Unser Datenschutz-Update im März 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den März 2024.

1. Nachrichten aus der Welt des Datenschutzes

Vorsicht bei der Verwendung des Google Consent Mode V2 – der Advanced Modus ist datenschutzrechtlich riskant

Der Digital Markets Act (DMA) der Europäischen Union verpflichtet Unternehmen wie Google, ihre Praktiken bei der Datenerhebung für Dienste wie Google Ads und Google Analytics zu überarbeiten.

Google hat daraufhin den Google Consent Mode V2 eingeführt. Dieses Tool unterstützt Website-Betreiber dabei, die DSGVO-Konformität zu gewährleisten, indem es die Datenerfassung und -verarbeitung basierend auf der Nutzereinwilligung steuert. Durch die Anpassung der Datenverarbeitung an die Einwilligung der Nutzerinnen soll sichergestellt werden, dass personenbezogene Daten nur dann verarbeitet werden, wenn eine entsprechende Zustimmung vorliegt.

Klingt erst einmal gut, doch leider hat die Sache einen Haken. Nutzt man das Tool im sogenannten Advanced Modus, z.B. weil man auch bei Nicht-Einwilligung gewisse Trackinginformationen erhalten möchte (bzw. Google), ist eine datenschutzrechtlich konforme Nutzung nicht mehr gegeben, und zwar im Hinblick auf die DSGVO und auf das TTDSG.

Ab dem 6. März 2024 verpflichtet Google die Webseitenbetreiber, den Google Consent Mode V2 zu verwenden, zumindest wenn man personalisierte Anzeigen aus Google Analytics in Google Ads verwenden will oder Messungen sowie Remarketing in Google Ads nutzen möchte. 

Die Conversion-Modellierung nutzt künstliche Intelligenz (KI), um auch dann Nutzerinformationen zu gewinnen, wenn diese das Setzen von Cookies abgelehnt haben. Wird die Einwilligung verweigert, werden nicht-personenbezogene Informationen erfasst. Außerdem gelangt beim Advanced Mode immer noch ein personenbezogenes Datum auf Google-Server, nämlich die IP-Adresse.

Basic Mode

Im Basic Mode werden personenbezogene Daten an Google nur nach Einwilligung der Nutzerin gesendet, also mit Consent über das Banner/Consent-Tool.

Die Einstellungen werden im Google Tag Manager vorgenommen. So kann Google sich versichern, dass nur personenbezogene Daten nach Einwilligung der Nutzer erhoben werden, getrackt wird bzw. personalisierte Werbung angezeigt wird.

Letztlich ändert sich bei Verwendung des Basic Mode nichts am bisherigen Zustand, es erfolgt durch Google lediglich eine „Nachweisbarkeit“ des korrekten Einsatzes der Google-Dienste.

Advanced Mode

Hier erfolgt auch bei Ablehnung ein Tracking – ohne Cookies. Es werden keine personenbezogenen Daten erhoben. Stattdessen wird eine Ping-Information mit Zeitstempel, User-Agent und Verweis-URL an Google gesendet.  Google nutzt diese Daten, um Lücken bei der Datenerhebung zu schließen. 

Das Problem dabei ist folgendes: Je nach Tracking-Implementierung werden alle Daten direkt an Google gesendet u.a. auch die IP-Adresse, die erst auf Google-Servern anonymisiert wird. Es ist jedoch zweifelhaft, welche Rechtsgrundlage hierfür herangezogen werden kann und es gelangt unstreitig ein personenbezogenes Datum an Google. 

Selbst wenn die Implementierung auf dem eigenen Server erfolgt und alles anonymisiert an Google gesendet wird, bleibt das Problem, das im ersten Schritt eine IP-Adresse erhoben wird, obwohl die Einwilligung fehlt.

Zum anderen werden die von Google verarbeiteten Daten von den mobilen Endgeräten der Nutzerinnen erhoben. Obwohl sie keine personenbezogenen Daten darstellen, greift hier das TTDSG, welches auch für nicht personenbezogene Daten gilt. Auch hierfür ist eine Einwilligung der Nutzer notwendig. 

Fazit: Derzeit kann der Google Consent Mode V2 nur im Basic Mode wirklich DSGVO-konform genutzt werden. 

2. Entscheidungen des Monats

Direktwerbung per Briefsendung auch ohne Kundenbeziehung zulässig

Vielfach wird die Frage der Direktwerbung per E-Mail und per Briefsendung von Unternehmen und Verbraucherinnen gleich behandelt. Doch ist deutlich zwischen der Direktwerbung per elektronischer und der per postalischer Post zu unterscheiden, wie ein Beschluss des OLG Stuttgart vom 2. Februar 2024 zeigt (Az. 2 U 63/22).

Die Beklagte hatte im Mai 2021 an den Kläger einen Werbebrief mit Werbung für Produkte der H AG übersandt. In der Folge forderte der Kläger von der Beklagten Auskünfte und die Löschung seiner Daten. Die Beklagte antwortete, sie habe die Daten von dem Unternehmen R aus der Schweiz erhalten und im Auftrag der H AG zu Marketingzwecken auf der Grundlage von Art. 6 Abs. 1 lit. f DS-GVO verarbeitet, ohne die Daten selbst an den Auftraggeber zu übermitteln (sog. Lettershop- Verfahren). Der Kläger hat nicht in eine derartige Verarbeitung seiner personenbezogenen Daten eingewilligt. Eine Kundenbeziehung zur Beklagten oder deren Geschäftspartnern bestand nicht.

Der Kläger war der Auffassung, die Beklagte habe seine personenbezogenen Daten ohne Rechtsgrund verarbeitet, indem sie den Werbebrief zugesandt habe. Nur innerhalb einer bestehenden Kundenbeziehung sei Direktwerbung zulässig. Er machte Schadensersatz geltend.

Das Gericht wies die Klage ab, der Kläger legte Berufung ein. Der Senat stellte in seinem Beschluss fest, dass die Berufung keine Aussicht auf Erfolg hat, weshalb sie zurückgewiesen werde, wenn der Kläger sie nicht zurückzöge.

Entgegen der Auffassung des Klägers sei für die Rechtmäßigkeit einer Direktwerbung nicht Voraussetzung, dass bereits eine Kundenbeziehung besteht. Bei seiner Auslegung des Art. 6 Abs. 1 Satz 1 lit. f DSGVO hat das Landgericht überzeugend den Erwägungsgrund Nr. 47 herangezogen, der die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff versteht die Verordnung – etwa in Art. 21 Abs. 2 DSGVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen.

Unter dem Begriff der berechtigten Interessen seien vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen, die auch außerhalb oder im Vorfeld einer Kundenbeziehung liegen können.

Auch wies das Gericht die Auffassung der Berufung zurück, die Zusendung der Werbung per elektronischer Post wäre weniger belastend gewesen. Denn, so das Gericht: Nach der Wertung der deutschen Rechtsordnung stellt die Versendung elektronischer Nachrichten ohne vorherige ausdrückliche Einwilligung vielmehr eine unzumutbare Belästigung dar (vgl. § 7 Absatz 2 Nr. 2 UWG), während die Zusendung eines Briefes mit einer sofort als Werbung erkennbaren Botschaft als zulässig bewertet wird.

Und weiter bestätigt das Berufungsgericht die Auffassung des Gerichts der ersten Instanz zur Interessenabwägung, die zugunsten der Beklagten ausfiel.

Alleine das Interesse des Klägers, keine Werbung zu erhalten, führt nicht zu einer ihm günstigen Interessenabwägung. Erst wenn er einen Widerspruch erhebt, ist die künftige Direktwerbung unzulässig.

Die Beklagte hatte bereits die Daten des Klägers gelöscht bzw. intern mit einem Sperrvermerk versehen.

Fazit: Bei Direktwerbung muss immer beachtet werden, dass elektronische Zusendungen anders zu bewerten sind als postalische.

Auch wir haben schon einen Beitrag über das Direktmarketing geschrieben. 

EuGH: Verantwortliche können für Verstöße der Auftragsverarbeiter haften 

Regelmäßig ereignet sich dieses Szenario: Ein Unternehmen beschließt, ein neues Datenverarbeitungstool zu nutzen – im Marketing, zur Personal-/Kundenverwaltung, zum E-Mailversand -, rasch wird ein Vertrag mit der Anbieterin geschlossen und das war es dann auch schon. Mehr Leute sind sich bewusst, dass man einen Auftragsverarbeitungsvertrag braucht (AVV oder englisch DPA) und laden diesen zumindest herunter, wenn der Anbieter einen solchen auf der Webseite bereithält. 

Immer noch schauen die Wenigsten in diesen AVV hinein, geschweige denn, lesen sich die Anlagen wie „technische und organisatorische Maßnahmen“ genauer durch. Ob die Anbieterin wirklich sicher und DSGVO-konform mit den Daten, die sie zur Verarbeitung erhält, umgeht, wird damit gar nicht geprüft. Oft liegt es daran, dass die Kunden sich mit dieser Einschätzung überfordert fühlen und nicht genau wissen, worauf es denn ankommt. 

Spätestens nach einer neuen Entscheidung des EuGH kann man sich als Verantwortliche (Auftraggeber und Nutzerin des Anbieters) dieses „unschuldige Vertrauen“ wohl nicht mehr leisten. Denn in einem Urteil des EuGH vom 5.März 2024 (C-683/21) hat sich das Gericht unter anderen anderem auch dazu geäußert:

• ob Verantwortliche für unzulässige Datenverarbeitungen der Auftragsverarbeiterinnen automatisch ebenfalls haften und 
• ob dies auch verschuldensunabhängig gilt (Art. 83 Abs. 1 DSGVO).

Eine Haftung – und damit Bußgelder – kommt nach Ansicht des EuGH dann in Betracht, wenn der Auftragsverarbeiter auf Weisung der Verantwortlichen unzulässig handelte. Er haftet also nicht, wenn: 

…auch Verarbeitungen für eigene Zwecke… (des Auftragsverarbeiters) …durchgeführt wurden oder die personenbezogenen Daten in unvereinbarer Weise mit den Festlegungen des Verantwortlichen oder entgegen einer vernünftigerweise anzunehmenden Zustimmung verarbeitet wurden…

Zur Frage der verschuldens(un)abhängigen stellte der EuGH fest, dass:

…Geldbußen i. S. d. Art. 83 DSGVO nur verhängt werden können, wenn ein vorsätzlicher oder fahrlässiger Datenschutzverstoß durch den Verantwortlichen feststeht….

Was bedeutet das nun für die Verantwortliche?

Als Verantwortliche sollte man möglichst dokumentieren, dass man genaue Weisungen für die Verarbeitung der personenbezogenen Daten vorgegeben hat, welche Daten wie und zu welchen Zwecken verarbeitet werden sollen. Damit ersichtlich ist, ob und wann der Auftragsverarbeiter die Daten für eigene Zwecke verarbeitete und bzw. oder entgegen den Vereinbarungen zur vereinbarten Verarbeitungsweise.

Natürlich ist das nicht so einfach, wenn man eine der „großen“ Anbieterinnen nutzt, denn die verhandeln nicht mit jedem Kunden. Umso wichtiger wird es deshalb, sich die Regelungen im Auftragsverarbeitungsvertrag genau durchzulesen und sich über konkrete Sicherheitsmaßnahmen der Anbieterin zu informieren. Nur so kann man der zweiten Aussage des EuGH entgegen wirken, nämlich, dass man nicht etwa fahrlässig gegen den Datenschutz verstoßen hat. Etwa, weil man übersehen hat, dass der Anbieter die Daten gar nicht DSGVO-konform verarbeitet. Das bedeutet, dass man pauschale Aussagen zu Sicherheitsmaßnahmen wie „wir halten unsere Sicherheitsmaßnahmen immer auf dem aktuellen Stand der Technik“ oder „bei uns sind Ihre Daten zu jeder Zeit sicher“ nicht mehr akzeptieren kann, um die Nutzung des Dienstes einer Auftragsverarbeiterin zu rechtfertigen. Hier empfiehlt es sich, den Anbieter anzuschreiben, auf die eigenen Pflichten als Verantwortliche hinzuweisen und den Nachweis konkreter technischer und organisatorischer Maßnahmen zu fordern. Weigert sich der Anbieter ist dies ein deutliches Zeichen, dass man sich nach einem anderen Dienst umsehen sollte.

Die Entscheidung des EuGH macht damit auch notwendig, dass man sich in regelmäßigen Abständen seine Anbieterinnen vornimmt und überprüft, ob die Voraussetzungen einer DSGVO-konformen Verarbeitung noch eingehalten werden. 

3. Das schreiben die Anderen zum Datenschutz

• Datenschutzinformationen bei Zweckänderungen
• EU-Kommission überprüft Angemessenheitsbeschlüsse
• Folgen von Datenschutzverstößen im Angestelltenverhältnis

. Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.