Oberster Gerichtshof in Österreich zur Kopplung der Einwilligung nach der DSGVO – grundsätzlich unzulässig?

Mit Urteil vom 31.08.2018 (Az. 6Ob140/18h) hat der Oberste Gerichtshof in Österreich (OGH) eine interessante und auch für andere Mitgliedstaaten sicherlich relevante Entscheidung zur Einwilligung und dem „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO gefällt.

Sachverhalt

Gegenstand des Verfahrens war eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, welche von der Beklagten, einem Unternehmen, welches den Empfang digitaler Fernsehprogramme ermöglicht, eingesetzt wurde.

Für die hiesige Besprechung sind jedoch allein die AGB-Klauseln relevant. Diese lauteten auszugsweise wie folgt:

2. Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, EMail-Adresse, Gerätenummer (Client ID) des TVEmpfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über das Produktportfolio von s*****TV (Aktionen, neue Angebote, neue Programme, Programmhighlights), s***** Internet, TV-Empfangsgeräte, terrestrische Empfangsmöglichkeiten, per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen sowie…Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

3. Der Kunde stimmt weiters zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer (Client ID) des TV-Empfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über Angebote (Produkte und Leistungen) der Kooperationspartner von s***** per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen. Kooperationspartner von s***** sind Unternehmen mit Sitz in Österreich, mit welchen s***** bei der Vermarktung der Angebote (Produkte und Leistungen) von s***** zusammenarbeitet und/oder welche ergänzende Leistungen zu den Angeboten von s***** anbietet. Kooperationspartner sind F***** GmbH, O***** GmbH & Co KG, Ö***** GmbH & Co KG, Ö***** Kundenservice GmbH & Co KG und G***** GmbH.Firmenbuchnummer *****. Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

Die Vorinstanzen verboten die Verwendung beider Klauseln, u.a. mit der Begründung, dass Klauseln 2 und 3 benachteiligend seien,

weil sie den Vertragsabschluss von der Zustimmung zu einer (für die Vertragserfüllung nicht erforderlichen) Datenverwendung (nämlich zu Werbezwecken) abhängig machen, womit es an einer Freiwilligkeit der Zustimmung nach § 4 Z 14 DSG 2000 („ohne Zwang“) mangle.

Urteil des OGH

Der OGH verweist zunächst, neben allgemeinen Ausführungen zum Datenschutzrecht, darauf, dass die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, in der österreichischen höchstgerichtlichen Judikatur noch nicht behandelt wurde. Anders als in Deutschland (§ 28 Abs 3b BDSG aF) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.

Der OGH prüft den Fall jedoch nicht nur nach der alten Rechtslage, sondern auch unter Anwendbarkeit der DSGVO. Und hier wird es natürlich interessant.

Das Gericht erläutert, dass die materiell rechtlichen Voraussetzungen einer Einwilligung im Wesentlichen unverändert blieben. Jedoch enthalte die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Art. 7 Abs 4 DSGVO:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Der OGH nutzt zur Auslegung des Art. 7 Abs. 4 DSGVO auch den korrespondierenden Erwägungsgrund, ErwG 43 DSGVO. In diesem heißt es:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Danach spricht das Gericht richtigerweise einen sehr relevanten Punkt bei der Auslegung und Anwendung dieser Normen an. Nach dem Verordnungstext (Art. 7 Abs. 4 DSGVO) muss dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung getragen werden. Der Artikel verbietet eine Kopplung mithin nicht per se, sondern verlangt, dass im Rahmend es Tatbestandsmerkmals der „Freiwilligkeit“ den Umständen des Einzelfalls Rechnung zu tragen ist.

ErwG 43 DSGVO hingegen formuliert das Verbot einer Kopplung finaler. Nach Ansicht des OGH

spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.

Dem folgend verweist der OGH kurz auf den Meinungsstand in der Literatur. Die Stellungnahmen, ob nun ein unbedingtes Kopplungsverbot bestehe, seien nicht eindeutig.

Danach entscheidet sich der OGH, ohne größere Begründung (konkret in einem Absatz), für eine restriktive Auslegung der Vorschriften.

Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Leider führt der OGH für diese Sichtweise keine nähere Begründung an. Meines Erachtens kann man diese Auslegungskonflikt zwischen Artikel und Erwägungsgrund aber auch genau entgegengesetzt lösen. Denn die Bestimmungen in den Erwägungsgründen sind jener Teil des Rechtsakts, der die Begründung enthält und zwischen den Bezugsvermerken und dem verfügenden Teil des Rechtsakts steht. ErwG 43 DSGVO ist gerade nicht Inhalt des verfügenden Teils der DSGVO. Wenn man so will, kann man aus Sicht der verpflichtet Verantwortlichen auch davon ausgehen, dass zwingend bindend nur die Artikel sind, wohingegen die ErwG die Begründung des verbindlichen Teils darstellen.

Dieses Verhältnis zwischen ErwG und Artikel ergibt sich auch eindeutig aus dem „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“ (Stand, 2015):

Die Erwägungsgründe werden im Gegensatz zum verfügenden Teil so formuliert, dass ihre Unverbindlichkeit deutlich wird.

Zumindest lässt sich der Entscheidung des OGH entnehmen, dass das Gericht nicht von einem absoluten Kopplungsverbot auszugehen scheint („grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt“). Für die Ausnahmefälle, in denen eine Freiwilligkeit gegeben ist, verengt der OGH aber meines Erachtens den Spielraum massiv. Es müssten „besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen“. Nach Ansicht des OGH ist die fehlende Freiwilligkeit (und damit die Unzulässigkeit der Kopplung) also wohl die Regel.

Selbst wenn man der Ansicht des OGH folgen möchte, verwundert es doch, dass das Gericht eine Vorlage an den EuGH zu dieser Frage ablehnt, „weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt“. Im Grunde hat der OGH in seinem Urteil, ein paar Randziffern zuvor, bei dem Verweis auf die umstrittene und unklare Meinungslage in der Literatur, selbst schon deutlich gemacht, dass die Rechtslage in dieser Frage nicht eindeutig ist und die Klärung durch den EuGH wünschenswert wäre. Leider hält er dies hier aber nicht für geboten.

Relevant ist die Entscheidung meines Erachtens in jedem Fall, da es sich hier um eine höchstrichterliche Befassung mit den Vorgaben des Art. 7 Abs. 4 DSGVO handelt. Inhaltlich halte ich die Interpretation der DSGVO durch den OGH auf jeden Fall für angreifbar. Eventuell müssen wir uns aber noch ein wenig gedulden, bis der EuGH zu dieser Vorschrift entscheiden kann. Auch in Italien wurde in diesem Jahr bereits zu Art. 7 Abs. 4 DSGVO entschieden (Corte Suprema Di Cassazione, 2.7.2018, 17278/2018, S. 9 ff.).

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.

Saarländische Datenschutzbehörde: SmartHome nur mit Einwilligung der Mieter?

Am 21. Juni 2017 hat das Unabhängige Datenschutzzentrum Saarland seinen 26. Tätigkeitsbericht der saarländischen Landesbeauftragten für Datenschutz und Informationsfreiheit für die Jahre 2015/2016 vorgestellt (PDF).

In dem Tätigkeitsbericht informiert die Behörde auch über einen interessanten Fall aus dem Bereich des „Smart Home“, also der vernetzen bzw. mit Sensoren ausgestatteten Wohnung (ab S. 169).

Ein Unternehmen wandte sich mit der Frage an die Datenschutzbehörde, unter welchen datenschutzrechtlichen Bedingungen von dem Unternehmen angebotene Klimasensoren in Mietwohnungen im Saarland auf Wunsch der Vermieter dauerhaft angebracht werden können.

Der Nutzen dieser Sensoren lag darin, dass das Unternehmen ein Sensorsystem anbieten würde, welches in „gefährdeten“ Räumen einer Mietwohnung die relative Luftfeuchtigkeit, die Temperatur, den Luftdruck sowie den CO- und CO2-Gehalt permanent erfasst. Die Daten würden dann von dem einzelnen Sensor an das Unternehmen übermittelt und dort gespeichert. Bei der Feststellung eines den Schimmel begünstigenden Raumklimas sollte der Mieter über eine automatisch durch das System erzeugte Meldung informiert werden, damit dieser Gegenmaßnahmen ergreifen kann.

Gleichzeitig sollte auch der Vermieter informiert werden. Sowohl Mieter als auch Vermieter sollten zudem auf die gespeicherten Daten zugreifen können.

Nach Auffassung der Datenschutzbehörde werde im Rahmen des Einsatzes des Sensorsystems mit personenbezogenen Daten von Mietern umgegangen, da gerade eine Personenbeziehbarkeit der systemseitig im Wohnraum erfassten und gespeicherten Werte intendiert wird.

Zudem ging die Behörde davon aus, dass der Vermieter als „verantwortliche Stelle“ agieren würde. Das Unternehmen würde als Auftragsdatenverarbeiter nach § 11 BDSG fungieren.

Beide Auffassungen der Behörde kann man sicherlich nachvollziehen und gut begründbar vertreten. Interessant wäre jedoch die Frage, inwiefern der Zugriff der Mieter auf die Daten im System Einfluss auf die Verantwortlichkeitsverhältnisse hat. Dies würde wohl auch davon abhängen, was genau die Mieter überhaupt mit den Daten machen könnten. Dazu enthält der Bericht leider keine Informationen.

Doch nun kommt die Behörde zum entscheidenden Teil ihrer Prüfung. Nach ihrer Ansicht ist Grundlage für den Datenumgang

allenfalls die Einwilligung des betroffenen Mieters.

Auf andere Erlaubnistatbestände des Datenschutzrechts geht die Aufsichtsbehörde unverständlicherweise überhaupt nicht ein. Dabei könnte man hier, im Verhältnis zwischen Vermieter und Mieter, doch daran denken, dass die im System durchgeführte Datenverarbeitung erforderlich ist, um das bestehende Vertragsverhältnis durchzuführen (§ 28 Abs. 1 S. 1 Nr. 1 BDSG). Denn der Mieter wird vertraglich dazu verpflichtet sein, die Mietsache nicht zu beschädigen und damit z.B. auch der Schimmelbildung entgegenzuwirken. Gerade hierfür dient ja das System.

Auch der Erlaubnistatbestand des § 28 Abs. 1 S. 1 Nr. 2 BDSG (die Interessabwägung) käme zur Legitimation der Verarbeitungen in Betracht. Danach ist die Verarbeitung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Berechtigte Interessen des Vermieters bestehen in jedem Fall. Er möchte verhindern, dass sein Eigentum Schaden nimmt. Gerade auf Seiten des Mieters bestehen aber auch schutzwürdige Interessen, die für die Datenverarbeitung sprechen. Dem Mieter wird, gerade aus Gesundheitsaspekten, daran gelegen sein, eine Schimmelbildung zu verhindern. Wenn der Mieter zudem noch angemessen über die Datenverarbeitung informiert ist, sprechen meines Erachtens durchaus gute Argumente dafür, hier eine Zulässigkeit der Verarbeitung in Betracht zu ziehen.

Die Behörde hielt an ihrer Auffassung zur Einwilligung als einzige Möglichkeit fest und kommunizierte dies dem Unternehmen. Seitdem erfolgte keine Rückmeldung des Unternehmens.

Europäische Datenschutzbehörden veröffentlichen Leitlinien zum Beschäftigtendatenschutz

Mit ihrer Stellungnahme 2/2017 vom 8. Juni 2017 (PDF) haben sich die europäischen Datenschutzbehörden, die in der Art. 29 Datenschutzgruppe versammelt sind, zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Interessant und für die Praxis besonders relevant ist, dass sich die Datenschutzbehörden in ihrer Stellungnahme nicht nur zur aktuellen Rechtslage (also zur europäischen Datenschutzrichtlinie 95/46/EG) äußern, sondern auch ein Ausblick auf die Auslegung der EU Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten geben.

Die nun veröffentlichte Stellungnahme ist nicht die erste, die sich mit dem Beschäftigtendatenschutz befasst. Bereits im Jahre 2001 und 2002 hat die Art. 29 Datenschutzgruppe Stellungnahmen hierzu veröffentlicht. Die nun vorliegende Stellungnahme ist jedoch nach Ansicht der Datenschützer insbesondere deshalb erforderlich, da sich seit Veröffentlichung der vorherigen Stellungnahmen die technischen Gegebenheiten und Möglichkeiten zur Verarbeitung personenbezogener Daten gerade auch im Beschäftigungsverhältnis geändert haben. Aus diesem Grund möchten die Datenschützer auch hier neue Leitlinien veröffentlichen.

Die vorliegende Stellungnahme befasst sich daher insbesondere auch mit neuen Verarbeitungsmöglichkeiten, etwa im Rahmen von Social Media Plattformen. Insgesamt behandelt Stellungnahme hierzu neun beispielhafte Szenarien und die Datenschützer stellen dar, inwiefern Datenverarbeitung in diesen Szenarien ihrer Auffassung nach zulässig sind. Hier bereits der Hinweis: die Stellungnahme der Art. 29 Datenschutzgruppe ist kein Gesetz und nicht bindend, für die Praxis aber natürlich durchaus von Relevanz.

Wer ist Beschäftigter?

Ganz zu Beginn ihrer Stellungnahme weisen die Datenschützer darauf hin, dass der Begriff des „Beschäftigten“ im Rahmen ihrer Stellungnahme nicht zu eng zu verstehen ist und insbesondere nicht unbedingt den klassischen festen Anstellungsvertrag voraussetzt. Die Datenschützer erwähnen etwa auch freie Mitarbeiter, die ihrer Ansicht nach unter den Begriff des Beschäftigten im Rahmen dieser Stellungnahme fallen. Den Datenschützern geht es gerade nicht darum, nur solche Szenarien abzudecken, in denen tatsächlich ein Arbeitsvertrag besteht.

Möglichkeiten der Verarbeitung im Beschäftigungsverhältnis

Zunächst befasst sich die Stellungnahme mit den Verarbeitungsmöglichkeiten auf der Grundlage der noch geltenden EU Datenschutzrichtlinie. Zudem weisen die europäischen Datenschutzbehörden darauf hin, dass sie sich wünschen würden, dass in dem derzeit diskutierten Vorschlag für eine ePrivacy-Verordnung eine spezifische Ausnahme für den Zugriffs auf Endgeräte von Arbeitnehmern aufgenommen wird. Diese Möglichkeit wurde kürzlich im Entwurf eines Berichts des LIBE-Ausschusses im Europäischen Parlament vorgesehen. Meines Erachtens nach ergeben sich mit Einführung einer solchen Spezifizierung hinsichtlich des Zugriffs auf Endgeräte im Arbeitsverhältnis jedoch schwierige Fragen der Abgrenzung zur DSGVO und auch dem neuen BDSG. Hierzu mein Blogbeitrag.

Einwilligung

Nach Auffassung der Datenschutzbehörden stellt die Einwilligung der Beschäftigten für die überwiegende Mehrheit von Datenverarbeitungsvorgängen zumeist nicht die passende Grundlage dar. Diese Auffassung der Datenschutzbehörden (gerade auch in Deutschland) ist nicht unbedingt neu. Gerne wird auch pauschal die Möglichkeit verneint, dass Beschäftigte eine datenschutzrechtliche Einwilligung gegenüber ihrem Arbeitgeber abgeben könnten. In Deutschland hat das Bundesarbeitsgericht (Urt. v. 11.12.2014 – 8 AZR 1010/13) völlig zu Recht entschieden, dass natürlich auch im Beschäftigungsverhältnis die Möglichkeit einer datenschutzrechtlichen Einwilligung per se erst einmal gegeben ist. Es kommt dann freilich immer stets auf die Umstände an, ob die Anforderungen der Einwilligung tatsächlich auch erfüllt sind, wie etwa die Freiwilligkeit der Abgabe der Einwilligungserklärung. Die Datenschutzbehörden gehen davon aus, dass eine Einwilligung im Beschäftigungsverhältnis insbesondere dann nicht wirksam ist, wenn sich an die Weigerung der Abgabe einer Willenserklärung durch den Beschäftigten eine negative Folge für diesen knüpfen würde. In diesem Fall fehlt es an der Freiwilligkeit der Abgabe der Einwilligungserklärung.

Durchführung des Arbeitsvertrages

Viele Datenverarbeitungen im Beschäftigungsverhältnis können in der Praxis auf der Grundlage des Arbeitsvertrages und zu dessen Durchführung vorgenommen werden. Dieser Auffassung sind auch die Datenschützer und verweisen beispielhaft etwa auf Datenverarbeitung im Rahmen von Gehaltszahlungen.

Interessenabwägung

Die in der Praxis jedoch wohl wichtigste Grundlage für eine Verarbeitung personenbezogener Daten von Beschäftigten stellt die Möglichkeit einer Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Arbeitnehmers dar (Art. 7 f) EU Datenschutzrichtlinie). Nach Auffassung der Datenschutzbehörden muss die Datenverarbeitung in diesem Fall in jedem Fall angemessen und verhältnismäßig sein. Zudem sollten Datenverarbeitungen im Arbeitsverhältnis stets die am wenigsten einschneidende Maßnahme in Bezug auf die Rechte des Arbeitnehmers darstellen. In jedem Fall, so die Datenschutzbehörden, ist es erforderlich, das durch den Arbeitgeber bestimmte Maßnahmen umgesetzt sind, um die Risiken für die Arbeitnehmer zu minimieren und die schutzwürdigen Interessen der Arbeitnehmer gebührend zu berücksichtigen. Am Beispiel der Überwachung von Arbeitnehmern stellen die Datenschützer dar, dass solche Maßnahmen etwa eine geographische Begrenzung der Überwachung darstellen können, die Begrenzung kann sich aber auch auf bestimmte Datenkategorien beziehen oder aber auch auf bestimmte Zeitintervalle erstreckt werden. Dies wären nach Auffassung der Datenschutzbehörden solche angemessenen Maßnahmen, um die schutzwürdigen Interessen der betroffenen Arbeitnehmer zu berücksichtigen.

DSGVO

Des Weiteren befassen sich die Datenschutzbehörden auch mit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis unter den Vorgaben der DSGVO. Zumindest wird in der Stellungnahme kurz auf einige Besonderheiten der DSGVO hingewiesen. Zum einen auf die Anforderungen des Art. 25 DSGVO, dem Prinzip des Datenschutzes durch Technikgestaltung und durch Voreinstellungen. Nach Auffassung der Datenschutzbehörden bedeutet dies für die Arbeitgeber, dass, wenn sie Endgeräte an ihre Arbeitnehmer herausgeben, diese Endgeräte mit datenschutzfreundlichen Voreinstellungen bestückt sein müssen und das Prinzip der Datenminimierung auf der technischen Ebene beachtet werden muss.

Zu dem für den Beschäftigtendatenschutz relevanten Art. 88 DSGVO (umgesetzt im neuen § 26 BDSG) verhalten sich die Datenschutzbehörden nicht besonders ausführlich. Sie geben allein den Inhalt des Artikels wieder. Jedoch weisen die Datenschutzbehörden darauf hin, dass die Anforderungen des Art. 88 Abs. 2 DSGVO, dass Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umzusetzen sind, im Rahmen der in der vorliegenden Stellungnahme dargestellten Szenarien beachtet wurden. Die in der Stellungnahme entwickelten Leitlinien erläutern den zulässigen Einsatz von neuen Technologien und stellen dabei die erforderlichen Anforderungen dar, die nach Art. 88 Abs. 2 DSGVO bei der Datenverarbeitung zu erfüllen sind. Dies bedeutet in der Praxis, dass die in der Stellungnahme der Datenschutzbehörden dargestellten Sachverhalte und vorgeschlagenen Lösungsvarianten aus Sicht der Datenschutzbehörden die Anforderungen der DSGVO erfüllen.

Datenverarbeitung aus sozialen Netzwerken

In einem dargestellten Sachverhalt befassen sich die Datenschutzbehörden mit der Situation, das ein potenzieller Arbeitgeber sich vor oder nach einem Vorstellungsgespräch im Rahmen einer Suche im Internet und in Profilen von sozialen Netzwerken ein eigenes Bild über den Kandidaten machen will. Die Datenschutzbehörden weisen jedoch darauf hin, dass nur weil Informationen in einem Profil in einem sozialen Netzwerk öffentlich abrufbar sind, die Arbeitgeber diese Information nicht auch unbedingt für eigene Zwecke nutzen können. Stets ist für jede Datenverarbeitung ein gesetzlicher Erlaubnistatbestand zu erfüllen. Sie weisen jedoch darauf hin, dass, bevor ein Arbeitgeber ein Profil eines Sozialen Netzwerkes genauer untersucht, zunächst zu prüfen ist, um was für eine Art von sozialem Netzwerk es sich handelt. Um ein berufliches Netzwerk oder ein Netzwerk mit privatem Hintergrund. Insbesondere im Rahmen der Interessenabwägung als Erlaubnistatbestand kann dieser Umstand eine Rolle spielen. Zudem, so die Datenschutzbehörden, dürfen potentielle Arbeitgeber Daten nur in dem Umfang erheben und verarbeiten, wie dies für den Bewerbungsprozess tatsächlich absolut notwendig ist. Nach Auffassung der Datenschutzbehörden müssen zudem alle im Rahmen des Bewerbungsprozesses erhobenen und gespeicherten Daten unverzüglich gelöscht werden, sobald deutlich wird, dass den Kandidaten kein Job angeboten wird. Hier lässt sich zumindest kritisch anmerken, dass insbesondere auch in Deutschland die Datenschutzbehörden nicht direkt nach Ende des Auswahlverfahrens die Löschung der Daten verlangen. Insbesondere aufgrund der Möglichkeit des abgelehnten Kandidaten, noch gegen den ablehnenden Arbeitgeber rechtlich vorzugehen (AGG), gestehen auch in Deutschland die Datenschutzbehörden den Unternehmen eine Frist zur Speicherung der Daten zur abgelehnten Bewerbern von einigen Monaten zu.

Überwachung des Datenverkehrs

Ein weiteres Szenario was von den Datenschutzbehörden angesprochen wird, ist die Überwachung und Analyse des Datenverkehrs in das Netzwerk eines Unternehmens und hinaus. Insbesondere aus Sicherheitsgesichtspunkten und zum Schutz der Systeme gestehen die Datenschutzbehörden den Arbeitgebern eine solche Analyse und damit zusammenhängende Datenverarbeitung auch von Arbeitnehmern bis zu einem gewissen Grad zu. Sie weisen jedoch darauf hin, dass eine Überwachung in der Form der Aufzeichnung jeglicher Onlineaktivität von Arbeitnehmern ihrer Auffassung nach eine unverhältnismäßige Maßnahme darstellen würde, insbesondere mit Blick auf das Fernmeldegeheimnis. Interessant ist hierbei, dass die Datenschutzbehörden davon auszugehen scheinen, dass für den Arbeitgeber die Vorgabe der Einhaltung des Fernmeldegeheimnisses per se zu beachten ist. In Deutschland ist diese Frage jedoch umstritten, insbesondere im Rahmen der gestatteten oder nicht gestatteten privaten Nutzung das Onlinezugangs am Arbeitsplatz.

Weitere Szenarien

Auch zum Thema Bring Your Own Device äußern sich die Datenschutzbehörden in ihrer Stellungnahme. Neben weiteren Szenarien erläutern die Datenschutzbehörden auch, was es im Rahmen des Transfers personenbezogener Daten in das Ausland zu beachten gilt. Hier bleiben die Hinweise der Datenschutzbehörden jedoch recht allgemein. Sie weisen allein darauf hin, dass die Anforderungen des Art. 25 der geltenden EU Datenschutzrichtlinie einzuhalten sind. Nach Auffassung der Datenschutzbehörden sollten sich Arbeitgeber in Fällen der Übermittlung von personenbezogenen Daten der Arbeitnehmer in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes insbesondere auf die Mechanismen des Angemessenheitsbeschlusses durch die Europäische Kommission (Bsp: EU US Privacy Shield) verlassen. Daneben können auch die EU Standardvertragsklauseln eine Möglichkeit zum Datentransfer in Drittstaaten sein. Weniger geeignet halten die europäischen Datenschutzbehörden die Ausnahmen für besondere Übermittlungssituationen, wie etwa die ausdrückliche Einwilligung des Arbeitnehmers.

Fazit

Insgesamt ist die doch recht umfangreiche Stellungnahme der Datenschutzbehörden durchaus lesenswert und insbesondere, da sie auch schon die DSGVO im Blick hat, besonders praxisrelevant. Wie immer gilt natürlich, dass man auch hier nicht jegliche Meinung teilen muss. Die Stellungnahme gibt jedoch einen guten Überblick dazu, wie die europäischen Datenschutzbehörden insbesondere in Grenzfällen das Gesetz auslegen bzw. aus ihrer Sicht anwenden.

EU Mitgliedstaaten einigen sich auf Regeln für die Bereitstellung digitaler Inhalte

Am 8. Juni 2017 hat der Rat der Europäischen Union seinen Standpunkt zur Richtlinie für Verträge über die Bereitstellung digitaler Inhalte und digitale Dienstleistungen festgelegt (pdf).

Diese Richtlinie soll für Verträge zwischen Unternehmen und Verbrauchern gelten und unter anderem Vorschriften für die Bereitstellung digitaler Inhalte oder auch digitaler Dienstleistungen und über die Vertragsmäßigkeit solcher digitalen Inhalte oder digitale Dienstleistungen und auch die Rechte von Verbrauchern bei Vertragswidrigkeit oder fehlerhaften digitalen Inhalten festlegen.

Der ursprüngliche Entwurf der Europäischen Kommission zu der Richtlinie stammt aus Dezember 2015. Bereits in diesem Entwurf hatte die Europäische Kommission als Neuerung vorgesehen, dass in Zukunft nicht nur Geld als eine Gegenleistung für digitale Inhalte angesehen werden kann, sondern dass vermehrt auch personenbezogene Daten als Gegenleistung in Betracht kommen und hierfür Regelungen aufgestellt werden müssen bzw. die Bereitstellung des Zugangs zu personenbezogenen Daten als gleichwertige Gegenleistung in Betracht kommt.

„Integrierte digitale Inhalte“ und das Internet der Dinge

Im Rahmen der Verhandlungen zwischen den Mitgliedstaaten im Rat war in der Vergangenheit insbesondere umstritten, welche Vorgaben für sogenannte eingebettete digitale Inhalte (oder auch „integrierte digitale Inhalte“) gelten sollen (vgl. die Orientierungsaussprache aus Dezember 2016, pdf). Unter integrierten digitalen Inhalten (vgl. Art. 2 Nr. 12 der Allgemeinen Ausrichtung) verstehen die Mitgliedstaaten solche digitalen Inhalte, die in Produkten enthaltenen sind (also insbesondere auch Anwendungen und Software) und zur Funktionsweise des Produktes beitragen. In dem Dokument zur Orientierungsaussprache werden als Beispiele für solche waren etwa auch Geräte im Internet der Dinge, intelligente Produkte, intelligente Fahrzeuge oder auch intelligente Wohnungen benannt.

Damals war zwischen den Mitgliedstaaten umstritten, welche Regeln gelten sollen, wenn ein vernetztes Produkt ein Fehler aufweist bzw. defekt ist. Sollen hier etwa die Regeln über das Kaufrecht Anwendung finden oder aber Regelungen aus dem Mietrecht oder soll vielleicht ein komplett neues Regelwerk erdacht werden? In der Allgemeinen Ausrichtung legt nun der Rat der Europäischen Union fest, dass die Mehrheit der Mitgliedstaaten sich dafür ausspricht, dass für diese integrierten digitalen Inhalte die derart ein fester Bestandteil der Ware sind, dass das Fehlen des digitalen Inhalts die Ware unbrauchbar machen würde oder verhindern würde, dass die Ware ihre wichtigsten Funktionen erfüllen kann, den Regelungen des Kaufrechts unterfallen soll.

Nach den Mitgliedstaaten im Rat würde in Zukunft auf eventuell fehlerhafte Produkte im Internet der Dinge (auch wenn der Fehler in der Software selbst liegt) das Kaufrecht mit seinen Gewährleistungsansprüchen und nicht die nun diskutierte Richtlinie Anwendung finden.

Verhältnis zur EU Datenschutz-Grundverordnung

Des Weiteren haben sich die Mitgliedstaaten darüber verständigt, dass jegliche Überschneidung zwischen der nun diskutierten Richtlinie und den Vorschriften der EU Datenschutz-Grundverordnung (DSGVO) vermieden werden muss. Daher wird nun vorgesehen, dass die Richtlinie nicht für eine Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen gelten soll, für die der Verbraucher keinen Preis zahlt oder sich zu keiner solchen Zahlung verpflichtet, dem Anbieter (also dem Verkäufer) keine personenbezogenen Daten bereitstellt oder sich nicht zu einer solchen Bereitstellung personenbezogener Daten verpflichtet.

In dem Text zur Allgemeinen Ausrichtung des Rates findet sich zudem der Entwurf für einen noch einzufügenden Erwägungsgrund zu dieser Thematik. Dort wird vorgeschlagen, dass in dem Erwägungsgrund aufgenommen wird, dass die Richtlinie nicht in Fällen gelten soll, in denen der Verkäufer lediglich Metadaten, die IP-Adresse oder sonstige automatisch generierte Informationen wie durch Cookies gesammelte und übermittelte Informationen erhebt. Die Richtlinie soll also dann nicht gelten, wenn Daten durch das Verhalten des Betroffenen automatisch generiert werden.

Zudem dürfte in der Praxis ebenfalls von starker Relevanz sein, dass in dem Entwurf für den Erwägungsgrund festgelegt wird, dass die Richtlinie auch nicht in Fällen gelten soll, in denen der Verbraucher ausschließlich Zwecks Erlangung des Zugangs zu digitalen Inhalten oder zu einer digitalen Dienstleistung Werbung ausgesetzt ist, ohne dass er mit dem Verkäufer ein Vertrag geschlossen hat.

Des Weiteren legen die Mitgliedstaaten in ihrer Allgemeinen Ausrichtung im Hinblick auf das Verhältnis der nun diskutierten Richtlinie zur DSGVO fest, dass das Unionsrecht (inklusive DSGVO) für alle personenbezogenen Daten gilt, die im Zusammenhang mit den von dieser Richtlinie erfassten Verträgen verarbeitet werden. Auch dies soll in später noch zu erstellenden Erwägungsgründen für die Richtlinie aufgenommen werden (vgl. Art. 3 Abs. 8 der Allgemeinen Ausrichtung). Dort soll auch ausdrücklich klargestellt werden, dass diese Richtlinie die Bestimmungen der DSGVO unberührt lässt. Im Zweifel, also bei einer Kollision der Bestimmung, hat die DSGVO Vorrang.

Eine Verarbeitung personenbezogener Daten richtet sich also auch in Zukunft, wenn diese Richtlinie anwendbar ist, allein nach der DSGVO. Auch dies soll ausdrücklich klargestellt werden, insbesondere, was die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten betrifft. Die Mitgliedstaaten erläutern in dem Entwurf für einen Erwägungsgrund, dass eine Verarbeitung personenbezogener Daten im Zusammenhang mit einem Vertrag, der in den Anwendungsbereich dieser nun diskutierten Richtlinie fällt, nur rechtmäßig ist, wenn Sie mit Art. 6 Abs. 1 DSGVO im Einklang steht. Zudem wird erläutert und klargestellt, dass die vorliegende Richtlinie wieder die Gültigkeit einer datenschutzrechtlichen Einwilligung noch die Folgen des Widerrufs einer Einwilligung regelt.

Rechtsnatur der Verträge – Sache der Mitgliedstaaten

Interessant ist zudem auch der Hinweis der Mitgliedstaaten in ihrer Allgemeinen Ausrichtung darauf, dass zu einem späteren Zeitpunkt in einem Erwägungsgrund der Richtlinie geregelt werden soll, dass in der Richtlinie nicht die Rechtsnatur der Verträge für die Bereitstellung digitaler Inhalte oder digitaler Dienstleistung geregelt wird und dass die Frage, ob derartige Verträge etwa Kaufverträge, Dienstleistungsverträge oder Mietverträge sind, Sache des nationalen Rechts der Mitgliedstaaten ist.

Entwurf zur ePrivacy-Verordnung: Bundesratsausschüsse fordern grundsätzliche Überprüfung und Nachbesserung

 

Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacy-VO soll die geltende ePrivacy-Richtlinie ersetzt werden. Zudem sollen die Regelungen zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation an die Vorgaben der Datenschutz-Grundverordnung angeglichen und darauf abgestimmt werden.

 

Am 22.5.2017 haben der Ausschuss für Agrarpolitik und Verbraucherschutz, der Ausschuss für Innere Angelegenheiten,
der Rechtsausschuss und
der Wirtschaftsausschuss des Bundesrates ihre Empfehlungen (PDF) zu dem Verordnungsentwurf abgegeben.

 

Im Bundesrat wird der Vorschlag zu ePrivacy-VO am 2.6.2017 im Plenum behandelt und über die Ausschussempfehlungen beraten. Nachfolgend möchte ich einige der immerhin 24 seitigen Empfehlungen der Ausschüsse näher beleuchten:

 

Grundsätzlich begrüßen die Ausschüsse, dass in der Union einfache und klare Regelungen zum Umgang mit personenbezogenen Daten geschaffen werden sollen. Auch wird die Zielsetzung des Verordnungsvorschlags begrüßt, ein hohes Niveau des Schutzes der Privatsphäre für die Nutzerinnen und Nutzer elektronischer Kommunikationsdienste zu schaffen.

 

Jedoch machen die Ausschüsse auch sehr deutlich, dass sie ganz generelle Vorbehalte gegen den Entwurf haben:

 

 Der Bundesrat hält gleichwohl eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für unerlässlich, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

 

Abgrenzung zum Anwendungsbereich der Datenschutz-Grundverordnung

 

Nach Auffassung der Ausschüsse ist es erforderlich, den Fortbestand besonderer Regelungen für den Schutz personenbezogener Daten im Rahmen der ePrivacy-VO bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste angesichts des durch die Datenschutz-Grundverordnung geschaffenen umfassenden Rechtsrahmens kritisch zu hinterfragen.

 

Diesbezüglich werden die Ausschüsse dann noch konkreter. Insbesondere sehen sie diese Anforderungen bei den Regelungen des Kapitels II der ePrivacy-VO nicht erfüllt und bitten die Bundesregierung deshalb,

 

sich für eine grundlegende Überarbeitung des Verordnungsvorschlags einzusetzen.

 

Insbesondere halten die Ausschüsse eine umfassende und regelungsspezifische Überarbeitung der Abgrenzung zwischen den allgemeinen Anforderungen der Datenschutz-Grundverordnung und den besonderen Anforderungen des Verordnungsvorschlags als deren Präzisierung und Ergänzung für unerlässlich.

 

Zudem weisen die Ausschüsse auf Widersprüche zu den Vorgaben der Datenschutz-Grundverordnung hin. Nach Auffassung der Ausschüsse lässt die Mehrzahl der Regelungen für Telekommunikationsdienste nicht erkennen, inwieweit sie im Fall personenbezogener Daten die Datenschutz-Grundverordnung als lex specialis verdrängen oder von dieser weiterhin ergänzt werden.

 

Dies führt die Empfehlung der Ausschüsse an einem praxisrelevanten Beispiel aus: Regelungen wie die Anforderungen an “Unerbetene Kommunikation” (Art. 16 ePrivacy-VO; also insbesondere werbende Ansprachen) führen nach Ansicht der Ausschüsse statt zu einer Ergänzung zu einer Aushöhlung der Regelungen der Datenschutz-Grundverordnung für Direktwerbung im Online- Bereich. Denn durch Art. 16 ePrivacy-VO wird der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung und das spezifische Widerspruchsrecht nach Art. 21 Abs. 2 Datenschutz-Grundverordnung durch ein Einwilligungserfordernis ersetzt, das aber etwa nicht auf automatisierte Anrufsysteme beschränkt ist.

 

Anwendungsbereich

 

Kritisch äußern sich die Ausschüsse auch zum sachlichen Anwendungsbereich. Dieser soll, anknüpfend an das Marktortprinzip der Datenschutz-Grundverordnung, angepasst werden, da Art. 3 Abs. 1 der ePrivacy-VO diesen vorrangig im Hinblick auf Kommunikationsdienste und Endeinrichtungen bestimmt, aber andere verpflichtete Stellen (zum Beispiel Softwareanbieter oder Betreiber öffentlich zugänglicher Verzeichnisse) ausspart.

 

Die ePrivacy-VO soll als Neuerung auch auf elektronische Kommunikation Anwendung finden, die nicht nur zwischen natürlichen Personen stattfindet, sondern auch zwischen juristischen Personen und Maschinen (M2M-Kommunikation) erfolgt. Nach Ansicht der Ausschüsse könnte dies Geschäftsmodelle und Unternehmen im Rahmen von vernetzten Fahrzeugen, automatisierten Lieferketten oder Fuhrparklösungen, unter anderem in der Automobilindustrie und der Logistikbranche, betreffen. Vor diesem Hintergrund fordern die Ausschüsse die Prüfung, ob diese Ausdehnung des Anwendungsbereichs der ePrivacy-VO auf die Übermittlung von M2M-Kommunikation zielführend ist oder

 

ob dadurch heute gängige Abläufe in der europäischen Wirtschaft in Frage gestellt und Spielräume für Innovationen im Bereich Industrie 4.0, dem Internet der Dinge sowie in anderen neuen Geschäftsfeldern zu stark eingeschränkt werden.

 

Tracking

 

Auch dem Thema des On- und Offline-Trackings widmen sich die Ausschüsse. Ihrer Auffassung nach stellen werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft dar. Analysen des Nutzerverhaltens auf Webseiten oder in Apps werden gerade bei mittelständischen Unternehmen häufig durch Dritte (so genannte Third-Party- Cookies) durchgeführt. Die Ausschüsse kritisieren, dass Beschränkungen beim Einsatz von Datenanalysemechanismen künftig dazu führen könnten, dass gerade der Mittelstand auf dem Gebiet der Onlineplattformen massive Wettbewerbsnachteile erleidet.

 

Als Folge fordern die Ausschüsse, dass die Vorschrift des Art. 8 Abs. 1 lit. d) ePrivacy-VO auch auf den Einsatz von Third-Party-Cookies ausgedehnt wird. Dies würde bedeuten, dass keine Einwilligung der betroffenen Nutzer eingeholt werden muss, wie dies derzeit im Vorschlag für den Einsatz von Technologien zur Analyse der Kunden- und Besucherströme vorgesehen ist.

 

Unerbetene Kommunikation

Natürlich befassen sich die Ausschüsse auch mit den Vorgaben zur unerbetenen Kommunikation, also etwa der E-Mail-Werbung und Newslettern. Hier verlangen die Ausschüsse, dass jedenfalls die elektronische Kommunikation im Rahmen eines bestehenden Vertrags (Beispiele: Übermittlung von Rechnungen, Mahnungen, Rückfragen, Zusatzinformationen oder Verbrauchs- oder Messdaten bei Serviceverträgen) oder einer laufenden Kundenbeziehung, weiter uneingeschränkt möglich sein muss und diese Kommunikation gerade nicht unter den Begriff der “unerwünschten Kommunikation” (Art. 16 ePrivacy-VO) fällt.