Cookie-Raid deutscher Datenschutzbehörden und EuGH-Urteil zum Datentransfer - Was Webseiten-Betreiber beachten müssen

09-2020

Cookies und cookie-ähnliche Online-Tools sind nicht nur bei der Websitegestaltung hoch praxisrelevant, die (Einwilligungs-) Voraussetzungen, unter denen diese Tools eingesetzt werden dürfen, sind auch in aller Munde.

Sie sind mit grundlegenden Planet49-Entscheidungen des EuGH und des BGH in Bewegung geraten und seitdem im kontinuierlichen Fluss: Der kürzlich geleakte Referentenentwurf eines Telekommunikations-Telemedien-Datenschutz-Gesetzes („TTDSG“) sieht in § 9 eine Regelung zur Umsetzung dieser Entscheidungen vor. Die Schrems-II-Entscheidung des EuGH, mit der das Gericht die Anforderung an Datenübermittlungen etwa in die USA deutlich in die Höhe geschraubt hat, wirken sich auch auf zahlreiche cookie-basierte Webseiten-Tools wie Analysedienste (z.B. Google Analytics) aus.

Ende August haben zudem zehn deutsche Aufsichtsbehörden in einer konzertierten Aktion mit der Prüfung der Cookie-Praktiken von Webseiten begonnen und zur Durchführung der Prüfung umfassende Fragebögen, Ausfüllhinweise und Antwortbeispiele versandt. Die Prüfung betrifft zwar aktuell ausschließlich deutsche Verlagshäuser. Die veröffentlichten Informationen geben jedoch weiteren Aufschluss darüber, welche Anforderungen von sämtlichen Webseiten-Betreibern erfüllt werden müssen. Im Folgenden zeigen wir, welche Anforderungen an Webseiten sich aus den neusten Entwicklungen ergeben.

Sieben Dinge, die Webseiten-Betreiber jetzt tun müssen

  1. Bestandsaufnahme über sämtliche Cookies und ähnliche Technologien; z.B.
    • Web-Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS Session IDs, TLS Session Tickets oder andere   zur Identifizierung genutzte Dienste

    Denken Sie auch an: 
    • Zählpixel, Cookies und ähnliche Technologien in Analyse-, Marketing-, Karten- und Wetterdiensten und
    • sonstige Verfahren zur Aggregation von Daten.

  2. Prüfung, ob die Cookies und sonstigen Online-Tools funktional oder für das Angebot der Webseite technisch notwendig sind

  3. Wenn ja,
    Dokumentation der Interessenabwägung
    • Verifikation der Widerspruchsmöglichkeit für die Datenverarbeitung

  4. Wenn nein,
    • Einholen und Dokumentation der Einwilligung der Nutzer (→ Cookie-Banner)
    • Verifikation der Widerrufsmöglichkeit für die Einwilligung

  5. Prüfung,
    • welches der eingesetzten Online-Tools Nutzerdaten in die USA oder andere Drittländer ohne „angemessenes“   Datenschutzniveau übermittelt und
    • welche Risiken für die Nutzerdaten mit der Übermittlung einhergehen

  6. Datenschutz-Folgenabschätzung zu den genutzten Online-Tools

  7. Prüfung und eventuell Überarbeitung von Cookie-Banner, Cookie Policy bzw. Datenschutzerklärung

Checkpunkt 1: Relevante Online-Tools

Webseiten-Tools, die Nutzerdaten verarbeiten, werden gemeinhin unter dem Stichwort „Cookies“ zusammengefasst. Einwilligungen der Webseiten-Nutzer in die Verwendung solcher Online-Tools holen die Webseiten-Betreiber entsprechend über einen sogenannten „Cookie-Banner“ ein. Dieser wiederum informiert die Nutzer mittels einer verlinkten „Cookie Policy“ über die eingesetzten Online-Tools.

Die von den Aufsichtsbehörden versandten Fragebögen verfolgen einen deutlich breiteren Ansatz. Sie beziehen sich neben Cookies etwa auf ähnliche Technologien zur Speicherung von Informationen oder zum Zugriff auf Informationen auf den Endgeräten der Nutzer sowie auf Zählpixel und Fingerprinting. Um sicherzustellen, dass die Verarbeitung von Nutzerdaten über eine Webseite datenschutzkonform ist, müssen sämtliche dieser Online-Tools analysiert werden.

Checkpunkte 2-4:  Dos and Don’ts: Berechtigtes Interesse vs. Einwilligung

Je nachdem, ob der Einsatz eines Online-Tools auf die Einwilligung des Nutzers oder auf die berechtigten Interessen des Webseiten-Betreibers gestützt wird, müssen unterschiedliche Anforderungen erfüllt werden. Hierbei sind vor allem folgende Punkte sind zu beachten:

Die Übersicht zu den Dos and Don’ts: Berechtigtes Interesse vs. Einwilligung finden Sie hier >>

Checkpunkt 5: Datenübermittlung in die USA oder sonstige Drittländer ohne Angemessenheitsbeschluss

Die Schrems-II-Entscheidung des EuGH hat die Hürden für eine datenschutzkonforme Übermittlung von personenbezogenen Daten in Drittländer erhöht. Dies betrifft Übermittlungen in alle Länder außerhalb des Europäischen Wirtschaftsraums, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, also etwa die USA, China, Indien und Russland. Vor dem EuGH-Urteil wurden solche Übermittlungen von personenbezogenen Daten durch Cookies oder andere Online-Tools zumeist auf das EU-US Privacy Shield oder so genannte Standardvertragsklauseln gestützt. Da der EuGH das Privacy Shield jedoch für ungültig erklärt hat und den Abschluss von Standardvertragsklauseln häufig für sich allein nicht mehr ausreichen lässt, bedarf die Nutzung zahlreicher Cookies und weiterer Online-Tools nunmehr einer genaueren Prüfung. 

Es empfiehlt sich daher
  • zu prüfen, bei welchen Online-Tools eine Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss erfolgt

  • zu prüfen, auf welche rechtliche Grundlage der Anbieter des s die Datenübermittlung stützt und wie er sich gegebenenfalls zu darüberhinausgehenden Sicherheitsvorkehrungen äußert

  • eine Einschätzung zum Risiko für die übermittelten Daten vorzunehmen, insbesondere anhand der Rechtsordnung des Ziellandes, der Sensitivität der Daten und der Identifizierbarkeit des Nutzers im Zielland; hierfür ist gegebenenfalls die Hinzuziehung von Rechtsrat erforderlich

  • die weiteren Entwicklungen zum Thema Datenübermittlungen abzuwarten; solche Entwicklungen können sich beispielsweise durch neue behördliche Leitlinien oder die Veröffentlichung neuer, von der Europäischen Kommission gebilligter Standardvertragsklauseln ergeben.

Checkpunkt 6: Datenschutz-Folgenabschätzung

Auch wenn der Einsatz von Cookies und ähnlichen Technologien von der Konferenz deutscher Datenschutzbehörden nicht in der Liste der Verarbeitungsvorgänge genannt wird, für die eine Datenschutz-Folgenabschätzung immer erfolgen muss, kann eine solche erforderlich sein. Das gilt vor dem Hintergrund von Art. 35 Abs. 3 lit. a DSGVO und Erwägungsgrund (75) der DSGVO jedenfalls dann, wenn Cookies und ähnliche Technologien ein Tracking der Nutzer über mehrere Seiten ermöglichen.

Checkpunkt 7: Datenschutzerklärung

Datenschutzerklärungen, Cookie Policy und Cookie-Banner sollten mit Blick auf diese umfassende Liste überprüft werden, etwa um sicherzustellen, dass alle relevanten Dienste und Technologien erfasst und die Angaben zu Datenübermittlungen in Drittländer aktuell sind.