In diesem zweiten Beitrag zu dem neu vorgeschlagenen Art. 88a DSGVO-E des Digitalen Omnibus zur Anpassung der DSGVO, werde ich einen kurzen Blick auf die Absätze 3 und 4 der Vorschrift werfen (Teil 1 der Bewertung des Art. 88a DSGVO-E findet sich hier).

Absatz 3 – die Ausnahmen von der Einwilligung

Nach Art. 88a Abs. 3 DSGVO-E sind die Speicherung personenbezogener Daten oder der Zugriff auf bereits gespeicherte personenbezogene Daten im Endgerät einer natürlichen Person ohne deren Einwilligung und die anschließende Verarbeitung rechtmäßig, soweit sie für einen der folgenden Zwecke erforderlich sind – sodann werden verschiedene Zwecke genannt.

Beim ersten, flüchtigen Lesen, erinnert Absatz 3 an die jetzige Regelung des Art. 5 Abs. 3 RL 2002/58/EG. Doch sind einige extrem relevante Unterschiede zu erkennen.

Aktuelle Vorgabe (Art. 5 Abs. 3 RL 2002/58/EG): „… wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Aktuelle Vorgabe (§ 25 Abs. 2 Nr. 2 TDDDG): „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist,…“

Im Gegensatz zu diesem derzeitigen engen / strengen Erforderlichkeitsmaßstab, sieht Art. 88a Abs. 3 „nur“ eine normale Erforderlichkeit vor. Das Merkmal „unbedingt“ entfällt.

Aus Sicht vieler Unternehmen dürfte eine solche Anpassung durchraus positiv zu sehen sein, denn die Anforderungen an den Einsatz von Cookies, Java Scripten, Pixeln etc., die ohne Einwilligung eingesetzt werden sollen, dürften hierdurch gesenkt werden.

Dem könnte man wohl entgegen halten, dass die europäische „Grundidee“ der Cookie-Regelung, der Art. 5 Abs. 3 RL 2002/58/EG, diese unbedingte Erforderlichkeit aber gerade vorsieht. Andererseits wird man diesem Argument wieder entgegenhalten können, dass Art. 88a DSGVO-E ja keine Umsetzung der Richtlinie darstellt, sondern eine spezielle Regelung nur im Anwendungsbereich der DSGVO für personenbezogene Daten schafft.

Weitere Verarbeitung zulässig – auf welcher Grundlage?

Die zweite besonders wichtige Änderung betrifft die Weiterverarbeitung von personenbezogenen Daten, die aus einem Endgerät erhoben wurden.

Bsp: der Datensatz, der über den Einsatz eines Cookies im Online-Shop über das Klickverhalten eines Kunden erhoben und in der Datenbank des Unternehmens gespeichert wurde. Die weitere Verwendung dieser Daten würde derzeit (ganz normal) den Vorgaben der DSGVO unterliegen. Man muss also auch eine Rechtsgrundlage für die Verarbeitung vorweisen – etwa eine Einwilligung, die man schon im Cookie-Banner eingeholt hat oder berechtigte Interessen nach Art. 6 Abs. 1 f) DSGVO.

Art. 88 Abs. 3 DSGVO-E sieht aber nun vor, dass auch „die anschließende Verarbeitung rechtmäßig“ ist (ohne Einwilligung), wenn eine der benannten Zwecke erfüllt ist. Diese Änderung klingt zunächst aus praktischer Sicht vernünftig. Art. 88a Abs. 3 DSGVO-E würde so einen Sachverhalt in einer Norm quasi zusammenfassen. Etwa die Erhebung und spätere Verwendung von Tracking-Daten. Unternehmen sollen gerade nicht mehr mit zwei verschiedenen Regularien, RL 2002/58/EG einerseits und der DSGVO andererseits, belastet werden.

Das Problem: die neue Vorschrift macht überhaupt keine Aussage dazu, was konkret die Rechtsgrundlage nach Art. 6 DSGVO ist, wenn Daten zulässigerweise nach Art. 88a Abs. 3 DSGVO-E weiterverarbeitet werden. Kritisch hierbei ist, dass nach ständiger Rechtsprechung des EuGH jede Verarbeitung einer Rechtsgrundlage nach Art. 6 DSGVO bedarf.

Art. 88a DSGVO-E selbst stellt keine Rechtsgrundlage dar. Er verweist vielmehr in Abs. 1 auf die Einwilligung nach der DSGVO. Allein dieser Verweis macht deutlich, dass Art. 88a DSGVO-E keine eigene Rechtsgrundlage ist. Wenn aber auch Art. 88a Abs. 3 DSGVO-E keine eigene Rechtsgrundlage sein kann, gleichzeitig aber anordnet, dass eine Weiterverarbeitung von Daten zulässig ist (im seiner einer Finalität; nicht etwas „kann zulässig sein, wenn XYZ und eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegt“), dann sehe ich hier durchaus ein Risiko, dass die Vorschrift gegen die DSGVO bzw. die Rechtsprechung des EuGH zu Art. 6 DSGVO verstoßen könnte.

So hat der EuGH etwa auch in der Vergangenheit zur Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO geurteilt, dass das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorgeschrieben wird (C‑634/21). Aus meiner Sicht ist die neue Regelung des Art. 88a Abs. 3 DSGVO-E daher aus Sicht der Praxis gut gedacht, jedoch mit erheblichen Risiken verbunden.

Um wen geht es? „natürliche Person“

Bereits im ersten Teil meiner Bewertung der Vorschrift hatte ich darauf hingewiesen, dass von Art. 88a DSGVO-E, konträr zum Konzept der DSGVO, nicht etwa Betroffene adressiert bzw. geschützt werden. Es wird auch in Abs. 3 von „gespeicherte personenbezogene Daten im Endgerät einer natürlichen Person“ gesprochen. Das bedeutet, dass etwa der Zugriff gar nicht zwingend auf personenbezogene Daten der Person erfolgen muss, die das Endgerät besitzt.