Unser Datenschutz-Update im Februar 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Februar 2022.

1. Nachrichten aus der Welt des Datenschutzes

Keine Kekse für Dich – Aussichten für cookieless future.

Nach dem neuen TTDSG ist ein detailliertes Cookie-Consent-Banner Vorschrift. Doch viele Unternehmen fürchten, den Datenverlust, den ein Consent Management herbeiführt. Gleichzeitig wird die Verwendung von Cookies für die Unternehmen immer unattraktiver. 

Doch die Entwicklung ist nicht aufzuhalten. Da wird es Zeit, sich nach Alternativen umzusehen. Mittlerweile gibt es bereits eine Anzahl mehr oder weniger brauchbarer und mehr oder weniger dsgvo-sicherer Alternativen. 

Gerade kleine Unternehmen sollten, bevor sie sich zu große Sorgen um ihren Datenverlust mangels Tracking-und Analyse-Cookies machen, einmal ehrlich die verwendeten Tools unter die Lupe nehmen. Wievielt Zeit verwenden Sie wirklich auf die Analyse und Auswertung des Nutzerverhaltens auf Ihrer Webseite? Wie häufig führen die Ergebnisse dazu, dass Sie Angebote und Werbung daraufhin verändern und wie oft führt dies zum Erfolg?

In vielen Unternehmen fehlt die Zeit, die Ergebnisse auszuwerten, und es fehlt die Kapazität, Mitarbeiter mit dem entsprechenden Wissen einzustellen, die sich nur damit beschäftigen. 

Selbst wenn Zeit und Kapazität vorhanden sind, sind manche immer noch verblüfft, wenn sie feststellen, dass sie mit weit weniger Analysedaten auskommen würden und ein großer Teil überflüssig ist. 

Kommen Sie aber zum Ergebnis, dass Daten über das Nutzerverhalten in hohem Maße von Ihnen ausgewertet und mit sichtbarem Einfluss auf ihr Unternehmen genutzt werden, dann ist es an der Zeit, sich nach Alternativen zu Cookies umzusehen. Vor allem, weil die technischen Möglichkeiten, Cookie-Tracking zu blockieren, immer häufiger werden und bei Nutzung verschiedener Geräte durch denselben Nutzer eine Analyse und ein Tracking mittlerweile erschwert wird. Denn Cookies sind gerätespezifisch.

Hier nur ein paar Beispiele:

Kontextbezogene Werbung: Nicht neues und doch erneut attraktiv. Bei der kontextbezogenen Werbung wird Werbung dort platziert, wo Nutzer sich aufhalten, die Ihre Produkte oder Serviceleistungen interessieren. Das heißt, Werbung auf Online-Seiten mit korrespondierenden Inhalten und Produkten. Hier kommt es nicht auf die personenbezogenen Daten des einzelnen Nutzers an. 

Fingerprint Tracking: Hier werden immer noch individuelle Daten über den Nutzer gespeichert, unter anderem zum Gerät und Browser des Nutzers. Auch hier bedarf es einer Einwilligung durch den Nutzer, so dass der Vorteil zu Cookies eher gering ist. Außerdem bieten Browser immer mehr die Möglichkeit, auch dieses Tracking zu blockieren. 

Personenbasiertes Targeting: Hier registrieren sich Nutzer auf der eigenen Webseite, so dass die Werbung anhand der selbst erhobenen Daten angepasst werden kann. Durch die Registrierung ist die Zustimmung zur Verarbeitung der personenbezogenen Daten und Nutzungsbedingungen bereits erfolgt. Es ist dann egal, mit welchem Gerät sich der Nutzer einloggt, allerdings kann er nur getreckt werden, wenn er sich eingeloggt hat. Damit ist diese Lösung für kleine Unternehmen nicht besonders interessant, weil hier oft das Konzept mit einem vorherigen Login nicht immer passt.

Ein gesundes Maß an Privatsphäre und personalisierter Werbung scheint zu sein, was die meisten Nutzer sich wünschen. Darauf reagiert nun auch Google. Mit Google Topics API sollen durch den Browser-Verlauf der Nutzer:innen für ihn relevante Keywords und Themen ermittelt werden. Statt ihnen dazu dann ungefragt Werbung einzublenden, werden ihnen jedoch die Themen zur Auswahl gestellt. Die Nutzer:innen wählen so selbst aus, ob und wozu sie Werbung erhalten wollen.

Es bleibt abzuwarten, was sich noch alles auf dem Markt an Alternativen zu Cookies zeigen wird, denn sicher ist, der Bedarf an neuen Tools ist groß.

Mehr dazu finden Sie hier: https://www.contentmanager.de/marketing/cookie-tracking-alternativen-uebersicht-marketing/

Obacht beim internen Datenschutzbeauftragten und einem möglichen Interessenkonflikt.

Gemäß der DSGVO muss bei einem internen Datenschutzbeauftragten (DSB) sichergestellt sein, dass seine Funktion nicht mit seinen sonstigen Aufgaben und Verpflichtungen im Unternehmen zu einem Interessenkonflikt führen. Oft wird das in Unternehmen bei der Wahl des DSB ignoriert. Man ist froh, wenn man jemanden findet, der sich um dieses unbeliebte Thema kümmert. Doch hier droht Gefahr, wenn man bei der Auswahl einmal zu wenig auf das Organigram schaut.

So geschehen bei einem belgischen Unternehmen, dass aufgrund einer Datenschutzpanne Besuch der belgischen Datenschutzbehörde bekam. Bei der Inspektion stellte sich heraus, dass der interne DSB zugleich auch Direktor der Compliance-, Risikomanagement- und Innenrevisionsdienste war. In jeder dieser Abteilungen hatte er also über die Verarbeitungszwecke und -arten zu entscheiden. Dies sind jedoch Aufgaben des leitenden Managements. Aufgaben, bei denen der DSB Zwecke und Arten der Datenverarbeitung selbst festlegt, sind nicht erlaubte andere Aufgaben und Pflichten im Sinne von Art 38 Abs. 6 DSGVO. Die belgische Datenschutzbehörde bezweifelte daher, dass er bei der Wahrnehmung seiner Leitungsaufgaben ausreichend die Interessen des Datenschutzes gleichzeitig wahren könnte. 

Die Behörde verhängte daraufhin ein Bußgeld in Höhe von 75.000 €. 

Soll ein interner DSB benannt werden, ist deshalb ratsam, genau die Anforderungen an diese Stelle zu beschreiben und von vornherein bestimmte Positionen aus dem Auswahlverfahren auszuschließen. Ebenfalls Positionen, die in einen Interessenkonflikt geraten, wenn sie gleichzeitig das Amt des internen DSB bekleiden sollen sind z.B. Leiter:in der IT-Abteilung, Leiter:in der Marketingabteilung.

Mehr dazu finden Sie hier: https://www.delegedata.de/2022/02/

2. Entscheidungen des Monats

Bestätigungsemail im Double-Opt-In Verfahren sollte nur den Absender angeben. Weitere Aussagen können bereits eine unzulässige Werbung darstellen.

In dem Rechtsstreit ging es um die Frage der unzulässigen Werbung in einer Bestätigungsemail. Die Bestätigungsemail zu einem Newsletter im Double-Opt-In Verfahren enthielt die Einbindung des Logos des Anbieters mit dem Zusatz „Welcome to Z..“, sowie einen weiteren Satz „Hast Du Fragen zum Newsletter? Kontaktiere uns über: info@zzz“. Die Emailadresse wurde überwiegend geschäftlich genutzt.

Das Gericht nahm bei Logo und beiden Sätzen eine unzumutbare Belästigung im Sinne des § 7 Abs. 1 UWG und einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb an. Die Email gehe über die „reine Aufforderung zur Bestätigung hinaus“. Anders als die bloße Absenderangabe sei „Welcome to ZzZzZzZzZ“ sowie der Satz „Hast du Fragen zum Newsletter? Kontaktiere uns über: info@ZzZzZzZzZ.de“ geeignet, „auf die Marke „ZzZzZzZzZ“ einprägsam aufmerksam zu machen und ein Absatz förderndes Kundeninteresse zu erzeugen“.

Fazit: Beim Double-Opt-In Verfahren sollte also die Bestätigungsemail so knapp wie möglich gehalten werden und lediglich den Zweck und den Absender erkennen lassen. Jeder weitere Zusatz kann als Werbemaßnahme gesehen werden. Selbst das Einbinden des Logo wird in dieser Entscheidung als unzulässig gesehen, wobei dies umstritten ist.

Mehr dazu finden Sie hier: https://openjur.de/u/2379125.html

Eine verspätete Auskunftserteilung gem. Art 15 DSGVO berechtigt allein den Betroffenen noch nicht zu einem Schadensersatzanspruch.

Die Klägerin verlangte von ihrem Anwalt Auskunft gem. Art 15 DSGVO, erhielt die entsprechende Auskunft jedoch erst nach 8 Monaten. Grundsätzlich sieht Art 12 DSGVO eine Frist von 1 Monat vor, verlängerbar um 2 Monate. Das Gericht lehnte ein Schadensersatzverlangen ab, da die Klägerin keine spürbare Beeinträchtigung durch das längere Warten nachweisen konnte. Weiter äußerte das Gericht, dass bei einem Auskunftsverlangen im Einzelfall über den Streitwert entschieden werden müssen, abhängig von den Werteinteressen.

Mehr dazu finden Sie hier: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Bonn&Datum=01.07.2021&Aktenzeichen=15%20O%20372/20

Berechtigtes Interesse ist keine ausreichende Grundlage für die Nutzung von Google Fonts.

Ein Werbe-Betreiber nutzte auf seiner Seite Google-Fonts über Link. Bei jedem Aufruf der Webseite wurden daher die IP-Adresse der Besucher direkt an Google übermittelt. Das LG München verneinte das berechtigte Interesse des Unternehmers als ausreichende Rechtsgrundlage für die Nutzung. Auch sei eine Einwilligung gem. Art 6 I a DSGVO nicht ausreichend, da es bereits bei Aufruf der Webseite zur Übermittlung der Daten kommt. 

Mehr dazu finden Sie hier: https://openjur.de/u/2384915.html

4. Das schreiben die Anderen zum Datenschutz

• Die iCloud von Apple im Datenschutz-Check (Dr. Datenschutz, 24.02.2022)
• Geschäftsführende haften für Datenschutzverstöße persönlich (Datenschutz-Notizen, 24.02.2022)
• Massive Online-Überwachung: Google ist „am besten“, Apple „phänomenal“ (heise online, 27.02.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.