DSGVO-Gesetze im Internet: Die wichtigsten Urteile und Risiken

Datentransfer in Drittstaaten: Die Bestimmungen des EU-Rechts

Neben den Regelungen zu personenbezogenen Daten innerhalb der EU-Staaten über die DSGVO ist auch die Regelung des Datentransfers in Drittländer wichtig. Personenbezogene Daten dürfen den Europäischen Wirtschaftsraum (EWR) nach geltendem Recht eigentlich überhaupt nicht verlassen – es sei denn, das Versenden findet über einen gültigen Transfermechanismus, wie zum Beispiel Standardvertragsklauseln statt. Doch die Vorschriften für personenbezogene Daten gelten auch dann, wenn sie über Grenzen in Länder mit einer anderen Gesetzgebung transferiert werden. Um deren Einhaltung zu gewährleisten, bietet der rechtliche Rahmen drei Möglichkeiten:

• Die EU-Kommission befindet den Datenschutz eines Drittlandes in einem bilateralen Abkommen für angemessen. Eine solche Angemessenheitsentscheidung besteht etwa mit Japan und Großbritannien.
• Es existieren „verbindliche interne Datenschutzvorschriften“, sogenannte Binding Corporate Rules. Dabei handelt es sich um Vorgaben zum Umgang mit personenbezogenen Daten, welche die Artikel-29-Datenschutzgruppe (auch European Data Protection Board genannt) der Europäischen Kommission entwickelt hat.
• besonders verbreitet ist die Aufnahme genehmigter Verpflichtungserklärungen in Verträgen, die sogenannten Standardvertragsklauseln. Der EuGH hatte diese Klauseln als gültigen Transfermechanismus für Daten in seinem Urteil „Schrems II“ bestätigt

EU-Standardvertragsklauseln zur Datenübermittlung

Bis Juli 2020 bestand mit den USA das Privacy Shield, das den Transfer personenbezogener Daten regelte. Doch dieses wurde in dem als „Schrems II“ bekannten Urteil (benannt nach dem österreichischen Juristen und Datenschützer Max Schrems, der auch die Klage einreichte) vom Europäischen Gerichtshof für ungültig erklärt. Der Grund: Die Rechtslage und die Überwachungspraxis durch Geheimdienste in den USA lässt sich nicht mit dem europäischen Datenschutz in Einklang bringen.

Nach dem Fall des Privacy Shield verabschiedete die Europäische Kommission im Juni 2021 zwei Standardvertragsklauseln, welche die neuen Anforderungen der DSGVO und des EuGH-Urteils berücksichtigen und das Privacy-Shield-Datenübertragungssystem ersetzen sollen. Es handelt sich dabei um standardisierte und vorab genehmigte Musterdatenschutzklauseln, die Sie zum einen in vertragliche Vereinbarungen mitaufnehmen können und die Ihnen zum anderen eine leicht umzusetzende Vorlage für die Erfüllung der Datenschutzanforderungen bieten.

Beide Standardvertragsklauseln können Sie auf der Seite der Europäischen Kommission in deutscher und englischer Sprache herunterladen:

• Standardvertragsklausel für die Übermittlung personenbezogener Daten in Drittländer
• Standardvertragsklausel für Verantwortliche und Auftragsverarbeiter:innen

Google und die DSGVO

Dass nach wie vor große Unsicherheit für Unternehmen besteht, wenn es um den Datentransfer in die USA geht, zeigt das Beispiel von Google. Einerseits kommt fast kein:e Webseitenbetreiber:in mehr an den Google-Services vorbei – anderseits ist der Hauptsitz von Google nach wie vor in den USA und die Rechtslage zum Datentransfer ist weiterhin unsicher. Diese Unsicherheit führte in Deutschland und Österreich bereits zu einigen Abmahnungen wegen Google Fonts und Google Analytics.

Google Fonts Abmahnwelle

Im Januar 2022 kam das Landesgericht München zu dem Urteil, dass durch den Einsatz von Google-Fonts auf Webseiten „unstreitig“ die dynamischen IP-Adressen an die Google-Server in den USA übermittelt werden. Dem Kläger wurden dort nach Artikel 82 Absatz 1 DSGVO Schadenersatz in Höhe von 100 Euro für erlittenes „individuelles Unwohlsein“ zugesprochen. Obwohl es sich bei dem Urteil um einen Einzelfall handelt, witterten einige Rechtsanwältinnen und Rechtsanwälte, sowie Abmahnvereine ihre Chance und so flatterten zahlreichen Webseitenbetreiber:innen im Herbst 2022 Abmahnungen für die Remote-Einbindung von Google Fonts ein.

Zu den Abgemahnten gehörten auch Kundinnen und Kunden von exali. Über 100 davon meldeten sich im Oktober und November 2022 bei unseren Versicherungsexpert:innen, nachdem sie eine Abmahnung wegen Google Fonts erhalten hatten. Aufgrund der hohen Anzahl setzten wir uns mit dem Versicherer in Verbindung und erarbeiteten ein Antwortschreiben, dass wir unseren Kundinnen und Kunden zur Verfügung stellten.

Über 100 exali Kundinnen und Kunden meldeten sich bis Ende Oktober 2022 bei unseren Versicherungsexpert:innen, weil sie eine Abmahnung für die Nutzung von Google Fonts erhalten haben.

Google Analytics bald verboten?

Während die Abmahnwelle zu Google Fonts noch läuft, steht schon das nächste Problem für Webseitenbetreiber:innen in den Startlöchern: Google Analytics. Nach Österreich, Frankreich und Italien erklärte im September 2022 auch die dänische Datenschutzbehörde die Nutzung des Tools für rechtswidrig. Grund: Google überträgt Nutzerdaten außerhalb der EU. Zwar reagierte Google bereits mit der Einführung Google Analytics 4, aber: Auch hier sieht die dänische Datenschutzbehörde Probleme, weil ebenfalls IP-Adressen genutzt werden, um den Aufenthaltsort der Nutzer:innen zu bestimmen – zwar wird die IP-Adresse anschließend gelöscht, doch je nach Aufenthaltsort kann es vor der Löschung dennoch eine direkte Verbindung zu US-Servern geben.

Eigeninitiative statt abwarten

Übereinstimmend lässt sich feststellen: Momentan fehlt die rechtliche Sicherheit beim Thema Drittstaatenübermittlung und diese Lücke wird sich in absehbarer Zeit auch erst einmal nicht schließen. Die weltweite Annäherung der unterschiedlichen Datenschutzgesetze bleibt weiterhin ein großes Thema, das für die betroffenen Unternehmen mehr Fragen aufwirft als beantwortet. Um der momentanen Unsicherheit nicht vollkommen hilflos gegenüberzustehen, sollten Firmen ihre Prozesse zur Datenübermittlung in Drittländer eigeninitiativ analysieren und die Ergebnisse sorgfältig dokumentieren. Auf diese Weise schaffen Sie eine Basis, um der Überprüfung durch die Behörden nicht vollkommen unvorbereitet gegenüberzutreten.

DSGVO-Anforderungen für Ihre Webseite

Eine gute Webseite benötigt nicht nur ein ansprechendes Design und informative Inhalte, sondern muss auch den Anforderungen der DSGVO entsprechen. Andernfalls drohen Ihnen Abmahnungen – von Datenschutzbehörden, aber noch wahrscheinlicher von Wettbewerber:innen. Die Grundvoraussetzungen für eine datenschutzkonforme Webseite sind folgende:

Technische Anforderungen:

• SSL-Zertifikat: Verschlüsselung der nach HTTPS
• Privacy By Design: Ihre Webseite sollte technisch so eingerichtet sein, dass nur die Daten erhoben werden, die auch wirklich benötigt und zulässig sind
• Privacy by Default: Dieses Prinzip bedeutet, dass die Webseite bereits über datenschutzfreundliche Voreinstellungen, die zum Schutz der Privatsphäre von Nutzer:innen dienen, verfügt. So sollen insbesondere weniger technikaffine Nutzer:innen geschützt werden, die beispielsweise nicht wissen, wie sie die datenschutzrechtlichen Einstellungen anpassen können.

Impressum

Ein DSGVO-konformes Impressum muss folgende Angaben enthalten:

• Angaben zur verantwortlichen Person: Name der/des Webseite-Betreibenden oder des Unternehmens und die Anschrift
• Kontaktdaten der/des Webseiten-Betreibenden: Hier muss auf jeden Fall eine E-Mail-Adresse und eine Telefonnummer angegeben sein.
• Rechtliche Pflichtangaben bei Unternehmen: Rechtsform, Registereintrag und Umsatzsteuer-Identifikationsnummer (sofern vorhanden)

Datenschutzerklärung

Neben dem Impressum muss Ihre Webseite auch unbedingt eine Datenschutzerklärung enthalten, in der Sie den Umfang und Zweck der Datenverarbeitung, die Rechte der Betroffenen, sowie Plugins von Drittanbieter:innen (wie Google Analytics, Social Media) und eingesetzte Auftragsdienstleister:innen aufführen. Ebenfalls enthalten sein muss eine Widerspruchsbelehrung. Mehr zu einer DSGVO-konformen Datenschutzerklärung finden Sie auch in diesem Artikel: Datenschutzerklärung: Das kommt rein und so ist sie aufgebaut

Cookie-Banner

Der Umgang mit Cookies sorgt seit Jahren für Verwirrung bei Webseitenbetreiber:innen, denn tatsächlich sagt die DSGVO gar nichts zu dem Thema. Deshalb sollte eigentlich auch gleichzeitig mit der DSGVO eine ePrivacy-Verordnung in Kraft treten, doch diese wurde immer wieder verschoben und befindet sich aktuell im Trilog zwischen EU-Rat, EU-Kommission und EU-Parlament. Ein Inkrafttreten vor 2023/24 ist nicht wahrscheinlich.  Mehr zu ePrivacy-Verordnung finden Sie auch in folgendem Artikel: ePrivacy Update: Kommt das Cookie-Verbot?

Allerdings ist in der DSGVO grundsätzlich festgelegt, dass Nutzer:innen der Verarbeitung Ihrer Daten grundsätzlich zustimmen müssen. Die Wiener Nichtregierungsorganisation NOYB startete deshalb im März 2021 einen Scan von mehr als 3.600 Webseiten und reichte über 700 Beschwerden bei den Unternehmen ein, deren Cookie-Banner über ein irreführendes Design und/oder keinen „Ablehnen“-Banner im Cookie-Banner verfügten. Um das Cookie-Banner DSGVO-konform zu gestalten, empfiehlt sich daher aktuell ein Cookie Consent-Tool.

Cookie Consent

Ein Cookie Consent-Tool empfiehlt sich dann, wenn Sie Tools einsetzen, die nicht lediglich für den technischen Betrieb Ihrer Homepage benötigt werden. Dazu gehören etwa Tools wie:

• Google Analytics
• Facebook Pixel
• LinkedIn Events, Twitter Events
• Marketingtools

Das Consent-Tool ist von der Funktionsweise her wie eine Maske, die Sie über Ihre Webseite legen. Es verfügt sowohl über einen Button, mit dem Sie dem Einsatz nicht notwendiger Cookies zustimmen als auch einen, mit dem Sie dies ablehnen können. Zudem können Nutzer:innen auch auswählen, welchen Tool sie zustimmen – wird kein Häkchen gesetzt, so werden diese Cookies auch tatsächlich blockiert.

Kontaktformulare

Binden Sie Kontaktformulare auf Ihrer Webseite ein, müssen diese ebenfalls DSGVO-konform sein. Grundsätzlich gilt hier: Wenn Sie Ihren Webseitenbesucher:innen die Möglichkeit geben, Sie über ein Kontaktformular zu kontaktieren, bedarf es keiner expliziten Einwilligung zur Verarbeitung der Daten, da ein berechtigtes Interesse besteht. Das bedeutet: Sie haben ein berechtigtes Interesse daran, auf die Anfrage der Interessierten zu antworten und diese dafür zu kontaktieren. ABER – Sie müssen dennoch einen Datenschutzhinweis gemäß DSGVO in JEDES Kontaktformular auf Ihrer Webseite einbinden. Nutzer:innen müssen bestätigten, dass Sie diesen Datenschutzhinweis gelesen haben und ihm zustimmen – am einfachsten geht das über eine Checkbox – bevor das Kontaktformular abgeschickt wird.

Wichtig: Klären Sie die Nutzer:innen in dem Datenschutzhinweis über folgende Punkte auf:

• Wie werden die Daten verarbeitet?
• Für wie lange werden Daten gespeichert?
• Was sind die Betroffenenrechte?
• Wie lautet die Datenschutzerklärung?

Auftragsverarbeitung gemäß DSGVO

Wenn ein Unternehmen Dritte (beispielsweise externe Dienstleister:innen) beauftragt und diese im Rahmen des Auftrags personenbezogene Daten verarbeiten, dann handelt es sich um Auftragsdatenverarbeitung.

In diesem Fall muss das Unternehmen mit der/dem Dienstleister:in einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) gemäß Art. 28 DSGVO schließen. Diese Regelung gilt auch, wenn Unternehmen Tracking-Software nutzen (zum Beispiel Google Analytics) oder ihre Buchhaltung oder Rechenzentren auslagern.

Achtung: Auftraggeber:innen dürfen sich nie darauf verlassen, dass sich Dienstleister:innen um den Datenschutz kümmern, sie/er bleibt dafür weiterhin hauptverantwortlich!

DSGVO-konformer Onlineshop

Wenn Sie einen Onlineshop betreiben, gelten die gleichen Vorgaben wie für die Webseite plus folgende zusätzliche:

• Rechtstexte: Neben Impressum und Datenschutzerklärung müssen Sie Nutzer:innen auch eine Widerrufsbelehrung samt Muster-Widerrufsformular zur Verfügung stellen, sowie Zahlungs- und Versandhinweisen und AGB (Allgemeine Geschäftsbedingungen).
• Verschlüsselte Formulare: Die Daten der Kundinnen und Kunden werden vom Warenkorb mittels eines Formulars übermittelt. Dieser Vorgang muss zwingend verschlüsselt ablaufen, sodass keine Daten von außen abrufbar sind. Außerdem sollten grundsätzlich nur die Daten angefordert werden, die für die Erfüllung der jeweiligen Aufgabe notwendig sind.
• Verzeichnis von Verarbeitungstätigkeiten: Für alle Betreiber:innen eines Onlineshops gilt eine Pflicht, sämtliche regelmäßig stattfindenden Datenverarbeitungsprozesse in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren.
• Dokumentation von technischen und organisatorischen Maßnahmen: Um den Anforderungen der DSGVO gerecht zu werden, müssen Sie sowohl in Ihrem Onlineshop als auch am physikalischen Sitz Ihres Unternehmens technische und organisatorische Maßnahmen wie beispielsweise Daten-Backups, Datenverschlüsselung, Zugang zu Datenverarbeitungssystemen oder Kontrolle der Waren- oder Büroräume dokumentieren.

Wie Sie Ihre Webseite oder Ihren Onlineshop abmahnsicher gestalten, erfahren Sie auch in diesem Video-Interview mit Fachanwalt Karsten Schröder:

Sind DSGVO-Verstöße abmahnbar?

Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerber:innen abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber:innen und Abmahnanwälte sowie -anwältinnen wohl weiter Abmahnungen verschicken. Deshalb ist es umso wichtiger, nicht nur Ihren Webauftritt DSGVO-konform zu gestalten, sondern auch alle anderen Kanäle, die Sie fürs Marketing nutzen wie Newsletter oder Social Media.

Newsletter und DSGVO: Das müssen Sie beachten

Newsletter sind nach wie vor eines der besten Tools, um mit Ihrer Kundschaft zu kommunizieren und Ihr Angebot anzupreisen. Um den Newsletter DSGVO-konform zu gestalten, müssen Sie folgendes beachten:

• Anmeldeformular: Für die Newsletter-Anmeldung dürfen nur die E-Mail-Adresse und die Zustimmung der Datenverarbeitung Pflichtfelder sein. Alle anderen Angaben (beispielsweise Vorname/Name, Adresse, Interessen) müssen freiwillig sein.
• Double-Opt-in: Eine Newsletter-Anmeldung ist nur dann gültig, wenn Nutzer:innen die Anmeldung per Double-Opt-in bestätigt haben.
• Newsletter-Tools: Wenn Sie externe Newslettertools verwenden, müssen Sie diese, inklusive Angaben zur Datenverarbeitung in Ihre Datenschutzerklärung aufnehmen.
• Abmeldung: Grundsätzlich muss jeder Ihrer Newsletter im Footer einen Link zur Abmeldung enthalten.

Details für einen rechtssicheren Newsletter haben wir auch in diesem Artikel für Sie zusammengefasst: Rechtssicheres Newsletter-Marketing: Das müssen Sie beachten

DSGVO-konformes Social-Media-Marketing

Marketing ohne Social Media – kaum noch vorstellbar! Wenn Sie für Ihr Business Social-Media-Kanäle nutzen, gibt es auch hier einige Vorgaben der DSGVO:

• Jeder Business-Account (also jedes Konto und jede Seite (Facebook, LinkedIn), die Sie im Namen Ihres Unternehmens betreiben) muss ein Impressum und eine Datenschutzerklärung oder eine Verlinkung dorthin enthalten.
• Wenn Sie Plugins wie Facebook Pixel oder LinkedIn-Event nutzen, müssen diese in der Datenschutzerklärung aufgeführt werden. Außerdem müssen Nutzer:innen der Verwendung dieser im Cookie-Banner einzeln zustimmen oder sie einzeln ablehnen können.

Wie Sie Ihre Business-Konten in sozialen Netzwerken rechtssicher und DSGVO-konform gestalten, haben wir in folgendem Artikel ausführlich beschrieben: Facebook, Instagram, Twitter & Co.: Die Risiken in sozialen Netzwerken im Überblick.

DSGVO Bußgelder: Was wird am häufigsten abgemahnt

Zunächst einmal ist wichtig zu wissen, dass eine DSGVO-Abmahnung gar nicht immer von einer Aufsichtsbehörde kommen muss. Tatsächlich erfolgen viele Abmahnungen von Mitbewerber:innen oder, wie das Beispiel mit Google Fonts verdeutlicht, Rechtsanwältinnen und Rechtsanwälte, sowie Verbände, die versuchen, Kapital aus einem Urteil zu schlagen. Am häufigsten werden hier (angebliche) Verstöße auf dem eigenen Webauftritt abgemahnt.

Ein Blick in das DSGVO-Portal, in dem sowohl DSGVO-Verstöße als auch die Verletzungen anderer Datenschutzgesetze erfasst werden, zeigt, dass die häufigsten Gründe für ein Bußgeld durch Behörden folgende sind:

• Datenschutzverstöße bei der Verarbeitung, Nutzung oder Sicherung von personenbezogenen Daten
• Unzulässige Überwachung von Mitarbeiter:innen – Notebooksbilliger.de kassierte genau dafür 2021 eine saftige Strafe in Höhe von 10,4 Millionen Euro. Mehr dazu finden Sie in folgendem Artikel: 2021 ist das Jahr mit den bisher höchsten Bußgeldern
• Nutzung von veralteter Software
• Zu späte Meldung einer Datenpanne: Wie Sie sich im Falle einer Datenpanne richtig verhalten, können Sie hier nachlesen: Datenpanne melden

Checkliste: Learnings aus den bisher verhängten Bußgeldern 

Das Wichtigste im Umgang Datenschutzbehörden, dass sich aus vergangenen Fällen lernen lässt – besonders im Umgang mit personenbezogenen Daten verarbeitet, verrät Ihnen diese Checkliste:

• Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein und melden Sie diesen gegebenenfalls bei der zuständigen Behörde
• Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
• Vergessen Sie nie, mit Dienstleistern und Dienstleisterinnen einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortliche:r für den Datenschutz
• Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind

DSGVO-Bußgeld selbst berechnen

Sie wollen wissen, wie hoch Ihr Bußgeld bei einem DSGVO-Verstoß aussehen könnte? Im Video erfahren Sie, mit welcher Formel Sie es berechnen können:

DSGVO-Verstöße absichern

Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich finanziell schützen, wenn Sie eine Berufshaftpflicht über exali.de abgeschlossen haben. In diesen Fällen prüfen die Schadenexpert:innen die Abmahnung wegen Datenschutz-Verstößen auf eigene Kosten darauf, ob die Forderung berechtigt ist und bezahlen die gerechtfertigten Schadenersatzforderungen. Sollte es Zweifel an der Rechtmäßigkeit einer Abmahnung geben, geht die Berufshaftpflicht in die Abwehr des Anspruchs und übernimmt dafür ebenfalls die Kosten (beispielsweise für Anwältinnen oder Anwälte, Gutachter:innen, Gerichtsverfahren). Das Gleiche gilt, wenn andere aufgrund Ihres Versäumnisses bei der erbrachten Dienst- oder Werkleistung ein Bußgeld erhalten (beispielsweise einer Ihrer Kunden oder Kundinnen) und dieses Bußgeld in Form von Schadenersatz von Ihnen zurückfordern. Diese „Fremdbußgelder“ werden ebenfalls von der Berufshaftpflicht über exali übernommen.

Bei Fragen zur Absicherung von Datenschutzverstößen können Sie gerne unseren Kundenservice kontaktieren – Sie erreichen die exali Kundenbetreuer:innen telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der +49 (0) 821 80 99 46-0 oder über das Kontaktformular.