Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadenersatzrecht Schadensrecht

Handlungsempfehlungen aus Anlass der DSGVO-Abmahnwelle wegen Google Fonts

Handlungsempfehlungen zum richtigen Umgang mit den #Abmahnungen wegen Google #Webfonts #DSGVO #Webseitenchecks #Abmahnwelle

Hintergrund: Webfonts sind Schriften, die für Webseiten entweder lokal auf den eigenen Webservern gespeichert sind oder dynamisch bei Google, Adobe oder anderen Anbietern kostenlos abgerufen werden können. Letzteres ist eindeutig nicht vereinbar mit der DSGVO und § 25 TTDSG (dem deutschen Datenschutzgesetz für Webseitenbetreiber), weil dann beim Aufruf der Seite die Google Schriften von den dortigen Servern nachgeladen werden und hiermit personenbezogene Nutzerdaten unbefugt an Google gesendet werden. Seit Juni 2022 versenden einige Abmahner mit oder ohne Anwalt Aufforderungsschreiben an Firmen und Vereine, die eine Webseite betreiben und Google Dienste ohne Zustimmung des Nutzers bei Aufruf der Seite nachladen. Auslöser war ein Urteil des Landgerichts München, das einem Nutzer 100 Euro Schadenersatz nach Art. 82 DSGVO zugesprochen hat wegen datenschutzrechtswidrigem Nachladen von Google Diensten wie Webfonts von den Google Servern bei Aufruf der Webseite des beklagten Unternehmens. Dadurch werden Nutzerdaten wie die IP-Adresse und weitere Profildaten an die Google Server in die USA zum Abruf der dort gespeicherten Schriften nachgeladen. Dies ist nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG nicht zulässig, weil diese dynamische Einbindung der Schriften nicht technisch notwendig ist und Google zu großen Mengen an Daten darüber liefert, welche Nutzer wann welche Seiten im Internet aufgerufen haben. Inzwischen ist bekannt geworden, dass die Abmahner auch vor Gericht Widerspruch gegen eine einstweilige Verfügung des Landgerichts Baden Baden eingelegt haben und vor dem Landgericht Mosbach ein Klage auf Auskunft, Unterlassung und Schadenersatz eingereicht haben. Es ist also ab kommenden Jahr mit weiteren Gerichtsverfahren zu rechnen.

Sind die Abmahnungen berechtigt?:

Die meisten sind es nicht, aber eine verbindliche Einschätzung kann ich nur in Ihrem individuellen Einzelfall treffen. Bei den massenweise versendeten Abmahnungen einzelner Auftraggeber ist ein redlicher Anspruch jedenfalls hinsichtlich des Schadenersatzbegehrens nicht anzunehmen. [ update 22.12.2022: Inzwischen hat die Generalstaatsanwaltschaft Berlin wegen des Verdachts des Betruges im Falle der Abmahnwelle des Berliner Anwaltes L. zu Google Fonts im Auftrag der “IG Datenschutz” Hausdurchsuchungen durchgeführt und 346.000 Euro sichergestellt. Siehe Beitrag dazu hier ]

Aber der Nachweis des vorsätzlichen Rechtsmissbrauchs ist erfahrungsgemäß vor Gericht nicht einfach. Die Gerichte haben bei vergangenen Abmahnwellen oft argumentiert, viele Rechtsverletzungen erfordern viele Abmahnungen und die Pflicht zur Einhaltung lässt sich nicht wegdiskutieren. Zwar sind Abmahnungen dieser Art dann rechtsmissbräuchlich, wenn die Nutzer gezielt mit einem Webcrawler Webseiten aufsuchen, um die Betreiber zur Zahlung von Schadenersatz aufzufordern. Zeitungsartikel mit Berichten über #Abmahnwellen sind jedoch vor Gericht kein Beweismittel für die automatisierten Scans und die massenweise Versendung durch die gleiche Person. Zudem können Verbraucher ihre Ansprüche an Inkassodienstleister abtreten, damit diese gebündelt Schadenersatzforderungen durchsetzen können – das hat der Bundesgerichtshof zu wenigermiete.de und anläßlich anderer Sammelklagen in Verbrauchersachen entschieden.

Wenn aber ein einzelner Betroffener gezielt in gewerblichem Umfang massenweise Webseiten aufsuchen lässt, nur um den Schadenersatz als Einnahmen massenweise einzufordern, wird ein Rechtsmißbrauch anzunehmen sein. Denn dann geht es den Abmahnern nicht um die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung nach der DSGVO, sondern um ein Geschäftsmodell zur Generierung von Einnahmen. Dies ist nach § 242 BGB rechtsmißbräuchlich und dürfte einen rechtswidrigen Eingriff in den Gewerbebetrieb des Seitenbetreibers sein. Deshalb sollten Sie den geforderten Schadenersatz – selbst wenn es „nur“ 170 Euro sind – nicht an die abmahnende Anwaltskanzlei bezahlen, sondern helfen, Beweise für die massenhafte Versendung durch einen Webcrawler zu sichern. Lassen Sie sich durch diese Bagatellbeträge nicht in die Irre führen, denn die Abmahner sammeln wahrscheinlich massenweise Gelder ein und werden wahrscheinlich auch klagen. Das haben andere Abmahnwellen nach meiner anwaltlichen Erfahrung im Bereich Urheberrecht oder Wettbewerbsrecht in den letzten Jahren gezeigt.

Handlungsempfehlungen:

1. Werfen Sie das Abmahnschreiben mit Umschlag und den Anlagen nicht weg, sondern geben Sie es lieber mir. Die Beweise für die massenweise Versendung sollten gesammelt werden, weil eine Klagewelle in den nächsten Jahren wahrscheinlich ist. Gerne können Sie mir mißbräuchliche Abmahnschreiben zum Sammeln der Beweise des Rechtsmißbrauchs der Abmahner vorsorglich für den Fall einer späteren Klage kostenlos an info@it-fachanwaeltin.de oder an meine Kanzleiadresse zusenden. Meine Postadresse finden Sie hier Kontakt Kanzlei Stefanie Hagendorff. Ich bin anwaltlich zur Verschwiegenheit verpflichtet und verwende die Daten nur, um anhand der anonymisierten Daten für den Fall einer Klagewelle vor Gericht für die späteren Beklagten Parteien mit Aussicht auf Erfolg nachweisen zu können, ob der Kläger einen Webcrawler verwendet hat und deshalb mißbräuchlich vorgegangen ist.

2. Falls die Schreiben auch Auskunftsverlangen enthalten, ist Vorsicht geboten. Dann ist anwaltlicher Rat sinnvoll. Hierzu berate ich Sie gerne, denn ein falscher Umgang mit den Auskunftsersuchen kann das Risiko einer Schadenersatzklage unnötig erhöhen.

3. Lassen Sie Ihre Webseite von einem geeigneten IT-Sicherheitsdienstleister überprüfen und scannen. Senden Sie die Prüfberichte Ihrem Webdesigner mit der Bitte, diese Datenschutzverstöße zu beheben. Falls hoffentlich kein Verstoss feststellbar ist, dokumentieren Sie auch diese Scans zu Ihrer Entlastung (Stichwort Beweissicherung und Rechenschaftspflicht) und archivieren Sie diese in Ihrem Ordner für das Datenschutzmanagement. Die regelmäßige Kontrolle ist auch unter IT-Sicherheitsaspekten in Ihrem eigenen Interesse. Fragen Sie Ihre Webagentur oder wenden sich an geeignete IT-Dienstleister, die professionelle IT-Schwachstellenanalysen und Google Webfont Scans einschließlich aller Unterseiten erstellen und Hilfe bei der Analyse etwaigen Handlungsbedarfs und Fehlerbeschreibung für den Fachmann diesbezüglich anbieten, z.B. locaterisk.com, https://sicher3.de/ https://54gradsoftware.de/blog/google-fonts-checker oder https://dr-dsgvo.de/webseiten-check/

4. Falls die gegnerische Anwaltskanzlei oder ein Betroffener eine DSGVO-Auskunft verlangt und behauptet, der Auftraggeber habe zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse Ihre Webseite aufgerufen, können Sie auf die hoffentlich korrekte Datenschutzerklärung verweisen, da Sie den Nutzer ja in der Regel nicht identifizieren können und daher keine individuelle Auskunft möglich ist bzw. nur eine sogenannte Negativauskunft. Achten Sie darauf, dass Logfiles über die Zugriffe auf Ihre Webseite nur solange gespeichert werden wie nötig; das sind nicht 30 Tage oder länger, sondern maximal 7 Tage. Logfiles mit den Protokolldaten, die bei Aufruf der Webseite kurz gespeichert werden, um den Dienst zu erbringen und aus Gründen der IT-Sicherheit und Funktionsfähigkeit Fehler der Website zu analysieren und ggfs. abzuwehren, dürfen nur eine kurze Zeit für diese Zwecke gespeichert werden und müssen danach automatisch gelöscht werden. Anderes gilt nur, wenn Vorfälle dokumentiert werden und ausgewertet werden müssen, damit keine unbemerkten Angreifer in Ihre IT-Systeme eindringen und Accounts übernehmen.

5. Bitte keine Checkboxen mit einer „Einwilligung in Datenschutzbestimmungen“. Häufig ist auch die Datenschutzerklärung nicht korrekt oder es werden fälschlicherweise Checkboxen zur „Einwilligung“ in die „Datenschutzbestimmungen“ bei Kontaktformularen verwendet. Das ist nicht ratsam und sollten Sie ändern. Die Datenschutzhinweise werden sonst Bestandteil von AGB und das ist für Sie als Unternehmen in dem Fall nicht gut. Denn die Datenschutzhinweise müssen ohne Zustimmung der Nutzer jeweils bei Bedarf aktualisiert werden und stellen nur Pflichtinformationen dar, keine AGB.

6. Ohne Zustimmung aktivierte Cookies und falsch eingebundene Cookie-Banner: Klar, die Cookie-Banner sind nervig. Aber Jammern hilft nichts. Entgegen der insoweit eindeutigen Rechtslage nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG werden auf vielen Webseiten in der Datenschutzerklärung bei Aufruf der Webseite Cookies auf Basis einer Interessenabwägung gesetzt, ohne danach zu unterscheiden, ob sie technisch unbedingt notwendig sind oder nur für statistische und Marketingzwecke oder Mediendienste erwünscht. Der Nutzer muss jedoch die Wahl haben und eine informierte Zustimmung in Marketing-Cookies zu erteilen oder die Möglichkeit haben, diese abzulehnen oder Details abzurufen und auch die Änderungen seiner Zustimmung zu speichern. Nach insoweit gefestigter höchstrichterlicher Rechtsprechung sind die nicht unbedingt notwendigen Cookies oder sonstigen Tracker nur mit einer freiwilligen, informierten vorherigen Zustimmung des Nutzers erlaubt.

Fazit: Typische Fehler dieser Art führen zu Abmahnungen und dies wird künftig auch zunehmen, daher sollten Sie die Verstöße auf Ihrer Webseite beheben und sich auf mögliche Klagewellen vorbereiten. Nach einem aktuellen Urteil des Landgerichts München kann jeder Nutzer (also nicht ein Webcrawler, der im Auftrag mißbräuchlicher Abmahner, die Webseiten scannt nur um Schadenersatzansprüche zu „generieren“) 100 Euro immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vom Webseitenbetreiber verlangen. Die Tendenz der anderen Gerichte ist noch nicht eindeutig, aber immer mehr Gerichte sprechen immateriellen Schadenersatz zu, um die effektive Durchsetzung der Datenschutzvorschriften im Interesse der Betroffenen zu erreichen. Das Urteil des Landgerichts München hat Serienabmahnungen wie aktuell z.B. diejenigen des Rechtsanwalt Kilian Lenard aus Berlin im Auftrag von M. I. aus H. und anderer Abmahner ausgelöst, die voraussichtlich nach der Taktik der Abmahner auch zu Klagen führen wird. Auch wenn es lästig ist, also nicht einfach nur in die Tonne treten, sondern sich auf künftige Abmahnwellen oder Klagen vorbereiten und der Community helfen mit gutem Austausch der Informationen.

7. Oft finden Betroffene oder Abmahner noch weitere Fehler in der Datenschutzerklärung z.B. das Fehlen des Hinweises auf das Recht des Betroffenen, bei einem Datenschutzverstoß eine Beschwerde nach Art. 12 DSGVO bei einer Aufsichtsbehörde nach Art. 77 DSGVO einzureichen.

8. Gewerbetreibende oder Freiberufler mit zulassungspflichtigen Berufen, machen auch häufig Fehler bei den Pflichtangaben im Impressum. Nach § 5 Abs. 1 Nr. 5 TMG müssen bei Berufen, die wie z.B. bei Heilpraktikern oder einem Elektromeister entsprechende Dienstleistungen nur mit einem Befähigungsnachweis einer gesetzlich zuständigen Stelle wie etwa Gesundheitsamt oder Handwerkskammer angeboten werden dürfen, weitere Angaben machen. Es ist die für Sie zuständige Aufsichtsbehörde oder Stelle anzugeben, also etwa Handwerkskammer oder Innung oder Gesundheitsamt mit den Kontaktdaten, die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist und die Bezeichnung der berufsrechtlichen Regelungen und Links zu den Vorschriften, denen der Anbieter für diesen Beruf unterliegt. https://www.gesetze-im-internet.de/tmg/__5.html

Ich hoffe, die Tipps helfen Ihnen weiter. Wenn ich Ihnen mit einem rechtlichen Webseitencheck helfen soll (DSGVO, Urheber- und Markenrecht, Wettbewerbsrecht…), Vertragsprüfungen, Haftung der Webagentur oder Sie weitere Fragen zum Thema haben, schreiben Sie mir gerne dazu eine Nachricht oder sprechen Sie mich an. Herzliche Grüße Stefanie Hagendorff, Rechtsanwältin und Fachanwältin für IT-Recht Kontakt