Urteile wegen Datenschutzverstößen auf Homepages

Wie bei allen Datenverarbeitungen gilt es auch auf Homepages, die Grundsätze der DS-GVO zu beachten. Insbesondere bedarf jede Verarbeitung personenbezogener Userdaten einer individuellen Rechtsgrundlage und die Websitebesucher müssen transparent und vollständig über die Verarbeitung informiert werden. Besonders hohe Anforderungen werden dabei an Plugins und andere Dienste gestellt, über die personenbezogene Informationen an Dritte wie Google oder Facebook übermittelt werden.

Einige Fragen zur datenschutzkonformen Gestaltung von Homepages waren nach dem Inkrafttreten der DS-GVO stark umstritten, wurden mittlerweile aber von Gerichten geklärt – teilweise auf höchster Ebene vor dem Euro-päischen Gerichtshof (EuGH):

Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv setzen können. Eine Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, gilt nicht als wirksam erteilte Einwilligung.

(Az.: C-673/17)

Unternehmen, die das Plugin „Gefällt mir“ von Facebook auf Ihrer Firmenhomepage einbinden, sind gemeinsam mit Facebook für die Erhebung und Übermittlung der personenbezogenen Daten verantwortlich. Die Informationspflichten erstrecken sich aber nur auf diesen Vorgang und nicht auf nachgelagerte Verarbeitungen.

(Az.: C-40/17)

Wenn Webseitenbetreiber eine Einwilligung für Cookies benötigen, müssen Nutzer diese aktiv erteilen. Nicht ausreichend für eine wirksame Einwilligung ist ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählt.

(Az.: I ZR 7/16)

Fallbeschreibung:

Ein Website-Betreiber nutzte auf seiner Seite Google Fonts. Dieser Dienst stellt eine Vielzahl von Schriftarten zur Verfügung, die kostenlos genutzt werden dürfen. Die Einbindung kann dabei statisch oder dynamisch erfolgen. Bei der statischen Einbindung kann der Betreiber die gewünschte Schriftart herunterladen, in seinen eigenen Webspace hochladen und lokal in seine Webseite einbinden. In diesem Fall entsteht beim Besuch der Website keine Verbindung zu Google Servern. Bei der dynamischen Einbindung wird ein Code-Snippet in den HTML-Code der Webseiten eingebunden. Dabei wird beim Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und die gewünschte Schriftart geladen. Durch den Verbindungsaufbau zum Google-Server wird mindestens die IP-Adresse des jeweiligen Webseitenbesuchers an Google übertragen. Im vorliegenden Fall hatte der Website-Betreiber jedoch kein Cookie-Consent-Banner o. ä. und konnte daher von keinem Besucher eine Einwilligung einholen. Aus diesem Grund erhob der Kläger Klage und verlangte Unterlassung sowie Schadensersatz.

Entscheidung des LG München:

Das LG München entschied, dass der Kläger einen Unterlassungsanspruch bezüglich der Weitergabe seiner IP-Adresse an Google hat. Der Website-Betreiber hatte von keinem Website-Besucher eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO für die Weitergabe der dynamischen IP-Adressen an Google eingeholt. Dieses Vorgehen konnte der Website-Betreiber auch nicht gem. Art. 6 Abs. 1 lit. f) DS-GVO auf ein berechtigtes Interesse stützen, da eine statische Einbindung möglich gewesen wäre. Zusätzlich sprach ihm das Gericht außerdem 100 Euro Schadenersatz zu. Begründet wurde dies damit, dass der mit der Datenweitergabe an Google verbundene Kontrollverlust und das vom Kläger empfundene individuelle Unwohlsein so erheblich sind, dass ein Schadensersatzanspruch gerechtfertigt ist. In diesem Zusammenhang muss berücksichtigt werden, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort nach herrschender Meinung kein angemessenes Datenschutzniveau gewährleistet ist.

(LG München, Urteil v. 20.01.2022, Az.: 3 O 17493/20)

Fallbeschreibung

Nachdem die Prüfung der Websites von Verlagen im Jahr 2020 durch die Landesdatenschutzbehörden ohne spürbare Folgen blieb, entschied sich der Verbraucherzentrale Bundesverband (VZBV) dazu, gegen fünf große deutsche Verlage Klage zu erheben. Nach Ansicht der VZBV entsprechen die eingesetzten Cookie-Banner auf den Verlagswebsites nicht den datenschutzrechtlichen Anforderungen, um eine wirksame Einwilligung des Users einzuholen. Zudem müsse der User transparent, präzise und verständlich über das Tracking informiert werden.

In einer ersten Klage gegen das digitale Medienhaus BurdaForward GmbH, eine Tochter von Hubert Burda Media, rügt der VZBV die Nutzung von sog. Dark Patterns auf der Seite Focus.de. Demnach ist auf der ersten Ebene nur die Zustimmung zum Nutzertracking möglich, die Ablehnung allerdings erst unauffällig auf der zweiten Ebene. Der VZBV stützte seine Klage zunächst auf die DS-GVO und später auf § 25 TTDSG.

Entscheidung des LG München

Die Klage des VZBV hatte vor dem Landgericht (LG) München I teilweise Erfolg. Das Vorgehen des Verlags auf der Website sei schon deshalb nicht geeignet, um eine informierte und freiwillige Einwilligung einzuholen, weil der User für eine Ablehnung aufwendiger mit der Consent Managment Platform (CMP) interagieren müsste. Zudem umfassen allein die Screenshots der Datenschutzeinstellungen rund 140 Seiten. Eine weitere Forderung des VZBV, der Websitebetreiber solle detaillierter über die beabsichtigte Datennutzung und ihre Vereinbarungen mit Drittanbietern informieren, wurde dagegen abgelehnt. Der Verband habe seine Anträge ausschließlich auf das TTDSG gestützt, die Informationspflichten ergäben sich allerdings nur aus der DS-GVO.

(LG München I, Urteil v. 29.11.2022, Az.: 33 O14776/19)

Firmenhomepages müssen grundsätzlich verschlüsselt sein. Zudem muss eine Datenschutzerklärung verwendet werden, die den Anforderungen der DS-GVO entspricht. Zudem stellen Verstöße gegen die DS-GVO zugleich auch einen Verstoß gegen das Wettbewerbsrecht dar, was sie abmahnfähig macht.

(Az.: 11 O 1741/18 UWG)

Fallbeschreibung

Ein Bibliotheksnutzer, der regelmäßig mit dem Onlinekatalog der Hochschulbibliothek auf der Website der Hochschule RheinMain arbeitete, war der Ansicht, dass seine personenbezogenen Daten über die Website in unzulässiger Weise an Dritte übermittelt würden. Deshalb mahnte er bei der Hochschule wegen verschiedenen Verstößen ab und forderte sie auf, eine strafbewehrte Unterlassungsverpflichtung abzugeben. Die Websitebetreiberin sollte auf den Einsatz der Dienste „Google Tag Manager“ und „Cookiebot“ verzichten.
Der User führte an, dass über den Dienst „Google Tag Manager“ seine IP-Adresse sowie weitere Daten über die Hard- und Software des Endgerätenutzers (z. B. aufgerufene Internetseiten, Betriebssystem, verwendeter Browser, etc.) an die Google-Server in den USA übermittelt werden. Aus der Kombination der Daten ergäbe sich seiner Meinung nach ein einmaliger digitaler Fingerabdruck. Dieselben Daten würden auch über den Dienst „Cookiebot“ übermittelt werden. Bei dem Anbieter handelt es sich zwar um ein dänisches Unternehmen, die eingesetzten Server seien aber auf einen US-amerikanischen Cloud-Hosting-Anbieter registriert. Unabhängig vom Standort der Server hätte der Anbieter Zugriff auf die Daten, sodass der amerikanische Cloud-Act gelte, nach dem US-Regierungsbehörden personenbezogene Daten bei US-Unternehmen einseitig, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen anfordern können. Nach Ansicht des Users würde die Hochschule Websitebesucher damit der Gefahr unbefugter Zugriffe auf deren personenbezogene Daten aussetzen, was einen Verstoß gegen den Vertraulichkeitsgrundsatz darstellt. Die Hochschule schaltet den Dienst „Google Tag Manager“ nach dem Schreiben des Bibliotheknutzers auf ihrer Website ab, weigerte sich allerdings, die Unterlassungsverpflichtung zu unterzeichnen und auf den Cookie-Dienst „Cookiebot“ zu verzichten. Daraufhin machte er gerichtlich einen Unterlassungsanspruch geltend, um der Hochschule die Nutzung des Dienstes untersagen zu lassen, wobei er sich überwiegend auf die Begründung der Abmahnung berief. Zudem führte er weitere Argumente an, die seine Forderung stützen sollten:

  • Die Hochschule als öffentliche Stelle könne sich nicht auf ein berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) als Rechtsgrundlage stützen.
  • Die Notwendigkeit des Cookie-Dienstes sei zweifelhaft, da aufgrund verschiedener Einstellung keine wirksame Einwilligung eingeholt werden würde.
  • Zwischen der Hochschule und dem Tool-Anbieter wurden keine Standardvertragsklauseln abgeschlossen. Es sei nicht ausreichend, dass der Tool-Anbieter mit dem Cloud-Hosting-Anbieter Standardvertragsklauseln abgeschlossen habe, da dort keine ergänzenden Maßnahmen gegen unzulässige Datenübermittlungen in die USA enthalten wären.
  • Die Hochschule und der Tool-Anbieter seien gemeinsam für die Datenverarbeitung verantwortlich, da die Hochschule die Daten übermittle und die Verarbeitungszwecke bestimme, während der Anbieter über die technische Gestaltung und die Verarbeitungsmittel entscheide.

Die Hochschule widersprach den dargelegten Argumenten des Users und führte unter anderem aus, dass an den Anbieter lediglich eine anonymisierte IP-Adresse mit den letzten drei Ziffern auf Null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des Browsers der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter Key sowie der Einwilligungsstatus der betroffenen Person übermittelt wird. Sollte aus technischen Gründen eine ungekürzte IP-Adresse an den Cloud-Hosting-Anbieter übermittelt werden würde, werde diese nicht verarbeitet oder gespeichert.

Entscheidung des VG Wiesbaden

Das Verwaltungsgericht (VG) Wiesbaden teilte die Ansicht des Bibliotheknutzers und untersagte der Hochschule in einem Eilverfahren (vor Klageerhebung) die weitere Nutzung des Dienstes „Cookiebot“ auf ihrer Website im Rahmen einer einstweiligen Anordnung. Das VG Wiesbaden entschied, dass betroffenen Personen ein öffentlich-rechtlicher Unterlassungsanspruch gem. § 1004 BGB analog i. V. m. Art. 79 Abs. 1 DS-GVO und der jeweils verletzten DS-GVO-Norm zustehen kann. Art. 79 DS-GVO entfalte keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Seine Entscheidung begründete das Gericht insbesondere wie folgt:

  • Entgegen der Aussage der Hochschule wird auf der Website über den Dienst „Cookiebot“ die vollständige IP-Adresse der User verarbeitet und gespeichert. Die Übermittlung einer ungekürzten IP-Adresse beim erstmaligen Laden würde bereits eine Verarbeitung personenbezogener Daten darstellen.
  • Da die personenbezogenen Daten auf Servern des Cloud-Hosting-Anbieters verarbeitet werden, liegt eine Drittstaatenübermittlung nach Art. 44 DS-GVO vor. Wer konkreter Vertragspartner des Tool-Anbieters ist (US-amerikanische Zentrale oder europäische Tochter), ist dabei unerheblich, da die Unternehmenszentrale des Cloud-Hosting-Anbieters ihren Sitz in den USA hat und dem Cloud-Act unterliegt.
  • Die Voraussetzungen für eine Datenübermittlung in ein Drittland (USA) sind nicht gegeben, keine der in Art. 48 oder 49 DS-GVO (z. B. internationale Übereinkunft, Einwilligung, öffentliches Interesse) genannten Bedingungen sind erfüllt.
  • Die Hochschule ist zumindest für die Erhebung und die Übermittlung der Daten an den Cloud-Hosting-Anbieter, die über ihre Website verarbeitet werden, verantwortlich.
  • Zusätzlich findet auch eine Verarbeitung personenbeziehbarer Daten statt, da der Cookie-Dienst sog. Cookie-Keys setzt. Für sich allein kann über die Keys kein Personenbezug hergestellt werden, in Zusammenspiel mit der IP-Adresse und weiteren übermittelten Daten allerdings schon.
  • Ob die Hochschule allein oder gemeinsam für die Datenverarbeitung verantwortlich ist, ist unerheblich, da Betroffene ihre Rechte nach der DS-GVO bei einem der ggf. gemeinsam Verantwortlichen geltend machen kann.
  • Bei jedem Websitebesuch droht ein erneuter Verstoß und die Rechtsverletzung kann nur abgestellt werden, wenn der Dienst insgesamt von der Website genommen wird.

Die Anordnung des VG Wiesbaden ist aufgrund des Eilverfahrens befristet und zunächst nur für vier Wochen wirksam, soweit der Bibliotheksnutzer keine Klage einreicht.

(VG Wiesbaden, Beschluss v. 01.12.2021, Az.: 6 L 738/21.WI)

Update:

Die Hochschule Rhein-Main darf das Cookie-Consent-Tool von Cookiebot weiter einsetzen. Das hat der Verwaltungsgerichtshof (VHG) Kassel in einem Eilverfahren am 17.01.2022 (Az. 10 B 2486/21) entschieden. Das Urteil des VG Wiesbaden, dass der Hochschule die Nutzung von Cookiebot untersagt hat, wurde vom VHG aus formellen Gründen aktuell ausgesetzt. Mehr Informationen dazu können Sie in unserem Blogpost ‚Wichtige Entscheidungen zur Datenübermittlung an Drittländer‚ nachlesen.

Fallbeschreibung:

Ein Website-Betreiber nannte auf seiner Seite den Namen einer Angestellten als Ansprechpartnerin. Auch nachdem die Mitarbeiterin das Unternehmen bereits verlassen hatte, wurde ihr Name weiterhin auf der Homepage genannt. In der Folge forderte der Rechtsanwalt der Frau den Website-Betreiber und ehemaligen Arbeitgeber auf, die Daten zu löschen und erklärte, dass sich die Frau auch schon an die Landesbeauftragte für Datenschutz gewandt hatte. Die Daten blieben weiterhin öffentlich sichtbar. Als sich nach 10 Monaten immer noch nichts getan hatte, forderte der Rechtsanwalt der Frau in einem Schreiben die Abgabe einer Unterlassungserklärung und die Zahlung von 8000 € als Entschädigung. In der Folge unterschrieb der Website-Betreiber die Unterlassungserklärung und zahlte 150 € an die Frau. Daraufhin erhob die Frau Klage und verlangte 5000 € Schadensersatz gem. Art. 82 Datenschutzgrundverordnung (DS-GVO).

Entscheidung des Arbeitsgerichts (ArbG) Neuruppin:

Das ArbG Neuruppin entschied, dass der Klägerin Schadensersatz in Höhe von 1000 € abzüglich der geleisteten 150 € zusteht. Der Website-Betreiber war dazu verpflichtet, sämtliche im Zusammenhang mit der Klägerin veröffentlichten Daten von der Homepage zu entfernen, da das Arbeitsverhältnis beendet war. Dieser Pflicht ist er jedoch – trotz mehrmaliger Aufforderung – nicht nachgekommen und die Daten der Frau waren auch noch Monate nach ihrem Ausscheiden aus dem Unternehmen auffindbar. Dass der ehemalige Arbeitgeber der Frau einen datenschutzrechtlichen Fehler begangen und die auch erkannt hat, zeigt sich insbesondere auch darin, dass er eine Unterlassungserklärung abgegeben und in der Folgezeit 150 € an die spätere Klägerin gezahlt hat. Das Gericht entschied, dass die Klägerin einen Schadensersatzanspruch in Höhe von 1000 € hat, da ihr ehemaliger Arbeitgeber trotz ihres entsprechenden Antrags über mehrere Monate hinweg deren Daten auf der Homepage nicht gelöscht hat. Da der Website-Betreiber bereits 150 € gezahlt hatte, war er verpflichtet weitere 850 € an seine ehemalige Angestellte und Klägerin zu zahlen.

(ArbG Neuruppin, Urteil v. 14.12.2021, Az.: 2 Ca 554/21)