Anzeige
Anzeige

Datenschutz

Analytics-Urteil aus Köln: Was es bedeutet, was Seitenbetreiber tun müssen

16.05.2023 - Ein Kölner Gericht hat die Telekom abgestraft. Es sieht oberflächlich so aus, als ginge es vor allem um Cookie-Banner, doch im Kern des Urteils stecken Datentransfers in Nicht-EU-Länder. Wer Google Analytics nutzt, muss aufpassen.

von Sebastian Halm

Beim Aufruf der Homepage der Telekom   flossen personenbezogene Daten an Google in die USA. Denn das Telko-Unternehmen hatte den Analyse- und Marketingdienst Google Ad Services   eingebunden. Das geht nun nicht mehr, urteilt das Landgericht Köln. Geklagt hatte die Verbraucherzentrale NRW (AZ 33 O 376/22).

Die Richter befanden, dass die Praxis gegen die "Schrems II"-Entscheidung des Europäischen Gerichtshofs verstößt. Darin hatte der EuGH befunden, dass der Datenschutz in den USA nicht europäischen Standards genügt. Die Telekom hatte sich damit helfen wollen, dass sie einen Vertrag mit Google abschließt, der europäische Standards nach DSGVO-Regelung garantieren sollte. "Doch ein solcher Vertrag ist nicht ausreichend - wegen der vielen nachrichtendienstlichen Gesetze in den USA, die Behörden außerordentlichen Datenzugriff einräumen", sagt Datenschutz-Aktivist Christian Bennefeld . "Das ist auch die Argumentation der deutschen Aufsichtsbehörden, der nun endlich ein deutsches Gericht folgt."

Eine Überprüfung des Datenverkehrs der Telekom habe ergeben, dass für die Nutzung des Anzeigenservices "Google Ads" Daten wie die IP-Adresse, Informationen über den genutzten Browser und das verwendete Engerät in die USA übermittelt wurden, schreibt die Verbraucherzentrale NRW   .

Die Telekom hätte ausreichende Maßnahmen treffen müssen, um den Schutz der Nutzerdaten zu sichern. Sie argumentierte hier mit der im Cookie-Banner eingeholten Zustimmung zum Datentransfer, sagt Bennefeld: "Gibt es eine Einwilligung des Nutzers, das ist in Punkt 6.1a der DSGVO geregelt, ist der Datentransfer in Ordnung. Die Gestaltung der Einwilligung wird in Artikel 7 geregelt. Doch: Beides gilt nur in Europa, nicht beim Transfer in ein Drittland."

Alles, was den Seitenbesuchern der Telekom angeboten wurde war eine einfache Zustimmung im Cookie-Banner über den Button "Alle akzeptieren". Nicht genug, so das Urteil: Der Seitenbetreiber kann keine freiwillige Einwilligung unterstellen, wenn die alternativen Schaltflächen mit "Einstellungen ändern" beschriftet sind und/oder im Fließtext versteckt sind, etwa als "Nur notwendige Cookies akzeptieren" oder ähnlich.

Zu wenig, sagt Bennefeld: "Da braucht man eine transparente Information des Nutzers über den Transfer seiner Daten in ein Dritland ohne adäquates Schutzniveau und die Zustimmung dazu. Doch das pauschal abzuholen (49.1. DSGVO) im Rahmen einer Cookie-Zustimmung ist nicht okay."

Laut Bennefeld haben Seitenbetreiber eigentlich nur vier valide Optionen.

  1. Der Datentransfer findet mit Verschlüsselung statt. Ist vielleicht bei einem Datenspeicher-Dienst wie Dropbox möglich, bei dem die andere Seite die Daten nicht auslesen muss, bei einer Analytics-Lösung muss der Analyse-Anbieter ja darauf zugreifen und die Daten decodieren können - geht also nicht.
  2. Warten auf ein Abkommen: Gehen Daten in ein Drittland außerhalb der EU, müssen zwischen den beiden Staatengebilden sogenannte Angemessenheitsbeschlüsse bestehen, die das gleiche Datzenschutzniveau sicherstellen (Safe Harbour war eines, wurde aber mittels der Schrems I-Entscheidung des EuGH kassiert, dann kam Privacy-Shield, es fiel bei Schrems II). Die USA hat nun keinen Angemessenheitsbeschluss mehr mit der EU. Präsident Joe Biden hat ein 'Data Privacy Network' angekündigt, dass diese Lage beheben soll, das steht aber noch aus.
  3. Explizite und transparente Nutzer-Einwilligung: Bennefeld empfiehlt klare Informationen. Das kann ein längerer Text sein mit einer zusätzlichen Checkbox, die klar sagt: Daten fließen ins Ausland. "Dort muss gesagt werden, in welche Länder die Daten gehen, welches Schutzabkommen dort gilt, welche Daten genau betroffen sind und was das Land damit macht - das muss der Nutzer extra validieren und bestätigen können."
  4. Als Analytics-Tool eine EU-Lösung verwenden, die den hiesigen Standards genügt.
Das Urteil ist noch nicht rechtskräftig, sonst könnte es schon Abmahnungen regnen. Sobald dies aber der Fall ist, wird die bisher gängige Praxis der Datenübermittlung vieler Unternehmen untersagt, ebenso die (bewusst) irreführende oder umständliche Gestaltung von Cookie-Bannern (Nudging).

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Diskussion:

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

Anzeige
Anzeige
Anzeige
www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.versandhausberater.de