Österreichischer Anwalt startet DSGVO-Abmahnwelle

Beitrag verfasst von Dr. Rainer Knyrim  am 03.09.2019 – KTR-Newsletter Sept 2019

Bevor sich jemand vor den Datenschutzbehörden zu fürchten beginnt, auch ein österreichischer Anwalt sorgt seit dem Sommer für Erstarrungsmomente:
Er hat eine Abmahnwelle gegen Unternehmen im Hinblick auf Cookies gestartet. Er vertritt – zumindest im von uns betreuten Fall – eine Mandantin, die sich auf der Webseite eines Unternehmens für dessen Produkte interessiert hat und nachher Cookies auf ihrem Rechner platziert fand und in der Folge Werbeeinschaltungen auf anderen Webseiten sah, die zum davor besuchten Unternehmen passte. Er fordert für diese dann EUR 1.000,– pro (!) aus seiner Sicht nicht rechtskonform gesetztem Werbe- oder Tracking-Cookie, was je nach Anzahl der Cookies exorbitante Schadenersatzforderungen von über EUR 10.000,– plus EUR 1.000 Anwaltskostenforderung plus Forderung nach Abgabe einer Unterlassungserklärung nach sich zieht. Die Presse berichtete bereits über diesen Fall ZUM BEITRAG (diepresse.com)

Die Geltendmachung von immateriellen Schadenersatzforderungen bei (vermeintlichen) Datenschutzverstößen scheint mittlerweile auch in Österreich an Popularität zu gewinnen. Am 16. August 2019 wurde eine Entscheidung des Landesgericht Feldkirch publik ZUM BEITRAG (addendum.org), wonach ein österreichischer Rechtsanwalt die Österreichische Post AG auf EUR 2.500,00 an immateriellem Schadenersatz geklagt hat, weil diese Angaben zu dessen „Parteiaffinitäten“ ohne dessen Einwilligung und Information ermittelt und gespeichert haben soll. Ihm wurden immerhin EUR 800,00 zugesprochen (nicht rechtskräftig). Das ich persönlich eine andere Meinung zum Post-Sachverhalt habe, können Sie im August-Heft des ecolex nachlesen ZUM BEITRAG (kt.at)

Diese erste Entscheidung eines Gerichtes zu Schadenersatz unter der DSGVO und die Abmahnschreiben lassen befürchten, dass in absehbarer Zeit mit einem signifikanten Anstieg an Schadenersatzforderungen im Zusammenhang mit behaupteten Datenschutzverletzungen zu rechnen sein wird. Daher besteht hier für Unternehmen dringender Handlungsbedarf!

Wir haben daher als Service für Sie unseren ständigen Kooperationspartner RA Mag. Alexander Nessler, LL.M. gebeten, Ihnen eine Anleitung zum Überblick zum rechtskonformen Einsatz von Cookies zu geben:

Rechtskonformer Einsatz von Cookies

Man findet sie mittlerweile auf einer großen Anzahl von Webseiten. Tracking und Retargeting-Cookies: Kleine Textdateien, die das Surfverhalten von Besuchern der eigenen Webseite über diese hinausgehend erfassen, sodass diese anschließend auf anderen Webseiten mit gezielter Werbung für das eigene oder auch ein fremdes Angebot wieder angesprochen werden können. Trotz der Beliebtheit des Einsatzes solcher Cookies, herrscht bei vielen Unternehmen jedoch nach wie vor Unsicherheit darüber, wie diese datenschutzkonform zu implementieren sind, insbesondere die dafür erforderliche Einwilligung rechtskonform einzuholen ist.

Die aktuell verwendeten Lösungen reichen von schlichten Cookie-Bannern (die meist am oberen oder unteren Bildschirmrand angezeigt werden) bis zum Einsatz von sogenannten Cookie-Walls (die erst einmal angeklickt werden müssen, um überhaupt zu den Webseiteninhalten zu gelangen).

Problematisch ist oftmals, dass die jeweilige Lösung so implementiert ist, dass Banner und Wall zwar korrekt dargestellt werden, das Setzen von Tracking und Retargeting-Cookies dennoch bereits unabhängig einer etwaigen Einwilligung erfolgt. Ein weiteres verbreitetes Problem ist, dass Webseitenbesuchern oftmals gar keine Wahlmöglichkeit gegeben wird, Cookies zu akzeptieren oder abzulehnen, um eine Webseite nutzen zu können. Regelmäßig kommt es auch vor, dass dem Nutzer keine hinreichende Information darüber geboten wird, wofür bzw wogegen er sich letztlich entscheiden kann. 

Die nachstehenden Punkte sollen Ihnen eine unverbindliche Orientierungshilfe bieten, Fallstricke beim Einsatz von Cookies und deren Implementierung zu vermeiden:

1. Nicht alle Cookies sind bedenkenlos genießbar.

Cookies sind regelmäßiger Bestandteil von Webseiten. Groß diskutiert werden oft nur Tracking- und Retargeting-Cookies; tatsächlich werden bestimmte Cookies aber in vielen Fällen schlichtweg für den ordnungsgemäßen Betrieb von Webseiten benötigt. Cookies helfen bei der richtigen Darstellung von Webseiten, der effizienten Nutzung von Onlineshops und verhindern, dass Sprach- und Darstellungspräferenzen jedes Mal aufs Neue eingegeben werden müssen. Cookies sind praktisch, manche greifen gar nicht in die Privatsphäre des Webseitenbesuchers ein, andere schon.

Werden Cookies auf Ihrer Webseite verwendet, so gilt es – abseits der technischen Merkmale – zu unterscheiden, ob für den Betrieb der Webseite unabdingbare, (technisch) bedingte oder sonstige Cookies vorliegen. Die sonstigen Cookies unterteilen sich wiederum in jene, die zwar technisch nicht absolut notwendig sind, aber dennoch aufgrund eines berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO vom Webseitenbetreiber verarbeitet werden dürfen und jenen, die jedenfalls eine Einwilligung des Webseitenbesuchers gemäß Art 6 Abs 1 lit a DSGVO voraussetzen.

Deshalb sollte in einem ersten Schritt die Definition und Klassifizierung aller Cookies erfolgen, die auf der eigenen Webseite zum Einsatz kommen (sollen).

2. Privacy by Default; auch auf der Webseite.

Ruft ein Kunde oder Interessent Ihre Webseite auf, dürfen automatisch nur jene Cookies gesetzt bzw ausgelesen werden, die für den Betrieb der Webseite technisch notwendig sind oder die aufgrund Ihres berechtigten Interesses verarbeitet werden. Hierüber ist die betroffene Person dennoch vorab im Rahmen der Datenschutzinformation aufzuklären; diese ist somit für alle Cookies erforderlich, die personenbezogene Daten über Webseitenbesucher verarbeiten.

Wir empfehlen, die korrekte Gestaltung Ihrer Webseite zu überprüfen und gegebenenfalls erforderliche Anpassungen vorzunehmen.

3. Informationsbereitstellung

Wir kennen sie alle: Cookie-Banner und Cookie-Walls. Überall zu sehen, führt die Implementierung aus datenschutzrechtlicher Sicht oft nicht zu einer Zulässigkeit der Verwendung von Cookies, beispielsweise wenn dies intrasparent umgesetzt ist. Cookie-Banner und Cookie-Walls sollen den Webseitenbesucher darüber informieren, dass es zu einer Datenverarbeitung im Zuge des Besuchs der Webseite kommt. Diese Datenschutzinformation ist auf jeder Webseite mit Cookies bereitzustellen und darf dabei weder das Impressum, noch die Datenschutzinformation überdecken.

Der Webseitenbesucher muss dadurch die Möglichkeit erhalten zu erfahren wer welche Cookies zu welchem Zweck verarbeitet und ob dadurch Dritte Zugriff auf seine personenbezogene Daten erhalten. Die Datenverarbeitungen sind im Einzelnen darzulegen und alle Cookies, der jeweilige Anbieter und die konkrete Funktion sind aufzuführen. Art 13 DSGVO sieht darüber hinaus noch weitere – detailliertere – Anforderungen vor, die es dringend einzuhalten gilt. Eine aktuelle Entscheidung der österreichischen Datenschutzbehörde lässt den Schluss zu, dass der Webseitenbetreiber den Einwilligenden vor der Einwilligung umfassend alle für ihn diesbezüglich relevanten Informationen zu offenbaren hat. Inhaltlich sollte man sich an den Artikeln 12 ff DSGVO orientieren.

Eine umfassende Datenschutzinformation ist gerade in Bezug auf Cookies ein wesentlicher Eckpunkt außenwirksamer Datenschutz-Compliance. Wir empfehlen daher eine detaillierte Aufschlüsselung der zum Einsatz gelangenden Cookies.

4. Berechtigte Interessen zur Verwendung von Cookies

Selbst Cookies, die für den Betrieb der Webseite nicht absolut notwendig sind, können ohne Einwilligung der betroffenen Person gesetzt und ausgelesen werden, wenn dies zur Wahrung von berechtigten Interessen des  Webseitenbetreibers oder eines Dritten erforderlich ist. Ob eine Verarbeitung im berechtigten Interesse liegt, ist im Einzelfall zu beurteilen. Beispiele für Zwecke, die das Setzen und Auslesen von Cookies im Rahmen eines legitimen Interesses gegebenenfalls begründen könnten: Die Einbindung von Drittinhalten oder Web Fonts aus Effizienz- und Kosteneinsparungserwägungen, die Sicherstellung der Integrität und Sicherheit der Webseite oder Betrugsprävention.

Wir empfehlen die genaue Überprüfung, ob im Einzelfall tatsächlich ein zulässiges berechtigtes Interesse vorliegt. Nehmen Sie sich ausreichend Zeit, das potentielle berechtigte Interesse genau zu definieren, die Erforderlichkeit darzustellen und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person Ihren Interessen gegenüberzustellen.

5. Aktive Einwilligung (Opt-in)

Sind Cookies weder für den Betrieb einer Webseite unabdingbar und auch nicht aufgrund eines berechtigten Interesses des Webseitenbetreibers oder eines Dritten rechtfertigbar, so ist regelmäßig die Einwilligung des jeweiligen Webseitenbesuchers erforderlich. Gefordert ist eine aktive Einwilligung vor Setzen der jeweiligen Cookies durch Klicken auf den Banner bzw die Wall oder eine sonstige Schaltfläche. Dabei muss der Webseitenbesucher die Möglichkeit haben, die betreffenden Cookies einzeln zu aktivieren. Die pauschale Einwilligung oder ein schlichtes „OK“ auf dem Cookie-Banner ohne Alternativmöglichkeit sind nicht ausreichend.

Wir empfehlen den Einsatz einer professionellen Cookie-Banner-Lösung, welche die notwendige Textinformation enthält und es dem Webseitenbesucher zugleich ermöglicht, einwilligungspflichtige Cookies einzeln zu aktivieren (Opt-in).

Haftungsausschluss

Bei dieser Hilfestellung handelt es sich um eine unverbindliche Serviceleistung unserer Kanzlei und um keine verbindliche anwaltliche Auskunft. Das Dokument erhebt keinen Anspruch auf Vollständigkeit. Für tiefergehende Auskünfte und individuelle rechtliche Beurteilungen stehen wir Ihnen sehr gerne unter kt@kt.at oder 01/9093070 zur Verfügung.

Artikel drucken

Beiträge

Newsletter Sept 2019

Aktuelle Veranstaltungen

IAPP-Trainings und Zertifizierungen jetzt auch in Österreich

Sie wollen die Datenschutzkoordinatoren und Datenschutzbeauftragten Ihres Konzerns einer global einheitlichen Ausbildung und Prüfung unterziehen, um dokumentieren zu können, dass Sie auch im Datenschutzbereich in der Aus- und Fortbildung standardisierte Compliance-Maßnahmen im Sinne eines nachweislichen Danteschutz-Managements geschaffen haben?

What’s App dreht sich selbst für Unternehmen ab

– ab Dezember wird gegen kommerzielle Angebote vorgegangen!

Das DVR wird abgedreht

– letzte Exportmöglichkeit von Altmeldungen bis Jahresende!

Rechtskonformer Einsatz von Social Plugins

Wir haben unsere Rechtsanwaltsanwärterin Dr. Claudia Gabauer, LL.M. gebeten, dieses Urteil für Sie zu analysieren und Handlungsempfehlungen für dessen Umsetzung in der Praxis zu geben

Österr. Anwalt startet DSGVO-Abmahnwelle

Bevor sich jemand vor den Datenschutzbehörden zu fürchten beginnt, auch ein österreichischer Anwalt sorgt seit dem Sommer für Erstarrungsmomente

DSGVO-Strafen in Österreich und der EU

Einem MEDIENBERICHT (derstandard.at) zufolge hat die österreichische Datenschutzbehörde die höchste und die zweithöchste bisherige Strafe verhängt