Category Archives: Datenschutzrecht

Bayerischer Verwaltungsgerichtshof: Datenschutz in der Lieferkette – Verantwortlicher muss DSGVO-Konformität von eingekauften Produkten sicherstellen

Posted on by

Der Bayerische Verwaltungsgerichtshof hat eine, wie ich finde, abstrakt relevante Ansicht zu den datenschutzrechtlichen Anforderungen an Produkte, über die personenbezogene Daten verarbeitet werden, geäußert (Beschluss v. 07.03.2022 – 4 CS 21.2254). Der VGH geht davon aus, dass eine datenverarbeitende Stelle als datenschutzrechtlich Verantwortlicher verpflichtet ist, sich bei Geräteherstellern zu vergewissern, dass die Produkte die DSGVO einhalten.  

Sachverhalt

In dem Verfahren ging es um die Frage, ob Eigentümer eines Hauses den Austausch analoger Wasserzähler durch elektronische Wasserzähler mit Funkmodul durch die öffentliche Wasserversorgungseinrichtung dulden müssen. Die Hauseigentümer wehrten sich hiergegen, u.a. mit Verweis auf das Datenschutzrecht. Ihrer Ansicht nach verfüge das einzusetzende Gerät über keine Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik und sei daher nicht sicher. Zudem sei die Erhebung von Wassertemperatur und Außentemperatur sowie das permanente Aufzeichnen zahlreicher weiterer Alarmcodes zum ordnungsgemäßen Betrieb der Wasserversorgung nicht erforderlich.

Entscheidung

Der VGH wies die Beschwerde der Eigentümer (gegen eine Entscheidung der Vorinstanz) zurück.

Der VGH geht zunächst davon aus, dass die in einem elektronischen (Funk-)Wasserzähler erfassten Verbrauchsmengen, wenn und soweit sich daraus Rückschlüsse auf das individuelle Verbrauchsverhalten einzelner Personen ziehen lassen, personenbezogene Daten der Bewohner oder sonstigen Nutzer des betreffenden Anwesens darstellen.

Es reiche nach Art. 4 Nr. 1 DSGVO aus, dass eine bestimmte natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie etwa einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem besonderen identitätsprägenden Merkmal identifiziert werden kann. Dies sei bei dem Betrieb eines Wasserzählers zumindest dann der Fall, wenn die aufgezeichneten Verbrauchsdaten eine Wohnung oder eine sonstige Gebäudeeinheit betreffen, die von einer einzelnen Person genutzt wird. Aber auch bei gemeinsamer Nutzung durch mehrere Personen lasse sich, wenn der Wasserverbrauch durch einen elektronischen Zähler kontinuierlich aufgezeichnet wird, unter Umständen mit nur geringem Zusatzwissen Rückschlüsse auf die Verbrauchsgewohnheiten Einzelner ziehen,

Die damit einhergehende Datenverarbeitung qualifiziert der VGH als zulässig. Diese ist nach Art. 6 Abs. 1 lit. e DSGVO nur rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Die dafür nach Art. 6 Abs. 3 lit. b DSGVO notwendige Rechtsgrundlage habe der Bayerische Gesetzgeber mit der in Art. 24 Abs. 4 Satz 1 GO enthaltenen Sonderregelung zum Einsatz und Betrieb derartiger Wasserzähler geschaffen.

Zudem lehnt der VGH einen Verstoß gegen Vorschriften der DSGVO bzgl. der Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO) durch den Einsatz der Wasserzähler ab.

Relevant und meines Erachtens zu einem gewissen Grad auch allgemein zu beachten, ist die Ansicht des VGH zu den Anforderungen des Einsatzes von Geräten, über die personenbezogene Daten verarbeitet werden sollen.

Zum einen geht der VGH davon aus, dass der Einsatz der Wasserzähler nicht bereits deshalb datenschutzwidrig sei, weil die Geräte keine Zertifizierung des BSI besäßen.

Der Einsatz elektronischer Verbrauchserfassungsgeräte ist ihnen nicht deshalb verwehrt, weil diese keiner Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik bedürfen“.

Diese Ansicht ist meines Erachtens begrüßenswert und richtig. So ist etwa Art. 32 DSGVO bewusst offen formuliert, um verschiedenste Faktoren bei der Prüfung der Sicherheit der Datenverarbeitung berücksichtigen zu können. Eine Zertifizierung, etwas durch das BSI, kann natürlich positiv berücksichtigt werden. Jedoch entscheidet ein solches Zertifikat nicht zwingend allein über die DSGVO-Konformität eines Produkts.

Danach führt der VGH aus:

Die Wasserversorger sind unabhängig davon für die Einhaltung der allgemeinen Sicherheitsanforderungen nach Art. 5 Abs. 1 Buchst. f, Art. 32 DSGVO verantwortlich. Sie müssen sich daher vor dem Einsatz elektronischer (Funk-) Wasserzähler bei dem Gerätehersteller vergewissern, dass die gespeicherten und übermittelten Daten durch geeignete technisch-organisatorische Maßnahmen ausreichend vor dem Zugriff unberechtigter Dritter geschützt sind (LT-Drs. 17/19804 S. 2).

Das Gericht leitet hier aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO wohl die Pflicht des Verantwortlichen ab, in seiner Liefer- bzw. Einkaufskette zu prüfen, ob die eingekauften Produkte, über die später personenbezogene Daten verarbeitet werden, den Anforderungen der DSGVO genügen. Der VGH ist zwar nicht absolut klar hinsichtlich des Umfangs und der Tiefe der erforderlichen Prüfung. Er spricht aber zumindest davon, dass sich der Verantwortliche als Ausfluss seiner Pflichten aus Art. 5 Abs. 1 lit. f, Art. 32 DSGVO davon „vergewissern“ muss, dass die Geräte die datenschutzrechtlichen Vorgaben einhalten.

Fazit

Der VGH spricht in seinem Beschluss eine praxisrelevante Schutzlücke der DSGVO an. Diese verpflichtet nur Verantwortliche und Auftragsverarbeiter. Gerätehersteller und Produzenten, die selbst keine Daten verarbeiten, sondern „nur“ das Werkzeug hierfür bereitstellen, unterfallen nicht der DSGVO, im Sinne einer „Vorfeldpflicht“. Daher hängt es derzeit vor allem an den Abnehmern der Produkte, den Verantwortlichen, die DSGVO-Konformität in die Lieferkette (nach vorne) zu tragen. Etwa durch vertragliche Verpflichtungen und Zusicherungen der Hersteller. ErwG 78 DSGVO umschreibt dieses Problem wie folgt: „… sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Landgericht Stuttgart: zur Zulässigkeit von Briefwerbung und eine Blacklist für Werbewidersprüche nach der DSGVO

Posted on by

Das LG Stuttgart hat mit Urteil vom 25.02.2022 (Az. 17 O 807/21; derzeit nur bei BeckOnline abrufbar, BeckRS 2022, 4821) einige praxisrelevante Fragen rund um die Brief-/Postwerbung behandelt. Unter anderem ging es um die Zulässigkeit von Postwerbung auf Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO und die Frage, ob eine Speicherung von personenbezogenen Daten auf einer Blacklist, zur Umsetzung von Werbewidersprüchen, möglich ist.

Sachverhalt

Der Kläger macht gegen die Beklagte Ansprüche wegen behaupteter Verletzung seiner Rechte aus der DSGVO geltend. Der Kläger erhielt an seiner Wohnanschrift postalische Werbung für Produkte einer Versicherung. Dies Werbung wurde nicht von der Versicherung direkt, sondern von der Beklagten als Dienstleisterin für Werbetreibende versendet. Der Kläger machte gegenüber der Beklagten von seinem Recht auf Löschung gemäß Art. 17 DSGVO Gebrauch und forderte die Beklagte auf, ihm Auskunft zur Verwendung seiner Daten zu erteilen sowie die bei der Beklagten vorhandenen personenbezogenen Daten des Klägers zu löschen.

In der Folge erhob der Kläger außergerichtlich Schadensersatzansprüche wegen Verletzung seiner Rechte aus der DSGVO (Art. 82 DSGVO). Der Kläger ist der Ansicht, dass die Beklagte gegen das Recht auf Löschung seiner Daten nach Art. 17 DSGVO verstoßen habe, nachdem sie diese nicht vollständig gelöscht (Sperrung) habe. Zudem ist der Kläger der Auffassung, dass persönlich adressierte Briefsendungen als Form der Direktwerbung hier nicht zulässig waren. Denn Direktwerbung setze nach Art. 6 Abs. 1 lit. f) DSGVO eine bereits bestehende Kundenbeziehung voraus, weil sie nur dann im berechtigten Interesse des Verantwortlichen liege.

Urteil

Das LG wies die Klage ab. Der Kläger habe gegen die Beklagte wegen der Zusendung der streitgegenständlichen Werbeschreibens keinen Schadensersatzanspruch aus Art. 82 DSGVO, denn es liege kein Verstoß gegen die DSGVO vor. Insbesondere war die Zusendung der Werbeschreiben und die dem zugrunde liegende Verarbeitung seiner Adressdaten rechtmäßig im Sinne von Art. 6 Abs. 1 f) DSGVO.

Rechtsgrundlage, Art. 6 Abs. 1 lit. f) DSGVO

Das Gericht geht davon aus, dass die Beklagte als datenschutzrechtlich Verantwortliche ihre Interessen und die ihres Kunden (eines Dritten) an der Werbemaßnahmen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO anführen kann. Die Verarbeitung der Kontaktdaten war zur Erreichung dieses Interesses auch erforderlich.

Die Beklagte habe

dargelegt, dass Werbebriefe wie der vorliegende ein notwendiges Mittel sind, um einerseits Bestandskunden zu pflegen, andererseits aber auch – wie hier – Neukunden zu gewinnen“.

Zudem überwiegen die Interessen des Klägers nicht die berechtigten Interessen der Beklagten bzw. die Interessen der (Werbe-) Kundin. Das LG stellt hier deutlich heraus, dass die Interessen des Betroffenen überwiegen müssen.

Bei gleichwertigen Interessen („non liquet“) darf eine Verarbeitung also stattfinden

Zudem sehe die DSGVO das Interesse der Wirtschaft an Direktwerbung als schutzwürdig an. Das LG verweist auf ErwG 47. Zwar sei damit noch nicht gesagt, dass jeder Fall der Direktwerbung gerechtfertigt ist. Allerdings lasse sich dem Erwägungsgrund entnehmen, dass die Beklagte und ihre Werbekunden hieran ein berechtigtes Interesse haben, dem gegenüber widerstreitende Interessen des Klägers überwiegen müssen.

Das LG konkretisiert in diesem Zusammenhang, was unter „Direktwerbung“ zu verstehen sei. Unter Direktwerbung im Sinne des Erwägungsgrundes sei

jede unmittelbare Ansprache der betroffenen Person etwa durch Zusendung von Briefen oder Prospekten, durch Telefonanrufe, E-Mails oder Übermittlung von SMS zu verstehen, unabhängig davon, ob zwischen Werbendem und Betroffenem zuvor ein Kundenverhältnis bestanden hat.“

Zudem lehnt das LG die Ansicht des Klägers ab. Der Wortlaut der Vorschrift setze kein bereits bestehendes Kundenverhältnis der Parteien voraus. „Direktwerbung“ betrifft also vor allem auch die Neukundenwerbung.

Zulässigkeit der Datenverarbeitung für Werbewiderspruch

Praxisrelevant ist auch die Ansicht des LG zu der Zulässigkeit der Datenverarbeitung zur Umsetzung eines Werbewiderspruchs. Der Kläger ging hier davon aus, dass die Beklagte zum Umsetzung seines Widerspruchs keine Daten verarbeiten durfte. Auch dieser Ansicht schließt sich das LG nicht an und liefert die passende Rechtsgrundlage.

Soweit die Beklagte die Daten des Klägers noch zum Zwecke der Berücksichtigung des Widerspruchs des Klägers vorhält, ist dies nach Art. 6 Abs. 1 lit. c) DS-GVO gerechtfertigt.

Fazit

Die Entscheidung des LG ist unter mehreren Gesichtspunkten praxisrelevant. Zum einen stärkt sie die grundsätzliche Zulässigkeit von Briefwerbung unter der DSGVO, die 1) ohne Einwilligung und 2) ohne das Erfordernis einer Kundenbeziehung zulässig ist. Zum andern bestätigt das Gericht die vormalige Rechtsprechung des BGH (unter altem BDSG) zur Zulässigkeit der Datenverarbeitung für die Umsetzung eines Werbewiderspruchs. Auf dieser Grundlage dürfte also etwa eine Blacklist geführt werden.

Interessenkonflikt des internen Datenschutzbeauftragten: Belgische Datenschutzbehörde verhängt 75.000 EUR Bußgeld

Posted on by

NOYB berichtet in seinem GDPRhub über eine praxisrelevante Entscheidung (Englisch) der belgischen Datenschutzbehörde vom 16.12.2021.

Die belgische Datenschutzbehörde verhängte danach gegen eine Bank eine Geldbuße, weil ihr Datenschutzbeauftragter gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten war. Nach Ansicht der Aufsichtsbehörde führte dies zu einem Interessenkonflikt, der gegen Art. 38 Abs. 6 DSGVO verstieß.

Danach kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Jedoch muss der Verantwortliche oder der Auftragsverarbeiter sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

In dem vorliegenden Fall war der interne Datenschutzbeauftragte gleichzeitig Leiter

  • des operativen Risikomanagements der Bank,
  • der Abteilung für Informationsrisikomanagement und
  • der Sonderermittlungsstelle.

Nach Auffassung der belgischen Datenschutzbehörde handelte es sich bei diesen Tätigkeiten nicht nur um eine rein beratende und überwachende Funktion. Ein Interessenkonflikt wird von Behörden oft angenommen, wenn der Datenschutzbeauftragte über die Verarbeitung personenbezogener Daten entscheiden kann.

Hier die Ansicht des EDSA (damals noch Art. 29 Gruppe) aus dem WP 243 (S. 19):


dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Aufgrund der jeder Einrichtung eigenen strukturellen Unterschiede ist diese Frage fallweise zu betrachten.“

Da der Datenschutzbeauftragte hier die endgültige Verantwortung für die genannten Abteilungen trug, war die Datenschutzbehörde der Ansicht, dass ein Interessenkonflikt vorlag, der gegen die DSGVO.

Auf dieser Grundlage verhängte die Datenschutzbehörde eine Geldbuße in Höhe von 75.000 Euro gegen die Bank.

Recht auf Berichtigung bei Angabe falscher Daten im Rahmen der Registrierung? – Hessische Aufsichtsbehörde: ja und nein

Posted on by

Auf der Webseite des EDSA wurde die Zusammenfassung (PDF) einer neuen Entscheidung der Hessischen Datenschutzbehörden vom 19.11.2021 im Wege des One Stop Shop Mechanismus veröffentlicht.

Sachverhalt

Der Fall betrifft eine Registrierung bei einem Dienst, in deren Zuge der Betroffene ein falsches Geburtsdatum eingab. Der Dienst durfte nach den Nutzungsbedingungen nur von Volljährigen genutzt werden. Daher gab der minderjährige Betroffene ein falsches Geburtsdatum an. Zudem wählte er noch ein Pseudonym als Account Namen.

Der Betroffene macht nun, nachdem er volljährig war, sein Recht nach Art 16 GDPR auf Berichtigung der, von ihm selbst, falsch angegeben Daten geltend. Das Unternehmen verweigerte die Berichtigung beider Daten.

Entscheidung

Die Aufsichtsbehörde lehnte die Beschwerde in Bezug auf die Berichtigung des Account Namens, also des Pseudonyms, ab.

„Ein von der betroffenen Person frei gewähltes Pseudonym kann nicht unrichtig im Sinne von Artikel 16 Absatz 1 DSGVO sein, auch wenn es Namen oder andere Daten von Dritten enthalten kann.“

Jedoch geht die Behörde davon aus, dass das Geburtsdatum zu berichtigen sei. Auch wenn dies von dem betroffenen falsch angegeben wurde und selbst auch dann, wenn dies einen Verstoß gegen die Nutzungsbedingungen der Plattform darstellt.

„Das Recht auf Berichtigung besteht unabhängig von möglichen zivilrechtlichen Folgen im Vertragsverhältnis zwischen dem Beschwerdeführer und dem Anbieter. Dementsprechend müssen die Prozesse im Kundensupport angepasst werden, damit eine Berichtigung in zukünftigen, vergleichbaren Fällen nicht pauschal abgelehnt wird.“

Fazit

Die Entscheidung dürfte für Unternehmen relevant sein, die Nutzerkonten anbieten und hierzu bestimmte Vorgaben an Nutzer machen, etwa zu einer Altersgrenze. Hinsichtlich der absichtlichen Angabe des falschen Geburtsdatums erscheint mir die Ansicht der Behörde durchaus diskutabel. Denn mit der Begründung wäre es Betroffenen möglich, bewusst und missbräuchlich falsche Daten in Systeme bei Unternehmen zu geben, nur um dann im Nachgang Verstöße gegen die DSGVO geltend zu machen. Eventuell kann man in solchen Fällen aber den Einwand des Missbrauchs nach Art. 12 Abs. 5 GDPR erheben.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Posted on by

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Posted on by

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Französischer Staatsrat: One-stop-shop gilt nicht für das Setzen von Cookies – Geteilte Zuständigkeit für Trackingverfahren?

Posted on by

Die französische Datenschutzbehörde (CNIL) hat eine Pressemitteilung zu einem Urteil des Conseil d’État veröffentlicht (Englisch). Das urteil betrifft ein Verfahren von Google gegen eine Entscheidung der CNIL zur Unzulässigkeit des Einsatzes von Cookies.

Spannend an der Entscheidung ist u.a. die Entscheidung zur Frage der Zuständigkeit der CNIL.

Hier einige Auszüge aus der Pressemitteilung (inoffizielle Übersetzung):

In seinem Urteil vom 28. Januar 2022 hat der Staatsrat anerkannt, dass die CNIL befugt ist, Sanktionen in Bezug auf Cookies außerhalb des in der DSGVO vorgesehenen „One-Stop-Shop“-Mechanismus zu verhängen, und hat daher die von der CNIL gegen die Unternehmen GOOGLE LLC und GOOGLE IRELAND LIMITED verhängte Sanktion bestätigt.“

Der Staatsrat hat bestätigt, dass der in der DSGVO vorgesehene „One-Stop-Shop“-Mechanismus nicht für die Hinterlegung von Cookies gilt, die durch das französische Datenschutzgesetz abgedeckt ist.

Diese Ansicht ist von praktischer Relevanz, da sie zu einer Situation führen könnte, in der die Zuständigkeit für das Platzieren von Cookies (Speicherung von Informationen iSd Art. 5 Abs. 3 ePrivacy Richtlinie) und den Zugriff auf Informationen gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie bei den einzelnen nationalen Behörden liegt, die weitere Verarbeitung derselben (personenbezogenen) Daten (außerhalb des Anwendungsbereichs der ePrivacy Richtlinie) jedoch unter die DSGVO und den OSS Mechanismus fallen würde, so die Voraussetzungen erfüllt sind.

Im Grunde würde also ein technischer Prozess bzw. Lebenssachverhalt auf der Ebene der Zuständigkeit und damit auch auf der Ebene der Durchsetzung aufgeteilt werden. Die Grenze könnte dort verlaufen, wo der Anwendungsbereich der ePrivacy Richtlinie (in Deutschland, das TTDSG) verlassen wird und allein die DSGVO zu beachten ist. Aus Sicht von Unternehmen könnte dies bedeuten, dass man keiner einheitlichen behördlichen Aufsicht für einen Verarbeitungsprozess im Rahmen des Einsatzes von Trackingtechnologien unterliegt, sondern in einem Prüf- oder Sanktionsverfahren zwei europäische Aufsichtsbehörden auf den Plan treten. Und eventuell auch unterschiedliche Ansichten vertreten.

EDSA: Erfüllung der Rechenschaftspflicht unter anderem mit A/B Tests möglich

Posted on by

Die Rechenschaftspflicht der DSGVO, insbesondere in Art. 5 Abs. 2 DSGVO, ist quasi omnipräsent und gleichzeitig doch so wenig konkret und fassbar. Danach ist der Verantwortliche für die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Wie konkret diese Rechenschaftspflicht, in der Form als Nachweispflicht, zu erfüllen ist, wird nicht vorgegeben. Aus praktischer Sicht, bieten sich daher durchaus unkonventionelle Wege an.

Auch der EDSA sieht die Möglichkeit, die Rechenschaftspflicht nicht nur durch eine „klassische“ Datenschutzdokumentation zu erfüllen. In seinen Leitlinien zur Transparenz (WP 260 rev01, pdf) geht der EDSA davon aus, dass die Einhaltung der Vorgaben der Informationspflichten auch durch Anwendertests nachgewiesen werden können.

Rz. 25: „Als Hilfestellung zur Festlegung der geeignetsten Art und Weise für die Bereitstellung der Informationen können die Verantwortlichen vor dem „Going Live“ verschiedene Vorgehensweisen ausprobieren mit Anwendertests (d. h. Auditoriumtests oder sonstige Standardtests der Verständlichkeit oder Zugänglichkeit), um so Rückmeldungen zu erhalten, wie zugänglich, verständlich und komfortabel die vorgeschlagene Maßnahme für die Nutzer ist.

Und spezifisch zur Rechenschaftspflicht: „Eine Dokumentation dieses Ansatzes sollte für die Verantwortlichen auch im Hinblick auf die Erfordernisse der Rechenschaftspflicht hilfreich sein, denn so lässt sich zeigen, wieso das gewählte Instrument / die gewählte Herangehensweise zur Informationsübermittlung unter den gegebenen Umständen besonders zweckdienlich ist.

Der EDSA sieht hier klar die Möglichkeit, dass durch interne Tests mit dem potentiellen Zielpublikum die Rechenschaftspflicht der DSGVO auch (mit)erfüllt werden kann. Diese Überlegungen des EDSA kann man sicher auch auf andere Pflichten der DSGVO übertragen. Über eine Dokumentation der internen Tests kann ein Verantwortlicher nachweisen, wie er den Anforderungen der DSGVO nachgekommen ist.

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

Posted on by

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

§ 25 TTDSG – wem gegenüber ist eigentlich eine Einwilligung für Cookies zu erteilen?

Posted on by

Über das neue TTDSG und dort den § 25 TTDSG, habe ich schon einige Male berichtet. Heute möchte ich eine zunächst simpel anmutende Frage aufwerfen, die bei näherer Betrachtung eventuell nicht so einfach zu beantworten ist: wem gegenüber (also welcher Stelle) ist eine Einwilligung nach § 25 Abs. 1 TTDSG zu erteilen?

Man könnte meinen, dass das doch der Verantwortliche nach der DSGVO sein muss. Ganz klar. Vorab: es existieren verschiedenste Auslegungsmöglichkeiten. Und meines Erachtens ist es nicht zwingend der Verantwortliche nach der DSGVO.

Gesetzeswortlaut

Zunächst hilft natürlich (vermeintlich) immer der Blick ins Gesetz. § 25 Abs. 1 TTDSG lautet: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen“.

Die europäische Grundlage, Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie, lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Beim Lesen beider Vorschriften wird deutlich: es wird nicht spezifiziert, wem gegenüber die Einwilligung zu erteilen ist. Ich meine hier nicht (nur) die faktische Abgabe gegenüber einer Stelle, sondern die legitimierende Zielrichtung der Einwilligung. Welche Stelle muss also im Einwilligungstext stehen und sich auf die Wirkung der Einwilligung berufen, damit sie auf das Endgerät zugreifen kann?

Planet49-Verfahren

Sowohl in den Schlussanträgen als auch im Urteil des EuGH in der Rechtssache C-673/17 wird oft auf den „Diensteanbieter“ abgestellt.

Schlussanträge, etwa Rz. 111: „Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.“ und Rz. 117: „Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“.“.

Urteil, etwa Rz. 81: „Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“.

Der Begriff „Diensteanbeiter“ wird in Art. 5 Abs. 3 ePrivacy-Richtlinie aber nicht verwendet. Auch findet sich in der RL 2002/58/EG keine Definition dieses Begriffs. Ich vermute eher, dass sowohl der Generalanwalt als auch der EuGH hier die Begrifflichkeiten der damaligen Vorschriften des TMG (insb. aus § 15 Abs. 3 TMG) aus den Vorlagefragen des BGH übernommen haben. Dort war vom „Diensteanbieter“ die Rede.

Legt man diesen Begriff als Einwilligungsadressaten fest (wie gesagt, ohne, dass sich dies aus dem Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie ergibt), so müsste man sich an der Legaldefinition des § 2 Nr. 1 TMG orientieren, der wiederum eine Umsetzung von Art. 2 lit. b der eCommerce-Richtlinie (2000/31/EG) darstellt. „Diensteanbieter“ ist danach jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet.

Folgt man diesem Weg, würde dies aber bedeuten, dass eine Einwilligung eventuell dem Betreiber einer Webseite gegenüber erteilt werden muss, obwohl dieser selbst gar keine Cookies, Tags oder ähnliches einsetzt, sondern dies durch Dritte auf der Webseite durchgeführt wird. Er es diesen Dritten also „nur“ erlaubt. Die Konsequenz wäre dann, dass Nutzer diesen Dritten gegenüber keine Einwilligung erteilen müssten/könnten, sondern dem Betreiber der Webseite. Im Ergebnis erscheint dies aber wenig sinnvoll, da der Webseitenbetreiber, wenn er das Cookie nicht selbst setzt und den Zugriff auf das Endgerät nicht steuert, keine Einwirkungsmöglichkeit auf das Tracking hat, außer dieses technisch komplett zu unterbinden, indem er den Dritten „aussperrt“. Zudem spricht gegen diese Auslegung schlicht der Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie.

EDSA und alte Art. 29 Datenschutzgruppe

In der Vergangenheit haben sich bereits der EDSA und auch die Art. 29 Datenschutzgruppe mit der Frage befasst, für wen die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie gelten; welche Stellen sie also verpflichten.

In seiner Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO geht der EDSA wohl von einem weiten Anwendungsbereich der Vorschrift aus. Dort heißt es in Rz. 28: „Im Lichte dieser Zielsetzung gelten Artikel 5 Absatz 3 und Artikel 13 der e-Datenschutz-Richtlinie für Anbieter elektronischer Kommunikationsdienste wie auch für Betreiber von Websites (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing)“. Die Öffnung erfolgt am Ende durch „oder andere Unternehmen“. Der EDSA begrenzt den Adressatenkreis des Art. 5 Abs. 3 ePrivacy-Richtlinie ausdrücklich nur auf Betreiber einer Webseite.

Noch deutlicher war hier in der Vergangenheit die Art. 29 Datenschutzgruppe. In der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting führen die Aufsichtsbehörden auf S. 11 aus: „Darüber hinaus findet Artikel 5 Absatz 3 unabhängig davon Anwendung, ob es sich bei der das Cookie platzierenden Stelle um einen für die Verarbeitung Verantwortlichen oder um einen Auftragsverarbeiter handelt“. Diese Ansicht ist meines Erachtens zutreffen. Zum einen kennt die ePrivacy-Richtlinie nicht die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“. Zum anderen dient Art. 5 Abs. 3 ePrivacy-richtlinie auch nicht dem Schutz personenbezogener Daten (deren Verarbeitung aber zwingend notwendig ist, damit etwa ein Verantwortlicher nach der alten DS-RL oder jetzt der DSGVO existiert). Diese Auslegungen sind also eher weit und beschränken sich vor allem nicht allein auf einen „Diensteanbieter“ oder Betreiber einer Webseite. Ganz deutlich wird dies auf S. 13 der Stellungnahme 2/2010: „die Verpflichtungen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation finden auf diejenigen Anwendung, die Cookies auf den Endgeräten der betroffenen Personen platzieren und/oder Informationen von Cookies abrufen, die bereits auf diesen Geräten gespeichert sind“. Die Art. 29 Datenschutzgruppe folgt hier einem faktischen Ansatz: diejenige Stelle, die auf Informationen zugreift oder Informationen ablegt ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet. Ihr gegenüber muss die Einwilligung Wirkung entfalten.

Orientierungshilfen der DSK und des BayLfD

Spannend sind zudem noch die jüngsten Ansichten der deutschen Behörden.

Auf S. 4 der Orientierungshilfe der DSK aus Dezember 2021 heißt es: „Adressaten des TTDSG sind neben den Anbieter:innen von Telekommunikationsdiensten vor allem Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG“. Und speziell zur Einwilligung nach § 25 Abs. 1 TTDSG auf S. 19: „Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes“. Die DSK scheint also, durchaus entsprechend der nationalen Vorgabe und Definition des Begriffs im TTDSG, eine einschränkende Auslegung vorzunehmen. Verantwortlich soll der Anbieter des Telemedienangebots sein. Diese Auslegung dürfte für das TTDSG rein national nachvollziehbar sein. Die Frage ist aber, ob sie europarechtlich zwingend und vor allem mit Art. 5 Abs. 3 ePrivacy-Richltinie konform ist. Denn stellt man allein auf den Anbieter des Telemedienangebots ab, würde man (etwa anders als die damalige Art. 29 Gruppe) solche Stellen ausschließen, dass das Telemedien nicht anbieten, aber dennoch auf diesem Cookies setzen oder anderes Tracking durchführen.

Oder anders ausgedrückt und mE für die Praxis extrem relevant: soll das bedeuten, dass der App- oder Webseiten-Betreiber dafür verantwortlich ist, dass ihm und/oder dem das Cookie platzierenden Dritten gegenüber eine wirksame Einwilligung abgegeben wird, obwohl er nicht die Stelle ist, die im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie auf Informationen zugreift oder solche im Endgerät ablegt?

Und zum Abschluss möchte ich dann auf die, meines Erachtens eventuell im Ergebnis nicht unbedingt zur DSK abweichende, aber doch schon inhaltlich deutlichere Ansicht des BayLfD in seiner neuen Orientierungshilfe zum TTDSG eingehen. Dort heißt es in Rz. 24: „Folgerichtig ist auch der Adressatenkreis der durch die Endnutzerin oder den Endnutzer erteilten Einwilligungen beziehungsweise der Ausnahmen von der Einwilligungspflicht nach § 25 Abs. 2 TTDSG nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt, deren Dienste die Endnutzerin oder der Endnutzer unmittelbar in Anspruch nimmt“. Ja, richtig: „nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt“! Das scheint mit eine andere Auslegung, als jene der DSK. Nämlich eher im Sinne des Wortlauts von Art. 5 Abs. 3 ePrivacy-Richtlinie. Der BayLfD gesetht in Rz. 25 aber auch zu, dass faktisch Telemedienanbieter die Hauptadressaten der Norm (§ 25 TTDSG) sind.

Fazit

Ich habe hier nur auszugsweise einige Quellen und Materialien kurz zusammengefasst. Allein auf dieser Basis zeigt sich bereits das Spektrum an Auslegungen. Die Frage, wem gegenüber inhaltlich die Einwilligung nach § 25 TTDSG zu erteilen ist, hat in der Praxis aus meiner Sicht aber extreme Relevanz. Allein wenn man an die Gestaltung von Cookie-Bannern oder ein CMP denkt. Sind wir gespannt, wie sich die Anwendung in der Praxis entwickelt.