Im noch jungen neuen Jahr hat es bereits einige spannende Entwicklungen rund um die DSGVO gegeben. Die DORDA Datenschutzexperten haben für Sie die Bereiche herausgearbeitet, in denen es den größten Handlungsbedarf gibt: Die Europäischen Aufsichtsbehörden haben sich auf eine gemeinsame Position iZm Cookie-Bannern geeinigt. Das ist auch für die zahlreichen anhängigen NOYB Verfahren relevant. Zudem hat der EuGH zuletzt eine weitreichende, betroffenenfreundliche Leitentscheidung zum Auskunftsrecht nach Art 15 DSGVO veröffentlicht. Damit sind die Diskussionen zum Umfang der notwendigen Angabe von Empfängerkategorien und konkreten Empfängern zu Gunsten der Betroffenen entschieden. Im Detail:
How to: Cookie-Banner
Als Reaktion auf die erste (von mittlerweile drei) Abmahnwelle(n) von NOYB im Zusammenhang mit der Ausgestaltung von Cookie Bannern haben die Aufsichtsbehörden bereits 2021 eine Taskforce eingerichtet, um EU-weit einheitliche Guidelines zu gestalten. Diese hat nun ein Dokument mit Mindestanforderungen an die Nutzung von Cookies und Cookie-Bannern verabschiedet.
Auch wenn es sich hierbei um keinen verbindliche Rechtsakt handelt, gibt die Stellungnahme wertvolle Einblicke, wie die Aufsichtsbehörden in den EU-Mitgliedsstaaten die anhängigen Verfahren in den Beschwerdefällen von NOYB zu entscheiden gedenken. Das Dokument ist aber auch abseits davon für jeden Website-Betreiber relevant, um Verfahren und Beschwerden proaktiv zu vermeiden. Die Einhaltung der Empfehlung der Datenschutzbehörden minimiert für Unternehmen das Risiko, von weiteren, geplanten Beschwerdewellen von NOYB betroffen zu werden. Freilich ist zu berücksichtigen, dass die Stellungnahme weder unmittelbar bindend ist noch einstimmig gefasst wurde. Einzelne Behörden in den Mitgliedsstaaten können daher im Detail abweichende Positionen einnehmen. Dies trifft aus Erfahrung wohl vor allem auf werbefinanzierte Geschäftsmodelle zu. Zudem bleibt auch in den Verfahren noch ein Argumentationsspielraum. Dennoch gibt die Stellungnahme aber einen gewissen Korridor vor, in dem man sich rechtssicherer bewegt als bei abweichenden Lösungen.
Wir haben die wichtigsten Punkte der Stellungnahme für Sie kurz zusammengefasst:
- "Alle Ablehnen"-Button deutlich sichtbar auf der ersten Ebene erforderlich;
- Unzulässigkeit vorangeklickter Checkboxen (auch in der zweiten Ebene);
- Verbot irreführender Farben bzw fehlender Kontrast (keine Hervorhebung von „Alle akzeptieren“);
- Nur tatsächlich technisch absolut notwendige Cookies dürfen als "unbedingt erforderlich" ohne Zustimmung gesetzt werden;
- Widerruf der Einwilligung muss einfach (und ständig) auffindbar sein
EuGH zum Auskunftsrecht: Pflicht zur Angabe konkreter Empfänger
Der EuGH hat am 12.1.2023 in einem Vorabentscheidungsverfahren ausgesprochen, dass das Recht auf Auskunft gem Art 15 DSGVO auch Angaben über die konkrete Identität von Empfängern umfasst, denen personenbezogen Daten übermittelt wurden (C-154/21, Österreichische Post AG). Die viel diskutierte Auslegungsfrage, ob dem Verantwortlichen nach Art 15 DSGVO ein Wahlrecht zwischen der Angabe von bloßen Empfängerkategorien oder konkreten Empfängern zusteht, ist damit betroffenenfreundlich im letzteren Sinn beantwortet. Der EuGH argumentierte dabei damit, dass andernfalls sämtliche Auskunfts-, Beschränkungs- und Widerspruchsrechte ins Leere laufen würden. Daher sind die Empfänger von Daten grundsätzlich auch konkret zu benennen. Es bleibt aber bei der Ausnahme, dass bei Unmöglichkeit der Nennung der Identität oder bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen eine Angabe von Kategorien ausreicht.
Offene Fragen
Die Entscheidung lässt jedoch einige in der Praxis wesentliche Fragen offen: Auch Auftragsverarbeiter sind als Empfänger einzuordnen. Es ist unklar, ob nun auch diese abschließend genannt werden müssen. Für eine Rechtsdurchsetzung durch den Betroffenen ist dies nicht erforderlich, da er diesen gegenüber keine Rechte ausüben kann. Ansprechpartner für die Betroffenenrechte ist immer der Verantwortliche. Die Begründung des EuGH folgend wäre daher eine Pflicht zur Beauskunftung von Auftragsverarbeiter nicht erforderlich.
Ebenso praxisrelevant ist die Frage, ob Datenbankbetreiber nun für jeden Zugriff ihrer Kunden auf Daten eines Betroffenen konkrete Auskunft geben müssen. Der Verantwortliche trackt hier oft gar nicht mit, wer wann welche Daten abruft und verfügt daher nicht über die entsprechende Information. Die Erhebung und Speicherung der Zugriffsdaten nur für eine etwaige Beauskunftung scheint mit dem Gebot der Datenminimierung zu kollidieren. Es scheint daher naheliegend diesfalls von der Anwendbarkeit der Ausnahmebestimmung der Unmöglichkeit der Information auszugehen. Andernfalls müssen mit allen verbundenen (datenschutzrechtlichen) Risken rein für die Möglichkeit einer späteren Auskunft massenhaft zusätzliche Daten erhoben und vorgehalten werden.
Handlungsbedarf in der Praxis
So ein Unternehmen die Daten von Empfängern von Daten erhebt, sind diese zukünftig auch zu beauskunften, außer einer der genannten Ausnahmegründe (Unmöglichkeit der Nennung der Identität oder bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen) greift.