Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Internetrecht
André Schenk, LL. M. Eur.
Zum Themenschwerpunkt Datenverarbeitung auf Webseiten hat die Datenschutzkonferenz (DSK) in ihrer neuesten Veröffentlichung Stellung bezogen. Der in der DSK verbundene Zusammenschluss aller Landesaufsichtsbehörden gibt darin unter anderem Empfehlungen für die beste Vorgehensweise bei der Analyse von Nutzerdaten und Nutzerverhalten ab.
Zurzeit wird die Analyse von Nutzerdaten noch von Analysetools wie etwa Google, Analytics, Remarketing, Facebook, Pixel u.a. vorgenommen, die dabei jedoch auch Daten für eigene Zwecke erheben und verarbeiten. Dieser Aspekt des sogenannten ‚Webtrackings‘ wird von den Aufsichtsbehörden kritisch gesehen.
Da diese letztgenannten Analysen zur Erstellung eines Nutzerprofils aber der Einwilligung durch den Nutzer bedürfen, die bei dieser Vorgehensweise jedoch in der Regel nicht zuvor eingeholt wird, verstößt dieses Vorgehen gegen die Transparenzgrundsätze des Datenschutzrechts nach Ansicht der Aufsichtsbehörden der Länder.
Um bei der Analyse des Nutzerverhaltens einen solchen Verstoß gegen die Transparenzgrundsätze zu vermeiden, wird geraten, die Daten lokal zu erheben und auch auszuwerten, ohne einen Drittdienstleister dazwischen zu schalten, der die Nutzerdaten ohne deren Wissen für seine eigenen Interessen abgreift und weiterverwertet.
Bei der Umsetzung ist zu beachten, dass das Telemediengesetz (TMG), das die Anbringung der unterschiedlichen Cookie-Hinweise geregelt hat, nach Auffassung der Aufsichtsbehörden der Länder (DSK) nicht mehr anwendbar ist. Daher sind Cookie-Hinweise, die nur mit einer Zustimmungsfunktion in Form des bloßen ‚OK-Buttons‘ versehen sind, nicht mehr statthaft.
Was tun?
Vielmehr müssen die Nutzer einer Webseite nun im Sinne des Art. 13 Datenschutzgrundverordnung (DSGVO) in den Datenschutzhinweisen aufgeklärt werden. Sobald eine Verarbeitung der personenbezogenen Nutzerdaten die nach der DSGVO angemessene Verarbeitung der Daten überschreitet, muss der Webseitenanbieter anstelle der Cookie-Hinweise eine Einwilligungsabfrage einstellen. Erst wenn diese vom Nutzer jeweils bestätigt wurde, darf die entsprechende Verwendung der Nutzerdaten aktiv geschaltet werden.
Bei Verstößen gegen die oben genannten Kriterien können gemäß Art. 82 DSGVO Schadensersatzansprüche auf die Unternehmen zukommen. Zum Beispiel können bei einem Hackerangriff oder Datenleck die Nutzerdaten an unberechtigte Personen weitergeleitet werden. Den Nutzern, deren Daten weitergeleitet wurden, stehen dann Schadensersatzansprüche gegen das Unternehmen zu. Aber auch eine Verwendung der Nutzerdaten ohne Rechtsgrundlage, wenn also wie oben beschrieben, keine Einwilligung in die Verwendungen der Nutzdaten von den Nutzern eingeholt wurde, kann einen Schadensersatzanspruch (der Nutzer, Betroffenen) nach Art. 82 DSGVO begründen.
Da damit zu rechnen ist, dass genau wegen dieser Verstöße von Nutzern vermehrt Schadensersatz gefordert werden wird, ist es umso wichtiger, es erst gar nicht zu einem solchen Verstoß kommen zu lassen. Dazu beachten Sie bitte unsere folgenden Tipps.
Im Falle eines solchen Schadensersatzanspruchs des Nutzers liegt die Beweislast beim Unternehmen. Es muss also darlegen können, nicht für das schadensauslösende Ereignis verantwortlich zu sein. Das Unternehmen muss folgendes darlegen können:
Achten Sie als Unternehmen daher auf die Einhaltung obiger Punkte und halten Sie Ihre Datenverarbeitung regelmäßig auf dem neuesten Stand. Auch ist eine regelmäßige Überprüfung durch Ihren Datenschutzbeauftragten erforderlich.
SBS LEGAL setzt Ihre Rechte sowohl gerichtlich als auch außergerichtlich durch. Schildern Sie uns unverbindlich Ihr Anliegen. Wir möchten Sie lösungsorientiert und rechtssicher an Ihr Ziel begleiten.