Datenschützer jagen Online-Tracker

Latham & Watkins LLP
Contact

Latham & Watkins LLPDeutsche Datenschutzbehörden und Aktivisten ermitteln wegen Cookie-Einsatz. Unternehmen sollten die Entwicklungen genau verfolgen. Drohen Webseitenbetreibern neben Bußgeldern und Nachteilen für das Geschäftsmodell „amerikanische Verhältnisse“ hinsichtlich Massenklagen auf Schadensersatz?

Die deutschen Aufsichtsbehörden für den Datenschutz gehen gegen Unternehmen vor, die Daten über das Surf-Verhalten ihrer Nutzer in unzulässiger Weise verarbeiten. Viele Unternehmen verwenden Tracking-Technologien, um die Besucher ihrer (und anderer) Websites zu identifizieren und Nutzerprofile zu bilden. Aussagekräftige Informationen über besuchte Websites sowie angesehene oder gekaufte Produkte sind zum Bespiel oft bares Geld wert. Allerdings stellt das Datenschutzrecht hohe Anforderungen an das Sammeln und Auswerten solcher Nutzerdaten. Erst kürzlich hatten Europäischer Gerichtshof (EuGH) und Bundesgerichtshof gleich mehrere Urteile gefällt, die Online-Tracking und vor allem auch die grenzüberschreitende Nutzung oder Übermittlung personenbezogener Daten vor hohe Hürden stellen. Der vorliegende Beitrag beschreibt, welche Risiken drohen und mit welchen konkreten Schritten Unternehmen sie vermeiden oder reduzieren können.

101 Anzeigen von Datenschutzaktivisten

Bislang haben bei weitem nicht alle Unternehmen die strengen Vorgaben der Richter umgesetzt. Das ruft jetzt gleich mehrere Datenschützer auf den Plan. So hatte die Datenschutzorganisation NOYB („None of Your Business“) diese Woche in einer werbewirksam mit Dalmatinern gestalteten Meldung bekannt gegeben, dass sie 101 Beschwerden gegen Unternehmen eingereicht hat. Mangelnde Nutzerfreundlichkeit kann man den Datenschutzaktivisten jedenfalls nicht unterstellen. Auf ihrer Website sind sogar die Texte der Beschwerden abrufbar, die sie bei den jeweiligen EU-Datenschutzbehörden gestellt haben.

Welche Folgen haben die Beschwerden und wie laufen die Ermittlungen der Behörden ab?

Das Vorgehen von NOYB bleibt auch für Datenschutzbehörden nicht ohne Folge. Denn die Behörden sind gesetzlich verpflichtet, den Beschwerden der Datenschutzaktivisten nachzugehen. Die – ebenfalls auf der Website von NOYB genannten – Unternehmen dürften also bald Post von den Behörden erhalten. Üblicherweise schicken Behörden in derartigen Fällen Fragebögen, die das Unternehmen dann beantworten soll. Kommt das Unternehmen dieser Aufforderung nicht nach, folgt ein entsprechender Bescheid mit einem Herausgabeverlangen. Entscheidet sich die Behörde als Ausgang eines solchen Prüfverfahrens, ein Bußgeld zu verhängen, kann mangelnde Kooperation dann möglicherweise sogar zu einem höheren Bußgeld führen.

Die Rolle der Datenschutzaktivisten endet übrigens nicht mit dem Stellen der Anzeige bei der Behörde. Die Datenschutzbehörden müssen Beschwerdeführer über den Ausgang des Verfahrens unterrichten. Ist der betroffene Beschwerdeführer mit der Entscheidung der Behörde nicht einverstanden, kann er sie gerichtlich überprüfen lassen. Eine solche Entwicklung ist hier wahrscheinlich. Denn in der Vergangenheit hat NOYB die Gerichte bis hoch zum EuGH oft und teilweise mit erfolgreichem Ausgang beschäftigt.

Flächendeckende Ermittlungen der deutschen Aufsichtsbehörden

Dabei scheint das Vorgehen der Datenschutzaktivisten den Datenschutzbehörden nicht ungelegen zu kommen. Deutsche Datenschutzbehörden haben nun sogar ein flächendeckendes Vorgehen angekündigt. Beginnen wollen sie mit der Medienbranche. Zudem wissen wir aus unserer Mandatsarbeit, dass darüber hinaus viele Unternehmen bereits Nachfragen der Behörden zu Online-Tracking, dem Einholen von Einwilligungen und dem Einsatz von Cookies erhalten haben. Ganz ähnlich haben auch andere europäische Datenschutzbehörden wie die irische Datenschutzaufsicht (IDC) bereits angekündigt, in Kürze mit der Durchsetzung der Regeln für die Verwendung von Cookies und Online-Tracking zu beginnen. Hier scheint sich also eine generelle Entwicklung im sogenannten „Enforcement“, also der Durchsetzung von Rechtsnormen durch die Datenschutzbehörden abzuzeichnen, die für Online-Unternehmen zu einigen Veränderungen führen kann.

Schadensersatzklagen als weiteres Risiko für Unternehmen

Dabei stehen den Datenschutzaktivisten neben Beschwerden bei den Datenschutzbehörden noch andere Mittel zur Verfügung. So hatte der NOYB-Gründer und Online-Aktivist – von der Öffentlichkeit weitgehend unbemerkt – vor dem Landesgericht Wien kürzlich erfolgreich 500 Euro immateriellen Schadensersatz wegen eines vermeintlichen Datenschutzverstoßes erstritten. Die Entscheidung ist nicht rechtskräftig. Der Datenschutzaktivist fordert offenbar eine höhere Entschädigung für den vom Landesgericht Wien angenommenen Datenschutzverstoß.

Und es ist nicht ausgeschlossen, dass er damit Erfolg haben könnte. Denn das Arbeitsgericht Düsseldorf hat in einem ähnlich gelagerten Fall kürzlich einem Kläger sogar 5.000 Euro als Ersatz für den durch einen vermeintlichen Datenschutzverstoß erlittenen immateriellen Schaden zugesprochen. Auch diese Entscheidung ist nicht rechtskräftig. Der Kläger hatte in diesem Fall zunächst einen Schadensersatz von über 140.000 Euro gefordert. Eine Berufung gegen die Entscheidung ist beim Landesarbeitsgericht Düsseldorf anhängig, Aktenzeichen 14 Sa 294/20.

Sollten die Gerichte diesem Kurs folgen, drohen auch in der EU „amerikanische Verhältnisse“. Denn solche Verfahren um immateriellen Schadensersatz eignen sich gut für Massenklagen. Oft ist eine Vielzahl von Personen betroffen und die Sachverhalte sind meistens gleichlaufend. Der Aufwand für Massenklagen hält sich daher in Grenzen und derartige Verfahren lassen sich gut bündeln. Prozessfinanzierer, Verbraucheranwälte und Legal-Tech-Unternehmen haben das bereits erkannt. Es dürfte daher nur eine Frage der Zeit sein, bis auch Datenschutzaktivisten erkennen, welche Öffentlichkeitswirkung – aber auch welchen wirtschaftlichen Druck – sie mit entsprechenden Schadensersatzklagen erzielen können.

Wie können sich Unternehmen auf Ermittlungen und Klagen vorbereiten?

Im Folgenden finden Sie einige Beispiele für Maßnahmen, mit denen Unternehmen bestehende Risiken erfahrungsgemäß recht effektiv verringern können:

  • Bilden einer Task Force mit internen und externen Experten aus den Bereichen Datenschutzrecht, IT, Marketing und Kommunikation
  • Professionelles Projektmanagement und erforderliche Ressourcen sicherstellen
  • Überprüfung der in den Beschwerden aufgestellten Behauptungen
  • Festlegen einer Verteidigungsstrategie, welche Risiken akzeptiert das Unternehmen in Bezug auf Änderungsanordnungen, Bußgelder, Schadensersatzforderungen etc.? Ist das Unternehmen bereit, die eigene Rechtsposition vor Gericht durchzufechten?
  • Überprüfung der Datenflüsse und Prozesse beim Einsatz von Cookies
  • Vorbereitung darauf, dass man der Behörden die eigene Rechtsposition überzeugend erläutern muss
  • Vorbereitung aller Informationen, die die Behörden üblicherweise mit ihren Fragebögen anfordern
  • Vorbereitung einer PR-Strategie; gründlich geplante Öffentlichkeitsarbeit, ggf. Litigation-PR. Wie reagiert das Unternehmen auf welche Entwicklung? Dabei auch gemeinsame koordinierte Kommunikation mit anderen Unternehmen oder in Verbänden berücksichtigen
  • Technische Vorbereitung auf ggf. nötige Änderungen der Website oder sonstiger Datenverarbeitungen

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Latham & Watkins LLP | Attorney Advertising

Written by:

Latham & Watkins LLP
Contact
more
less

Latham & Watkins LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide