gekennzeichnet. Dieser Artikel besagt insbesondere, dass bei funktionell gleichwertigen Möglichkeiten diejenige zu bevorzugen ist, welche datenschutzfreundlicher ist. Das Nutzen des Google Tag Manager ohne Funktion und ohne AVV ist somit nicht durch berechtigtes Interesse zu rechtfertigen.
Gesetzestext
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Bemerkungen
Vergleiche etwa das EuGH-Urteil vom 27.09.2017 (Az. C‑73/16, „Puškár“). Dort steht in Rn. 13 „Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.“
Zum Datenschutz durch Technikgestaltung gehört laut Klingbein und Kohm (Beck MMR 2021) auch die Bereitstellung einer Betroffeneninformation durch den Anbieter/Hersteller einer Software, die auf Webseiten eingesetzt werden soll. Die Autoren schreiben dort: „Werden also von Herstellerseite […] Tools vertrieben, stellt sich die rechtliche Frage, ob die Hersteller die Verantwortlichen auch mit entsprechenden Textbausteinen […] für deren Verwendung auf der Homepage versorgen müssen. Jedenfalls gehört es zu den produktbezogenen Aufklärungspflichten, […] die datenschutzrelevanten Funktionalitäten derart transparent zu erläutern, dass dieser zumindest seine vorhandene Datenschutzerklärung ergänzen bzw. anpassen kann.“
Die Datenschutzbeauftragte von Niedersachsen hatte gegen einen Online-Shop ein Bußgeld in Höhe von 65.500 Euro erlassen, weil dort eine veraltete Software genutzt wurde (S. 96ff).
Auch interessant
- Art. 5 DSGVO (u.a. Datenminimierung)
- Art. 32 DSGVO: Sicherheit der Verarbeitung
- Externe Google Fonts sind einwilligungspflichtig
- Google Tag Manager: DSGVO-konform nutzbar?
