Schlagwort-Archiv DSGVO

DSGVO-Bußgelder sind die neue Abmahnwährung

Dem ausufernden Abmahngeschäft wurde zwischenzeitlich Vernunft und Maßhaltigkeit aufgezwungen. Nun sind es die Datenschutzbehörden, die das Geschäft für die Unternehmen mit verhängten Bußgeldern erschweren.

Wie WELT AM SONNTAG berichtete unter Berufung auf eine Umfrage bei den Behörden von bislang insgesamt 485.490 Euro. Im Durchschnitt also ca. 6000 Euro. Dies gehe aus Angaben einiger Bundesländer hervor. 

Bislang wurden in sieben Bundesländern Bußgelder verhängt, wobei die durchschnittlichen Höhen sehr unterschiedlich sind. Dies ist nicht ungewöhnlich, denn die Börden müssen sehr individuell die Maßstäbe für die Schwere der Verstöße anlegen. Die DSGVO gibt in Art. 83 einen konkreten Katalog an Prüf-Kriterien vor:

  • Art, Schwere und Dauer des Verstoßes?
  • Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung?
  • Zahl der von der Verarbeitung betroffenen Personen?
  • Ausmaßes des von ihnen erlittenen Schadens?
  • Art des Schadens der entstand?
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes?
  • Maßnahmen zur Minderung des Schadens bei Betroffenen?
  • Grad der Verantwortung mit Rücksicht auf Ihre getroffenen technisch/organisatorischen Maßnahmen?
  • Einschlägige frühere Verstöße?
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde?
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind?
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde?
  • Einhaltung der angeordneten Maßnahmen?
  • Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren?
  • Erlangte finanzielle Vorteile oder vermiedene Verluste?
  • Weitere erschwerende oder mildernde Umstände?

Die Kriterien sind komplex, hinzu kommt: Die Datenschützer sind durch das Gesetz auch gezwungen, dass die Maßnahme in  jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Im Zweifelsfall werden die Strafen also eher höher als niedriger ausfallen, um abschreckend zu sein. Und! Sie selbst sind auch immer im Boot, wenn ihr Auftragsverarbeiter dagegen verstößt!

Vertrauensseligkeit schützt nicht vor Bussgelder

Letztendlich sind es am Schluss die Gerichte, die über eine Angemessenheit und die Höhe des Bußgeldes entscheiden. Hier wird es m.E. nicht eine geraume Zeit brauchen, bis die Gerichte genauere Kriterien entwickeln. Vertrauensseligkeit bringt hier nichts, denn die Strafen können empfindlich und exemplarisch sein: Das Berliner Unternehmen Delivery Hero muss wegen nicht gelöschter Kundendatensätzen und unzulässigen Werbemails ein Bußgeld von 195.407 Euro zahlen. Das höchste DSGVO-Bußgeld bisher gegen ein Unternehmen in Deutschland.

Das strategische Dilemma

Die Krux an der DSGVO ist: Sie schützt die Person und das staatliche Interesse am Datensammeln! Sie berücksichtigt nur sehr schwammig, das Interesse der Wirtschaft Geschäfte machen zu können. Dies zwingt die Internetwirtschaft in eine prekäre Situation: Entweder einen Großteil  des Onlinegeschäfts aufgeben und sich von ausländischen Konkurrenten verdrängen lassen oder den rechtlichen Interpretationsspielraum so lange ausschöpfen bis eindeutige Rechtsklarheit herrscht. Das Dilemma: Möglicherweise steht man zu 50%iger Wahrscheinlichkeit auf der falschen Seite.  An dieser Stelle kann die Falle der Datenschutzbehörde zuklappen und Sie mit Bußgeldern belegen. Die zweite Krux: Gerade die sich hervortuenden Behörden suchen sich schwächere Unternehmen, um Exempel zu statuieren. Auch das ist bittere Realität der Statistik.

Klar ist, dass die DSGVO-Bestimmungen und Entscheidungen noch recht vage sind und daher viele Interpretationsspielräume (noch) zulassen. Dies ist die positive Nachricht. Solange eine begründbare Rechtsmeinung besteht, die Ihre Auffassung bestärkt, müssen Sie sich nicht einer behördlichen Auffassung unterwerfen. Lassen Sie sich daher eine Beurteilung ausfertigen, die Ihre Auffassung juristisch stützt. Als Marketingfrau/-mann sollten Sie nicht fragen, was rechtssicher möglich ist? Solange durch die Gerichte die Interpretationsspielräume nicht vollständig definiert sind, kann die rechtssichere Lösung nur sein, keinerlei Erfassung und Auswertung personenbezogener Daten vorzunehmen. Fragen Sie stattdessen,  was an Ihrer Praxis mit gutem Gewissen noch rechtlich haltbar (nicht endgültig entschieden) ist. Dies ist m. E. eine für das Marketing vertretbare Compliance.  Wenn Sie einen Schritt weiter gehen wollen: Informieren Sie Ihre Landes-Datenschutzbehörde und begründen Sie Ihre Rechtsauffassung mit dem Ziel ein vorläufiges Stillhalteabkommen zu erreichen, solange gerichtliche Klarheit aussteht. Dieser Rat ist aber juristisch sehr sorgfältig abzuwägen: Kolibri Image, ein kleines Unternehmen, konnte keinen Vertrag zur Auftragsverarbeitung zustande bringe und wandte sich an die Datenschützer. Die Behörde verhängte ein  5.000 EUR Bußgeld mangels Vertrag mit dem Auftragsdatenverarbeiter. Auslöser war also der Klärungsversuch. Ein Skandal zwar, aber die Hamburger Datenschützer hatten schon immer umstrittene Auffassungen vom Datenschutzrecht.

Die Bußgeld-Vorsorge wird verletzt

Denken Sie auch daran für den worst case eine Rücklage auf zu bauen, falls sich irgendwann Ihre Rechtsauffassung von Gerichten zerstäubt wird. Klar ist, wenn es zum Vorfall kommt, müssen Sie das Heft in die Hand nehmen, unverzüglich handeln und die Behörden aktiv informieren. Alles andere wäre fahrlässiger kaufmännischer Leichtsinn. Die vorher genannten Kriterien geben Ihnen aber eine gute Richtschnur, die Ihnen kostspielige Fettnäpfchen ersparen.

Haben Sie Ihre Daten kategorisiert und das Risiko bewertet?

Verstoß ist nicht gleich Verstoß. Insbesondere sensible Datenpannen können empfindliche Strafen auslösen:  So verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro eine hohe Einzelstrafe, da Gesundheitsdaten im Internet landeten. Haben Sie auch daran gedacht, dass bei Bewerbungen, Mieterselbstauskünften, Bonitätsprüfungen etc. massiv hochsensible Daten anfallen?

Haben Sie Ihre Kontaktquellen, wie Kundenservice, Chat, Social-Media-Leute so stringent informiert, dass jede Kundenaussage mit Eskalations-Drohung im Datenschutz zentral bearbeitet wird? Die Ignoranz vieler Unternehmen ist hier erschreckend. Mit einer unbegründeten Naivität nehmen es nach meiner Erfahrung und meinen Tests 72% aller Unternehmen in Kauf, daß ihr Unternehmen in den Focus der Behörden geraten. Die Zahl der Beschwerden häufen sich dort massiv. Die Rede ist von 25-200 Beschwerden pro Tag: Wir reden hier theoretisch zwischen  9.100 und 73.000 Beschwerden pro Jahr. Preisfrage: Wen würde sich dann eine Behörde mal genauer unter die Lupe nehmen: den mit 2 Beschwerden oder den mit 200?

Funktioniert Ihr Dokumentationssystem?

Haben Sie wirklich auch alles dokumentiert, was Ihre Bemühungen zu Vermeidung von Datenpannen beschreibt? Halten Sie diese Dokumentation tagesaktuell und vollständig, wenn sich Änderungen ergeben? Dokumentieren Sie auch die bekannt gewordenen Pannen und bewerten Sie diese richtig?  Sie sind gesetzlich verpflichtet Datenpannen unverzüglich zu melden. Eine Verletzung liegt vor, wenn personenbezogene Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Viele Firmen denken jetzt an große Datenpannen, schwere Hackereinbrüche etc. In Wahrheit liegt die Messlatte viel tiefer! Die Meldepflicht besteht bereits bei „normalen“ Risiko. Beispielsweise verliert ein Mitarbeiten einen Laptop, einen USB-Stick oder ein Mobiltelefon mit personenbezogenen Daten. Im Personalverkauf wurden versehentlich PC mit nicht gelöschten Festplatten veräußert. Der Firmenparkplatz mit erkennbaren Kfz-Kennzeichen der Mitarbeiter wurde veröffentlicht (Kfz-Kennzeichen ist eine personenbezogene Information). Wenn die Daten verschlüsselt waren, so ist das Risiko und damit Ihre Meldepflicht geringer. Anders dagegen bei unverschlüsselten Daten.

Sie unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem weiteren Prozessschritt, ob Sie die Datenpannen melden müssen oder nicht. Sie haben hierfür 78 Stunden Zeit. Aus Beweisgründen sollte dies belegbar, am besten per Fax geschehen. Leitfaden DatenschutzverletzungWer sich hierzu genauer informieren möchte, dem seien die 40seitigen „Leitlinien des „Europäischen Datenschutzausschusses“ empfohlen. –

 Haben Sie daran gedacht, dass Sie auch die Betroffenen informieren müssen? Dies aber nur bei „gesteigertem Risiko“.

Brauchen Sie eine Beratung und praktische Unterstützung zur Umsetzung und Praxis in Ihrer Firma? Nehmen Sie Kontakt auf – Ich unterstütze ich Sie gerne.

Konsequenzen, die Sie aus dem jüngesten EuGH-Bannerurteil kennen müssen!

Nun hat der EuGH am 1.10.19 zum Datenschutz bei Cookies entschieden und wie Sie Ihr Banner und Ihre Datenschutzerklärungen gestalten müssen, damit eine datenschutzkonforme Speicherung besteht. Deutsche Seitenbetreiber konnten sich noch auf anderslautende Auslegungen im Telemediengesetz berufen. Diese Zeiten werden mit den zu erwartenden deutschen Urteilen demnächst vorbei sei. Das Wegklickbanner ist unzulässig. Sie brauchen eine eine explizite Zustimmung. Aber das Urteil hat noch sehr viel weiter greifende Überraschungen. Die Gefahr Geldbußen vom Landesdatenschutzbeauftragten  oder Abmahnungen zu erhalten, steigt deutlich.

Werfen wir mal einen Blick ins Urteil und klären was entschieden wurde: Zunächst eigentlich fast nichts, denn es handelt sich um eine Vorabentscheidung, also eine Anfrage eines deutschen Gerichts wie der EuGH die sieht. Die eigentliche Konsequenz für die deutsche Rechtsprechung ergibt sich erst aus dem Urteil des deutschen Gerichts und ggf. anderer Instanzen. Trotzdem ist herauslesbar, wohin sich das deutsche Onlinevertriebsrecht entwickeln wird. Grundsätzlich ist es um folgende drei Kernfragen gegangen:

  1. Sind Cookies überhaupt zustimmungsbedürftige personenbezogenen Daten und muss zwischen personenbezogenen und nicht personenbezogenen abgelegten Daten unterschieden werden? Hierzu gab es ein klares Ja vom EuGH. Aber der EuGH legt noch was drauf: Der „Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.“ Begründet wird dies mit den europäischen Menschenrechten. Jeder, der irgendwas auf einem Gerät eines Nutzers ablegen will, braucht dessen Einwilligung!
    Nach meiner Meinung ist dies eine harte Nuss, denn schließlich gibt es auch technische Cookies, die am Rechner abgelegt werden. Wie verhält es sich mit temporären Dateien des Browsers? Auch die werden auf Endbenutzergeräten gespeichert.Ist eine abwählbare, voreingestellte Zustimmung eine „Einwilligung“ der Person, wenn diese nicht abwählt? Es geht also um die Frage, ob eine passive Einwilligung genügt? Nein, dies genügt nicht. Keine wirksame Einwilligung liegt vor, wenn die Speicherung oder Auslesen von Informationen beim Endgerät durch ein abwählbares Ankreuzkästchen erlaubt wird – so der EuGH.

  2. Ist eine abwählbare, voreingestellte Zustimmung eine „Einwilligung“ der Person, wenn diese nicht abwählt? Es geht also um die Frage, ob eine passive Einwilligung genügt? Nein, dies genügt nicht. Keine wirksame Einwilligung liegt vor, wenn die Speicherung oder Auslesen von Informationen beim Endgerät durch ein abwählbares Ankreuzkästchen erlaubt wird – so der EuGH.

  3. Reicht es einfach dem Banner zuzustimmen? Nein. Der Besucher muss „klaren und umfassenden Informationen“ erhalten, über die Zwecke der Verarbeitung für die er seine Einwilligung gegeben hat. Insbesondere ist entschieden, dass die „Identität des für die Verarbeitung Verantwortlichen“, die „Zweckbestimmungen der Verarbeitung“, „die Empfänger oder Kategorien der Empfänger der Daten“ anzugeben sind; sowie „Angaben zur Funktionsdauer der Cookies“ und dazu, „ob Dritte Zugriff auf die Cookies erhalten können. Gerade bei Letzteren wird es wiederum heikel. Woher wollen Sie wissen, wer auf ihre Facebook- und Google-Cookies alles Zugriff bekommt.

Das Urteil enthält Sprengstoff …

aus dem prompt die jeweiligen Interessensgruppen Ihr Kapital schlagen werden. IBild von TeroVesalainen auf Pixabayhr gutes Recht, aber für Leute in der Vertriebspraxis meist eher verunsichernd oder generell desaströs als hilfreich. Daher war es gut zuerst einen Blick ins Urteil zu werfen. Wie dies in der deutschen Rechtspraxis dann weiter ausgelegt wird, bleibt abzuwarten. Aber Sie sind nicht auf der sicheren Seite, wenn Sie dies vorerst ignorieren. Denn mit der DSGVO können die Landesdatenschutzbehörden Bußgelder verhängen, wenn deren Rechtsauffassung mit Ihrer kollidiert. Zumindest ein Teil der Behörden setzen dieses Instrument auch strategisch ein, um Urteile in deren Sinne zu forcieren. Statistisch ist bewiesen: Bevorzugt werden hier kleine Unternehmen ausgewählt (näheres dazu in einem Folgebeitrag).

Für Ihren eCommerce kann ich folgende Empfehlungen ausgesprechen:

  • Weisen Sie im Banner auf Zweck und Identität der Verarbeitung hin und ob andere Zugriff haben. Weisen Sie auf die Datenschutzbestimmungen für weiter Informationen hin. Eine Verlinkung ist m.E. nicht erforderlich und ggf. für die Navigation hinderlich. Dies gilt für alle Cookie-Arten.
  • Weisen aber deutlich und leicht aufrufbar auf die Datenschutzbestimmungen auf der gleichen Seite hin, z.B. im Footer.
  • Vergessen Sie für Cookies und sonstige Zustimmungen alle voreingestellten Ja-Optionen. Sie brauchen den aktiven Zustimmungsklick. Ihnen kann aber niemand verwehren, Besucher von der Seite fern zu halten, wenn diese nicht zustimmen. Haben Sie wertvolle Inhalte, werden Ihnen die wirklich Interessieren die Zustimmung geben. Dies kann eine Chance für mehr Besucherqualität sein.
  • Insbesondere wenn Funktionen durch die Nichtzustimmung eingeschränkt werden, weisen Sie deutlichst darauf hin. Ansonsten erzeugen Sie eine neue Beschäftigungswelle für Supportanfragen.
  • Wenn Sie ohnehin lt. EuGH immer eine Einwilligung für jede Endgerätespeicherung brauchen, egal ob technisch erforderliche Cookies oder personenbezogene Werbecookies, dann macht es m.E. nur wenig Sinn zwischen den zu speichernden Informationen zu unterscheiden. In der Regel wird auch die Zustimmungskonversion steigen, wenn Sie die notwendigen technisch Cookie-Grunde vorliegen. 
  • Wenn Sie Produkte von Dritten, wie Facebook, Google, Amazon …. einsetzen: Verweisen und verlinken Sie unbedingt auf deren Datenschutzbestimmungen.
  • Erfahrungsgemäß geht mit aktiver Zustimmung Anzahl der Online-Messdaten massiv zurück (Einbrüche um 50% sind nicht selten). Wenn Sie also nur jeden 2. Besucher messen können (dürfen), müssen Sie Ihr internes Reporting auf den Prüfstand stellen und die KPI-Auswirkungen mit der Geschäftsführung abstimmen. Eine seriöse Vergleichsbasis zu Vorjahreswerten ist dann in der Regel Vergangenheit.
  • Die Zeiten der komfortablen automatischen Bannerzustimmung sind vorbei! Sie brauchen jetzt Kommunikationspläne wie Sie Ihren Besuchern die Bannerzustimmungen schmackhaft und plausibel machen. Planen Sie hierfür Kapazitäten und Budgets ein. Positiver Nebeneffekt: Im Kern setzen Sie damit auf Vertrauenswerbung in Ihr Unternehmen und dies ist nie verkehrt.

Brauchen Sie Unterstützung im „Leben nach der DSGVO“, bei der Neuausrichtung Ihres e-Commerce oder Fragen zur Strategie. Ich unterstütze Sie gerne. Nehmen Sie mit mir Kontakt über Mail oder per Telefon 0151 505 24576 auf.
Ihr Dr. Thomas Artmann