Rechtliche Vorgaben des

Rechtliche Vorgaben des Datenschutzes Bußgeldrisiko: Achtung bei Verwendung von Gewinnspieldaten! Die Bußgeldstelle des LfDI Baden-Württemberg hat mit Bescheid vom 25.06.2020 gegen die AOK Baden- Württemberg - aufgrund des folgenden Sachverhalts - eine Geldbuße von 1.240.000 Euro verhängt: Von 2015 bis 2019 veranstaltete die AOK Baden-Württemberg Gewinnspiele, in dessen Rahmen auch personenbezogene Daten der Teilnehmer*innen zu Werbezwecken gespeichert wurden. Bei den erhobenen Daten handelte es sich um Kontaktdaten der Gewinnspielteilnehmer und Daten über deren aktuelle Krankenkassenzugehörigkeit. Als Rechtsgrundlage für die Datenverarbeitung gab die Krankenkasse in ihren Datenschutzbestimmungen Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung der Betroffenen) an. Das richtige Datenhandling sollte mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen sichergestellt werden. Durch die Maßnahmen beabsichtigte die AOK sicherzustellen, dass die erhobenen Daten nur dann zu Werbezecken verwendet werden, wenn eine rechtskonforme Einwilligung vorliegt. Die von der AOK getroffenen Maßnahmen waren jedoch nach Ansicht des Landesdatenschutzbeauftragten rechtlich nicht ausreichend. Die Daten von schätzungsweise über 500 Gewinnspielteilnehmern wurden ohne ausreichende Werbeeinwilligung für Werbemaßnahmen benutzt. Damit ist die AOK ihrer Pflicht aus Art. 32 DSGVO nicht ausreichend nachgekommen. Was ist hierbei zu beachten? Neben einer rechtskonformen Einwilligung muss auch durch eine regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen der einzelnen Mitarbeiter sichergestellt werden, dass tatsächlich nur die Daten verarbeitet werden, für die auch tatsächlich eine Einwilligung besteht. Werden bei Gewinnspielen besondere Kategorien personenbezogener Daten erhoben, so dürfen diese Daten in der Regel nicht ohne eine ausdrückliche Einwilligung erhoben gespeichert und verarbeitet werden. Die Anforderungen an eine Einwilligung in besondere Kategorien personenbezogener Daten sind viel höher, als die Anforderungen an eine „normale“ Einwilligung. Besondere Kategorien von personenbezogenen Daten liegen immer dann vor, wenn sich auf Basis der Angaben Rückschlüsse auf die Gesundheit, die sexuellen Interessen, politische Ansichten etc. schließen lassen. b) Datenschutzerklärung berücksichtigt besondere Funktionen der Webseite Die Datenschutzerklärung muss alle datenschutzrechtlich relevanten Funktionen der Internetseite berücksichtigen, mit denen der Nutzer personenbezogene Daten über die Webseite übermittelt. Dies können z. B. Bestellformulare für Newsletter, Kommentarmöglichkeiten, Kontaktformulare, Gästebücher und Login-Bereiche sein. Der Seitenbetreiber muss auch über die Speicherdauer der besonderen Funktionen und die Rechtsgrundlage der Verarbeitung hinweisen. Zudem muss die Erhebung gem. Art. 5 DSGVO auf das für die Verarbeitung notwendige Maß beschränkt werden. Nutzt man die Websitefunktionen um seinen vertraglichen Verpflichtungen nachzukommen oder um einen (potentiellen) Vertrag anzubahnen, kann die Erhebung und Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) gestützt werden. Häufig wird die Datenverarbeitung auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt, das jedoch, anders als allgemein angenommen, kein rechtskonformer Auffangtatbestand ist. c) Datenschutzerklärung ständig verfügbar und aussagekräftig verlinkt Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können. Ähnlich wie bei der Anbieterkennzeichnung muss die Datenschutzerklärung mit einem sog. sprechenden Link „Datenschutz” oder „Datenschutzerklärung” verlinkt werden. Die Datenschutzerklärung muss mit maximal zwei Klicks von jeder Seite aus erreichbar sein. Dieses Erfordernis ist nicht erfüllt, wenn die Datenschutzerklärung lediglich in den AGB oder im Impressum „versteckt” wird. Wir raten auch davon ab, die Datenschutzerklärung so zu verlinken, dass sie nur nach langem Scrollen abgerufen werden kann. Auch jede Subdomain (z. B. www.subdomain.domain.de) benötigt eine eigene Datenschutzerklärung, da sie eine eigenständige Webseite darstellt. d) Unterrichtung über die Nutzung von Cookies Cookies sind Informationen, die im Browser des Seitenbesuchers kleine Textdateien hinterlegt, die bei einem erneuten Besuch einer Internetseite ausgelesen und aktualisiert werden. Cookies dienen zur Speicherung von Nutzerinformationen. Zu unterscheiden sind die Cookies hierbei nach ihrem Zweck. Zum Teil dienen die Cookies dem Komfort der Nutzer (z. B. dauerhafter Login), zum anderen können Cookies für Webtracking und individuelle Werbung eingesetzt werden. Alternativ können Cookies auch notwendig sein um Standardfunktionen der Seite zu gewährleisten (wie z. B. Speicherung des Warenkorbinhaltes). © momius - adobe.stock.com 17

Rechtliche Vorgaben des Datenschutzes Daher gilt Folgendes zum Thema Cookies: Praxistipp: Cookies wohl bald nicht mehr notwendig, das Problem bleibt Cookies werden normalerweise von Webtrackern und Werbung mit Reichweitenmessung benötigt, um zu verifizieren, dass die Werbung angeklickt wurde und um möglichst personalisierte Werbung anzuzeigen oder sie werden eingesetzt, um bestimmte Funktionen einer Internetpräsenz zu ermöglichen. Datenschutzrechtlich relevant sind jedoch nicht nur Cookies sondern auch andere Speichermethoden, die eine Nachverfolgbarkeit im Internet gewährleisten: Index.db, local storage, Fingerprinting, ID-Tracking, entity Tag, Authentication Cache, Flash-Cookies (veraltet), Google Advertising-ID (Android), IDFA (iOS) etc. Google hat Anfang 2021 angekündigt, auf Cookies langfristig verzichten zu wollen. Apple will Cookies in seinem Browser Safari ganz verbieten. Was grundsätzlich als Datenschutzsparsamkeit beworben wird, erweist sich beim näheren Hinsehen nur als technisch andere Umsetzung der Trackingmöglichkeit, verbunden mit weitergehender Festlegung auf eine bestimmte Browsertechnologie. Eine Nachverfolgbarkeit im Internet ist wegen der vielen Möglichkeiten der „Big Data-Konzerne weiterhin gegeben. Da bei allen alternativen Techniken trotz allem personenbezogene Daten übertragen werden, bleibt die datenschutzrechtliche Bewertung unabhängig von der technischen Umsetzung gleich. Gleichwohl ist daher durchaus sinnvoll, sich bereits jetzt mit Einwilligungssystemen zu beschäftigen, die nicht nur Cookies sondern auch andere Elemente blockieren können, denn der datenschutzrechtliche Erlaubnistatbestand der „Einwilligung“ ist zumindest für den Verarbeitungszweck „Tracking“ der rechtlich einzig belastbare Weg, wenn man rechtskonform handeln möchte. RA Marcus Dury LL.M. Fachanwalt für IT-Recht Die DSGVO beinhaltet per se keine Regelungen über Cookies, legt jedoch allgemeine Grundsätze für die Datenverarbeitung fest. Anhand dieser allgemeinen Grundsätze haben im Jahr 2020 EuGH und BGH über die Nutzung von Cookies geurteilt und wegweisende Entscheidungen diesbezüglich getroffen. Das eigentliche Europäische Spezialgesetz zum Online-Tracking und damit auch zur Verwendung von Cookies, die sog. ePrivacy-Verordnung, steckt seit Jahren im EU-Gesetzgebungsverfahren fest, weil sich die Mitgliedsstaaten nicht auf eine einheitliche Linie einigen können. ► ► ► ► ► Grundsätzlich muss in der Datenschutzerklärung der Webseite über die verwendeten Cookies aufgeklärt werden. Soweit Cookies zu Tracking-Zwecken eingesetzt werden, bedarf es einer Einwilligung. Einwilligungen müssen „freiwillig“ sein und der Nutzer darf nicht hinters Licht geführt werden, z. B. durch eine verwirrende Farbgebung oder Beschriftung des Einwilligungsbuttons. Einwilligungs-Checkboxen dürfen auch nicht vorausgewählt sein. Einwilligungen dürfen auch nicht mit sonstigen Vorteilen gekoppelt sein (= sog. Kopplungsverbot der DSGVO). Einwilligungen müssen gerichtsfest (in einer Datenbank) dokumentiert werden. Einwilligungen müssen genauso leicht widerrufen werden können, wie es bei der Erteilung der Einwilligung der Fall ist. Praxistipp für Einwilligungen bei Cookies – Consent Management Sofern keine rechtliche Grundlage für die Erhebung und Verarbeitung von personenbezogenen Daten per Cookie vorliegt, muss der Seitenbetreiber sich eine konkrete individuelle Einwilligung für das Setzen eines Cookies von jedem einzelnen Nutzer geben lassen. Dies funktioniert nur mit korrekt eingestellten „Consent Management“- Systemen. An eine datenschutzrechtliche Einwilligung werden hohe Anforderungen gestellt. Der Seitenbetreiber hat im Streitfall zu beweisen, dass der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat. Die Einwilligung muss zudem protokolliert werden. Fehlerhafte Einwilligungen lauten üblicherweise „Ich habe die Datenschutzerklärung gelesen und erkläre mich mit den Bestimmungen einverstanden.“ Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Darauf ist auch hinzuweisen. Sofern sogenannte “besondere Kategorien” personenbezogener Daten, wie z. B. Gesundheitsdaten, verarbeitet werden, sind die Hürden, der für die Verarbeitung erforderlichen Erlaubnis, bedeutend höher und das korrekte Einholen von datenschutzrechtlichen Einwilligungen sollte nur von Datenschutzprofis beraten werden. RA Marcus Dury LL.M. Fachanwalt für IT-Recht 18