschutz-Compliance

lothar.gamper@pitagora.at