Kein Ende der Abmahnwellen im Datenschutz!
Im vergangenen Jahr erhielten tausende Website-Betreiber Abmahnungen wegen eines vermeintlichen Datenschutz-Verstoßes vor dem Hintergrund des Urteils des Landgericht München hinsichtlich der fehlerhaften Einbindung von Google Fonts (vgl. Urteil vom 20.01.2022 – Az. 3 O 17493/20).
Inzwischen sind neue Abmahnwellen gegen die Nutzung unzulässiger Tools (beispielsweise für E-Mail Newsletter wie Klaviyo, Sendinblue, Mailchimp etc.) mit der Übertragung von Daten der Besucher in ein unsicheres Drittland, der USA zu erkennen. Diese erlauben nicht nur das bequeme Erstellen und Versenden der E-Mail Newsletter direkt über den Web Client. Auch weitergehende Trackingmöglichkeiten werden angeboten.
Hier werden ebenfalls Abmahnungen versendet. In der Vorgehensweise haben diese aus den Fehlern der Akteure aus dem vergangenen Jahr gelernt und belegen nun, dass die Website von der betroffenen Person aufgerufen und dort Dienste mit unzulässiger Datenübertragung genutzt wurden. In diesen Fällen wird es schwieriger, die Abmahnungen zurückzuweisen, bzw. Argumentationen für die Unzulässigkeit der Abmahnung zu finden.
Wie ist die Vorgehensweise?
Ein Website-Besucher meldet sich für den Newsletter an. Daraufhin sendet er ein Schreiben mit einem Auskunftsersuchen nach Art. 15 DSGVO. Auf dieser Grundlage macht die Person das Recht auf Auskunft über alle zu seiner Person verarbeiteten personenbezogenen Daten geltend. Insbesondere möchte er auch wissen, ob ihn betreffende personenbezogene Daten an ein drittes Unternehmen gesendet werden.
Mit diesen Daten wird dann eine entsprechende Abmahnung vorbereitet. Der abmahnende Anwalt behauptet, Ihr Mandant habe einen Unterlassungsanspruch wegen einer Verletzung seines Rechts auf informationelle Selbstbestimmung. Sie behaupten, die Übermittlung der den Mandanten betreffenden personenbezogenen Daten an ein US-amerikanisches Unternehmen – hier Klaviyo – sei von keiner Rechtsgrundlage gedeckt.
Zum einen verlangt der Anwalt die Abgabe einer strafbewehrten Unterlassungserklärung. Das verbietet es den Website-Betreiber dann nach der Abgabe praktisch, dieses E-Mail Tool weiter zu nutzen. Zum anderen verlangen sie Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, also 1728,48 €. Und weil das noch nicht genug wäre: ein Schmerzensgeld in Höhe von 5000 € für die erlittenen „seelischen Schäden“ aufgrund der Übermittlung personenbezogener Daten an ein US-amerikanisches Unternehmen.
Wenn innerhalb einer angemessenen Frist keine Antwort eintrifft, wird damit gedroht, den DSGVO-Vorfall an die zuständige Datenschutzbehörde zu melden. Dies könnte, so der Anwalt, zu unangenehmen Folgen wie einer Geldbuße bis zu 20.000.000 Euro bzw. einem Gewerbeverbot führen.
Eben diese Mitverantwortlichkeit führt in der Praxis nun dazu, dass sowohl Meta als auch die Fanpage-Betreibenden die Vorschriften der DSGVO beachten und einhalten müssen.
Art. 26 DSGVO legt sogar fest, dass eine gemeinsame Vereinbarung über die beiderseitige Verantwortung geschlossen werden muss. Da diese Bedingungen von Facebook jedoch nicht ermöglicht werden (es ist beispielsweise immer noch unklar, in welchem Umfang die personenbezogenen Daten verarbeitet werden), können Betreiber*innen demnach nicht sicherstellen und nachweisen, dass die gesammelten Daten auch rechtmäßig verarbeitet werden.
Besonders im Fokus steht hierbei die Übermittlung der personenbezogenen Daten in Drittstaaten, also in nicht EU-Länder, da das Datenschutzniveau dort oftmals nicht angemessen ist und der Schutz der Daten folgend nicht ausreichend gewährleistet werden kann.
Wie ist die Rechtslage?
Unabhängig davon, ob die Forderungen und das Schmerzensgeld berechtigt oder überzogen sind, besteht auf jeden Fall derzeit eine rechtliche Unsicherheit bei der Nutzung dieser Tools, denn
- es existiert zurzeit kein Angemessenheitsbeschluss zum Datenschutz zwischen der EU und den USA
- die Standardvertragsklauseln (SCC) nach Art. 46 DSGVO sind nicht „ausreichend“, weil es im Einzelfall auf ausreichende Garantien für die Übertragung ankommt.
- Es bleibt also nur die explizite Einwilligung der Nutzer mit dem Hinweis der Datenübermittlung in die USA, einem unsicheren Drittland.
Wie kann es weitergehen?
Jedenfalls räumt die Executive Order 1408 von Präsident Biden seit ihrer Geltung 2022 den Betroffenen deutlich mehr Rechtsschutzmöglichkeiten ein als früher.
Zudem hat der EuGH in seinem Urteil Schrems II nicht gesagt, dass Standardvertragsklauseln nicht geeignete Garantie für eine Datenübermittlung in ein unsicheres Drittland wie die USA sein können.
Und zusätzlich muss der EuGH erst darüber entscheiden, ob eine nicht erteilte Auskunft überhaupt die Bagatellgrenze für ein Schmerzensgeld im Datenschutz überschreitet. Tendenziell eher nein.
Abwarten ist keine Lösung!
Das Abwarten und Nichts-Tun ist hier keine Lösung, denn auf ein Auskunftsersuchen muss reagiert werden und Abmahnschreiben sollte man auch nicht einfach ignorieren.
Jeder Website-Betreiber sollte für sich prüfen, ob und welche Tools überhaupt auf der eigenen Webseite genutzt oder z. B. für Newsletter verwendet werden.
Im Anschluss ist zu prüfen, ob es nicht gleichwertige datenschutzkonforme Funktionen und Tools aus Deutschland oder dem europäischen Raum gibt. Wenn man das nicht möchte, muss über transparente Einwilligungen mit dem Hinweis auf die Datenübermittlung in die USA die rechtliche Basis für die Nutzung hergestellt werden.
Fazit
Weiterhin besteht ein hohes Risiko bei nicht korrekter Einbindung und Nutzung von Tools und Funktionen auf den Webseiten, wenn dabei Daten in unsichere Drittländer übertragen werden.
Das können Funktionen, Tools und Einbindungen sein, wie:
- Google-Fonts
- Google-Maps
- YouTube
- Klaviyo
- Sendinblue
- Mailchimp.
Ob ggf. andere Tools betroffen sein könnten, muss immer im Einzelfall geprüft und bewertet werden. Diese Prüfung sollte aber auf jeden Fall vorgenommen werden, um nicht eines Tages von unerwünschter Post im Briefkasten überrascht zu werden.
Neueste Beiträge
Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.
Bilderkennungstechnologien haben in den letzten Jahren enorme Fortschritte gemacht. Durch den Einsatz von künstlicher Intelligenz („KI“) und maschinellem Lernen sind Systeme entstanden, die in der Lage sind, Personen, Objekte und sogar Emotionen auf Fotos oder in Echtzeit-Videos zu erkennen. Während diese Technologien viele positive Anwendungen finden, wie zum Beispiel in der Medizin oder im Verkehrswesen, gibt es auch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Privatsphäre von Personen, welche durch solche Systeme identifiziert werden können. In diesem Beitrag wird erläutert, wie Bilderkennungstechnologien genutzt werden können, um Personen zu identifizieren, und welche Datenschutzprobleme damit verbunden sind.
Vertrauen braucht Konsistenz. Es wird durch viele Handlungen im Laufe der Zeit aufgebaut und bewahrt. Es erfordert ein echtes Interesse und sichtbare Beispiele.
5 Jahre der Datenschutz-Grundverordnung25. Mai 2023 - 8:03Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.
