Landesdatenschutzbehörde führt Kontrolle von Websites und Apps durch

Das Bild zeigt eine Lupe auf blauem Hintergrund. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gab bekannt, dass es derzeit eine anlasslose Kontrolle von über 350 Webseiten und 15 Apps durchführt. Diese Schwerpunktprüfung konzentriert sich auf  die Einhaltung datenschutzrechtlicher Anforderungen. Dabei werden zufällig ausgewählte Website- und App-Betreiber untersucht. Es ist möglich, dass die Kontrollen auch in der Zukunft weitergeführt werden.

Schwerpunkt der Prüfung bei den Apps war die Einbindung von Diensten ohne erforderliche Einwilligung. Bei den Websites lag der Fokus auf dem Vorhandensein einer Widerspruchsmöglichkeit auf der ersten Ebene des Cookie-Banners. Das BayLDA hat für eine effiziente Bearbeitung ein Tool zur automatisierten Prüfung der Datenverarbeitung entwickelt.

Welches Verfahren führt das BayLDA mit den betroffenen Firmen durch?

Derzeit ist nicht ersichtlich, nach welchen Auswahlkriterien das BayLDA die für eine Überprüfung ausgewählten Unternehmen anschreibt. Möglicherweise wählte das BayLDA die betroffenen Unternehmen aus, weil sie über dessen Beschwerdewebseite gemeldet wurden. Das BayLDA hat unter der Domain https://www.lda.bayern.de/de/beschwerde.html eine zentrales Kontaktformular eingerichtet, über das Beschwerden oder „Kontrollanregungen“ eingereicht werden können.

Sofern das BayLDA ein Verfahren gegen einen Betroffenen eröffnet, erhalten die betroffenen Unternehmen ein Schreiben mit der Aufforderung zur Stellungnahme unter Fristsetzung. In dem Schreiben werden bereits rechtliche Konsequenzen bei Nichtbeantwortung angedroht.

Unternehmen sollten die Schreiben unbedingt beachten

Für die betroffenen Unternehmen ist es wichtig, auf das Schreiben angemessen zu reagieren und alle verlangten Auskünfte zu erteilen. Es empfiehlt sich, eine fundierte Stellungnahme zu verfassen und die Rechtslage bei der Datenverarbeitung aus Sicht der Datenschutzbehörden genau zu kennen.

Es ist ratsam, sich frühzeitig mit einem Experten für Datenschutzrecht abzustimmen, um die bestmögliche Vorgehensweise zu erarbeiten und rechtliche Risiken zu minimieren.

Unklar ist bislang, welche konkrete rechtliche Konsequenzen bei Nichtbeachtung der Schreiben drohen. Die Schreiben fordern grundsätzlich nur zur Stellungnahme auf, drohen bei Zuwiderhandlung jedoch auch ein Bußgeld an. Fraglich ist, ob bei Nichtbeachtung oder nicht erwartungsgemäßer Antwort direkte rechtliche Konsequenzen durch das BayLDA verhängt werden.

Die Schreiben weisen einerseits Merkmale eines förmlichen Verwaltungsverfahres auf, wie die Androhung von Bußgeldern oder weiterer rechtlicher Konsequenzen gemäß den Befugnissen der Datenschutzbeauftragten nach Art. 58 f. DSGVO. Andererseits fehlen in den Schreiben Rechtsbehelfsbelehrungen, sodass es sich lediglich um Informationsschreiben handeln könnte, die noch keine direkte Rechtswirkung entfalten.

Die Datenschutzbehörden können das Verfahren jedoch unmittelbar in ein förmliches Verfahren umwandeln und Ihre Befugnisse gemäß Art. 58 DSGVO spätestens im nächsten Schritt geltend machen. Wir empfehlen daher, die Schreiben direkt einem auf Datenschutzrecht spezialisierten Anwalt zu übergeben.

Die Fragen des BayLDA

Das BayLDA verlangt in seinem Schreiben insbesondere Auskunft gemäß § 25 TTDSG, also über die Speicherung von Daten in Endeinrichtungen. Die Schreiben beziehen sich also auf die Speicherung und das Auslesung von Cookies.

Die Fragen gleichen einer Selbstbezichtigung, da unter anderem konkret nach den Datenverarbeitungen gefragt wird, die ohne Einwilligung durchgeführt werden. Die betroffenen Unternehmen sollen konkret darlegen, warum sie von der Ausnahme des § 25 Abs. 2 TTDSG Gebrauch machen und keine Einwilligung des Nutzers beim Speichern oder Auslesen von Cookies einholen.

Das BayLDA fragt auch nach der Methode der Einholung der Einwilligung. Die häufigste Methode der Generierung der Einwilligung dürfte für die Unternehmen die Verwendung eines Cookie-Banners sein.

Weitere Fragen beziehen sich auf die Rechtsgrundlagen der Datenverarbeitung gemäß Art. 6 DSGVO. Das BayLDA möchte hier vor allem wissen, auf welche Rechtsgrundlagen sich Unternehmen neben der Einwilligung stützen. Die Fragen zielen also auf eine Bewertung der Rechtsgrundlagen ab.

Großen Wert legt das BayLDA auch auf die Frage der Abrufbarkeit der Datenschutzerklärung. Die Betroffenen sollen darlegen, dass die Datenschutzerklärung leicht abrufbar ist.

Fazit

Wenn Sie vom BayLDA oder einer anderen Datenschutzbehörde die Aufforderung zur Abgabe einer Stellungnahme erhalten, sollten Sie dies nicht auf die leichte Schulter nehmen. Die Datenschutzbehörden besitzen die Möglichkeit, Sanktionen und empfindliche Bußgelder zu verhängen.

Bevor Unternehmen auf Stellungnahmen der Datenschutzbehörden antworten, empfehlen wir, einen auf Datenschutzrecht spezialisierten Anwalt mit technischem Verständnis zu konsultieren. Dieser wird das rechtliche Risiko einer Stellungnahme prüfen und Handlungsoptionen aufzeigen. Dabei sind auch die Rechtsnatur des Schreibens und die drohenden Rechtsfolgen zu berücksichtigen.

Offene Fragen? Sie brauchen Unterstützung?

Wir von DURY LEGAL helfen bei Problemen mit der Datenschutzaufsicht. Unsere Juristen mit Spezialisierung im Datenschutz haben auch das notwendige technische Verständnis. Kontaktieren Sie uns einfach per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. oder nutzen Sie unser Kontaktformular.

 

Autor: Associate Thomas Heß - Behördlicher Datenschutzbeauftragter (TÜV Rheinland)

Bildquelle: Bild von Marcus Winkler auf unsplash.com

Autor
Thomas Heß
Thomas Heß
Associate - Behördlicher Datenschutzbeauftragter (TÜV Rheinland)
Herr Thomas Heß ist seit dem Jahr 2015 bei DURY LEGAL tätig. Er unterstützt das Anwaltsteam in den Fachbereichen Datenschutzrecht, IT Recht, Markenrecht und Fernabsatzrecht. Zuvor arbeitete er dabei im Team Online-Recht im Bereich der rechtlichen Prüfung von Websites und Online-Shops und unterstützt dieses in der Zusammenarbeit mit unserer Tochtergesellschaft, der Website-Check GmbH. Seit November 2023 ist Herr Heß zudem behördlicher Datenschutzbeauftragter (TÜV Rheinland).