juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Autor:David Seiler, RA
Erscheinungsdatum:17.08.2021
Quelle:juris Logo
Normen:§ 25 TTDSG, § 8 UWG 2004, § 12 TMG, § 15 TMG, EUV 2016/679
Fundstelle:jurisPR-BKR 8/2021 Anm. 1
Herausgeber:Prof. Dr. Stephan Meder, Universität Hannover
Dr. Anna-Maria Beesch, RA'in und FA'in für Bank- und Kapitalmarktrecht
Zitiervorschlag:Seiler, jurisPR-BKR 8/2021 Anm. 1 Zitiervorschlag

Datenschutz auf Webseiten von Banken am Beispiel von Google-Analytics und Cookie-Banner

A. Einleitung

Die rechtlichen Anforderungen an den Datenschutz auf Webseiten, auch auf Webseiten von Banken, werden immer höher. Impetus des Aufsatzes ist es, unter Auswertung aktueller Hinweise seitens der Datenschutzaufsichtsbehörden, neuer Rechtsprechung und diverser Veröffentlichungen Einblicke in die aktuellen Entwicklungen zu geben. Im Fokus stehen dabei die in der Praxis zunehmenden aufsichtsbehördlichen Datenschutzprüfungen von Webseiten, die steigenden Haftungsrisiken von Webseitenbetreibern durch Verhängung empfindlicher Bußgelder und Untersagungsanordnungen sowie die Darstellung der hohen datenschutzrechtlichen Anforderungen an eine „datenschutzkonforme Einwilligung“ auf Webseiten, insbesondere am Beispiel von Google-Analytics und Cookie-Banner. Der Beitrag schließt mit einer aus den Anforderungen der Datenschutzaufsichtsbehörden und der Rechtsprechung abgeleiteten „Checkliste“ und Hinweisen auf Quellen von Beispieltexten.

B. Datenschutzprüfung von Webseiten und erste Urteile

Nach den Gerichtsentscheidungen des EuGH zum internationalen Datentransfer von Webseitenbetreibern1 und des BGH zur Einwilligung in Tracking- und Analyse-Cookies auf Webseiten2 sehen sich die Datenschutzaufsichtsbehörden in den von ihnen bereits zuvor veröffentlichten Anforderungen an den Betrieb von Webseiten bestätigt und stoßen nunmehr Prüfungen an.

I. Stellungnahmen der Aufsichtsbehörden zum Webseitendatenschutz

Die Konferenz der Datenschutzaufsichtsbehörden (im Folgenden auch „DSK“) hat am 12.05.2020 zu TOP 283 Hinweise zum Einsatz von Google Analytics beschlossen: „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“.4 Bereits im März 2019 veröffentlichte die DSK eine „Orientierungshilfe für Anbieter von Telemedien“.5 Mit Stand vom 29.04.2019 hat die Landesdatenschutzaufsicht Baden-Württemberg ergänzend eine „FAQ zu Cookies und Tracking“6 veröffentlicht.

II. Aufsichtsbehördliche Datenschutzprüfungen von Webseiten

Nachdem die Aufsichtsbehörden den Verantwortlichen für Webseiten somit die notwendigen Informationen zu den datenschutzrechtlichen Anforderungen mitgeteilt und Zeit zur Umsetzung gegeben haben, stoßen sie nunmehr, nachdem ihre Position weitgehend durch die höchstrichterliche Rechtsprechung bestätigt wurde, vermehrt die Prüfung von Webseiten auf Datenschutzkonformität an. Dies erfolgt teils aus eigenem Antrieb, teils aber auch aufgrund von Beschwerden betroffener Personen.7 Die Datenschutzorganisation „Noyb“ von Max Schrems, dem Kläger in dem EuGH-Verfahren gegen Facebook „Schrems II“ hat am 31.05.2021 ihr softwaregestütztes Vorgehen gegen 500 Webseitenbetreiber wegen Datenschutzverstößen bei Cookiebannern veröffentlicht.8 Wenn die so „abgemahnten“ Unternehmen ihre Cookie-Banner – gemeint sind die Consent-Tools zur Einholung der Einwilligung – nicht binnen Monatsfrist rechtskonform gestaltet werden, wird Noyb entsprechende Beschwerden bei der zuständige Datenschutzaufsichtsbehörde einreichen.

In Frankreich wurden von der dortigen Datenschutzaufsichtsbehörde mit einer eigenen Software die 1.000 meistbesuchten Webseiten auf den DSGVO-konformen Einsatz von Cookies kontrolliert.9 Es ist nicht ausgeschlossen, dass sich auch deutsche Aufsichtsbehörden einer vergleichbaren Software bedienen.

Am 02.07.2021 haben die deutschen Datenschutzaufsichtsbehörden eine koordinierte Prüfung internationaler Datentransfers angestoßen10 und hierzu Fragebogen für Bewerbungsportale11, Mailhoster12, Webhoster13 und Tracking14 bereitgestellt und an erste Unternehmen verschickt.

Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg, sieht die meisten Cookie-Banner nicht als gültige Einwilligung nach Art. 7 DSGVO an. Denn: Diese sprechen in der Regel nur abstrakt von Cookies. Sie informieren nicht konkret über die Weitergabe von Userdaten an Dritte. Erst das wäre jedoch so transparent, wie es die DSGVO vorschreibt (Stand 18.09.2019).15 Laut einem Prüfungsbericht der Datenschutzaufsicht Niedersachen wurde nur auf einer von 19 Webseiten, die Einwilligungen einholten, eine wirksame Einwilligung erteilt.16

Die Anforderungen an eine „Datenschutzkonforme Einwilligung auf Webseiten – Anforderungen Consent-Layer“ hat die Landesdatenschutzaufsicht Niedersachen im November 2020 dargelegt.17 Dort wird, bezogen auf Einwilligungsoptionen auf Webseiten, die allgemeine Leitlinie 5/202018 vom 04.05.2020 des Europäischen Datenschutzausschusses genauer erläutert:

„57 Prozent der Webseiten arbeiten beim Cookie-Hinweis mit manipulativen Maßnahmen. So nutzen sie insbesondere das sogenannte Nudging. Dabei heben sie zum Beispiel den Akzeptieren-Button farblich hervor oder stellen die Opt-Out-Möglichkeit nur schwer erkennbar dar. Das Ziel: User sollen möglichst schnell der Nutzung ihrer Daten zustimmen.“19

Datenschutzrechtlich muss es also eine klare, gleichwertige Option „Ja/Zustimmung/Einwilligung“ und „Nein/Ablehnung“ geben, wobei es zulässig ist, zusätzlich noch die Option „Einstellungen/Auswahl“ anzubieten. Den Nein-Button nicht neben dem Ja-Button darzustellen, sondern ihn z.B. hellgrau am Ende des „Einstellen“-Menüs zu verstecken, führt zur Unwirksamkeit der Einwilligung.

„Die Bezeichnung und auch die Darstellung der Schaltfläche insbesondere im Vergleich zu der Schaltfläche, durch die die Einwilligung verweigert wird, ist bei der Bewertung mitentscheidend, ob eine eindeutige bestätigende Handlung vorliegt.“

Wichtig ist, dass einwilligungsbedürftige Cookies wirklich erst dann gesetzt werden, wenn der Nutzer dem im Consent-Tool zugestimmt hat.

Wichtig des Weiteren ist, dass der Hinweis auf die Widerrufsmöglichkeit auf der ersten Einwilligungsebene platziert sein muss:

„Aus Art. 7 Abs. 3 S. 3 DSGVO ergibt sich die Pflicht des Betreibers der Webseite, Betroffene „vor der Abgabe der Einwilligung“ auf ihr Widerrufsrecht hinzuweisen. In einem Consent-Layer ist diese Information bereits auf der ersten Ebene des Consent-Fensters erforderlich. Es reicht nicht aus, dass sich in diesem ein Link auf die Datenschutzerklärung befindet, die dann – entsprechend den Vorgaben von Art. 13 Abs. 2 lit. c DSGVO – einen Hinweis auf das Widerrufsrecht enthält. Fehlt der Hinweis auf das Widerrufsrecht, ist von einer unwirksamen Einwilligung auszugehen.“

III. Bußgelder und Untersagungsanordnungen

Die Datenschutzaufsichtsbehörden verfügen über umfangreiche Untersuchungs- und Abhilfebefugnisse, um dem Datenschutzrecht zur Geltung zu verhelfen (Art. 58 DSGVO). So können Aufsichtsbehörden warnen, verwarnen und Anweisungen treffen, z.B. um Daten zu löschen, die Datenverarbeitung ganz oder teilweise einzustellen und die Datenübermittlung in Drittländer auszusetzen. Die bekannteste, aber bei weitem nicht die einzige und nicht immer die einschneidendste Befugnis ist, die Bußgelder nach Art. 83 DSGVO zu verhängen (Art. 58 Abs. 2 Buchst. i) DSGVO). Die mangelnde Einwilligung kann nach Art. 83 Abs. 5a) DSGVO ebenso wie die rechtswidrige Drittlandübermittlung nach Art. 83 Abs. 5c) DSGVO mit einem Bußgeld bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Vorjahresumsatzes geahndet werden.

In einigen EU-Mitgliedstaaten gab es schon erhebliche Bußgelder wegen mangelnder Einwilligung in Tracking- und Cookies: 15.000 Euro in Belgien20, 30.000 Euro in Spanien21, 50.000 Euro in Frankreich gegen die Nachrichten-Website lefigaro.fr22, 35 Mio Euro in Frankreich gegen Amazon23 und 60 Mio. Euro in Frankreich gegen Google24.

Die LDA Rheinland-Pfalz hat Untersagungsanordnungen gegen den Einsatz von Google-Analytics ohne wirksame Einwilligung erlassen und auch gerichtlich durchgesetzt.25

IV. Welche Datenverarbeitung findet auf der Webseite statt?

Aufgrund der technischen Komplexität von Webseiten mit zahllosen Möglichkeiten, Funktionen einzubauen und hierzu Tools (PlugIns, Cookies etc.) von externen Dienstleistern/Anbietern, insbesondere von außerhalb der EU (sog. Drittländer), speziell aus den USA, einzusetzen, sowie aufgrund der hohen datenschutzrechtlichen Anforderungen an wirksame Einwilligungen in den Datentransfer in Drittländer, sind die Anforderungen an eine korrekte Umsetzung auf Webseiten sehr hoch. Dies soll nachstehend am Beispiel von Google Analytics aufgezeigt werden. Die rechtlichen Anforderungen gelten aber in gleicher Weise für jede andere webseitenbezogene Datenverarbeitung.

Neben der DSGVO gelten in Deutschland noch die datenschutzrechtlichen Regelungen des TMG (Telemediengesetz), welches zum 01.12.2021 durch das TTDSG (Telemedien-Telekommunikations-Datenschutzgesetz)26 abgelöst werden wird. Geplant war, dass der Webseitendatenschutz nicht durch die DSGVO, sondern durch eine E-Privacy-Verordnung geregelt wird, aber eine politische Einigung hierüber kam noch nicht zustande. Das TTDSG enthält in § 25 TTDSG eine Regelung zum Setzen und Abrufen von Cookies, wofür im Regelfall eine Einwilligung erforderlich ist (Opt-in statt Opt-out).

In der Praxis ist oft zu beobachten, dass Marketingabteilungen von Unternehmen einen Webdesigner beauftragen, der alles einbaut, was neu und schick ist und was die Marketingabteilungen durch viele Datenanalysen bei der Gestaltung der Webseiten und der Online-Marketingmaßnahmen unterstützt, ohne dass jedoch die Marketingabteilungen genau darüber informiert sind, welche Datenverarbeitungsvorgänge sich im Hintergrund abspielen, welche Dienstleister aus welchen Ländern technisch eingebunden sind, welche Vertragsbeziehungen mit diesen bestehen (sollten) und wie das Ganze (datenschutz-)rechtlich abzusichern ist (soweit das überhaupt möglich ist). Hier bedarf es möglichst schon beim Briefing für die Webseitenerstellung oder dem Relaunch der Webseite jeweils eine Abstimmung mit dem Datenschutzbeauftragten, der Rechtsabteilung oder einem spezialisierten Rechtsanwalt.27 Testen kann man die Datenverarbeitungsprozesse auf der Webseite durch diverse Tools (z.B. https://www.dsgvoscan.de, https://www.privacyscore.org, u.v.a.m.).

C. Datenschutzrechtliche Anforderungen an Google-Analytics

Nach Art. 5 Abs. 1 DSGVO, Art. 25 DSGVO ist immer eine möglichst datenschutzfreundliche Verarbeitungsvariante mit möglichst wenigen personenbezogenen Daten zu prüfen und zu dokumentieren (Art. 5 Abs. 2 DSGVO). Insbesondere ist dabei festzuhalten, warum eine mögliche datenschutzfreundliche(re) Variante nicht zum gewünschten Verarbeitungsergebnis führt und man eine weniger datenarme Verarbeitungsvariante gewählt hat. Will man Google- oder Adobe-Analytics einsetzen, ist zu prüfen, warum eine reine Server-Logfile-Analyse der Seitenaufrufe oder die Nutzung der on-premise installierten Analysesoftware wie PIWIK/Matomo nicht ausreicht und weshalb unbedingt Google-Analytics o.ä. verwendet werden muss.28

Google hat bekräftigt, dass es die Tatsache, dass auf einer Webseite Google-Analytics eingesetzt wird, nicht beim Ranking der Webseite berücksichtigt.29 Das wäre wohl auch kartellrechtswidrig.

Die Datenschutzaufsichtsbehörden weisen daher ausdrücklich darauf hin, dass es sich bei den mit Google-Analytics verarbeiteten Daten (Nutzungsdaten und sonstige gerätespezifische Daten, die einem bestimmten Nutzer zugeordnet werden können) um personenbezogene Daten im Sinne der DSGVO handelt.

Nach Auffassung der Datenschutzaufsichtsbehörden ist die Verarbeitung im Zusammenhang mit Google-Analytics keine Auftragsverarbeitung gemäß Art. 28 DSGVO; Google ist insoweit selbst verantwortlich. Die Vertragsgrundlage hierfür ist: Google Measurement Controller-Controller Data Protection Term, veröffentlicht unter

https://support.google.com/analytics/answer/9024351?hl=en
https://support.google.com/analytics/answer/9012600
https://support.google.com/analytics/answer/9012600?hl=de

Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH sind Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich, sodass die Anforderungen des Art. 26 DSGVO zu beachten sind.

Google verpflichtet in den vertraglichen Regelungen den Anwender von Google-Analytics, unter bestimmten Voraussetzungen für den Einsatz des Dienstes eine Einwilligung der Besucher der Webseite einzuholen („Richtlinie zur Einwilligung der Nutzer in der EU“30).

Im Ergebnis ist ein rechtmäßiger Einsatz von Google-Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gemäß Art. 6 Abs. 1 Buchst. a), Art. 7 DSGVO möglich.

Hieraus ergeben sich folgende Pflichtinhalte der Einwilligungserklärung:

konkrete Verarbeitungstätigkeit beschreiben (wozu wird Google Analytics eingesetzt),
Hinweis auf Übermittlung des Nutzerverhaltens an Google LLC,
klar und deutlich beschreiben, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, dass die Daten nicht anonym sind, weiterhin welche Daten verarbeitet werden, und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller Google-Accounts verknüpft.
Aktive Einwilligung – nicht vorbelegtes Ankreuzfeld; Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden.
Freiwillige Einwilligung: Die betroffene Person muss die Wahlmöglichkeiten und eine freie Wahl haben. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden.

Die DSK gibt folgende Gestaltungshinweise:

Klare Überschrift: „Datenverarbeitung Ihrer Nutzerdaten durch Google“.
Linktext: Datenschutzerklärung (besser: Datenschutzinformation).
Einwilligungstext: Anwender von Google Analytics (Webseitenbetreiber) müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden. In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.

Aufgrund der Drittlandtransferproblematik muss auch auf den folgenden Umstand ausdrücklich hingewiesen werden:

„Hinweis auf Verarbeitung Ihrer auf dieser Webseite erhobenen Daten in den USA durch Google. Indem Sie auf ‚Zustimmen‘ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichenden Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, das Ihre Daten durch US-Behörden zu Kontroll- und Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden. Wenn Sie auf ‚Ablehnen‘ klicken, findet die vorgehend beschriebene Übermittlung nicht statt.“

Des Weiteren darf der Zugriff auf das Impressum und die Datenschutzerklärung nicht verhindert oder eingeschränkt werden. d.h. auch Consent- bzw. Cookie-Banner dürfen Impressum und Link zur Datenschutzinformation nicht verdecken.

Zu den technischen Anforderungen an die Umsetzung der Widerrufsmöglichkeit ist zu beachten, dass eine einfache und immer zugängliche Schaltfläche (Button) zum Widerruf der Einwilligung vorhanden ist. Hatte ein Nutzer einmal seine Einwilligung erteilt und widerruft er sie zu einem späteren Zeitpunkt, so ist sicherzustellen, dass nach dem Widerruf das Google-Analytics-Skript nicht nachgeladen oder ausgeführt wird, d.h. auch dann nicht, wenn er innerhalb der Website auf eine andere Unterseite wechselt. Das von Google bereitgestellte Browser-Add-on zur Deaktivierung von Google-Analytics ist nicht ausreichend.

Ferner muss der Webseitenbetreiber als Anwender von Google-Analytics die Transparenzanforderungen/Informationspflichten von Art. 13 DSGVO erfüllen.

Zusätzlich zu den oben genannten Maßnahmen sollten Anwender von Google-Analytics durch entsprechende Einstellungen die Kürzung der IP-Adressen veranlassen. Dazu ist auf jeder Internetseite mit einer Google-Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details können der technischen Anleitung von Google entnommen werden31. Gleichwohl ist aufgrund anderer Zuordnungsmöglichkeiten von Google (z.B. über Google-Account) die DSGVO anwendbar und die o.a. Grundsätze sind zu beachten.

D. Cookie-Banner/Consent Management Tools

Um die für das Tracking und Google-Analytics erforderliche Einwilligung einzuholen, werden Cookie-Banner eingesetzt. Hierzu gibt es bereits erste gerichtliche Entscheidungen, die im Folgenden kurz zusammengefasst werden.

I. LG Rostock, Urt. v. 15.09.2020 - 3 O 762/19

Das LG Rostock untersagt unter Androhung eines Ordnungsgeldes bis zu 250.000 Euro Tracking von Nutzern einer Webseite zu Analyse- und Marketingzwecken, wenn dazu Technologien (z.B. Google-Analytics) eingesetzt werden, die personenbezogene Daten von Nutzern an Dritte (z.B. Google) übermitteln und dadurch das Verhalten von Nutzern websiteübergreifend nachverfolgt werden kann, wenn keine informierte und freiwillige Einwilligung nach Art. 4 Nr. 1, Art. 6 Abs. 1 Satz 1 Buchst. a), Art. 7 DSGVO eingeholt wird.
Das Landgericht untersagt weiter Webseiten anzubieten, ohne Nutzern zu Beginn des Nutzungsvorgangs Informationen zum Rechtfertigungsgrund nach den Art. 45 ff. DSGVO für die Übermittlung personenbezogener Daten in ein Drittland (z.B. USA) gemäß Art. 13 Abs. 1 Buchst. f) DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Zudem muss im Falle gemeinsamer Verantwortung (die nimmt die Datenschutzaufsicht bei Google-Analytics an) den Nutzern das Wesentliche dieser Vereinbarung zur Verfügung gestellt werden.
Streitwert: 17.500,- Euro – Gesamtkosten: 6.307,50 Euro.
Ankreuzkästchen im Cookie-Banner waren vorausgewählt; es wurden zahlreiche Cookies gesetzt, u.a. für Google-Analytics (der Cookie-Erklärtext stammt von Cookiebot).
DSGVO ist nicht direkt anwendbar, aber die Regelungen zu Informationspflichten, Einwilligung und gemeinsamer Verantwortung gelten.
Werden alle Cookies vorausgewählt, liegt keine wirksame Einwilligung vor. Die Möglichkeit, einzelne Cookie abzuwählen, genügt nicht32, da die Verbraucher regelmäßig den grün unterlegten „Cookie zulassen“-Button auswählen werden (sog. Nudging).
Wird der Button „nur notwendige Cookies verwenden“ nicht gleichwertig mit dem Einwilligen-Button dargestellt, sondern tritt in den Hintergrund (z.B. blass grau), führt das auch zur Unwirksamkeit der Einwilligung33.
Das Landgericht hält den Widerrufshinweis im Cookie-Banner selbst für nicht erforderlich; der Hinweis im Datenschutz-Info-Text genügt.

II. LG Köln, Beschl. v. 29.10.2020 - 31 O 194/20:

Das LG Köln hat im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass dem Antragsgegner unter Androhung eines Ordnungsgeldes bis zu 250.000 Euro untersagt wird, „ohne aktive Einwilligung der betroffenen Webseitennutzer Cookies zu setzen“.

Streitwert war 10.000 Euro. Daraus ergeben sich Gesamtkosten (Anwalt und Gericht) von 4.997,63 Euro. Der Anspruch ergab sich aus dem Wettbewerbsrecht (§ 8 Abs. 3 Nr. 2 UWG), und die Verletzung lag in einem Verstoß gegen die §§ 12 Abs. 1, 15 Abs. 3 TMG, der neben der DSGVO weiter gilt.

E. „Checkliste“

Aus den Anforderungen der Aufsichtsbehörden und der Rechtsprechung lässt sich folgende Checkliste ableiten:

dokumentierte Auswahlentscheidung: Logfile-Analyse, Matomo, Google-Analytics
Vereinbarung mit Google zur gemeinsamen Verantwortung
faire Gestaltung des Cookie-/Consent-Banners
transparenter Einwilligungstext
Hinweis auf Google-Analytics, Drittlandtransfer und Widerrufsmöglichkeit auf erster Ebene
IP-Anonymisierung einsetzen
Löschfrist festlegen
Widerrufsmöglichkeit schaffen (Datenschutzeinstellungen)
Verarbeitungsverzeichnis für Betrieb der Webseite erstellen (Art. 30 DSGVO) und Technisch-organisatorische Maßnahmen festlegen (Art. 32 DSGVO)

Mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO werden die internen Dokumentationsanforderungen (vgl. Art. 5 Abs. 2 DSGVO) erfüllt. Die Aufsichtsbehörden (DSK) haben hierzu allgemeine Muster und Hinweise zur Verfügung gestellt.34 Die LDA (Landesdatenschutzaufsicht) Bayern hat ein Muster-Verarbeitungsverzeichnis für einen Online-Shop bereitgestellt.35

F. Beispieltexte

Für Beispieltexte wird auf folgende Quellen hingewiesen, ohne damit eine abschließende positive Bewertung dieser Texte verbinden zu wollen:

https://www.sueddeutsche.de
https://www.ctk.de/startseite.html
https://verbund.edeka/minden-hannover/datenschutz.html
https://www.juraforum.de

Fußnoten


1)

EuGH, Urt. v. 16.07.2020 - C-311/18 „Schrems II“.

2)

BGH, Urt. v. 28.05.2020 - I ZR 7/16 „Planet 49“.

3)

Protokoll v. 17.06.2020, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/pr/20200617_protokoll_99_dsk.pdf, zuletzt abgerufen am 12.08.2021.

4)

Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum _einsatz_von_google_analytics.pdf, zuletzt abgerufen am 12.08.2021.

5)

Orientierungshilfe für Anbieter von Telemedien, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, zuletzt abgerufen am 12.08.2021.

6)

FAQ zu Cookies und Tracking, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf, zuletzt abgerufen am 12.08.2021.

7)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/laenderuebergreifende-datenschutz-pruefung-sind-tracking-technologien-auf-websites-von-zeitungs-verlagen-rechtskonform/ und LDA Niedersachsen 11/2020: https://lfd.niedersachsen.de/startseite/infothek/prufungen_und_sanktionen/prufungen/prufung-zum-datenschutzkonformen-tracking-auf-webseiten-die-wichtigsten-ergebnisse-im-uberblick-november-2020-194902.html, jeweils zuletzt abgerufen am 12.08.2021.

8)

Vgl. https://noyb.eu/de/noyb-setzt-dem-cookie-banner-wahnsinn-ein-ende, zuletzt abgerufen am 12.08.2021.

9)

Vgl. https://linc.cnil.fr/obs-cookies/en/, zuletzt abgerufen am 12.08.2021.

10)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung-internationaler-datentransfers/, zuletzt abgerufen am 12.08.2021.

11)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/06/Schrems-II_Antwortbogen-Bewerberportale.pdf, zuletzt abgerufen am 12.08.2021.

12)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/06/Schrems-II_Antwortbogen-Mailhoster.pdf, zuletzt abgerufen am 12.08.2021.

13)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/06/Schrems-II_Antwortbogen-Webhoster.pdf, zuletzt abgerufen am 12.08.2021.

14)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/06/Schrems-II_Antwortbogen-Tracking.pdf, zuletzt abgerufen am 12.08.2021.

15)

Vgl. https://www.baden-wuerttemberg.datenschutz.de/die-meisten-cookie-banner-verstossen-gegen-die-dsgvo/, zuletzt abgerufen am 12.08.2021.

16)

Vgl. https://lfd.niedersachsen.de/startseite/infothek/prufungen_und_sanktionen/prufungen/prufung-zum-datenschutzkonformen-tracking-auf-webseiten-die-wichtigsten-ergebnisse-im-uberblick-november-2020-194902.html, zuletzt abgerufen am 12.08.2021.

17)

Vgl. https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html, zuletzt abgerufen am 12.08.2021; vgl. hierzu Hertin, LfD Niedersachsen: DSGVO-Einwilligungen auf Websites und Anforderungen an Consent-Layer, DSB 02/2021, 53.

18)

Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf, zuletzt abgerufen am 12.08.2021.

19)

Vgl. https://www.e-recht24.de/news/datenschutz/11603-studie-die-meisten-cookie-banner-verstossen-gegen-die-dsgvo.html, zuletzt abgerufen am 12.08.2021.

20)

Vgl. https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-juristische-nachrichtenseite-2019-12-17-BE-290.php, zuletzt abgerufen am 12.08.2021.

21)

Vgl. https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-iberia-lÍneas-2020-10-22-ES-693.php, zuletzt abgerufen am 12.08.2021.

22)

Vgl. https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-sociÉtÉ-du-figaro-2021-07-29-FR-1438.php, zuletzt abgerufen am 12.08.2021.

23)

Vgl. https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-amazon-europe-core-2020-12-09-FR-772.php, zuletzt abgerufen am 12.08.2021.

24)

Vgl. https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-google-llc-2020-12-09-FR-770.php, zuletzt abgerufen am 12.08.2021.

25)

LfDI-Newsletter Nr. 1 -2020, abrufbar unter: https://www.datenschutz.rlp.de/de/newsletter/newsletterarchiv/lfdi-newsletter-nr-1-2020/, zuletzt abgerufen am 12.08.2021.

26)

Entwurf des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), abrufbar unter: https://dsgvo-gesetz.de/ttdsg/, zuletzt abgerufen am 12.08.2021.

27)

Genderhinweis: Die männliche Form bezeichnet die Funktion, nicht das Geschlecht. Es sind also alle Geschlechter gleichermaßen gemeint.

28)

FAQ zu Cookies und Tracking, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf, Ziff. 1, zuletzt abgerufen am 12.08.2021.

29)

Vgl. https://www.seo-suedwest.de/3086-google-nutzen-analytics-nicht-fuer-das-ranking.html, zuletzt abgerufen am 12.08.2021.

30)

Richtlinie zur Einwilligung der Nutzer in der EU, abrufbar unter: https://www.google.com/about/company/user-consent-policy/, zuletzt abgerufen am 12.08.2021.

31)

Technische Anleitung von Google, abrufbar unter: https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization, zuletzt abgerufen am 12.08.2021.

32)

LG Rostock, Urt. v. 15.09.2020 - 3 O 762/19 Rn. 76.

33)

LG Rostock, Urt. v. 15.09.2020 - 3 O 762/19 Rn. 77.

34)

Hinweise der DSK zum Verzeichnis von Verarbeitungstätigkeiten, abrufbar unter: https://datenschutz-hamburg.de/dsgvo-information/verzeichnis-verarbeitungstaetigkeiten/, zuletzt abgerufen am 12.08.2021.

35)

Muster 9: Online-Shop – Verzeichnis von Verarbeitungstätigkeiten, abrufbar unter: https://www.lda.bayern.de/media/muster/muster_9_online-shop_verzeichnis.pdf, zuletzt abgerufen am 12.08.2021.



Zur Nachrichten-Übersichtsseite