Zum Einsatz von Cookies und Cookie-Bannern – was gilt es bei Einwilligungen zu tun (EuGH-Urteil „Planet49“)?

Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine Einwilligung, mit der Internetnutzer das Speichern und Auslesen von Informationen (z.B. Cookies) auf ihren Geräten erlauben sollen, nur dann wirksam ist, wenn der Nutzer aktiv die Einwilligung erklärt.

Dagegen liegt keine wirksame Einwilligung vor, wenn Felder schon vorab angekreuzt sind oder die Einwilligung einfach wegen „Weitersurfens“ unterstellt wird (Urteil vom 1. Oktober 2019 (Az. C-673/17 – Planet49 GmbH).

Wenn eine Einwilligung nötig ist, aber nicht wirksam erteilt wird, ist die Datenverarbeitung (z.B. das Setzen oder Auslesen eines Cookies) rechtswidrig. Hier drohen sowohl die Untersagung der Datenverarbeitung als auch Bußgelder.

Viele Webseitenbetreiber fragen sich jetzt, wie dieses Urteil in der Praxis umgesetzt werden muss. Der LfDI, Dr. Stefan Brink, gibt hier gerne Hilfestellung.

Eine Einwilligung für das Speichern in oder Lesen von Informationen aus den Endgeräten der Nutzer ist immer dann nötig, wenn nicht eine der beiden folgenden Ausnahmen greift (Art. 5 Abs. 3 RL 2002/58/EG):

  1. der alleinige Zweck ist die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz

oder

  1. es ist unbedingt erforderlich, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen

Nutzer wünschen in der Regel nicht, dass Profile über ihr persönliches Nutzungsverhalten angelegt und ausgewertet werden oder dies Dritten (z.B. durch die Einbindung von externen Elementen wie Tools zur Reichweitenanalyse oder Social-Media-Plugins) ermöglicht wird.

Wann ist keine Einwilligung erforderlich?

Beispiele für einwilligungsfreie Cookies sind jene, die die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern, wenn sie wirklich nur für diesen Zweck verwendet werden. Zu beachten ist hierbei aber, dass die Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies) in der Datenschutzerklärung dargestellt werden.

Wann ist eine Einwilligung in jedem Fall notwendig?

Wer etwa Cookies nutzt, um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen, benötigt dafür grundsätzlich die informiert, freiwillig, vorherig, aktiv, separat und widerruflich erklärte Einwilligung des Nutzers.

„Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. Beispiele sind Analyse-Tools, Social-Media-Plugins, externe Kartendienste und andere Elemente Dritter.

In einem solchen Fall müssen die folgenden Vorgaben für die Einwilligung beachtet werden:

  • Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
  • Die Einwilligung darf nicht voreingestellt sein – ein Opt-in im Sinne einer informiert, freiwillig, vorherig, aktiv und separat erklärten Einwilligung ist notwendig (vgl. Seite 5 der Orientierungshilfe).
  • Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
  • Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
  • Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

Die häufigsten Fragen mit den dazugehörigen Antworten zu den Themen Tracking, Plug-ins, Cookies, Einwilligungsbanner und Co. hat der LfDI auf einer FAQ-Webseite zusammengefasst. Nähere Informationen finden sich zusätzlich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.

Bei Rückfragen erreichen Sie uns unter der Telefonnummer 0711/615541-716.
www.baden-wuerttemberg.datenschutz.de



Datenschutzverletzungen bereiten zunehmend Sorge!

Seit dem Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 werden dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DS-GVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht!

Kaum ein Tag vergeht, an dem der Landesbeauftragte keine Meldungen über Datenpannen erhält. Seit Anfang des Jahres gingen bereits knapp 1.000 solcher Benachrichtigungen ein. Die Themen reichen von Vorfällen mit Verschlüsselungstrojanern (Ransomware) bis zum Fehlversand von Arztberichten. Im Mai 2019 gingen mit 177 Meldungen so viele wie noch nie ein.

Die am häufigsten gemeldeten Datenschutzverletzungen:

Platz Art der Meldung
1 Postfehlversand
2 Hackingangriffe/Malware/Trojaner
3 E-Mail-Fehlversand
4 Diebstahl eines Datenträgers
5 Versendung einer E-Mail mit offenem Adressverteiler
6 Verlust eines Datenträgers
7 Fax-Fehlversand

Mit zunehmender Sorge beobachtet der LfDI dabei die hohe Anzahl an Datenpannen in Arztpraxen. Vor allem Verschlüsselungstrojaner machen den Verantwortlichen hier zu schaffen. Ein häufiges Versehen ist es auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln.

Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird. Technische und organisatorische Maßnahmen wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung der MitarbeiterInnen sind – wie in allen Bereichen, in denen mit personenbezogenen Daten umgegangen wird – ein unbedingtes Muss!“ Bei einer Datenpanne mit Gesundheitsdaten sind regelmäßig neben der Meldung an den LfDI auch die Betroffenen selbst zu benachrichtigen.

Wann müssen Datenpannen überhaupt gemeldet werden?
Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht nach Art. 33 DS-GVO. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erläuterungen hierzu und allgemein zur Meldepflicht mit anschaulichen Praxisbeispielen können den Leitlinien des Europäischen Datenschutzausschusses entnommen werden.

Bußgelder
Aufgrund fehlerhaften Umgangs mit Daten wurden bislang von der Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Die höchsten Geldbußen waren zwei Bußgeldbescheide in Höhe von jeweils 80.000,00 € – in beiden Fällen handelte es sich um Datenpannen: In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt.

Weiterführende Links zum Thema



Datenpannen bei Melderegisterauskünften für Wahlwerbung

Parteien (und andere Träger von Wahlvorschlägen) können von den Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigen für personalisierte Wahlwerbung erhalten. Bei den jüngsten Europa- und Kommunalwahlen führte dies zu einer Vielzahl von Beschwerden beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Oft war Betroffenen schlichtweg nicht bekannt, dass Meldebehörden Daten an Parteien für Wahlwerbung herausgeben dürfen, wenn sie nicht von ihrem Widerspruchsrecht Gebrauch machen. In diesen Fällen reichte ein Hinweis auf die Rechtslage aus. Jedoch waren auch massive Datenpannen bei Meldebehörden zu verzeichnen, die zu rechtswidrigen Datenübermittlungen führten. Aufgrund von Fehlern wurden teilweise Daten von Nichtwahlberechtigen oder Personen, für die Übermittlungssperren eingetragen sind, übermittelt. Dies führte etwa dazu, dass Säuglinge und Kleinkinder personalisierte Wahlwerbung erhielten!

„Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“, hebt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, in diesem Zusammenhang hervor. Die Vielzahl von Pannen bei Datenübermittlungen zum Zwecke der Wahlwerbung zeige jedoch dringenden Handlungsbedarf bei den Meldebehörden auf. Bereits einfache organisatorische und technische Maßnahmen, wie die Sensibilisierung und Schulung von mit Melderegisterauskünften befassten Mitarbeitern im Vorfeld von Wahlen oder die Anwendung des Vier-Augen-Prinzips bei der Datenaufbereitung, könnten helfen, entsprechende Vorkommnisse deutlich zu reduzieren. Dass Bürger über solche Datenpannen verärgert sind, sei absolut nachvollziehbar. „Weniger Unmut und Unverständnis bei den Bürgern sowie eine zielgerichtete Wahlwerbung hilft letztendlich allen Beteiligten“, so Brink weiter.

Nicht nur bei Melderegisterauskünften zum Zwecke der Wahlwerbung, sondern auch bei Datenübermittlungen an Adressbuchverlage zur Herausgabe von Adressbüchern und an Mandatsträger, Presse und Rundfunk bei bestimmten Alters- und Ehejubiläen gibt es ein gesetzliches Widerspruchsrecht. Dieses ist gegenüber der Meldebehörde auszuüben, von keinen Voraussetzungen abhängig und braucht nicht begründet zu werden. Ein eingelegter Widerspruch gilt unbefristet, kann aber jederzeit zurückgenommen werden.

Bei Rückfragen erreichen Sie uns unter der Telefonnummer 0711/615541-716.

Datenpannen bei Melderegisterauskünften für Wahlwerbung



Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten

Die im letzten Jahr ergangenen  Entscheidungen des Europäischen Gerichtshofes über die gemeinsame Verantwortlichkeit waren ein lauter Paukenschlag, deren Hall  seitdem nicht verklungen ist. Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Frage, wie eine solche vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten ist, löst seitdem bei vielen Verantwortlichen große Fragezeichen aus. Den gemeinsam Verantwortlichen kommt hierbei eine für den Betroffenenschutz zentrale Aufgabe zu: Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen  untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DS-GVO) nachkommt.

Von offizieller aufsichtsbehördlicher Seite entwickelte Muster eines solchen Vertragswerks sucht man bislang vergeblich, so dass die Gestaltung eines solchen Vertrages den Vertragspartnern oftmals wichtige Zeit und personale Ressourcen raubt.

Mit dem vom LfDI BW veröffentlichten Muster kommt nun erstes Licht ins Dunkle. Um die gemeinsame Verantwortlichkeit transparent und verständlich zu machen stellt der LfDI BW nun  ein Vertragsmuster zur gemeinsamen Verantwortlichkeit nach Artikel 26 DS-GVO zur Verfügung. Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt. Auch an dieser Stelle bedankt sich LfDI Dr. Stefan Brink für die gute Zusammenarbeit!

Die Word-Vorlagen finden Sie auf dem Internetauftritt des LfDI BW unter https://www.baden-wuerttemberg.datenschutz.de/datenschutzthemen/ im Unterpunkt „Gemeinsame Verantwortlichkeit“.



Transparenz schützt Wissenschaftsfreiheit

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 09.04.2019.

LfDI Dr. Stefan Brink fordert mehr Transparenz bei Drittmittelförderungen von Hochschulen in Baden-Württemberg

Die Gesellschaft für Freiheitsrechte (GFF) veröffentlichte am 14. März 2019 das von ihr in Auftrag gegebene Gutachten „Universitäre Industriekooperation, Informationszugang und Freiheit der Wissenschaft“ von Prof. Dr. Klaus F. Gärditz, Inhaber des Lehrstuhls für Öffentliches Recht an der Rheinischen Friedrich-Wilhelms-Universität Bonn. Dessen Fazit lautet: „Kooperationen zwischen Hochschulen und Industrie gefährden Wissenschafts- und Informationsfreiheit“.

Das Gutachten untersucht die Kooperationsvereinbarungen der Universität Mainz mit der Boehringer Ingelheim Stiftung, die dem Institut für Molekulare Biologie gGmbH (IMB) über einen Förderzeitraum von 10 Jahren 100 Millionen Euro zur Verfügung stellt. Im Gegenzug für diese Finanzspritze ließ sich Boehringer Ingelheimer weitgehende Mitspracherechte bei der konkreten Forschungstätigkeit sowie bei Beschäftigungsverhältnissen einräumen. Die Universität Mainz hatte sich bis zuletzt geweigert, die Kooperationsvereinbarungen offenzulegen. Professor Gärditz und die Gesellschaft für Freiheitsrechte sehen darin eine Verletzung des Informationsfreiheitsrechts.

Wie viele andere Informationsfreiheitsgesetze sieht auch das Landesinformationsfreiheitsgesetz Baden-Württemberg (LIFG) eine Ausnahme von umfassender Transparenz für Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung und Hochschulen vor, soweit Forschung, Kunst, Lehre, Leistungsbeurteilungen und Prüfungen betroffen sind. Der Gesetzgeber begründet diese Bereichsausnahme damit, dass „die Regelung die Kunst- und Wissenschaftsfreiheit wahrt. Diese genießen – abgesichert durch Artikel 5 Absatz 3 GG beziehungsweise Artikel 20 Absatz 1 LV – einen hohen Schutz.“ (L-Reg LT-Drs. 15/7720, 5).

Sieht man sich die Regelung des Landes-Hochschulgesetzes (§ 41a LGH BW) dazu einmal genauer an, fällt auf, dass es mit der Transparenz nicht weit her ist. Zugang zu den Aufstellungen zu Drittmittelfinanzierungen erhalten nämlich nur das Rektorat und der Senat der jeweiligen Hochschule sowie das Wissenschaftsministerium im Rahmen der Rechtsaufsicht. Das vorgelegte Gutachten macht deutlich, dass eingeschränkte Transparenz gerade in diesem Bereich die Wissenschaftsfreiheit gefährdet und nicht stärkt.

Daher fordert der Landesbeauftragte für die Informationsfreiheit, Dr. Stefan Brink, die Globalausnahme zugunsten weitgehend intransparenter Drittmittelfinanzierung und Forschungskooperation aus dem LIFG zu streichen und durch wissenschaftsspezifische Ausnahmeregelungen zu ersetzen. Dies dient sowohl dem Schutz der Wissenschaftsfreiheit als auch der Stärkung der gebotenen Transparenz jeder Hochschulförderung.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg können hier abgerufen werden.