KundenInformation

DSGVO
aktuelle Änderungen

Die DSGVO Gesetzgebung gilt seit 25.05.2016. Alle Übergangsfristen zur Angleichung geschäftlicher Vorgänge sowie auch von kommerziellen Internetpräsenzen sind seit dem 25.05.2018 verstrichen. Es gibt somit „keine Ausrede mehr“… Leider sind die gesetzlichen Grundlagen nicht wirklich eindeutig und werden dadurch in vielerlei Richtungen ausgelegt. Aktuelle Gerichtsentscheidungen und Urteile sind deshalb so relevant, da sie wiederum als Basis für Abmahnungen oder gerichtliche Streitigkeiten dienen bzw. zu dessen Abwendung genannt werden. Fazit: Wir müssen unsere Internetpräsenzen an die DSGVO und möglichst zeitgerecht an aktuelle Änderungen anpassen.

„Kann man das nicht ein Mal richtig machen?“

Ja. Das machen wir. Jedes Mal. Alles ändert sich. Und wir ändern (uns) mit. 😉

In der Rechtssprechung wird nach
§83 DSGVO unterschieden in

z.B. keine Beschäftigung bzw. Nennung eines Datenschutzbeauftragten
keine Beachtung des Jugendschutzes

z.B. Missachtung des Rechts auf Auskunft oder Löschung
fehlende Einwilligung der Nutzer in Datenverarbeitung

z.B. nicht zuvor genehmigter Versand von Spam-Mails

z.B. kein Impressum bzw. fehlerhafte Angaben oder unterlassene Angaben
keine bzw. falsche Datenschutzerklärung

z.B. nicht gestatteter – also illegaler – Handel mit Kundendaten
vorsätzliche Datenfälschung

z.B. unerlaubte Bekanntgabe von persönlichen Informationen

DSGVO-aktuelle Veränderungen
Nicht jeder ist berechtigt, seinen Mitbewerber abzumahnen. Zumindest sehen das einige Gerichte so.

Das LG Bochum sprach sich gegen einen Unterlassungsanspruch eines Mitbewerbers aufgrund von Verstößen zur Informationspflicht aus.
(180807 LG Bochum Az. I-12 O 85/18)

Das LG Würzburg jedoch ließ die Klage eines Mitbewerbers zu und bestätigte die Möglichkeit einer Abmahnung aufgrund eines Verstoßes gegen die DSGVO sogar als Verstoß gegen das Wettbewerbsrecht nach §3a UWG.
(080913 LG Würzburg Az. 11 O 1741/18)

Hier sind sich die Gerichte leider nicht einig und somit sind den Abmahnungsmöglichkeiten immer noch wenig Grenzen gesetzt. Ist uns nun die Konkurrenz nicht wohlgesonnen, kann sie sich auf die passenden Urteile berufen und den Versuch einer Abmahnung selbst initieren. Alternativ wird die Sache einem Verband übergeben, der mit Nachweis einer berechtigten Interessensvertretung dann kostenpflichtige Abmahnungen versendet und Unterlassungserklärungen mit sehr teuren Folgen verlangt.

Wer von uns hat schon die Zeit, die Lust und das Geld, sich um eine allgemein geltende Rechtssprechung dazu vor Gericht auseinander zu setzen? So oder so entstehen für den Abgemahnten / Beklagten (vermeidbare) Kosten.

Aus diesem Grund achte ich für meine Kundinnen und Kunden bestmöglichst auf die Einhaltung der gesetzlichen Vorschriften. Gut, ich bin kein RA, erteile keine Rechtsberatung und bin auch nicht verpflichtet, diese Leistungen und Arbeiten zu übernehmen. Dennoch: Diese Arbeiten sind ein wichtiger Bestandteil für die umfassende, ja ganzheitliche Betreuung im Bereich Marketing und Werbung – hier speziell der Arbeitsbereich Internetpräsenzen.
Die Konzepte heben sich nicht allein durch gute Ideen und das Design ab – sie sind realisierbar. Absichtlich biete ich damit einen Unterschied zu anderen Anbietern und letztlich ist es auch die Empathie für die Produkte, die Leistungen … und vor Allem für die Zielgruppen. Folgerichtig gehört es dazu, meine Kundinnen und Kunden vor „böser Konkurrenz“ zu schützen und bestmöglichst Angriffspunkte, ja auch Fehler zu vermeiden.

Was ist neu? Was hat sich geändert?

Was können wir tun? Was müssen wir ändern?

Das EuGH hat im Juli 2020 festgestellt, dass das Datenschutzniveau in den USA „nicht angemessen“ ist. Die USA sind ein „Drittstaat“, dessen Datenschutzrichtlinien nicht der DSGVO entsprechen.
(200716 – EuGH C-311/18, Schrems II)

Für die Wahl des Providers ist das o.g. Urteil ebenso ein wichtiges Kriterium, wie für die Verwendung von Programmen / Anwendungen / Apps…, die nicht auf eigenen, in DE bzw. in der EU stehenden Servern platziert sind.
Ein Beispiel: Ein Webhostinganbieter aus Hamburg hat japanische und amerikanische Mit-Eigner. Er betreibt nach eigenen Angaben seine Server in DE, Japan und den USA – definiert allerdings nicht, dass europäische Daten auch ausschließlich auf Servern in der EU gehostet werden. Die von ihm verwendeten zusätzlichen Tools und Analysefunktionen von Drittanbietern aus den USA sind mit dem Wissen um die Nationalität der Firmeneigner einerseits verständlich – andererseits aber nicht ohne Weiteres DSGVO-konform. Für die Kunden des Webhosters – also die Anbieter privater Inhalte ist das nicht so relevant – bei kommerziellen Seitenbetreibern ist das jedoch bedenklich. Es kann zum Anlass für eine Abmahnung / einen Rechtsstreit verwendet werden. Nun mag der gerichtliche Ausgang eines solchen Streits ggf. noch offen sein – verliert er jedoch, kann der Abgemahnte keine Ausbesserung bzw. Änderung durchführen, da er keinen Einfluss auf den Ort des Webhostings nehmen kann. Es bleibt nur – vor Erstellung der Internetpräsenz – die Möglichkeit, einen Dienstleister mit Servern in DE auszuwählen. *1

Sämtliche (bisher wunderbaren) Dienste und Anwendungen von Google®, GoogleMaps®, Youtube®, etc. … schaffen Verbindungen zu Servern in den USA. Die dortige Platzierung bzw. Verwendung der gesammelten Daten entspricht lt. EuGH nicht der hiesigen Gesetzgebung, weil u.a. auch Nachrichtendienste auf die Daten zugreifen. Gleiches gilt für Verbindungen zu sozialen Netzwerken. Facebook® und LinkedIn® gehören beispielsweise ebenso dazu, wie aber auch Anwendungen, z.B. Microsoft® Produkte mit einer Datenspeicherung in der MS-eigenen Cloud. Bei Nutzung der Letzteren sind – mit erheblichem Aufwand – rechtssichere Verwendungen möglich. (da streiten sich noch die Fachleute…) Bei kleineren Unternehmen ist die wohl „rechtssichere Version“ allerdings eine Investition, die „sehr gern vergessen wird“. 😉

Ein Einsatz von Tracking-Programmen bzw. -PlugIns ist ohne Einwilligung seitens des Nutzers / der Nutzerin generell nicht gestattet. Die Verwendung von „Tracking-Programmen ohne Anonymisierung“ ist ein zusätzlicher Anlass für Abmahnungen.
Auf Internetpräsenzen mit Verwendung von Google Analytics® sowie anderen Tracking-Programmen / -PlugIns ist eine anonymisierte Verbindung in Kombination mit einem Datenverarbeitungsvertrag (DVV) möglich. Diese Verbindungen müssen dann zusätzlich durch den/die Nutzer*in jederzeit einsehbar und abschaltbar sein. Derartig anonymisierte Funktionen sind schnell erkennbar und somit leicht prüfbar. Und: Sie sind kostenpflichtig und werden deshalb oftmals nicht installiert. Aber selbst mit DVV bleibt es dabei: Es ist eine Datenverbindung zu Servern in den USA – also z.Z. nicht wirklich rechtssicher geklärt.*2

Zur Darstellung ein CI-gerechten Internetpräsenz war bisher die Verwendung von GoogleFonts® unerlässlich. Das funktionierte prima und es war kostenlos. Die technische Basis für Internetpräsenzen mit einem Baujahr vor 2018 war so voreingestellt, dass sie quasi nur in Verbindung mit GoogleFonts® funktionierte. Mit Aufrufen der Startseite wird festgestellt, welche Schrift auf dem Gerät des Nutzers noch fehlt und sie wird daraufhin zur einheitlichen Darstellung der Webseite geladen. Dabei übermittelt der Browser des Nutzers verschiedene Informationen. Es werden dazu nicht nur Browser- und Gerätedaten sondern natürlich auch persönliche Informationen, wie die IP-Adresse des Nutzers selbst übertragen… in die USA. *3
Fazit: Mit der Verwendung von GoogleFonts® werden personenbezogene Daten an die Server von Google in den USA übermittelt. Das ist seit 2018 nicht mehr erlaubt und somit abmahnbar. Geschieht das zudem noch mit dem ersten Aufruf der Seite – also vor irgendeiner Möglichkeit des Abschaltens dieser Funktion – wird das zusätzlich als Grund für eine Abmahnung verwendet.*6

Das Setzen von Cookies ohne explizite Nutzer-Einwilligung gilt als Wettbewerbsverstoß.
(201029 – LG Köln Az.: 31 O 194/20)

Dieses Urteil betrifft den Einsatz von Cookies generell. Es ist dabei also irrelevant, ob mit den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob es anonymisierte Daten sind.

Lediglich „FirstPartyCookies“ – also seiten-eigene technische Cookies – sind lt. EuGH ohne Abschaltmöglichkeit gestattet.

Bisher gelten lediglich folgende Cookies als „eindeutig technisch“
– Cookies für Sprachauswahl
– Cookies für Login
– Cookies für den Warenkorb in Shopsystemen
– Cookies von Consent-Tools für die Akzeptanz von Cookies

Webseitenfunktionen mit der Setzung von „ThirdPartyCookies“ einfach in der Datenschutzerklärung als „notwendig“ zu definieren, ist keine Lösung, da unterschiedliche Ansichten zunächst zu Abmahnungen und später zu gerichtlichen Klärungsversuchen führen können. Selbst mit möglichem positiven Ausgang für den Abgemahnten bzw. Beklagten entstehen Aufwand und wiederum reichlich Kosten.*4

Eine Datenschutzerklärung muss passend zur Internetpräsenz erstellt sein. Sie muss der tatsächlich eingesetzen Technik entsprechen. „Copy&Paste-Versionen“ von anderen Webseiten sind nicht zulässig. Enthalten Sie falsche Inhalte, ist das als Irreführung des Nutzers auslegbar und kann für Abmahnungen verwendet werden.*5

Abfrage des Nutzers bzw. der Nutzerin, Information und Bestätigung

Nutzer*innen müssen detailliert über verwendete Dienste informiert werden. Insbesondere über Cookies, die gesetzt werden und Daten übertragen. Es muss seitens des Nutzers / der Nutzerin ausdrücklich und aktiv bestätigt werden, dass er/sie zustimmt.*6

Die Abfrage zu Einwilligung muss derart gestaltet sein, dass keine Voreinstellung bzw. voreingestellte Gewichtung des Auswahlmöglichkeit die Entscheidung des Nutzer beeinflussen kann und somit eine freie Wahl möglich ist.*7
(200915 LG Rostock, AZ 3 O 762/19)

Bei der Nachweisbarkeit einer Zustimmung verwenden einige der neuen Consent-Management-Programme / -PlugIns nun ein sog. ID-System. Dabei wird ein sog. Opt-In-Cookie auf den Geräten der Nutzer*innen gespeichert. Im Moment des erneuten Aufrufs werden die damit gespeicherten Nutzerdaten abgefragt.
Die Frage nach der „tatsächlichen technischen Notwendigkeit“ ist hier – ausnahmsweise – geklärt und bietet somit keinen Anlaß für Abmahnungen. Das bedeutet allerdings nicht, dass es nicht auch dazu Versuche gibt…

Diese Consent-Management Versionen sind – im Gegensatz zu den bisher genutzten Versionen – nun funktional. D.h., dass alle Webseitenfunktionen so lange blockiert werden, bis eine aktive Akzeptanz durch den/die Seitenbesucher*in erfolgt ist. Mit Akzeptanz werden Funktionen der Webseite und Sitzungs-Cookies aktiviert. Das enstpricht der z.Z. geltenden Rechtssprechung. Die Verwendung von non-funktionalen Consent-PlugIns hat bereits zu Abmahnungen geführt.
(-> Deichmann, TripAdvisor) *8

Weitere Änderungen

Weitere Informationen, zu denen ein Seitenbetreiber verpflichtet ist.

  • der jederzeit freie Zugang zu den Inhalten „Impressum und Datenschutzerklärung“
  • die Hinweispflicht für jugendliche Seitenbesucher
  • die Definition zur (Nicht-)Teilnahme am vorgschriebenen Verfahren nach VerpackG (Inverkehrbringen von Verpackungen sowie die Rücknahme und hochwertige Verwertung von Verpackungsabfällen)
  • die Angabepflicht zur (Nicht-)Teilnahme am Streitbeilegungsverfahren mit einem aktiven Link als Ergänzung auf die EU-Online-Streitschlichtungsstelle

Ergänzungen

DSGVO – Weitergabe von Daten bei der digitalen Kommunikation

230220 – Personen, mit denen Sie geschäftlich – digital – kommunizieren – also Geschäfte machen… können von ihrem Auskunftsrecht Gebrauch machen. Das ist gesetzlich vorgeschrieben. Sofern Ihre digitale Kommunikation – z.B. E-Mail – über einen Dienstleister erfolgt, sind im Rahmen des Auskunftsverlangens auch eben diese Empfänger der personenbezogenen Daten zu nennen – und gem. EuGH müssen Sie sogar den konkreten Dienstleister nennen, den Sie für den Versand von E-Mails verwenden. Das gilt für E-Mails – also gleichermaßen für Newsletter wie auch für den täglichen E-Mail-Schriftverkehr, für den ja ein Mail-Server verwendet wird.
Erfolgt dieser Kommunikationsweg über einen Dienstleister mit Servern ausserhalb der EU, besteht ein erhöhtes Risiko für Abmahnungen. Beachtenswert: Massgebend dabei ist der Server-Standort und nicht die Office-Adresse des Dienstleisters.
Selbstverständlich kann man zuvor schriftlich und per Post von allen E-Mail-Empfängern eine Zustimmung für die „Inanspruchnahme von Dienstleistern aus unsicheren Drittstaaten“ einholen – aber wer macht das schon und legt dazu eine Akte mit Belegen an…?

230322 Der Spitzenreiter bei Abmahnungen in Deutschland vom Februar 2023 war tatsächlich „Datenübermittlung an Empfänger in den USA.“

Als „Drittland“ werden alle Länder bezeichnet, die ausserhalb der EU liegen. Seit dem Brexit gehört übrigens Grossbritanien dazu. Datentransfers zu bzw. über dortige Dienstleister bedürfen somit eines nachweisbaren Datenverarbeitungsvertrages gem. den Vorgaben zur Sicherstellung des angemessenen Datenschutzniveaus nach Art. 44 ff DSGVO. Gleiches gilt auch für die Zusammenarbeit mit Dienstleistern aus der Schweiz, die ja bekanntermaßen ebenfalls nicht der EU angehört.

„Unsichere Drittstaaten“ sind Länder ausserhalb der EU, deren Datenschutzniveau nicht den Vorgaben der DSGVO entsprechen.
Abzuraten ist somit von Auftragserteilungen an Dienstleister mit Server-Standorten in z.B. Japan, China, Indien, Russland, USA …
Das gilt folglich somit auch für E-Mail-Dienstleister mit Mail-Servern in diesen Ländern.

>Info: Spitzenreiter bei Abmahnungen in Deutschland
>Info: Datenübermittlung in die USA
>Info: Ungültigkeit des EU-US-Privacy-Shield-Abkommens – EuGH, 16.07.2020-C-311/18 *9

Klaubert Kommunikation – Maßnahmen

Bestmögliche Angleichung zur Erfüllung der Vorgaben. EASY-SITE + ECO-SITE

*1
Alle Server von KK stehen in Deutschland.

*2
Internetpräsenzen von KK beinhalten – bis zu einer wirklich eindeutigen Klärung der Rechtslage – keine Tools bzw. automatisierte Verbindungen zu externen Diensten von Google®, Facebook®, Xing®, LinkedIn® etc.

*3
Internetpräsenzen von KK, die vor 2018 erstellt wurden, verwenden Fonts vom KK-eigenen Server in DE. Bei Installationen von neueren Webinhalten werden die Fonts vom gleichen Server bereitgestellt, auf dem sich auch der Content befindet.

*4
Internetpräsenzen von KK enthalten keine „nicht-konformen Cookies“ sondern lediglich eigene – technisch notwendige sitzungsbezogene Cookies.

*5
Internetpräsenzen von KK erfüllen größtmöglich die Vorschriften und haben eine speziell auf das Angebot des Kunden sowie auf die Funktionen der Seite zugeschriebene Datenschutzerklärung. Gleiches gilt für die Inhalte des jeweiligen Impressums.

*6
Mit der Einrichtung der Internetpräsenzen von KK sind Consent-PlugIns installiert worden, die zu diesem Zeitpunkt die Vorgaben erfüllten. Die neueste Generation von Consent-Management-PlugIns erfüllt den die jetzt aktuellen gesetzlichen Vorgaben. Eine Installation wird dringend empfohlen.

*7
Hier ist ein weiterer Grund, die Internetpräsenzen auf den neuesten Stand zu bringen. Bisherige CookieConsent-PlugIns sind nicht in der Art einstellbar, dass sie diese Anforderung in Bezug auf eine freie Wahl des/der Nutzerin erfüllen. Es war ja bisher nicht nötig…

*8
Die Implementierung dieser „neuen Generation“ von Consent-Management-Programmen /-PlugIns ist bei allen Internetpräsenzen der KK-Kunden bereits abgeschlossen.

*9
Kunden von KLAUBERT KOMMUNIKATION mit EASY-SITE und ECO-SITE Internetprodukten kommunizieren selbstverständlich per E-Mail über Mail-Server mit einem Standort in Deutschland.

16,56

Millionen Websites in DE

Status 201001 – Denic
->Statista

92%

Nicht DSGVO konform

So viele Seiten-Betreiber*innen in DE haben die Vorgaben noch nicht bzw. ungenügend umgesetzt.
->e-recht24

≥2.000€

ø Kosten pro Abmahnung

bei einem Streitwert von 20.000 €
Gebühren bei aussergerichtlicher Einigung
> Anwaltskostenrechner

100%

der EASY-SITE + ECO-SITE Kunden

wurden bisher vor Abmahnung geschützt. 😉

Die o.g. Informationen haben keinen Anspruch auf Vollständigkeit, enthalten lediglich Empfehlungen und sind keine Rechtsberatung.

Gut. Fangen wir an.