Tag Archive for: Abmahnung

Google, MailChimp, Shopify, Klaviyo: Immer mehr US-Dienste im Datenschutz-Visier

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von Datensch√ľtzern oder Abmahnern ger√§t. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbeh√∂rden europ√§ischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen ber√ľhmt ber√ľchtigte Urteil des Landgerichts M√ľnchen I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbeh√∂rde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die √úbermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste √ľberhaupt noch risikofrei einsetzen?

Angefangen hat alles am 16. Juli 2020 mit dem Schrems II-Urteil des Europ√§ischen Gerichtshofs (EuGH, Rechtssache C 311/18), in dem das Privacy Shield-Abkommen zwischen der EU und den USA f√ľr unwirksam erkl√§rt wurde. Die √úbertragung personenbezogener Daten in die USA – und damit der Einsatz von US-Diensten, Cloud- oder SaaS-Anbietern – ist seitdem nur unter komplexen Voraussetzungen zul√§ssig und immer von einer Einzelfallbetrachtung abh√§ngig. Die Datenschutz-Aufsichtsbeh√∂rden sind im Ergebnis sogar der Auffassung, dass eine Nutzung solcher Dienste praktisch gar nicht mehr m√∂glich sein soll. Folge: Ein erhebliches Risiko f√ľr Unternehmen und Website-Betreiber.

 

Kurz und knapp: What to do?

In der Praxis ist der Betrieb einer Website oder eines Online-Shops, der im Wettbewerb mit anderen Anbietern stehen soll, bei einem kompletten Verzicht auf US-Dienste fast unm√∂glich. Es fehlt schlichtweg an gleichwertigen europ√§ischen Alternativen. Komplette Umz√ľge und Umstrukturierungen sind mit erheblichem Aufwand und Kosten, sowie ggf. mit Verlust an Performance verbunden.

Am Ende wird es auf eine wirtschaftliche Betrachtung hinauslaufen. Welche Ma√ünahmen k√∂nnen Unternehmen mit einem vertretbaren Aufwand ergreifen, um Daten√ľbermittlungen in die USA weitestm√∂glich zu reduzieren? Es sind Risiken, m√∂gliche Kosten, wirtschaftlicher Nutzen und “weiche Elemente” wie Kundenzufriedenheit gegeneinander abzuw√§gen. Hierbei k√∂nnen spezialisierte Rechtsanw√§lten oder Datenschutzbeauftragte Sie unterst√ľtzen.

Datenschutz = Wettbewerbsvorteil 

Es zeigt sich deutlicher denn je: Datenschutz ist l√§ngst nicht mehr nur das Abhaken von Checklisten. Heute wirken sich datenschutzrechtliche Entscheidungen unmittelbar auf Marketing, Image, Performance und damit den Umsatz eines Unternehmens aus. Schnellsch√ľsse sind deshalb in jedem Fall zu vermeiden.

 

Hintergrund

Die meisten US-amerikanischen Dienste wie Google, Facebook, Microsoft oder Adobe setzen seit dem Wegfall des Privacy Shields auf sogenannte Standarddatenschutzklausen (engl.: standard contractual clauses oder SCCs). Hierbei handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, welche zwischen dem europ√§ischen Unternehmen (“Datenexporteur”) und dem US-Diensteanbieter (“Datenimporteur”) vereinbart werden und in denen das US-Unternehmen – stark vereinfacht gesagt – zusichert, die Daten angemessen zu sch√ľtzen und sich weitgehend an EU-Datenschutzvorgaben zu halten.

Problem: Der EuGH hatte in der Schrems II-Entscheidung ausdr√ľcklich festgehalten, dass die Daten√ľbermittlung in die USA auf Grundlage von SCCs zwar grunds√§tzlich m√∂glich sei. Dies gelte aber nur unter der Voraussetzung, dass das US-Unternehmen durch “zus√§tzliche Ma√ünahmen” (technisch und/oder organisatorisch) ein angemessenes Schutzniveau sicherstellt. Insbesondere der Umstand, dass nach amerikanischem Recht die US-Geheimdienste unter bestimmten Voraussetzungen auf Datenbest√§nde zugreifen d√ľrfen, ist hierbei problematisch. Welche Ma√ünahmen geeignet sein k√∂nnten und wie hoch etwaige Mindeststandards sind, lie√ü das Gericht offen. Und genau an dieser Frage scheiden sich aktuell die Geister.

MailChimp

Schon im M√§rz 2021 hatte das Bayerische Landesamt f√ľr Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung des beliebten Newsletter-Tools MailChimp untersagt (wir hatten berichtet). Das Tool speichert und verarbeitet die E-Mail-Adressen von Newsletter-Abonnenten auf Servern in den USA.

Begr√ľndet hatte das BayLDA die Untersagung interessanterweise nicht damit, dass die “zus√§tzlichen Ma√ünahmen” von MailChimp per se unzureichend seien, sondern damit, dass das deutsche Unternehmen diese Ma√ünahmen gar nicht erst gepr√ľft hatte. F√ľr die Beantwortung der Frage, welche Ma√ünahmen geeignet sein k√∂nnten, gab die Entscheidung des BayLDA somit wenig Anhaltspunkte.

Google Analytics

Schlag auf Schlag ging es dann ab Dezember 2021, als gleich mehrere europ√§ische Aufsichtsbeh√∂rden den Einsatz von Google Analytics untersagten (wir hatten berichtet).¬† Hier √§u√üerten die Beh√∂rden recht unmissverst√§ndlich, dass nach ihrer Auffassung Googles “zus√§tzlichen Ma√ünahmen” nicht geeignet seien, um ein angemessenes Schutzniveau zu gew√§hrleisten. So f√ľhrte beispielsweise die √Ėsterreichische Datenschutzbeh√∂rde (√ĖDSB) in ihrem Bescheid vom 22.12.2021 aus:

‚ÄúIn Bezug auf die dargelegten vertraglichen und organisatorischen Ma√ünahmen ist nicht erkennbar, inwiefern [die Ma√ünahmen] effektiv […] sind.‚ÄĚ

‚ÄúSofern die technischen Ma√ünahmen betroffen sind, ist ebenso nicht erkennbar [‚Ķ] inwiefern [die Ma√ünahmen] die Zugriffsm√∂glichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tats√§chlich verhindern oder einschr√§nken.‚ÄĚ

Der Europ√§ische Datenschutzbeauftragte (EDSB) stellte in seinem Bescheid vom 05.01.2022 klar, dass das europ√§ische Unternehmen, welches Google Analytics auf seiner Website einsetzt, darlegen und beweisen m√ľsse, dass die Ma√ünahmen geeignet seien. Dieser Beweis wird in der Praxis kaum m√∂glich sein.

Google Fonts

Der n√§chste Paukenschlag kam am 20.01.2022 mit dem inzwischen ber√ľhmt ber√ľchtigten Urteil des Landgerichts M√ľnchen I zu Google Fonts (wir hatten berichtet). Das Gericht hatte einem Website-Besucher Schadensersatz in H√∂he von EUR 100,00 zugesprochen, weil ein Website-Betreiber eine extern eingebundene Schriftart genutzt hatte, welche beim Aufruf der Seite von einem Google-Server geladen wurde. Das Urteil zog eine Abmahnwelle hinter sich, die zwischenzeitlich absurde Ausma√üe annahm. Allein unserer Kanzlei lagen etwa 50 Schreiben von Abmahnanw√§lten vor, welche im Namen angeblicher Mandanten Geldentsch√§digungen forderten.

Das Urteil passt zwar streng genommen nicht ganz in die Aufz√§hlung, weil es weniger um die √úbermittlung von Daten in die USA, als mehr um die generelle Daten√ľbertragung an externe Server ging. Es reiht sich jedoch insofern ein, als es einen weiteren problematischen Aspekt bei der Einbindung externer Diensteanbieter aufzeigt.

Klaviyo

Ganz aktuell sind wir auf eine Meldung eines Kollegen aus Hamburg vom 11.11.2022 aufmerksam geworden, wonach ihm eine Abmahnung wegen des Einsatzes von Klaviyo vorliegt. Laut dem Bericht wurde ein Unternehmen abgemahnt, welches den beliebten Newsletter- bzw. Marketing-Automation-Dienst einsetzt. Klaviyo speichert und verarbeitet die hochgeladenen Daten Рinsbesondere E-Mail-Adressen von Kunden und Newsletter-Empfängern Рauf Servern in den USA.

Der abmahnende Website-Besucher verlangt vom Website-Betreiber Auskunft gem√§√ü Art. 15 DSGVO, Unterlassung sowie Schadensersatz in H√∂he von mindestens EUR 5.000,00. Begr√ľndet wird die Abmahnung mit der unzul√§ssigen √úbermittlung personenbezogener Daten in die USA, da Klaviyo keine ausreichenden “zus√§tzlichen Ma√ünahmen” biete.

Wichtig: Es ist noch nicht bekannt, wie die Angelegenheit weiter verlaufen ist. Es ist durchaus m√∂glich, dass das abgemahnte Unternehmen sich gegen die Anspr√ľche wehrt und eventuell sogar eine gerichtliche Entscheidung ergeht. So m√ľ√üig dies f√ľr das betroffene Unternehmen w√§re, so w√ľnschenswert w√§re ein etwaiges Urteil mit Hinblick auf eine rechtliche Kl√§rung.

Shopify

Ebenfalls ganz aktuell ist eine Meldung des Betreibers des Online-Shops “Happy Coffee“. Dieser berichtet, dass die Landesbeauftragte f√ľr den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) ihm gegen√ľber den Einsatz des beliebten Shopsystems Shopify f√ľr rechtswidrig erkl√§rt habe. Konkret st√∂re sich die LfDI an den von Shopify verwendeten CDNs (Content Delivery Networks) Fastly und Cloudflare.¬†Diese verarbeiten personenbezogene Daten, insbesondere IP-Adressen von Website-Besuchern, auf Servern in den USA. In der Begr√ľndung f√ľhrt die LfDI interessanterweise aus, dass auch die √úbermittlung von Daten auf Grundlage einer Einwilligung gem√§√ü Art. 49 Abs. 1 lit. a DSGVO nicht regelm√§√üig, sondern allenfalls in Ausnahmef√§llen zul√§ssig sei.

Kurzes und schmerzloses Res√ľmee der LfDI:

“Da eine f√ľr Cookies, Plugins und andere Trackingmechanismen passende L√∂sung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter in der Regel unzul√§ssig.”

 

Was nun?

Insgesamt hinterl√§sst das Vorgehen von Abmahnern und Aufsichtsbeh√∂rden mehr Fragen als Antworten. Seit dem Schrems II-Urteil ist klar, dass die Nutzung von US-Diensten problematisch ist. Dass sie aber nach Auffassung der Beh√∂rden praktisch unm√∂glich sein soll, ist dann doch ein unbefriedigendes Ergebnis. Wie bereits einleitend ausgef√ľhrt, ist der Betrieb einer Website oder eines Online-Shops komplett ohne US-Dienste fast nicht m√∂glich. Die europ√§ischen Alternativen haben h√§ufig entscheidende Nachteile.

Ein zumindest vor√ľbergehendes Licht am Horizont k√∂nnte das angek√ľndigte ‚ÄěTrans-Atlantic Data Privacy Framework‚Äú¬†sein, das neue US-EU-Datenschutzabkommen. Wann dieses in Kraft treten und wie lange es halten wird, ist jedoch unklar. Bis dahin m√ľssen Unternehmen sich √ľberlegen, wie sie mit der aktuellen Situation umgehen m√∂chten.

Am Ende wird nur eine wirtschaftliche Betrachtung helfen: Welche Risiken bestehen? K√∂nnen diese Risiken reduziert werden? Wie hoch ist die Wahrscheinlichkeit, dass Risiken sich verwirklichen? Mit welchen Kosten oder Sch√§den ist dann zu rechnen? Spezialisierte Rechtsanw√§lte k√∂nnen Ihr Unternehmen bei dieser komplexen Absch√§tzung unterst√ľtzen und gemeinsam mit Ihnen eine wirtschaftlich sinnvolle L√∂sung finden.

 

Photo by Carlos Muza on Unsplash

Abmahnung wegen unzureichender Cookie-Consent-Tools

Unserer Kanzlei liegt eine aktuelle Abmahnung der Verbraucherzentrale Baden-W√ľrttemberg vor, welche ein vermeintlich unzureichendes Cookie-Banner auf einer Website zum Gegenstand hat. Beanstandet wird ein Versto√ü gegen ¬ß 15 Abs. 3 TMG, da auf der Website Third-Party-Cookies eingesetzt w√ľrden, ohne dass √ľber das Cookie-Banner eine ausdr√ľckliche Einwilligung des Website-Besuchers eingeholt werde.

Hintergrund: Der Bundesgerichtshof (BGH) hatte in der Sache¬†Planet 49¬†entschieden, dass Website-Betreiber eine aktive Einwilligung der Nutzer ben√∂tigen, wenn sie Cookies zur Speicherung und Analyse des Nutzerverhaltens auf ihrer Seite setzen wollen (Urteil vom 28.05.2020, Az.¬†I ZR 7/16,¬†wir hatten berichtet). Dabei hatte das Gericht ausdr√ľcklich festgehalten, dass¬†ein sogenannter Opt-Out, also beispielsweise ein voreingestelltes Ankreuzk√§stchen, gerade keine wirksame Einwilligung darstellt. Der BGH setzte hier die Rechtsprechung des Europ√§ischen Gerichtshofs (EuGH) fort, welcher bereits im Oktober 2019 (Az.¬†C-673/17) entschieden hatte, dass die Speicherung von Cookies – sofern diese f√ľr den Betrieb der Website nicht zwingend erforderlich seien – nur mit vorheriger, ausdr√ľcklicher Einwilligung zul√§ssig sei und dass das blo√üe “Weitersurfen” gerade keine solche Einwilligung darstelle.

Read more

Abmahnung von Datenschutzverst√∂√üen durch Verbrauchersch√ľtzer m√∂glich

Das Gesetz zur zivilrechtlichen Durchsetzung von verbrauchersch√ľtzenden Vorschriften des Datenschutzrechts r√§umt Verbraucherverb√§nden das Recht ein, datenschutzrechtliche Verst√∂√üe von Unternehmen abzumahnen und Unterlassungsklagen hiergegen zu erwirken. √úber den entsprechenden Gesetzesentwurf zu Verbandsklagen bei Datenschutzverst√∂√üen wurde bereits Anfang 2015 diskutiert (wir berichteten). Read more

Hamburger Datenschutzbeauftragter erlässt Verwaltungsanordnung gegen Facebook

Der Hamburgische Beauftragte f√ľr Datenschutz und Informationsfreiheit¬†gab heute in einer Pressemitteilung bekannt, eine Verwaltungsanordnung erlassen zu haben, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Das Unternehmen¬†soll zudem Daten l√∂schen, die bereits von¬†WhatsApp an Facebook √ľbermittelt wurden.¬† Read more

OLG Köln: Kontaktformular ohne Datenschutzerklärung kann abgemahnt werden

Nach ¬ß 13 TMG m√ľssen Diensteanbieter wie etwa¬†Website-Betreiber √ľber die Erhebung und Verwendung personenbezogener Daten in einer Datenschutzerkl√§rung informieren. Dies gilt insbesondere auch f√ľr den Fall, dass √ľber ein Kontaktformular Daten wie Namen und E-Mail-Adressen von Nutzern erhoben werden. In einer j√ľngeren Entscheidung schloss sich das OLG K√∂ln der Auffassung anderer Gerichte an, wonach¬†das Fehlen einer Datenschutzerkl√§rung gleichzeitig einen Wettbewerbsversto√ü darstellt, der auch von Mitbewerbern abgemahnt werden kann.
Read more

Bundestag beschließt Verbandsklagerecht bei Datenschutzverstößen

Bereits vor einiger Zeit hatten wir √ľber einen Gesetzesentwurf berichtet, wonach Datenschutzverst√∂√üe in Zukunft von Verbraucherverb√§nden abgemahnt werden k√∂nnen. Am 17.12.2015 hat¬†der Bundestag die Gesetzes√§nderung nun beschlossen. Read more