Aufsicht prüft Tracking-Tools und Drittanbieterdienste auf Webseiten

Das Thema Cookies und Drittanbieterdienste bleibt insbesondere nach der Entscheidung des Europäischen Gerichtshofs (EuGH) und anschließend des Bundesgerichtshofs (BGH) nach wie vor ein schwieriges und für alle Beteiligten anstrengendes Thema. Es ist zu beobachten, dass viele Verantwortliche versuchen, die höchstrichterliche Rechtsprechung umzusetzen, doch die richtige Umsetzung gelingt nach unseren Beobachtungen und Einschätzungen in vielen Fällen nicht oder nur teilweise.

Insbesondere die Einholung der erforderlichen Einwilligungserklärungen stellt häufig ein Problem dar. Über die wesentlichen Probleme im Rahmen der Einholung von Einwilligungserklärungen in die Nutzung der Cookies sowie der Drittanbieterdienste haben wir im vergangenen Jahr bereits ausführlich berichtet (hierzu vgl. unsere Beiträge hier und hier).  

Ende 2020 hat die Landesbeauftragte für Datenschutz Niedersachsen (LfD Niedersachsen) die Öffentlichkeit darüber informiert, dass sie beabsichtigt, Webseiten niedersächsischer Unternehmen zu überprüfen, um festzustellen, inwiefern die Cookies und Drittanbieterdienste entsprechend der höchstrichterlichen Rechtsprechung rechtskonform eingesetzt werden (hierzu vgl. die Pressemitteilung der LfD Niedersachsen vom 25.11.2020).

Hierzu wurden nach Angaben der Aufsichtsbehörde 15 kleine und mittelständische Unternehmen angeschrieben und gebeten, einen Fragebogen auszufüllen. Die ausgewählten Seiten wurden dabei technisch überprüft und das sowohl vor als auch nach der Versendung der Fragebögen. Der Fragebogen kann auf der Webseite der LfD Niedersachsen heruntergeladen werden (Direkter Link zum Fragebogen der LfD Niedersachsen).

Zu beachten ist, dass die LfD Niedersachsen eine der ersten Aufsichtsbehörden ist, die eine durch die Datenschutzkonferenz (DSK) beschlossene länderübergreifende Datenschutzprüfung im Bereich der Tracking-Technologien durchgeführt hat. Weitere Informationen bzgl. der angekündigten länderübergreifenden Datenschutzprüfung können auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) abgerufen werden (hierzu vgl. die Pressemitteilung des LfDI BW vom 19.08.2020).

Was waren die Prüfungsschwerpunkte?

Zu den Prüfungsschwerpunkten gehörten vor allem die Angabe der Rechtsgrundlagen (Rechtmäßigkeit der Datenverarbeitung), auf die der Einsatz der Cookies und der Drittanbieterdienste gestützt wird. Soweit der Einsatz auf Basis einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (Datenschutz-Grundverordnung) erfolgt, sind weitere detaillierte Fragen der Aufsichtsbehörde zu beantworten. Die diesbezüglichen Fragen lauten wie folgt:

a) Wie lautet der Text der diesbezüglichen Einwilligung?
b) Zu welchem konkreten Zeitpunkt beim ersten Aufruf und bei einer späteren wiederholten Nutzung der Webseitenwird die Einwilligung der Nutzer eingeholt?
c) Wie ist der konkrete Ablauf der Einholung der Einwilligung?
d) Wie werden die Einwilligungen der Nutzer gespeichert?
e) Welche Konsequenzen bei der Nutzung der Webseitenergeben sich für Nutzer, die keine Einwilligung erteilt haben?
f) Welche Möglichkeiten werden dem Nutzer zum Widerruf der Einwilligung gegeben?
g) Welche Konsequenzen bei der Nutzung der Webseitenergeben sich für den Nutzer infolge des Widerrufs seiner Einwilligung?
h) Wird ein Nutzer, der eine Einwilligung widerrufen hat, bei einem erneuten Aufruf der Webseiten wiederum zur Abgabe einer Einwilligung aufgefordert?“

Darüber hinaus wird der Fokus der Prüfung auf die Erfüllung der Informationspflichten gelegt und auch hierbei werden nicht weniger detaillierte Angaben seitens der Aufsichtsbehörde angefordert. So lautet die Bitte, die eingesetzten Texte zur Erfüllung der Informationsplichten gemäß Art. 13 DSGVO an die LfD Niedersachsen zu übersenden.

Bezeichnenderweise wurden im Fragebogen keine Fragen hinsichtlich der Datenübermittlung in ein Drittland (insbesondere in die USA) abgefragt, was nach dem 16.07.2020 ebenfalls ein beachtliches Problemfeld ist. Über die Drittlandproblematik nach dem Wegfall des sog. Privacy Shields haben wir im vergangenen Jahr ebenfalls berichtet (hierzu vgl. unsere Beiträge hier und hier).

Was waren die Prüfungsergebnisse?

Ihre Prüfungsergebnisse hat die LfD Niedersachsen inzwischen veröffentlicht. Diese können unter dem folgenden Link auf der Webseite der Aufsicht abgerufen werden (Direkter Link zu den Prüfungsergebnissen der LfD Niedersachsen).

Bemängelt wurde insbesondere Folgendes:

  1. Lediglich auf einer der 19 überprüften Webseiten, die Einwilligungen eingeholt haben, war diese wirksam. Die Beurteilung der Wirksamkeit erfolgte dabei anhand folgender Kriterien:
  • Einwilligungszeitpunkt,
  • Informiertheit der Einwilligung,
  • Eindeutigkeit der Bestätigungshandlung,
  • Freiwilligkeit der Einwilligung,
  • Kein unzulässiges Nudging (hierzu vgl. unseren Beitrag aus dem März 2020),
  • Nachteile bei Verweigerung der Einwilligung und
  • Widerruf der Einwilligung.

Die Unwirksamkeit wurde insbesondere deshalb festgestellt, weil es erhebliche Defizite im Rahmen der Bereitstellung von Informationen im ersten Fenster des Consent-Tools gab. Die Mindestinformationen wurden – bis auf ein einziges Unternehmen – von keinem Verantwortlichen vollständig und korrekt erfüllt.

  1. Im Rahmen der Bestimmung der einschlägigen Rechtsgrundlage wurden von einigen Verantwortlichen die Verarbeitungen auf die Wahrung ihrer berechtigten Interessen gestützt, obwohl nach behördlicher Einschätzung eine Einwilligung erforderlich wäre. Zudem wurde nicht immer deutlich, dass eine Abwägung zwischen den Interessen der betroffenen Personen und denen der Verantwortlichen tatsächlich vorgenommen wurde. Das berechtigte Interesse wurde seitens einiger Verantwortlichen zu pauschal angenommen und damit überdehnt. Auf die Interessen und Rechte der betroffenen Personen wurde zu wenig eingegangen.
  2. Die gesetzlichen Anforderungen der  12 ff. DSGVOzu den Betroffenenrechten wurden von den meisten Verantwortlichen erfüllt. Allerdings fanden sich in einigen Datenschutzklärungen zum Teil widersprüchliche Aussagen. Erhebliche Defizite bestanden beim gesetzlich vorgegebenen Informationsumfang. Lediglich auf drei Webseiten konnte die Aufsichtsbehörde die gemäß Art. 13 DSGVO erforderlichen Informationen vollumfänglich feststellen.

Aus den Prüfungsergebnissen geht indessen nicht hervor, ob und wenn ja, zu welchen Konsequenzen die festgestellten Mängel für die betroffenen Unternehmen führen bzw. geführt haben. 

Möglicherweise beabsichtigt die Behörde, lediglich eine Verwarnung auszusprechen, ohne direkt ein Bußgeld zu verhängen. Zumindest ist dies unsere Hoffnung, denn wenn die Aufsichtsbehörde im Zusammenhang mit den festgestellten Verstößen gegen die Betreiber der Webseiten ähnlich wie im Fall der Videoüberwachung die „Bußgeld-Abschreckungs-Keule“ aus ihrem Waffenarsenal herausholen würde, könnte es für die betroffenen Unternehmen sehr unangenehm werden (bzgl. des Bußgelds im Zusammenhang mit der Videoüberwachung vgl. unseren Beitrag 10,4 Mio. Euro Bußgeldgeld wegen Videoüberwachung). Darüber hinaus könnte dies im Nachgang eine Art „Panik“ unter den Unternehmen auslösen, da diese in vielen Fällen einfach aufgrund der eingesetzten Technik nicht in der Lage sind, die Anforderungen zu 100% zu erfüllen. Dies gilt insbesondere für kleinere Unternehmen und Einzelselbständige, die für technische Lösungen auf diesem Gebiet schlichtweg kein Budget zur Verfügung haben. Diese Situation wurde durch die COVID-Pandemie tendenziell eher noch verschlimmert.

Fazit

Um keine böse Überraschung im Rahmen einer behördlichen Prüfung zu erleben, empfiehlt es sich, die eigene Webpräsenz (soweit es geht) auf die aktuellen datenschutzrechtlichen Anforderungen anzupassen. Dabei helfen insbesondere nicht nur der oben beschriebene Fragebogen der LfD Niedersachsen, sondern auch ihre Hilfestellung in Bezug auf die datenschutzkonforme Ausgestaltung der Einwilligungen auf den Webseiten (hierzu vgl. die Handreichung der LfD Niedersachsen vom 25.11.2020, die zuletzt am 30.11.2020 aktualisiert wurde). Auch die FAQ des LfDI BW geben wertvolle Tipps, wie man die Webpräsenz datenschutzkonform gestalten kann (hierzu vgl. FAQ des LfDI BW zu Cookies und Webtracking vom 29.04.2019).

Die Verantwortlichen, die Webpräsenzen betreiben und Tracking-Tools sowie Drittanbieterdienste einsetzen, wären gut beraten, die durch die Aufsichtsbehörden ausgesprochenen Empfehlungen und Hinweise zu beherzigen und umzusetzen, um insbesondere kein Bußgeld zu riskieren.

Benötigen Sie Unterstützung im Rahmen der datenschutzkonformen Gestaltung Ihres Internetauftritts? Rufen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen