Aufsichtsbehörden verhängen Bußgelder in den Bereichen Cookies und Einwilligungen

DSGVO Bußgeld

Vodafone Italien muss 12,25 Mio. Strafe zahlen – für aggressives Telemarketing

Im November diesen Jahres verhängte die italienische Aufsichtsbehörde ( Grante per la protezoni die dati personali) gegen Vodafon Italien ein Bußgeld in Höhe von 12,25 Mio. Euro. Grund hierfür war im Kern Werbeanrufe an eine Vielzahl von Vodafone-Kunden, denen keine wirksame Einwilligung zu Grunde lag. Außerdem wirft die Aufsichtsbehörde sehr aggressives Telemarketing vor. Das kritische dabei sei gewesen, dass Vodafone die Daten über Dritte eingeholt hat, wofür überwiegend keine Einwilligung vorlag.
So arbeitete Vodafone mit einer Vielzahl an Callcentern zusammen, um diese Werbestrategie durchzuführen. Was generell nicht ungewöhnlich ist, wurde nun aber zum Problem: denn viele dieser Callcentern wunden nicht von Vodafone direkt für diese Werbeanrufe autorisiert. Hierbei handelte es sich daher um unrechtmäßige Verarbeitungsvorgänge.

Neben dem Bußgeld legte die Behörde einige Maßnahmen fest, die Vodafone Italien nun ergreifen muss um die nationalen und europäischen Datenschutzvorschriften einzuhalten.
So müssen unter anderem die Sicherheitsmechanismen zur Verhinderung von unerlaubtem Zugriff auf und unrechtmäßige Verarbeitung von Kundendaten gestärkt werden und Auftragsverarbeiter sorgfältiger ausgewählt werden.
Denn obwohl der Verantwortliche beim Auftragsverarbeiter Regress nehmen kann, haftet der Verantwortliche gegenüber dem Betroffenen gem. Art. 32 Abs. 1 DSGVO in voller Höhe. Außerdem ist der entstandene Imageschaden deutlich gravierender zu bewerten als das verhängte Bußgeld der Behörde.

Verstoß gegen die Informationspflicht gemäß Art. 13 DSGVO

Weitere Verstöße gegen die elementaren Rechte der Betroffenen stellte die französische Aufsichtsbehörde (CNIL) bei Europas zweitgrößtem Einzelhandelsunternehmens Carrefour France und Carrefour Banque fest. Bei den Ermittlungen, die bereits im Sommer 2019 begannen, ergab sich, dass die Webseiten von Carrefour die notwenigen Informationen nach Art. 13 DSGVO nicht transparent genug darstellt hatten. Konkret ging es hierbei um personenbezogene Daten, die über das Treueprogramm verarbeitet worden sind.
Die Behörde stellte fest, dass die nötigen Informationen nicht nur schwer zugänglich, sondern auch schwer verständlich waren. Außerdem genügten die Datenschutzhinweise nicht dem Transparenzgebot aus Art. 5 Abs. 1 DSGVO.

Auf Cookies auf der Webseite richtig hinweisen

Was genau beim Setzen von Cookies zwingend erforderlich ist, ist zwar durch die Planet 49 Entscheidung des EuGH rechtlich klar definiert, denn das Setzen von nicht unbedingt erforderlichen Cookies bedarf stets einer aktiven Einwilligung des Webseitenbesuchers. Trotzdem bereitet die Umsetzung den Unternehmen aber immer wieder Schwierigkeiten.

Verstöße gegen die Grundprinzipien des Datenschutzes und damit der Verletzung der elementaren Rechte von Betroffenen, stuft der europäische Gesetzgeber als besonders schwer ein.
Mit einem Verstoß gegen Art. 6 und Art. 7 DSGVO in Bezug auf die Einwilligung können sich Unternehmen schnell das „große Bußgeld“ nach Art. 83 Abs. 5 DSGVO einhandeln. Dieses Bußgeld ist der Höchstsatz and erteilbaren Strafen und kann sich auf bis zu 20 Mio. Euro oder 4% des Konzernjahresumsatzes belaufen.

Die oberste Datenschützerin Niedersachsens, Frau Barbara Thiel, startete kürzlich hierzu eine kleine Untersuchung.  Kleine und mittelständische Unternehmen aus Niedersachsen wurden gebeten, einen Fragebogen auszufüllen und zu beantworten, wie Sie Cookies einsetzen und darauf Hinweisen. Ebenfalls erfragt wurde die Einbindung von Diensten von Drittanbietern.
„Viele der geprüften Webseiten zeigten in diesem Bereich Mängel. Einige davon waren so erheblich, dass sie zur Unwirksamkeit der Einwilligung führten“, so Thiel zur Auswertung der Umfrage.

Am häufigsten kam es vor, dass mittels optischer Hilfsmittel, wie die bewusste Einbindung von Farben der Ablehnen- und Zustimmen- Buttons der Webseitenbesucher unterbewusst beeinflusst wurde und somit keine echte Wahl habe. Fehlerhafte Voreinstellungen waren ebenfalls auffällig oft vertreten.

Das Nutzen von optischen Hilfsmitteln, oder auch „Nudging“ genannt, stellt weitgehend eine rechtliche Grauzone dar. Im Einzelfall bewerten hier die Aufsichtsbehörden und Gerichte, ob sie den datenschutzrechtlichen Anforderungen genügen.

Das Positive an den oben genannten Fällen und Bußgeldbescheiden bleibt jedoch folgendes: alle lassen sich leicht im Vorfeld verhindern.
Unser Rat:
Seien Sie bedacht bei der Wahl der Auftragsverarbeiter und wählen Sie diese sorgfältig nach Vertrauenswürdigkeit und transparentem Agieren aus.
Sensibilisieren Sie das Webseite betreibende Personal und lassen Sie sich in jeder Phase der Implementierung von Neuerungen datenschutzrechtlich absichern.

Abmahnradar DSGVO, Google Fonts

Google Fonts DSGVO Abmahnung

Abmahnungen wegen Nutzung von Google Fonts

Viele warnten vor tollwütigen Abmahnanwälten und es gibt sie wirklich.

Schon kurz nach dem Stichtag 25.5. zur DSGVO, trudelten bei den ersten Abmahnungen bei Firmen ein.

Beanstandungsgrund: Nutzung von Google Fonts auf der Webseite

Scheinbar werden deutlich mehr Daten als angenommen übermittelt, wenn betreffende Webseiten im Hintergrund die Fonts über den Google Server beziehen.

Auch ein Hinweis in der Datenschutzerklärung zu Google Fonts soll nicht ausreichend sein. Nach Ansicht einiger Gerichte bedarf es der Zustimmung durch den Besucher, wenn zusätzliche nicht definierte Daten an den Google Server übermittelt werden.

Was können Sie tun:

Wenn Ihre Webseite Google Fonts benutzt, veranlassen Sie Ihren Webmaster die Google Fonts wenn möglich nicht mehr zu benutzen. Wenn das nicht geht, sollten die Google Fonts auf dem Server installiert werden, auf dem die Webseite ausgeliefert wird. Dann können die Google Fonts benutzt werden ohne dass eine Verbindung zum Google Server hergestellt wird.

Wenn Sie WordPress benutzen, installieren Sie ein entsprechendes Plugin zum deinstallieren der Google Fonts in dem Template.