BayLDA: Anhörungsschreiben und Bußgeldverfahren aufgrund von DSGVO-Verstößen

Das BayLDA versendet derzeit Anhörungsschreiben an Händler und droht mit Bußgeldern. Gegenstand dieser Schreiben ist die Verwendung unterschiedlicher Online-Dienste auf Cookie-Basis ohne Einholung einer betreffenden Einwilligung des Seitenbesuchers. Auch bemängelt das BayLDA die Verwendung eines unzureichenden Cookie Consent Tools.

BayLDA rügt Verwendung von Google-Analytics & Cookie Consent Tool

Der IT-Recht Kanzlei liegt ein Schreiben des BayLDA vor, das sich an einen Online-Händler richtet, der in seinem Online-Shop diverse Online-Tools (u.A. Google Analytics) einsetzt.

Problematisch sieht das BayLDA hierbei, dass die verwendeten Online-Dienste ohne Einwilligung des jeweiligen Seitenbesuchers Datenverarbeitungen im Online-Shop durchführen.

Zudem rügt das BayLDA das im Online-Shop verwendete Cookie Consent Tool.

Das Problem beim Cookie Consent Tool ist nach Ansicht des BayLDA, dass lediglich die Schaltflächen „Annehmen“ und „Cookie-Einstellungen“ vorhanden sind.

Hingegen wird es dem Seitenbesucher nicht ermöglicht auf der ersten Ebene eine Ablehnung zur Cookie-Verwendung einzustellen.

Die zugrundeliegende Problematik: Verwendung von Tracking-Tools nur mit Einwilligung

Seit dem Grundsatzurteil des EuGH vom 01.10.2019 (Az.: C-673/17) steht fest, dass der Einsatz technisch nicht notwendiger Cookies nur zulässig ist, wenn der jeweilige Nutzer hierfür seine entsprechende Einwilligung erteilt hat.

Die Einwilligungspflicht findet ihre rechtliche Grundlage dabei nicht in der Datenschutzgrundverordnung (DSGVO), sondern in Art. 5 Abs. 3 der EU-Cookie-Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG). Daraus folgt auch: Das Einwilligungserfordernis gilt unabhängig davon, ob durch das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht.

Webseitenbetreiber sind daher verpflichtet, für sämtliche cookie-basierten und technisch nicht notwendigen Anwendungen vor deren Einsatz eine ausdrückliche Einwilligung von jedem Nutzer einzuholen.

Zudem müssen sie umfangreich über Funktionsweise, Funktionsdauer und über Drittempfänger der Cookie-Daten informieren. Insbesondere cookie-basierte Tracking- und Analyse-Tools sind von der Einwilligungspflicht betroffen.

Ablehnungsmöglichkeit beim Cookie Consent Tool „auf erster Ebene“

Das BayLDA sieht es als notwendig an, dass der Seitenbesucher auf der sog. „ersten Ebene“ die Möglichkeit erhalten muss, eine Ablehnung gegenüber der Verwendung technisch nicht notwendiger Cookies erteilen zu können.

Zur Begründung nennt das BayLDA die aufsichtsbehördliche Abstimmung mehrerer deutscher Aufsichtsbehörden in diesem Punkt. Zudem würden auch andere europäische Datenschutzaufsichtsbehörden diese Auffassung vertreten (hierunter seien die franz. CNIL, die dänische Aufsichtsbehörde oder auch Aufsichtsbehörde im Vereinigten Königsreich).

Zudem könne diese Anforderung auch der Entscheidung des LG Rostock (Urteil vom 11.08.2020, Az. 3 O 762/19) entnommen werden.

Diese Auffassung der Aufsichtsbehörde kann man auch kritisch sehen. Sollte eine Internetseite (oder Online-Shop) so ausgestaltet sein, dass lediglich technisch notwendige Cookies geladen werden und keine Einwilligung in die Verwendung technisch nicht notwendiger Cookies erteilt wird, werden diese technisch nicht notwendigen Cookies auch nicht geladen. Es stellt sich dann allerdings die berechtigte Frage, warum der Seitenbesucher noch die Möglichkeit erhalten soll, zusätzlich eine Ablehnung zur Cookie-Verwendung ausdrücken können zu müssen.

Die zukünftige Klärung dieser Frage wird den Gerichten überlassen sein.

Wie sollten sich betroffene Unternehmen verhalten und welche Vorsorge sollte man treffen?

Wenn Sie als Unternehmen Adressat eines solchen Anhörungsschreibens des BayLDA sind, sollten Sie diese Auskunftsanforderung unbedingt ernst nehmen!

In diesem Fall sollten Sie rechtskundigen Rat einholen und sich bei der Beantwortung der gestellten Fragen ausreichend beraten lassen. Es geht in solchen Fällen auch immer darum, drohende Bußgelder im Ansatz zu vermeiden oder zumindest eine günstige Ausgangslage für die weitere Kommunikation mit der Datenschutzaufsichtsbehörde zu schaffen.

Wenn Sie Vorsorgemaßnahmen treffen möchten, dann prüfen Sie, ob Sie

• einen Datenschutzbeauftragten bestellen müssen (und dies noch nicht getan haben)
• Ihre Datenschutzerklärung auf dem aktuellsten Stand haben
• ein Verarbeitungsverzeichnis für Ihre Datenverarbeitungsvorgänge angelegt haben
• ein rechtssicheres Cookie Consent Tool einsetzen.

Wenn Sie noch keine aktuelle DSGVO-konforme Datenschutzerklärung nutzen und/oder ein Verarbeitungsverzeichnis noch nicht erstellt haben, empfehlen wir Ihnen unsere Schutzpakete mit besonderer Ausrichtung auf die Einhaltung der DSGVO-Vorgaben!

Mit unseren Schutzpaketen können Sie die Themen Datenschutzerklärung und Verarbeitungsverzeichnis schnell und einfach in den Griff bekommen!

Fazit

Erweisen sich die Vorwürfe des BayLDA als berechtigt oder äußert sich der betroffene Online-Händler innerhalb der Stellungnahmefrist nicht, kündigt das BayLDA den Erlass eines Verwaltungsaktes nach Aktenlage an.

Konkret drohen dann hohe Bußgelder von bis zu 20.000.000,- Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.

Um die strengen Voraussetzungen (Einholung der Einwilligung zum Tracking) zu erfüllen, die an die rechtssichere Benutzung von Google Analytics & Co. gestellt werden, bietet die IT-Recht Kanzlei in Kooperation mit seinen Partnern rechtssichere Cookie Consent Tools an!

Sie möchten Analyse- und Tracking-Tools rechtssicher einbinden und benötigen eine sichere Datenschutzerklärung? Unsere Schutzpakete helfen Ihnen weiter!

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .