[UPDATE 30,03.2022]

Stehen die EU und USA kurz vor Einigung zu einem Nachfolgeabkommen des EU-US-Privacy-Shields mit dem Namen "Trans Atlantic Data Privacy Framework - TADPF"? Welche Auswirkungen hätte der Abschluss dieses TADPF, also eines Privacy-Shields 2.0, für die Nutzung US-basierter Cloud-Anwendungen und den Datentransfer zwischen der EU und den USA?

Am 25.03.2022 gaben US-Präsident Biden und die Präsidentin der EU-Kommission, Ursula von der Leyen, bekannt, dass die EU und USA kurz vor einem Durchbruch für ein Nachfolgeabkommen für den weggefallenen Privacy-Shield stehen. Was bedeutet dies in Zukunft für den Datenverkehr zwischen der EU und den USA?

Das Landgericht München I verurteilte die Betreiberin einer Website zu Unterlassung und Schadensersatz (Urteil vom 20.01.2022, Az. 3 O 17493/20). Sie hatte denn Dienst Google Fonts auf ihrer Website als externer Service eingebunden, so dass eine Weiterleitung der IP-Adresse des klagenden Website-Besuchers an Google erfolgte. Die Website-Betreiberin habe aber kein berechtigtes Interesse an der Weiterleitung, da der Einsatz von Google Fonts auch möglich sei, ohne dabei eine Verbindung zu Google-Servern herzustellen. Weshalb die Klägerin u schlecht beraten war und Google-Fonts nicht einfach lokal auf dem Server eingebunden hat, ist ungeklärt.

Erfahren Sie mehr zu den Hintergründen dieses Urteils.

Am 01.12.2021 trat das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft Über die Auswirkungen des TTDSG auf Internetseiten haben wir bereits informiert. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz oder DSK) eine neue Orientierungshilfe für Anbieter von Telemedien veröffentlicht. Diese Orientierungshilfe bietet  Anbietern von Telemediendiensten konkrete Hilfestellungen bei der Umsetzung der neuen Vorschriften des TTDSG, insbesondere enthält die Praxishilfe Vorgaben und Ausgestaltungshinweise zu Cookie-Bannern.
Die wichtigsten Inhalte der Orientierungshilfe haben wir in diesem Beitrag kurz zusammengefasst.

[Update 14.02.2022] Nach der österreichischen Datenschutzbehörde entschied nun auch die französische Datenschutzbehörde "CNIL", dass der Einsatz von Google Analytics auf europäischen Websites nicht mit der DSGVO vereinbar ist (vgl. https://www.heise.de/news/Frankreichs-Datenschutzbehoerde-Google-Analytics-ist-in-der-EU-rechtswidrig-6439306.html). Die ergriffenen zusätzlichen Maßnahmen (wie z. B. Standarddatenschutzklauseln) reichen nach Ansicht der CNIL nicht aus um das bestehende Risiko (Zugriff der US-Geheimdienste) auszuschließen. Es ist zu erwarten, dass andere europäische Aufsichtsbehörden bald ebenfalls nachlegen und den Einsatz von Google Analytics als rechtswidrig einstufen. Die niederländische Datenschutzbehörde "Autoriteit Persoonsgegevens" weist in ihren FAQ zum Einsatz von Google Analytics bereits darauf hin, dass die Verwendung von Google Analytics möglicherweise bald nicht mehr zulässig sein wird (vgl. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-van-mijn-websitebezoekers-beschermen-4898). 

Wie wir in einem kurzen Blogbeitrag bereits berichteten, erklärte die österreichische Datenschutzbehörde die Übermittlung personenbezogener Daten in die USA durch den Einsatz von Google Analytics auf Websites aus der EU für datenschutzwidrig.

In diesem Beitrag haben wir nun die Entscheidung der österreichischen Datenschutzaufsichtsbehörde juristisch näher geprüft und erörtert, welche praktischen Konsequenzen daraus gezogen werden sollten.

Den durchschnittlichen Internetnutzer stören die Cookie-Banner, die er jedes Mal beim Aufruf einer Website akzeptieren oder ablehnen muss. Doch in datenschutzrechtlicher Hinsicht sind die Cookie-Banner nach wie vor notwendig und müssen vom Websitebetreiber zwingend nutzerfreundlich ausgestaltet sein.

Welche Anforderungen an Cookie-Banner gelten und welche Fehler sich bei der Ausgestaltung häufig einschleichen, erfahren Sie in dem folgenden Blogbeitrag.

Der Verwaltungsgerichtshof Hessen, hat am 17.01.2022 unter dem Aktenzeichen 10 B 2486/21 in der nächsten Instanz entschieden, dass die erstinstanzliche Entscheidung des Verwaltungsgerichts Wiesbaden in Sachen Cookiebot aus formellen Gründen aufgehoben wird, da die Frage der Vereinbarkeit des Cookie-Consent-Tools Cookiebot mit der DSGVO nicht für ein verwaltungsgerichtliches Eilverfahren geeignet ist. Nun muss das Verwaltungsgericht in einem Hauptsacheverfahren nochmals entscheiden. Bis eine Entscheidung im Hauptsacheverfahren ergeht, können noch einige Monate vergehen. Lesen Sie hier mehr über die erstinstanzliche Entscheidung des VG Wiesbaden bzgl. der DSGVO-Konformität von Cookie-Bot.

Der Europäische  Datenschutz-Ausschuss (EDPB bzw. EDSA) hat sog. "Leitlinien zum Recht auf Auskunft (auf Englisch:  Guidelines 01/2022 on data subject rights - Right of access) online gestellt. Durch diese Leitlinien, solle es Unternehmen ermöglicht werden, die Beantwortung von Auskunftsersuchen rechttsicher zu gestalten und klare Prozesse einzuführen. Zudem soll europaweit eine einheitliche Auslegung der DSGVO bzgl. der Auskunftsersuchen gewährleistet werden.

Lesen Sie nachfolgend die u.E. wichtigsten Aspekte, die wir zu den Leitlinien 01/2022 des EDSA zum Recht auf Auskunft herausgearbeitet haben.

Google Analytics darf - nach Ansicht der österreichischen Datenschutzbehörde (DSB) - nicht auf Internetseiten aus der EU eingesetzt werden. Dies sei mit der Datenschutz-Grundverordnung (DSGVO) nicht in Einklang zu bringen.

Diese - vor dem Hintergrund des Wegfalls des EU-USA Privacy Shields im Juli 2020 (wir berichteten) - wenig überraschende Entscheidung der österreichischen Datenschutzaufsichtsbehörde beruht auf der weit überwiegenden Rechtsansicht, dass die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt sind, wenn  persönliche Nutzerinformationen an Unternehmen in den USA (hier: die Google-Konzernzentrale) weitergegeben werden. Unerheblich ist, ob US-Konzerne irgendwelche europäischen Tochtergesellschaften formell in die Datenverarbeitungsprozesse eingebunden werden.

Mit dem jetzt veröffentlichten Teilbescheid reagiert die österreichischen Datenschutzaufsichtsbehörde auf eine Beschwerde, der Datenschutzvereinigung NOYB, die bereits im August 2020 eingereicht wurde. Die Beschwerde bezog sich auf den Betreiber einer Internetseite aus Österreich, der Google Analytics eingebunden hatte. Eine weitergehende Beschwerde gegen Google selbst wies die österreichischen Datenschutzaufsichtsbehörde laut Berichten von Heise.de ab. 

Wir werden die Entscheidung der österreichischen Datenschutzaufsichtsbehörde zeitnah juristisch näher prüfen und auf unserem Blog erörtern, welche praktischen Konsequenzen daraus gezogen werden sollten.

[UPDATE 01.02.2022]Der Verwaltungsgerichtshof Hessen, hat am 17.01.2022 unter dem Aktenzeichen 10 B 2486/21 in der nächsten Instanz entschieden, dass die erstinstanzliche Entscheidung des Verwaltungsgerichts Wiesbaden in Sachen Cookiebot aus formellen Gründen aufgehoben wird, da die Frage der Vereinbarkeit des Cookie-Consent-Tools Cookiebot mit der DSGVO nicht für ein verwaltungsgerichtliches Eilverfahren geeignet ist. Nun muss das Verwaltungsgericht in einem Hauptsacheverfahren nochmals entscheiden. Bis eine Entscheidung im Hauptsacheverfahren ergeht, können noch einige Monate vergehen. Lesen Sie hier mehr über die Entscheidung des VGH Hessen vom 17.01.2022 bzgl. der DSGVO-Konformität von Cookie-Bot [/UPDATE]

Das Verwaltungsgericht Wiesbaden hat in einem Eilverfahren Anfang Dezember 2021 auf Antrag eines Internetnutzers hin im Beschlussweg entschieden, dass die Hochschule Rhein-Main das Cookiebanner des dänischen Anbieters „Cookiebot“ auf ihrer Internetpräsenz aufgrund fehlender Datenschutzkonformität des Cookiebot Cookiebanners nicht nutzen darf. Die Antragsgegnerin kann gegen den Beschluss binnen zwei Wochen noch Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof entscheiden würde.

Als datenschutzwidrig wertete das Verwaltungsgericht dabei, dass beim Laden des Cookiebanners ein sogenanntens „Content Delivery Network“ (auch „CDN“ genannt) des US-amerikanischen Anbieters „Akamai“ eingebunden war. Durch den Einsatz des CDN können die Ladezeiten eines Webservices, hier des Cookiebanners von Cookiebot, reduziert werden. 

Lesen Sie nachfolgend eine Zusammenfassung des Beschlusses des VG Wiesbaden bzgl. des Verbots des Einsatzes von Cookiebot und finden Sie den Volltext des Beschlusses.