Seit dem 25. Mai 2018 muss die DSGVO von Unternehmen und Webseitenbetreibern in den EU-Mitgliedstaaten angewendet werden. In den nun eineinhalb Jahren ist vor allem eines deutlich geworden: Die Zeiten in denen personenbezogene Daten ohne Einwilligung der Besucher gefahrlos erhoben werden konnten, sind vorbei.
Klarheit schuf der Europäische Gerichtshof in zwei Urteilen: Im Juli 2019 erklärte der EuGH, dass der Einsatz von Facebooks „Gefällt mir“-Schaltfläche und anderen Plugin-, Online-Marketing und Tracking-Tools der Einwilligung des Besuchers bedarf. Im Oktober 2019 räumte der EuGH dann eventuelle Unklarheiten endgültig aus dem Weg: Cookie-Einwilligungen sind Pflicht, die Datenschutzbehörden haben sich mit der Opt-In-Lösung durchgesetzt. Einfache Einwilligungsbanner reichen nicht mehr aus.
Hoffnung ePrivacy?
Wer seine Hoffnung in die ePrivacy-Verordnung legte, wurde im November 2019 enttäuscht. Die EU-Mitgliedsstaaten lehnten den letzten Entwurf der ePrivay-Verordnung der finnischen EU-Ratspräsidentschaft ab.
Die Verordnung hätte Seitenbetreibern, die ihr Angebot primär über Online-Werbung finanzieren, erlaubt, Nutzerdaten ohne Einwilligung zu verarbeiten. Und Provider sollten Metadaten weiterverarbeiten dürfen.
14 der 27 Mitgliedsstaaten stimmten gegen den finnischen Entwurf – darunter wohl auch Deutschland. Sollte es im nächsten Jahr unter der Ratspräsidentschaft von Kroatien und dann Deutschland keinen großen Durchbruch geben, könnte die ePrivacy-Verordnung erst 2023 oder 2025 kommen, schreibt eRecht24.
Mit Bußgeldern gegen „berechtigtes Interesse“
Während in Brüssel noch verhandelt wird, geht die Verbraucherzentrale Bundesverband (VZBV) rechtlich gegen acht Medienunternehmen und deren Trackingmethoden vor. Die setzen keine Opt-In-Lösung ein und rechtfertigen den Einsatz von Google Analytics & Co. mit dem „berechtigten Interesse“ der Webseitenbetreiber.
Auch die Deutsche Datenschutzkonferenz (DSK) sieht das kritisch: Der Einsatz invasiver Analysetools zur Reichweitenmessung sei damit nicht zu rechtfertigen.
Mit den Abmahnungen drohen hohe Bußgelder. Erst kürzlich haben sich die Datenschutzbehörden bei der Bußgeldzumessung für DSGVO-Verstößen geeinigt. Die Bayerische Datenschutzaufsicht hat auch prompt die ersten Bußgeld-Bescheide erlassen, berichtet Heise.
Auch die Berliner Datenschutzbeauftragte Maja Smoltczyk ließ durchblicken: Ihre Behörde geht einer ganzen Reihe von Beschwerden nach und hat einige Verfahren eingeleitet. Sie warnt davor unzulässige Cookie-Banner zu verwenden – das könne hohe Bußgelder nach sich ziehen.
Die Rechtsgrundlage „berechtigtes Interesse“ steht somit auf mehr als wackeligen Füßen und wer Rechtsstreit und Bußgelder vermeiden will, sollte auf die Opt-In-Lösung wechseln.
DSGVO-Verstöße wettbewerbswidrig?
Und was ist mit Unternehmen, die weiter ohne Einwilligung Nutzerdaten sammeln? Die könnten sich womöglich wettbewerbswidrig verhalten.
Bisher gibt es keine einheitliche Rechtsprechung zur Frage, ob Verstöße gegen die DSGVO wettbewerbswidrig sind. Das Landgericht Magdeburg kam etwa zu dem Schluss, dass ein Unternehmen DSGVO-Verstöße eines Mitbewerbers nicht geltend machen darf.
Im konkreten Fall ging es um einen Apotheker der rezeptfreie, apothekenpflichtige Medikamente über den Amazon-Marketplace verkaufte. Dafür sammelte er auch Gesundheitsdaten seiner Kunden.
Das OLG Naumburg kam daher zu einem anderen Urteil: Der Apotheker habe keine Einwilligung eingeholt, damit gegen Artikel 9 DSGVO verstoßen und der Mitbewerber könne klagen, da es sich um einen wettbewerbsrechtlich relevanten Vorgang handelt.
Das Urteil des OLG Naumburg ist noch nicht rechtskräftig und die Richter bestätigten, dass noch rechtlich unklar ist, ob DSGVO-Verstöße grundsätzlich wettbewerbswidrig sind. Es komme auf die jeweils verletzte Norm der DSGVO an. Damit schließen sich die Richter einer Entscheidung des OLG Hamburg an. Möglicherweise geht es nun vor den Bundesgerichtshof: Das OLG Naumburg ließ die Revision zum BGH zu.