DSGVO Reform: Vorschläge der EU-Kommission im Bereich Tracking und Online-Datenschutz (1) (Art. 88a DSGVO-E)

Als Teil des jüngst vorgestellten Vorschlags zur Anpassung der DSGVO im sog. „Digitalen Omnibus“, schlägt die Kommission auch eine Ergänzung der DSGVO um einen neuen Art. 88a vor, der die Vorgaben aus Art. 5 Abs. 3 RL 2002/58/EG (§ 25 TDDDG) in die DSGVO überführen soll. Inhaltlich betrifft die Anpassung also alle Wirtschaftsbereiche, die Cookies oder ähnliche Technologien einsetzen oder generell die Nutzung von Endgeräten durch Kunden analysieren.

Nachfolgend möchte in einem ersten kurzen Beitrag (der zweite folgt hoffentlich bald) auf die Vorschläge und deren potentielle Auswirkungen eingehen – natürlich werde ich auch, aus meiner Sicht, bestehende inhaltliche Probleme des Vorschlags adressieren. (die deutsche Übersetzung sind nicht offizielle Texte)

Zweck des neuen Art. 88a DSGVO-E

Laut der Begründung zum Omnibus auf S. 7 soll das Zusammenspiel zwischen der Richtline 2002/58/EG und der DSGVO vereinfacht werden.

Die Kommission scheint im Grunde jegliche Verarbeitung personenbezogener Daten in den Anwendungsbereich der DSGVO ziehen zu wollen. Derzeit wäre im Fall des Einsatzes von Cookies für die Erhebung von personenbezogenen Daten noch Art. 5 Abs. 3 RL 2002/58/EG (§ 25 TDDDG in Deutschland) vorrangig anzuwenden. Diesen Vorrang scheint die Kommission nun auflösen zu wollen, in dem per se die DSGVO gilt. Auch, wenn auf Endgeräte von Nutzer zugegriffen wird.

Die Verarbeitung personenbezogener Daten auf und von Endgeräten sollte ausschließlich durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) geregelt werden“.

Zudem möchte die Kommission in Art. 88a DSGVO-E auch ausdrücklich bestimmte Verarbeitungszwecke gesetzlich festschreiben, bei denen es nicht erforderlich sein soll, eine Einwilligung einzuholen, und bei denen sogar auch die anschließende Verarbeitung als rechtmäßig anzusehen ist.

Einschätzung: Besonders relevant für die Praxis ist aus meiner Sicht der Ansatz, Zwecke in das Gesetz aufzunehmen, für deren Verfolgung keine Einwilligung erforderlich ist. Und auch der Wunsch der Kommission, die nachgelagerte Verarbeitung der etwa per Cookies erhobenen Daten zu regeln.

Art. 88a Abs. 1 DSGVO-E

Verarbeitung personenbezogener Daten in den Endgeräten natürlicher Personen

(1) Die Speicherung personenbezogener Daten oder der Zugriff auf bereits gespeicherte personenbezogene Daten in den Endgeräten einer natürlichen Person ist nur zulässig, wenn diese Person gemäß dieser Verordnung ihre Einwilligung erteilt hat.

Allein „natürliche Personen“ adressiert – Teil 1

Die beschränkte Wirkkraft des Vorschlags der Kommission wird schon in der Überschrift des Artikels deutlich: es geht um Endgeräte „natürlicher Personen“. Art. 88a DSGVO-E wäre daher in seinem Anwendungsbereich beschränkt auf spezifische Situationen, in denen es um „natürliche Personen“ geht. Der derzeit geltende Art. 5 Abs. 3 RL 2002/58/EG erfasst aber gerade nicht nur „natürliche Personen“, sondern generell „Teilnehmer oder Nutzer“, wobei der Nutzer auch eine juristische Person sein kann.

Diese Einschränkung ist natürlich einerseits verständlich, da die DSGVO eben nur die Informationen zu natürlichen Personen betrifft. Andererseits sollte man sich als Anwender nicht der Vorstellung hingeben, dass mit einem Art. 88a DSGVO-E nun alle Fragen im Bereich des Einsatzes von Cookies oder generell des Zugriffs auf Endgeräte (Smartphones, vernetzte Endgeräte) geklärt sind.

Allein „natürliche Personen“ adressiert – Teil 2

Noch interessanter für die Praxis ist die Frage, wer denn die „natürliche Person“ ist? Abs. 1 spricht gerade nicht von der „betroffenen Person“, deren Daten verarbeitet werden. Art. 7 Abs. 1 DSGVO verlangt etwa, dass die „betroffene Person“ eine Einwilligung erteilt. Zumindest für die Anwendung von Art. 88a DSGVO-E ist der Bezug zur „betroffenen Person“ aber gerade nicht hergestellt.

Bsp: ein Unternehmen greift auf mein Smartphone über ein Tracking in der Fussballtrainings-App zu und erhebt personenbezogene Daten über die Namen von Fußballspielern aus meiner Mannschaft. In diesem Fall wäre nach Abs. 1 ich die „natürliche Person“ auf deren Endgerät zugegriffen wird. Es werden aber Daten von anderen betroffenen Personen erhoben. Jedoch müsse ich (als natürliche Person) die Einwilligung nach Abs. 1 für die Erhebung der Daten anderer betroffener Personen erteilen. Fraglich, ob ich dies rechtlich zulässig überhaupt kann.

Beschränkung auf „personenbezogene Daten“

In Abs. 1 wird der Fokus (systematisch im Rahmen der DSGVO korrekt) allein auf „personenbezogene Daten“ gelegt. Nur wenn solche personenbezogenen Daten gespeichert werden oder auf diese zugegriffen wird, ist Art. 88a Abs. 1 DSGVO-E anwendbar.

Abs. 1 wäre folglich nicht anwendbar, wenn ein Unternehmen auf ein vernetztes Gerät zugreift, um aus diesem rein technische Daten auszulesen – etwa die Softwareversion. Ein solcher Zugriff würde aber unter Art. 5 Abs. 3 RL 2002/58/EG fallen, denn dort wird breiter auf „Informationen“ abgestellt, auf die zugegriffen wird.

Endgerät einer natürlichen Person

Völlig unklar ist zudem, wann ein „Endgeräten einer natürlichen Person“ vorliegt? Bedeutet dies, dass die natürliche Person Eigentümer des Endgeräts sein muss? Oder gilt Abs. 1 auch in solchen Fällen, in denen ich (als natürliche Person) meiner Frau bei der Einrichtung einer App helfe? In diesem Fall wäre nicht ich der Eigentümer des Endgeräts. Hätte aber kurzzeitig Besitz des Endgeräts.

Diese Frage ist nicht neu und wird auch schon derzeit im Rahmen des Art. 5 Abs. 3 RL 2002/58/EG und § 25 TDDDG diskutiert. Die Kommission verpasst hier aber die Möglichkeit, Klarheit zu schaffen, welche Konstellationen des Besitzes / Eigentums hinsichtlich des Endgeräts erfasst oder nicht erfasst sein sollen. Besonders komplex (und damit in der Praxis herausfordernd) wird es, wenn Endgeräte von mehreren Personen genutzt werden – etwa das Firmenfahrzeug aus dem unternehmenseigenen Fahrzeugpool.

Art. 88a Abs. 2 DSGVO-E

(2) Absatz 1 steht der Speicherung personenbezogener Daten oder dem Zugriff auf bereits gespeicherte personenbezogene Daten in den Endgeräten einer natürlichen Person nicht entgegen, wenn dies auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten im Sinne von Artikel 6 und unter den dort genannten Bedingungen erfolgt, um die in Artikel 23 Absatz 1 genannten Ziele zu erreichen.

Abs. 2 enthält eine Neuerung in Bezug auf die Vorgaben zum Zugriff auf Endgeräte. Solche Zugriffe auf personenbezogene Daten bzw. die Speicherung von personenbezogenen Daten sollen in Zukunft auch dann ohne Einwilligung möglich sein, wenn der nationale Gesetzgeber hierzu gesetzliche Vorgaben schafft. Im Ergebnis erlaubt Abs. 2 mithin nationale Regelungen, die einen Zugriff ohne Einwilligung erlauben, wenn die nationale Rechtsgrundlage ein Ziel nach Art. 23 Abs. 1 DSGVO verfolgt.

Bsp: Art. 23 Abs. 1 j) DSGVO sieht als mögliches Ziel einer solchen nationalen Regelung „die Durchsetzung zivilrechtlicher Ansprüche“ vor. Hierzu nur eine Idee: Theoretisch könnte also der deutsche Gesetzgeber etwa im TDDDG eine Vorschrift aufnehmen, die den Zugriff auf Endgeräte für Softwareunternehmen gestattet, um zu prüfen, ob das Gerät eine gültige Lizenz zum Betrieb der Software besitzt und das Unternehmen so mögliche Zahlungsansprüche durchsetzen kann.

Auf die Absätze 3 und 4 des Art. 88a DSGVO-E werde ich in einem zweiten Teil einen Blick werfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert