Sensible Daten überall? – Versuch einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils

Mit seinem gestrigen Urteil in der Rs. C-184/20 (Urt. v. 1.8.2022) hat er EuGH für einige Diskussionen und sicher auch hochgezogene Augenbrauen im #TeamDatenschutz gesorgt. Wobei man, wenn man ehrlich ist und die EuGH-Rechtsprechung zum Datenschutz verfolgt, nicht mehr allzu sehr überrascht von Entscheidungen sein sollte, in denen das Gericht den Anwendungsbereich der DSGVO weit auslegt und per se betroffenenfreundlich urteilt.

Was hat der EuGH entschieden?

Auf die Hintergründe des Urteils möchte ich hier nicht eingehen. Für diesen Blogbeitrag reicht es aus zu wissen, dass es in Litauen aus Gründen der Transparenz und Korruptionsbekämpfung eine gesetzliche Pflicht für gewisse Personen gibt, bestimmte Daten an eine Behörde zu geben und diese Behörde den Großteil dieser Daten dann auf ihrer Internetseite veröffentlicht. Zu den Daten gehören auch namensbezogenen Daten über den Ehegatten, Partner oder Lebensgefährten der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, sowie die Angabe des Gegenstands der Transaktionen mit einem Wert von mehr als 3 000 Euro.

Der EuGH geht am Ende ausdrücklich von einer „weiten Auslegung“ (Rz. 125) Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (Art. 9 Abs. 1 DSGVO) aus.

Eine Verarbeitung von Daten, „die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren“, stelle eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen dar (Rz. 128).

Der EuGH lässt es für die Anwendbarkeit des Art. 9 Abs. 1 DSGVO mithin genügen, dass aus Daten indirekt auf besondere Kategorien personenbezogener Daten geschlossen werden kann. Bsp: gibt ein Mann an, dass er mit einem Mann verheiratet ist, offenbart dies nach Ansicht des EuGH wohl seine sexuelle Orientierung. Art. 9 Abs. 1 DSGVO ist anwendbar, auch wenn die Daten dies selbst inhaltlich nicht (direkt) offenbaren.

Begründung des EuGH

Die Begründung für dieses Ergebnis, wenn man die generelle Linie des EuGH bei Datenschutz-Themen betrachtet, wenig überraschend. Im Kern nennt der EuGH zwei Argumente.

Erstens, eine kontextbezogene Analyse. Eine enge Auslegung des Begriffs der besonderen Kategorien personenbezogener Daten liefe insbesondere Art. 4 Nr. 15 der DSGVO zuwider, wonach „Gesundheitsdaten“ personenbezogene Daten sind, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand „hervorgehen“, und stünde auch im Widerspruch zu ErwG 35 DSGVO.

Zweitens, eine zweckbezogene Auslegung der Norm innerhalb der DSGVO. Für eine weite Auslegung spreche das Ziel der DSGVO, das darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten.

Mögliche Folgen des Urteils

Überträgt man die Begründung des EuGH in die Praxis, bedeutet dies im worst case, dass bei sehr vielen Verarbeitungen die zusätzlichen und strengen Ausnahmen aus Art. 9 Abs. 2 DSGVO beachtet werden müssen. Dort findet sich insbesondere kein Erlaubnistatbestand der Vertragserfüllung wie in Art. 6 Abs. 1 lit. b oder der Interessenabwägung wie in Art. 6 Abs. 1 lit. f DSGVO. Ergebnis: kauft jemand online Schmerztabletten, ergibt sich hieraus indirekt der Gesundheitszustand. Art. 9 DSGVO ist anwendbar und im Zweifel muss für die Zulässigkeit der Verarbeitung eine Einwilligung eingeholt werden – die Rechtsgrundlage der Vertragsdurchführung würde nicht ausreichen.  

Ansatz einer eigenen Interpretation

Das oben beispielhaft dargestellte Ergebnis erscheint schon für sich sehr extrem. Noch diskussionswürdiger wird es, wenn man bedenkt, dass die Person, die Schmerztabletten kauft, ja gar nicht gerade akut Schmerzen haben muss oder diese Tabletten für ein Familienmitglied einkauft. Dann wäre selbst der indirekte Bezug zum Gesundheitszustand eigentlich nicht gegeben, weil der Käufer aktuell eben nicht Schmerzen hat oder Daten der anderen Person gar nicht verarbeitet werden.

Ich kann mir, nach erster Sichtung der Begründung, in der Zukunft daher eventuell die folgende Anwendung und Interpretation von Art. 9 Abs. 1 DSGVO vorstellen. Einerseits, um dem Willen des EuGH (weite Auslegung) zu genügen. Andererseits, um nicht jeglichen (möglichen!) Bezug zu Art. 9-Daten ausreichen zu lassen.

1.

Der EuGH geht klar davon aus, dass es in dem entschiedenen Fall tatsächlich möglich war, „aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten“ (Rz. 119).

Dies ist mE ein wichtiger Aspekt. Der EuGH begründet seine Ansicht also stets vor der Tatsache, dass die Ableitung auf wirklich existierende besondere Kategorien personenbezogener Daten zumindest möglich war.

2.

Der EuGH fußt seine Begründung zudem ausdrücklich auf der Annahme, dass Daten betroffen sind, „aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“ (Rz. 120).

Dieser Schluss auf besondere Kategorien personenbezogener Daten muss (theoretisch) wirklich möglich sein. Art. 9 Abs. 1 DSGVO muss daher nach Ansicht des EuGH zwar weit ausgelegt werden. Jedoch wiederholt der EuGH mehrmals in seiner Begründung den Aspekt, dass es um Daten geht, „aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben“ (Rz. 123).

3.

Art. 9 Abs. 1 DSGVO ist daher meines Erachtens zumindest dann (auch im Einklang mit dem EuGH) nicht anwendbar, wenn die indirekte Offenbarung bzw. der indirekte Schluss auf besondere Kategorien personenbezogener Daten faktisch nicht möglich ist, weil es diese sensiblen Daten gar nicht gibt. Dann kann sich, im Duktus des EuGH, mittels Ableitung oder Abgleich diese indirekte Information rein faktisch nicht ergeben. Eine falsche Ableitung (Person kauft Schmerztabletten, ist faktisch nicht krank, der Verantwortliche geht aber davon aus) darf hier meines Erachtens keine Beachtung finden, da nach dem Grundsatz aus Art. 5 Abs. 1 lit. d (Richtigkeit) per se nur richtige Daten verarbeitet werden dürfen.

Das würde wohl nicht in jedem Fall in der Praxis helfen, Art. 9 Abs. 1 DSGVO auszuschließen. Jedoch dürfte man in einigen, extrem praxisrelevanten Fällen dennoch allein Art. 6 Abs. 1 DSGVO zur Anwendung bringen können.  

Bezogen auf mein Beispiel der Schmerztabletten oben: da die Person, die den Kauf tätigt, nicht selbst krank ist, liegen keine Art. 9-Daten vor. Die Ableitung aus dem Kauf darauf, dass die Person selbst Schmerzen hat (= Gesundheitszustand) wäre falsch bzw. würde ins Leere gehen.

Ich bin mir auch nicht sicher, ob diese Idee und meine Gedanken dazu die beste Lösung darstellen. Zumindest könnte man hierüber in gewissen Konstellationen zu einem (irgendwie noch handhabbaren) Ergebnis für die Praxis gelangen, nicht in jedem Fall eine zusätzliche Einwilligung nach Art. 9 Abs. 1 lit. a DSGVO einholen zu müssen.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Europäischer Datenschutzbeauftragter: Newsletter-Dienst, der die Übermittlung von Daten in Drittländer beinhaltet, mit ausdrücklicher Zustimmung möglich

Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.

In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.

Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.

Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.

Der EDSB legt einige spezifische Anforderungen fest:

  • Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
  • Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
  • Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)

Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

§ 25 TTDSG – wem gegenüber ist eigentlich eine Einwilligung für Cookies zu erteilen?

Über das neue TTDSG und dort den § 25 TTDSG, habe ich schon einige Male berichtet. Heute möchte ich eine zunächst simpel anmutende Frage aufwerfen, die bei näherer Betrachtung eventuell nicht so einfach zu beantworten ist: wem gegenüber (also welcher Stelle) ist eine Einwilligung nach § 25 Abs. 1 TTDSG zu erteilen?

Man könnte meinen, dass das doch der Verantwortliche nach der DSGVO sein muss. Ganz klar. Vorab: es existieren verschiedenste Auslegungsmöglichkeiten. Und meines Erachtens ist es nicht zwingend der Verantwortliche nach der DSGVO.

Gesetzeswortlaut

Zunächst hilft natürlich (vermeintlich) immer der Blick ins Gesetz. § 25 Abs. 1 TTDSG lautet: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen“.

Die europäische Grundlage, Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie, lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Beim Lesen beider Vorschriften wird deutlich: es wird nicht spezifiziert, wem gegenüber die Einwilligung zu erteilen ist. Ich meine hier nicht (nur) die faktische Abgabe gegenüber einer Stelle, sondern die legitimierende Zielrichtung der Einwilligung. Welche Stelle muss also im Einwilligungstext stehen und sich auf die Wirkung der Einwilligung berufen, damit sie auf das Endgerät zugreifen kann?

Planet49-Verfahren

Sowohl in den Schlussanträgen als auch im Urteil des EuGH in der Rechtssache C-673/17 wird oft auf den „Diensteanbieter“ abgestellt.

Schlussanträge, etwa Rz. 111: „Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.“ und Rz. 117: „Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“.“.

Urteil, etwa Rz. 81: „Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“.

Der Begriff „Diensteanbeiter“ wird in Art. 5 Abs. 3 ePrivacy-Richtlinie aber nicht verwendet. Auch findet sich in der RL 2002/58/EG keine Definition dieses Begriffs. Ich vermute eher, dass sowohl der Generalanwalt als auch der EuGH hier die Begrifflichkeiten der damaligen Vorschriften des TMG (insb. aus § 15 Abs. 3 TMG) aus den Vorlagefragen des BGH übernommen haben. Dort war vom „Diensteanbieter“ die Rede.

Legt man diesen Begriff als Einwilligungsadressaten fest (wie gesagt, ohne, dass sich dies aus dem Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie ergibt), so müsste man sich an der Legaldefinition des § 2 Nr. 1 TMG orientieren, der wiederum eine Umsetzung von Art. 2 lit. b der eCommerce-Richtlinie (2000/31/EG) darstellt. „Diensteanbieter“ ist danach jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet.

Folgt man diesem Weg, würde dies aber bedeuten, dass eine Einwilligung eventuell dem Betreiber einer Webseite gegenüber erteilt werden muss, obwohl dieser selbst gar keine Cookies, Tags oder ähnliches einsetzt, sondern dies durch Dritte auf der Webseite durchgeführt wird. Er es diesen Dritten also „nur“ erlaubt. Die Konsequenz wäre dann, dass Nutzer diesen Dritten gegenüber keine Einwilligung erteilen müssten/könnten, sondern dem Betreiber der Webseite. Im Ergebnis erscheint dies aber wenig sinnvoll, da der Webseitenbetreiber, wenn er das Cookie nicht selbst setzt und den Zugriff auf das Endgerät nicht steuert, keine Einwirkungsmöglichkeit auf das Tracking hat, außer dieses technisch komplett zu unterbinden, indem er den Dritten „aussperrt“. Zudem spricht gegen diese Auslegung schlicht der Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie.

EDSA und alte Art. 29 Datenschutzgruppe

In der Vergangenheit haben sich bereits der EDSA und auch die Art. 29 Datenschutzgruppe mit der Frage befasst, für wen die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie gelten; welche Stellen sie also verpflichten.

In seiner Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO geht der EDSA wohl von einem weiten Anwendungsbereich der Vorschrift aus. Dort heißt es in Rz. 28: „Im Lichte dieser Zielsetzung gelten Artikel 5 Absatz 3 und Artikel 13 der e-Datenschutz-Richtlinie für Anbieter elektronischer Kommunikationsdienste wie auch für Betreiber von Websites (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing)“. Die Öffnung erfolgt am Ende durch „oder andere Unternehmen“. Der EDSA begrenzt den Adressatenkreis des Art. 5 Abs. 3 ePrivacy-Richtlinie ausdrücklich nur auf Betreiber einer Webseite.

Noch deutlicher war hier in der Vergangenheit die Art. 29 Datenschutzgruppe. In der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting führen die Aufsichtsbehörden auf S. 11 aus: „Darüber hinaus findet Artikel 5 Absatz 3 unabhängig davon Anwendung, ob es sich bei der das Cookie platzierenden Stelle um einen für die Verarbeitung Verantwortlichen oder um einen Auftragsverarbeiter handelt“. Diese Ansicht ist meines Erachtens zutreffen. Zum einen kennt die ePrivacy-Richtlinie nicht die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“. Zum anderen dient Art. 5 Abs. 3 ePrivacy-richtlinie auch nicht dem Schutz personenbezogener Daten (deren Verarbeitung aber zwingend notwendig ist, damit etwa ein Verantwortlicher nach der alten DS-RL oder jetzt der DSGVO existiert). Diese Auslegungen sind also eher weit und beschränken sich vor allem nicht allein auf einen „Diensteanbieter“ oder Betreiber einer Webseite. Ganz deutlich wird dies auf S. 13 der Stellungnahme 2/2010: „die Verpflichtungen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation finden auf diejenigen Anwendung, die Cookies auf den Endgeräten der betroffenen Personen platzieren und/oder Informationen von Cookies abrufen, die bereits auf diesen Geräten gespeichert sind“. Die Art. 29 Datenschutzgruppe folgt hier einem faktischen Ansatz: diejenige Stelle, die auf Informationen zugreift oder Informationen ablegt ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet. Ihr gegenüber muss die Einwilligung Wirkung entfalten.

Orientierungshilfen der DSK und des BayLfD

Spannend sind zudem noch die jüngsten Ansichten der deutschen Behörden.

Auf S. 4 der Orientierungshilfe der DSK aus Dezember 2021 heißt es: „Adressaten des TTDSG sind neben den Anbieter:innen von Telekommunikationsdiensten vor allem Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG“. Und speziell zur Einwilligung nach § 25 Abs. 1 TTDSG auf S. 19: „Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes“. Die DSK scheint also, durchaus entsprechend der nationalen Vorgabe und Definition des Begriffs im TTDSG, eine einschränkende Auslegung vorzunehmen. Verantwortlich soll der Anbieter des Telemedienangebots sein. Diese Auslegung dürfte für das TTDSG rein national nachvollziehbar sein. Die Frage ist aber, ob sie europarechtlich zwingend und vor allem mit Art. 5 Abs. 3 ePrivacy-Richltinie konform ist. Denn stellt man allein auf den Anbieter des Telemedienangebots ab, würde man (etwa anders als die damalige Art. 29 Gruppe) solche Stellen ausschließen, dass das Telemedien nicht anbieten, aber dennoch auf diesem Cookies setzen oder anderes Tracking durchführen.

Oder anders ausgedrückt und mE für die Praxis extrem relevant: soll das bedeuten, dass der App- oder Webseiten-Betreiber dafür verantwortlich ist, dass ihm und/oder dem das Cookie platzierenden Dritten gegenüber eine wirksame Einwilligung abgegeben wird, obwohl er nicht die Stelle ist, die im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie auf Informationen zugreift oder solche im Endgerät ablegt?

Und zum Abschluss möchte ich dann auf die, meines Erachtens eventuell im Ergebnis nicht unbedingt zur DSK abweichende, aber doch schon inhaltlich deutlichere Ansicht des BayLfD in seiner neuen Orientierungshilfe zum TTDSG eingehen. Dort heißt es in Rz. 24: „Folgerichtig ist auch der Adressatenkreis der durch die Endnutzerin oder den Endnutzer erteilten Einwilligungen beziehungsweise der Ausnahmen von der Einwilligungspflicht nach § 25 Abs. 2 TTDSG nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt, deren Dienste die Endnutzerin oder der Endnutzer unmittelbar in Anspruch nimmt“. Ja, richtig: „nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt“! Das scheint mit eine andere Auslegung, als jene der DSK. Nämlich eher im Sinne des Wortlauts von Art. 5 Abs. 3 ePrivacy-Richtlinie. Der BayLfD gesetht in Rz. 25 aber auch zu, dass faktisch Telemedienanbieter die Hauptadressaten der Norm (§ 25 TTDSG) sind.

Fazit

Ich habe hier nur auszugsweise einige Quellen und Materialien kurz zusammengefasst. Allein auf dieser Basis zeigt sich bereits das Spektrum an Auslegungen. Die Frage, wem gegenüber inhaltlich die Einwilligung nach § 25 TTDSG zu erteilen ist, hat in der Praxis aus meiner Sicht aber extreme Relevanz. Allein wenn man an die Gestaltung von Cookie-Bannern oder ein CMP denkt. Sind wir gespannt, wie sich die Anwendung in der Praxis entwickelt.

Cookie-Einwilligung: Ist die Information, dass Dritte keinen (!) Zugriff auf Cookies haben, zwingend erforderlich?

Nach § 25 Abs. 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (Hervorhebung durch mich)

Diese Information des Endnutzers und die Einwilligung haben gemäß Satz 2 nach der DSGVO zu erfolgen.

Wenn nun Unternehmen darüber nachdenken, ihre Produkte, Apps und Webseiten diesen Vorgaben anzupassen, wird sich unweigerlich die Frage stellen, welche „umfassenden Informationen“ hier zu erteilen sind?

Da § 25 TTDSG auf Art. 5 Abs. 3 ePrivacy-Richtlinie beruht, lohnt sich natürlich ein Blick in die Rechtsprechung des EuGH zu dieser Vorschrift. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist geregelt: „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

In dem Planet49 Verfahren (C-673/17) haben sich sowohl der Generalanwalt (Schlussanträge) als auch danach der EuGH (Urteil) mit der Frage auseinandergesetzt, welche Angaben unter den „klaren und umfassenden Informationen“ zu verstehen sind.

Was gilt, wenn keine personenbezogenen Daten vorliegen?

Sowohl der Generalanwalt als auch der EuGH verweisen für die Informationspflichten auf die entsprechenden Vorgaben der alten DS-RL und der DSGVO (dort: 13, 14 DSGVO). Hier dürfte bereits eine erste Anmerkung wichtig sein: in dem Verfahren ist der EuGH davon ausgegangen, dass personenbezogene Daten vorlagen. Daher war es auch kein Problem, auf Artt. 13, 14 DSGVO zu verweisen. Für die Praxis interessant ist aber sicher die Frage, ob man die Informationspflichten der DSGVO auch (entsprechend) beachten muss, wenn „nur“ Informationen und noch keine personenbezogenen Daten verarbeitet werden.

Zwei mögliche Lösungsansätze: entweder, man geht davon aus, dass die DSGVO mangels personenbezogener Daten keine Anwendung findet. Oder man wendet die Informationspflichten auf „Informationen“ nach der ePrivacy-Richtlinie zumindest entsprechend. Ich würde eher zur zweiten Sichtweise tendieren. Schlicht aus dem Grund, weil Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie für die zu erteilenden Informationen ausdrücklich auf die alte DS-RL und damit (nach Art. 94 DSGVO) jetzt auf die DSGVO verweist.

Spezifische Anforderungen an „klare und umfassende Informationen“ bei Cookies?

Sowohl der Generalanwalt als auch der EuGH gehen mithin davon aus, dass die allgemeinen Informationspflichten der Art. 13, 14 DSGVO zu erfüllen sind. Etwa in einer Datenschutzerklärung.

Spannend sind jedoch cookie-spezifsche Informationspflichten, die zusätzlich erfüllt werden müssen.

„Klare und umfassende Informationen“ bedeutet nach Ansicht des Generalanwalts, dass „ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln“. Und, speziell mit Blick auf Cookies: „Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen“ (Rz. 115)

Und hiervon sind zwei spezielle Merkmale umfasst:

  • die Funktionsdauer der Cookies
  • die Frage, ob Dritte auf die Cookies Zugriff erhalten (Rz. 116)

Das Merkmal der „Funktionsdauer“ erhebt der Generalanwalt sogar zum Bestandteil einer wirksamen Einwilligung. Nach seiner Ansicht hängt die Funktionsdauer des Cookies „mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen“ (Hervorhebung durch mich; Rz. 118).

Die Frage, ob Dritte Zugriff auf verwendete Cookies haben oder nicht, scheint aus Sicht des Generalanwalts im Grunde auch zur Einwilligung selbst zu gehören. Praxisrelevant ist die Ansicht des Generalanwalts vor allem deshalb, da er fordert, dass Nutzer „ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht“ (Rz. 120). Dem Generalanwalt reicht es ausdrücklich gerade nicht aus, nur dann zu informieren, wenn tatsächlich ein Zugriff durch Dritte erfolgt. Er verlangt, dass auch eine Negativ-Information erteilt wird, dass ein solcher Zugriff nicht erfolgt.

Interessanterweise verlangt der EuGH ebenfalls, dass beide oben benannten cookie-spezifischen Informationen erteilt werden. Jedoch verknüpft er diese Anforderung sehr konkret mit dem zu beurteilenden Fall und den Zwecken der Cookies: es geht um „Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen“. Nach dem EuGH „zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ (Rz. 75) in diesem Fall zu den zu erteilenden umfassenden Informationen. Bedeutet: wenn man denn möchte, könnte man bei dem Einsatz von Cookies für andere Zwecke (zB statistische Analyse) argumentieren, dass dann nicht die strengen cookie-spezifischen Vorgaben gelten.

Das Merkmal „Funktionsdauer der Cookies“ verortet der EuGH in Art. 13 Abs. 2 lit. a DSGVO: danach sind Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, zu erteilen.

Interessant und meines Erachtens eventuell abweichend vom Generalanwalt ist die Ansicht des EuGH zu dem Merkmal, „ob Dritte auf die Cookies Zugriff erhalten“. Der EuGH verweist hierzu auf Art. 13 lit. e DSGVO „denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt“ (Rz. 80). Der Unterschied zur Ansicht des Generalanwalts ist, dass der EuGH nicht ausdrücklich verlangt, dass auch negativ informiert werden muss, wenn kein Zugriff erfolgt. Er bestätigt, dass Informationen dazu, „ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“ (Rz. 81). Durch den Verweis auf die DSGVO-Informationspflicht bzgl. der Empfänger kann man meines Erachtens aber argumentieren, dass dies allein eine positive Information umfasst. Wenn also tatsächlich Zugriffe auf die Cookies stattfinden (übertragen auf DSGVO: wenn Empfänger vorhanden sind). Denn Art. 13 Abs. 2 lit. e DSGVO verpflichtet gerade nicht dazu, auch zu informieren, wenn keine Empfänger vorhanden sind.

Rechenschaftspflichten der DSGVO: Rechtmäßigkeit der Verarbeitung personenbezogener Daten in Dokumenten und Aufbewahrungsdauer

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) (zuständig für öffentliche Stellen) hat kürzlich eine neue Orientierungshilfe (PDF) zur Einwilligung nach der DSGVO veröffentlicht.

Eine abstrakt relevante Ansicht findet sich dort zu der Frage, ob und wenn ja, auf welcher Grundlage Verantwortliche personenbezogene Daten verarbeiten dürfen bzw. müssen, um ihren Rechenschaftspflichten, etwa Art. 5 Abs. 2 oder Art. 7 Abs. 1 DSGVO, nachzukommen.

Es geht mithin um die Frage, ob die in Dokumenten enthaltenen personenbezogenen Daten von Betroffenen verarbeitet werden dürfen, auch wenn die eigentliche Verarbeitung der Daten schon beendet ist. Beispiel: Aufbewahrung der einmal erteilten Einwilligung im Fall des Widerrufs. Nach Ansicht der Behörde weist der Verantwortliche damit nach, dass mit der Einwilligung eine Rechtsgrundlage bestand und die darauf beruhende Verarbeitung personenbezogener Daten bis zum  Widerruf der Einwilligung rechtmäßig war.

Diese Gedanke, dass der Nachweis zu einer in der Vergangenheit zulässigen Verarbeitung auch nach deren Beendigung aufbewahrt werden muss, lässt sich auch auf andere Konstellationen und Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO übertragen.

Konkret auf den Fall der Einwilligung führt die Behörde aus:

„Die in der Einwilligungserklärung und dem Widerruf enthaltenen personenbezogenen Daten unterliegen ihrerseits auch dem Recht auf Löschung“.

Diese personenbezogenen Daten werden durch den Verantwortlichen aber nach Art. 6 Abs. 1 lit. c, Abs. 3 lit. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Diese Begründung lässt sich verallgemeinert auf die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO übertragen.

Die in den Nachweisen enthaltenen Daten sind gemäß Art. 17 Abs. 1 lit. a DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, wenn also Nachweis- und Rechenschaftspflichten eine weitere Aufbewahrung nicht mehr erfordern.

Und wann enden solche Aufbewahrungsfristen? Die DSGVO macht hierzu keine spezifischen Vorgaben.

Nach Ansicht des BayLfD enden sie dann, wenn die Verarbeitung vollständig abgeschlossen ist, die aufgrund der Einwilligung verarbeiteten personenbezogenen Daten beim Verantwortlichen nicht mehr vorhanden sind

und der Verantwortliche kein rechtliches Interesse (etwa mit Blick auf Schadensersatzprozesse, vgl. Art. 17 Abs. 3 lit. e DSGVO) mehr daran hat, den Nachweis noch führen zu können.“

Die Behörde akzeptiert hiermit als wohl auch auch eine Orientierung an Verjährungsvorschriften für Schadensersatzansprüche nach Zivilrecht. Ergänzend würde ich zudem auch noch Verjährungsvorschriften für eine Verhängung von Bußgeldern durch eine Aufsichtsbehörde (§ 31 Abs. 2 OwiG) erwähnen.

Gerade im Bereich der Einwilligung ist zudem eine Änderung im UWG für Telefonwerbung zu beachten. Am 1.10.2021 tritt ein neuer § 7a UWG in Kraft. In Abs. 1 wird vorgegeben, dass Einwilligungen für Telefonwerbung gegenüber einem Verbraucher zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Abs. 2 S. 1 aufzubewahren. Und Abs. 2 S. 1 gibt vor: „Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren„.

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.

BayLDA: Newsletter-Anmeldungen als Gegenleistung für kostenlose Produkte – „freiwillig“ nach DSGVO?

In seinem jüngsten Tätigkeitsbericht (PDF, 13.7.2021) befasst sich das BayLDA mit der Vorgabe des Art. 7 Abs. 4 DSGVO und der Frage, wann eine Einwilligung „freiwillig“ abgegeben wurde.

Die Behörde berichtet von einem Fall, in dem ein Verlag eine nahezu kostenlose Software auf einem Online-Portal im Gegenzug zu einer verpflichtenden Einwilligung in die Newsletter-Anmeldung zur Verfügung gestellt hat. Alternativ konnte die Software auf einem eigenen Portal des Verlags kostenpflichtig ohne Einwilligung in die werbliche Nutzung erworben werden.

Dabei spielt bei der Beurteilung der Freiwilligkeit der Einwilligung das Vorhandensein von Wahlmöglichkeiten eine zentrale Rolle.

Die Behörde verweist auf die Leitlinien des EDSA zur Einwilligung. Die dortigen Erläuterungen versteht die Behörde so, dass Anmeldungen zu einem Newsletter im Gegenzug zu einen kostenlosen Produkt nur dann freiwillig sind, wenn das gleiche Produkt auf derselben Plattform kostenpflichtig und ohne Pflicht zur Newsletter-Anmeldung angeboten wird.

Ansicht der Behörde: „Es reicht dabei nicht aus, dieses Produkt kostenpflichtig auf einer völlig anderen Plattform von einem Drittanbieter anzubieten„.

Denn, so die Behörde, dies würde bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da der Drittanbieter seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte.

Die Ansicht der Behörde finde ich nachvollziehbar. Aber man mag auch anders argumentieren. Etwa, dass eine fortgesetzte Überwachung der Gültigkeit der Einwilligung in der DSGVO nicht vorgesehen ist. Man könnte zB argumentieren, dass im Moment der Abgabe der Einwilligung die Voraussetzungen erfüllt sein müssen. Auch die Freiwilligkeit. Wenn dann auf dieser Grundlage Daten verarbeitet werden, erfolgt diese auf der einmal erteilten Einwilligung. So hat etwa auch das OVG Saarlouis in einem Urteil zum Nachweis der erteilten Einwilligung entschieden, „dass der für die Verarbeitung Verantwortliche den Umstand einer wirksamen Einwilligungserteilung – wie hier z.B. gegenüber der Beklagten als Aufsichtsbehörde – nachweisen muss„. Das OVG stellt klar auf die Situation der Erteilung ab. Auch der EuGH ging in Orang Romania davon aus, dass sich der Nachweis einer wirksamen Einwilligung auf die Situation der Erteilung bezieht („dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat„).