Der Herbst bringt einen Reigen neuer EuGH Entscheidungen, die wesentliche Folgen für Suchmaschinen-, Plattform- und Webseitenbetreiber haben: So sind kürzlich zwei divergierende Urteile zum Umfang der Löschverpflichtung bei Verletzung von Datenschutz- und Persönlichkeitsrechten Betroffener ergangen. Weiters hat sich der EuGH auch zur bereits vielfach diskutierten Cookie-Thematik geäußert und dabei einen strengen Maßstab angelegt. Diese Entscheidung ist insbesondere aufgrund der derzeit noch abweichenden Best Practice und dem daraus resultierenden Anpassungsbedarf sehr spannend. Dazu kommt nun wieder Bewegung in die never ending story der ePrivacy-Verordnung. Nicht zuletzt hat die DSB auch eine signifikante DSGVO-Strafe verhängt – die vierthöchste bisher in der EU ausgesprochene Geldbuße seit dem 25.5.2018. Das DORDA Datenschutzteam fasst für Sie die wesentlichen Punkte der aktuellen Entwicklungen kurz zusammen:
1. Weltweite Löschung – Ja und/oder Nein?
In den Entscheidungen des EuGH zu CNIL gegen Google (C-507/17 vom 24.9.2019) und Eva Glawischnig-Piesczek gegen Facebook (C-18/18 vom 3.10.2019) geht es jeweils um den Umfang von Löschverpflichtungen eines Plattformbetreibers bei der Verletzung von Datenschutz- bzw Persönlichkeitsrechten. Die grundsätzliche Verantwortung wird in beiden Fällen bestätigt, allerdings aufgrund der divergierenden Rechtsgrundlagen mit einem unterschiedlichen (Schutz-)Umfang:
1.1. Google muss Suchergebnisse nicht weltweit löschen
Die französische Datenschutzbehörde CNIL hat einem Antrag eines Betroffenen zur Entfernung von Links im Suchergebnis stattgegeben. Da die Umsetzung offenbar nur für das Beschwerdeland erfolgte – eine gängige Praxis des Suchmaschinenbetreibers – wurde er von der Behörde zur Löschung für alle – auch internationale – Unterseiten aufgefordert. Im Ergebnis sollten die inkriminierten Links für keinen Google-Nutzer weltweit mehr sichtbar sein, und nicht nur in Frankreich entfernt werden. Google kam dieser Aufforderung nicht nach und legte Rechtsmittel ein. So konnte der EuGH diese praxisrelevante Rechtsfrage klären:
Der EuGH hat in seiner Entscheidung festgehalten, dass Google nicht verpflichtet ist, einem Löschbegehren über personenbezogene Suchergebnisse weltweit nachzukommen. So kennen zahlreiche Drittstaaten ein Recht auf Auslistung nicht oder verfolgen einen anderen Ansatz als in der EU. Zudem ergebe sich auch aus dem Anwendungsbereich der DSGVO kein weltweiter Anspruch auf Löschung. Damit ist die Auslistung auf die Mitgliedsstaaten beschränkt. Google ist aber dazu verpflichtet, technische Maßnahmen gegen Zugriffe von Internetnutzern aus einem Mitgliedstaat auf Nicht-EU-Versionen der Suchmaschine zu ergreifen (zB via Geo-Blocking). Kurzum: Es muss sichergestellt sein, dass zu löschende Verweise nicht durch die Hintertüre in der EU wieder abrufbar sind.
1.2. Facebook hingegen muss Hasspostings weltweit löschen
Im Gegensatz zur Google-Entscheidung stützte die Ex-Politikerin Eva Glawischnig-Piesczek die Löschungsverpflichtung von Facebook nicht auf die datenschutzrechtlichen Betroffeneninstrumente, sondern auf die Hosting-Verpflichtungen der eCommerce-RL. Das ist auch der entscheidende Unterschied, der zu einer wesentlich strengeren Auslegung zu Lasten des Providers geführt hat:
Hat ein Hosting-Provider Kenntnis von rechtswidrigen Informationen auf seiner Plattform, ist er zur weltweiten Löschung von bzw Zugangssperren zu wortgleichen Inhalten verpflichtet. Voraussetzung ist, dass die betroffene Information – wie im Anlassfall – für rechtswidrig erklärt wurden. Die Verpflichtung erstreckt sich zudem auf im Kern ähnliche Aussagen, die eine klare Umgehung des Verbotes bewirken würden. Der Provider ist nicht verpflichtet, eine autonome Beurteilung der Gleichartigkeit vorzunehmen. Vielmehr sind nur solche sinngleichen Äußerungen erfasst, die mit automatisierte Techniken und Mittel zur Nachforschung erkannt und beseitigt werden können. In der Praxis wird sich hier also die Streitfrage des Umfangs der Löschpflicht bei sinngleichen Kommentaren und der am Markt verfügbaren automationsunterstützten Systemen stellen.
1.3. Gegenüberstellung und Auswirkung auf die Praxis
Während die Google-Entscheidung ausschließlich Suchmaschinenbetreiber betrifft, schlägt die aktuelle Facebook Entscheidung für die Praxis weitaus größere Wellen: Diese ist de facto auf sämtliche Host-Provider umzulegen. Sofern sie von einer rechtswidrig festgestellten Information Kenntnis erlangen, sind sie bei grenzüberschreitendem Informationsangebot auch zur weltweiten Löschung verpflichtet. Das bringt einen erheblichen technischen Investitionsaufwand mit sich. Die noch kritischere Passage der Verpflichtung von sinngleichen Aussagen wurde durch den Hinweis auf die notwendige Möglichkeit der Umsetzung durch automatisierte Tools wesentlich entschärft.
2. Cookies – Quo vadis?
Im Vorabentscheidungsverfahren zu Planet49 (C- 673/17 vom 1.10.2019) hat sich der EuGH mit den Voraussetzungen der Cookie-Setzung nach der DSGVO und ePrivacy-RL auseinandergesetzt:
Der Anbieter hat im Zuge seiner online Gewinnspielanmeldung zwei Einwilligungen angezeigt: Die erste betraf den Erhalt telefonischer und elektronischer Werbeinformationen, die für die Teilnahme am Gewinnspiel verpflichtend abzugeben war. Die zweite Einwilligung umfasste die Setzung von Tracking-Cookies mit einem voreingestellten Häkchen.
Der EuGH hat dazu festgehalten, dass eine vorangekreuzte Checkbox nicht den Erfordernissen einer gültigen Einwilligung iSd ePrivacy-Richtlinie und der DSGVO entspricht. Dafür ist jedenfalls ein aktives Verhalten des Users erforderlich. Damit hat der EuGH auch implizit klargestellt, dass die bloße Weiternutzung einer Website ebenfalls nicht als aktive Einwilligung zu werten ist. Darüber hinaus kam der EuGH aber auch zu einem für den österreichischen Gesetzesanwender überraschenden Schluss: So ist die Verarbeitung von Daten über Cookies, die nicht technisch zwingend für den Betrieb der Website bzw des bereitgestellten Dienstes erforderlich ist, auch bei fehlendem Personenbezug einwilligungspflichtig. Während § 96 Abs 3 TKG ausdrücklich von "personenbezogenen Daten" spricht, bezieht sich die damit umgesetzte ePrivacy-RL nämlich pauschal auf die Verarbeitung von "Informationen". Grundsätzlich ist die Bestimmung des TKG iSd EuGH-Entscheidung richtlinienkonform auszulegen. Dem kann jedoch entgegengehalten werden, dass der Gesetzeswortlaut die äußert mögliche Interpretationsgrenze bildet. Personenbezogene Daten sind aber ein definierter, inhaltlicher Begriff, der sich nicht mit "Informationen" deckt. Dementsprechend würde eine Auslegung im Sinne der Richtlinie über den Gesetzeswortlaut gehen. Damit wäre zunächst der Gesetzgeber zur Sanierung der korrekten Umsetzung berufen. Die Behördenpraxis ist hier aber mitunter großzügig und setzt sich über die Wortschranke hinweg.
Dementsprechend macht es Sinn, diese – früher oder später jedenfalls kommende, da umzusetzende, Entwicklung vorweg zu nehmen: Sobald daher Cookies gesetzt werden und diese nicht zwingend zur Bereitstellung des Dienstes erforderlich sind, müssen User aktiv in die Datenverarbeitungen zustimmen. Dies trifft somit auch auf etwaige anonyme Statistik-Cookies und ähnliche Tools. Nichtsdestotrotz wird sich in der Praxis für Unternehmen, die bisher bereits einen DSGVO-konformen Cookie-Banner implementiert haben, nur ein geringer Anpassungsbedarf ergeben. Schließlich erlauben die meisten technisch nicht erforderlichen, aber wirtschaftlich relevanten Marketing-, (Re)Targeting- und Tracking-Cookies eine Identifizierung einer natürlichen Person (zB über Unique IDs oä). Hier war also auch bisher so und so eine Einwilligung erforderlich.
Zur Zulässigkeit der im Anlassfall erfolgten Koppelung der Gewinnspielteilnahme an der Erteilung einer Marketing-Einwilligung hat der EuGH jedoch (leider) abweichend zum Generalanwalt nicht Stellung genommen. Hier können sich Unternehmen daher weiterhin an die Leitlinien des Europäischen Datenschutzausschusses zur Ausgestaltung von Einwilligungen vom 28.11.2017 orientieren, die einen solchen Anreiz bei echter Freiwilligkeit grundsätzlich zulässt.
3. Ausblick auf die ePrivacy-Verordnung
Bei den dargelegten Themen lohnt sich auch ein Blick auf die noch immer in Abstimmung befindliche ePrivacy-VO: So stellen auch die dort vorgesehenen Cookie-Bestimmungen in Art 8 derzeit auf "Informationen aus Endeinrichtungen der Endnutzer" ab, ohne zwischen Daten mit und ohne Personenbezug zu unterscheiden. Dementsprechend wird die aktuelle EuGH-Entscheidung wohl auch unter der ePrivacy-VO Bestand haben.
Aber auch zeitlich tut sich nun etwas: Der Vorschlag der Kommission zur ePrivacy-VO wird aktuell im Rat verhandelt. Die Trilog-Verhandlungen zwischen Kommission, EU-Parlament und Rat haben noch nicht begonnen. Die finnische Ratspräsidentschaft hat sich aber das sportliche Ziel gesetzt, die Verordnung vor dem Jahresende 2020 zu finalisieren. Unter Berücksichtigung einer zweijährigen Umsetzungsfrist der Mitgliedstaaten würde sie damit frühestens mit 2022 anwendbar werden.
4. DSB verhängt 18 Millionen Euro DSGVO-Bußgeld
Im Verwaltungsstrafverfahren gegen die Österreichische Post AG hat die DSB wegen der Erstellung und Vermarktung von individuellen Datenprofilen, darunter auch die Parteienaffinität, eine Strafe in Höhe von EUR 18 Mio verhängt. Das Bußgeld ist die bislang in Österreich höchste Strafe für einen DSG(VO) Verstoß. In der europäischen Rangliste reihen wir uns damit auf dem vierten Platz ein. In Relation zum Konzernumsatz überrascht der Betrag jedoch nicht: So hat die Österreichische Post AG laut Geschäftsbericht 2018 einen Konzernumsatzerlös von EUR 1.958.500.000 erwirtschaftet. Die Höchststrafe hat daher rund EUR 78 Mio betragen. Auch unter dem Gesichtspunkt der Breite des Verstoßes ist der verhängte Betrag mit rund 0,95 % des Konzernumsatzes nicht außergewöhnlich hoch: So wurden von rund 2,2 Mio Menschen Profile erstellt und dabei auch sensible Daten zu ihrer politischen Ausrichtung ausgewertet. Im Ergebnis entspricht die Strafe daher EUR 8,20 pro Datenprofil. Sie ist daher auch aus diesem Blickwinkel trotz der absoluten Höhe moderat.
Das Straferkenntnis ist noch nicht rechtskräftig. Die Österreichische Post AG kündigte an, Rechtsmittel beim Bundesverwaltungsgericht einzulegen.