Das Thema Cookies erhitzt nach wie vor die Gemüter. Nachdem der Europäische Gerichtshof (EuGH) im vergangenen Jahr eine wichtige Entscheidung zum rechtskonformen Einsatz der „Kekse“ traf und der Bundesgerichtshof (BGH) im Mai dieses Jahres nachlegte, ist zumindest etwas klarer geworden, welche Anforderungen die Rechtsprechung an den Einsatz der Technologie stellt. Trotzdem kann aufgrund der vielfältigen Detailfragen von Rechtssicherheit noch keine Rede sein.

In diesem Zusammenhang kommt immer wieder die Frage auf: Gibt es für den rechtswidrigen Einsatz von Cookies überhaupt schon Bußgelder? Und wie hoch ist das Risiko, dass eine Datenschutzbehörde hierzulande aktiv wird? Diesen Fragen widmet sich der vorliegende Beitrag.

Bisherige Bußgeldpraxis in Europa

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gab es bereits einige Bußgelder europäischer Aufsichtsbehörden für den rechtswidrigen Einsatz von Cookies.

Spanien

Das aktuellste Bußgeld wurde am 16. Oktober 2020 von der spanischen Datenschutzaufsichtsbehörde gegen die Fluglinie Iberia verhängt. Höhe immerhin 30.000 €. Der Grund für das Bußgeld war ein fehlerhaftes Cookie-Banner, wodurch keine wirksame Einwilligung eingeholt wurde. Noch im Juni dieses Jahres war auf der Website von Iberia ein Cookie-Banner mit folgendem Text im Einsatz (frei übersetzt):

"Iberia L.A.E. informiert Sie, dass Cookies auf Ihrem Gerät gespeichert werden, um das ordnungsgemäße Funktionieren und die Sicherheit unserer Websites zu gewährleisten und Ihnen das bestmögliche Surferlebnis zu bieten. Klicken Sie auf Cookies akzeptieren, wenn Sie die Verwendung dieser Cookies akzeptieren, oder ändern Sie die Einstellungen in den Cookie-Einstellungen, wenn Sie dies wünschen. Für weitere Informationen lesen Sie bitte Iberia's Cookie Policy".

Die spanische Behörde stellte einen Verstoß gegen das nationale Umsetzungsgesetz zur ePrivacy-Richtlinie fest (§ 22 Abs. 2 LSSI - „Spanish Law on Information Society Services and Electronic Commerce“). Hiernach müssen Website-Betreiber den Nutzer nicht nur informieren, sondern ihm auch eine einfache und kostenlose Möglichkeit einräumen, der Datenverarbeitung zu widersprechen. Das Banner von Iberia sah aber keine Möglichkeit vor, dass Nutzer die Cookies auch ablehnen konnten.

Wieso wurde hier nicht auf einen DSGVO-Verstoß erkannt, mögen Sie sich jetzt vielleicht fragen. Hintergrund ist, dass der Einsatz von Cookies und anderen Identifiern europarechtlich in erster Linien durch Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG) geregelt ist. Existiert ein nationales Gesetz, dass diese Vorschrift auf mitgliedsstaatlicher Ebene umsetzt, ist dieses Gesetz aufgrund von Art. 95 DSGVO vorrangig vor den Vorschriften der DSGVO anzuwenden. Es handelt sich juristisch um eine Spezialvorschrift (lex specialis).

Kommen wir nach diesem kurzen Exkurs wieder zur spanischen Bußgeldpraxis:

Auch über das aktuelle Bußgeld gegen Iberia hinaus hat sich insbesondere Spanien bei der Verhängung von Bußgeldern im Cookie-Kontext hervorgetan. Mittlerweile gibt es – den Fall Iberia einbezogen – 15 uns bekannte Bußgelder der spanischen Behörde. Die Bandbreite reicht dabei von 1.600 € bis hin zu 30.000 €, wobei den Höchstbetrag neben Iberia die Billigfluglinie Vueling und der spanische Ableger von Twitter „aufgebrummt“ bekamen. Startschuss war in Spanien das Bußgeld gegen Vueling am 6. September 2019. Es ist erkennbar, dass sich die Bemühungen ab Mitte 2020 verstärkt haben, denn von den 15 Bußgeldern wurden 13 nach dem 1. Juni 2020 verhängt.

Bei nahezu allen Cookie-Bußgeldern haperte es bei den Website-Betreibern an den „Basics“: Entweder gab es gar keine (aktive) Wahlmöglichkeit (wie vom EuGH in seiner „Planet 49“-Entscheidung gefordert) oder die Cookies wurden bei schlichtem Weitersurfen gesetzt. In anderen Fällen waren die erteilten Informationen nicht ausreichend oder aber es gab keine Möglichkeit, Cookies auch abzuwählen. Die Rechtswidrigkeit war hier also mehr oder weniger schnell erkennbar.

Für all diejenigen, die sich mit der Bußgeldpraxis in Spanien näher beschäftigen möchten noch ein Hinweis: In vielen Fällen haben die Verantwortlichen von der in Spanien üblichen Rabatt-Möglichkeit zur Reduzierung des Bußgeldes Gebrauch gemacht und so das Bußgeld durch Widerspruchsverzicht und fristgemäße Zahlung um 20% reduziert.

Belgien

Außerhalb von Spanien ist uns europaweit bislang nur noch ein weiteres Cookie-Bußgeld bekannt, das aus Belgien stammt. Hier hatte die belgische Aufsichtsbehörde am 17. Dezember 2019 ein Bußgeld in Höhe von 17.000 € gegen den juristischen Nachrichtendienst Jubel.be verhängt. Ausweislich einer Presseerklärung der Behörde sollte an dem Dienst ein Exempel statuiert werden, da dieser nach Ansicht der Behörde eine Vorbildfunktion erfülle. Das Unternehmen, das im Jahr 2018 einen Jahresumsatz in Höhe von ca. 1,7 Mio. Euro erzielte, hatte gleich in mehrfacher Hinsicht gegen Vorgaben verstoßen: So waren die Informationen im Zusammenhang mit der Einwilligung nicht transparent. Außerdem gab es keine Möglichkeit, eine einmal erteilte Einwilligung zu widerrufen. Spannend an dieser Entscheidung: Der Website-Betreiber setzte auch Google-Analytics-Cookies ein und berief sich dafür auf sein berechtigtes Interesse als Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO). Dem erteilte die Behörde eine Abfuhr und stellte fest, dass Cookies zur statistischen Analyse nicht unbedingt erforderlich seien und somit eine Einwilligung notwendig sei.

Situation in Deutschland

Für Deutschland lässt sich sagen, dass uns bislang kein Bußgeld einer Aufsichtsbehörde für den rechtswidrigen Einsatz von Cookies bekannt ist.

Das heißt allerdings nicht, dass die Aufsichtsbehörden untätig sind. Wie wir wissen, gibt es seit Mitte August dieses Jahres eine konzentrierte Aktion elf deutscher Datenschutzaufsichtsbehörden gegen größere Medienhäuser (dazu zählen die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Die Aktion richtet sich explizit auf das Thema Tracking und Cookies, wie auch der Pressemitteilung des LfDI Baden-Württemberg zu entnehmen ist. Die Medienbranche wurde dabei von den deutschen Behörden offenbar ganz bewusst ausgewählt, da man glaubt, dass der Cookie-Einsatz hier mit am exzessivsten ist. Wer mehr zu dieser Aktion wissen möchte, findet die im Rahmen des Informationsfreiheitsgesetzes veröffentlichten Anschreiben der Behörden aus Rheinland-Pfalz und Baden-Württemberg online.

Die Frist in den behördlichen Verfahren ist voraussichtlich Ende September abgelaufen. Daher ist damit zu rechnen, dass relativ bald erste Ergebnisse aus diesen Verfahren öffentlich werden. Es kann davon ausgegangen werden, dass die Behörden diese Verfahren als Testballon nutzen, um anschließend auch andere Branchen in den Blick zu nehmen. Ein konkreter Zeitrahmen ist dafür allerdings noch nicht prognostizierbar.

Es gilt bei allen Prognosen auch zu bedenken, dass wir in Deutschland in gewissem Maße eine Sonderproblematik haben: Seit der Entscheidung des BGH in der Rechtssache „Planet 49“ steht fest, dass der Cookie-Einsatz rechtlich an den Anforderungen des § 15 Abs. 3 TMG (Telemediengesetz) gemessen werden muss, der nach der Rechtsprechung des BGH vor dem Hintergrund von Art. 5 Abs. 3 der ePrivacy-Richtlinie europarechtskonform auszulegen ist. Damit ergibt sich aus Art. 95 DSGVO eine Sperrwirkung (siehe oben), so dass bei der Verfolgung von Verstößen gegen Cookie-Regeln allein die Vorgaben des TMG anzuwenden sind. Für den Bereich des TMG ist allerdings umstritten, ob die Datenschutzaufsichtsbehörden überhaupt für eine Sanktionierung von Verstößen zuständig sind. Es wird sich zeigen, ob sich die Behörden von diesem Thema am Vorgehen gegen Verstöße hindern lassen, oder ob sie es weiterhin (wie beim aktuellen Verfahren gegen die Medienverlage) elegant ignorieren.

Fazit: Bußgeldrisiko in Deutschland steigt

Bislang sind Website-Betreiber mit rechtswidrigen Cookie-Bannern noch verhältnismäßig glimpflich davongekommen. Lediglich in Spanien gab es bereits nennenswerte Bußgelder.  Doch die sorglosen Zeiten scheinen hierzulande zu einem Ende zu kommen. Auch wenn es in Deutschland bisher noch kein Cookie-Bußgeld gab, ist davon auszugehen, dass nach den wegweisenden Entscheidungen des EuGH und des BGH in Sachen „Planet 49“, sowie den behördlichen Anstrengungen gegen deutsche Medienverlage spätestens im nächsten Jahr die ersten Bußgelder kommen.

Die bisherige europäische Bußgeldpraxis ist dabei auch für deutsche Verantwortliche interessant, denn ebenso wie der § 15 Abs.3 TMG fußen die maßgeblichen Normen in Spanien und Belgien auf dem europarechtlichen Art. 5 Abs. 3 der ePrivacy-Richtlinie.

Vor diesem Hintergrund lohnt es sich, die eigene Website auf Konformität zu prüfen. Auf folgende drei Punkte sollte dabei ganz besonders das Augenmerk gelegt werden: (1) Es müssen die für die Einwilligung zwingend erforderlichen Informationen bereitgestellt werden, (2) es muss eine aktive Wahlmöglichkeit geben und (3) falls Sie Ihre Datenverarbeitung auf berechtigte Interessen stützen, sollten Sie eine dokumentierte Interessenabwägung vorweisen können.

Wenn das Kind in den Brunnen gefallen ist und die Aufsichtsbehörde ein Bußgeldverfahren gegen Sie angestrengt hat, sollte die Strategie in diesem Verfahren sorgsam gewählt werden. So kann sich eine vollständige Kooperation mit der Behörde zwar bußgeldmindernd auswirken – gleichzeitig muss dies nicht in jedem Fall die beste Vorgehensweise sein. Dies gilt nicht zuletzt vor dem Hintergrund der bestehenden Rechtsunsicherheiten in der Anwendung des § 15 Abs. 3 TMG und der umstrittenen Frage der Zuständigkeit der Datenschutzaufsichtsbehörden für TMG-Bußgelder.

Mehr als die Hälfte der Beschäftigten in Deutschland erhalten von ihren Arbeitgebern ein Weihnachtsgeld. Doch gerade im Krisenjahr 2020 werden sich Unternehmen fragen, ob und unter welchen Voraussetzungen Arbeitnehmer einen Anspruch auf ein Weihnachtsgeld haben und welche Vorteile sich im Hinblick auf die zum 1. März 2020 eingeführte „Corona-Prämie“ ergeben.

Alle Jahre wieder?

Ein gesetzlicher Anspruch auf die Zahlung eines Weihnachtsgeldes existiert nicht. Ohne eine konkrete rechtliche Grundlage in einem Arbeitsvertrag, Tarifvertrag oder in einer Betriebsvereinbarung haben Arbeitnehmer daher keinen Anspruch auf ein Weihnachtsgeld. Erst recht haben Arbeitnehmer keinen Anspruch auf die Zahlung eines Weihnachtsgelds in einer bestimmten Höhe (z.B. ein Bruttomonatsgehalt).

Ein Anspruch des Arbeitnehmers kann sich jedoch aus einer sogenannten „betrieblichen Übung“ ergeben. Eine betriebliche Übung ist nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) spätestens dann anzunehmen, wenn der Arbeitgeber dreimal infolge ein Weihnachtsgeld gezahlt hat, ohne einen Freiwilligkeitsvorbehalt zu erklären. Um eine betriebliche Übung und mithin einen Anspruch des Arbeitnehmers zu verhindern, sollte der Arbeitgeber den Arbeitnehmern klar und verständlich mit der jeweiligen Zahlung schriftlich mitteilen, dass der Bonus einmalig erfolgt und künftige Ansprüche hierauf ausgeschlossen sind.

Weihnachtssegen oder Weihnachtsfluch?

Vielversprechend erscheint die Zahlung eines – noch bis zum 31. Dezember 2020 – steuer- und sozialversicherungsabgabenfreien Corona-Bonus anstatt eines abgabenbelasteten Weihnachtsgeldes. Von dem Corona-Bonus hat auch jüngst der Siemens-Konzern Gebrauch gemacht und zahlt seinen Beschäftigten aufgrund der pandemiebedingten Mehrbelastung bis zu 1.000 EUR als Sonderprämie aus.

Arbeitgeber können ihren Arbeitnehmern im Rahmen des Corona-Bonus Geldzuschüsse oder Sachzuwendungen (z. B. Gutscheine) bis zu einem Betrag von 1.500 EUR steuerfrei und beitragsfrei in der Sozialversicherung gewähren; es darf auch mehr gezahlt werden.

Dafür muss der Bonus jedoch „zusätzlich zum geschuldeten Arbeitslohn“ erbracht werden. Nach einem Schreiben des Bundesministeriums für Finanzen vom 5. Februar 2020 ist nur davon auszugehen, wenn

• der Bonus nicht auf den Vergütungsanspruch angerechnet,
• der Vergütungsanspruch nicht zugunsten des Bonus herabgesetzt,
• der verwendungs- oder zweckgebundene Bonus nicht anstelle einer bereits vereinbarten künftigen Erhöhung der Vergütung gewährt und
• die Vergütung bei Wegfall des Bonus nicht erhöht wird.

Kommt einer der Fälle in Betracht, ist der Bonus steuerpflichtig. Hat der Arbeitgeber in den zurückliegenden Kalenderjahren kein Weihnachtsgeld gezahlt oder wurde das Weihnachtsgeld bislang nur in Verbindung mit einem wirksamen Freiwilligkeitsvorbehalt ausgezahlt, kommt die Zahlung des Weihnachtsgeldes als Corona-Bonus in Betracht.

Erst letzte Woche stellte der Europäische Datenschutzausschuss (EDSA – das Gremium der europäischen Datenschutzaufsichtsbehörden) seine Guidelines für zusätzliche Schutzmaßnahmen bei internationalem Datentransfer vor. Wie heute bekannt wurde, ist Microsoft das erste der großen US-Tech-Unternehmen, das auf diese Leitlinien reagiert und zusätzliche Schutzmaßnahmen für Unternehmenskunden sowie Kunden aus dem öffentlichen Sektor implementiert. Microsoft teilt in einer Stellungnahme mit, dass man ab sofort weitere vertragliche Verpflichtungen gegenüber den Kunden eingehen werde, die das Datenschutzniveau bei internationalem Datentransfer absichern sollen.

Konkret nimmt Microsoft folgende Ergänzungen vor: Die bestehenden, in die Kundenverträge implementierten Standarddatenschutzklauseln werden um eine Zusatzvereinbarung namens „Additional Safeguards Addendum to Standard Contractual Clauses“ ergänzt. Diese ist hier abrufbar.

Kerninhalt der Zusatzvereinbarung sind zwei vertragliche Garantien, die Microsoft erteilt:

1. Zum einen verpflichtet sich Microsoft darin, gegen sämtliche Regierungsanfragen nach Kundendaten – egal von welcher Regierung – vorzugehen und diese anzufechten, sofern hierfür eine rechtliche Grundlage besteht.
2. Zum anderen verpflichtet sich Microsoft, die Nutzer der Kunden – zumindest in einem eingeschränkten Umfang – finanziell zu entschädigen, wenn deren Daten in Reaktion auf eine Regierungsanfrage unter Verletzung der DSGVO offengelegt werden.

Damit greift Microsoft einige der vorgeschlagenen Schutzmaßnahmen vom EDSA sowie von anderen Datenschutzaufsichtsbehörden, wie dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW), auf.

In einer ersten Stellungnahme äußert sich der LfDI BW erfreut über die Schritte von Microsoft und sieht diese als Signal in die Branche. Gleichzeitig weißt er darauf hin, dass damit die generelle Transferproblematik in die USA nicht gelöst werde, „denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“ Eine ähnliche Bewertung durch andere Behörden lassen die oben angesprochenen Leitlinien des EDSA (Rz. 48) vermuten, in denen es heißt, dass vertragliche und organisatorische Maßnahmen allein wohl nicht ausreichen werden, um staatliche Zugriffe zu verhindern.

Laut Aussage des LfDI BW wird sich die deutsche Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes) noch vor Ende des Jahres zusammensetzen und die Gespräche zu Microsoftprodukten fortsetzen.

Auch wenn die Wirksamkeit der von Microsoft neu getroffenen Maßnahmen abzuwarten bleibt, ist das Signal an die gesamte US-Tech-Branche und die Politik auch unserer Meinung nach eindeutig: Es müssen praxisnahe Lösungen für den internationalen Datentransfer gefunden werden. Die US-Anbieter können die Probleme und Risiken ihrer europäischen Kunden in Folge der „Schrems II“-Entscheidung des Europäischen Gerichtshofs nicht weiter ignorieren und sich auf den alleinigen Abschluss der Standarddatenschutzklauseln zurückziehen.