Nach Art. 26 Abs. 3 DSA dürfen Anbieter von Online-Plattformen Nutzern keine Werbung anzeigen, die auf Profiling nach der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Zudem dürfen nach Art. 28 Abs. 2 DSA Anbieter von Online-Plattformen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.
Zuständigkeitsregelung im Entwurf des DDG
Im Entwurf eines Gesetzes zur Durchführung des DSA (PDF, 15.01.2024, S. 71 f.) hatte die Bundesregierung in § 12 Abs. 3 des Digitale-Dienste-Gesetz (DDG) eigentlich vorgesehen, dass die Zuständigkeit für die Durchsetzung der Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen wird.
Begründet wurde dies u.a. damit, dass sich die in diesen Regelungen enthaltenen Werbeverbote auf in der Datenschutz-Grundverordnung definierte Begriffe stützen,
„für deren Auslegung und Umsetzung in der Praxis die oder der Bundesbeauftragte die einschlägige Erfahrung und Expertise aufweist, wie zum Beispiel, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ein Profiling der Nutzenden stattfindet.“
Veto aus den Ausschüssen des Bundesrates
Mit Datum vom 19.01.2024 haben die beratenden Ausschüsse des Bundesrates nun ihre Empfehlungen zu dem Gesetzentwurf veröffentlicht (PDF). Zu § 12 Abs. 3 DDG wird dort durch den Ausschuss für Innere Angelegenheit eine Anpassung empfohlen – nicht der BfDI soll zuständig sein, sondern die Datenschutzbehörden der Länder.
Begründet wird diese Anpassung u.a. damit, dass Adressaten der Verpflichtungen nach Art. 26 und 28 DSA ausschließlich nicht öffentliche Stellen (Unternehmen als Anbieter von Online-Plattformen) seien,
„deren Datenverarbeitung nach § 40 BDSG der Datenschutzkontrolle durch die Datenschutzaufsichtsbehörden der Länder unterliegt.“
Entgegen der Begründung der Bundesregierung für die Zuständigkeitszuweisung an den BfDI, welche auf eine einschlägige Erfahrung und Expertise des BfDI verweist,
„muss nach Ansicht des Bundesrates festgestellt werden, dass diesem bislang nicht mehr als eine eingeschränkte sektorale Aufsicht über Telekommunikationsanbieter obliegt.“
Zudem seien bei einer Beschwerdeprüfung auf Grundlage des DSA (bzw. des DDG) Berührungspunkte zu allgemeindatenschutzrechtlichen Fragen,
„die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt.“
Auch führe eine Zuständigkeitszuweisung an den BfDI
„absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren, was den Zielen der Effektivität und Rechtssicherheit widerspricht“.
Einen vermittelnden Vorschlag legen der federführende Verkehrsausschuss und der Wirtschaftsausschuss vor.
Ihrer Ansicht nach sollten der BfDI und die Landesdatenschutzbehörden zuständig sein. Nach Ansicht dieser Ausschüsse würde mit § 12 Abs. 3 DDG eine Aufsichtsstruktur eingeführt,
„die eine nicht gebotene nationale Zuständigkeitszersplitterung und weitere Abstimmungsbedarfe in der Praxis nach sich zöge und einheitliche Lebens- und Prüfvorgänge aufspalten würde“.
Daher schlagen sie vor, dass die Landesdatenschutzbehörden für die Webseiten, für die sie ohnehin zuständig sind, auch bezüglich der Vorgaben in Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA zuständig werden.
Welche Variante am Ende im Bundesrat Zustimmung findet, muss man abwarten. Klar ist aber die Tendenz der Ausschüsse, die Zuständigkeit nicht allein dem BfDI zu übertragen.