OLG Köln zum Cookiebanner – Datenschutz News KW 07/2024

Moderation:

Was ist in der KW 07 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• OLG Dresden,  Az. 4 U 1274/23
• OLG Köln vom 19.01.2024 (6 U 80/23)
• Pressemitteilung BayLDA: zur Untersuchung von über 350 Webseiten und 15 Apps von bayerischen Betreibern
• Beschluss des Landgerichts Hamburg: Az. 324 O 559/23 (Beschl. v. 08.02.2024, Az. 7 W 11/24)

Empfehlungen & Lesetipps:

• BSI Richtlinie zum Aufbau eines BCM

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/olg-koln-zum-cookiebanner-datenschutz-news-kw-07-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Ich weiß nicht, wo ich aufgehört habe. Ähm ich fange noch mal ganz neu an, weil ansonsten äh mit den Lesetipps und ansonsten. Herzlich willkommen zum Datenschutztalk. Ihrem wöchentlichen Datenschutz ab, Heute ist Freitag, der 16. Februar zweitausendvierundzwanzig. Wir schauen wieder gemeinsam mit Ihnen zurück auf die Woche des Datenschutzes und wenn ich sage wir, dann ist es zum einen meine Wenigkeit, Heiko Gossen und. Gregor Wortberg, hallo Heiko. Hallo Gregor. Ja, sechzehnter zwoter, kurz nach Valentinstag. Ich hoffe, du hast dir nichts geleistet, was noch irgendwie das Wochenende versaut. Ja, ich darf noch nach Hause. Okay, ja dann dann ist gut, Aber komm, wir äh kommen wir zum eigentlichen Thema. Äh Datenschutz haben wir ja wieder. Wir gucken zurück, was äh hast du heute mitge. Ähm ja äh drei spannende Themen. Ähm du hast mich gerade aus dem aus der Verfassung schon gebracht hier mit dem Valentinstag, Vielleicht ja auch, manchmal Kontext Schadensersatz am Valentinstag nicht ganz verkehrt, aber da äh habe ich ein Urteil mitgebracht vom Oberlandesgericht Dresden. Äh da aber im Kontext von äh Direktwerbung. Und auch noch mal der Zulässigkeit ähm der Zweckänderung. Äh hat’s dann ein paar Ausführungen gegeben. Dann äh eine Pressemitteilung der bayerischen Landesaufsicht für Datenschutz äh im Kontext der Prüfung von Cookie-Bannern, um so viel schon mal zu spoilern. Und einen Lesetipps er hinsichtlich eines Leitfadens oder eines Standards des BSI im Kontext der Geschäfts-Fortführungs Pläne. Um Deutschen zu bleiben zumindest. Ja, Cookie-Banner knüpfe ich mal an, da hätte ich nämlich eine Entscheidung des Oberlandesgerichts Köln zum Ablehn-Button glaube ich nochmal ganz spannend und äh dann hätte ich einen Beschluss des Landgerichts oder Oberlandesgericht Hamburg, wo es um das Thema Auskunft von Bewertenden auf Kununu geht, Aber der Reihe nach, OLG Dresden, glaube ich, beziehst du dich in deiner ersten Meldung drauf. Ja, ganz genau, ganz genau. Ähm worum geht’s äh konkret oder in den Entscheidungen vielleicht um Leitsatz des des Urteils, ähm das vielleicht schon mal zusammenzufassen, dass es im Einzelfall eine, Datenschutzrechtlich zulässige Zweckendungen darstellen kann, äh wenn in dem Fall ein Rechtsanwalt durch Akteneinsichten erlangte Daten von Insolvenzgläubiger nutzt, Um diese dann werblich zu nutzen zur Akquisezwecken. Ähm was ist da jetzt äh passiert? Was steckt dahinter? Im vorliegenden Fall hat ein Rechtsanwalt, ähm welcher im Rahmen eines Mandats, einem anderen Mandats Einsicht in die eine Insolvenzak eine GmbH hatte und genommen hatte. Die Daten der dort dokumentierten Gläubiger genutzt, um diese dann per Rundbrief werblich zu kontaktieren, Ist erstmal ein würde ich sagen. Im ersten Augenblick, da muss man erstmal drauf kommen. Im letzten Endes hat der Rechtsanwalt in seinem Schreiben darüber die Gläubiger informiert, äh dass er der richtige Rechtsanwalt sei, um äh sie in diesem Sachverhalt dann auch zu vertreten. Also ganz klare Akquisezwecke. Er hatte dann aber auch direkt auf ähm Widersprüche und Löschaufforderungen ähm ähm der Gläubige auch reagiert und die Daten dann noch umgehend gelöscht, die er noch gespeichert hatte und äh jetzt in dem nun geendeten Verfahren in zweiter Instanz auch schon hat das Oberlandesgericht ähm Dresden die Forderungen, Der Klägerinnen und Kläger, also der Gläubiger in dem Fall, versuche ich das ein bisschen begrifflich vielleicht auch zu trennen auf Unterlassung sowie Schadensersatz halt abgewiesen äh und das Vorgehen hat’s zulässig damit dann auch bewertet aus datenschutzrechtlicher Sicht interessant sind ja meines Erachtens nochmal so zwei Faktoren, Einerseits ganz äh grundlegend, jetzt nicht für alle neu, äh aber dass die äh Direktverbung äh in Erwägungsgrund 47 der Daten auf Basis des berechtigten Interesses hat durchaus auch als legitim beschrieben wird und in dem Kontext jetzt auch ein wirtschaftliches Interesse, ein solches, Insbesondere hatte der Rechtsanwalt in dem Fall, ist natürlich immer eine Einzelfallbetrachtung, auch glaube auf dargelegt, ähm dass er vornehmlich auf dem Gebiet des Verbraucherschutzes tätig sei und somit dann natürlich auch an das Wohl der Gläubiger, vor Kapitalverlust gedacht hat. Völlig selbstlos. Völlig selbstlos, genau. Zudem hat der der der Richter auch noch mal ganz interessant im Kontext, der die Rechtwerbung auch äh herausgestellt, dass die Beeinträchtigung doch recht gering gewesen sei, da man den Brief ja auch hätte direkt wegwerfen können. Und äh in dem Schreiben jetzt auch keine überwietige Nötigung der Kontaktaufnahme erfolgt sei und ähm, Zudem die Verarbeitung von Namen und Anschrift nur geringfügig in die äh Rechte der betroffene Person eingegriffen habe. Jetzt könnte man auch noch mal spannend sagen, die wissen mit der Zweckänderung ja die Nutzung der Daten der betroffenen Personen, ähm die, Jetzt in dem Fall eine Fehlinvestition ähm getätigt hatten ähm stehe nämlich in dem Zweckzusammenhang mit dem Mandat des ursprünglichen Mandats, dass er im im Zusammenhang mit dem Artikel 6 Absatz vier, Buchstabe A, DSGVO und dem Erwägungskrisium fünfzig, welcher die Zulässigkeit bei einem vorliegenden öffentlichen Interesse beschreibt, Äh in diesem Einzelfall ähm geht es halt um den Schutz der Anleger und äh dies stehe halt mit seiner Zusammenhang mit seiner eigenen Tätigkeit eigentlichen Tätigkeit. Und äh dem, Zufolge hat jetzt keinen weitere Zulässigkeitsprüfung erfolgen müssen und es sei dann doch zulässig gewesen, diese Zwecken durchzuführen. Und ich glaube, Jetzt mit Blick aufs äh auf eigene Tätigkeiten, aus Blick aufs Unternehmen, das ist da glaube ich ähm gerade noch mal wichtig auch bei geplanten Verarbeitungen. Zu anderen oder dem ursprünglichen Zweck gefährden äh Zwecken hier auch ähm diesen Zweckzusammenhang auch noch mal zu betrachten und zu prüfen, ob dann eine Rechtsgrundlage für die weitere Verarbeitung auch vorliegt kann ja auch durchaus nützlich sein mit der Planung neuer Projekte, wenn man sich darauf stützen kann. Glaube aber tatsächlich, man sollte äh schon genau sich das nochmal ansehen, bevor man sich darauf stützt, wenn man jetzt Daten aus öffentlichen Quellen zum Beispiel heranziehen würde, um darauf basierend Werbung zu machen. Weil das natürlich äh schon schon glaube ich ein sehr speziell gelagerter Fall ist und nicht direkt als Blaupause dienen kann für Unternehmen. Genau, hat jetzt definitiv keinen grundlegenden Charakter, ne, weil der grade auch dieser Zusammenhang zwischen Verbraucherschutzanwalt, um es jetzt mal so titulieren zu wollen ähm und dem und dem Insolvenz äh ähm Fall, der da vorgelegen hat, äh der kann natürlich gut dann dargestellt werden. Ähm neben, Pressemitteilungen und äh Presseartikeln, die er auch noch vorlegen konnte. Das kann man jetzt natürlich nicht in jedem Sachzusammenhang mal eben darstellen. So sollte man sich dann dennoch gut überlegen natürlich. Ja wir verlinken natürlich mal den, Beitrag beziehungsweise das äh Urteil hier auch im in den Shownotes und sollte jeder, wie gesagt, der sich darauf stützen will, natürlich noch mal einen tieferen Blick reinwerfen und damit komme ich zum, Oberlandesgericht Köln. Ablehnbutton im Cookie Banner muss laut dem OLG Köln in Form Größe und Farbe gleichwertig mit dem Akzeptieren-Button sein. Hintergrund ist ein Urteil vom 19. Januar diesen Jahres. Die Verbraucherzentrale NRW hatte hier gegen Wetter Online, Geklagt, eine Unterlassungsklage, die jetzt hier schon in der Revision beim OLG lag und der Cookie-Banner von WetterOnline, der war wohl früher so, dass halt ein akzeptieren und schließen oben neben recht dem X, was man halt so von Fenstern halt äh in Windows ja auch typischerweise kennt, stand und man halt mit dem Klicken auf das X auch dann gleichzeitig, in alle Verarbeitungen, die im Cookie Banner genannt waren, natürlich eingewilligt hat, also insbesondere Marketing, Retargeting und solche Geschichten, die halt genutzt werden, ja, um Webseiten zu finanzieren. Und natürlich, Klar, viele Unternehmen in den letzten Jahren haben alles Mögliche versucht, um halt möglichst viele User zu einer Einwirkung zu verleiten, ähm um’s ums mal so zu sagen und ähm dazu kam noch, dass halt das äh, Tieren-Button, der an den es auch gab natürlich farblich hervorgehoben war. Es gab aber keinen direkten Ablehnbutton, sondern man konnte dann nur über Einstellungen auf eine zweite Ebene gelangen und dort war dann ein Speichern äh Button mit halt den nicht vor ausgewählten äh Marketing-Cookies und äh solchen, die man halt nur mit Einwilligung verarbeiten darf Das Landgericht hatte schon ähm ja bei der Entscheidung vorher grundsätzlich dem der Verbraucherzentrale zugestimmt, hatte auf die Gleichwertigkeit des Ablehnbuttons auch schon hingewiesen, dass die gegeben sein muss. Auch, dass die Einwilligungserklärung halt nur dann wirksam ist und wenn es halt auch vollständig aufgeklärt wird und wenn halt die Form, Funktion und Farbgebung, Gleichwertigung, gleichrangig und, auch eine gleich einfach zu bedienende Ablehnungsoption bereit Wird. Hintergrund bauen halt der Beschluss aber abgelehnt wurde, war halt, weil man der Auffassung war, die Verbraucherzentrale habe hier zu weit gefasst. Diese Anforderungen formuliert. Das hat jetzt das Oberlandesgericht revidiert und man hat halt hier letztendlich der Verbraucherzentrale Recht gegeben und Das ist natürlich auch das, was ja die Aufsichtsbehörden in ihren Orientierungshilfen und Veröffentlichungen ja auch regelmäßig fordern, dass halt der Ablehnbutton gleichwertig sein muss zum Zustimmungs oder Einwilligungsbutton und man hier nicht. Durch kleinere Darstellungen, durch Verstecken im Text oder halt durch das Verstecken auf einer zweiten Ebene, wo man halt nur über den Einstellungsbutton hinkommt, Der auch hier und da immer noch gerne mal versteckt wird wiederum im Text gelangt, dass das halt alles nicht zulässig ist. Wir sagen die ja auch und jetzt haben wir hier noch mal eine Entscheidung vom was In diese gleiche Richtung schlägt und wo ich halt auch letztendlich jedem raten würde, In die Einwilligungs ähm Button oder beziehungsweise in die Cookie-Banner auf der eigenen Webseite wirklich immer reinzuschauen, weil auch da Stellen wir immer wieder auch fest in unserer Praxis, dass halt äh sich manche Dinge auch schon mal verselbstständigen. Das ist jetzt die Marketingabteilung oder die Agentur, die dahinter steckt, dann Updates macht oder Änderungen vornimmt, die dann vielleicht, Diesen Anforderungen nicht ganz gerecht werden. Deswegen sei jedem Datenschützer und jedem Unternehmen dringend geraten, das auch Amt zu wieder zu überprüfen. Eine zusätzliche Motivation kann auch vielleicht mal eine nächste ähm Meldung noch mal geben, wie’s dann auch tatsächlich zu tun. Ähm und zwar das äh bayerische Landesamt für Datenschutzaufsicht hat. Äh Kürze jetzt noch eine Pressemitteilung äh genau zu diesem Thema, nämlich veröffentlicht und ähm zwar ist die jetzt nämlich einmal. Ja manuell, aber auch automatisiert ähm äh in die Prüfung gegangen von Webseiten und Apps. Ähm konkret wurden jetzt mehr als 350 Webseiten und 15 Apps geprüft, ähm die Prüfung erfolgte Branchenübergreifend, von Unterhaltungs- und Freizeitservices bis zu Versicherungsbranche ist sicherlich mal ganz interessant, weil in der Vergangenheit ja höchstens ähm oder nicht höchstens aber gerne mal Medien äh Konzerne da im im Fokus standen ähm und fokussiert äh hat sich nämlich genau äh diese Prüfung auf die von dir schon grade genannten Themen. Also ähm die. Ablehnmöglichkeit im Cookie-Banner auf erster Ebene gleichgeschaltet und darüber hinaus ähm noch sowieso grundsätzlich die Einbindung von Diensten, ohne die erforderliche Einwilligung. Die Prüfung der App ist Man sieht’s schon ein bisschen an der Anzahl. 15:3hundertfünfzig ein bisschen aufwendiger ähm und hat sich insbesondere auf die Prozesse, die in Gang gesetzt werden bei Ersteröffnung der App, wenn noch gar keine weitergehenden Einstellungen seitens der Nutzer erfolgen konnten und äh da wurde in allen geprüften eigentlich Optimierungsbedarf festgestellt, dass da gar kein Cookie-Banner vorhanden sei oder Cookies schon direkt besetzt werden, äh ohne äh überhaupt eine Ablehnungsmöglichkeit Dem Nutzer geboten zu haben. Ähm die Webseiten wurden mit einem eigens entwickelten Tool automatisiert geprüf Das ist natürlich auch ein Fingerzweig in die Richtung, dass das jetzt in Zukunft noch häufiger passieren und hierbei wurden breitem ersten Anlauf mehr als 350 Webseiten gescannt, die nicht den datenschutzrechtlichen Anforderungen genügen. Auch hier stand eingangs schon gesagt, der alle Ablehnbutton dann im Besonderen Fokus welche Auswirkungen und Folgen das für die Webseitenbetreiber hat, äh bleibt in der Pressemitteilung leider offen. Werden wir vielleicht in Neuss zu berichten haben, hinzu Zukunft, aber durchaus glaube ich für jetzt nicht nur Unternehmen in Bayern relevant, sondern ich glaube, dass halt sehr viele Aufsichtsbehörden zunehmend mehr die automatisierte Prüfung ja auch Es gibt ja auch verschiedene Anbieter, die Unternehmen diese Möglichkeiten bieten, die eigenen Webseiten zu monitoren und zu überprüfen. Von daher Sei es da an der Stelle. Äh wie gesagt, erstmal naheliegend, dass Aufsichtsböden dann, wie gesagt, dass ich das auch zunutze machen. Auf der anderen Seite, wie gesagt, aber die Unternehmen haben ja die gleichen Chancen. Ja der Präsident der Behörde hat auch noch mal ähm betont in der Pressemitteilung, dass natürlich die Entscheidung hinsichtlich äh weiterer Maßnahmen und Bußgelder am Ende immer bei den Sachbearbeitern der Behörden liegen, aber die Tools jetzt natürlich auch schwerpunktmäßig genutzt werden, um da ähm in größeren Schritten voranzukommen. Wir bleiben im Onlinebereich zumindest das Oberlandesgericht Hamburg hat Kununu zur Aufhebung der Anonymität des Users nach negativer Bewertung verpflichtet, Damit muss man halt äh doch glaube ich ein wenig Vorsicht bei zumindest falschen negativen Arbeitgeberbewertungen zukünftig sicherlich walten lassen und nicht hoffen, dass man sich hinter der Anonymität, Verstecken kann. Das dürfte zumindest etwas schwieriger werden nach diesem Urteil. Laut dem OLG Hamburg muss das Bewerbungsportal Kununu nämlich den Namen der bewertenden Person herausgeben, wenn die Echtheit der Bewertung angezweifelt wird. Viele kennen das sicherlich, ist halt ein Portal, wo man halt Arbeitgeber bewerten kann und äh wenn der Arbeitgeber halt die Echtheit bezweifelt, dann hat bisher Kununu in der Regel anonymisierte Nachweise von Bewertenden vorgelegt und konnte damit dann in der Regel die Echtheit belegen. Nun hat das OLG in einer Eilentscheidung allerdings Kununu verpflichtet, Bei einer äh konkreten Beanstandung, wo halt die Echtheit nicht überprüft werden konnte oder man halt den vorgelegten Dingen wahrscheinlich nicht ausreichend Glauben geschickt hat, geschenkt hat, die Anonymität der bewährten Person aufzuheben und auch verpflichtet bei Zweifeln an der Echtheit die Bewertung dauerhaft zu löschen. Und äh man hat hier halt noch mal drauf hingewiesen, dass man sich dabei nicht auf den Datenschutz berufen könne. Interessant, da hattest du mich ja schon auch in der Vorbereitung drauf aufmerksam gemacht, ist, dass wir äh vor zwei Jahren schon mal ein BGH-Urteil ja dazu hatten. Da ging’s ähm aber nicht genau um so einen Fall, sondern ein, ähnlich gelagerten um Jameda. Dort war er eine Ärztin ähm gerichtlich vorgegangen gegen eine ja eine Bewertung hinsichtlich äh ihrer Arbeit, die aber, Damals vom BGH nicht als unzulässig geachtet wurde. Da war allerdings der, glaube ich, der Ansatz ein bisschen ein anderer. Da hat man halt auf die Unzulässigkeit der Datenverarbeitung abgezielt. Das hatte BGH seiner Zeit verneint, Da war es aber auch eher eine Meinungsäußerung und ähm von daher wahrscheinlich auch nicht so evidenzbasiert wie vielleicht im vorliegenden Fall. Dafür kenne ich jetzt den vorliegenden Kununufall äh zu wenig, aber hier ist auf jeden Fall interessant, dass man hier, wie gesagt, noch mal eine andere Richtung hatte und für mich auch das erste Urteil, was in so eine Richtung jetzt geht, wo halt mal wirklich die Anonymität des Users auch aufgehoben werden musste. Ja ist ein ganz anderer Blickwinkel noch mal eine Herangehensweise an den Sachverhalt und ähm das ist dann vielleicht auch nochmal ja förderlich äh für den ein oder anderen ähm sich dann darüber Gedanken zu machen, was man dann auch schreibt. Ne und äh ganz interessant hier noch die Argumentation auch ähm der Klägerin zu sagen, es ist halt auch in dem heutigen Arbeitsmarkt hat das halt auch eine ganz große Wirkung, wenn halt natürlich dort schlechte Bewertungen, Dazu führen, dass äh Mitarbeiter, die sowieso rar sind, sich halt dann nicht mehr bewerben. Ähm vielleicht auch einen Unterschied zu Ärzten, die, glaube ich, nach wie vor wenig Schwierigkeiten haben, ihre Leistungen äh ihre Kapazitäten auszulasten, um es mal so zu formulieren. Ich bin schon mal den Lesetipps mit meiner nächsten Meldung, Und ähm da habe ich Neuigkeiten vom BSI mitgebracht, dem Bundesamt für Sicherheit in der Informationstechnik. Die haben den modernisierten Standard 200 Schrägstrich äh Bindestrich vier veröffentlicht. Wem das jetzt nicht sagt ähm so ad hoc das ist eine ja praxisnahe Anleitung zum Aufbau und Betrieb eines Business Kontinuity Management Systems. Eingangs hatte ich schon gesagt, auf Deutsch. Ähm grob mit Geschäftsfortführungskonzept zu übersetzen ähm und ähm ganz schön ist der, dass sie sich gleichermaßen an unerfahrene und auch erfahrene Anwender ähm berichtet, denn neben dem Standard wurden nämlich auch Hilfsmittel und ein Glossar für die Anwenderinnen und Anwender veröffentlicht. Ähm das ganze Dokument ist drei 1 Seiten lang, glaube ich. Also man hat ein bisschen was zu tun und sich das durchzulesen dafür, aber dann der Detail grad natürlich auch sehr schön, sehr hoch. Und als Hilfsmittel wurden unter anderem auch äh wurde unter anderem auch eine Dokumentenvorlage für Wiederanlauf veröffentlicht und ich glaube das ist ein guter erster Schritt gerade für die unerfahrenen Anwenderinnen und Anwender eine Basis zu legen, falls solche Pläne noch nicht vorhanden sein sollten. Gerade in den doch ja weiterhin zunehmende Anzahl der Fälle, in denen halt Unternehmen durch Angreifer komplett lahmgelegt äh werden teilweise sicherlich eine sehr, Guter Weg, um sich vorzubereiten und die Schäden dadurch ein wenig zu begrenzen, die durch sowas entstehen können. Wunderbar, dann sind wir ja schon durch für heute, denn ich habe nichts keinen Fall mehr in meinem Köcher. Haben wir die 30 Minuten nicht gerissen heute. Wir haben die 30 Minuten nicht gerissen heute, Ähm das heißt sie kommen ein wenig früher ins Wochenende. Wir wünschen ihnen ein schönes, selbiges und die gewonnene Zeit ähm vielleicht nutzen sie die ja nochmal für ein Feedback an uns oder eine Bewertung auf ähm ihrer, Cast Plattform, über die Sie uns hören. Da freuen wir uns natürlich immer über Feedback, über Bewertungen. Fünf Sterne sind natürlich besonders gerne gesehen, aber wenn Sie kritische Stimmen haben, Meinungen haben auch, stehen wir zu. Also auch da, Äh können wir mit umgehen, wenn Sie Feedback haben, auch gerne natürlich über Datenschutz-Talk, Podcast ähm Kanäle, die wir betreiben, also einmal Instagram finden sie uns, sie finden sie aber auf Twitter unter DS Unterstrich Talk oder sie schicken uns einfach eine E-Mail Datenschutztalk. Minus Sens Punkt DE und damit ganz herzlichen Dank dir, Gregor, Und ähm ja, Ihnen ein schönes Wochenende, bleiben Sie uns gewogen und auf bald.