Tag Archive for: Bußgeld

Google, MailChimp, Shopify, Klaviyo: Immer mehr US-Dienste im Datenschutz-Visier

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von Datenschützern oder Abmahnern gerät. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbehörden europäischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen berühmt berüchtigte Urteil des Landgerichts München I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbehörde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die Übermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste überhaupt noch risikofrei einsetzen?

Angefangen hat alles am 16. Juli 2020 mit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH, Rechtssache C 311/18), in dem das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt wurde. Die Übertragung personenbezogener Daten in die USA – und damit der Einsatz von US-Diensten, Cloud- oder SaaS-Anbietern – ist seitdem nur unter komplexen Voraussetzungen zulässig und immer von einer Einzelfallbetrachtung abhängig. Die Datenschutz-Aufsichtsbehörden sind im Ergebnis sogar der Auffassung, dass eine Nutzung solcher Dienste praktisch gar nicht mehr möglich sein soll. Folge: Ein erhebliches Risiko für Unternehmen und Website-Betreiber.

 

Kurz und knapp: What to do?

In der Praxis ist der Betrieb einer Website oder eines Online-Shops, der im Wettbewerb mit anderen Anbietern stehen soll, bei einem kompletten Verzicht auf US-Dienste fast unmöglich. Es fehlt schlichtweg an gleichwertigen europäischen Alternativen. Komplette Umzüge und Umstrukturierungen sind mit erheblichem Aufwand und Kosten, sowie ggf. mit Verlust an Performance verbunden.

Am Ende wird es auf eine wirtschaftliche Betrachtung hinauslaufen. Welche Maßnahmen können Unternehmen mit einem vertretbaren Aufwand ergreifen, um Datenübermittlungen in die USA weitestmöglich zu reduzieren? Es sind Risiken, mögliche Kosten, wirtschaftlicher Nutzen und “weiche Elemente” wie Kundenzufriedenheit gegeneinander abzuwägen. Hierbei können spezialisierte Rechtsanwälten oder Datenschutzbeauftragte Sie unterstützen.

Datenschutz = Wettbewerbsvorteil 

Es zeigt sich deutlicher denn je: Datenschutz ist längst nicht mehr nur das Abhaken von Checklisten. Heute wirken sich datenschutzrechtliche Entscheidungen unmittelbar auf Marketing, Image, Performance und damit den Umsatz eines Unternehmens aus. Schnellschüsse sind deshalb in jedem Fall zu vermeiden.

 

Hintergrund

Die meisten US-amerikanischen Dienste wie Google, Facebook, Microsoft oder Adobe setzen seit dem Wegfall des Privacy Shields auf sogenannte Standarddatenschutzklausen (engl.: standard contractual clauses oder SCCs). Hierbei handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, welche zwischen dem europäischen Unternehmen (“Datenexporteur”) und dem US-Diensteanbieter (“Datenimporteur”) vereinbart werden und in denen das US-Unternehmen – stark vereinfacht gesagt – zusichert, die Daten angemessen zu schützen und sich weitgehend an EU-Datenschutzvorgaben zu halten.

Problem: Der EuGH hatte in der Schrems II-Entscheidung ausdrücklich festgehalten, dass die Datenübermittlung in die USA auf Grundlage von SCCs zwar grundsätzlich möglich sei. Dies gelte aber nur unter der Voraussetzung, dass das US-Unternehmen durch “zusätzliche Maßnahmen” (technisch und/oder organisatorisch) ein angemessenes Schutzniveau sicherstellt. Insbesondere der Umstand, dass nach amerikanischem Recht die US-Geheimdienste unter bestimmten Voraussetzungen auf Datenbestände zugreifen dürfen, ist hierbei problematisch. Welche Maßnahmen geeignet sein könnten und wie hoch etwaige Mindeststandards sind, ließ das Gericht offen. Und genau an dieser Frage scheiden sich aktuell die Geister.

MailChimp

Schon im März 2021 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung des beliebten Newsletter-Tools MailChimp untersagt (wir hatten berichtet). Das Tool speichert und verarbeitet die E-Mail-Adressen von Newsletter-Abonnenten auf Servern in den USA.

Begründet hatte das BayLDA die Untersagung interessanterweise nicht damit, dass die “zusätzlichen Maßnahmen” von MailChimp per se unzureichend seien, sondern damit, dass das deutsche Unternehmen diese Maßnahmen gar nicht erst geprüft hatte. Für die Beantwortung der Frage, welche Maßnahmen geeignet sein könnten, gab die Entscheidung des BayLDA somit wenig Anhaltspunkte.

Google Analytics

Schlag auf Schlag ging es dann ab Dezember 2021, als gleich mehrere europäische Aufsichtsbehörden den Einsatz von Google Analytics untersagten (wir hatten berichtet).  Hier äußerten die Behörden recht unmissverständlich, dass nach ihrer Auffassung Googles “zusätzlichen Maßnahmen” nicht geeignet seien, um ein angemessenes Schutzniveau zu gewährleisten. So führte beispielsweise die Österreichische Datenschutzbehörde (ÖDSB) in ihrem Bescheid vom 22.12.2021 aus:

“In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv […] sind.”

“Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar […] inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.”

Der Europäische Datenschutzbeauftragte (EDSB) stellte in seinem Bescheid vom 05.01.2022 klar, dass das europäische Unternehmen, welches Google Analytics auf seiner Website einsetzt, darlegen und beweisen müsse, dass die Maßnahmen geeignet seien. Dieser Beweis wird in der Praxis kaum möglich sein.

Google Fonts

Der nächste Paukenschlag kam am 20.01.2022 mit dem inzwischen berühmt berüchtigten Urteil des Landgerichts München I zu Google Fonts (wir hatten berichtet). Das Gericht hatte einem Website-Besucher Schadensersatz in Höhe von EUR 100,00 zugesprochen, weil ein Website-Betreiber eine extern eingebundene Schriftart genutzt hatte, welche beim Aufruf der Seite von einem Google-Server geladen wurde. Das Urteil zog eine Abmahnwelle hinter sich, die zwischenzeitlich absurde Ausmaße annahm. Allein unserer Kanzlei lagen etwa 50 Schreiben von Abmahnanwälten vor, welche im Namen angeblicher Mandanten Geldentschädigungen forderten.

Das Urteil passt zwar streng genommen nicht ganz in die Aufzählung, weil es weniger um die Übermittlung von Daten in die USA, als mehr um die generelle Datenübertragung an externe Server ging. Es reiht sich jedoch insofern ein, als es einen weiteren problematischen Aspekt bei der Einbindung externer Diensteanbieter aufzeigt.

Klaviyo

Ganz aktuell sind wir auf eine Meldung eines Kollegen aus Hamburg vom 11.11.2022 aufmerksam geworden, wonach ihm eine Abmahnung wegen des Einsatzes von Klaviyo vorliegt. Laut dem Bericht wurde ein Unternehmen abgemahnt, welches den beliebten Newsletter- bzw. Marketing-Automation-Dienst einsetzt. Klaviyo speichert und verarbeitet die hochgeladenen Daten – insbesondere E-Mail-Adressen von Kunden und Newsletter-Empfängern – auf Servern in den USA.

Der abmahnende Website-Besucher verlangt vom Website-Betreiber Auskunft gemäß Art. 15 DSGVO, Unterlassung sowie Schadensersatz in Höhe von mindestens EUR 5.000,00. Begründet wird die Abmahnung mit der unzulässigen Übermittlung personenbezogener Daten in die USA, da Klaviyo keine ausreichenden “zusätzlichen Maßnahmen” biete.

Wichtig: Es ist noch nicht bekannt, wie die Angelegenheit weiter verlaufen ist. Es ist durchaus möglich, dass das abgemahnte Unternehmen sich gegen die Ansprüche wehrt und eventuell sogar eine gerichtliche Entscheidung ergeht. So müßig dies für das betroffene Unternehmen wäre, so wünschenswert wäre ein etwaiges Urteil mit Hinblick auf eine rechtliche Klärung.

Shopify

Ebenfalls ganz aktuell ist eine Meldung des Betreibers des Online-Shops “Happy Coffee“. Dieser berichtet, dass die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) ihm gegenüber den Einsatz des beliebten Shopsystems Shopify für rechtswidrig erklärt habe. Konkret störe sich die LfDI an den von Shopify verwendeten CDNs (Content Delivery Networks) Fastly und Cloudflare. Diese verarbeiten personenbezogene Daten, insbesondere IP-Adressen von Website-Besuchern, auf Servern in den USA. In der Begründung führt die LfDI interessanterweise aus, dass auch die Übermittlung von Daten auf Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO nicht regelmäßig, sondern allenfalls in Ausnahmefällen zulässig sei.

Kurzes und schmerzloses Resümee der LfDI:

“Da eine für Cookies, Plugins und andere Trackingmechanismen passende Lösung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter in der Regel unzulässig.”

 

Was nun?

Insgesamt hinterlässt das Vorgehen von Abmahnern und Aufsichtsbehörden mehr Fragen als Antworten. Seit dem Schrems II-Urteil ist klar, dass die Nutzung von US-Diensten problematisch ist. Dass sie aber nach Auffassung der Behörden praktisch unmöglich sein soll, ist dann doch ein unbefriedigendes Ergebnis. Wie bereits einleitend ausgeführt, ist der Betrieb einer Website oder eines Online-Shops komplett ohne US-Dienste fast nicht möglich. Die europäischen Alternativen haben häufig entscheidende Nachteile.

Ein zumindest vorübergehendes Licht am Horizont könnte das angekündigte „Trans-Atlantic Data Privacy Framework“ sein, das neue US-EU-Datenschutzabkommen. Wann dieses in Kraft treten und wie lange es halten wird, ist jedoch unklar. Bis dahin müssen Unternehmen sich überlegen, wie sie mit der aktuellen Situation umgehen möchten.

Am Ende wird nur eine wirtschaftliche Betrachtung helfen: Welche Risiken bestehen? Können diese Risiken reduziert werden? Wie hoch ist die Wahrscheinlichkeit, dass Risiken sich verwirklichen? Mit welchen Kosten oder Schäden ist dann zu rechnen? Spezialisierte Rechtsanwälte können Ihr Unternehmen bei dieser komplexen Abschätzung unterstützen und gemeinsam mit Ihnen eine wirtschaftlich sinnvolle Lösung finden.

 

Photo by Carlos Muza on Unsplash

Bußgeld EUR 75.000,00 wegen Interessenskonflikt des internen Datenschutzbeauftragten

Ein Gastbeitrag unserer Praktikantin Mariya Popova

Die belgische Datenschutzbehörde hat in einem Bescheid gegen eine Bank eine Geldbuße in Höhe von EUR 75.000,00 verhängt. Der interne Datenschutzbeauftragte der Bank war nach Ansicht der Behörde aufgrund seiner anderen Tätigkeiten im Unternehmen in einen Interessenskonflikt nach Art. 38 Abs. 6 S. 2 DSGVO geraten.

Was macht ein Datenschutzbeauftragter überhaupt und wer braucht einen? Wer kann Datenschutzbeauftragter werden und wer ist verantwortlich bei Verstößen? Wie wird ein Interessenskonflikt verhindert und warum ist es sicherer, einen externen Datenschutzbeauftragten zu benennen? Diese Fragen sollen nachfolgend beantwortet werden.

Read more

Schwerwiegender Datenschutzverstoß: 35,3 Mio. Euro Bußgeld gegen H&M

Aufgrund massiver Datenschutzverstöße gegenüber den eigenen Mitarbeitern durch die H&M Hennes & Mauritz Online Shop A.B. & Co. KG, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld von über EUR 35.000.000.00 erlassen. Das Unternehmen sammelte über Jahre Informationen zu den privaten Lebensumständen von über hundert Angestellten. In sogenannten „Welcome-Back-Talks“, sowie in Einzel- und Flurgesprächen wurden unter anderem Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter erlangt und teilweise aufgezeichnet.

Ein Gastbeitrag unseres studentischen Mitarbeiters Benjamin Diez.

Read more

Gesetzesentwurf: Verbandsklagerecht bei Datenschutzverstößen

Lange hatte man darüber gesprochen, jetzt ist es soweit: Das Bundeskabinett hat den Entwurf eines Gesetzes zur Verbesserung der Durchsetzung des Datenschutzrechts vorgelegt. Danach sollen Verbraucherverbände künftig gegen Unternehmen vorgehen können, wenn diese in für Verbraucher relevanten Bereichen gegen das Datenschutzrecht verstoßen. Betroffen ist beispielsweise die Datenverarbeitung für Werbung, Persönlichkeitsprofile sowie Adress- und Datenhandel. Read more

Bei unzulässiger E-Mail-Werbung drohen Bußgelder

Dass der Versand unerlaubter E-Mail-Werbung durch teure Abmahnungen von Wettbewerbern beanstandet werden kann, war bekannt. Ebenso, dass sich im Falle unzulässiger E-Mail-Werbung die betroffenen Empfänger durch Abmahnungen zu Wehr setzen können. Dass neben UWG und Persönlichkeitsrecht auch datenschutzrechtliche Vorschriften des BDSG und TMG verletzt werden, war vielen Webenden zwar bewusst, doch wurde dem wenig eigene Bedeutung zugemessen. Theoretisch wusste man zwar, dass solche Verstöße als Ordnungswidrigkeit geahndet werden können und dass (noch theoretischer) Bußgelder drohen. Dass die Behörden aber irgendwann Ernst machen und  tatsächlich Bußgelder verhängen würden, damit hat wohl kaum einer gerechnet. Read more