Berliner Aufsichtsbehörde verwarnt 50 Berliner Unternehmen

Datenschutzrecht-Blog

privacy policy 3415419 6401Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk teilte am 9. August 2021mit, dass sie mehrere Berliner Unternehmen wegen Verstößen gegen den Datenschutz verwarnt hat. Grund für die Verwarnungen waren vor allem der rechtswidrige Einsatz von Webtrackern und Drittdiensten auf Webseiten. Rund 50 Unternehmen erhalten ein Schreiben, in dem die Aufsichtsbehörde diese zur Einhaltung der datenschutzrechtlichen Voraussetzungen an das Webtracking auffordert. Kommen die Unternehmen der Aufforderung nicht nach, so wird die Aufsichtsbehörde ein förmliches Prüfverfahren einleiten, welches je nach Ausgang auch zu einem Bußgeld führen kann.

Fehlende Einwilligungen in Cookie-Banner

Webseitenbetreiber benötigen für den Einsatz von Cookies und anderen Trackingtechnologien eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO. Nur dann ist die Verarbeitung der personenbezogenen Daten rechtmäßig. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit kritisiert, dass die Webseitenbetreiber trotz der mittlerweile auf vielen Webseiten verwendeten differenzierten Cookie-Banner immer noch keine wirksame Einwilligung des Webseitennutzers einholen.

Durch den Einsatz von Webtrackern und anderen Drittdiensten können die Webseitenbetreiber mindestens die IP-Adresse des Nutzers erfassen. Oft entstehen ganze Nutzerprofile, die das gesamte Nutzerverhalten dokumentieren. Die Webseitenbetreiber können diese Nutzerprofile zu Werbezwecken in die ganze Welt weiterübermitteln.

„Aus dem Datenschutzrecht ergibt sich, dass es ebenso einfach sein muss, Tracking abzulehnen, wie darin einzuwilligen. Die meisten der geprüften Seiten verfügten entweder über gar keinen Cookie-Banner oder über einen, bei denen der Widerruf der Einwilligung nur mit einem erhöhten Aufwand möglich gewesen ist. Bei einigen der geprüften Seiten war der Widerruf zum Teil so versteckt, dass die Berliner Datenschutzbeauftragte sich die Frage gestellt hat, „Wie die Webseitenbetreibenden bei solch einer Gestaltung nachweisen wollen, dass die Nutzer*innen freiwillig und informiert zugestimmt haben“.

In wie weit eine Gestaltung der Cookie-Banner zulässig ist, ist zumindest gerichtlich, noch nicht abschließend geklärt. Vermeiden sollte man jedenfalls Cookie-Banner, bei denen der Widerruf der Einwilligung über ein Menü versteckt wird.

Die Hinweisschreiben der Aufsichtsbehörden

Bei der Aufsichtsbehörde gehen neben persönlichen Beschwerden auch immer mehr allgemeine Prüfanregungen zu Webtrackern ein. Dies bestätigt wiederum den Eindruck der komplexen Anforderungen an den Einsatz von Trackingtechnologien und den Umstand, dass viele Webseitenbetreiber diesen Anforderungen immer noch nicht nachkommen.

Die Aufsichtsbehörde hat die Datenströme der betroffenen Webseiten dokumentiert und weist die Webseitenbetreiber nun auf die einzelnen konkreten Datenschutzverstöße hin. Die Hinweisschreiben gehen insbesondere an Unternehmen, deren Cookie-Banner mangelhaft sind, die viele Nutzer haben oder eventuell sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeiten. Die Hinweisschreiben gehen dabei an Unternehmen aus den unterschiedlichsten Branchen, wie beispielsweise dem Online-Handel, Finanzen, Soziale Netzwerke, Bildung und Vergleichsportale.

Das Hinweisschreiben enthält die Aufforderung die jeweiligen datenschutzrechtlichen Verstöße umgehen zu beheben. In jedem Fall erfolgt eine zweite Überprüfung durch die Aufsichtsbehörde. Je nach Ergebnis dieser zweiten Überprüfung erwarten die Webseitenbetreiber dann weitere Maßnahmen wie beispielsweise Bußgelder. Die Geldbußen können gemäß Art. 83 DSGVO je nach Größe des Unternehmens und je nach Art sowie Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.

(Direktlink zur Pressemitteilung: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2021/20210809-PM-Tracking-de.pdf).

Fazit

Der Einsatz von Cookies, Webtrackern und auch sonstigen Webdiensten unterliegt einer ständig wandelnden Rechtsprechung und Einstufung durch die Aufsichtsbehörden. Generell sollte man beim Einsatz von Cookie-Bannern bzw. besser noch Consent-Management-Systemen darauf achten, dass diese den aktuellen rechtlichen Anforderungen im Hinblick auf die Gestaltung entsprechen. Am wichtigsten ist, dass der Widerruf der Einwilligung genau so einfach erfolgen kann wie die Einwilligung selbst.

 Co-Autor: Wissenschaftlicher Mitarbeiter -  Ref. jur. Philipp Schmelz

Bildquelle:Bild von Gerd Altmann auf Pixabay

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist zertifizierter Datenschutzbeauftragter (TÜV-Rheinland) und Leiter des Online-Teams von DURY LEGAL. In dieser Funktion ist er zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten, Apps und Online-Shops. Sein Online-Team bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY GRUPPE angehört. Er unterstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.