25.08.2020

Achtung Aufsicht droht – Tracking Tools in Medienunternehmen

Der Landesbeauftrage für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat am 19. August 2020 bekannt gegeben, dass eine länderübergreifende Datenschutz-Prüfung von Medienunternehmen stattfindet. Die ersten Anfragen der Datenschutzbehörden sind bereits eingegangen.

Worum geht es in der länderübergreifenden Datenschutz-Prüfung von Medienunternehmen?

Im Fokus der Prüfung stehen die Einbindung von Tracking-Technologien auf den Websiten von Medienunternehmen und der damit verbundene Einsatz von Cookies.

Ein Verstoß gegen die anwendbaren Datenschutzgesetze kann neben Bußgeldern einen nicht zu unterschätzenden Reputationsverlust zur Folge haben. Gerade Medienunternehmen, mit ihren journalistischen Angeboten, genießen ein besonderes Vertrauen in der Bevölkerung, das es zu bewahren gilt.

Welche Punkte müssen beachtet werden?

Wir möchten dies daher zum Anlass nehmen, nochmals auf die wichtigsten Punkte im Zusammenhang mit dem Einsatz von Tracking-Technologien und Cookies hinzuweisen:

Medienunternehmen sollten ihre Webseite und ggf. ihre Apps dahingehend überprüfen, ob ein wirksames Einwilligungsmanagement für Tracking- und Analyse-Technologien sowie Cookies implementiert ist. Viele Tracking- und Analyse-Technologien lassen sich nur auf Grundlage einer ausdrücklichen und aktiv eingeholten Einwilligung nutzen. Diese muss ggf. Datentransfers in Drittländer wie die USA umfassen. Ein best-practice Beispiel für einen Cookie-Banner stellen wir auf Anfrage gerne zur Verfügung.
Es sollte überprüft werden, welche Tracking- und Analyse-Technologien sowie Cookies auf der jeweiligen Webseite und ggf. in Apps verwendet werden und es sollte sichergestellt werden, dass deren Einsatz im Verarbeitungsverzeichnis des Medienunternehmens dokumentiert ist. Für die Aufsichtsbehörden ist Transparenz und Nachverfolgbarkeit der Datenweitergabe ein entscheidendes Kriterium.
Im Zusammenhang mit Einwilligungen ist auch die entsprechende Dokumentation der Einwilligung und eines eventuellen Widerrufs (Consent Management) sicherzustellen.
Unternehmen sollten sicherstellen, dass der Webseitenbesucher hinreichend in den jeweiligen Datenschutzhinweisen/Cookie Policies über den Einsatz der Tracking-Technologien informiert wird.

Besonderheiten seit dem EuGH-Urteil „Schrems II“

Die Übermittlung personenbezogener Daten in die USA ist seit dem Urteil des EuGH vom 16. Juli 2020 („Schrems II“) weder auf Grundlage des EU-US-Privacy Shield noch auf Grundlage von nicht an das Urteil angepassten EU Standardvertragsklauseln möglich. Insbesondere der Einsatz von Tracking- und Analyse-Technologien von US-Anbietern ist aktuell als sehr kritisch einzustufen. Wir empfehlen daher, sämtliche auf Webseiten oder ggf. in Apps eingesetzte Tracking- und Analyse-Technologien zu prüfen.

Wie werden Anfragen der Aufsichtsbehörden richtig beantwortet?

Anfragen der Aufsichtsbehörden müssen nach § 40 Abs. 4 S. 1 BDSG und Art. 31 DS-GVO beantwortet und die erforderlichen Auskünfte erteilt werden. Kommt ein Unternehmen dieser Verpflichtung nicht nach, handelt es allein deswegen nach Art. 83 Abs. 4 lit. a) DS-GVO ordnungswidrig. Wir empfehlen daher, auch die Poststelle auf mögliche Schreiben der Aufsichtsbehörden hinzuweisen, damit die Schreiben innerhalb der gesetzten Frist sachgerecht bearbeitet werden können.

Unabhängig davon geht die Organisation noby des Datenschutzaktivisten Max Schrems aktuell gegen 101 Unternehmen vor, die Google und Facebook auf ihrer Webseite integriert haben. Die Organisation hat dabei unmittelbar Anzeige bei der zuständigen Aufsichtsbehörde erstattet und fordert die Verhängung von Bußgeldern. Es ist nicht auszuschließen, dass die Organisation auch gegen weitere Unternehmen vorgehen wird.

Wir sind für Sie da!

Unsere Datenschutzexperten aus dem Fachbereich IT & Digital Business stehen sowohl bei der Vorbereitung auf derartige Anfragen als auch bei der konkreten Beantwortung jederzeit gern zur Seite.

Für weitere Fragen und Anliegen stehen wir jederzeit gerne persönlich zur Verfügung.