Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Entscheid der dänischen Datenschutzbehörde zum Einsatz von Cookie-Bannern

03/2020 – Fachartikel Swiss Infosec AG

Die dänische Datenschutzbehörde Datatilsynet hat in einem aktuellen Beschwerdefall am 11. Februar 2020 die meisten aktuellen Cookie-Banner auf Webseiten für rechtswidrig und als einen DSGVO-Verstoss eingestuft.

Ausgangslage

Es ging dabei um den Cookie-Banner auf der Webseite www.dmi.dk.

Dieser war wie folgt ausgestaltet: in Form eines Pop-Ups erschien der Text

„DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie“.

Darunter gab es zwei Buttons:

„[ OK ]           [ Cookie Einstellungen ]“

Klickte der User auf „Cookie Einstellungen“ öffnete sich eine neue Seite, auf der die Cookies einzeln nach Rubriken unterteilt waren:

„erforderlich
funktional
statisch
Marketing
nicht klassifiziert“

Es ging bei der Auseinandersetzung nun um die Frage, ob durch das Pop-Up-Fenster eine wirksame Einwilligung eingeholt wurde.

Begründung der dänischen Datenschutzbehörde

Fehlende Transparenz für wirksame Einwilligung

Die dänische Aufsichtsbehörde verneinte dies mit der Begründung, es fehle an der erforderlichen Transparenz, damit der Verbraucher eine wirksame Einwilligung abgeben könne:

Nach Ansicht der Datenaufsichtsbehörde wird im Cookie-Banner der Webseitenbesucher nicht ausreichend informiert. Für die betroffenen Personen seien nicht genügend klare Informationen über die (gemeinsame) Verarbeitung personenbezogener Daten der Verantwortlichen, Google, vorhanden, da DoubleClick und AdSense genannt werden und nicht Google. Dies sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht geläufig seien.

Kritik ebenfalls an der Darstellung im Pop-Up

Ebenso kritisieren die Datenschützer die Darstellung der Buttons im Pop-Up selbst: Nach Ansicht der Datenaufsichtsbehörde erfüllt die derzeitige Struktur der Einwilligungslösung des DMI (bei der dem erstmaligen Besucher zwei Möglichkeiten in Bezug auf die Verarbeitung personenbezogener Daten angeboten werden; „OK“ und „Details anzeigen“) die Anforderungen an die Transparenz nicht.

Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie-Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann.

Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde mit dem Grundsatz der Transparenz nicht vereinbar, dass die Möglichkeit, keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht auf den ersten Blick so klar kommuniziert wird wie die Möglichkeit, eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.

Und jetzt?

Nicht klar ist jetzt, wie dies die anderen Datenschutzbehörden in anderen Ländern handhaben werden. Schliesslich ist die jeweilige nationale Aufsichtsbehörde nach Art. 55 DSGVO für Unternehmen zuständig. Der Entscheid bildet allerdings zumindest ein erstes Anzeichen, in welche Richtung die Datenschutzbehörden beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der DSGVO gehen könnten.

Gerne beantworten wir all Ihre spezifischen Fragen zum Cookie-Banner und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage

Datenschutz-Folgenabschätzung gemäss Art. 35 DSGVO (Teil 1)

Teil 1: Einführung und Absichten des europäischen Gesetzgebers

1 Einführung

Zielgruppe dieser Ausarbeitung sind alle Verarbeiter von personenbezogenen Daten im Gesundheitswesen. Dies betrifft insbesondere natürlich die Leistungserbringer wie die versorgenden Einrichtungen/Institutionen (z. B. Krankenhäuser, Apotheken) sowie medizinische Forscher. Darüber hinaus sind aber auch alle anderen Institutionen des Gesundheitswesens wie z. B. Leistungsfinanzierer oder auch Interessenverbände angesprochen, wenn diese entsprechende Daten verarbeiten und die Notwendigkeit einer DSFA beurteilen und ggf. eine DSFA auch durchführen müssen. Für alle diese Adressaten soll diese Ausarbeitung eine Unterstützung beim Umgang mit der DSFA darstellen, sowohl bei der Interpretation der rechtlichen Vorgaben als auch hinsichtlich der Umsetzung dieser Vorgaben, also der Durchführung einer DSFA.

Denn da auch bei einer rechtmässigen Verarbeitung personenbezogener Daten Risiken für die betroffenen Personen entstehen, sieht die EU Datenschutz-Grundverordnung (DS-GVO) unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass diese Risiken durch geeignete Abhilfemassnahme (insbesondere durch technische und organisatorische Massnahmen (TOMs)) eingedämmt werden. Das Instrument einer „Datenschutz-Folgenabschätzung“ (DSFA, engl. „Data protection impact assessment“) kann hierfür systematisch eingesetzt werden. Die DSFA stellt ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten dar. Sie ist in Art. 35 DS-GVO geregelt und bestimmt die Voraussetzungen, unter denen eine DSFA erfolgen muss.

Die für ganz Europa vorgeschriebene DSFA ist im anglo-amerikanischen Raum wesentlicher Bestandteil zur Gewährleistung von „Privacy“ und ist dort in mehr oder weniger abgewandelter Form als „Privacy Impact Assessment“ (PIA) bekannt. Sowohl bei der DSFA als auch bei der PIA wird das gleiche Ziel verfolgt. Denn in beiden Verfahren gilt es, die Auswirkungen eines Verarbeitungsverfahrens personenbezogener Daten auf die Gewährleistung des Rechts auf informationelle Selbstbestimmung des Betroffenen zu untersuchen, darzustellen und zu bewerten.

Bei der Verarbeitung personenbezogenen Daten im Gesundheitswesen werden i.d.R. besondere Kategorien personenbezogener Daten verarbeitet, dazu fallen in Einrichtungen wie Krankenhäusern, Forschungseinrichtungen oder Institutionen zugleich grössere Datenmengen an, so dass die Wahrscheinlichkeit, dass hier eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung greift, sehr hoch ist.

Dabei erfolgen über die Zwecke der Behandlung und hieran anschliessende Zwecke (Abrechnung, Qualitätssicherung, öffentliche Gesundheit) sowie ggf. der medizinischen Forschung hinaus in Krankenhäusern noch eine grössere Zahl allgemeiner Datenverarbeitungen, wie sie auch in anderen Unternehmen zu finden sind, sowie z. B. für das Personalmanagement und zur Unternehmenssteuerung. Für Verarbeitungen zu diesen Zwecken sind nach Ansicht der deutschen Datenschutz-Aufsichtsbehörden regelmässig keine Datenschutz-Folgenabschätzungen durchzuführen.

Ferner sei bemerkt, dass diese Ausarbeitung die wesentlichen Inhalte sowie Fragen zum Thema „DSFA“ abhandelt, aber keinen Anspruch auf Vollständigkeit erhebt. Es bleibt vorbehalten, die Ausführungen / Darstellungen den spezifischen Anforderungen des konkreten Anwenders / Nutzers anzupassen.

2 Intention des europäischen Gesetzgebers bzgl. der DSFA und Anwendung auf laufende Verarbeitungsvorgänge

Entsprechend ErwGr. 84 DS-GVO soll „in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen“, eine DSFA durchgeführt werden. Bei der DSFA handelt es sich also um eine Präventionsmassnahme des europäischen Gesetzgebers, was sich auch im Wortlaut von Art. 35 Abs. 1 DS-GVO wiederfindet, wenn auf „voraussichtliche Risiken“ verwiesen wird. ErwGr. 89 DS-GVO bzw. Art. 35 Abs. 1 DS-GVO weisen darauf hin, dass der europäische Gesetzgeber diesbezüglich insbesondere neue Technologien als Auslöser einer DSFA im Blick hatte.

In diesem Zusammenhang stellt sich die Frage, ab welchem Zeitpunkt, die Pflicht zur Durchführung einer DSFA konkret greift, bzw. auf welche Verarbeitungen diese in zeitlicher Hinsicht abstellt. ErwGr. 171 DS-GVO sieht vor, dass „Verarbeitungen, die zum Zeitpunkt der Anwendung (25. Mai 2016) dieser Verordnung bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden sollten“. Im Umkehrschluss bedeutet dies, dass Verfahren, die bis zum 24. Mai 2018 beendet sind, von dieser Regelung nicht betroffen sind.

Allerdings ist fraglich, ob zum Zeitpunkt des Inkrafttretens der DS-GVO etablierte Verfahren, die ohne Beanstandung seit Jahren betrieben werden und deren Verarbeitung auch nach der DS-GVO rechtmässig erfolgen, eine DSFA benötigen. Dagegen spricht, dass schon Art. 17 Abs. 1 S.2 RL 95/46 eine Risikobetrachtung forderte („ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“) und dementsprechend alle bereits nach heutigem Stand rechtskonform erfolgenden Verarbeitungen einem risikobasierten Ansatz folgen. Hinzu kommt der Präventionsgedanke des Verordnungsgebers, dass eine DSFA „vorab“ (Art. 35 Abs. 1 S. 1 DS-GVO) durchzuführen ist und nicht hinsichtlich etablierter Verfahren.

In diesem Sinne dürfte einiges dafür sprechen, dass eine DSFA für etablierte und entsprechend den Vorgaben der RL 95/46 langjährig durchgeführte und unbeanstandete sowie legitim eingesetzte Verarbeitungsverfahren nicht erforderlich sein dürfte. Jedoch kann bei Anpassung/Änderung des Verfahrens nach Geltungseintritt der DS-GVO eine DSFA erforderlich werden, da die regelmässige Pflicht zur Überprüfung auch für bereits laufende Verfahren gilt.

Genau diese Ansicht vertritt auch der Europäische Datenschutzausschuss (EDSA) in seinen „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ‚wahrscheinlich ein hohes Risiko mit sich bringt‘“ auf Seite 16:

„Eine DSFA muss für bereits laufende Verarbeitungsvorgänge durchgeführt werden, wenn diese wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und wenn sich deren Risiken im Hinblick auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung geändert haben.“ (Hervorhebung durch Verfasser)

Bundesverband Gesundheits-IT e. V.; Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.; Arbeitskreis „Datenschutz und IT-Sicherheit im Gesundheitswesen“; Deutsche Krankenhausgesellschaft e. V.

Creative Commons, https://creativecommons.org/licenses/by-sa/4.0/deed.de; CC BY-SA 4.0

Abgerufen am 17.09.2019 von https://www.gesundheitsdatenschutz.org/download/dsfa_2019-09-17.pdf

Kategorie: Datenschutz
© Swiss Infosec AG 2026