Tools & Dienste – Einhaltung der Anforderungen der DSGVO!
Tools / Dienste & DSGVO – Seit dem 25.05.2018 ist die Beachtung der DSGVO für Betreiber von Internetseiten von besonderer Bedeutung. Eine Datenschutzerklärung bedarf neben den allgemeinen Angaben und den Identifikationsdaten auch die erfassten personenbezogenen Daten und den Zweck der Datenerfassung, Art. 13 DSGVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, § 4 Nr. 1 DSGVO. Es müssen auch verwendete Tools und Dienste aufgenommen werden. Wird dies nicht beachtet, so kann eine Abmahnung und auch eine Geldbuße drohen. Doch was genau muss bei Tools / Diensten und der DSGVO beachtet werden?
Tools / Dienste & DSGVO
Für die Verwendung von Tools und Diensten bedarf es der Einwilligung. Tools sind z.B. Google-Analytics, Google reCAPTCHA, Google Maps, Youtube-Videos oder Live Chats. Als Beispiele für Dienste kommen z.B. Newsletter-Provider oder aber Cloud-Dienste in Betracht. Art. 6 Abs. 1 DSGVO dient in bestimmten Fällen als Rechtsgrundlage für die Verwendung von Drittanbieter-Tools. Hier ist dann die Verwendung sogar ohne Zustimmung zulässig.
Bei der Erstellung von einer Datenschutzerklärung muss zunächst jeder Dienst und jedes Tool ausgewählt werden, den die Website verwendet. Dabei kann es sich um Drittanbieterdienste als auch um eigene Dienste handeln.
Empfangen werden in der Regel die IP-Adresse, die eingegebenen Daten (Bsp.: Name, Mail), aber auch das Surfverhalten im Internet. Als personenbezogene Daten werden in der Regel auch Cookies angesehen. Es muss nach § 13 Abs. 1 lit. c) DSGVO der Zweck sowie die Rechtsgrundlage dargelegt werden und auch die Möglichkeit gegeben sein, dass der Nutzer sich über ein Recht zum Widerspruch (§ 13 Abs. 2 lit. b) DSGVO) informieren kann und die technische Möglichkeit des Widerrufs besteht. Zudem bedarf es auch einer Information über die Speicherdauer (§ 13 Abs. 2 lit. a) DSVGO) der Verarbeitung. Ist eine Festlegung der Dauer nicht genau möglich, so müssen die Kriterien für die Festlegung der Dauer dargelegt werden (§ 13 Abs. 2 lit. a) DSVGO). Werden Daten aufgrund von berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVOerhoben, so müssen diese Interessen dargelegt werden (§ 13 Abs. 1 lit. d) DSVGO). Bei einer Erhebung der Daten auch außerhalb des Inlandes des Anbieters muss auch dies angegeben werden, genauso wie weitere Datenempfänger (§ 13 Abs. 1 lit. e), f) DSGVO). Außerdem muss auf mögliche Risiken (z.B. Geheimdienste) hingewiesen werden.
Google Analytics
Google-Analytics wird heutzutage fast immer verwendet und ist nicht unumstritten. Immer wieder wird gefragt, ob Google-Analytics überhaupt konform mit der DSGVO verwendet werden kann. Es werden Analysen auf der Website erstellt, mit denen man Informationen über das Kundenverhalten auf der Website erlangt. Es muss bei der Verwendung von Google-Analytics ein Link auf ein Browser-Plugin gesetzt werden. Weiterhin ist es möglich, dass mit einem Java Script die Möglichkeit gegeben wird, dass der Nutzer durch ein Opt-Out-Cookie die Erfassung der Daten verhindern kann. Auch sollte die Datenschutzerklärung von Google-Analytics selbst verlinkt werden.
Am. 16.07.2020 hat der EuGH (RS. C 311/18 Schrems II) den EU-US-Angemessenheitsbeschluss für ungültig erklärt. Es ging um die Datenübermittlung zwischen der EU und den USA. Personenbezogene Daten müssen danach bei der Übermittlung strengere Bedingungen einhalten.
Die österreichische Datenschutzbehörde hat ebenfalls festgestellt, dass die Verwendung von GoogleAnalytics auf österreichischen Websites nicht DSGVO-konform ist. Auch die französische Datenschutzbehörde sieht einen Verstoß von GoogleAnalytics gegen die DSGVO gegeben. Dies hat zwar auf Deutschland keine unmittelbare Wirkung, aber die Einschlägung des gleichen Weges durch die deutschen Datenschutzbehörden ist zu erwarten.
Urteil zu Google Fonts
Das LG München hat sich im Urteil vom 20.01.2022 (Az. 3 O 17493/20) mit Google Fonts beschäftigt. Google Fonts stellt Schriftarten für Website-Betreiber zur Verfügung. Dabei untersagte das Gericht den Abruf der Schrift direkt bei jedem Website-Aufruf. Es kommt zur IP-Adressen-Übermittlung an Google ohne Einwilligung des Besuchers zur Datenerfassung. Hierin ist ein Verstoß gegen die DSGVO zu sehen.
Generelle Klagebefugnis von Verbraucherverbänden & Urteil gegen Facebook
Am 28.04.2022 der EuGH (Az. C-319/20) die Klagebefugnis von Verbraucherverbänden gestärkt. Es stellte fest, dass Verbraucherverbände bei Verstößen von Unternehmen gegen die DSGVO klagebefugt sind. Es bedarf keiner Verletzung von konkreten Rechten betroffener Verbraucher und auch keines Auftrags.
Zuvor hatte das KG Berlin (Urteil vom 06.11.2017, Az. 5 U 155/14) einen Verstoß von Facebook gegen die DSGVO festgestellt. Dabei sah es Verstöße u.a. bei dem bereits von Facebook aktivierten Ortungsdienst für Mobiltelefone. Dadurch konnten Chatpartner den Aufenthaltsort herausfinden. In den Geschäftsbedingungen war geregelt, dass Facebook den Namen und das Profilbild für kommerzielle, gesponserte oder verwandte Inhalte einsetzen darf und die Daten an die USA weiterleitet. Auch die Klausel, durch die Nutzer schon vorab in zukünftige Facebook-Datenrichtlinien einwillige, sei unwirksam.
Dr. Krieg & Kollegen Anwälte Köln
Haben Sie noch Fragen zur DSGVO? Alle Kontaktdaten finden Sie hier!
