[datensicherheit.de, 12.07.2020] Das jüngste BGH-Urteil zum Thema Cookie-Banner zeigt laut TÜV SÜD auf, „dass viele Unternehmen noch große Lücken in ihren Datenschutzkonzepten haben“. Mareike Vogt, Datenschutz-Expertin der TÜV SÜD Sec-IT GmbH, erklärt nachfolgend, worauf Unternehmen jetzt achten sollten und welche Folgen das Urteil für Unternehmen und deren Schutz von personenbezogenen Daten hat.

Aktive Cookie-Einwilligung der Besucher erforderlich!

Betreiber von Websites benötigten eine „aktive Einwilligung der Besucher“, wenn sie Cookies setzen wollen. Nicht zulässig seien dabei bereits vorangekreuzte Check-Boxen, um diese einzuholen. Nach dem Europäischen Gerichtshof (EuGH) habe dies nochmals ein Urteil des Bundesgerichtshofes (BGH) bestätigt, das kürzlich mit Begründung veröffentlicht wurde.
„Das Urteil stellt klar: Der Nutzer kann eine aktive Einwilligung nur abgeben, wenn ihm bewusst ist, worin er einwilligt. Nutzerprofile der Webseiten-Besucher dürfen lediglich mit konkreter Einwilligung erstellt werden. Eine vorangekreuzte Einwilligung ist dabei nicht konform“, betont Vogt. Wenn Unternehmen es verpassen, sich mit dem notwendigen Wissen und den Anforderungen der EU-DSGVO zu rüsten, liefen sie Gefahr, angreifbar zu sein oder schwerwiegende Fehler zu machen.

Beim Einsatz von Cookie-Bannern sollten Unternehmen Folgendes beachten:

• Die Cookie-Auswahl sollte sorgfältig überlegt und auf das Nötigste beschränkt sein (Datenminimierung).
• Ist eine Einwilligung notwendig, sollte diese aktiv vom Nutzer bestätigt werden und nicht bereits vorausgewählt sein (Privacy by default).
• Die Einwilligung ist so einfach und verständlich wie möglich, sowohl im Prozess als auch sprachlich, zu gestalten.
• Als Anhaltspunkt sollte eine Einwilligung stets so einfach zu widerrufen sein, wie sie abgegeben wurde – der Betroffene sollte in keinem Fall durch die Auswahl und den Prozess überfordert, bevormundet oder überrumpelt werden.

Auch an einfache Einwilligung über Cookie-Banner sind Voraussetzungen geknüpft

Hintergrund des Prozesses, zu dem das Urteil nun samt Begründung veröffentlicht wurde, war demnach der Rechtsstreit darum, ob der Beklagte für die Verwendungen der von ihm im Internet gesammelten Daten konforme Einwilligungen eingeholt hatte – die Erlaubnis dafür hatte er ursprünglich über ein Cookie-Banner eingeholt. „Nachdem sich der Bundesgerichtshof zur Beantwortung einiger Fragen die Unterstützung des Europäischen Gerichtshofes vorab geholt hatte, steht nun fest: Auch an die vermeintlich einfache Einwilligung über sogenannte Cookie-Banner sind Voraussetzungen geknüpft, die eingehalten werden müssen.“
Ist dies nicht der Fall, so drohten vielfältige Konsequenzen. Vogt warnt: „Neben dem möglichen Reputationsverlust drohen bei Missachtung der datenschutzrechtlichen Anforderungen und Pflichten auch Klagen durch Betroffene oder Bußgelder durch Aufsichtsbehörden.“

Weitere Informationen zum Thema:

Bundesgerichtshof
Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung / Nr. 067/2020 Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies

[datensicherheit.de, 10.04.2018] Die neuen gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO) betreffen auch Vereine, denn auch sie gehen mit personenbezogenen Daten um – z.B. im Kontext von Mitgliedsanträgen, Anmeldeformularen für Wettkämpfe etc. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, so Christian Heutger, der Geschäftsführer der PSW GROUP.

Im Regelfall ausdrückliche Einwilligung des Mitglieds nötig

Vereine seien in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.
„Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt Heutger.
Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf einer Website und in Sozialen Netzwerken. Auch dort dürften personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem müsse der Verein diese Einwilligung entsprechend dokumentieren.

Ausnahmen bei „berechtigtem Interesse“

Heutger: „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“. Ohne Einwilligung zulässig seien ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch dürfe der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen: „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes ,berechtigtes Interesse‘ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, stellt Heutger klar.
Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs hätten laut DSGVO ein Recht auf Vergessenwerden.

Einwilligungserklärungen müssen leicht verständlich und zugänglich sein

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, werde es kompliziert. Denn hierbei spiele auch das Kunsturhebergesetz eine Rolle – Fotos und Videos dürften erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden.
„Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, sagt Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er, die Einwilligung der Eltern einzuholen.
Einwilligungserklärungen könnten Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings müsse diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein; vorangekreuzte Checkboxen seien nicht zulässig.

PSW-Tipps für Vereine:

1. Datensparsamkeit
   Die DSGVO verlange nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden – deren Verarbeitung müsse zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
2. Informationspflichten
   Die DSGVO verpflichte Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.
3. Technische und organisatorische Maßnahmen
   Datensicherheit müsse mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betreffe die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden“, betont Heutger und rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“
4. Auftragsdatenverarbeitung
   Auch Vereine nutzten Drittanbieter: Entweder lagerten die Daten in der Cloud, lägen auf Servern eines Anbieters oder würden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.
5. Datenschutz-Folgeabschätzung
   Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssten sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssten sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen.
6. Meldepflichten
   Auch Vereine unterlägen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssten unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Heutger: „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt.“
7. Datenschutzbeauftragter
   Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssten einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, erläutert Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22. 03.2018
Die Datenschutz-Grundverordnung für Vereine

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 26.02.2013] Das Bündnis „Meine Daten sind keine Ware“ begrüßt das Ergebnis des heutigen Vermittlungsausschusses zum Meldegesetz. „Breiter Bürgerprotest hat dazu geführt, dass die datenschutzfeindliche Regelung des Bundestages gekippt wurde“, sagt Susanne Jacoby von Campact. Künftig sollen Meldedaten zu Zwecken der Werbung und des Adresshandels nur noch mit Einwilligung der betroffenen Person herausgegeben werden dürfen. Ebenfalls positiv bewerten die im Bündnis vertretenen Organisationen, dass die Zweckbindung bei Melderegisterauskünften gestärkt wurde. Adressdaten müssen nun nach Erfüllung des Übermittlungszwecks gelöscht werden.

Der Bundestag hatte im Juni 2012 beschlossen, dass Daten von Bürgern grundsätzlich herausgegeben werden dürfen, wenn diese dem nicht widersprochen haben. Der Bundesrat stoppte daraufhin das Gesetz. Bundestag und Bundesrat müssen dem nun vorgelegten Vorschlag des Vermittlungsausschusses noch zustimmen.

Nach Ansicht des Bündnisses besteht jedoch noch ein Manko: Die Einwilligung in die Herausgabe von Meldedaten kann auch von demjenigen Unternehmen eingeholt werden, das die Meldedaten anfordert. Dieses Verfahren öffnet Tür und Tor für erschlichene oder behauptete Einwilligungen. Das tatsächliche Vorliegen einer Einwilligung müssen die Meldebehörden lediglich stichprobenhaft kontrollieren. „Damit bleibt eine Hintertür für missbräuchliche Datenabfragen offen“, kritisiert Rena Tangens von Digitalcourage.

„Der Protest der Verbraucher hat erneut gezeigt, dass sie gefragt werden wollen, wenn ihre Daten für Marketing genutzt werden. Daher sollte nicht nur bei Meldedaten, sondern grundsätzlich, wenn personenbezogene Daten zu Werbezwecken verwendet werden, eine Einwilligung des Betroffenen eingeholt werden müssen“, ergänzt Florian Glatzner vom Verbraucherzentrale Bundesverband (vzbv).

Haben Bürger sowohl beim Meldeamt als auch gegenüber Unternehmen Willenserklärungen abgegeben, ist außerdem vollkommen unklar, welche davon in Zweifelsfällen gelten soll.

„Jetzt ist es deshalb an jedem Einzelnen, die Meldebehörde davon in Kenntnis zu setzen, wenn man die Abfrage seiner Daten nicht erlauben möchte“, ergänzt Karin Schuler von der Deutschen Vereinigung für Datenschutz e.V. „Irgendwann könnte sonst jeglicher Überblick verloren gehen, wem man Einwilligungen erteilt oder entzogen hat. Wenn das Gesetz keine transparenten Regeln schafft, muss jeder Einzelne eben nachhelfen.“

Das Bündnis wird getragen vom Kampagnennetzwerk Campact, dem Verbraucherzentrale Bundesverband, dem Datenschutz- und Bürgerrechtsverein Digitalcourage (vormals FoeBuD) und der Deutschen Vereinigung für Datenschutz. Den Online-Appell der Kampagne haben insgesamt mehr als 200.000 Menschen unterzeichnet.

Weitere Informationen zum Thema:

Demokratie in Aktion – campact.de
Melderecht: Meine Daten sind keine Ware!