Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.

Ungültige DSGVO-Einwilligung – Wechsel auf andere Rechtsgrundlage möglich? Aussagen des EuGH, öst. BVwG und der öst. Aufsichtsbehörde

Ist es möglich, eine Verarbeitung, die ursprünglich auf eine Einwilligung gestützt war, auf einer anderen Rechtsgrundlage durchzuführen, wenn die Einwilligung wegfällt bzw. unwirksam ist?

Ansicht des EuGH

In seinem Urteil vom 4. Juli 2023 (C-252/21) hatte sich der EuGH unter anderem auch mit der Situation befasst, dass eine Einwilligung entweder nicht oder nicht wirksam eingeholt wurde. Die Frage war dann, ob die Datenverarbeitung eventuell dennoch auf Grundlage von Art. 6 Abs. 1 DSGVO gerechtfertigt sein kann.

Hierzu der EuGH (Rz. 92):

Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.“

Das Gericht adressiert klar zwei Situationen:

  • Eine Einwilligung wurde gar nicht eingeholt (also auch nicht versucht) („liegt keine solche Einwilligung vor“)
  • Eine Einwilligung wurde eingeholt, diese war aber unwirksam, da nicht alle Anforderungen der DSGVO eingehalten wurden („wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt“)

Für beide Fälle geht der EuGH davon aus, dass die bestreffende Verarbeitung gleichwohl gerechtfertigt sein kann, wenn ein anderer Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt ist.

Diese Ansicht des EuGH ist für mich eine wichtige Feststellung. Der „switch“ von einer Rechtsgrundlage zur anderen ist danach möglich. Als Verantwortlicher muss man also nicht von Anfang an und für ewig allein eine Rechtsgrundlage für die Verarbeitung nutzen. Aber: natürlich müssen die Anforderungen der jeweiligen Alternative des Art. 6 Abs. 1 DSGVO erfüllt sein.

Ansicht der österreichischen Datenschutzbehörde

Im neuesten Newsletter der österreichischen Datenschutzbehörde (DSB) bin ich auf eine genau entgegengesetzte Meinung der DSB aufmerksam geworden. Die DSB berichtet dort über eine Entscheidung des Bundesverwaltungsgerichts (BVwG, dazu gleich unten).

Ebenso ist es in derartigen Fällen nicht möglich, im Falle der Ungültigkeit einer Einwilligung zum Zwecke des Profiling nachträglich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO zu wechseln, zumal sich die Unser Ö-Bonus Club GmbH diesbezüglich in sämtlichen vorgelegten Dokumenten und auch gegenüber den betroffenen Personen nur auf die Einwilligung gestützt hat.“

Die DSB verweist dazu dann auch auf das EuGH-Urteil. Diese Interpretation hat mich doch etwas verwundert, zumindest in der Pauschalität. Denn die Auslegung des EuGH (oben) geht meines Erachtens genau in eine andere Richtung.

Ich vermute, die DSB bezieht sich hier eher auf den konkreten Fall vor dem BVwG, in dem der Wechsel der Rechtsgrundlage am Ende nicht funktionierte. Aber nicht, weil dies grundsätzlich ausgeschlossen wäre, sondern auf Grund der nicht erfüllten Anforderungen des Art. 6 Abs. 1 f) DSGVO als Alternative. Aber: auch dort ging das Gericht davon aus, dass der Wechsel der Rechtsgrundlage möglich ist.

Ansicht des BVwG

In der Entscheidung des BVwG (GZ: W256 2227693-1/44E) brachte das betroffene Unternehmen vor, die gegenständliche Datenverarbeitung könne auch (hilfsweise) auf Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 4 DSGVO gestützt werden.

Dies sah die DSB anders. Das BVwG wiederum schloss sich der Ansicht der Aufsichtsbehörde nicht an und verwies hierzu auch auf das Urteil des EuGH.

Der Ansicht der belangten Behörde, eine ungültige Einwilligungserklärung bewirke in jedem Fall eine unrechtmäßige Datenverarbeitung und mache eine Überprüfung sonstiger Rechtsgrundlagen entbehrlich, kann – wie bereits im Erkenntnis vom 31. August 2021 näher erläutert wurde –  nicht gefolgt werden (siehe dazu zwischenzeitig auch EuGH 4.7.2023, C-252/21, ECLI:EU:C:2023:537 Rz. 92).“

Eine ungültige Einwilligungserklärung führt nach Ansicht des BVwG damit gerade nicht zur unrechtmäßigen Verarbeitung, falls die Voraussetzungen einer anderen Rechtsgrundlage erfüllt sind. Im konkreten Fall prüft das BVwG dann den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO. Das Problem hierbei war, dass nach Ansicht des Gerichts die vernünftigen Erwartungen der Betroffenen die Datenverarbeitung wohl nicht umfassten und die Betroffenen gerade nicht damit rechneten.

Das Unternehmen informierte Betroffene im Rahmen der Anmeldung, dass Daten u.a. zum Zweck der Durchführung von personalisierter Werbung verwendet werden. Jedoch stützte sich das Unternehmen in den Informationen (also AGB und Datenschutzhinweisen) ausschließlich auf Art. 6 Abs. 1 lit. a DSGVO und führte dazu u.a. in den AGB aus, dass eine solche Datenverarbeitung „nur sofern das Mitglied einwilligt“ durchgeführt werde. Das BVwG geht davon aus, dass damit aber den Betroffenen gegenüber zum Ausdruck gebracht werde, dass die betroffene Person die Durchführung einer solchen Datenverarbeitung selbst in der Hand habe. Dies führte am Ende zum Überwiegen der schutzwürdigen Interessen der Betroffenen.

Und beim Widerruf?

Art. 17 Abs. 1 lit. b DSGVO sieht gleichlaufend mit dieser Auslegung des EuGH und BVwG vor, dass eine Datenverarbeitung, die auf Grundlage einer nun widerrufenen Einwilligung erfolgt, dennoch fortgeführt werden kann – wenn die Anforderungen der jeweiligen Rechtsgrundlage beachtet werden.

Danach sind personenbezogene Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und es „an einer anderweitigen Rechtsgrundlage für die Verarbeitung“ fehlt.

EDSA: Zustimmung zu Datenschutzhinweisen als Verstoß gegen Grundsatz von „Treu und Glauben“ (Art. 5 Abs. 1 a) DSGVO)

Dass es keine gute Idee ist, sich eine Einwilligung oder Zustimmung zu den gesamten Datenschutzhinweisen / Datenschutzhinweisen erteilen zu lassen, ist insbesondere unter dem Blickwinkel der Anwendbarkeit des AGB-Rechts bekannt.

Rechtsprechung zur Anwendbarkeit des AGB-Rechts
So hat etwa jüngst der OGH aus Österreich (Urteil vom 23.11.2022 – 7 Ob 112/22d) sogar entschieden, dass Datenschutzhinweise auch dann der Klauselkontrolle des AGB-Rechts unterfallen, wenn der Betroffene „dem Datenschutzhinweis zwar nicht „zustimmen““ musste, jedoch in einem Versicherungsantrag bestätigen musste, „den Datenschutzhinweis „zur Kenntnis“ genommen zu haben“. Aus Sicht des OGH macht es keinen relevanten Unterschied zu der noch klareren Situation, in der den Datenschutzhinweisen an sich zugestimmt werden muss, „weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann“.

Verstoß gegen Art. 5 Abs. 1 a) DSGVO?
Sich eine Zustimmung in eine Datenschutzerklärung, die eigentlich nur der Informationserteilung nach Art. 13 DSGVO dient, einzuholen, ist nach Ansicht des EDSA aber auch noch aus einem anderen Grund unzulässig und kann gegen die DSGVO selbst verstoßen.

In seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022 (es ging um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited, befasst sich der EDSA mit der Frage, ob die Einholung einer zwingenden Zustimmung zu den Datenschutzhinweisen einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glauben nach Art. 5 Abs. 1 a) DSGVO darstellt.

Zum Grundsatz der Fairness / Treu und Glauben
Nach Art. 5 Abs. 1 a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) (im Englischen: „lawfulness, fairness and transparency“).

In seiner Entscheidung erläutert der EDSA (ab Rz 142) zunächst, wie er die Norm und speziell den Grundsatz von „Treu und Glauben“ bzw. „Fairness“ versteht. Die Grundsätze der Fairness, der Rechtmäßigkeit und der Transparenz, seien zwar drei unterschiedliche, aber dennoch untrennbar miteinander verbundene und voneinander abhängige Grundsätze, die jeder Verantwortliche bei der Verarbeitung personenbezogener Daten beachten muss.

Der Grundsatz der Fairness (Treu und Glauben) habe auch eine eigenständige Bedeutung, was dazu führt, dass etwa die Einhaltung des Grundsatzes der Transparenz nicht automatisch ausschließt, dass auch die Einhaltung des Grundsatzes der Fairness anders bewertet werden muss. Der Grundsatz der Verarbeitung nach Treu und Glauben umfasse unter anderem die „Anerkennung der berechtigten Erwartungen der betroffenen Personen, die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann“ und auch „die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen.

Der Grundsatz diene vor allem auch dazu, dass ein faires Gleichgewicht zwischen den geschäftlichen Interessen der Verantwortlichen einerseits und den Rechten und Erwartungen der betroffenen Personen nach der DSGVO andererseits hergestellt werden muss.

Falsche Darstellung der Rechtsgrundlage der Datenverarbeitung
Eine spezifische Ausformung des Grundsatzes „Treu und Glauben“ betrifft nach Ansicht des EDSA die Ermittlung der geeigneten Rechtsgrundlage durch den Verantwortlichen und insbesondere auch die Information bzw. Darstellung der Rechtsgrundlage gegenüber Betroffenen.

Der EDSA ist der Ansicht, dass eine Bewertung der Einhaltung des Grundsatzes von Treu und Glauben „auch eine Bewertung der Folgen erfordert, die die Wahl und Darstellung der Rechtsgrundlage“ für die Betroffenen mit sich bringt.

Im konkreten Fall stellt der EDSA in seiner Entscheidung fest, dass der Beschwerdeführer gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige aber eindeutig die angemessenen Erwartungen der Nutzer, da sie nicht wissen, „ob sie durch Anklicken der Schaltfläche „Akzeptieren“ ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben“. Im konkreten Fall war die Einwilligung nach Art. 6 Abs. 1 a) DSGVO auch nicht die einzige Rechtsgrundlage der Datenverarbeitung. Nach Auffassung des EDSA konnten Betroffene, durch die entsprechende Gestaltung und Einholung der Zustimmung zu den Datenschutzhinweisen, jedoch nicht sicher sein, ob dies eine Einwilligung in alle Datenverarbeitungen darstellt oder nicht.

Aus diesem Grund geht der EDSA davon aus, dass der Verantwortliche in dieser Situation die Rechtsgrundlage der Verarbeitung falsch darstellt und die Betroffenen über die möglichen Zusammenhänge zwischen den angestrebten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten „im Unklaren“ gelassen werden.

Die Verarbeitung könne daher nicht als ethisch und wahrheitsgemäß angesehen werden kann, „da sie im Hinblick auf die Art der verarbeiteten Daten, die verwendete Rechtsgrundlage und die Zwecke der Verarbeitung verwirrend ist“.

Der EDSA geht daher von einem Verstoß gegen den Grundsatz von „Treu und Glauben“ (Fairness) gemäß Art. 5 Abs. 1 a DSGVO aus.

Fazit
Die Einschätzung des EDSA sollte in der Praxis als zusätzlicher Aspekt Beachtung finden, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.

AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

EDSA: Anforderungen an die Ablehnungsmöglichkeit für Cookies – Ist ein Link im Fließtext ok?

Am 17.1.2023 hat der EDSA seinen Bericht zur Arbeit der „Cookie Banner Taskforce“ veröffentlicht (PDF). Der Bericht und die dort abgestimmten Positionen zur Anwendung der ePrivacy Richtlinie (bzw. nationaler Umsetzungen, also in Deutschland des TTDSG), ist vor allem deshalb relevant, weil es im Anwendungsbereich der ePrivacy Richtlinie keinen One Stop Shop Mechanismus gibt. Das bedeutet, dass es für die Aufsichtsbehörden keine Pflicht gibt, bei grenzüberschreitenden oder EU-weit relevanten Verarbeitungen eine Abstimmung innerhalb Europas vorzunehmen. Über die Festlegungen in dem Bericht erfolgt nun aber eine, aus Sicht der Praxis begrüßenswerte, abgestimmte Positionierung zu einigen Aspekten.

Verhältnis zwischen ePrivacy Richtlinie und DSGVO

Zur Abgrenzung zwischen der ePrivacy Richtlinie (TTDSG in Deutschland) und der DSGVO stellen die Aufsichtsbehörden fest, dass für die von einem Verantwortlichen „vorgenommenen Folgeverarbeitungen“, also Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen, die im Endgerät eines Nutzers gespeichert sind, erfolgen (z.B. das Setzen oder Lesen von Cookies), der anwendbare Rahmen die DSGVO ist.

Der Dauerbrenner: Ablehnungsmöglichkeit auf erster Ebene

Zudem setzt sich der Bericht auch mit der schon lange diskutierten Frage auseinander, wie eine Ablehnungsmöglichkeit in einem Cookies Banner oder einer CMP ausgestaltet sein muss, damit die Einwilligung wirksam eingeholt werden kann.

Die Mitglieder der Taskforce waren sich einig, dass die folgenden Beispiele nicht zu gültigen Einwilligungen führen:

  • Die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabschnitt im Cookie-Banner, ohne ausreichende visuelle Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung aufmerksam zu machen;
  • die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners platziert sind, ohne eine ausreichende visuelle Unterstützung um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken;

Der EDSA verlangt also eine Ablehnungsmöglichkeit (genauer müsste man sagen, eine Möglichkeit, die Einwilligung nicht zu erteilen), auf der ersten Ebene. Zudem muss auf diese Möglichkeit auch irgendwie deutlich hingewiesen werden.

Gleichzeitig verlangt der EDSA in dem Bericht aber nicht, dass etwa Schaltflächen eins zu eins gleich gestaltet sein müssen. Nicht ausreichend ist nach Ansicht des EDSA eine Ablehnungsmöglichkeit in einem Fließtext, wenn auf diese nicht hervorgehoben hingewiesen wird.

Hieraus lässt sich wohl ableiten, dass die Ablehnungsmöglichkeit durchaus zulässig in einem Fließtext eingebettet sein darf, wenn sie besonders hervorgehoben ist und sich vom restlichen Text abhebt (also nicht versteckt wird). Also etwa durch Fettdruck, Unterstreichung oder eine andere Farbe.

EuGH: Art. 5 Abs. 2 & Art. 24 DSGVO erlegen Verantwortlichen auch (neue) Compliance-Pflichten auf

In seinem kürzlich ergangen Urteil vom 27.10.2022 (C-129/21) befasst sich der EuGH u.a. mit der Frage, welche konkreten Pflichten aus den sehr allgemein gehaltenen Vorgaben nach Art. 5 Abs. 2 und Art. 24 DSGVO erwachsen können.

Im konkreten Fall (und ich denke, man muss die Besonderheiten des Falles bei der Begründung durchaus berücksichtigen) geht der EuGH sogar soweit, aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der Pflicht nach Art. 24 DSGVO und unter Auslegung der Art. 12 Abs. 2 und Art. 17 DSGVO, eine eigenständige Informationspflicht für Verantwortliche zu kreieren, die in dieser Form eigentlich nicht ausdrücklich in der DSGVO vorgesehen ist.

Konkret ging es um die Frage, ob Art. 5 Abs. 2 und Art. 24 DSGVO dahin auszulegen sind, dass eine Datenschutzbehörde verlangen kann, dass ein Anbieter von Teilnehmerverzeichnissen als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von Teilnehmerverzeichnissen, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren.

Die Auffassung des EuGH zu Art. 5 Abs. 2 und Art. 24 DSGVO:

erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf“.

Und:

Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen„.

Für die Praxis von Relevanz dürfte hier der Hinweis auf „vorzubeugen“ sein. Konkret muss der Verantwortliche also ein Compliance-System schaffen, um Verstöße gegen die DSGVO vorab zu verhindern. Diese Aussage mag aus der allgemeinen „Compliance-Sicht“ wenig überraschen, geht es doch dort gerade darum, Rechtsverletzungen zu verhindern. Für den Bereich der DSGVO ist die Aussage aber relevant, da insbesondere Art. 24 DSGVO sehr allgemein gehalten und z. B. ein Verstoß gegen diese Norm nicht bußgeldbewährt ist.

Der EuGH verweist hier auch auf die Begründung des Generalanwalts. Dieser ging ganz explizit davon aus, dass eine solche hier in Rede stehende Informationspflicht zumindest nicht aus Art. 17 oder 19 DSGVO direkt ableitbar ist.

Es trifft zu, dass Art. 17 Abs. 2 und Art. 19 DSGVO spezifische Informationspflichten festlegen, die „Verantwortliche“ (im Hinblick auf Daten, die öffentlich gemacht worden sind und deren Löschung beantragt worden ist) bzw. „Empfänger“ betreffen. Diese Bestimmungen erfassen jedoch nicht den in Rede stehenden Sachverhalt,…

Dennoch, so der EuGH, ergebe sich aus den allgemeinen Verpflichtungen nach Art. 5 Abs. 2 und Art. 24 DSGVO in Verbindung mit Art. 19 DSGVO, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er solche Daten geliefert hat, über den an ihn gerichteten Widerruf der Einwilligung der betroffenen Person zu informieren.

Dies ergebe sich auch aus einer entsprechenden Auslegung des in Art. 12 Abs. 2 DSGVO vorgesehenen Erfordernisses, wonach der Verantwortliche verpflichtet ist, der betroffenen Person die Ausübung der Rechte zu erleichtern, die ihr u. a. durch Art. 17 DSGVO gewährt werden.

EDSA: Rechtgrundlage des Art. 6 Abs. 1 f) DSGVO als zusätzliche „Absicherung“ zu anderen Rechtsgrundlagen

Zuletzt hatte ich schon einmal aus dem Beschluss des EDSA in einem Verfahren der irischen Aufsichtsbehörde gegen Meta Platforms (bezüglich Instagram) berichtet. Nachfolgend möchte ich auf eine weitere relevante Ansicht des EDSA aus diesem Beschluss hinweisen.

Bekanntlich enthält Art. 6 Abs. 1 DSGVO verschiedene mögliche Rechtsgrundlagen für eine Datenverarbeitung. Oftmals stellt sich in der Praxis die Frage, ob ein Verantwortlicher einer Datenverarbeitung, die etwa auf Grundlage einer Einwilligung (Art. 6 Abs. 1 a) DSGVO), Art. 6 Abs. 1 b) DSGVO (Vertragsdurchführung) oder Art. 6 Abs. 1 c) DSGVO (Erfüllung rechtlicher Pflichten) erfolgt, zusätzlich dieselbe Verarbeitung auch auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO vornehmen kann. Dies insbesondere in solchen Fällen, in denen der Verantwortliche nicht ganz sicher ist, ob die eigentlich ausgewählte Rechtsgrundlage wirklich zu 100% erfüllt ist. Oder anders formuliert: darf ein Verantwortlicher, zur Absicherung einer Datenverarbeitung etwa auf Basis einer Einwilligung, diese Datenverarbeitung auch hilfsweise auf die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO stützen?

Die Antwort hierauf gibt nun der EDSA in seinem Beschluss.

Die deutschen Aufsichtsbehörden vertraten die Auffassung, dass ein berechtigtes Interesse im Rahmen des Art. 6 Abs. 1 f) DSGVO nicht bestehen kann, wenn der für die Verarbeitung Verantwortliche es nur für den Fall geltend macht, dass Art. 6 Abs. 1 b) DSGVO auf der Grundlage des nationalen Rechts nicht auf Minderjährige anwendbar sei. Wenn also Art. 6 Abs. 1 b) DSGVO als Rechtsgrundlage nicht möglich wäre.

Der EDSA schließt sich dieser Interpretation nicht an; zumindest nicht pauschal (in Rz. 105 des Beschlusses).

Der EDSA verweist auf die Stellungnahme 6/2014 der damaligen Art. 29 Datenschutzgruppe zum Begriff des „berechtigten Interesses“ und folgenden Hinweis (S. 12):

Andererseits kann eine angemessene Bewertung der Abwägung nach Artikel 7 Buchstabe f, häufig verbunden mit der Möglichkeit, von der Verarbeitung abzusehen, in anderen Fällen eine vertretbare Alternative zu einem unangemessenen Berufen etwa auf die Voraussetzung der „Einwilligung“ oder der „Notwendigkeit für die Erfüllung eines Vertrags“ darstellen. So gesehen, bietet Artikel 7 Buchstabe f zusätzliche Sicherheiten – die geeignete Maßnahmen erfordern – im Vergleich zu den anderen, vordefinierten Voraussetzungen“.

Daher, so der EDSA, scheint es nicht unmöglich, dass ein Verantwortlicher sich auf Art. 6 Abs. 1 f) DSGVO beruft, wenn in Anbetracht der besonderen Umstände der Verarbeitung die Anforderungen der DSGVO erfüllt sind. Der EDSA erteilt hier meines Erachtens (noch) keinen Freifahrtschein dafür, stets pauschal auch Art. 6 Abs. 1 f) DSGVO mit anzuwenden. Jedoch insbesondere in solchen Fällen, in denen die eigentlich angedachte Rechtsgrundlage (aus welchen Gründen auch immer) ein gewisses rechtliches Risiko birgt. Hierzu wird man etwa im Fall des Art. 6 Abs. 1 lit. b) DSGVO auch den Umstand zählen können, dass ein Vertrag aufgrund spezieller nationaler Regelungen nicht wirksam wäre.  Der EDSA gesteht aber in jedem Fall ein mögliches berechtigtes Interesse auch dann zu, falls Art. 6 Abs. 1 f) DSGVO dann genutzt werden soll, wenn die Voraussetzungen der eigentlich angedachten Rechtsgrundlage eventuell nicht (mehr) vorliegen – also als „Absicherung“ der Datenverarbeitung.  

Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.