EDSA: Zustimmung zu Datenschutzhinweisen als Verstoß gegen Grundsatz von „Treu und Glauben“ (Art. 5 Abs. 1 a) DSGVO)

Dass es keine gute Idee ist, sich eine Einwilligung oder Zustimmung zu den gesamten Datenschutzhinweisen / Datenschutzhinweisen erteilen zu lassen, ist insbesondere unter dem Blickwinkel der Anwendbarkeit des AGB-Rechts bekannt.

Rechtsprechung zur Anwendbarkeit des AGB-Rechts
So hat etwa jüngst der OGH aus Österreich (Urteil vom 23.11.2022 – 7 Ob 112/22d) sogar entschieden, dass Datenschutzhinweise auch dann der Klauselkontrolle des AGB-Rechts unterfallen, wenn der Betroffene „dem Datenschutzhinweis zwar nicht „zustimmen““ musste, jedoch in einem Versicherungsantrag bestätigen musste, „den Datenschutzhinweis „zur Kenntnis“ genommen zu haben“. Aus Sicht des OGH macht es keinen relevanten Unterschied zu der noch klareren Situation, in der den Datenschutzhinweisen an sich zugestimmt werden muss, „weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann“.

Verstoß gegen Art. 5 Abs. 1 a) DSGVO?
Sich eine Zustimmung in eine Datenschutzerklärung, die eigentlich nur der Informationserteilung nach Art. 13 DSGVO dient, einzuholen, ist nach Ansicht des EDSA aber auch noch aus einem anderen Grund unzulässig und kann gegen die DSGVO selbst verstoßen.

In seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 (es ging um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited, befasst sich der EDSA mit der Frage, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO darstellt.

Zum Grundsatz der Fairness / Treu und Glauben
Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (im Englischen: „lawfulness, fairness and transparency“).

In seiner Entscheidung erläutert der EDSA (ab Rz 142) zunächst, wie er die Norm und speziell den Grundsatz von „Treu und Glauben“ bzw. „Fairness“ versteht. Die Grundsätze der Fairness, der Rechtmäßigkeit und der Transparenz, seien zwar drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze, die jeder Verantwortliche bei der Verarbeitung personenbezogener Daten beachten muss.

Der Grundsatz der Fairness (Treu und Glauben) habe auch eine eigenständige Bedeutung, was dazu führt, dass etwa die Einhaltung des Grundsatzes der Transparenz nicht automatisch ausschließt, dass auch die Einhaltung des Grundsatzes der Fairness anders bewertet werden muss. Der Grundsatz der Verarbeitung nach Treu und Glauben umfasse unter anderem die „Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann“ und auch „die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Der Grundsatz diene vor allem auch dazu, dass ein faires Gleichgewicht zwischen den geschäftlichen Interessen der Verantwortlichen einerseits und den Rechten und Erwartungen der betroffenen Personen nach der DSGVO andererseits hergestellt werden muss.

Falsche Darstellung der Rechtsgrundlage der Datenverarbeitung
Eine spezifische Ausformung des Grundsatzes „Treu und Glauben“ betrifft nach Ansicht des EDSA die Ermittlung der geeigneten Rechtsgrundlage durch den Verantwortlichen und insbesondere auch die Information bzw. Darstellung der Rechtsgrundlage gegenüber Betroffenen.

Der EDSA ist der Ansicht, dass eine Bewertung der Einhaltung des Grundsatzes von Treu und Glauben „auch eine Bewertung der Folgen erfordert, die die Wahl und Darstellung der Rechtsgrundlage“ für die Betroffenen mit sich bringt.

Im konkreten Fall stellt der EDSA in seiner Entscheidung fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige aber eindeutig die angemessenen Erwartungen der Nutzer, da sie nicht wissen, „ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben“. Im konkreten Fall war die Einwilligung nach Art. 6 Abs. 1 a) DSGVO auch nicht die einzige Rechtsgrundlage der Datenverarbeitung. Nach Auffassung des EDSA konnten Betroffene, durch die entsprechende Gestaltung und Einholung der Zustimmung zu den Datenschutzhinweisen, jedoch nicht sicher sein, ob dies eine Einwilligung in alle Datenverarbeitungen darstellt oder nicht.

Aus diesem Grund geht der EDSA davon aus, dass der Verantwortliche in dieser Situation die Rechtsgrundlage der Verarbeitung falsch darstellt und die Betroffenen über die möglichen Zusammenhänge zwischen den angestrebten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten „im Unklaren“ gelassen werden.

Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden kann, „da sie im Hinblick auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist“.

Der EDSA geht daher von einem Verstoß gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 a DSGVO aus.

Fazit
Die Einschätzung des EDSA sollte in der Praxis als zusätzlicher Aspekt Beachtung finden, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.

AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

EDSA: Anforderungen an die Ablehnungsmöglichkeit für Cookies – Ist ein Link im Fließtext ok?

Am 17.1.2023 hat der EDSA seinen Bericht zur Arbeit der „Cookie Banner Taskforce“ veröffentlicht (PDF). Der Bericht und die dort abgestimmten Positionen zur Anwendung der ePrivacy Richtlinie (bzw. nationaler Umsetzungen, also in Deutschland des TTDSG), ist vor allem deshalb relevant, weil es im Anwendungsbereich der ePrivacy Richtlinie keinen One Stop Shop Mechanismus gibt. Das bedeutet, dass es für die Aufsichtsbehörden keine Pflicht gibt, bei grenzüberschreitenden oder EU-weit relevanten Verarbeitungen eine Abstimmung innerhalb Europas vorzunehmen. Über die Festlegungen in dem Bericht erfolgt nun aber eine, aus Sicht der Praxis begrüßenswerte, abgestimmte Positionierung zu einigen Aspekten.

Verhältnis zwischen ePrivacy Richtlinie und DSGVO

Zur Abgrenzung zwischen der ePrivacy Richtlinie (TTDSG in Deutschland) und der DSGVO stellen die Aufsichtsbehörden fest, dass für die von einem Verantwortlichen „vorgenommenen Folgeverarbeitungen“, also Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen, die im Endgerät eines Nutzers gespeichert sind, erfolgen (z.B. das Setzen oder Lesen von Cookies), der anwendbare Rahmen die DSGVO ist.

Der Dauerbrenner: Ablehnungsmöglichkeit auf erster Ebene

Zudem setzt sich der Bericht auch mit der schon lange diskutierten Frage auseinander, wie eine Ablehnungsmöglichkeit in einem Cookies Banner oder einer CMP ausgestaltet sein muss, damit die Einwilligung wirksam eingeholt werden kann.

Die Mitglieder der Taskforce waren sich einig, dass die folgenden Beispiele nicht zu gültigen Einwilligungen führen:

  • Die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabschnitt im Cookie-Banner, ohne ausreichende visuelle Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung aufmerksam zu machen;
  • die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners platziert sind, ohne eine ausreichende visuelle Unterstützung um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken;

Der EDSA verlangt also eine Ablehnungsmöglichkeit (genauer müsste man sagen, eine Möglichkeit, die Einwilligung nicht zu erteilen), auf der ersten Ebene. Zudem muss auf diese Möglichkeit auch irgendwie deutlich hingewiesen werden.

Gleichzeitig verlangt der EDSA in dem Bericht aber nicht, dass etwa Schaltflächen eins zu eins gleich gestaltet sein müssen. Nicht ausreichend ist nach Ansicht des EDSA eine Ablehnungsmöglichkeit in einem Fließtext, wenn auf diese nicht hervorgehoben hingewiesen wird.

Hieraus lässt sich wohl ableiten, dass die Ablehnungsmöglichkeit durchaus zulässig in einem Fließtext eingebettet sein darf, wenn sie besonders hervorgehoben ist und sich vom restlichen Text abhebt (also nicht versteckt wird). Also etwa durch Fettdruck, Unterstreichung oder eine andere Farbe.

EuGH: Art. 5 Abs. 2 & Art. 24 DSGVO erlegen Verantwortlichen auch (neue) Compliance-Pflichten auf

In seinem kürzlich ergangen Urteil vom 27.10.2022 (C-129/21) befasst sich der EuGH u.a. mit der Frage, welche konkreten Pflichten aus den sehr allgemein gehaltenen Vorgaben nach Art. 5 Abs. 2 und Art. 24 DSGVO erwachsen können.

Im konkreten Fall (und ich denke, man muss die Besonderheiten des Falles bei der Begründung durchaus berücksichtigen) geht der EuGH sogar soweit, aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der Pflicht nach Art. 24 DSGVO und unter Auslegung der Art. 12 Abs. 2 und Art. 17 DSGVO, eine eigenständige Informationspflicht für Verantwortliche zu kreieren, die in dieser Form eigentlich nicht ausdrücklich in der DSGVO vorgesehen ist.

Konkret ging es um die Frage, ob Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen sind, dass eine Datenschutzbehörde verlangen kann, dass ein Anbieter von Teilnehmerverzeichnissen als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren.

Die Auffassung des EuGH zu Art. 5 Abs. 2 und Art. 24 DSGVO:

erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf“.

Und:

Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen„.

Für die Praxis von Relevanz dürfte hier der Hinweis auf „vorzubeugen“ sein. Konkret muss der Verantwortliche also ein Compliance-System schaffen, um Verstöße gegen die DSGVO vorab zu verhindern. Diese Aussage mag aus der allgemeinen „Compliance-Sicht“ wenig überraschen, geht es doch dort gerade darum, Rechtsverletzungen zu verhindern. Für den Bereich der DSGVO ist die Aussage aber relevant, da insbesondere Art. 24 DSGVO sehr allgemein gehalten und z. B. ein Verstoß gegen diese Norm nicht bußgeldbewährt ist.

Der EuGH verweist hier auch auf die Begründung des Generalanwalts. Dieser ging ganz explizit davon aus, dass eine solche hier in Rede stehende Informationspflicht zumindest nicht aus Art. 17 oder 19 DSGVO direkt ableitbar ist.

Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt,…

Dennoch, so der EuGH, ergebe sich aus den allgemeinen Verpflichtungen nach Art. 5 Abs. 2 und Art. 24 DSGVO in Verbindung mit Art. 19 DSGVO, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den an ihn gerichteten Widerruf der Einwilligung der betroffenen Person zu informieren.

Dies ergebe sich auch aus einer entsprechenden Auslegung des in Art. 12 Abs. 2 DSGVO vorgesehenen Erfordernisses, wonach der Verantwortliche verpflichtet ist, der betroffenen Person die Ausübung der Rechte zu erleichtern, die ihr u. a. durch Art. 17 DSGVO gewährt werden.

EDSA: Rechtgrundlage des Art. 6 Abs. 1 f) DSGVO als zusätzliche „Absicherung“ zu anderen Rechtsgrundlagen

Zuletzt hatte ich schon einmal aus dem Beschluss des EDSA in einem Verfahren der irischen Aufsichtsbehörde gegen Meta Platforms (bezüglich Instagram) berichtet. Nachfolgend möchte ich auf eine weitere relevante Ansicht des EDSA aus diesem Beschluss hinweisen.

Bekanntlich enthält Art. 6 Abs. 1 DSGVO verschiedene mögliche Rechtsgrundlagen für eine Datenverarbeitung. Oftmals stellt sich in der Praxis die Frage, ob ein Verantwortlicher einer Datenverarbeitung, die etwa auf Grundlage einer Einwilligung (Art. 6 Abs. 1 a) DSGVO), Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) oder Art. 6 Abs. 1 c) DSGVO (Erfüllung rechtlicher Pflichten) erfolgt, zusätzlich dieselbe Verarbeitung auch auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO vornehmen kann. Dies insbesondere in solchen Fällen, in denen der Verantwortliche nicht ganz sicher ist, ob die eigentlich ausgewählte Rechtsgrundlage wirklich zu 100% erfüllt ist. Oder anders formuliert: darf ein Verantwortlicher, zur Absicherung einer Datenverarbeitung etwa auf Basis einer Einwilligung, diese Datenverarbeitung auch hilfsweise auf die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO stützen?

Die Antwort hierauf gibt nun der EDSA in seinem Beschluss.

Die deutschen Aufsichtsbehörden vertraten die Auffassung, dass ein berechtigtes Interesse im Rahmen des Art. 6 Abs. 1 f) DSGVO nicht bestehen kann, wenn der für die Verarbeitung Verantwortliche es nur für den Fall geltend macht, dass Art. 6 Abs. 1 b) DSGVO auf der Grundlage des nationalen Rechts nicht auf Minderjährige anwendbar sei. Wenn also Art. 6 Abs. 1 b) DSGVO als Rechtsgrundlage nicht möglich wäre.

Der EDSA schließt sich dieser Interpretation nicht an; zumindest nicht pauschal (in Rz. 105 des Beschlusses).

Der EDSA verweist auf die Stellungnahme 6/2014 der damaligen Art. 29 Datenschutzgruppe zum Begriff des „berechtigten Interesses“ und folgenden Hinweis (S. 12):

Andererseits kann eine angemessene Bewertung der Abwägung nach Artikel 7 Buchstabe f, häufig verbunden mit der Möglichkeit, von der Verarbeitung abzusehen, in anderen Fällen eine vertretbare Alternative zu einem unangemessenen Berufen etwa auf die Voraussetzung der „Einwilligung“ oder der „Notwendigkeit für die Erfüllung eines Vertrags“ darstellen. So gesehen, bietet Artikel 7 Buchstabe f zusätzliche Sicherheiten – die geeignete Maßnahmen erfordern – im Vergleich zu den anderen, vordefinierten Voraussetzungen“.

Daher, so der EDSA, scheint es nicht unmöglich, dass ein Verantwortlicher sich auf Art. 6 Abs. 1 f) DSGVO beruft, wenn in Anbetracht der besonderen Umstände der Verarbeitung die Anforderungen der DSGVO erfüllt sind. Der EDSA erteilt hier meines Erachtens (noch) keinen Freifahrtschein dafür, stets pauschal auch Art. 6 Abs. 1 f) DSGVO mit anzuwenden. Jedoch insbesondere in solchen Fällen, in denen die eigentlich angedachte Rechtsgrundlage (aus welchen Gründen auch immer) ein gewisses rechtliches Risiko birgt. Hierzu wird man etwa im Fall des Art. 6 Abs. 1 lit. b) DSGVO auch den Umstand zählen können, dass ein Vertrag aufgrund spezieller nationaler Regelungen nicht wirksam wäre.  Der EDSA gesteht aber in jedem Fall ein mögliches berechtigtes Interesse auch dann zu, falls Art. 6 Abs. 1 f) DSGVO dann genutzt werden soll, wenn die Voraussetzungen der eigentlich angedachten Rechtsgrundlage eventuell nicht (mehr) vorliegen – also als „Absicherung“ der Datenverarbeitung.  

Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.