Datenschutz-News im Juli: Noyb knöpft sich Cookie-Banner vor +++ Fragebogen-Aktion der Aufsichtsbehörden nach Schrems II +++ EuGH kippt Zuständigkeiten nach Firmensitz

Ist ihr Cookie-Banner (Consent-Banner) DSGVO-konform? Wenn nicht, bekommen sie vielleicht bald (digitale) Post von der Initiative „Noyb“ um Max Schrems. Denn gemäß DSGVO soll das Ablehnen von Cookies eigentlich genauso einfach sein wie die Zustimmung – aber auf vielen Seiten muss man sich durch aufwändige Labyrinthe klicken, um der Nutzung zu widersprechen. Umfragen bestätigen, dass Noyb damit einem für die Nutzer*innen drängenden Problem nachgeht. Demnach stimmen derzeit über 90 Prozent den Cookies zu, aber nur magere drei Prozent tun dies freiwillig! Damit sind Cookie-Banner zur Zeit vor allem lästig, kompliziert und frustrierend.

Schrems und seine Kolleg*innen wollen nun darauf aufmerksam machen, dass nicht die Rechtslage das Problem ist, sondern die Art und Weise, wie Unternehmen diese umsetzen (Stichwort: Dark Patterns). „Noyb“ sucht daher automatisiert nach den üblichen Cookie-Banner-Tricks, z.B. das Fehlen einer „Nein“-Option auf der ersten Ebene des Banners; irreführende Farbgebungen oder wenn der Tracking-Widerruf schwieriger ist als die Einwilligung.

Über 500 Webseiten europaweit wurden nun schon aufgefordert, ihre Cookie-Banner innerhalb eines Monats anzupassen, u.a. DHL, Tchibo, Grohe, Hunkemöller und der Europa-Park Rust. Mit dem Beschwerdeschreiben erhalten die Website-Betreiber netterweise aber auch gleich (kostenlos) eine Klick-für-Klick-Anleitung für die gebräuchlichsten Lösungen für zulässige Cookie-Banner. Angemahnte Unternehmen sollen sich außerdem auf einer von Noyb betriebenen Plattform anmelden, um eine formelle Beschwerde bei den Datenschutzbehörden und daraus möglicherweise resultierende Bußgelder in Millionenhöhe abzuwenden. Insgesamt will Noyb 10.000 Websites anschreiben, die hohe Besucherzahlen haben und einfach zu scannen sind. Das Vorhaben ist nicht unumstritten, da in den Gesetzen zum Thema Cookies viele schwammige bzw. unbestimmte Rechtsbegriffe verwendet werden, die noch nicht abschließend geklärt sind.

Ähnliche user*innenfreundliche Absichten in Richtung einer „Corporate Digital Responsibility“ (CDR) hat das Bundesjustizministerium: Es warnte jüngst vor „zweifelhaften Unternehmenspraktiken“ bei der Digitalisierung und forderte die Unternehmen in Deutschland zu mehr Verantwortung im Umgang mit der Digitalisierung auf, um kein Vertrauen bei Kund*innen zu verspielen. In einer Umfrage fanden 27 Prozent der Befragten, dass Unternehmen kaum oder überhaupt nicht verantwortungsvoll mit der Digitalisierung umgehen. 56 Prozent sorgen sich davor, Opfer von Datendiebstahl zu werden – und immerhin 38 Prozent befürchten finanzielle Schäden und Verluste durch Betrug oder Fehler bei Zahlungsabwicklungen. Einer Mehrheit von 53 Prozent sind laut Umfrage hohe Datenschutz- und Sicherheitsstandards wichtig.

Derweil sind die Datenschutzaufsichtsbehörden noch mit den Folgen der vorhergehenden Schrems-Aktion beschäftigt: Im Juli 2020 hatte der EuGH das Abkommen „Privacy Shield“ gekippt, da Datenschutzniveau in den USA dem in der EU nicht gleichwertig sei: Die dortigen nachrichtendienstlichen Erhebungsbefugnisse stehen den Anforderungen der DSGVO diametral entgegen. Programme aus den USA komplett zu vermeiden ist nach wie vor mangels (guter) Alternativen sehr schwierig. Dem war sich auch der EuGH bewusst und ließ in seinem Urteil deshalb Standarddatenschutzklauseln (offiziell weiterhin „Standardvertragsklauseln“ genannt) als Ausweg zu. Wenn der Empfängerstaat für diese Daten jedoch kein gleichwertiges Schutzniveau bietet, können sie nur noch in Verbindung mit wirksamen zusätzlichen Maßnahmen eingesetzt werden. Nur in Drittländer, für die ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten existiert, können Daten dagegen ohne weitere Genehmigungen übermittelt werden, wenn die sonstigen Anforderungen der DSGVO eingehalten werden. (siehe dazu auch diesen Artikel zum Daten-Brexit.)

Anfang Juni hat die EU-Kommission nun neue sogenannte „Standardvertragsklauseln“ angenommen. In diesen Klauseln sind die Vorgaben aus der Schrems-II-Entscheidung und die Anforderungen der DSGVO aufgenommen. Damit gibt die EU-Kommission Unternehmen neue „benutzerfreundliche“ Instrumente für mehr Rechtssicherheit an die Hand. Denn mit einem neuen Abkommen sei weder kurz- noch mittelfristig zu rechnen, hieß es von der EU – deshalb sollten sich Unternehmen nun mit den Standardvertragsklauseln arrangieren.

Die Behörden wollen nun sensibilisieren und unzulässige Transfers unterbinden. Kürzlich wurde dazu eine Fragebogenaktion gestartet, um Unternehmen Lösungen aufzuzeigen und künftige Fehler zu verhindern. Anhand der Fragestellungen in den fünf Bögen können sich auch Unternehmen, die nicht im Rahmen der Kontrolle angeschrieben werden, ein Bild von den Problembereichen machen und eigene interne Überprüfungen anstoßen. Hilfreich sind auch die FAQ des European Data Protection Board und die Pressemitteilung der Deutschen Datenschutzkonferenz. Letztere hat sich kürzlich auch noch mit dem Dauerbrenner-Thema „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ auseinandergesetzt.

Das Hamburger Landgericht beschäftigt sich derweil mit einer Klage des irischen Aktivisten Johnny Ryan gegen personalisierte Werbung – genauer gesagt um das Modell, Nutzerdaten von Websitebesuchen zu speichern, an externe Dienstleister weiterzugeben und dann auf Auktionsbörsen zu versteigern, sodass Unternehmen freie Werbeplätze bei genau spezifizierten Zielgruppen erbieten können.

Zuvor hatte der EuGH geurteilt, dass innerhalb der EU nicht nur das Land zuständig ist, in dem eine Firma ihren Europasitz hat. Gegen das bisherige sogenannte One-Stop-Shop-Verfahren gibt es seit Längerem Unmut, da insbesondere Irland im Verdacht steht, Verstöße eher langsam und wenn, dann nur mit Samthandschuhen zu ahnden, um die Unternehmen im Land zu halten. Im konkreten Fall wollte die belgische Datenschutzaufsicht gegen Facebooks Nutzung von Cookies, Pixel und Plugins vorgehen, mit deren Hilfe auch Nutzer überwacht wurden, die gar kein Facebook-Konto hatten. Der EuGH sollte nun klären, ob Belgien überhaupt zuständig war.

Der EuGH bestätigte nun, dass der Schutz der Grundrechte der EU-Bürger wichtiger sei als nationale Zuständigkeiten. Wenn eine federführende Behörde diesen Schutz nicht sicherstelle, hätten andere nationale Behörden das Recht, dies selbst zu tun. Denn sonst könnten sich Unternehmen dort niederlassen, wo sie am wenigsten zu befürchten hätten. Allerdings gelten für diese Fälle klare Regeln: So müssen nationale Behörden ein Dringlichkeitsverfahren einleiten, dessen Ergebnis nur für drei Monate gilt. Danach muss der Europäische Datenschutzausschuss ein verbindliches Urteil fällen.

Abschließend wieder einmal ein paar Kurzmeldungen:

So viel dazu. Ich wünsche Ihnen einen schönen Sommer!