Cookie-Einwilligungen nach dem TTDSG: Bald nur noch Buttons mit „Einwilligen“ und „Ablehnen“ zulässig?

Aktuell wird im Bundestag der Entwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT Drs 19/27441, PDF) diskutiert. Bekanntlich sollen im TTDSG datenschutzrechtliche Regelungen aus dem TKG und dem TMG zusammengeführt werden. Zudem soll es in § 24 TTDSG eine neue Vorgabe zur Einwilligung beim Einsatz von Cookies und auch anderen Tracking-Technologien geben.

In diesem Zusammenhang ist die Stellungnahme des Bundesrats vom 26.3.2021 (BR Drs 163/21, PDF) ganz interessant.

In Ziff. 4 d) bittet der Bundesrat darum, dass im weiteren Gesetzgebungsverfahren im TTDSG eine Ermächtigungsgrundlage geschaffen wird

um damit für Nutzerinnen und Nutzer eine einfachere und standardisierte Handhabung in Bezug  auf die Ausgestaltung ihrer Einwilligung nach § 24 TTDSG-E zu ermöglichen.“

Diese Forderung klingt zunächst recht unverfänglich. Zumal ich mich frage, welche Art von „Ermächtigungsgrundlage“ der Bundesrat hier anspricht. Aus Sicht des Bundesrates mag es evtl. um eine Ermächtigung für die Bundesländer gehen; was aber im Ergebnis wieder die Gefahr unterschiedlicher Ansätze in der Praxis birgt.

In der Begründung zu der Forderung erläutert der Bundesrat:

Mit der zunehmenden Umsetzung dieser Regelung wird der Besuch von Internetseiten für Endnutzerinnen und Endnutzer jedoch zunehmend beschwerlicher. Um eine für Endnutzerinnen und Endnutzer einfache und schnelle Handhabe zu ermöglichen, erscheint eine einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“) zielführend.“

Die Begründung referenziert hier auf die in der Praxis zu beobachtenden Cookie-Banner bzw. Consent-Management-Tools, die von Nutzern die Wahl hinsichtlich des Einsatzes von Cookies und anderer Tracker verlangen. Dies scheint aus Sicht des Bundesrates für die Nutzer kaum noch verständlich und evtl. auch zu beschwerlich zu sein. Als Lösung („einfache und schnelle Handhabe“) schlägt der Bundesrat daher wohl eine für Unternehmen verpflichtende Gestaltung des Frontends vor. Es soll nur zwei Buttons geben: „Einwilligen“, „Ablehnen“.

Eine solch spezifische Vorgabe existiert in der ePrivacy Richtlinie und auch in der DSGVO derzeit nicht.

In der Praxis sind die Einwilligungsabfragen auf Webseiten und Apps sehr unterschiedlich gestaltet. Viele der aktuell verwendeten Pop-ups und Cookie-Banner würden die hier angedachte verpflichtende Vorgabe zur Darstellung bei der Einwilligungsabfrage wohl nicht erfüllen.

Daneben regt der Bundesrat übrigens auch die Schaffung der Möglichkeit an, dass Einwilligungen über Browsereinstellungen erteilt werden können. Neu ist diese Idee nicht. So sieht bereits ErwG 66 der RL 2009/136/ EG (mit der Art. 5 Abs. 3 RL 2002/58/EG angepasst wurde) vor: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden“. Ergänzend schlägt der Bundesrat aber vor, dass solche Einstellungen im Browser jedoch  Einzeleinwilligungen als Ausnahme berücksichtigen müssten. Also, wenn ein Nutzer zB das Tracking ablehnt, für bestimmte Seiten aber doch zustimmen möchte. Dann dürfe, nach Ansicht des Bundesrats, die Browsereinstellung dies nicht unterbinden. Ganz ähnliche Themen werden im Übrigen aktuell im Rahmen der Verhandlungen zur ePrivacy Verordnung diskutiert.

Bundesregierung plant neue Dokumentationspflicht für Werbeeinwilligungen

In dem „Entwurf eines Gesetzes für faire Verbraucherverträge“ (BR Drs 18/21, PDF) vom 1.1.2021 schlägt die Bundesregierung in Artikel 3 die Schaffung eines neuen § 7a UWG vor. Es geht um die Einführung einer ausdrücklichen Aufbewahrungspflicht für Einwilligung im Bereich Telefonwerbung. In der Begründung wird u.a. auch mit den Vorgaben der DSGVO argumentiert.

Hier der Vorschlag:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Zuständige Behörde wäre hier die BNetzA.

Nach der Gesetzesbegründung (S. 8) sieht die Bundesregierung das Problem, dass in zivilrechtlichen Verfahren und auch nach Art. 7 Abs. 1 DSGVO der Werbende die Darlegungs- und Beweislast für das Vorliegen einer Einwilligung trage. Jedoch müsse im Ordnungswidrigkeitenverfahren zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestalte die Verfahren umfangreich und kompliziert.

Interessant ist auch der Hinweis auf die Argumente der werbenden Unternehmen. Diese

versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden“.

Diese Begründung würde ich aus datenschutzrechtlicher Sicht tatsächlich auch nicht verstehen. Denn als Verantwortlicher bin ich sowohl nach Art. 7 Abs. 1 DSGVO als auch allgemein nach Art. 5 Abs. 2 DSGVO zum Nachweis der Zulässigkeit der Datenverarbeitung verpflichtet. Selbst von Datenschutzbehörden ist akzeptiert, dass ich zum Nachweis einer einmal erteilten Einwilligung die erforderliche Dokumentation länger aufbewahren darf. Personenbezogene Daten (in der Einwilligung) dürfen auf der Grundlage von Artt. 6 Abs. 1 lit. c, 7 Abs. 1 DSGVO aufbewahrt werden, so etwa der BayLfD (28. TB, Ziff. 2.3):


Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO“.

Zurück zum Gesetzesentwurf. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden.

Fraglich ist jedoch, ob der neu vorgesehene § 7a UWG mit der DSGVO, konkret mit Art. 7 Abs.1 DSGVO, vereinbar ist. Denn das UWG kennt ja keinen eigenen Einwilligungsbegriff, sondern die relevante RL 2002/58/EG verweist auf die alte RL 95/46/EG, die nun durch die DSGVO ersetzt wurde. Nun sollen aber im UWG spezifische Anforderungen an die Dokumentation der Einwilligung aufgenommen werden, die so nicht in der unmittelbar anwendbaren DSGVO festgelegt sind (insbesondere etwa die Dauer von 5 Jahren).

Die Bundesregierung sieht in § 7a UWG-E kein Problem. In der Gesetzesbegründung (S. 13) geht sie davon aus, dass die neue Norm „Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vereinbar“ ist.

Nach Ansicht der Bundesregierung stellt die Regelung „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. Hinsichtlich des § 7a Abs. 1 UWG-E, mag man dies noch verstehen. Denn es wird tatsächlich keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Auch die DSGVO kennt keine Formanforderungen der Einwilligung. Fraglich könnte aber sein, ob die Pflicht zur Aufbewahrung für 5 Jahre nach Abs. 2 so von Art. 7 Abs. 1 DSGVO gedeckt ist. Die DSGVO sieht keine konkreten Zeiträume vor, wie lange Dokumente aufzubewahren sind, um der Rechenschaftspflicht zu genügen. Dies wird man dann sowohl als Pro- als auch als Contra-Argument nutzen können. Diskutabel ist der Punkt meines Erachtens aber schon.

Klar ist aber aus Unternehmenssicht auch, wenn § 7a UWG-E in dieser Form kommt, dass dann § 7a Abs. 2 UWG-E iVm Art. 6 Abs. 1 lit. c DSGVO eine Rechtsgrundlage für die Aufbewahrung der Einwilligungsdokumente und darin enthaltener personenbezogener Daten darstellt.

Berliner Senat: Datenschutzrechtliche Rechtsgrundlage für Einsatz von digitalen Lernplattformen und Videokonferenzdiensten in Schulen

Das Thema „Schulen und Datenschutz“ ist gerade in der aktuellen Situation ein vieldiskutiertes Thema. Schwerpunkt der öffentlichen Diskussion ist vor allem der Einsatz von Videokonferenzdiensten durch Schulen, mit denen der Unterricht außerhalb der Schulen durchgeführt werden soll.

Wohl auch aus diesem Grund hat im Abgeordnetenhaus von Berlin der Abgeordnete Freymark (CDU) eine schriftliche Anfrage mit dem Titel „Voraussetzungen des digitalen Schulunterrichts in Berlin“ gestellt, auf die nun die Senatsverwaltung für Bildung, Jugend und Familie geantwortet hat (Drs. 18/25974, PDF). U.a. geht es in den Fragen auch um den Datenschutz und die Zulässigkeit des Einsatzes von Videokonferenzdiensten durch Schulen, wenn hierbei personenbezogene Daten von Schülern verarbeitet werden (was rein faktisch zwangsläufig der Fall ist).

Auf die Frage, bis wann der Senat vorsieht, „eine verbindliche Rechtsgrundlage für den digitalen Schulunterricht, inklusive der dafür nötigen Einverständniserklärungen, zu schaffen“ antwortet die Senatsverwaltung wie folgt.

Es steht mit den datenschutzrechtlichen Regelungen des Schulgesetzes (§ 64 Absatz 1 SchulG) eine ausreichende Rechtsgrundlage für Schulen zur Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler beim Einsatz von Lernplattformen sowie zur Nutzung von Videokonferenzdiensten in der derzeitigen COVID-19 Pandemiesituation zur Verfügung“.

§ 64 Abs. 1 SchulG sieht vor: Die Schulen einschließlich der Einrichtungen des Zweiten Bildungswegs, die Schulbehörden und die Schulaufsichtsbehörde dürfen personenbezogene Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen schulbezogenen Aufgaben erforderlich ist.

Die Senatsverwaltung geht also offensichtlich davon aus, dass das Angebot und die Durchführung von Fernunterricht über Lernplattformen bzw. auch der Einsatz von Videokonferenzdiensten Teil der schulbezogenen Aufgaben ist. Daher ist eine hierfür erforderliche Datenverarbeitung von dem allgemeinen Erlaubnistatbestand des Abs. 1 gedeckt.

Kurz zu der Vorschrift des § 64 Abs. 1 SchulG. Dieser wurde im Rahmen des Entwurfs eines Schulgesetzes für das Land Berlin (Dr. 15/1842, PDF) im Jahre 2003 eingeführt. In der Begründung zu der Norm heißt es: „Absatz 1 benennt die Stellen, die im Hinblick auf ihre gesetzlichen Aufgabenzuweisungen im Schulwesen das Recht und die Pflicht zu der jeweils notwendigen Verarbeitung personenbezogener Daten haben. Die Verarbeitung ist zweckgebunden zur Erfüllung der den zuständigen Stellen zugewiesenen schulbezogenen Aufgaben“.

Die Rechtsgrundlage wurde auch nach Anpassung anderer Landesgesetze an die Vorgaben der DSGVO nicht verändert. Auch aus der Begründung zu dem damaligen Gesetz ergibt sich, dass die Datenverarbeitung aufgabenbezogen zu verstehen ist. In Kombination mit der Antwort der Senatsverwaltung wird deutlich, dass das Angebot und der Einsatz von Videokonferenzdiensten als Teil der gesetzlichen Aufgabenzuweisung zu verstehen ist. In diesem Zusammenhang dürfen Schulen daher auch personenbezogene Daten der Schüler/innen verarbeiten.

Interessant und gleichzeitig verwirrend ist dann aus meiner Sicht aber die weitere Antwort der Senatsverwaltung: „Als datenschutzrechtliche Rechtsgrundlage beim Einsatz von Lernplattformen kommt auch eine freiwillige Einwilligungserklärung der betroffenen Personen in Betracht“.

Man geht hier also davon aus, dass (wohl alternativ) auch eine datenschutzrechtliche Einwilligung als Rechtsgrundlage dienen kann. Positiv aus Sicht der Schulen ist hieran sicher die Aussage, dass auch in einem Verhältnis zwischen Schule – Schüler nicht per se ausgeschlossen ist, dass eine freiwillige Einwilligung erteilt werden kann. Wenn jedoch die Einwilligung wirklich eine Einwilligung nach der DSGVO sein soll, dann müsste sie auch widerrufbar sein (für die Zukunft). Diese Möglichkeit passt meines Erachtens nicht mit der Ansicht der Senatsverwaltung zusammen, dass es hier um die gesetzliche Aufgabenerfüllung der Schulen geht. Denn wie soll (im schlimmsten Fall) eine Schule ihre Aufgabe erfüllen, wenn Schüler ihre Einwilligungen widerrufen. Dann würde es an der datenschutzrechtlichen Rechtsgrundlage für die Verarbeitung fehlen. Besser wäre hier, auch im Sinne der Rechtssicherheit für Schulen, direkt und nur die gesetzliche Aufgabenerfüllung als Rechtsgrundlage zu nutzen.

Leider wird in der Anfrage und auch in der Antwort nicht auf das umstrittene Thema der Zulässigkeit von Datentransfers in Länder außerhalb der Europäischen Union bei dem Einsatz von Videokonferenzdiensten eingegangen. Dazu ein kleiner Gedanke von mir: wenn die Senatsverwaltung von der Möglichkeit der Einwilligung durch Schüler ausgeht, dürfte es eigentlich kein Problem sein, auch für Datentransfers in Drittstaaten eine Einwilligung einzuholen und so die Anforderungen der Ausnahmeregelung des Art. 49 Abs. 1 lit. a DSGVO zu erfüllen. Natürlich besteht dann aber auch die Möglichkeit des Widerrufs.

Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Generalanwalt am EuGH: hohe Anforderungen an eine wirksame Einwilligung und ihre Nachweisbarkeit

Im Rahmen der am 4.3.2020 veröffentlichten Schlussanträge in der Rechtssache C?61/19, hat Generalwalt (GA) Szpunar seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt. Die Ausführungen des GA sind für den EuGH (wie immer) nicht bindend. Dennoch lohnt sich ein Blick in die Begründung.

Nachfolgend möchte ich auf einige „Highlights“ der Schlussanträge eingehen.

Was bedeutet der Grundsatz des Art. 5 Abs. 1 lit. a DSGVO?

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Zu der entsprechenden Vorgängernorm in der RL 95/46/EG (Art. 6 Abs. 1 lit. a) stellt der GA fest, dass in den Erlaubnistatbeständen (jetzt in Art. 6 Abs. 1 DSGVO) der in Art. 6 Abs. 1 lit. a der Richtlinie niedergelegte Grundsatz zum Ausdruck, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden müssen. Hieraus lässt sich mit Blick auf die DSGVO ableiten, dass mit der Erfüllung eines Erlaubnistatbestandes somit auch die Anforderungen der Datenschutzgrundätze „Rechtmäßigkeit sowie Verarbeitung nach Treu und Glauben“ erfüllt sind.

Freiwilligkeit der Einwilligung

Hinsichtlich des Merkmals der „Willensbekundung“ der betroffenen Person führt der GA aus, dass dies klar auf ein aktives und nicht passives Verhalten hindeute und erfordere, dass die betroffene Person über ein hohes Maß an Autonomie verfügt, wenn sie sich entscheidet, ihre Einwilligung zu erteilen oder nicht zu erteilen. Der GA verweist insoweit auf das Urteil des EuGH in Sachen Planet49.

Nach Ansicht des GA gelten die dort getroffenen Feststellungen auch gleichermaßen für die analoge Welt.

Wenn es schon zu hohe Anforderungen an den Kunden stellt, das in einem Ankreuzkästchen auf einer Website voreingestellte Häkchen zu entfernen, dann kann von einem Kunden vernünftigerweise erst recht nicht erwartet werden, dass er seine Verweigerung der Einwilligung in handschriftlicher Form erklärt.

In einer solchen Situation wisse man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation sei nicht frei von Zweifeln. Der Text mag gelesen worden sein oder auch nicht. Der „Leser“ mag dies aus reiner Nachlässigkeit vergessen haben; es sei daher unmöglich, klar festzustellen, ob die Einwilligung freiwillig erteilt wurde.

„in informierter Weise“

Dieses Merkmal legt der GA so aus, dass völlig außer Zweifel stehen muss, dass die betroffene Person ausreichend informiert wurde.

Er fordert:

Die betroffene Person muss über alle die Datenverarbeitung und deren Folgen betreffenden Umstände informiert werden. Insbesondere muss sie wissen, welche Daten verarbeitet werden, wie lange die Verarbeitung andauert, in welcher Weise und zu welchem spezifischen Zweck sie erfolgt.

Leider wird nicht deutlich, ob der GA hier den Inhalt der Einwilligung selbst anspricht oder ob diese Information nicht auch über die Erfüllung der Informationspflichten entsprechend Art. 13 DSGVO erfolgen kann. Denn sollte es zu einer Dopplung von Informationen kommen, einmal in der Erklärung, einmal in den Datenschutzinformationen, dürfte man wohl die Frage stellen, welchen Sinn eine doppelte Informationserteilung hat.

Doch die Anforderungen gehen weiter:

Die betroffene Person muss außerdem wissen, wer die Daten verarbeitet und ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden.

Zudem sei entscheidend, dass der Betroffene darüber informiert wird, welche Folgen es hat, wenn er die Einwilligung verweigert, d. h., ob die Einwilligung in die Datenverarbeitung Voraussetzung für den Vertragsabschluss ist oder nicht. Dem Betroffenen wurde hier im konkreten Fall jedoch nicht unmissverständlich erklärt, dass der Vertragsabschluss dadurch, dass er die Anfertigung und Aufbewahrung einer Kopie seines Personalausweises verweigert, nicht unmöglich wird.

Wenn man die Anforderungen des GA allesamt in dem Text der Einwilligungserklärung selbst abbilden wollen würde, müsste diese folgende Informationen beinhalten:

  • alle die Datenverarbeitung betreffenden Umstände
  • deren Folgen betreffenden Umstände (Anm: was immer mit den Folgen gemeint ist)
  • welche Daten verarbeitet werden
  • wie lange die Verarbeitung andauert
  • in welcher Weise sie erfolgt
  • zu welchem spezifischen Zweck sie erfolgt
  • wer die Daten verarbeitet
  • ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden
  • welche Folgen es hat, wenn sie die Einwilligung verweigert

Ich persönlich bin auf transparente und verständliche Einwilligungserklärungen gespannt, die diesen Anforderungen gerecht werden. Zudem muss beachtet werden, dass der Text der Einwilligung ja eine statische Momentaufnahme ist. Was geschieht, wenn sich die „Folgen“ der Datenverarbeitung ändern oder Daten nun etwa nicht mehr an Dritte übermittelt werden sollen? Ist die Einwilligung dann unwirksam?

Beweislast und Nachweispflicht

Zudem geht der GA auf die praktisch sehr relevante Frage ein, was konkret durch den Verantwortlichen nachzuweisen ist, wenn er darlegen will oder muss, dass eine Einwilligung vorliegt.

Der GA bezieht sich ganz konkret auf Art. 7 Abs. 1 DSGVO. Danach muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Nach Ansicht des GA ist Art. 7 Abs. 1 DSGVO eindeutig und lässt keinen Raum für Zweifel:

Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Bestimmung stellt einen besonderen Ausdruck des in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatzes der Rechenschaftspflicht dar.

Der GA verknüpft hier also die Rechenschaftspflicht, die ja ansonsten oft doch recht alleine in der DSGVO steht bzw. sich „nur“ auf die Grundsätze nach Art. 5 Abs. 1 DSGVO bezieht, nicht mit einem solchen Grundsatz, sondern mit einem anderen Artikel der DSGVO, der auf einen Nachweis abstellt.

Und nun eine entscheidende Aussage:

Meines Erachtens erfordert der Zweck dieser Bestimmung eine weite Auslegung, da der Verantwortliche nicht nur nachweisen muss, dass die betroffene Person ihre Einwilligung erteilt hat, sondern auch nachweisen muss, dass sämtliche Wirksamkeitsvoraussetzungen vorliegen.

Das bedeutet, dass Verantwortliche nicht nur das Vorliegen der Einwilligung nachweisen müssen. Also etwa den abgehakten Text. Zudem muss der Verantwortliche die Erfüllung aller gesetzlichen Anforderungen nach der DSGVO nachweisen, die sich auf die Einwilligung beziehen.

Und wenn es zum Streit kommt? Auch hier ist der GA klar.

Jegliche Zweifel an der Erteilung der Einwilligung durch die betroffene Person müssen durch vom Verantwortlichen zu erbringenden Beweis ausgeräumt werden. Die Beweislast dafür, dass die betroffene Person in die Lage versetzt wurde, ihre Einwilligung ohne Zwang, auf den konkreten Fall bezogen und in voller Kenntnis der Sachlage zu erteilen, liegt daher eindeutig bei der Stelle, die die Verarbeitung durchführt.

Meines Erachtens legt der GA hier strenge Anforderungen an. Sollte der EuGH dieser Argumentation folgen, würde dies bedeuten, dass Verantwortliche also nicht nur den einzelnen Text der Einwilligung, sondern tatsächlich alle Umstände der Abgabe bzw. Einholung der Einwilligung nachweisen können müssen. Nicht unerwähnt sollte bleiben, dass für einen solchen Nachweis wohl zusätzlich personenbezogene Daten (etwa eine Klickstrecke, Screenshots, usw.) verarbeitet werden müssen.

ePrivacy: neuer Vorschlag im Rat zur Aufnahme „berechtigter Interessen“ als Grundlage des Trackings

Mit Datum vom 21.02.2020 hat die aktuelle Ratspräsidentschaft neue Vorschläge zur Anpassung der Art. 6 und 8 des Entwurfs der ePrivacy-Verordnung vorgelegt (PDF). Hiervon erfasst ist auch eine Anpassung von Art. 8 („Schutz von Informationen im Zusammenhang mit Endeinrichtungen“), also die Regelungen zum Einsatz von Tracking-Technologien.

In Art. 8(1)(g) des Vorschlags hat die Präsidentschaft eine neue Grundlage für die Verarbeitung von Informationen auf der Grundlage von „berechtigten Interessen“ eingeführt. Dies ist deshalb relevant, da die ePrivacy-Verordnung bislang ihren Fokus sehr stark auf die Einwilligung von betroffenen Personen gelenkt hatte. Hiermit zusammenhängende Änderungen sind auch in den begleitenden Erwägungsgründen 20, 21, 21b und 21c enthalten.

Nach Art. 8 (1)(g) des Entwurfs ist jede Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer grundsätzlich untersagt. Dies gilt nicht, wenn es für die von einem Diensteanbieter verfolgten berechtigten Interessen erforderlich ist, die Verarbeitungs- und Speichermöglichkeiten von Endgeräten zu nutzen oder Informationen von den Endgeräten eines Endnutzers zu sammeln, es sei denn, dieses Interesse wird von den Interessen oder den Grundrechten und -freiheiten des Endnutzers überlagert.

Der Vorschlag zieht hier also die aus der DSGVO bekannt Interessenabwägung in die ePrivacy-Verordnung. Dies auch nicht nur bezogen auf spezifische Zwecke, wie etwa statistische Analysen, sondern ganz generell.

Diese Anpassung würde für die Wirtschaft sicherlich eine begrüßenswerte und pragmatische Öffnung der strengen und engen Vorgaben des Art. 8 des Entwurfs bedeuten. Aufgrund der fehlenden Beschränkung auf bestimmte Zwecke des Zugriffs auf Informationen in Endgeräten oder des Auslesens, würde dies also wohl auch den Einsatz von Cookies oder Pixeln zum Zweck der Werbeausspielung umfassen.

Man mag nun direkt in kritische Würdigungen verfallen, da diese Anpassung ad hoc natürlich sehr weit und unbestimmt klingt. Jedoch scheint sich die Ratspräsidentschaft hierzu einige Gedanken gemacht zu haben und verengt die Möglichkeit der Nutzung der Interessenabwägung dadurch, dass sie gesetzliche Vermutungen aufstellt, wann die Interessen der Endnutzer überwiegen sollen.

Es wird davon ausgegangen, dass die Interessen des Endnutzers die Interessen des Diensteanbieters überwiegen, wenn

  • der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um das Wesen und die Eigenschaften des Endnutzers zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 DSGVO enthält.

Insbesondere die Ausschlussgründe der Bestimmung des „Wesens oder der Eigenschaften eines Endnutzers“ sowie der Erstellung eines „individuellen Profils“ dürften für den Einsatz von Tracking-Technologien für Werbezwecke von Relevanz sein. Interessant ist übrigens auch die entsprechende Änderung hierzu in Erwägungsgrund 21b. Denn dort werden “Wesen” und “Merkmale” alternativ genannt (“oder”), wohingegen in dem Vorschlag zu Art. 8 beide Merkmale kumulativ (verbunden mit „und“) aufgezählt werden.

Nach dem neuen Erwägungsgrund 21b sind bei der Abwägung die berechtigten Erwartungen der Endnutzer zu berücksichtigen. Beispielhaft nennt der Vorschlag den Zugriff auf Informationen in Endgeräten zum Zweck der Behebung von Sicherheitslücken als vom berechtigten Interesse umfasst. Zusätzlich verweist der Vorschlag auch darauf, dass Diensteanbieter sich auf berechtigte Interessen stützen könnten, wenn der Dienst (etwa eine Webseite) und seine Inhalte ohne zusätzliche Zahlung zugänglich ist und teilweise oder gänzlich durch Werbung finanziert wird.

Zusätzlich verengt der Vorschlag in Erwägungsgrund 21b die Möglichkeit des Einsatzes von Trackingtechnologien aber weiter, indem hinsichtlich der angesprochenen Dienste ganz konkrete Arten benannt werden, die sich auf berechtigte Interessen stützen könnten. Hierbei handelt es sich um Dienste zur Wahrung der Meinungs- und Informationsfreiheit, einschließlich zu journalistischen Zwecken, wie Online-Zeitungen oder anderen Presseveröffentlichungen.

Zum anderen sieht der Vorschlag weitere Schutzmechanismen für Endnutzer in dem neuen Abs. 1a vor, wenn ein Diensteanbieter die Interessenabwägung als Erlaubnis nutzen möchte. Weitere Erläuterungen ergeben sich aus Erwägungsgrund 21c. Danach dürfen Diensteanbieter die aus Endgeräten gewonnen Informationen nicht mit Dritten teilen, es sei denn, die Informationen wurden zuvor anonymisiert. Dies gilt jedoch nicht in Bezug auf Auftragsverarbeiter, die in diesem Zusammenhang eingesetzt werden und auf der Grundlage von Art. 28 DSGVO eingeschaltet werden.

Interessant an diesem Vorschlag ist, dass anscheinend davon ausgegangen wird, dass bei dem in Art. 8 (1)(g) ePrivacy-Verordnung als potentiell zulässig anerkannten Zugriff auf Informationen und deren Nutzung stets personenbezogene Daten (iSd DSGVO) vorliegen. Denn ansonsten würde der Verweis auf eine vorzunehmende Anonymisierung der Daten keinen Sinn ergeben. Ebenfalls dafür spricht der Hinweis auf die Vorgaben des Art. 28 DSGVO (also zur Auftragsverarbeitung), die eingehalten werden sollen.

Zusätzlich sieht der Vorschlag vor, dass Endnutzern eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.