Datenschutz-Update
Am 25. Mai 2018 ist die Datenschutzgrundverordnung offiziell in Kraft getreten. Nachträglich zum 5. Geburtstag der DSGVO informieren wir mit diesem Update über aktuelle spannende Entwicklungen im Datenschutzrecht.
(Vorläufiger?) Durchbruch für Datentransfers in die USA: EU Kommission segnet EU-US Data Privacy Framework mit Angemessenheitsbeschluss ab
Gute Nachrichten für Unternehmen auf beiden Seiten des Atlantiks: Die EU-Kommission hat den USA am 10. Juli 2023 in ihrem neuen Angemessenheitsbeschluss ein mit den Standards der EU vergleichbares Datenschutzniveau attestiert. Dieses wird nach Ansicht der EU-Kommission durch das EU-US Data Privacy Framework (EU-US DPF) gewährleistet. Die Entscheidung der Kommission folgte der Bekanntgabe der Biden-Regierung in der vergangenen Woche, mit dem Data Privacy Framework alle bilateral mit der EU verhandelten Voraussetzungen in US-Recht umgesetzt zu haben.
Damit gibt es drei Jahre, nachdem der EuGH den bis 2020 geltenden EU-US Datenschutzrahmen, das sog. Privacy Shield, für ungültig erklärt hat, grundsätzlich wieder Rechtssicherheit für DSGVO-konforme Datenübermittlungen in die USA. Sämtliche Übermittlungen personenbezogener Daten in und aus den USA sind durch den Angemessenheitsbeschluss nach Art. 45 DSGVO genauso zu behandeln wie Datenverarbeitungen innerhalb der EU. Zusätzliche Maßnahmen von Unternehmensseite sind nicht erforderlich. Dies allerdings nur unter der Voraussetzung, dass das Unternehmen, an das die Daten übermittelt werden, auch unter dem EU-US Data Privacy Framework zertifiziert ist. Ob dies der Fall ist, müssen Unternehmen in der EU vorab anhand einer vom US Department of Commerce veröffentlichten Liste prüfen.
Unternehmen sollten die weitere Entwicklung jedoch weiter gut im Blick behalten. Denn das EU-US DPF wurde vom Europäischen Datenschutzausschuss (EDPB) und vom Europäischen Parlament im Vorfeld des Erlasses des Angemessenheitsbeschlusses durchaus kritisch bewertet. Der EDPB hatte in seiner Stellungnahme vom 28. Februar 2023 zwar Fortschritte begrüßt, aber auch bemängelt, dass die Massenerhebung von Daten ohne Vorab- oder nachträgliche gerichtliche Kontrolle in den USA weiterhin zulässig sei und umfangreiche weitere Maß-nahmen empfohlen. Und das Europäische Parlament hatte in seiner Stellungnahme vom 11. Mai 2023 ausdrücklich festgehalten, die Abgeordneten seien der Ansicht, dass mit dem beschlossenen Datenschutzrahmen zwischen der EU und den USA keine wesentliche Gleichwertigkeit im Hinblick auf das Datenschutzniveau geschaffen wird.
Ob das EU-US DPF einer gerichtlichen Kontrolle durch den EuGH standhält, wird wohl auch weiterhin Gegenstand hitziger Diskussionen bleiben. Max Schrems, der durch seine Datenschutzbeschwerde bereits das Vorgänger-Abkommen Data Privacy Shield zu Fall gebracht hat, hat mit seiner Organisation noyb bereits eine Überprüfung des EU-US DPF durch den EuGH angekündigt.
Kein DSGVO-Schadensersatz ohne Schaden
Nachdem lange Zeit umstritten war, ob es zur Geltendmachung eines Schadensersatzes gemäß der DSGVO ausreiche, dass ein Verantwortlicher einen DSGVO-Verstoß begangen hat, ohne dass ein konkreter Schaden nachzuweisen wäre (wir berichteten), hat der EuGH nun abschließend in dieser Sache entschieden. Nach Ansicht des EuGH (Urt. v. 04.05.2023, C-300/21) begründe „allein“ der Verstoß gegen die DSGVO keinen Schadensersatzanspruch. Vielmehr sei der Nachweis eines Schadens erforderlich. So reicht beispielsweise der Besuch einer Webseite mit einer fehlerhaften Datenschutzinformation demnach nicht ohne Weiteres aus, einen Schadensersatzanspruch zu begründen.
Nach Ansicht des EuGH können Betroffene zwar auch einen immateriellen Schaden geltend machen, es müsse gleichwohl mehr als das „subjektive Unmutsgefühl“ beeinträchtigt sein.
Der EuGH hat die Hürden in seinem Urteil jedoch nicht so hochgesteckt wie der Generalanwalt es gefordert hatte. Der immaterielle Schadensersatzanspruch beschränke sich nämlich nicht auf Schäden einer „gewissen Erheblichkeit“, sodass auch auf den ersten Blick „geringfügig“ erscheinende immaterielle (persönliche) Schäden ausreichen könnten. Es liege nun in der Hand der Gerichte der Mitgliedstaaten, zu entscheiden, wann ein solcher Schaden vorliege.
Insoweit bleibt das Risiko eines Schadensersatzanspruchs auch für auf den ersten Blick als Bagatellen erscheinende Verstöße bestehen, soweit der Betroffene einen entsprechenden (wenn auch „geringen“ und ggf. immateriellen) Schaden darlegen kann. Die vielfach angewandte Praxis, Schadensersatz zu fordern, ohne zumindest ein Mindestmaß an Vortrag zum erlittenen (wenn auch immateriellen) Schaden zu liefern, ist hierdurch jedoch nunmehr endgültig beendet.
Neues zu Google Fonts
Die Abmahnwelle wegen der Verwendung von Google Fonts (wir berichteten) hat ihr vorläufiges Ende vor der Staatsanwaltschaft Berlin gefunden. Die Behörde wirft einem Berliner Rechtsanwalt (versuchte) Erpressung in über 2.000 Fällen vor. Hintergrund des Verfahrens ist die Vermutung, dass der Rechtsanwalt die Abgemahnten darüber getäuscht habe, dass eine natürliche Person die Webseiten besucht hätte. Tatsächlich soll eine Software entwickelt worden sein, die Webseiten gezielt auf die Verwendung von Google Fonts überprüft hat und hieraus massenhaft Abmahnungen erstellt wurden, um Schadensersatzansprüche geltend zu machen.
Beim Einsatz von Google Fonts Vorsicht ist aber dennoch weiterhin Vorsicht geboten ist. Denn die Staatsanwaltschaft hat zu keinem Zeitpunkt festgestellt, dass die Verwendung der sog. dynamischen Einbindung von Google Fonts ohne Einwilligung des Betroffenen datenschutzkonform ist. Soweit also tatsächlich eine natürliche Person eine Webseite besucht, auf der über die dynamische Einbindung von Google Fonts IP-Adressen ohne Einwilligung in die USA übermittelt werden, liegt nach der bisherigen Rechtslage ein Verstoß gegen die DSGVO vor. Insofern bleibt es bei der Empfehlung, Google Fonts entweder lokal einzubinden oder vorab eine Einwilligung in die Einbindung einzuholen.
Einwilligung in technisch nicht notwendige Analysetools
Das Landgericht Köln hat sich vor kurzem (als der neue Angemessenheitsbeschluss noch nicht galt) mit den Voraussetzungen der Einwilligung über ein Cookie-Banner auseinandergesetzt (LG Köln, Urt. v. 12.01.2023, 33 O 376/22) und die Deutsche Telekom wegen ihrer Cookie-Nutzung verurteilt:
Cookies auf der Webseite der Deutsche Telekom (insb. Google Analytics) übermittelten IP-Adressen an die Google LLC in den USA. Die zu den Cookies erteilten Informationen reichten dem Landgericht jedoch nicht aus, um von einer wirksamen Einwilligung der Webseitenbesucher in die Datenübermittlung nach Art. 49 DSGVO auszugehen. Im Rahmen des Cookie Banners wurde zwar allgemein darauf hingewiesen, dass es zu einer Datenübertragung in die USA komme, es wurde jedoch weder die Google LLC als Empfänger benannt, noch wurde vertieft über die hiermit einhergehenden Risiken informiert. Dies wird aber von Art. 49 Abs. 1 lit. a) DSGVO gefordert. Das LG stellte insbesondere fest, dass die Anforderungen an die „Informiertheit“ des Einwilligenden bei Datenübermittlungen in Drittländer deutlich höher anzusetzen seien als bei sonstigen Einwilligungen nach der DSGVO.
Zusammenfassend bekräftigt das Urteil des Landgerichts die Auffassung der Datenschutzbehörden, dass ein Cookie-Banner so ausgestaltet sein muss, dass dem Nutzer die Ablehnung technisch nicht notwendiger Cookies und Tools als echte (leicht wählbare) Alternative zur Verfügung stehen muss und zeigt die Notwendigkeit insbesondere beim Einsatz von Tools amerikanischer Dienstleister, eine genaue und umfassende Information über die mit der Datenübermittlung einhergehenden Risiken zu erteilen. Denn nur so kann eine Einwilligung über ein Cookie-Banner rechtswirksam erteilt werden. Durch den neuen Angemessenheitsbeschluss wird perspektivisch erneut Bewegung in die Anforderungen an Cookie-Banner kommen, wenn die Daten empfangenden US-Unternehmen im Rahmen des EU-US Data Privacy Framework zertifiziert sind.