Sehr geehrte Damen und Herren,

im Dezember 2019 hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. Euro festgesetzt. Über den Fall berichteten wir bereits in unserem Datenschutz-Newsletter im Januar 2020. Das LG Bonn hat nun das Bußgeld in einer aktuellen Entscheidung zwar dem Grunde nach bestätigt, der Höhe nach jedoch deutlich reduziert. Über das Urteil und weitere aktuelle Meldungen aus dem Datenschutzbericht berichten wir in diesem Newsletter. In dem Schwerpunktthema informieren wir diesen Monat über datenschutzrechtliche Anforderungen an die Nutzung von Advertising Technology. Auf Ebene unseres Partner-Netzwerkes Pangea Net gibt es hierzu einen eigenen internationalen Schwerpunkt-Newsletter mit verschiedenen Länder-Berichten, den wir zusammengestellt und betreut haben.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Rechtsanwälte

Thema des Monats: AdTech – Digitales Marketing und Datenschutz

Dienstleistungen aus dem Bereich Advertising Technology („AdTech“), die Unternehmen eine effektive Online-Werbung und die zielgerichtete Ansprache von (potentiellen) Kunden ermöglichen, sind ein wichtiger Bestandteil der Marketingaktivitäten von Unternehmen, vor allem bei der Ansprache von Verbrauchern. Maßnahmen des digitalen Marketings umfassen unter anderem die Suchmaschinenoptimierung, die Analyse des Nutzerverhaltens auf Internetseiten und die Schaltung personalisierter Online-Werbung sowie die Versendung von E-Mails mit Werbeinhalten. Viele Gestaltungen nutzen dabei personenbezogene Daten der potentiellen Kunden zur Auswahl der Zielgruppe und Kundenansprache. In diesem Schwerpunktthema setzen wir uns genauer mit den rechtlichen Vorgaben für die Nutzung von AdTech auseinander, wobei wir insbesondere auf die Versendung von werblichen E-Mails sowie die Analyse des Nutzerverhaltens durch Cookies unter datenschutz- und wettbewerbsrechtlichen Gesichtspunkten eingehen.

Zum vollständigen Schwerpunktthema

EuGH: Zustimmung zur Datenspeicherung nicht über vorab angekreuzte Checkbox

Der Europäische Gerichtshof (EuGH) hat in einem Urteil klargestellt, dass es für eine Einwilligungserklärung nicht ausreichend ist, wenn in einem Vertrag eine Checkbox für die Zustimmung zu einer Datenspeicherung vorab angekreuzt ist (EuGH, Urt. v. 11.11.2020, C‑61/19). Diese Vorgabe gilt auch dann, wenn der Vertrag anschließend unterschrieben wird und damit der Betroffene die vorangehenden Ausführungen grundsätzlich billigt. Der EuGH hebt hervor, dass das Ankreuzen einer Zustimmung zur Datenspeicherung aktiv durch den Betroffenen selbst erfolgen muss und eine pauschale Zustimmung zu einer zuvor schon getroffenen Vorauswahl nicht gleichwertig ist.

In dem Fall hatte der Mobilfunkanbieter Orange România Kunden Verträge vorgelegt, die eine Klausel zur Speicherung einer Ausweiskopie enthielten. Die Checkbox neben der Klausel war bereits durch den Anbieter angekreuzt. Ein Widerspruch hätte schriftlich in einem zweiten Formular zu erfolgen müssen. Diese Gestaltung beeinträchtigt nach Auffassung des EuGH die Informiertheit und Freiwilligkeit der Einwilligung. Die Kunden seien insbesondere auch nicht ausreichend darüber aufgeklärt worden, dass der Vertrag auch ohne die entsprechende Zustimmung geschlossen werden konnte.

Die Anforderungen an die aktive Einwilligung eines Betroffenen in eine Datenverarbeitung hatte der EuGH hinsichtlich des Setzens von Tracking- und Werbecookies in ähnlicher Weise bereits in einem Urteil im vergangenen Jahr konkretisiert (EuGH, Urt. v. 01.10.2019, C-673/17).

(Johanna Schmale)

LG Bonn: Millionen-Bußgeld gegen 1&1 deutlich reduziert, aber im Grundsatz bestätigt

Mit Urteil vom 11.11.2020 hat das LG Bonn über den Bußgeldbescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entschieden. Das Gericht hat das im Bescheid der Aufsichtsbehörde auf 9,55 Millionen € festgelegte Bußgeld zwar dem Grunde nach bestätigt, der Höhe nach jedoch deutlich reduziert. 1&1 muss nunmehr weniger als 10 % der ursprünglichen Bußgeldsumme zahlen, da das Gericht das Bußgeld auf insgesamt 900.000,00 € herabgesetzt hat. Dem Verfahren lag das Verhalten des Callcenters von 1&1 zugrunde, bei dem die ehemalige Lebensgefährtin eines 1&1 Kunden die neue Telefonnummer des früheren Lebenspartners erfragt hatte, indem sie sich als dessen Ehefrau ausgegeben hatte und zur Authentifizierung nur Name und Geburtsdatum ihres früheren Lebensgefährten hatte nennen müssen. Die so erlangte Telefonnummer nutzte sie dann für weitere Belästigungen gegenüber ihrem früheren Partner.

Das Gericht hat zwar – ebenso wie der BfDI – einen Verstoß gegen Art. 32 Abs. 1 DSGVO angenommen, weil kein hinreichend sicheres Authentifizierungsverfahren für das Callcenter vorgesehen war. Entgegen der Auffassung des BfDI hat das Landgericht jedoch nur einen geringeren Datenschutzverstoß festgestellt und hierbei insbesondere auch berücksichtigt, dass das Verfahren von 1&1 zur Authentifizierung bislang keinerlei Beanstandungen ergeben habe. Das Verschulden von 1&1 sei unter anderem daher als gering anzusehen. Für die ausführliche Würdigung ist nun zunächst die Volltextveröffentlichung des Urteils abzuwarten.

(Malte Stakowski)

Frankreich: CNIL verhängt Bußgeld von 3 Mio. EUR gegen Carrefour

Die französische Datenschutzaufsichtsbehörde CNIL hat Bußgelder in Höhe von 2,25 Mio. EUR gegen Carrefour France und 800.000 EUR gegen Carrefour Banque verhängt, weil die Unternehmen nach Auffassung der Aufsichtsbehörde zu umfangreich Kundendaten im Zusammenhang mit einem Bonusprogramm genutzt haben. Über das Bußgeld und die Hintergründe hat die Aufsichtsbehörde in einer Pressemitteilung vom 26.11.2020 informiert.

Die Aufsichtsbehörde hat sich insbesondere daran gestört, dass Kundendaten auch dann gespeichert blieben, wenn diese für einen Zeitraum von fünf bis zehn Jahren nicht mehr aktiv waren. Weitere Kritikpunkte ergaben sich daraus, dass Carrefour bei Aufruf der Unternehmenshomepage bereits Cookies einsetzte, selbst wenn die Nutzer (noch) nicht zugestimmt hatten sowie keine transparenten Datenschutzhinweise vorgelegen haben. Die Verteilung des Bußgeldes auf die verschiedenen Unternehmen ergibt sich daraus, dass von Carrefour France außerdem mehr Daten an Carrefour Banque weitergegeben wurden, als dies in den Erklärungen gegenüber den Kunden vorgesehen war und für die Abwicklung von Zahlungsvorgängen sowie die Teilnahme am Bonusprogramm notwendig gewesen wäre.

Interessant an der Entscheidung ist zunächst vor allem die Unterstellung, dass Kundendaten innerhalb bestimmter Zeit nach Inaktivität automatisch gelöscht werden müssen. Für eine klassische Kundenbeziehung dürfte dies, basierend auf den Vorgaben von Art. 17 DSGVO, zutreffend sein. Für Kunden, die sich dagegen explizit registriert haben, erscheint dies dagegen fraglich, da entsprechende Zustimmungserklärungen nach deutschem Verständnis dagegen nicht unbedingt eine zeitliche Befristung haben. Zum anderen stellt sich die Frage, ob der Empfänger von Daten, der keinen Anspruch auf den Erhalt bestimmter Daten hat, ebenfalls eigenständig sanktioniert werden sollte. Dies dürfte eigentlich nur dann angemessen sein, wenn ihn der Vorwurf trifft, die Übermittlung entweder veranlasst zu haben oder zumindest die Rechtswidrigkeit der Übermittlung positiv gekannt zu haben.

(Dr. Sebastian Meyer)

EDSA: Absicherungsmöglichkeiten der Datenübermittlung in Drittstaaten

Am 11.11.2020 hat der Europäische Datenschutzausschuss (EDSA) Empfehlungen für zusätzliche Maßnahmen veröffentlicht, mit denen Datenübertragungen in Drittstaaten unter bestimmten Voraussetzungen abgesichert werden können. Im Anhang 2 der Empfehlungen werden derartige Maßnahmen, insbesondere auch technische Maßnahmen, beispielhaft aufgelistet. Dabei werden verschiedene Anwendungsfälle beschrieben, für die nach Auffassung des EDSA entweder wirksame Maßnahmen gefunden werden konnten oder nicht. Der EDSA empfiehlt als technische Schutzmaßnahme insbesondere eine Verschlüsselung, bei der ausschließlich der Datenexporteuer und nicht der Datenimporteuer über den Schlüssel verfügt. Daneben nennt er mögliche vertragliche Maßnahmen und die Bedingungen für deren Wirksamkeit.

Der EDSA weist darauf hin, dass die genannten Zusatzmaßnahmen nicht zwingend in allen Staaten gleich effektiv wirken würden. Verantwortliche Stellen hätten insofern ihre Wirksamkeit im Kontext des konkreten Datentransfers und unter Berücksichtigung der nationalen Vorschriften des Drittstaats zu beurteilen. Gegebenenfalls sind verschiedene Schutzmaßnahmen miteinander zu kombinieren. Wenn auch dadurch kein angemessenes Datenschutzniveau hergestellt werden könne, müsse der Drittstaatentransfer unterlassen bzw. beendet werden.

(Johanna Schmale)

Europäische Kommission: Entwurf von neuen Standardvertragsklauseln

Nachdem der EuGH in seiner Entscheidung Schrems II (EuGH, Urt. v. 16.7.2020 – C-311/18) das EU-US-Privacy-Shield-Abkommen für unwirksam erklärt und zusätzliche Anforderungen an den Einsatz der Standardvertragsklauseln formuliert hatte, war die Rechtsunsicherheit datenverarbeitender Stellen ebenso wie der hieraus resultierende politische Druck zur Aktualisierung der Standardvertragsklauseln groß.

Mittlerweile hat die Europäische Kommission einen Entwurf überarbeiteter Standardvertragsklauseln veröffentlicht. Dieser greift die Anforderungen des EuGH zur vertraglichen Absicherung internationaler Datentransfers sowie allgemeine Reformforderungen auf. Noch bis zum 10. Dezember 2012 dauert die Konsultationsphase an, in deren Rahmen inhaltlicher Einfluss auf die Gestalt der künftig zur Verfügung stehenden Klauseln genommen werden kann.

Nach dem aktuell veröffentlichten Entwurf kombinieren die neuen Standardvertragsklauseln nunmehr allgemeine Regelungen, die für sämtliche Verarbeitungsszenarien gelten, mit einem modularen Ansatz, um speziellen Verarbeitungsszenarien – etwa dem konkreten Rechtsverhältnis zwischen verantwortlicher Stelle und Auftragnehmer – Rechnung zu tragen. Künftig sollen die Standardvertragsklauseln insbesondere auch die Unterauftragsvergabe, bei der ein Auftragnehmer mit Sitz in der EU bzw. dem EWR einen Subunternehmer zur Verarbeitung personenbezogener Daten in einem Drittstaat einsetzt, abbilden. Weiterhin sehen die Klauseln u. a. die Erweiterung der Möglichkeiten von Kollektiv- bzw. Sammelklagen im Datenschutzrecht sowie generell die Ausweitung der Zuständigkeiten europäischer bzw. mitgliedstaatlicher Aufsichtsbehörden und Gerichte vor.

Mit der in Aussicht stehenden verbindlichen Veröffentlichung neuer Standardvertragsklauseln im Amtsblatt der EU wird einerseits Rechtssicherheit für verantwortliche Stellen und Auftragsverarbeiter geschaffen, andererseits entsteht voraussichtlich nicht unerheblicher Handlungsbedarf. Denn bislang sehen die Klauseln vor, dass nach Ablauf einer Übergangsfrist von einem Jahr nach deren Veröffentlichung im Amtsblatt der EU sämtliche Vertragsbeziehung, die auf Standardvertragsklauseln zurückgreifen, die aktuellen Klauseln in Bezug nehmen müssen. Es bleibt abzuwarten, wie der EuGH die Legitimationswirkung der neuen Standardvertragsklauseln im Rahmen künftiger Entscheidungen bewerten wird, namentlich ob er die von ihm aufgestellten Anforderungen an internationale Datentransfers hinreichend berücksichtigt sieht.

(Dr. Laura Schulte)

EU-Ratspräsidentschaft: Entwurf für eine E-Privacy-Verordnung

Die deutsche EU-Ratspräsidentschaft hat am 04.11.2020 einen Entwurf für eine E-Privacy-Verordnung vorgelegt. Die Verordnung soll die Vertraulichkeit elektronischer Kommunikation stärken.

Der Entwurf beschäftigt sich zum Beispiel mit der Möglichkeit, bestimmte Datenverarbeitungen auf berechtigte Interessen der verantwortlichen Stelle stützen zu können. Anbieter von elektronischen Kommunikationsnetzen und -diensten sollen nach Art. 6 des Entwurfs Metadaten zur elektronischen Kommunikation zukünftig nicht auf der Grundlage ihres berechtigten Interesses verarbeiten können. Gleiches sieht Art. 8 des Entwurfs für die Speicherung von Informationen auf Endgeräten der Nutzer und die Erhebung von Informationen von den Endgeräten der Endnutzer vor. Letzteres betrifft folglich auch das Setzen von Cookies.

Es bleibt abzuwarten, ob es in der Folgezeit zu einer Einigung über den Entwurf und einer Verabschiedung der Verordnung kommen wird. Die E-Privacy-Verordnung sollte eigentlich schon parallel zur Datenschutz-Grundverordnung in Kraft treten, die Verhandlungen haben sich dann aber immer weiter verzögert und wurden teilweise schon insgesamt als gescheitert angesehen. Selbst nach einer Verständigung ist wohl nicht mit einem Inkrafttreten vor 2023 zu rechnen.

(Johanna Schmale/Dr. Sebastian Meyer)

Apple erzwingt strenge Datenschutzstandards für Apps

Mit Wirkung ab dem 08.12.2020 verlangt Apple für alle Apps, die über den eigenen App Store heruntergeladen werden, dass die Entwickler Nutzer zwingend über den Umfang der Datenverarbeitung im Zusammenhang mit der jeweiligen App informieren. Einzelheiten zu den neuen Vorgaben finden sich unter anderem in einem Update von Apple für die Entwicklung von Apps. Im Rahmen der Offenlegung müssen dabei nicht nur eigene Datenzugriffe angegeben werden, sondern auch die Einbeziehung von Drittdienstleistern, etwa zu Analyse- und Werbezwecken. Perspektivisch möchte Apple im nächsten Jahr die Regeln noch weiter verschärfen und ein Tracking zu Werbezwecken innerhalb von Apps nur noch nach expliziter Zustimmung der Nutzer zulassen. Die Vorgaben sind deswegen bedeutsam, weil Entwickler ihre Apps zwingend über den App Store anbieten müssen und Apple damit unabhängig von den datenschutzrechtlichen Vorgaben einseitig Standards festlegen kann.

(Dr. Sebastian Meyer)