Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Generalanwalt am EuGH: hohe Anforderungen an eine wirksame Einwilligung und ihre Nachweisbarkeit

Im Rahmen der am 4.3.2020 veröffentlichten Schlussanträge in der Rechtssache C?61/19, hat Generalwalt (GA) Szpunar seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt. Die Ausführungen des GA sind für den EuGH (wie immer) nicht bindend. Dennoch lohnt sich ein Blick in die Begründung.

Nachfolgend möchte ich auf einige „Highlights“ der Schlussanträge eingehen.

Was bedeutet der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO?

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Zu der entsprechenden Vorgängernorm in der RL 95/46/EG (Art. 6 Abs. 1 lit. a) stellt der GA fest, dass in den Erlaubnistatbeständen (jetzt in Art. 6 Abs. 1 DSGVO) der in Art. 6 Abs. 1 lit. a der Richtlinie niedergelegte Grundsatz zum Ausdruck, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen. Hieraus lässt sich mit Blick auf die DSGVO ableiten, dass mit der Erfüllung eines Erlaubnistatbestandes somit auch die Anforderungen der Datenschutzgrundätze „Rechtmäßigkeit sowie Verarbeitung nach Treu und Glauben“ erfüllt sind.

Freiwilligkeit der Einwilligung

Hinsichtlich des Merkmals der „Willensbekundung“ der betroffenen Person führt der GA aus, dass dies klar auf ein aktives und nicht passives Verhalten hindeute und erfordere, dass die betroffene Person über ein hohes Maß an Autonomie verfügt, wenn sie sich entscheidet, ihre Einwilligung zu erteilen oder nicht zu erteilen. Der GA verweist insoweit auf das Urteil des EuGH in Sachen Planet49.

Nach Ansicht des GA gelten die dort getroffenen Feststellungen auch gleichermaßen für die analoge Welt.

Wenn es schon zu hohe Anforderungen an den Kunden stellt, das in einem Ankreuzkästchen auf einer Website voreingestellte Häkchen zu entfernen, dann kann von einem Kunden vernünftigerweise erst recht nicht erwartet werden, dass er seine Verweigerung der Einwilligung in handschriftlicher Form erklärt.

In einer solchen Situation wisse man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation sei nicht frei von Zweifeln. Der Text mag gelesen worden sein oder auch nicht. Der „Leser“ mag dies aus reiner Nachlässigkeit vergessen haben; es sei daher unmöglich, klar festzustellen, ob die Einwilligung freiwillig erteilt wurde.

„in informierter Weise“

Dieses Merkmal legt der GA so aus, dass völlig außer Zweifel stehen muss, dass die betroffene Person ausreichend informiert wurde.

Er fordert:

Die betroffene Person muss über alle die Datenverarbeitung und deren Folgen betreffenden Umstände informiert werden. Insbesondere muss sie wissen, welche Daten verarbeitet werden, wie lange die Verarbeitung andauert, in welcher Weise und zu welchem spezifischen Zweck sie erfolgt.

Leider wird nicht deutlich, ob der GA hier den Inhalt der Einwilligung selbst anspricht oder ob diese Information nicht auch über die Erfüllung der Informationspflichten entsprechend Art. 13 DSGVO erfolgen kann. Denn sollte es zu einer Dopplung von Informationen kommen, einmal in der Erklärung, einmal in den Datenschutzinformationen, dürfte man wohl die Frage stellen, welchen Sinn eine doppelte Informationserteilung hat.

Doch die Anforderungen gehen weiter:

Die betroffene Person muss außerdem wissen, wer die Daten verarbeitet und ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden.

Zudem sei entscheidend, dass der Betroffene darüber informiert wird, welche Folgen es hat, wenn er die Einwilligung verweigert, d. h., ob die Einwilligung in die Datenverarbeitung Voraussetzung für den Vertragsabschluss ist oder nicht. Dem Betroffenen wurde hier im konkreten Fall jedoch nicht unmissverständlich erklärt, dass der Vertragsabschluss dadurch, dass er die Anfertigung und Aufbewahrung einer Kopie seines Personalausweises verweigert, nicht unmöglich wird.

Wenn man die Anforderungen des GA allesamt in dem Text der Einwilligungserklärung selbst abbilden wollen würde, müsste diese folgende Informationen beinhalten:

  • alle die Datenverarbeitung betreffenden Umstände
  • deren Folgen betreffenden Umstände (Anm: was immer mit den Folgen gemeint ist)
  • welche Daten verarbeitet werden
  • wie lange die Verarbeitung andauert
  • in welcher Weise sie erfolgt
  • zu welchem spezifischen Zweck sie erfolgt
  • wer die Daten verarbeitet
  • ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden
  • welche Folgen es hat, wenn sie die Einwilligung verweigert

Ich persönlich bin auf transparente und verständliche Einwilligungserklärungen gespannt, die diesen Anforderungen gerecht werden. Zudem muss beachtet werden, dass der Text der Einwilligung ja eine statische Momentaufnahme ist. Was geschieht, wenn sich die „Folgen“ der Datenverarbeitung ändern oder Daten nun etwa nicht mehr an Dritte übermittelt werden sollen? Ist die Einwilligung dann unwirksam?

Beweislast und Nachweispflicht

Zudem geht der GA auf die praktisch sehr relevante Frage ein, was konkret durch den Verantwortlichen nachzuweisen ist, wenn er darlegen will oder muss, dass eine Einwilligung vorliegt.

Der GA bezieht sich ganz konkret auf Art. 7 Abs. 1 DSGVO. Danach muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Nach Ansicht des GA ist Art. 7 Abs. 1 DSGVO eindeutig und lässt keinen Raum für Zweifel:

Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Bestimmung stellt einen besonderen Ausdruck des in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatzes der Rechenschaftspflicht dar.

Der GA verknüpft hier also die Rechenschaftspflicht, die ja ansonsten oft doch recht alleine in der DSGVO steht bzw. sich „nur“ auf die Grundsätze nach Art. 5 Abs. 1 DSGVO bezieht, nicht mit einem solchen Grundsatz, sondern mit einem anderen Artikel der DSGVO, der auf einen Nachweis abstellt.

Und nun eine entscheidende Aussage:

Meines Erachtens erfordert der Zweck dieser Bestimmung eine weite Auslegung, da der Verantwortliche nicht nur nachweisen muss, dass die betroffene Person ihre Einwilligung erteilt hat, sondern auch nachweisen muss, dass sämtliche Wirksamkeitsvoraussetzungen vorliegen.

Das bedeutet, dass Verantwortliche nicht nur das Vorliegen der Einwilligung nachweisen müssen. Also etwa den abgehakten Text. Zudem muss der Verantwortliche die Erfüllung aller gesetzlichen Anforderungen nach der DSGVO nachweisen, die sich auf die Einwilligung beziehen.

Und wenn es zum Streit kommt? Auch hier ist der GA klar.

Jegliche Zweifel an der Erteilung der Einwilligung durch die betroffene Person müssen durch vom Verantwortlichen zu erbringenden Beweis ausgeräumt werden. Die Beweislast dafür, dass die betroffene Person in die Lage versetzt wurde, ihre Einwilligung ohne Zwang, auf den konkreten Fall bezogen und in voller Kenntnis der Sachlage zu erteilen, liegt daher eindeutig bei der Stelle, die die Verarbeitung durchführt.

Meines Erachtens legt der GA hier strenge Anforderungen an. Sollte der EuGH dieser Argumentation folgen, würde dies bedeuten, dass Verantwortliche also nicht nur den einzelnen Text der Einwilligung, sondern tatsächlich alle Umstände der Abgabe bzw. Einholung der Einwilligung nachweisen können müssen. Nicht unerwähnt sollte bleiben, dass für einen solchen Nachweis wohl zusätzlich personenbezogene Daten (etwa eine Klickstrecke, Screenshots, usw.) verarbeitet werden müssen.

ePrivacy: neuer Vorschlag im Rat zur Aufnahme „berechtigter Interessen“ als Grundlage des Trackings

Mit Datum vom 21.02.2020 hat die aktuelle Ratspräsidentschaft neue Vorschläge zur Anpassung der Art. 6 und 8 des Entwurfs der ePrivacy-Verordnung vorgelegt (PDF). Hiervon erfasst ist auch eine Anpassung von Art. 8 („Schutz von Informationen im Zusammenhang mit Endeinrichtungen“), also die Regelungen zum Einsatz von Tracking-Technologien.

In Art. 8(1)(g) des Vorschlags hat die Präsidentschaft eine neue Grundlage für die Verarbeitung von Informationen auf der Grundlage von „berechtigten Interessen“ eingeführt. Dies ist deshalb relevant, da die ePrivacy-Verordnung bislang ihren Fokus sehr stark auf die Einwilligung von betroffenen Personen gelenkt hatte. Hiermit zusammenhängende Änderungen sind auch in den begleitenden Erwägungsgründen 20, 21, 21b und 21c enthalten.

Nach Art. 8 (1)(g) des Entwurfs ist jede Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer grundsätzlich untersagt. Dies gilt nicht, wenn es für die von einem Diensteanbieter verfolgten berechtigten Interessen erforderlich ist, die Verarbeitungs- und Speichermöglichkeiten von Endgeräten zu nutzen oder Informationen von den Endgeräten eines Endnutzers zu sammeln, es sei denn, dieses Interesse wird von den Interessen oder den Grundrechten und -freiheiten des Endnutzers überlagert.

Der Vorschlag zieht hier also die aus der DSGVO bekannt Interessenabwägung in die ePrivacy-Verordnung. Dies auch nicht nur bezogen auf spezifische Zwecke, wie etwa statistische Analysen, sondern ganz generell.

Diese Anpassung würde für die Wirtschaft sicherlich eine begrüßenswerte und pragmatische Öffnung der strengen und engen Vorgaben des Art. 8 des Entwurfs bedeuten. Aufgrund der fehlenden Beschränkung auf bestimmte Zwecke des Zugriffs auf Informationen in Endgeräten oder des Auslesens, würde dies also wohl auch den Einsatz von Cookies oder Pixeln zum Zweck der Werbeausspielung umfassen.

Man mag nun direkt in kritische Würdigungen verfallen, da diese Anpassung ad hoc natürlich sehr weit und unbestimmt klingt. Jedoch scheint sich die Ratspräsidentschaft hierzu einige Gedanken gemacht zu haben und verengt die Möglichkeit der Nutzung der Interessenabwägung dadurch, dass sie gesetzliche Vermutungen aufstellt, wann die Interessen der Endnutzer überwiegen sollen.

Es wird davon ausgegangen, dass die Interessen des Endnutzers die Interessen des Diensteanbieters überwiegen, wenn

  • der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um das Wesen und die Eigenschaften des Endnutzers zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 DSGVO enthält.

Insbesondere die Ausschlussgründe der Bestimmung des „Wesens oder der Eigenschaften eines Endnutzers“ sowie der Erstellung eines „individuellen Profils“ dürften für den Einsatz von Tracking-Technologien für Werbezwecke von Relevanz sein. Interessant ist übrigens auch die entsprechende Änderung hierzu in Erwägungsgrund 21b. Denn dort werden “Wesen” und “Merkmale” alternativ genannt (“oder”), wohingegen in dem Vorschlag zu Art. 8 beide Merkmale kumulativ (verbunden mit „und“) aufgezählt werden.

Nach dem neuen Erwägungsgrund 21b sind bei der Abwägung die berechtigten Erwartungen der Endnutzer zu berücksichtigen. Beispielhaft nennt der Vorschlag den Zugriff auf Informationen in Endgeräten zum Zweck der Behebung von Sicherheitslücken als vom berechtigten Interesse umfasst. Zusätzlich verweist der Vorschlag auch darauf, dass Diensteanbieter sich auf berechtigte Interessen stützen könnten, wenn der Dienst (etwa eine Webseite) und seine Inhalte ohne zusätzliche Zahlung zugänglich ist und teilweise oder gänzlich durch Werbung finanziert wird.

Zusätzlich verengt der Vorschlag in Erwägungsgrund 21b die Möglichkeit des Einsatzes von Trackingtechnologien aber weiter, indem hinsichtlich der angesprochenen Dienste ganz konkrete Arten benannt werden, die sich auf berechtigte Interessen stützen könnten. Hierbei handelt es sich um Dienste zur Wahrung der Meinungs- und Informationsfreiheit, einschließlich zu journalistischen Zwecken, wie Online-Zeitungen oder anderen Presseveröffentlichungen.

Zum anderen sieht der Vorschlag weitere Schutzmechanismen für Endnutzer in dem neuen Abs. 1a vor, wenn ein Diensteanbieter die Interessenabwägung als Erlaubnis nutzen möchte. Weitere Erläuterungen ergeben sich aus Erwägungsgrund 21c. Danach dürfen Diensteanbieter die aus Endgeräten gewonnen Informationen nicht mit Dritten teilen, es sei denn, die Informationen wurden zuvor anonymisiert. Dies gilt jedoch nicht in Bezug auf Auftragsverarbeiter, die in diesem Zusammenhang eingesetzt werden und auf der Grundlage von Art. 28 DSGVO eingeschaltet werden.

Interessant an diesem Vorschlag ist, dass anscheinend davon ausgegangen wird, dass bei dem in Art. 8 (1)(g) ePrivacy-Verordnung als potentiell zulässig anerkannten Zugriff auf Informationen und deren Nutzung stets personenbezogene Daten (iSd DSGVO) vorliegen. Denn ansonsten würde der Verweis auf eine vorzunehmende Anonymisierung der Daten keinen Sinn ergeben. Ebenfalls dafür spricht der Hinweis auf die Vorgaben des Art. 28 DSGVO (also zur Auftragsverarbeitung), die eingehalten werden sollen.

Zusätzlich sieht der Vorschlag vor, dass Endnutzern eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.