Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Französischer Staatsrat: One-stop-shop gilt nicht für das Setzen von Cookies – Geteilte Zuständigkeit für Trackingverfahren?

Die französische Datenschutzbehörde (CNIL) hat eine Pressemitteilung zu einem Urteil des Conseil d’État veröffentlicht (Englisch). Das urteil betrifft ein Verfahren von Google gegen eine Entscheidung der CNIL zur Unzulässigkeit des Einsatzes von Cookies.

Spannend an der Entscheidung ist u.a. die Entscheidung zur Frage der Zuständigkeit der CNIL.

Hier einige Auszüge aus der Pressemitteilung (inoffizielle Übersetzung):

In seinem Urteil vom 28. Januar 2022 hat der Staatsrat anerkannt, dass die CNIL befugt ist, Sanktionen in Bezug auf Cookies außerhalb des in der DSGVO vorgesehenen „One-Stop-Shop“-Mechanismus zu verhängen, und hat daher die von der CNIL gegen die Unternehmen GOOGLE LLC und GOOGLE IRELAND LIMITED verhängte Sanktion bestätigt.“

Der Staatsrat hat bestätigt, dass der in der DSGVO vorgesehene „One-Stop-Shop“-Mechanismus nicht für die Hinterlegung von Cookies gilt, die durch das französische Datenschutzgesetz abgedeckt ist.

Diese Ansicht ist von praktischer Relevanz, da sie zu einer Situation führen könnte, in der die Zuständigkeit für das Platzieren von Cookies (Speicherung von Informationen iSd Art. 5 Abs. 3 ePrivacy Richtlinie) und den Zugriff auf Informationen gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie bei den einzelnen nationalen Behörden liegt, die weitere Verarbeitung derselben (personenbezogenen) Daten (außerhalb des Anwendungsbereichs der ePrivacy Richtlinie) jedoch unter die DSGVO und den OSS Mechanismus fallen würde, so die Voraussetzungen erfüllt sind.

Im Grunde würde also ein technischer Prozess bzw. Lebenssachverhalt auf der Ebene der Zuständigkeit und damit auch auf der Ebene der Durchsetzung aufgeteilt werden. Die Grenze könnte dort verlaufen, wo der Anwendungsbereich der ePrivacy Richtlinie (in Deutschland, das TTDSG) verlassen wird und allein die DSGVO zu beachten ist. Aus Sicht von Unternehmen könnte dies bedeuten, dass man keiner einheitlichen behördlichen Aufsicht für einen Verarbeitungsprozess im Rahmen des Einsatzes von Trackingtechnologien unterliegt, sondern in einem Prüf- oder Sanktionsverfahren zwei europäische Aufsichtsbehörden auf den Plan treten. Und eventuell auch unterschiedliche Ansichten vertreten.

EDSA: Erfüllung der Rechenschaftspflicht unter anderem mit A/B Tests möglich

Die Rechenschaftspflicht der DSGVO, insbesondere in Art. 5 Abs. 2 DSGVO, ist quasi omnipräsent und gleichzeitig doch so wenig konkret und fassbar. Danach ist der Verantwortliche für die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Wie konkret diese Rechenschaftspflicht, in der Form als Nachweispflicht, zu erfüllen ist, wird nicht vorgegeben. Aus praktischer Sicht, bieten sich daher durchaus unkonventionelle Wege an.

Auch der EDSA sieht die Möglichkeit, die Rechenschaftspflicht nicht nur durch eine „klassische“ Datenschutzdokumentation zu erfüllen. In seinen Leitlinien zur Transparenz (WP 260 rev01, pdf) geht der EDSA davon aus, dass die Einhaltung der Vorgaben der Informationspflichten auch durch Anwendertests nachgewiesen werden können.

Rz. 25: „Als Hilfestellung zur Festlegung der geeignetsten Art und Weise für die Bereitstellung der Informationen können die Verantwortlichen vor dem „Going Live“ verschiedene Vorgehensweisen ausprobieren mit Anwendertests (d. h. Auditoriumtests oder sonstige Standardtests der Verständlichkeit oder Zugänglichkeit), um so Rückmeldungen zu erhalten, wie zugänglich, verständlich und komfortabel die vorgeschlagene Maßnahme für die Nutzer ist.

Und spezifisch zur Rechenschaftspflicht: „Eine Dokumentation dieses Ansatzes sollte für die Verantwortlichen auch im Hinblick auf die Erfordernisse der Rechenschaftspflicht hilfreich sein, denn so lässt sich zeigen, wieso das gewählte Instrument / die gewählte Herangehensweise zur Informationsübermittlung unter den gegebenen Umständen besonders zweckdienlich ist.

Der EDSA sieht hier klar die Möglichkeit, dass durch interne Tests mit dem potentiellen Zielpublikum die Rechenschaftspflicht der DSGVO auch (mit)erfüllt werden kann. Diese Überlegungen des EDSA kann man sicher auch auf andere Pflichten der DSGVO übertragen. Über eine Dokumentation der internen Tests kann ein Verantwortlicher nachweisen, wie er den Anforderungen der DSGVO nachgekommen ist.

Oberlandesgericht Dresden: Gesetzliche Aufbewahrungspflichten müssen für das einzelne Datum in Dokumenten geprüft werden

In seinem Urteil vom 14.12.2021 (Az 4 U 1278/21) befasst sich das Gericht u.a. mit der Frage, ob nationale Pflichten zur Aufbewahrung von Dokumenten als Rechtsgrundlage für eine weitere Speicherung jeglicher in den Dokumenten enthaltenen Daten dienen können.

Nach Auffassung des Gerichts stellen gesetzliche Aufbewahrungspflichten keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen.

es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.“

Konkret befasst sich das Gericht auch mit einer möglichen Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der nationalen Regelung des § 147 AO. Nach dieser Regelung ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.

Die Datenverarbeitung könne zwar erforderlich sein, um Dokumentationspflichten z. B. nach § 147 AO zu erfüllen.

Die Erlaubnis zur Datenverarbeitung ist jedoch nach Ansicht des OLG auf die Erfüllung der jeweiligen gesetzlichen Pflicht beschränkt. Von der Aufbewahrungspflicht erfasst sind die gesamte, den betrieblichen Bereich des Kaufmanns betreffende Korrespondenz, soweit sie sich auf die Vorbereitung, Durchführung oder Rückgängigmachung eines Handelsgeschäftes bezieht, also z. B. Aufträge, Auftragsbestätigungen, Lieferscheine, Frachtbriefe oder Rechnungen.

Das OLG verweist hier darauf, dass es auf die Form der Korrespondenz nicht ankommt, so dass Briefe im Sinne der Vorschrift auch Telefaxe, Telegramme, E-Mails und auch andere durch Datenübertragung übersendete Nachrichten sind.

Die gesetzlichen Aufbewahrungspflichten gemäß § 147 AO werden von der Löschungspflicht aber nicht berührt. Nach Ansicht des OLG sind im vorliegenden Fall die Beklagten nicht verpflichtet die geschäftliche Korrespondenz zu löschen. Ihre Löschungspflicht beschränkt sich auf den Namen, die Anschrift und das Geburtsdatum des Klägers, und damit auf die Daten, mit denen er eindeutig identifiziert werden kann. HIer wird deutlich, dass das Gericht die Löschpflicht (und damit im Gegensatz dazu die legitimierende Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO) datumsbezogen versteht.

Das Gericht betrachtet folglich nicht das Dokument an sich (mit allen dort enthaltenen Daten) und knüpft daran eine mögliche Pflicht zur weiteren Speicherung der enthaltenen Daten. Sondern das Gericht verlangt wohl eine Prüfung der Rechtsgrundlge für jedes in dem Dokument enthaltene Datum.

Enthalten elektronisch gespeicherte Datenbestände nicht aufzeichnungs- und aufbewahrungspflichtige, personenbezogene oder dem Berufsgeheimnis unterliegende Daten, so obliegt es dem Steuerpflichtigen, die Datenbestände so zu organisieren, dass der Prüfer nur auf die aufzeichnungspflichtige – und aufbewahrungspflichtige Daten zugreifen kann“.

Dies könne in der Praxis z. B. durch geeignete Zugriffsbeschränkungen oder „digitales Schwärzen“ der zu schützenden Information erfolgen.

Die Entscheidung des Gerichts ist praktisch relevant, da sie datenverarbeitende Stellen vor die Herausforderung stellt, Aufbewahrungspflichten nicht allein anhand von Dokumenten zu prüfen, sondern in dem Dokument jedes Datum näher zu betrachten und ggfs. entsprechene Maßnahmen zur Löschung, zB als Schwärzung, zu ergreifen.

§ 25 TTDSG – wem gegenüber ist eigentlich eine Einwilligung für Cookies zu erteilen?

Über das neue TTDSG und dort den § 25 TTDSG, habe ich schon einige Male berichtet. Heute möchte ich eine zunächst simpel anmutende Frage aufwerfen, die bei näherer Betrachtung eventuell nicht so einfach zu beantworten ist: wem gegenüber (also welcher Stelle) ist eine Einwilligung nach § 25 Abs. 1 TTDSG zu erteilen?

Man könnte meinen, dass das doch der Verantwortliche nach der DSGVO sein muss. Ganz klar. Vorab: es existieren verschiedenste Auslegungsmöglichkeiten. Und meines Erachtens ist es nicht zwingend der Verantwortliche nach der DSGVO.

Gesetzeswortlaut

Zunächst hilft natürlich (vermeintlich) immer der Blick ins Gesetz. § 25 Abs. 1 TTDSG lautet: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen“.

Die europäische Grundlage, Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie, lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

Beim Lesen beider Vorschriften wird deutlich: es wird nicht spezifiziert, wem gegenüber die Einwilligung zu erteilen ist. Ich meine hier nicht (nur) die faktische Abgabe gegenüber einer Stelle, sondern die legitimierende Zielrichtung der Einwilligung. Welche Stelle muss also im Einwilligungstext stehen und sich auf die Wirkung der Einwilligung berufen, damit sie auf das Endgerät zugreifen kann?

Planet49-Verfahren

Sowohl in den Schlussanträgen als auch im Urteil des EuGH in der Rechtssache C-673/17 wird oft auf den „Diensteanbieter“ abgestellt.

Schlussanträge, etwa Rz. 111: „Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.“ und Rz. 117: „Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“.“.

Urteil, etwa Rz. 81: „Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 3 der Richtlinie 2002/58 dahin auszulegen ist, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“.

Der Begriff „Diensteanbeiter“ wird in Art. 5 Abs. 3 ePrivacy-Richtlinie aber nicht verwendet. Auch findet sich in der RL 2002/58/EG keine Definition dieses Begriffs. Ich vermute eher, dass sowohl der Generalanwalt als auch der EuGH hier die Begrifflichkeiten der damaligen Vorschriften des TMG (insb. aus § 15 Abs. 3 TMG) aus den Vorlagefragen des BGH übernommen haben. Dort war vom „Diensteanbieter“ die Rede.

Legt man diesen Begriff als Einwilligungsadressaten fest (wie gesagt, ohne, dass sich dies aus dem Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie ergibt), so müsste man sich an der Legaldefinition des § 2 Nr. 1 TMG orientieren, der wiederum eine Umsetzung von Art. 2 lit. b der eCommerce-Richtlinie (2000/31/EG) darstellt. „Diensteanbieter“ ist danach jede natürliche oder juristische Person, die einen Dienst der Informationsgesellschaft anbietet.

Folgt man diesem Weg, würde dies aber bedeuten, dass eine Einwilligung eventuell dem Betreiber einer Webseite gegenüber erteilt werden muss, obwohl dieser selbst gar keine Cookies, Tags oder ähnliches einsetzt, sondern dies durch Dritte auf der Webseite durchgeführt wird. Er es diesen Dritten also „nur“ erlaubt. Die Konsequenz wäre dann, dass Nutzer diesen Dritten gegenüber keine Einwilligung erteilen müssten/könnten, sondern dem Betreiber der Webseite. Im Ergebnis erscheint dies aber wenig sinnvoll, da der Webseitenbetreiber, wenn er das Cookie nicht selbst setzt und den Zugriff auf das Endgerät nicht steuert, keine Einwirkungsmöglichkeit auf das Tracking hat, außer dieses technisch komplett zu unterbinden, indem er den Dritten „aussperrt“. Zudem spricht gegen diese Auslegung schlicht der Wortlaut von Art. 5 Abs. 3 ePrivacy-Richtlinie.

EDSA und alte Art. 29 Datenschutzgruppe

In der Vergangenheit haben sich bereits der EDSA und auch die Art. 29 Datenschutzgruppe mit der Frage befasst, für wen die Vorgaben des Art. 5 Abs. 3 ePrivacy-Richtlinie gelten; welche Stellen sie also verpflichten.

In seiner Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO geht der EDSA wohl von einem weiten Anwendungsbereich der Vorschrift aus. Dort heißt es in Rz. 28: „Im Lichte dieser Zielsetzung gelten Artikel 5 Absatz 3 und Artikel 13 der e-Datenschutz-Richtlinie für Anbieter elektronischer Kommunikationsdienste wie auch für Betreiber von Websites (z. B. für Cookies) oder andere Unternehmen (z. B. für Direktmarketing)“. Die Öffnung erfolgt am Ende durch „oder andere Unternehmen“. Der EDSA begrenzt den Adressatenkreis des Art. 5 Abs. 3 ePrivacy-Richtlinie ausdrücklich nur auf Betreiber einer Webseite.

Noch deutlicher war hier in der Vergangenheit die Art. 29 Datenschutzgruppe. In der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting führen die Aufsichtsbehörden auf S. 11 aus: „Darüber hinaus findet Artikel 5 Absatz 3 unabhängig davon Anwendung, ob es sich bei der das Cookie platzierenden Stelle um einen für die Verarbeitung Verantwortlichen oder um einen Auftragsverarbeiter handelt“. Diese Ansicht ist meines Erachtens zutreffen. Zum einen kennt die ePrivacy-Richtlinie nicht die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“. Zum anderen dient Art. 5 Abs. 3 ePrivacy-richtlinie auch nicht dem Schutz personenbezogener Daten (deren Verarbeitung aber zwingend notwendig ist, damit etwa ein Verantwortlicher nach der alten DS-RL oder jetzt der DSGVO existiert). Diese Auslegungen sind also eher weit und beschränken sich vor allem nicht allein auf einen „Diensteanbieter“ oder Betreiber einer Webseite. Ganz deutlich wird dies auf S. 13 der Stellungnahme 2/2010: „die Verpflichtungen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation finden auf diejenigen Anwendung, die Cookies auf den Endgeräten der betroffenen Personen platzieren und/oder Informationen von Cookies abrufen, die bereits auf diesen Geräten gespeichert sind“. Die Art. 29 Datenschutzgruppe folgt hier einem faktischen Ansatz: diejenige Stelle, die auf Informationen zugreift oder Informationen ablegt ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet. Ihr gegenüber muss die Einwilligung Wirkung entfalten.

Orientierungshilfen der DSK und des BayLfD

Spannend sind zudem noch die jüngsten Ansichten der deutschen Behörden.

Auf S. 4 der Orientierungshilfe der DSK aus Dezember 2021 heißt es: „Adressaten des TTDSG sind neben den Anbieter:innen von Telekommunikationsdiensten vor allem Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG“. Und speziell zur Einwilligung nach § 25 Abs. 1 TTDSG auf S. 19: „Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes“. Die DSK scheint also, durchaus entsprechend der nationalen Vorgabe und Definition des Begriffs im TTDSG, eine einschränkende Auslegung vorzunehmen. Verantwortlich soll der Anbieter des Telemedienangebots sein. Diese Auslegung dürfte für das TTDSG rein national nachvollziehbar sein. Die Frage ist aber, ob sie europarechtlich zwingend und vor allem mit Art. 5 Abs. 3 ePrivacy-Richltinie konform ist. Denn stellt man allein auf den Anbieter des Telemedienangebots ab, würde man (etwa anders als die damalige Art. 29 Gruppe) solche Stellen ausschließen, dass das Telemedien nicht anbieten, aber dennoch auf diesem Cookies setzen oder anderes Tracking durchführen.

Oder anders ausgedrückt und mE für die Praxis extrem relevant: soll das bedeuten, dass der App- oder Webseiten-Betreiber dafür verantwortlich ist, dass ihm und/oder dem das Cookie platzierenden Dritten gegenüber eine wirksame Einwilligung abgegeben wird, obwohl er nicht die Stelle ist, die im Sinne des Art. 5 Abs. 3 ePrivacy-Richtlinie auf Informationen zugreift oder solche im Endgerät ablegt?

Und zum Abschluss möchte ich dann auf die, meines Erachtens eventuell im Ergebnis nicht unbedingt zur DSK abweichende, aber doch schon inhaltlich deutlichere Ansicht des BayLfD in seiner neuen Orientierungshilfe zum TTDSG eingehen. Dort heißt es in Rz. 24: „Folgerichtig ist auch der Adressatenkreis der durch die Endnutzerin oder den Endnutzer erteilten Einwilligungen beziehungsweise der Ausnahmen von der Einwilligungspflicht nach § 25 Abs. 2 TTDSG nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt, deren Dienste die Endnutzerin oder der Endnutzer unmittelbar in Anspruch nimmt“. Ja, richtig: „nicht auf die Telemedienanbieterinnen und Telemedienanbieter beschränkt“! Das scheint mit eine andere Auslegung, als jene der DSK. Nämlich eher im Sinne des Wortlauts von Art. 5 Abs. 3 ePrivacy-Richtlinie. Der BayLfD gesetht in Rz. 25 aber auch zu, dass faktisch Telemedienanbieter die Hauptadressaten der Norm (§ 25 TTDSG) sind.

Fazit

Ich habe hier nur auszugsweise einige Quellen und Materialien kurz zusammengefasst. Allein auf dieser Basis zeigt sich bereits das Spektrum an Auslegungen. Die Frage, wem gegenüber inhaltlich die Einwilligung nach § 25 TTDSG zu erteilen ist, hat in der Praxis aus meiner Sicht aber extreme Relevanz. Allein wenn man an die Gestaltung von Cookie-Bannern oder ein CMP denkt. Sind wir gespannt, wie sich die Anwendung in der Praxis entwickelt.

Französische Datenschutzbehörde: Empfehlungen für die Bearbeitung von Auskunftsansprüchen nach Art. 15 DSGVO im Arbeitsverhältnis – speziell zu beruflichen E-Mails

Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.

In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.

Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.

Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).

Identitätsfeststellung

Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.

Beispiele:

Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.

Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.

Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente

Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.

Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.

Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?

Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.

Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.

Zu 1)

Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.

In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.

In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.

Zu 2)

Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.

Die CNIL empfiehlt, in zwei Schritten vorgehen:

Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.

Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.

Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.

Schritt 2:

Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.

Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.

Fazit

Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.

Cookie-Einwilligung: Ist die Information, dass Dritte keinen (!) Zugriff auf Cookies haben, zwingend erforderlich?

Nach § 25 Abs. 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (Hervorhebung durch mich)

Diese Information des Endnutzers und die Einwilligung haben gemäß Satz 2 nach der DSGVO zu erfolgen.

Wenn nun Unternehmen darüber nachdenken, ihre Produkte, Apps und Webseiten diesen Vorgaben anzupassen, wird sich unweigerlich die Frage stellen, welche „umfassenden Informationen“ hier zu erteilen sind?

Da § 25 TTDSG auf Art. 5 Abs. 3 ePrivacy-Richtlinie beruht, lohnt sich natürlich ein Blick in die Rechtsprechung des EuGH zu dieser Vorschrift. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist geregelt: „… wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“.

In dem Planet49 Verfahren (C-673/17) haben sich sowohl der Generalanwalt (Schlussanträge) als auch danach der EuGH (Urteil) mit der Frage auseinandergesetzt, welche Angaben unter den „klaren und umfassenden Informationen“ zu verstehen sind.

Was gilt, wenn keine personenbezogenen Daten vorliegen?

Sowohl der Generalanwalt als auch der EuGH verweisen für die Informationspflichten auf die entsprechenden Vorgaben der alten DS-RL und der DSGVO (dort: 13, 14 DSGVO). Hier dürfte bereits eine erste Anmerkung wichtig sein: in dem Verfahren ist der EuGH davon ausgegangen, dass personenbezogene Daten vorlagen. Daher war es auch kein Problem, auf Artt. 13, 14 DSGVO zu verweisen. Für die Praxis interessant ist aber sicher die Frage, ob man die Informationspflichten der DSGVO auch (entsprechend) beachten muss, wenn „nur“ Informationen und noch keine personenbezogenen Daten verarbeitet werden.

Zwei mögliche Lösungsansätze: entweder, man geht davon aus, dass die DSGVO mangels personenbezogener Daten keine Anwendung findet. Oder man wendet die Informationspflichten auf „Informationen“ nach der ePrivacy-Richtlinie zumindest entsprechend. Ich würde eher zur zweiten Sichtweise tendieren. Schlicht aus dem Grund, weil Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie für die zu erteilenden Informationen ausdrücklich auf die alte DS-RL und damit (nach Art. 94 DSGVO) jetzt auf die DSGVO verweist.

Spezifische Anforderungen an „klare und umfassende Informationen“ bei Cookies?

Sowohl der Generalanwalt als auch der EuGH gehen mithin davon aus, dass die allgemeinen Informationspflichten der Art. 13, 14 DSGVO zu erfüllen sind. Etwa in einer Datenschutzerklärung.

Spannend sind jedoch cookie-spezifsche Informationspflichten, die zusätzlich erfüllt werden müssen.

„Klare und umfassende Informationen“ bedeutet nach Ansicht des Generalanwalts, dass „ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln“. Und, speziell mit Blick auf Cookies: „Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen“ (Rz. 115)

Und hiervon sind zwei spezielle Merkmale umfasst:

  • die Funktionsdauer der Cookies
  • die Frage, ob Dritte auf die Cookies Zugriff erhalten (Rz. 116)

Das Merkmal der „Funktionsdauer“ erhebt der Generalanwalt sogar zum Bestandteil einer wirksamen Einwilligung. Nach seiner Ansicht hängt die Funktionsdauer des Cookies „mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen“ (Hervorhebung durch mich; Rz. 118).

Die Frage, ob Dritte Zugriff auf verwendete Cookies haben oder nicht, scheint aus Sicht des Generalanwalts im Grunde auch zur Einwilligung selbst zu gehören. Praxisrelevant ist die Ansicht des Generalanwalts vor allem deshalb, da er fordert, dass Nutzer „ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht“ (Rz. 120). Dem Generalanwalt reicht es ausdrücklich gerade nicht aus, nur dann zu informieren, wenn tatsächlich ein Zugriff durch Dritte erfolgt. Er verlangt, dass auch eine Negativ-Information erteilt wird, dass ein solcher Zugriff nicht erfolgt.

Interessanterweise verlangt der EuGH ebenfalls, dass beide oben benannten cookie-spezifischen Informationen erteilt werden. Jedoch verknüpft er diese Anforderung sehr konkret mit dem zu beurteilenden Fall und den Zwecken der Cookies: es geht um „Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen“. Nach dem EuGH „zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können“ (Rz. 75) in diesem Fall zu den zu erteilenden umfassenden Informationen. Bedeutet: wenn man denn möchte, könnte man bei dem Einsatz von Cookies für andere Zwecke (zB statistische Analyse) argumentieren, dass dann nicht die strengen cookie-spezifischen Vorgaben gelten.

Das Merkmal „Funktionsdauer der Cookies“ verortet der EuGH in Art. 13 Abs. 2 lit. a DSGVO: danach sind Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, zu erteilen.

Interessant und meines Erachtens eventuell abweichend vom Generalanwalt ist die Ansicht des EuGH zu dem Merkmal, „ob Dritte auf die Cookies Zugriff erhalten“. Der EuGH verweist hierzu auf Art. 13 lit. e DSGVO „denn dort sind ausdrücklich die Empfänger oder Kategorien von Empfängern der Daten genannt“ (Rz. 80). Der Unterschied zur Ansicht des Generalanwalts ist, dass der EuGH nicht ausdrücklich verlangt, dass auch negativ informiert werden muss, wenn kein Zugriff erfolgt. Er bestätigt, dass Informationen dazu, „ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“ (Rz. 81). Durch den Verweis auf die DSGVO-Informationspflicht bzgl. der Empfänger kann man meines Erachtens aber argumentieren, dass dies allein eine positive Information umfasst. Wenn also tatsächlich Zugriffe auf die Cookies stattfinden (übertragen auf DSGVO: wenn Empfänger vorhanden sind). Denn Art. 13 Abs. 2 lit. e DSGVO verpflichtet gerade nicht dazu, auch zu informieren, wenn keine Empfänger vorhanden sind.

Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.

Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?

Letzte Woche hat der EDSA seine Leitlinien 05/2021 über das Zusammenspiel zwischen Art. 3 DSGVO und den Bestimmungen über internationale Übermittlungen veröffentlicht (PDF). Diese Leitlinien wurden seit einiger Zeit mit Interesse erwartet, da die DSGVO keine eigene Definition für „internationale Übermittlungen“ vorsieht. Daneben enthalten die Leitlinien einige sehr praxisrelevante Feststellungen der europäischen Behörden, wann die zusätzlichen Anforderungen des Kapitel V zu beachten sind und wann nicht.

Art. 46 DSGVO? Immer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen

Zunächst stellt der EDSA (erneut) fest, dass bei der Inanspruchnahme eines der in Art. 46 DSGVO aufgeführten Übermittlungsinstrumente, wie etwa von EU Standarddatenschutzklauseln, stets geprüft werden muss, ob zusätzliche Schutzmaßnahmen umgesetzt werden müssen, um das Schutzniveau der übermittelten Daten auf den EU-Standard der wesentlichen Gleichwertigkeit zu bringen. Diese Ansicht ist nicht neu, für die Praxis jedoch wichtig.

Dies gilt nach Ansicht des EDSA übrigens auch in Situationen, in denen die Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt. Dies, um zu vermeiden, dass der durch die DSGVO gewährte Schutz durch andere Rechtsvorschriften, denen der Importeur unterliegt, untergraben wird. Bereits hier in der Einleitung wird also klar: der EDSA geht von einer internationalen Übermittlung im Sinne des Kapitel V aus, auch wenn der Importeur der Daten bereits selbst nach Art. 3 Abs. 2 DSGVO dem europäischen Recht unterliegt (hierzu aber später noch mehr).

Was ist eine „Übermittlung an ein Drittland oder eine internationale Organisation“?

Da die DSGVO keine rechtliche Definition des Begriffs „Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation“ (vgl. Art. 44 S. 1 DSGVO) enthält, muss dieser Begriff nach Auffassung des EDSA „unbedingt geklärt werden“.

Vor diesem Hintergrund macht der EDSA einen eigenen Vorschlag für eine solche Definition. Zu beachten ist hierbei freilich, dass diese Auslegung „nur“ die Ansicht der europäischen Behörden darstellt und etwa die EU Kommission eine andere Auffassung vertreten könnte. Dennoch sind die Vorgaben des EDSA für die Praxis von besonderer Relevanz.

Der EDSA hat drei kumulative Kriterien vorgeschlagen, die eine Verarbeitung als Übermittlung qualifizieren. Es müssen also alle drei Anforderungen gemeinsam erfüllt sein:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter unterliegt in Bezug auf die betreffende Verarbeitung den Bestimmungen der DSGVO.

2. Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur“) macht durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter („Importeur“) zugänglich.

Auch im Fall der Weitergabe von Daten zwischen gemeinsam Verantwortlichen kann also eine Übermittlung in ein Drittland vorliegen. Keine Privilegierung der Weitergabe zwischen diesen gemeinsam Verantwortlichen.

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, ungeachtet dessen, ob dieser Importeur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.

Wichtig: hier wird direkt eine relevante Klarstellung des EDSA deutlich. Der Exporteur muss gerade nicht (!) in der EU oder dem EWR ansässig sein. Nur der Empfänger der Daten, der Importeur, muss zwingend in einem Drittland ansässig sein. Diese Ansicht ist eigentlich auch nicht mehr überraschend, jedoch sollte man sich in der Praxis stets in Erinnerung rufen, dass für eine Anwendung der Vorschriften in Kapitel V gerade nicht Voraussetzung ist, dass der Exporteur unbedingt in der EU ansässig sein muss.

Zudem muss beachtet werden, dass es für die Frage der Anwendbarkeit von Art. 3 DSGVO stets auf die jeweilige Verarbeitung ankommt. Man muss also auf die einzelne Verarbeitung schauen und kann nicht global und allgemein die Anwendung von Art. 3 DSGVO allein mit Blick auf die datenverarbeitende Organisation prüfen.

Keine Übermittlung, wenn Betroffener selbst Daten freigibt

Das zweite Kriterium setzt nach Ansicht des EDSA stets voraus, dass entweder ein (gemeinsam) Verantwortlicher oder ein Auftragsverarbeiter handelt und die Daten durch Übermittlung oder in anderer Weise zur Verfügung stellt.

Dieses zweite Kriterium kann daher nicht als erfüllt angesehen werden, wenn die Daten direkt und auf auf eigene Initiative der betroffenen Person an den Empfänger weitergegeben werden. In diesem Fall gibt es keinen Verantwortlichen oder Auftragsverarbeiter, der die Daten übermittelt oder zur Verfügung stellt („Exporteur“).

„Übermittlung an ein Drittland“ kann auch vorliegen, wenn der Empfänger der DSGVO unterliegt

Besonders relevant ist die Ansicht des EDSA, ob die Vorgaben des Kapitel V auch dann zu beachten sind, wenn der Importeur der Daten bereits unmittelbar nach Art. 3 Abs. 2 DSGVO dieser unterliegt (derzeit arbeitet die EU Kommission wohl an weiteren Standardvertragsklauseln für genau diese Konstellation). Man könnte ja argumentieren, dass es in diesem Fall eigentlich nicht erforderlich ist, zusätzliche Übermittlungsanforderungen nach Kapitel V vorzusehen.

Der EDSA hebt hervor, dass für Verantwortliche und Auftragsverarbeiter, die nicht in der EU ansässig sind, gemäß Art. 3 Abs. 2 DSGVO für eine bestimmte Verarbeitung der DSGVO unterliegen können und daher bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation die Bestimmungen von Kapitel V einhalten müssen, wenn sie personenbezogene Daten in ein Drittland übermitteln oder als Importeur diese Daten erhalten.

Spannend sind hier die Aussagen des EDSA zu zukünftigen Standardvertragsklauseln für diese Konstellation. Denn nach Ansicht des EDSA sind bei der Übermittlung personenbezogener Daten an einen Verantwortlichen in einem Drittland weniger Schutzmaßnahmen/Garantien erforderlich, wenn dieser für die betreffende Verarbeitung bereits der DSGVO unterliegt. Und im Grunde adressiert der EDSA dann direkt die EU Kommission:

Daher sollte bei der Entwicklung entsprechender Übermittlungsinstrumente (die derzeit nur theoretisch zur Verfügung stehen), d. h. Standardvertragsklauseln oder Ad-hoc-Vertragsklauseln, die Situation nach Art. 3 Abs. 2 berücksichtigt werden, um die Verpflichtungen der Datenschutz-Grundverordnung nicht zu duplizieren, sondern vielmehr die „fehlenden“ Elemente und Grundsätze anzusprechen, die notwendig sind, um die Lücken zu schließen…“.

Ein Beispiel: der reisende Mitarbeiter – es müssen verschiedene juristische Personen vorliegen

In den Leitlinien sind zudem einige Beispiele enthalten. In Beispiel 5 geht der EDSA davon aus, dass durch Drittländer reisende Mitarbeiter, die remote Zugriff auf die Systeme des Arbeitgebers in der EU nehmen, keine internationale Übermittlung auslösen.

Der Grund: Exporteur und Importeur der Daten müssen nach Ansicht des EDSA stets getrennte juristische Einheiten sein. Damit es sich um eine internationale Übermittlung handeln kann, muss es einen Verantwortlichen oder einen Auftragsverarbeiter geben, der die Daten offenlegt (der Exporteur), und einen anderen Verantwortlichen oder einen anderen Auftragsverarbeiter, der die Daten erhält oder Zugang zu ihnen erhält (der Importeur). Im Fall des reisenden Mitarbeiters werden die Verarbeitungen, einschließlich des Fernzugriffs, juristisch betrachtet von seinem Arbeitgeber durchgeführt, d. h. von einem für die Verarbeitung Verantwortlichen mit Sitz in der Union.

Absender und Empfänger der Daten müssen nach Auffassung der Aufsichtsbehörden nicht verschiedene für die Verarbeitung Verantwortliche/Auftragsverarbeiter sein. Sind sie dies nicht, sollte die Weitergabe von
personenbezogener Daten nicht als Übermittlung gemäß Kapitel V DSGVO betrachtet werden, „da die Daten
innerhalb desselben für die Verarbeitung Verantwortlichen/Auftragsverarbeiters verarbeitet werden
„.