Nutzertracking auf Webseiten

Ein dichter Wald mit aufziehenden Nebelschwaden - Tracking auf Webseiten - Blog

Inhalt

Die Suche nach dem richtigen Weg im Nebelwald

April! Wenn man an manchen Tagen dieses Monats aus dem Fenster schaut, sieht es trüb aus. Die Wegbiegung in der Ferne ist nicht mehr erkennbar, das Ziel lässt sich nur erahnen, die nassen rutschigen Wurzeln auf dem Waldweg werden zur Stolperfalle…

So ähnlich fühlen sich viele Unternehmer hinsichtlich der datenschutzrechtlichen Anforderungen beim Tracking auf Webseiten, sei es weil sie eine Unternehmenswebseite betreiben, Online-Dienstleistungen anbieten oder sonst z.B. über Apps die Daten ihrer Nutzer sammeln. Hierzu gab es in den letzten Monaten diverse Veröffentlichungen der Datenschutzbehörden. Zudem befassten sich auch einige Gerichte bereits mit den Voraussetzungen der Cookienutzung und der Ausgestaltung von Cookiebannern zur Einholung von Einwilligungen für Trackingmaßnahmen.

Dieser Beitrag soll am Beispiel der Webseiten Licht ins Trübe bringen und die gefährlichen Stolperstellen auf dem Weg zum Ziel, einem datenschutzrechtskonformen Tracking, aufzeigen.

I. Rechtlicher Status Quo – Blind im Nebel?

Die Diskussion um Tracking auf Webseiten und insbesondere Cookies verstärkt sich mit zunehmender Digitalisierung und dem immer stärker werdenden Datenschutzbewusstsein in der Bevölkerung.

Schon im Jahre 2002 wurden mit der ePrivacy-Richtlinie 2002/58/EG (ePrivacy-RL) bestimmte Grundsätze für den Datenschutz im Netz aufgestellt und insbesondere die Anforderungen an den Einsatz von Cookies festgelegt. Gemäß diesen Regelungen war der Einsatz von Cookies zulässig, soweit der Nutzer umfassende Informationen u.a. über die Zwecke der Verarbeitung erhielt und mittels des sogenannten Opt-Outs dem Setzen des Cookies widersprechen konnte. In Deutschland wurde diese Regelung mit dem § 15 Abs. 3 TMG umgesetzt.

Die fortschreitende technologische Entwicklung und die zunehmenden Datenmengen im Internet sowie entsprechenden Analyse- und Nutzungsmöglichkeiten ließen jedoch Zweifel aufkommen, ob den Interessen der Nutzer mit der bloßen Information über die Datenverarbeitung genügt wird. Und so erließ der europäische Gesetzgeber 2009 eine Änderungsrichtlinie (2009/136/EG). Diese änderte die ursprüngliche ePrivacy-RL insoweit ab, dass für cookie-basierte Datenverarbeitungen eine Einwilligung erforderlich ist, es sei denn die Verarbeitung ist für den Betrieb der Webseite technisch notwendig. Eine Richtlinie entfaltet jedoch in den jeweiligen EU-Mitgliedsländern keine unmittelbare Wirkung, sondern muss stets vom nationalen Gesetzgeber mittels eines Gesetzes umgesetzt werden. In Deutschland erfolgte dies nicht, sondern es blieb bei der Regelung in § 15 Abs. 3 TMG. Dies führte jedoch in den Folgejahren immer wieder zu Diskussionen rund um die Einwilligungspflicht für die Cookienutzung.

1. Alles klar mit Inkrafttreten der DSGVO?

Am 25.05.2018 trat vielbeachtet die Datenschutz-Grundverordnung (EU) 2016/679 in Kraft (DSGVO). Diese beinhaltet zwar keine Aussage zu Cookies. Doch findet sich in Art. 6 Abs. (1) DSGVO neben der Einwilligung auch das berechtigte Interesse des Unternehmens als Rechtfertigungsgrund für eine Datenverarbeitung.

Die DSGVO führte somit nicht zu mehr Klarheit, sondern befeuerte vielmehr die Diskussion um die Anforderungen an den Einsatz von Cookies. So wurde argumentiert, dass, wenn gemäß der DSGVO berechtigte Interessen die Verarbeitung personenbezogener Daten rechtfertigen können, dies auch für die Verarbeitung von Daten durch Cookies gelten müsse und demnach nicht immer zwingend eine Einwilligung gefordert werden kann.

2. Richtungsweisende Urteile – Bessere Navigation?

Mit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Planet49“ vom 01.10.2019 (Az. C-673/17) wurde die Richtung, in die es geht, jedoch immer klarer. Der EuGH machte nämlich in seiner Entscheidung deutlich, dass die bereits seit 2002 geltende ePrivacy-RL (2002/58/EG) in der im Jahre 2009 geänderten Fassung (2009/136/EG) das Maß der Dinge ist. Wie bereits angesprochen, erfordert die ePrivacy-RL als Richtlinie eine Umsetzung durch den nationalen Gesetzgeber. Der EuGH stellte jedoch fest, dass Deutschland mit dem § 15 Abs. 3 TMG die in der ePrivacy-RL maßgeblichen Regelungen nicht umgesetzt hat. Entscheidend ist hier Art. 5 Abs. 3 ePrivacy-RL:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Dieses Umsetzungsversäumnis hat zur Folge, dass die nationalen gesetzlichen Regelungen an der ePrivacy-RL gemessen und entsprechend dieser ausgelegt werden müssen. Der EuGH entschied in der Sache zwar nicht, „Ob“ für die Verwendung von Cookies eine Einwilligung erforderlich ist, da dies nicht Entscheidungsgegenstand war. Vielmehr äußerte er sich nur zu den Anforderungen an eine solche Einwilligung, d.h zum „Wie“. Den deutlichen Aussagen des Gerichts in der Entscheidung ist jedoch klar zu entnehmen, dass für das „Ob“ einer Einwilligung der Maßstab des Art. 5 Abs. 3 ePrivacyRL anzulegen ist.

Und dem folgte dann der Bundesgerichtshof mit seiner Entscheidung vom 28.05.2020 (Urt. v. 28.05.2020 – I ZR 7/16 „Planet49“). Dieser hatte zuvor als Revisionsinstanz dem EuGH mit Beschluss vom 05.Oktober 2017 (Az. I ZR 7/16) mehrere Fragen zur Auslegung des Einwilligungserfordernisses für Cookies vorgelegt. Gegenstand der Entscheidung war zwar „nur“ die Auslegung des § 15 Abs. 3 TMG in Bezug auf Werbecookies. Doch lässt sich der Argumentation des Gerichts entnehmen, dass dieses Art. 5 Abs. 3 ePrivacy-RL unbedingt umsetzen möchte und demnach eine Einwilligung für alle Cookies grundsätzlich für erforderlich ansieht. Einwilligungsfrei ist nach Ansicht des Gerichts demnach nur das Setzen von Cookies, die für den Betrieb der Webseite zwingend erforderlich sind.

II. Rechtlicher Ausblick? – Gibt es einen Wetterwechsel?

1. Neuregelung durch das „Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG-Entwurf)

Das Bundesministerium für Wirtschaft und Energie (BMWI) hat im Sommer 2020 einen Entwurf eines „Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) vorgelegt. Dieser wurde am 10. Februar 2021 schließlich nach umfassender Länder- und Verbändeanhörung von der Bundesregierung beschlossen. Am 26.03.2021 beriet der Bundesrat über den Entwurf und gab anschließend eine Stellungnahme ab. Der Gesetzentwurf soll die DS-GVO flankieren und ist in erster Linie an Telekommunikationsanbieter adressiert. Er richtet sich aber auch an Anbieter von Telemedien und Webseitenbetreiber. Unter anderem soll er erstmals EU-rechtskonform die Voraussetzungen für die Nutzung von Cookies auf Endgeräten verbindlich regeln und dabei auch die EuGH-Rechtssprechung zu Cookies berücksichtigen.

So enthält der Gesetzesentwurf in der Fassung vom 10.02.2021 folgende detaillierte Regelung:

§ 24 Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Absatz 1 des § 24 legt demnach fest, dass grundsätzlich eine Einwilligung für das Speichern von Informationen oder deren Auslesen auf Nutzerendgeräten erforderlich ist. Dies betrifft demnach hauptsächlich Cookies und Pixel. Den Ziffern 1. und 2. des Absatzes (2) sind die Ausnahmen von der Einwilligungspflicht zu entnehmen. Bezüglich der Anforderungen an die Wirksamkeit der Einwilligung wird auf die Bestimmungen der DSGVO (Verordnung (EU) 2016/679) verwiesen.

Der Stellungnahme des Bundesrates vom 26.03.2021 sind jedoch einige Änderungswünsche zu entnehmen. So soll unter anderem die Einwilligungsmöglichkeit über eine Voreinstellung im Browser wieder aufgenommen werden. Diese war in einer vorigen Entwurfsversion enthalten, in der finalen Entwurfsfassung jedoch gestrichen worden. Für die Webseitenbetreiber besonders relevant dürfte jedoch die Forderung nach gesetzlichen Vorgaben zur Gestaltung des Cookiebanners sein. Es soll gesetzlich bestimmt werden, „dass der Nutzer seine Einwilligung oder seine Ablehnung durch Nutzung von Schaltflächen, die gut lesbar mit nichts anderem als den Wörtern ‚Einwilligung‘ und ‚Ablehnung‘ beschriftet sind, erklären kann “.

Somit lässt sich aktuell noch nicht sagen, welche Regelungen das TTDSG schlussendlich enthalten wird.

Hinsichtlich der grundsätzlichen Anforderung, dass für die Nutzung nicht notwendiger Cookies eine Einwilligung erforderlich ist, bringt dieses Gesetz jedoch keine Änderungen. Zwar soll hiermit erstmalig eine Einwilligungspflicht für Cookies im deutschen Recht kodifiziert werden. Spätestens seit dem Urteil des BGH vom 28.05.2020 (Az. I ZR 7/16) gelten diese Regelungen jedoch bereits ohnehin.

2. Erleichterungen durch die geplante ePrivacy-Verordnung?

Schon seit 2016 wird an der ePrivacy-Verordnung gearbeitet, welche die ePrivacy-Richtlinie ablösen und für unmittelbar geltende Bestimmungen in den EU-Ländern sorgen soll. Diese würde dann das zuvor genannte TTDSG obsolet werden lassen. Wann die ePrivacy-Verordnung kommt, steht aufgrund der nach wie vor bestehenden Uneinigkeit der EU-Länder noch in den Sternen. Dem jüngst veröffentlichte Entwurfsstand aus dem Rat der Europäischen Union ist jedoch zu entnehmen, dass ein Tracking auf Webseiten unter Umständen nicht mehr nur mit einer zuvor erteilten Einwilligung möglich sein soll. Vielmehr wird darüber nachgedacht, dass hierfür schon berechtigte Interessen des trackenden Unternehmens ausreichen könnten, wenn die schutzwürdigen Interessen der betroffenen Nutzer nicht überwiegen. Ob diese Möglichkeit schlussendlich Einigkeit findet und dementsprechend umgesetzt wird, bleibt abzuwarten. Bis dahin ist jedes Unternehmen mit der Einholung einer Einwilligung auf der sicheren Seite.

III. Und nun? Was sind die Anforderungen?

1. Wann brauche ich eine Einwilligung?

Rechtssicher ist aktuell nur die Einholung einer Einwilligung. Art. 5 Abs. 3 ePrivacy-RL, an dem jeder Webseitenbetreiber sich aktuell orientieren sollte, sieht als einzige Ausnahmen von der Einwilligungsbedürftigkeit vor:

  • wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder
  • wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann

Im Regelfall wird allenfalls die zweite Ausnahme zum Tragen kommen. Einwilligungsfrei sind demnach ausschließlich die technisch notwendigen Cookies , d.h. solche Cookies, die für den Betrieb der Webseite und deren spezifische Funktionen zwingend erforderlich sind.

Technisch notwendige, nicht einwilligungspflichtige Cookies sind z.B.:

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. Spracheinstellungen, Log-In-Daten)
  • Cookies, die von in der Webseite eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden, soweit sie ausschließlich der Vorbereitung eventueller
  • Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
  • Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die den Einwilligungsstatus zu Cookie-Einwilligungen speichern

ABER: bei Einsatz von Dritten z.B. den Zahlungsdienstleistern muss immer geprüft werden, ob neben den tatsächlich zwingend erforderlichen Informationen noch zusätzlich weitere Informationen gespeichert werden. Somit genügt es nicht, wenn der Drittdienstleister nur in die Kategorie eingeordnet wird – vielmehr muss genau hingeschaut werden, was technisch passiert. Dies ist dann entsprechend zu beurteilen.

Alle Cookies, die NICHT technisch notwendig sind, bedürfen einer Einwilligung des Nutzers. Hierunter fallen demnach sämtlich Analyse- und Marketingcookies.

Wichtig ist hierbei: die Einwilligung muss VOR der Datenverarbeitung eingeholt werden. Es dürfen demnach keine einwilligungspflichtigen Cookies gesetzt bzw. einwilligungspflichtige Datenverarbeitungen erfolgen oder Daten an Drittdienstleister übermittelt werden, bevor nicht die Einwilligung abgegeben wurde.

2. Was muss die Einwilligung beinhalten?

Der EuGH hat in seiner Entscheidung 01.10.2019 (Az. C-673/17) ebenso wie der BGH in der Folgeentscheidung vom 28.05.2020 (Urt. v. 28.05.2020 – I ZR 7/16 „Planet49“) zu den Anforderungen an eine rechtswirksame Einwilligung ausführlich Stellung genommen. Hierfür ist zudem auch Art. 7 DS-GVO heranzuziehen. Die Einwilligung muss folglich

  • aktiv abgegeben werden.

Der Nutzer muss durch eine aktive Handlung seine Einwilligung erklären. Eine konkludente Erklärung z.B. durch Weitersurfen auf der Webseite genügt hierfür nicht. Ebenso wenig sind vorangekreuzte Checkboxen oder aktivierte Schieberegler, die der Nutzer deaktivieren muss, erlaubt.

  • für den bestimmten Fall abgegeben werden.

Die Einwilligung muss für jede Cookieart separat abgegeben werden können. Vorsicht ist hier vor pauschalen „Akzeptieren“-Buttons geboten.

  • transparent und umfassend informieren über die Details der Datenverarbeitung, d.h. über die Empfänger und die Dauer der Speicherung der Daten.

Für eine wirksame Einwilligung muss der Nutzer über die Datenerhebung und -verarbeitung umfassend und transparent informiert werden. Für jeden Cookie ist daher anzugeben, wer Verantwortlicher ist, d.h. wer diesen Cookie setzt, wie lange er gespeichert wird und welche Daten er genau sammelt. Zudem ist anzugeben, wofür genau die Daten verwendet werden. Letzteres kann insbesondere bei Einbindung von Dritten zu erheblichen Schwierigkeiten führen.

  • auf die Möglichkeit des Widerrufs im Einwilligungstext hinweisen.

Vorsicht ist bei den angebotenen Consent-Tools geboten! Deren Einsatz ist nicht so einfach wie es in der Werbung versprochen wird. Vielmehr muss dieses Tool, sofern es überhaupt den obigen Anforderungen genügt, individuell exakt konfiguriert werden, damit der Nutzer bei Abgabe seiner Einwilligung tatsächlich ausreichend informiert wird. Zudem ist die Datenschutzerklärung auf der Webseite entsprechend anzupassen.

Die Niedersächsische Datenschutzbehörde (Die Landesbeauftragte für den Datenschutz Niedersachsen) hatte hierzu Untersuchungen angestellt und diverse Webseiten begutachtet. Die Ergebnisse dessen wurden als sehr hilfreiche „ Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer “ zusammengefasst und bieten eine gute Orientierung bei der Gestaltung des Cookiebanners (https://lfd.niedersachsen.de/startseite/themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html).

3. Wie ist das Cookiebanner zu gestalten?

Bei vielen Cookiebannern wird der „Akzeptieren“-Button gegenüber dem „Ablehnen“-Button farblich deutlich herausgestellt (sogenanntes Nudging). Eine solche Gestaltung wird jedoch mittlerweile als unzulässig angesehen. So hat u.a. das Landgericht Rostock in seinem Urteil vom 15.09.2020 (Az.: 3 O 762/19) ausgeführt, dass durch eine unscheinbare Gestaltung des „Nur notwendige Cookies verwenden“-Buttons diese Einwilligungsmöglichkeit vom Nutzer gar nicht als gleichwertig wahrgenommen wird. Hierdurch werde der Nutzer gezielt gesteuert.

Das Nudging wird auch in der zuvor genannten „ Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer “ dargestellt und als unzulässig eingestuft.

Zudem darf die Ablehnung von Cookies nicht unnötig kompliziert sein. Zusätzliche Klicks, um zur entsprechenden Schaltfläche zu kommen, sind demnach unzulässig.

Folglich muss der Button zur Ablehnung der Einwilligung optisch genauso gleichwertig dargestellt werden wie der Button zur Erteilung der Einwilligung. Beide Optionen sind nebeneinander zu setzen.

4. Nicht vergessen! Die Widerrufsmöglichkeit!

Bereits erteilte Cookie-Einwilligungen müssen vom Nutzer leicht einsehbar sein und jederzeit widerrufen bzw. abgeändert werden können. Hier bietet es sich an, einen Link auf der Webseite zu integrieren, durch welchen sich das Cookiebanner mit dem aktuellen Einwilligungsstand erneut aufrufen lässt. Alternativ kann auch im Datenschutzbereich der Webseite eine Übersicht der erteilten Einwilligungen mit Änderungsmöglichkeiten integriert werden. Der Link zu den entsprechenden Cookieeinstellungen ist gut auffindbar z.B. im Header oder Footer der Webseite zu positionieren.

IV. Der Navigator – Die Checkliste für Ihre Webseite

Viele Unternehmer haben die Erstellung und den Betrieb ihrer Seite in die Hände von externen Dienstleistern gegeben. Sie ebenso? Der Einsatz eines Dienstleisters entbindet Sie jedoch nicht von der Verantwortlichkeit – Sie sind stets Verantwortlicher im Sinne des Datenschutzrechts und müssen demnach wissen, welche Daten erhoben und wie sie verarbeitet werden. Erhebung und Verarbeitung der Daten müssen rechtmäßig sein und entsprechend dokumentiert werden.

Klären Sie demnach folgende Fragen:

  1. Datenübersicht/Verarbeitungsverzeichnis: Welche Besucherdaten überträgt Ihre Webseite? An wen und für welche Zwecke werden diese übertragen?
    Sämtliche Datenverarbeitungen müssen im Verarbeitungsverzeichnis Ihres Unternehmens erfasst und dokumentiert werden.
  2. Notwendigkeit der Daten: Werden all diese Daten tatsächlich benötigt, d.h. nutzen Sie diese (insb. Cookiedaten)? Oder kann die Datensammlung reduziert werden?
  3. Cookie-Blocker: Sind die einwilligungspflichtigen Cookies auf der Webseite geblockt bis zur Erteilung der Einwilligung?
  4. Cookie-Banner: Wie sieht das Cookiebanner aus? Entspricht es den rechtlichen Anforderungen?
    – Aktive Einwilligung
    – Granulare Einwilligungserteilung
    – Erläuterungen zu Cookies (ggf. Link auf Datenschutzerklärung)
    – Korrekte Gestaltung der Einwilligungs- und Ablehnungsfelder (grafische Gestaltung)
    – Hinweis auf Widerrufsmöglichkeit und Details hierzu
  5. Cookie-Erläuterungen: Sind die Cookies ausreichend dargestellt inkl. Verantwortlichem und Speicherdauer (Datenschutzerklärung)?
  6. Cookie-Einstellungen: Können die Cookieeinwilligungen leicht widerrufen werden? Gibt es einen Link hierzu auf der Webseite?
  7. Kontaktformular: Gibt es ein Kontaktformular? Welche Daten werden dort erhoben? Brauche ich all die erhobenen Daten d.h. ist die Abfrage auf das notwendige Maß beschränkt?
  8. Datenschutzerklärung: Ist die Datenschutzerklärung vollständig? Werden alle auf der Webseite erhobenen Daten inklusive der ggf. vom Nutzer eingegebenen Daten benannt und deren Verarbeitung vollständig erläutert?
  9. Datenlöschung: Existiert für die gesammelten Daten ein Löschprozess im Unternehmen?
  10. Betroffenenanfragen: Gibt es einen Prozess für Betroffenenanfragen, d.h. können Anfragen von Nutzern zu gesammelten Daten kurzfristig und vollständig beantwortet werden?

Diese Liste ermöglicht Ihnen eine erste Analyse des Ist-Zustands und soll helfen, etwaige Lücken aufzufinden. Sie beinhaltet in Ziff. 7.-10. auch Punkte, die nicht unmittelbar mit dem Thema Cookies zu tun haben, jedoch datenschutzrechtlich bei Betrieb einer Webseite zu berücksichtigen sind. Identifizierte Lücken müssen dann umgehend beseitigt werden. Bei etwaigen Unklarheiten zur Umsetzung der rechtlichen Vorgaben hilft Ihnen ein auf Online-Datenschutzrecht spezialisierter Rechtsanwalt.

Auf keinen Fall darf dieses Thema lange aufgeschoben werden. Ihre Webseite ist Ihre Visitenkarte und Ihr Auftritt nach „Außen“. Datenschutzmängel sind hier leicht erkennbar. Die Datenschutzbehörden schauen mittlerweile genauer hin und auch die Nutzer sind zunehmend sensibilisiert. Es ist daher zu erwarten, dass Nutzer sich vermehrt an die Datenschutzbehörden wenden. Diese nehmen dann die Unternehmen in die Pflicht, so dass von dieser Seite erhebliche Unannehmlichkeiten drohen. Zudem wurde bereits gerichtlich entschieden, dass ein Verstoß gegen Datenschutzvorschriften als unlauterer Wettbewerb anzusehen ist (zuletzt im Eilverfahren LG Köln Beschluss vom 29.10.2020 – Az. 31 O 194/20 zur Cookiesetzung ohne Einwilligung). Somit sind auch Abmahnungen von Verbraucherschutzverbänden und Wettbewerbern möglich.

Sind jedoch die Datenverarbeitungsprozesse und die zugehörigen Einwilligungen korrekt gestaltet und alles ausreichend in den Datenschutzhinweisen niedergelegt, können Sie sich entspannt zurücklehnen. Und statt des Nebelwalds sehen Sie die sonnigen Waldlichtungen an einem schönen Frühlingstag.