Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Vor rund zweieinhalb Monaten hat der Europäische Gerichtshof (EuGH) ein Urteil zum EU-US Privacy Shield gefällt. Geklagt hatte der (mittlerweile regelrecht berühmte) Datenschutzaktivist Max Schrems – und er hat gewonnen: Das Privacy Shield ist von den Luxemburger Richtern im Juli als unrechtmäßig eingestuft worden. Seitdem gelten noch höhere Hürden für das Sammeln und Auswerten personenbezogener Daten und ihrer Übermittlung von der EU in die USA.
Doch viele Unternehmen haben ihre Webseiten nach diesem wichtigen Urteil nicht angepasst. Das könnte sie jetzt einholen: Datenschutzaktivisten wie Max Schrems mit seiner NGO „NOYB“ haben dahingehend Beschwerde gegen 101 europäische Unternehmen eingereicht. Die Datenschutzbehörden gehen diesen Beschwerden nach und haben zudem angekündigt, auch von sich aus den Einsatz von Tracking-Technologien und Cookie-Bannern bei Unternehmen zu überprüfen. Die ersten Befragungen von Unternehmen zu ihrem Nutzer-Tracking sind bereits erfolgt. Außerdem sind Datenschützer zuletzt mit Schadensersatzklagen und Schmerzensgeldforderungen bei Datenschutzverstößen von Unternehmen erfolgreich gewesen. Drohen gar Massenklagen?
Die Beschwerden, die behördlichen Überprüfungen und die Schadensersatzklagen zeigen deutlich: Unternehmen, die ihr eingesetztes Tracking und ihre Cookie-Banner nach dem Verbot des Privacy Shields noch nicht auf den neuesten Stand gebracht haben, sollten das also spätestens jetzt tun – sich selbst vor Strafen und ihre Webseiten-Besucher vor Datenmissbrauch schützen.
Cookies sind Tracking-Technologien, die von Webseiten-Betreibern eingesetzt werden. Damit kann das Nutzungsverhalten der Seitenbesucher verfolgt und gespeichert werden – praktisch für einen selbst als Nutzer, wenn so z.B. der Einkaufswagen oder die Spracheinstellung gemerkt werden.
Allerdings gehen Cookies weit über diese funktionalen Dinge hinaus. Werbe-Dienstleister und Soziale Netzwerke kaufen die Informationen der einzelnen Webseiten auf, führen die Daten zusammen und können dann ein sehr genaues individuelles Profil jedes einzelnen Nutzers erstellen. Da ist dann verzeichnet, wie man sich verhält, welche Shopping-Vorlieben man hat und auch, wie man politisch und religiös eingestellt ist – ganz schön sensible Daten! Wird man mittels Cookies getrackt, hinterlässt man also wie mit kleinen Kekskrümeln überall im Internet eine verfolgbare Spur. Kritisch ist dabei vor allem auch der Transfer von Daten aus der EU in ein anderes Land wie die USA, in dem das Datenschutzniveau bedeutend niedriger ist.
Deswegen ist es eigentlich auch erforderlich, dass man als User der Verwendung von Cookies zustimmt. So ein Banner sollte jedem bekannt sein. Aber: Viele Cookie-Banner erfüllen die strengen Anforderungen der europäischen Datenschutzgrundverordnung (DSGVO) gar nicht; informieren den Nutzer nicht hinreichend und lassen ihm keine wirklich freiwillige Wahl. Das ist kein kleiner, unwichtiger Fehler, sondern rechtswidrig.
2016 hatte die EU-Kommission das sogenannte Privacy Shield beschlossen, das die Übermittlung personenbezogener Daten aus der EU in die USA ermöglichen sollte. Der österreichische Datenschutzaktivist Max Schrems klagte dagegen. Denn: Das Datenschutzniveau in den USA entspreche nicht dem in der EU. Würden dann aber personenbezogene Daten aus der EU in die USA übermittelt, unterlägen diese Daten von europäischen Staatsbürgern nicht mehr den europäischen DSGVO-Standards – und seien somit nicht mehr angemessen geschützt. In den USA könnten die Behörden im Gegensatz zur EU nämlich zu einfach und zu weitgreifend auf personenbezogene Daten zugreifen, wie der Whistleblower Edward Snowden 2013 schockierend offengelegt hat.
Am 16. Juli dieses Jahres erklärte der EuGH das Privacy Shield deswegen tatsächlich für ungültig. Seitdem dürfen personenbezogene Daten also nicht mehr auf Grundlage des Privacy Shields in die USA übertragen werden. In der Praxis fehlt aber oft eine alternative Lösung zum länderübergreifenden Datentransfer. So haben sich viele Unternehmen nicht ans EuGH-Urteil gehalten und erstmal keinerlei Änderungen vorgenommen. Ihnen könnten jetzt hohe Strafen drohen: Datenschützer und Datenschutzbehörden sind diesbezüglich aktiv geworden.
Der 32-jährige Österreicher Max Schrems hat sich durch seinen Kampf gegen Unternehmen wie die US-Techkonzerne Facebook und Google zum namhaften Datenschützer avanciert. Als solcher gründete er 2017 gemeinsam mit anderen die NGO NOYB, die als „Europäisches Zentrum für digitale Rechte“ im Datenschutz aktiv ist. NOYB steht für „none of your business“. Und mit dieser Attitüde verteidigt die Organisation den Schutz personenbezogener Daten.
Nachdem Schrems 2015 bereits den ersten EU-Kommissionsbeschluss zum Datentransfer zwischen der EU und den USA vor dem EuGH kippen konnte („Safe Harbour“), hat der studierte Jurist auch gegen den zweiten Beschluss, das sogenannte Privacy Shield, erfolgreich geklagt. Nun hat er mit NOYB diesbezüglich Beschwerde gegen viele Unternehmen eingereicht.
Im Juli hatte der EuGH es verboten – trotzdem werden weiterhin unter dem Privacy Shield Daten von der EU in die USA übermittelt. Dagegen hat die NGO NOYB nun insgesamt 101 Beschwerden eingereicht. Sie beziehen sich darauf, dass der Einsatz von Google Analytics und Facebook Connect unrechtmäßig sei und richten sich also gegen Unternehmen, die eben diese Tracking-Technologien weiterhin anwenden. Dazu gehören auch bekannte deutsche Firmen wie sky.de, lieferando.de, express.de und chefkoch.de.
Die Datenschutzbehörden werden besagten Beschwerden jetzt nachgehen – über Fragebögen, Herausgabeverlangen und Bußgelder. Sind die Beschwerdeführer (die Datenschutzaktivisten) nicht zufrieden mit der Beurteilung der Behörden, können sie selbst eine Überprüfung des entsprechenden Verfahrensausgangs vor Gericht einleiten. Und dass sie das tun würden, steht eigentlich außer Frage – immerhin hatte NOYB sich auch in vergangenen Sachverhalten schon bis zum EuGH durchgekämpft.
Die deutschen Datenschutzbehörden haben angekündigt, neben der Prüfung der Beschwerden von Datenschutzaktivisten auch von sich aus gegen rechtswidrige Tracking-Technologien auf Webseiten vorzugehen. Dazu sollen mehrere Aufsichtsbehörden in einem groß angelegten Verfahren entsprechende Online-Services von Unternehmen überprüfen – insbesondere die Internetauftritte von Medienunternehmen. Diese sind nämlich dafür bekannt, auf ihren Webseiten besonders viele und weitgreifende Technologien zum Tracken von Nutzerdaten zu verwenden.
Die Vorbereitung dieser Überprüfung erfolgt bundesweit gemeinsam. Für die praktische Umsetzung sind dann regional die Datenschutzbehörden des jeweiligen Bundeslandes sind zuständig – und sie haben bereits damit angefangen: Viele Unternehmen sind schon zu den Tracking-Technologien, die sie einsetzen, und zum Einholen von Einwilligungen dazu befragt worden. Stellen die Behörden dann fest, dass das Tracking nicht rechtens ist oder die Zustimmung den DSGVO-Ansprüchen nicht genügt, können hohe Bußgelder verhängt werden…
Aktivisten und Organisationen wie NOYB können nicht nur Beschwerde einreichen, wenn sie Datenschutzverstöße beobachten – auch Forderungen von Schadensersatz und Schmerzensgeld können erfolgreich sein.
So hat das Landgericht (LG) Wien Max Schrems 500€ immateriellen Schadensersatz zugestanden – zu zahlen von Facebook. Denn der Konzern hatte einen Datenschutzverstoß begangen. Auch das Arbeitsgericht (ArbG) Düsseldorf hat einen solchen Fall behandelt. Der Kläger konnte hier sogar 5.000€ für sich erstreiten- Schadensersatz, weil ein Unternehmen verspätet und nicht vollständig auf einen Ankunftsantrag nach Artikel 15 (DSGVO) reagiert hatte (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18).
Die Rechtsgrundlage, auf die sich beide Urteile beziehen, ist Artikel 82, Absatz 1 der DSGVO. Demnach haben Personen nämlich grundsätzlich einen Anspruch auf Schadensersatz, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Dieser Anspruch gelte nicht nur bei materiellen, sondern auch bei immateriellen Schäden. Betroffene können also Schmerzensgeld von einem Unternehmen erhalten, das ihre personenbezogenen Daten nicht datenschutzkonform behandelt haben.
Massenklagen kennt man eigentlich vor allem aus den USA. Angesichts des Urteils aus Düsseldorf könnte auch hier in Deutschland könnte bald ähnliches drohen. Immerhin ist der Aufwand von Massenklagen zu Datenschutzverstößen vergleichsweise gering: viele Personen, die von einem ähnlichen Sachverhalt betroffen sind und immateriellen Schadensersatz fordern.
Sollte der EuGH die ihm vom Bundesgerichtshof (BGH) zur Entscheidung vorgelegte Frage, ob Verbraucherschutzverbände Datenschutzverstöße geltend machen dürfen, bejahen, hindert diese Verbraucherschutzverbände nichts mehr an massenhaften Klagen diesbezüglich (BGH Vorlagebeschluss, I ZR 186/17). Unternehmen müssen dann wahrscheinlich bei Datenschutzverstößen hohe Summen an Schadensersatz an betroffene Verbraucher entrichten.
Beschwerden, Bußgelder, Schadensersatzzahlungen – die derzeitig vorgenommenen Überprüfungen von Unternehmen zeigen, welche Konsequenzen Datenschutzverstöße haben können. Doch oft ist es gar nicht so einfach, alle entsprechenden Regelungen einzuhalten. Vor zwei Jahren ist die neue europäische DSGVO in Kraft getreten, dann gab es erst Safe Harbour, danach das Privacy Shield, das nun auch für ungültig erklärt worden ist – und jetzt? Welche Art von Tracking darf ich auf meiner Webseite einsetzen? Wie muss mein Cookie-Banner aussehen? Datenschutzverstöße müssen gar nicht mutwillig sein – sie können auch vielmehr unbeabsichtigt, aus Unwissenheit heraus passieren.
Als Kanzlei für Datenschutzrecht beraten wir von SBS LEGAL Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.
Wir stehen auch Ihnen gern als Partner zur Seite.
Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?