Expert Talk: "AI wird das Kaufverhalten massiv beeinflussen" Video-Podcast ansehen
Nie hat sich die Welt schneller verändert als heute. Für Unternehmen eine gewaltige Herausforderung, denn Disruption kennt vor allem zwei Spielertypen: Gewinner und Verlierer. Wie Sie sich auf der richtigen Seite wiederfinden, erklärt FactFinder-Chefin Kristie Collins im iBusiness Expert Talk. Video-Podcast ansehen
Dossier Temu-Strategie Zum Dossier 'Temu-Strategie'
Was sind die Erfolgsrezepte des chinesischen Billig-Marktplatzes? Und wie kann man seiner Strategie begegnen? Das iBusiness-Dossier stellt exklusive Zahlen und Analysen zu TEMU zusammen.
Zum Dossier 'Temu-Strategie'
Datenschutz

Analytics-Urteil aus Köln: Was es bedeutet, was Seitenbetreiber tun müssen

16.05.2023 Ein Kölner Gericht hat die Telekom abgestraft. Es sieht oberflächlich so aus, als ginge es vor allem um Cookie-Banner, doch im Kern des Urteils stecken Datentransfers in Nicht-EU-Länder. Wer Google Analytics nutzt, muss aufpassen.

 (Bild: Midjourney/Sebastian Halm)
Bild: Midjourney/Sebastian Halm
Beim Aufruf der Homepage der Telekom zur Homepage dieses Unternehmens Relation Browser Dienstleister-Dossier einsehen flossen personenbezogene Daten an Google in die USA. Denn das Telko-Unternehmen hatte den Analyse- und Marketingdienst Google Ad Services zur Homepage dieses Unternehmens Relation Browser eingebunden. Das geht nun nicht mehr, urteilt das Landgericht Köln. Geklagt hatte die Verbraucherzentrale NRW (AZ 33 O 376/22).

Die Richter befanden, dass die Praxis gegen die "Schrems II"-Entscheidung des Europäischen Gerichtshofs verstößt. Darin hatte der EuGH befunden, dass der Datenschutz in den USA nicht europäischen Standards genügt. Die Telekom hatte sich damit helfen wollen, dass sie einen Vertrag mit Google abschließt, der europäische Standards nach DSGVO-Regelung garantieren sollte. "Doch ein solcher Vertrag ist nicht ausreichend - wegen der vielen nachrichtendienstlichen Gesetze in den USA, die Behörden außerordentlichen Datenzugriff einräumen", sagt Datenschutz-Aktivist Christian Bennefeld‘Christian Bennefeld’ in Expertenprofilen nachschlagen . "Das ist auch die Argumentation der deutschen Aufsichtsbehörden, der nun endlich ein deutsches Gericht folgt."

Eine Überprüfung des Datenverkehrs der Telekom habe ergeben, dass für die Nutzung des Anzeigenservices "Google Ads" Daten wie die IP-Adresse, Informationen über den genutzten Browser und das verwendete Engerät in die USA übermittelt wurden, schreibt die Verbraucherzentrale NRW zur Homepage dieses Unternehmens Relation Browser .

Die Telekom hätte ausreichende Maßnahmen treffen müssen, um den Schutz der Nutzerdaten zu sichern. Sie argumentierte hier mit der im Cookie-Banner eingeholten Zustimmung zum Datentransfer, sagt Bennefeld: "Gibt es eine Einwilligung des Nutzers, das ist in Punkt 6.1a der DSGVO geregelt, ist der Datentransfer in Ordnung. Die Gestaltung der Einwilligung wird in Artikel 7 geregelt. Doch: Beides gilt nur in Europa, nicht beim Transfer in ein Drittland."

Alles, was den Seitenbesuchern der Telekom angeboten wurde war eine einfache Zustimmung im Cookie-Banner über den Button "Alle akzeptieren". Nicht genug, so das Urteil: Der Seitenbetreiber kann keine freiwillige Einwilligung unterstellen, wenn die alternativen Schaltflächen mit "Einstellungen ändern" beschriftet sind und/oder im Fließtext versteckt sind, etwa als "Nur notwendige Cookies akzeptieren" oder ähnlich.

Zu wenig, sagt Bennefeld: "Da braucht man eine transparente Information des Nutzers über den Transfer seiner Daten in ein Dritland ohne adäquates Schutzniveau und die Zustimmung dazu. Doch das pauschal abzuholen (49.1. DSGVO) im Rahmen einer Cookie-Zustimmung ist nicht okay."

Laut Bennefeld haben Seitenbetreiber eigentlich nur vier valide Optionen.
  1. Der Datentransfer findet mit Verschlüsselung statt. Ist vielleicht bei einem Datenspeicher-Dienst wie Dropbox möglich, bei dem die andere Seite die Daten nicht auslesen muss, bei einer Analytics-Lösung muss der Analyse-Anbieter ja darauf zugreifen und die Daten decodieren können - geht also nicht.
  2. Warten auf ein Abkommen: Gehen Daten in ein Drittland außerhalb der EU, müssen zwischen den beiden Staatengebilden sogenannte Angemessenheitsbeschlüsse bestehen, die das gleiche Datzenschutzniveau sicherstellen (Safe Harbour war eines, wurde aber mittels der Schrems I-Entscheidung des EuGH kassiert, dann kam Privacy-Shield, es fiel bei Schrems II). Die USA hat nun keinen Angemessenheitsbeschluss mehr mit der EU. Präsident Joe Biden hat ein 'Data Privacy Network' angekündigt, dass diese Lage beheben soll, das steht aber noch aus.
  3. Explizite und transparente Nutzer-Einwilligung: Bennefeld empfiehlt klare Informationen. Das kann ein längerer Text sein mit einer zusätzlichen Checkbox, die klar sagt: Daten fließen ins Ausland. "Dort muss gesagt werden, in welche Länder die Daten gehen, welches Schutzabkommen dort gilt, welche Daten genau betroffen sind und was das Land damit macht - das muss der Nutzer extra validieren und bestätigen können."
  4. Als Analytics-Tool eine EU-Lösung verwenden, die den hiesigen Standards genügt.
Das Urteil ist noch nicht rechtskräftig, sonst könnte es schon Abmahnungen regnen. Sobald dies aber der Fall ist, wird die bisher gängige Praxis der Datenübermittlung vieler Unternehmen untersagt, ebenso die (bewusst) irreführende oder umständliche Gestaltung von Cookie-Bannern (Nudging).
Neuer Kommentar  Kommentare:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.
alle Veranstaltungen Webcasts zu diesem Thema:
Dienstleister-Verzeichnis Agenturen/Dienstleister zu diesem Thema: