In den letzten Tagen erhielten zahlreiche Thüringer Unternehmen, die Internetauftritte wie einen eigenen Onlineshop oder eine Unternehmenswebseite unterhalten, Post vom Landesdatenschutzbeauftragten. Das Schreiben fordert die Adressaten aus, Auskünfte in Bezug auf die Nutzung von Analysediensten zu erteilen. Wir zeigen Ihnen, was es damit auf sich hat!
Inhaltsverzeichnis
- Worum geht es?
- Fragen zur Einhaltung der DSGVO
- Auskunftsverlangen nach Art. 58 Abs. 1 lit. a) DSGVO
- Beantwortung des Schreibens nicht zwingend erforderlich
- Pflicht zur Einwilligung in Setzung von Cookies für solche Dienste folgt bereits aus dem EuGH-Urteil vom 01.10.2019
- Die Luft wird dünner
- Ihr Vorteil: Datenschutzrechtlich immer auf dem Laufenden durch den Update-Service der IT-Recht Kanzlei
- Absicherung auch von Webseitenbetreibern
- Fazit
Worum geht es?
Immer wieder Thüringen:
Aktuell versendet der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) massenweise Schreiben an Onlinehändler und Webseitenbetreiber mit Sitz in Thüringen, mittels derer die Aufforderung ergeht, Stellung zum Einsatz von Analysediensten zu beziehen und einen ausgefüllten Fragebogen an den TLfDI zurückzusenden.
Aufgrund etlicher Mandantenberichte und den Erfahrungen mit dem TLfDI aus der Vergangenheit dürften hier sicherlich einige tausend Schreiben in die Post gegangen sein.
So war bereits vor etwa einem Jahr die Verunsicherung groß bei Unternehmen aus Thüringen, wurden vom Landesdatenschutzbeauftragten Lutz Hasse doch vor allem im Dezember 2018 rund 17.000 Schreiben an dortige Unternehmen versendet mit der Aufforderung, einen Fragebogen zum Thema Datenschutz auf der Internetseite der Datenschutzbehörde zu beantworten.
Fragen zur Einhaltung der DSGVO
Zunächst erfolgen im aktuellen Schreiben Ausführungen zur sachlichen und örtlichen Zuständigkeit des TLfDI.
Sodann wird mitgeteilt, dass der TLfDI derzeit im Rahmen seiner Befugnisse die Internetauftritte Thüringer Verantwortlicher hinsichtlich der Einhaltung der Vorgaben der überprüft.
Das Schreiben verweist danach auf die Rechtsansicht des TLfDI, dass der Einsatz von Analysetools nur nach vorheriger Einwilligung des Seitenbesuchers zulässig sei sowie auf eine dazugehörige Pressemitteilung des TLfDI.
„Trigger“ für den Erhalt eines solchen Schreibens dürfte nach derzeitigen Erkenntnissen insbesondere die Verwendung des Tools Google (Universal) Analytics sein, auf welches der TLfDI in seinen Schreiben Bezug nimmt und für dessen Einsatz der TLfDI ausdrücklich die vorherige Einwilligung des Seitennutzers zur rechtlichen Voraussetzung macht.
Auskunftsverlangen nach Art. 58 Abs. 1 lit. a) DSGVO
Im Folgenden verschärft sich der Ton des Schreibens. Der TLfDI schwenkt auf die Geltendmachung eines Auskunftsverlangens um und fordert zur schriftlichen und vollständigen Beantwortung diverser Fragen zum Zustand der betriebenen Webseite im Zeitpunkt des Zugangs des Schreibens auf.
Binnen 14 Tagen soll der Empfänger des Schreibens u.a. folgende Fragen gegenüber dem TLfDI beantworten:
- Setzen Sie Dritt-Dienste, also z. B. Analyse-Tools, welche Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergeben und diese die personenbezogenen Daten auch für eigene Zwecke nutzen ein (wie z.B. Google Analytics, facebook pixel, mixpanel, eCouda, Jimdo Analytics)? Wenn ,,Ja", welche Dienste setzen Sie ein?
- Sollten Sie Dritt-Dienste einsetzen: Wird jeweils eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) i. V. m. Art. 7DS-GVO der Nutzerin / des Nutzers eingeholt?
- Sollte eine Einwilligung eingeholt werden: Auf welche Weise wird die Einwilligung eingeholt? Bitte Verfahren spezifizieren (z.B. Banner mit Schaltflächen) ggf. mit Screenshots.
- Welche Informationen werden dem Einwilligenden auf welche Weise zur Verfügung gestellt?
- Wie ermöglichen Sie den Widerruf der Einwilligung (bitte genaue Beschreibung des Verfahrens)?
- Sollte keine Einwilligung eingeholt werden: Welche Maßnahme(n) werden Sie bis wann ergreifen?
Beantwortung des Schreibens nicht zwingend erforderlich
Zugleich weist der TLfDI darauf hin, dass sein Schreiben noch keinen verpflichtenden Charakter hat.
Zugleich droht er aber für den Fall der nicht fristgemäßen Beantwortung der Fragen den Erlass eines kostenpflichtigen und verbindlichen Bescheids, der den Adressaten dann zur Beantwortung der Fragen verpflichten soll.
Jedenfalls nach Erlass des angedrohten Bescheids werden die Betroffenen dann wohl nicht mehr um die Auskunftserteilung herumkommen.
Pflicht zur Einwilligung in Setzung von Cookies für solche Dienste folgt bereits aus dem EuGH-Urteil vom 01.10.2019
Bereits am 01.10.2019 hatte die IT-Recht Kanzlei ihre Update-Service-Mandanten und Leser der Webseite auf ein richtungsweisendes Urteil des EuGH (Az.: C-673/17) hingewiesen.
Das Gericht stellte dabei klar, dass die Setzung von technisch nicht zwingend für den Betrieb der jeweiligen Webseite notwendigen Cookies (worunter insbesondere auch solche Cookies fallen, die Analysetools wie Google Analytics nutzen) nur noch dann zulässig ist, wenn der Seitenbesucher darin zuvor ausdrücklich eingewilligt hat.
Betreiber von Webseiten (egal ob mit oder ohne Shopfunktion) sollten die „Warnsignale“ daher ernst nehmen.
Wer weiterhin technisch nicht notwendige Cookies ohne Einwilligung setzt (und beim Einsatz von Analysediensten den Nutzer damit auch ohne dessen Einwilligung „trackt“), der setzt sich zunehmend der Gefahr eines datenschutzbehördlichen Einschreitens bzw. sogar einer Abmahnung aus.
Die Luft wird dünner
Die aktuellen Schreiben des TLfDI zeigen, dass die Datenschutzbehörden vermehrt von sich aus die Initiative ergreifen und nicht mehr nur beschwerdehalber tätig werden. Der Verfolgungsdruck von Datenschutzvergehen steigt seit Geltung der DSGVO ab 28.05.2018 stetig an.
Behörden nehmen datenschutzkonformes Verhalten von Onlinehändlern also zunehmend ernster. Die Kontrolldichte wächst.
Wer als Onlinehändler aktiv ist, muss damit nicht mehr nur in Sachen Angebotsgestaltung, Impressum, AGB und Widerrufsbelehrung laufend auf der rechtssicheren Seite sein, sondern auch die datenschutzrechtlichen Herausforderungen bewältigen, will er keinen Ärger mit Datenschutzbehörden haben.
Dies bedeutet insbesondere, dass der Onlinehändler mehr denn je darauf achten muss, eine aktuelle, vollständige und bereits die Vorgaben der DSGVO erfüllende Datenschutzerklärung vorzuhalten (die selbstverständlich auch solche Drittanbieterdienste wie Google Analytics, Matomo oder Facebook Pixel) rechtssicher beherrschen können muss.
Die IT-Recht Kanzlei bietet im Rahmen ihrer Schutzpakete und den darin enthaltenen, abmahnsicheren Rechtstexten Onlinehändlern auch eine DSGVO-konforme, professionelle Datenschutzerklärung für die Online-Verkaufspräsenz an. Die Datenschutzexperten der IT-Recht Kanzlei entwickeln die Datenschutzerklärung permanent weiter und passen diese an die jeweils aktuellen rechtlichen Voraussetzungen an (wie etwa kürzlich an die Vorgaben, die der EuGH mit seinem Urteil vom 01.10.2019 aufgestellt hat).
Ihr Vorteil: Datenschutzrechtlich immer auf dem Laufenden durch den Update-Service der IT-Recht Kanzlei
Sie wollen sich dauerhaft in datenschutzrechtlicher Hinsicht absichern und nicht ständig selbst neue datenschutzrechtliche Vorgaben im Blick haben müssen?
Im Rahmen der Schutzpakete sichert die IT-Recht Kanzlei Mandanten nicht nur einmalig ab. Durch den Update-Service wird für eine dauerhafte Absicherung gesorgt, da die Rechtstexte nicht nur statisch einmalig erstellt, sondern im Rahmen eines Pflegevertrags für Sie dauerhaft aktuell gehalten werden, da diese nur so der Dynamik des Rechtsgebiets des Datenschutzrechts gerecht werden können. Sie können sich zurücklehnen und werden über notwendige Updates der Rechtstexte per Email entfernt, wenn für Sie ein aktualisierter Rechtstexte bereitsteht.
Details zu den Schutzpaketen finden Sie gerne hier.
Absicherung auch von Webseitenbetreibern
Auch Betreiber von bloßen Informations- bzw. Präsentationswebseiten benötigen neben einem rechtssicheren Impressum auch eine DSGVO-konforme Datenschutzerklärung, insbesondere wenn auf solchen Seiten Drittanbietertools laufen sollten.
Die IT-Recht Kanzlei sichert nicht nur den klassischen Onlinehändler ab, sondern auch Webseitenbetreiber, also etwa Firmen, die „nur“ eine Präsentations-, Unternehmens-, Visitenkarten- bzw. Informationswebseite (ohne Kaufmöglichkeit betreiben).
Wer als Betreiber einer solchen Webseite ein abmahnsicheres Impressum sowie eine DSGVO-konforme Datenschutzerklärung wünscht, kann sich bereits ab 5,90 Euro zzgl. MwSt. monatlich umfassend absichern
Fazit
Der TLfDI ist mal wieder recht aktiv…
Wer ein solches Schreiben erhält, sollte dieses ggf. als Warnsignal dahingehend sehen, die Einwilligungspflicht für technisch nicht notwendige Cookies (wie etwa solche für die Nutzung von Analysediensten) auf den eigenen Webseiten umzusetzen.
Update-Service-Mandanten der IT-Recht Kanzlei werden dazu mehrere kostenfreie Cookie-Consent-Lösungen zur Verfügung gestellt, mittels derer die Einwilligung für die Cookie-Setzung rechtssicher eingeholt werden kann.
Der Druck durch die Datenschutzbehörde steigt stetig an. Wer die immer strenger werdenden datenschutzrechtlichen Vorgaben als Onlinehändler bzw. Webseitenbetreiber nicht umsetzt, riskiert Ärger.
Wir sichern Sie ab – sprechen Sie uns an.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
1 Kommentar
Die "Deutsche Umwelthilfe" finanziert sich seit Jahren damit.
Allein schon der Hinweis, dass man das Schreiben nicht beantworte, dann aber mit einem kostenpflichtigen und verbindlichen Bescheid rechnen müsste, legt den Verdacht nahe, dass sich die Truppe im strafrechtlichen Bereich bewegt.
Das Schreiben würde ich der Staatsanwaltschaft mit der Bitte um Aufnahme der Ermittlungen zuleiten. Entweder der Shopbetreiber ist zur Auskunft verpflichtet oder nicht. Dann mit einem Vermögensschaden zu drohen, wenn die - scheinbar freiwillige - Auskunft nicht erteilt wird, sehe ich als mögliche Erpressung.