Bußgelder, Cookies, Einwilligung – Aufsichtsbehörden schlagen zu

Fachbeitrag

In der vergangenen Woche war einiges los in der Datenschutzwelt. Neben der Ankündigung der Schufa, dass sie den Daumen manchmal erst dann heben will, wenn der geneigte Bürger den Blick in seine Kontoauszüge preisgibt, setzte es Bußgelder für diverse Unternehmen. Dabei ging es um Klassiker wie Cookies und um Anforderungen an die gute alte Einwilligung. Wir haben uns das einmal genauer angeschaut.

Europa, deine Bußgelder!

Den Anfang machte kürzlich die italienische Aufsichtsbehörde (Garante per la protezoni die dati personali). Gegen Vodafone Italien wurde ein Bußgeld in Höhe von insgesamt 12,25 Mio. EUR verhängt. Im Kern ging es um unerwünschte Werbeanrufe durch das Unternehmen an eine Vielzahl von Vodafone-Kunden, welchen im Regelfall keine wirksame Einwilligung zu Grunde lag. Die italienische Aufsichtsbehörde warf Vodafone zudem sehr aggressives Telemarketing vor. So habe das Unternehmen sich einen Teil der Daten von Dritten beschafft. Auch hier habe weit überwiegend keine wirksame Einwilligung der Betroffenen vorgelegen.

Interessant war auch, dass Vodafone Italien mit einer Gruppe von Callcentern zusammengearbeitet hat. Dies ist eigentlich ein typischer Vorgang in der Telekommunikationsbranche. Problematisch war hier nur, dass einige Callcenter offenbar nicht unmittelbar durch Vodafone autorisiert waren. Auch dadurch sei es zu einer Vielzahl von unrechtmäßigen Datenverarbeitungsvorgängen gekommen. Diese Callcenter hätten

„unter völliger Missachtung der Gesetzgebung zum Schutz persönlicher Daten Telemarketing-Aktivitäten durchgeführt“.

Auswahl der Auftragsverarbeiter

Neben der Zahlung der Geldbuße muss Vodafone Italien eine Reihe von Maßnahmen ergreifen, die von der Behörde festgelegt wurden, um die nationalen und europäischen Rechtsvorschriften zum Datenschutz einzuhalten. Dazu gehören beispielsweise die Schaffung eines Dokumentationssystems, mittels dessen sich nachverfolgen lässt, ob die Verarbeitung personenbezogener Daten im Kontext des Telefonmarketings entsprechend der gültigen Regelungen erfolgt, und eine Stärkung bestehender Sicherheitsmechanismen, um unerlaubten Zugriffen auf und unrechtmäßiger Verarbeitung von Kundendaten vorzubeugen. Als ein Fazit kann man hier sicherlich festhalten: Augen auf bei der Auswahl der Auftragsverarbeiter deines Vertrauens!

Gegenüber dem Betroffenen haftet der Verantwortliche gemäß Art. 82 Abs. 1 DSGVO grundsätzlich in voller Höhe. Zwar ist es denkbar, dass der Verantwortliche beim Auftragsverarbeiter Regress nehmen kann, aber das hilft dem Verantwortlichen meist nicht umfassend. Der Imageschaden bleibt auf jeden Fall. Dies kann sogar weitreichendere Folgen haben als das eigentliche Bußgeld.

Informationspflichten nach Art. 13 DSGVO

Da wir gerade bei Verstößen gegen elementare Rechte der Betroffenen sind: Auch die französische Aufsichtsbehörde (CNIL) ist nicht untätig gewesen. Wie nun bekannt wurde, hatte die CNIL bereits im Sommer 2019 Ermittlungen gegen Carrefour France sowie die Carrefour Banque vorgenommen. Die Carrefour S.A. ist das zweitgrößte Einzelhandelsunternehmen Europas mit einem Umsatz von zuletzt über 80 Mio. EUR. Hier hatte die Aufsichtsbehörde Verstöße gegen die Pflichten aus Art. 13 DSGVO sowie ein ungenügendes Löschkonzept festgestellt.

Vorliegend hatten die Websites der Carrefour S.A. sowie die der zum Konzern gehörenden Carrefour Banque die notwendigen Informationen nach Art. 13 DSGVO nicht transparent genug dargestellt. Im konkreten Fall waren personenbezogene Daten betroffen, welche über das Treueprogramm von Carrefour verarbeitet worden sind. Hier hatte die Behörde festgestellt, dass die Informationen nicht nur schwer zugänglich, sondern auch schwer verständlich waren. Die Datenschutzhinweise befanden sich teilweise in Texten auf den Websites, welche noch andere Informationen enthielten und daher nach Ansicht der Aufsichtsbehörde dem Transparenzgebot aus Art. 5 Abs. 1 DSGVO nicht mehr genügten.

Verstöße gegen Löschvorschriften

Bei den Ermittlungen kam zudem heraus, dass personenbezogene Daten zu lange gespeichert worden sind. So wurden die Daten von mehr als 28 Millionen Kunden, die seit fünf bis zehn Jahren inaktiv waren, im Rahmen des Treueprogramms aufbewahrt. Dasselbe galt für die 750.000 Nutzer der Website carrefour.fr, die fünf bis zehn Jahre lang inaktiv waren. Aber auch Kundendaten waren betroffen. Carrefour hatte Angaben dazu regelmäßig noch vier Jahre nach dem letzten Einkauf gespeichert. Auch dies hatten die französischen Datenschützer – welch Überraschung – als deutlich zu lang befunden.

Die Ermittler stellten darüber hinaus fest, dass die Websites Cookies zu Werbezwecken, aber ohne Einwilligung des Nutzers, gesetzt hatten. Gegen Carrefour S.A. sowie Carrefour Banque wurde ein Bußgeld in Höhe von 2,25 Mio. EUR bzw. 800.000 EUR verhängt. Diese relativ geringen Beträge ließen sich darauf zurückführen, dass sich die betroffenen Unternehmen noch im laufenden Verfahren sehr einsichtig gezeigt und unverzüglich Gegenmaßnahmen eingeleitet hatten.

Cookies, Einwilligung und Co.

Spätestens seit der sogenannten Planet-49-Entscheidung des EuGH sind die Themenbereiche Cookies und Einwilligung zum datenschutzrechtlichen Dauerthema geworden. Mit der Klarstellung, dass das Setzen von nicht unbedingt erforderlichen Cookies stets der aktiven Einwilligung des Nutzers bedarf, hat das Urteil zwar rein formell für weitere Rechtssicherheit gesorgt, allerdings bereitet die praktische Umsetzung immer wieder Schwierigkeiten. Was genau ist zwingend erforderlich? Diese Frage ist oft nicht leicht zu beantworten.

Für Unternehmen ist hier besonders heikel, dass ein Verstoß gegen Art 6 und Art. 7 DSGVO in Bezug auf die Einwilligung das sogenannte „große Bußgeld“ nach Art. 83 Abs. 5 DSGVO nach sich ziehen kann. Dies kann bekanntlich einen Betrag bis zu 20 Mio. EUR oder 4 % des Konzernjahresumsatzes zur Folge haben. Der europäische Gesetzgeber hat Verstöße gegen die Grundprinzipien des Datenschutzrechts als besonders schwer eingestuft, weil damit elementare Rechte der Betroffenen verletzt würden.

Aus dem Berateralltag lässt sich berichten, dass zwar sicherlich eine Verbesserung hinsichtlich der Cookie-Banner eingetreten ist. Aber das Urteil des EuGH ist definitiv auch nach mehr als einem Jahr noch längst nicht bei der Mehrheit der Unternehmen angekommen.

Tracking im Internet

Zu dieser Problematik hat die Landesbeauftragte für den Datenschutz Niedersachsen kürzlich eine kleine Untersuchung gestartet. Dabei wurden niedersächsische Unternehmen mittels Fragebogen bezüglich des Einsatzes von Cookies und entsprechender Informationen auf der Website befragt. Auch die Einbindung von Diensten durch Drittanbieter spielte vorliegend eine Rolle. Die Befragung richtete sich ausschließlich an kleine und mittelständische Unternehmen. Dabei kam nach Ansicht der obersten Datenschützerin Niedersachsens, Frau Barbara Thiel, eine ganze Reihe von Verstößen ans Licht, insbesondere im Bereich der Einwilligung:

„Viele der geprüften Webseiten zeigten in diesem Bereich Mängel. Einige davon waren so erheblich, dass sie zur Unwirksamkeit der Einwilligung führten“.

Problematisch sei vor allem, dass der Nutzer oft keine wirkliche Wahl habe, da dieser mittels optischer „Hilfsmittel“ zur Einwilligung gedrängt würde. Durch die bewusste Einbindung verschiedener Farben hinsichtlich der „Ablehnen“- oder „Zustimmen“-Buttons oder durch verschiedene Größen kann der Nutzer zumindest unterschwellig beeinflusst werden. Auch die fehlerhafte Voreinstellung von nicht notwendigen Cookies ist immer wieder Gegenstand von gerichtlichen Entscheidungen.

Sensibilisierung und der Datenschutzbeauftragte

Das sogenannte „Nudging“ stellt derzeit tatsächlich weitgehend eine rechtliche Grauzone dar. Bei der optischen Ausgestaltung von Cookie-Bannern sind praktisch unbegrenzte Möglichkeiten vorhanden. Es obliegt dann den Aufsichtsbehörden und vor allem den Gerichten zu bewerten, ob das Banner im Einzelfall datenschutzrechtlichen Anforderungen genügt. Es bleibt abzuwarten, ob sich daraus in den folgenden Jahren ein verlässlicher Trend entwickeln wird.

Wie die oben genannten Fälle zeigen, können Datenschutzvorfälle und -verstöße manchmal schneller auftreten, als man „Datenschutz-Grundverordnung“ aussprechen kann. Das Positive ist allerdings, dass diese oft relativ einfach im Vorfeld zu verhindern sind. So kann es entscheidend sein, tatsächlich nur vertrauenswürdige, transparent agierende Unternehmen als Auftragsverarbeiter einzusetzen. Auch beim Betreiben einer Website kann man Fehler bezüglich der Einwilligung oder des Einsatzes von Tools vermeiden. Zum einen durch ausreichende Sensibilisierung der handelnden Personen, zum anderen aber auch durch Einbinden des betrieblichen Datenschutzbeauftragten. Hier ist es wichtig, sich in jeder Phase der Implementierung (datenschutz-)rechtlich abzusichern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.