Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.

AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

EDSA: Anforderungen an die Ablehnungsmöglichkeit für Cookies – Ist ein Link im Fließtext ok?

Am 17.1.2023 hat der EDSA seinen Bericht zur Arbeit der „Cookie Banner Taskforce“ veröffentlicht (PDF). Der Bericht und die dort abgestimmten Positionen zur Anwendung der ePrivacy Richtlinie (bzw. nationaler Umsetzungen, also in Deutschland des TTDSG), ist vor allem deshalb relevant, weil es im Anwendungsbereich der ePrivacy Richtlinie keinen One Stop Shop Mechanismus gibt. Das bedeutet, dass es für die Aufsichtsbehörden keine Pflicht gibt, bei grenzüberschreitenden oder EU-weit relevanten Verarbeitungen eine Abstimmung innerhalb Europas vorzunehmen. Über die Festlegungen in dem Bericht erfolgt nun aber eine, aus Sicht der Praxis begrüßenswerte, abgestimmte Positionierung zu einigen Aspekten.

Verhältnis zwischen ePrivacy Richtlinie und DSGVO

Zur Abgrenzung zwischen der ePrivacy Richtlinie (TTDSG in Deutschland) und der DSGVO stellen die Aufsichtsbehörden fest, dass für die von einem Verantwortlichen „vorgenommenen Folgeverarbeitungen“, also Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen, die im Endgerät eines Nutzers gespeichert sind, erfolgen (z.B. das Setzen oder Lesen von Cookies), der anwendbare Rahmen die DSGVO ist.

Der Dauerbrenner: Ablehnungsmöglichkeit auf erster Ebene

Zudem setzt sich der Bericht auch mit der schon lange diskutierten Frage auseinander, wie eine Ablehnungsmöglichkeit in einem Cookies Banner oder einer CMP ausgestaltet sein muss, damit die Einwilligung wirksam eingeholt werden kann.

Die Mitglieder der Taskforce waren sich einig, dass die folgenden Beispiele nicht zu gültigen Einwilligungen führen:

  • Die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabschnitt im Cookie-Banner, ohne ausreichende visuelle Unterstützung, um die Aufmerksamkeit eines durchschnittlichen Nutzers auf diese alternative Handlung aufmerksam zu machen;
  • die einzige angebotene Handlungsalternative (außer der Erteilung der Einwilligung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, die außerhalb des Cookie-Banners platziert sind, ohne eine ausreichende visuelle Unterstützung um die Aufmerksamkeit der Nutzer auf diese alternative Aktion außerhalb des Rahmens zu lenken;

Der EDSA verlangt also eine Ablehnungsmöglichkeit (genauer müsste man sagen, eine Möglichkeit, die Einwilligung nicht zu erteilen), auf der ersten Ebene. Zudem muss auf diese Möglichkeit auch irgendwie deutlich hingewiesen werden.

Gleichzeitig verlangt der EDSA in dem Bericht aber nicht, dass etwa Schaltflächen eins zu eins gleich gestaltet sein müssen. Nicht ausreichend ist nach Ansicht des EDSA eine Ablehnungsmöglichkeit in einem Fließtext, wenn auf diese nicht hervorgehoben hingewiesen wird.

Hieraus lässt sich wohl ableiten, dass die Ablehnungsmöglichkeit durchaus zulässig in einem Fließtext eingebettet sein darf, wenn sie besonders hervorgehoben ist und sich vom restlichen Text abhebt (also nicht versteckt wird). Also etwa durch Fettdruck, Unterstreichung oder eine andere Farbe.

Datenschutzbehörde Brandenburg: „Einstellungen oder ablehnen“-Button im Cookie-Banner ist nicht ausreichend

Die korrekte (bzw. rechtskonforme) Ausgestaltung von Consent Management Plattformen (und auch von Cookie-Bannern) zur Einholung von Einwilligungen für den Einsatz von Cookies und anderen Tracking-Technologien ist bereits seit einiger Zeit in der Diskussion.

In ihrem jüngsten Tätigkeitsbericht 2021 (PDF) äußert sich die Landesdatenschutzbehörde Brandenburg (LDA) unter anderem auch zu diesem Thema. Das LDA informiert dort (Ziffer 4) über die Prüfung eines brandenburgischen Medienunternehmens im Rahmen der koordinierten Prüfung von Webseiten verschiedener Medienunternehmen in Deutschland.

Eine Anforderung des LDA für eine wirksame Einwilligung nach Art. 7 DSGVO ist, dass diese freiwillig abgegeben wird. Hierfür verlangt das LDA:

Hiervon kann im Kontext der Ausgestaltung des Cookie-Banners nur ausgegangen werden, wenn eine wirkliche Wahl besteht, der Datenverarbeitung zuzustimmen oder diese abzulehnen.“

Dieses Merkmal wird nach Ansicht des LDA jedoch unter gewissen Umständen nicht erfüllt. Insbesondere dann nicht, wenn keine wirkliche Wahlmöglichkeit für Betroffene besteht. Dies ist nach Ansicht des LDA der Fall, wenn eine „eindeutige Ablehnungsmöglichkeit“ auf der ersten Ebene des Cookie-Banners fehlt. Dann

„gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam.“

Das LDA stellt hierbei insbesondere darauf ab, ob die Ablehnung einen Mehraufwand (im Vergleich zur Erteilung der Einwilligung) erfordert. Was nach Ansicht des LDA ein solcher Mehraufwand ist, wird ebenfalls erläutert:

„Der Mehraufwand besteht dabei nicht nur darin, dass die betroffene Person, die eine Ablehnung äußern möchte, einmal mehr klicken muss als für die Zustimmung. Vielmehr müssen die weiteren Informationen und Einstellungsmöglichkeiten, mit denen sie auf einer zweiten Ebene des Einwilligungsdialoges konfrontiert wird, lesen, nachvollziehen und dann unter den weiteren Optionen die richtige auswählen.“

Ein solcher Mehraufwand stelle einen spürbaren Nachteil für die Betroffenen dar und die Einwilligung wäre in diesem Fall nicht wirksam erteilt.

Konkret schildert das LDA dann die Erfahrungen aus der Prüfung eines Unternehmens in Brandenburg.

Das Unternehmen fragte, ob eine Abwandlung des Cookie-Banners – nämlich die Änderung der Bezeichnung der Schaltfläche „Optionen“ in „Einstellungen oder ablehnen“ – eine datenschutzgerechte Verarbeitung ermöglichen würde.

Die Ansicht des LDA:

Auch hier wiesen wir den Verantwortlichen darauf hin, dass diese Form des Einwilligungsdialoges ebenso zu einem spürbaren Nachteil und Mehraufwand für die betroffenen Personen führt und dazu dient, in treuwidriger Art und Weise Einfluss auf sie zu nehmen.“

Das LDA verlangt, dass eine Schaltfläche auf erster Ebene des Cookie-Banners eingerichtet wird, mit der Nutzer den Einsatz von einwilligungsbedürftigen Cookies und Tracking-Maßnahmen sowie die Einbindung von Drittdiensten ablehnen können.

Wie genau diese Schaltfläche grafisch ausgestaltet werden muss, wird nicht beschrieben. Hier dürften in der Praxis also weiterhin verschiedenste Gestaltungsoptionen für Unternehmen in Betracht kommen.

Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Französischer Staatsrat: One-stop-shop gilt nicht für das Setzen von Cookies – Geteilte Zuständigkeit für Trackingverfahren?

Die französische Datenschutzbehörde (CNIL) hat eine Pressemitteilung zu einem Urteil des Conseil d’État veröffentlicht (Englisch). Das urteil betrifft ein Verfahren von Google gegen eine Entscheidung der CNIL zur Unzulässigkeit des Einsatzes von Cookies.

Spannend an der Entscheidung ist u.a. die Entscheidung zur Frage der Zuständigkeit der CNIL.

Hier einige Auszüge aus der Pressemitteilung (inoffizielle Übersetzung):

In seinem Urteil vom 28. Januar 2022 hat der Staatsrat anerkannt, dass die CNIL befugt ist, Sanktionen in Bezug auf Cookies außerhalb des in der DSGVO vorgesehenen „One-Stop-Shop“-Mechanismus zu verhängen, und hat daher die von der CNIL gegen die Unternehmen GOOGLE LLC und GOOGLE IRELAND LIMITED verhängte Sanktion bestätigt.“

Der Staatsrat hat bestätigt, dass der in der DSGVO vorgesehene „One-Stop-Shop“-Mechanismus nicht für die Hinterlegung von Cookies gilt, die durch das französische Datenschutzgesetz abgedeckt ist.

Diese Ansicht ist von praktischer Relevanz, da sie zu einer Situation führen könnte, in der die Zuständigkeit für das Platzieren von Cookies (Speicherung von Informationen iSd Art. 5 Abs. 3 ePrivacy Richtlinie) und den Zugriff auf Informationen gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie bei den einzelnen nationalen Behörden liegt, die weitere Verarbeitung derselben (personenbezogenen) Daten (außerhalb des Anwendungsbereichs der ePrivacy Richtlinie) jedoch unter die DSGVO und den OSS Mechanismus fallen würde, so die Voraussetzungen erfüllt sind.

Im Grunde würde also ein technischer Prozess bzw. Lebenssachverhalt auf der Ebene der Zuständigkeit und damit auch auf der Ebene der Durchsetzung aufgeteilt werden. Die Grenze könnte dort verlaufen, wo der Anwendungsbereich der ePrivacy Richtlinie (in Deutschland, das TTDSG) verlassen wird und allein die DSGVO zu beachten ist. Aus Sicht von Unternehmen könnte dies bedeuten, dass man keiner einheitlichen behördlichen Aufsicht für einen Verarbeitungsprozess im Rahmen des Einsatzes von Trackingtechnologien unterliegt, sondern in einem Prüf- oder Sanktionsverfahren zwei europäische Aufsichtsbehörden auf den Plan treten. Und eventuell auch unterschiedliche Ansichten vertreten.

§ 25 TTDSG – wem gegenüber ist eigentlich eine Einwilligung für Cookies zu erteilen?

Über das neue TTDSG und dort den § 25 TTDSG, habe ich schon einige Male berichtet. Heute möchte ich eine zunächst simpel anmutende Frage aufwerfen, die bei näherer Betrachtung eventuell nicht so einfach zu beantworten ist: wem gegenüber (also welcher Stelle) ist eine Einwilligung nach § 25 Abs. 1 TTDSG zu erteilen?

Man könnte meinen, dass das doch der Verantwortliche nach der DSGVO sein muss. Ganz klar. Vorab: es existieren verschiedenste Auslegungsmöglichkeiten. Und meines Erachtens ist es nicht zwingend der Verantwortliche nach der DSGVO.

Gesetzeswortlaut

Zunächst hilft natürlich (vermeintlich) immer der Blick ins Gesetz. § 25 Abs. 1 TTDSG lautet: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen“.

Die europäische Grundlage, Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie, lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Beim Lesen beider Vorschriften wird deutlich: es wird nicht spezifiziert, wem gegenüber die Einwilligung zu erteilen ist. Ich meine hier nicht (nur) die faktische Abgabe gegenüber einer Stelle, sondern die legitimierende Zielrichtung der Einwilligung. Welche Stelle muss also im Einwilligungstext stehen und sich auf die Wirkung der Einwilligung berufen, damit sie auf das Endgerät zugreifen kann?

Planet49-Verfahren

Sowohl in den Schlussanträgen als auch im Urteil des EuGH in der Rechtssache C-673/17 wird oft auf den „Diensteanbieter“ abgestellt.

Schlussanträge, etwa Rz. 111: „Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.“ und Rz. 117: „Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“.“.

Urteil, etwa Rz. 81: „Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“.

Der Begriff „Diensteanbeiter“ wird in Art. 5 Abs. 3 ePrivacy-Richtlinie aber nicht verwendet. Auch findet sich in der RL 2002/58/EG keine Definition dieses Begriffs. Ich vermute eher, dass sowohl der Generalanwalt als auch der EuGH hier die Begrifflichkeiten der damaligen Vorschriften des TMG (insb. aus § 15 Abs. 3 TMG) aus den Vorlagefragen des BGH übernommen haben. Dort war vom „Diensteanbieter“ die Rede.

Legt man diesen Begriff als Einwilligungsadressaten fest (wie gesagt, ohne, dass sich dies aus dem Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie ergibt), so müsste man sich an der Legaldefinition des § 2 Nr. 1 TMG orientieren, der wiederum eine Umsetzung von Art. 2 lit. b der eCommerce-Richtlinie (2000/31/EG) darstellt. „Diensteanbieter“ ist danach jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet.

Folgt man diesem Weg, würde dies aber bedeuten, dass eine Einwilligung eventuell dem Betreiber einer Webseite gegenüber erteilt werden muss, obwohl dieser selbst gar keine Cookies, Tags oder ähnliches einsetzt, sondern dies durch Dritte auf der Webseite durchgeführt wird. Er es diesen Dritten also „nur“ erlaubt. Die Konsequenz wäre dann, dass Nutzer diesen Dritten gegenüber keine Einwilligung erteilen müssten/könnten, sondern dem Betreiber der Webseite. Im Ergebnis erscheint dies aber wenig sinnvoll, da der Webseitenbetreiber, wenn er das Cookie nicht selbst setzt und den Zugriff auf das Endgerät nicht steuert, keine Einwirkungsmöglichkeit auf das Tracking hat, außer dieses technisch komplett zu unterbinden, indem er den Dritten „aussperrt“. Zudem spricht gegen diese Auslegung schlicht der Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie.

EDSA und alte Art. 29 Datenschutzgruppe

In der Vergangenheit haben sich bereits der EDSA und auch die Art. 29 Datenschutzgruppe mit der Frage befasst, für wen die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie gelten; welche Stellen sie also verpflichten.

In seiner Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO geht der EDSA wohl von einem weiten Anwendungsbereich der Vorschrift aus. Dort heißt es in Rz. 28: „Im Lichte dieser Zielsetzung gelten Artikel 5 Absatz 3 und Artikel 13 der e-Datenschutz-Richtlinie für Anbieter elektronischer Kommunikationsdienste wie auch für Betreiber von Websites (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing)“. Die Öffnung erfolgt am Ende durch „oder andere Unternehmen“. Der EDSA begrenzt den Adressatenkreis des Art. 5 Abs. 3 ePrivacy-Richtlinie ausdrücklich nur auf Betreiber einer Webseite.

Noch deutlicher war hier in der Vergangenheit die Art. 29 Datenschutzgruppe. In der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting führen die Aufsichtsbehörden auf S. 11 aus: „Darüber hinaus findet Artikel 5 Absatz 3 unabhängig davon Anwendung, ob es sich bei der das Cookie platzierenden Stelle um einen für die Verarbeitung Verantwortlichen oder um einen Auftragsverarbeiter handelt“. Diese Ansicht ist meines Erachtens zutreffen. Zum einen kennt die ePrivacy-Richtlinie nicht die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“. Zum anderen dient Art. 5 Abs. 3 ePrivacy-richtlinie auch nicht dem Schutz personenbezogener Daten (deren Verarbeitung aber zwingend notwendig ist, damit etwa ein Verantwortlicher nach der alten DS-RL oder jetzt der DSGVO existiert). Diese Auslegungen sind also eher weit und beschränken sich vor allem nicht allein auf einen „Diensteanbieter“ oder Betreiber einer Webseite. Ganz deutlich wird dies auf S. 13 der Stellungnahme 2/2010: „die Verpflichtungen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation finden auf diejenigen Anwendung, die Cookies auf den Endgeräten der betroffenen Personen platzieren und/oder Informationen von Cookies abrufen, die bereits auf diesen Geräten gespeichert sind“. Die Art. 29 Datenschutzgruppe folgt hier einem faktischen Ansatz: diejenige Stelle, die auf Informationen zugreift oder Informationen ablegt ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet. Ihr gegenüber muss die Einwilligung Wirkung entfalten.

Orientierungshilfen der DSK und des BayLfD

Spannend sind zudem noch die jüngsten Ansichten der deutschen Behörden.

Auf S. 4 der Orientierungshilfe der DSK aus Dezember 2021 heißt es: „Adressaten des TTDSG sind neben den Anbieter:innen von Telekommunikationsdiensten vor allem Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG“. Und speziell zur Einwilligung nach § 25 Abs. 1 TTDSG auf S. 19: „Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes“. Die DSK scheint also, durchaus entsprechend der nationalen Vorgabe und Definition des Begriffs im TTDSG, eine einschränkende Auslegung vorzunehmen. Verantwortlich soll der Anbieter des Telemedienangebots sein. Diese Auslegung dürfte für das TTDSG rein national nachvollziehbar sein. Die Frage ist aber, ob sie europarechtlich zwingend und vor allem mit Art. 5 Abs. 3 ePrivacy-Richltinie konform ist. Denn stellt man allein auf den Anbieter des Telemedienangebots ab, würde man (etwa anders als die damalige Art. 29 Gruppe) solche Stellen ausschließen, dass das Telemedien nicht anbieten, aber dennoch auf diesem Cookies setzen oder anderes Tracking durchführen.

Oder anders ausgedrückt und mE für die Praxis extrem relevant: soll das bedeuten, dass der App- oder Webseiten-Betreiber dafür verantwortlich ist, dass ihm und/oder dem das Cookie platzierenden Dritten gegenüber eine wirksame Einwilligung abgegeben wird, obwohl er nicht die Stelle ist, die im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie auf Informationen zugreift oder solche im Endgerät ablegt?

Und zum Abschluss möchte ich dann auf die, meines Erachtens eventuell im Ergebnis nicht unbedingt zur DSK abweichende, aber doch schon inhaltlich deutlichere Ansicht des BayLfD in seiner neuen Orientierungshilfe zum TTDSG eingehen. Dort heißt es in Rz. 24: „Folgerichtig ist auch der Adressatenkreis der durch die Endnutzerin oder den Endnutzer erteilten Einwilligungen beziehungsweise der Ausnahmen von der Einwilligungspflicht nach § 25 Abs. 2 TTDSG nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt, deren Dienste die Endnutzerin oder der Endnutzer unmittelbar in Anspruch nimmt“. Ja, richtig: „nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt“! Das scheint mit eine andere Auslegung, als jene der DSK. Nämlich eher im Sinne des Wortlauts von Art. 5 Abs. 3 ePrivacy-Richtlinie. Der BayLfD gesetht in Rz. 25 aber auch zu, dass faktisch Telemedienanbieter die Hauptadressaten der Norm (§ 25 TTDSG) sind.

Fazit

Ich habe hier nur auszugsweise einige Quellen und Materialien kurz zusammengefasst. Allein auf dieser Basis zeigt sich bereits das Spektrum an Auslegungen. Die Frage, wem gegenüber inhaltlich die Einwilligung nach § 25 TTDSG zu erteilen ist, hat in der Praxis aus meiner Sicht aber extreme Relevanz. Allein wenn man an die Gestaltung von Cookie-Bannern oder ein CMP denkt. Sind wir gespannt, wie sich die Anwendung in der Praxis entwickelt.

Cookie-Einwilligung: Ist die Information, dass Dritte keinen (!) Zugriff auf Cookies haben, zwingend erforderlich?

Nach § 25 Abs. 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (Hervorhebung durch mich)

Diese Information des Endnutzers und die Einwilligung haben gemäß Satz 2 nach der DSGVO zu erfolgen.

Wenn nun Unternehmen darüber nachdenken, ihre Produkte, Apps und Webseiten diesen Vorgaben anzupassen, wird sich unweigerlich die Frage stellen, welche „umfassenden Informationen“ hier zu erteilen sind?

Da § 25 TTDSG auf Art. 5 Abs. 3 ePrivacy-Richtlinie beruht, lohnt sich natürlich ein Blick in die Rechtsprechung des EuGH zu dieser Vorschrift. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist geregelt: „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

In dem Planet49 Verfahren (C-673/17) haben sich sowohl der Generalanwalt (Schlussanträge) als auch danach der EuGH (Urteil) mit der Frage auseinandergesetzt, welche Angaben unter den „klaren und umfassenden Informationen“ zu verstehen sind.

Was gilt, wenn keine personenbezogenen Daten vorliegen?

Sowohl der Generalanwalt als auch der EuGH verweisen für die Informationspflichten auf die entsprechenden Vorgaben der alten DS-RL und der DSGVO (dort: 13, 14 DSGVO). Hier dürfte bereits eine erste Anmerkung wichtig sein: in dem Verfahren ist der EuGH davon ausgegangen, dass personenbezogene Daten vorlagen. Daher war es auch kein Problem, auf Artt. 13, 14 DSGVO zu verweisen. Für die Praxis interessant ist aber sicher die Frage, ob man die Informationspflichten der DSGVO auch (entsprechend) beachten muss, wenn „nur“ Informationen und noch keine personenbezogenen Daten verarbeitet werden.

Zwei mögliche Lösungsansätze: entweder, man geht davon aus, dass die DSGVO mangels personenbezogener Daten keine Anwendung findet. Oder man wendet die Informationspflichten auf „Informationen“ nach der ePrivacy-Richtlinie zumindest entsprechend. Ich würde eher zur zweiten Sichtweise tendieren. Schlicht aus dem Grund, weil Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie für die zu erteilenden Informationen ausdrücklich auf die alte DS-RL und damit (nach Art. 94 DSGVO) jetzt auf die DSGVO verweist.

Spezifische Anforderungen an „klare und umfassende Informationen“ bei Cookies?

Sowohl der Generalanwalt als auch der EuGH gehen mithin davon aus, dass die allgemeinen Informationspflichten der Art. 13, 14 DSGVO zu erfüllen sind. Etwa in einer Datenschutzerklärung.

Spannend sind jedoch cookie-spezifsche Informationspflichten, die zusätzlich erfüllt werden müssen.

„Klare und umfassende Informationen“ bedeutet nach Ansicht des Generalanwalts, dass „ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln“. Und, speziell mit Blick auf Cookies: „Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen“ (Rz. 115)

Und hiervon sind zwei spezielle Merkmale umfasst:

  • die Funktionsdauer der Cookies
  • die Frage, ob Dritte auf die Cookies Zugriff erhalten (Rz. 116)

Das Merkmal der „Funktionsdauer“ erhebt der Generalanwalt sogar zum Bestandteil einer wirksamen Einwilligung. Nach seiner Ansicht hängt die Funktionsdauer des Cookies „mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen“ (Hervorhebung durch mich; Rz. 118).

Die Frage, ob Dritte Zugriff auf verwendete Cookies haben oder nicht, scheint aus Sicht des Generalanwalts im Grunde auch zur Einwilligung selbst zu gehören. Praxisrelevant ist die Ansicht des Generalanwalts vor allem deshalb, da er fordert, dass Nutzer „ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht“ (Rz. 120). Dem Generalanwalt reicht es ausdrücklich gerade nicht aus, nur dann zu informieren, wenn tatsächlich ein Zugriff durch Dritte erfolgt. Er verlangt, dass auch eine Negativ-Information erteilt wird, dass ein solcher Zugriff nicht erfolgt.

Interessanterweise verlangt der EuGH ebenfalls, dass beide oben benannten cookie-spezifischen Informationen erteilt werden. Jedoch verknüpft er diese Anforderung sehr konkret mit dem zu beurteilenden Fall und den Zwecken der Cookies: es geht um „Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen“. Nach dem EuGH „zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ (Rz. 75) in diesem Fall zu den zu erteilenden umfassenden Informationen. Bedeutet: wenn man denn möchte, könnte man bei dem Einsatz von Cookies für andere Zwecke (zB statistische Analyse) argumentieren, dass dann nicht die strengen cookie-spezifischen Vorgaben gelten.

Das Merkmal „Funktionsdauer der Cookies“ verortet der EuGH in Art. 13 Abs. 2 lit. a DSGVO: danach sind Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, zu erteilen.

Interessant und meines Erachtens eventuell abweichend vom Generalanwalt ist die Ansicht des EuGH zu dem Merkmal, „ob Dritte auf die Cookies Zugriff erhalten“. Der EuGH verweist hierzu auf Art. 13 lit. e DSGVO „denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt“ (Rz. 80). Der Unterschied zur Ansicht des Generalanwalts ist, dass der EuGH nicht ausdrücklich verlangt, dass auch negativ informiert werden muss, wenn kein Zugriff erfolgt. Er bestätigt, dass Informationen dazu, „ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“ (Rz. 81). Durch den Verweis auf die DSGVO-Informationspflicht bzgl. der Empfänger kann man meines Erachtens aber argumentieren, dass dies allein eine positive Information umfasst. Wenn also tatsächlich Zugriffe auf die Cookies stattfinden (übertragen auf DSGVO: wenn Empfänger vorhanden sind). Denn Art. 13 Abs. 2 lit. e DSGVO verpflichtet gerade nicht dazu, auch zu informieren, wenn keine Empfänger vorhanden sind.

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.