Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?

Im Rahmen des One Stop Shop Verfahrens hat die norwegische Datenschutzbehörde zu einem sehr praxisrelevanten entschieden (pdf, Englisch).

Sachverhalt

Oft kommt es vor, dass Kunden eines Online-Shops aus Versehen eine falsche E-Mail-Adresse im Rahmen des Kaufprozesses eintragen. Oft reicht ja bereits ein falscher Buchstabe oder eine falsche Top Level Domain (.de statt eigentlich .net). Die Folge: Kaufbestätigung, Rechnung etc. gehen an die falsche Adresse und damit die falsche Person (wenn diese E-Mail-Adresse vergeben ist). Genau einen solchen Fall hatte die Datenschutzbehörde zu entscheiden. Der Beschwerdeführer hatte im Bestellprozess seine eigene E-Mail-Adresse falsch eingetragen. Eine andere Person erhielt deshalb die kaufrelevanten Unterlagen. Der Beschwerdeführer ging von einem Verstoß gegen die DSGVO aus, da seiner Ansicht nach das Unternehmen Daten aus zwei Kundenkonten vermischt wurden.

Entscheidung

Die Datenschutzbehörde sah allein durch den Fehlversand von Dokumenten (sicher auch mit personenbezogenen Daten des Beschwerdeführers) an eine andere Person keinen Verstoß gegen die DSGVO.

Das von der Behörde angeschriebene Unternehmen teilte mit, dass es davon ausgeht, dass der Beschwerdeführer versehentlich die falsche E-Mail-Adresse eingegeben hat, als er einen Kauf tätigte. Infolgedessen begann der falsche Kunde, E-Mails zu den Bestellungen des Beschwerdeführers zu erhalten.

Die norwegische Datenschutzbehörde ist der Ansicht, „dass der Fehler für die Registrierung der falschen E-Mail-Adresse beim Beschwerdeführer liegt“. Daher kam die Behörde zu dem Schluss, dass das Unternehmen über angemessene Verfahren und Maßnahmen verfügt um sicherzustellen, dass personenbezogene Daten korrekt aufgenommen werden.

Spannend wäre hier natürlich noch die Frage gewesen, ob auch bei einer normalen Onlinebestellung eine Art Double Opt in Verfahren umzusetzen wäre. Meines Erachtens ist dies nicht zwingend allein wegen Art. 32 DSGVO oder Art. 25 DSGVO erforderlich. Diskutieren mag man diese Option aber sicher.

Aber Achtung: einen DSGVO-Verstoß des Unternehmens gab es dann doch. Der Beschwerdeführer kontaktierte das Unternehmen und forderte eine Berichtigung seiner Daten. Das Unternehmen reagierte auf diese Betroffenenanfrage nach Art. 16 DSGVO (Berichtigung) jedoch zu langsam. Im konkreten Fall dauerte es mehr als 6 Monate, die E-Mail-Adresse zu korrigieren. Die norwegische Datenschutzbehörde ist der Ansicht, dass dies einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt. Danach muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats reagieren. Das Unternehmen gelobte diesbezüglich Besserung und die Schaffung eines verbesserten Prozesses zur Berichtigung von Daten.

(Räumlicher) Anwendungsbereich des neuen TTDSG – Rechtsunsicherheit vorprogrammiert

Am 20. Mai hat der Bundestag bekanntlich das neue „Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in der Fassung des federführenden Ausschusses für Wirtschaft angenommen. Die Beschlussempfehlung mit dem angenommenen Gesetzestext findet sich hier (PDF).

Das neue TTDSG tritt zum 1. Dezember 2021 in Kraft.

In § 26 TTDSG enthält das Gesetz auch eine Vorschrift zur Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie, also dem Einwilligungserfordernis im Fall des Zugriffs auf Informationen in Endgeräten oder des Speichern von Informationen in Endgeräten. Oder kurz: für das (Online)Tracking.

In diesem Beitrag möchte ich aber nicht hierauf eingehen, sondern möchte auf einen Aspekt hinweisen, der meines Erachtens aus praktischer Sicht noch einige Fragen (oder auch unschöne Situationen) hervorrufen dürfte. Es geht um die Frage, wann denn das TTDSG und damit auch die Regelung des § 26 TTDSG überhaupt anwendbar ist. Im Rahmen der Stellungnahmen zu  Ausschussanhörung sind auf diesen Aspekt auch der BITKOM (PDF) und der Kollege Alexander Golland (PDF) eingegangen.

§ 1 Abs. 3 TTDSG

Die relevante Vorgabe zum Anwendungsbereich (insbesondere auch räumlich) enthält § 1 Abs. 3 TTDSG: „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. § 3 des Telemediengesetzes bleibt unberührt“.

Zunächst fällt auf, dass die Anwendung des TTDSG nicht von einer Verarbeitung personenbezogener Daten abhängt. Das ist natürlich auch richtig, da die ePrivacy-Richtlinie ebenfalls nicht (erst) beim Umgang mit personenbezogenen Daten gilt, was auch der EuGH in seinem Urteil in der Rs C‑673/17 ebenfalls klargestellt hat (Rz. 70„Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“).

Die Vorschrift ist in mehrere Alternativen unterteilt. Voraussetzung ist stets, dass Unternehmen oder Personen handeln und diese, entweder

  • 1) im Geltungsbereich des TTDSG eine Niederlassung haben oder
  • 2) Dienstleistungen erbringen oder daran mitwirken oder
  • 3) Waren auf dem Markt bereitstellen.

Kurz ein paar kritische Anmerkungen zu 1) und 2).

Zu 1)

Für die Anwendbarkeit des TTDSG reicht es aus, dass ein Unternehmen eine Niederlassung in Deutschland hat. Es ist nicht erforderlich, dass diese Niederlassung irgendwie aktiv in Tätigkeiten eingebunden ist, die zB ein Tracking beinhalten. Allein das Vorhandensein einer Niederlassung ist ausreichend. Das ist ein sehr weiter Anwendungsbereich und geht sogar noch über Art. 3 Abs. 1 DSGVO hinaus, der ja zumindest verlangt, dass eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“ (Hervorhebung durch mich).

Man kann natürlich politisch eine solche weite Ausdehnung verlangen. Nur sollte man sich dann auch mit der praktischen Umsetzung und vor allem Durchsetzung des Rechts auseinandersetzen. Ein Beispiel: ein Unternehmen aus der Schweiz bietet über einen Online-Shop Waren in der Schweiz und Frankreich an. Das Unternehmen hat auch eine Niederlassung in Deutschland, die jedoch nur für den Einkauf von Waren verantwortlich ist.

Nach § 1 Abs. 3 TTDSG unterliegt ein Tracking auf der Webseite des Schweizer Unternehmens dem TTDSG. Ohne dass der Online-Shop überhaupt Waren in Deutschland anbietet oder darauf ausgerichtet ist. Man mag mich dafür schelten, aber ich glaube nicht, dass dies die gesetzgeberische Intention war.

Zu 2)

Doch es geht noch weiter. Auch wenn keine Niederlassung in Deutschland vorhanden ist, soll das TTDSG Anwendung finden. Dies dann, wenn Unternehmen im Geltungsbereich des TTDSG „Dienstleistungen erbringen oder daran mitwirken“. Wenn also Dienstleistungen in Deutschland erbracht werden.

Wen diese Vorschrift an eine andere Regelung erinnert, der liegt richtig, wenn er in Art. 3 Abs. 2 DSGVO sucht. Dort wird das sog. Marktortprinzip festgeschrieben. Die Aufnahme dieses Prinzips im Anwendungsberiech des TTDSG ist auch ausdrücklich vom Gesetzgeber gewollt (S. 34 des Gesetzentwurfs, PDF): „Dabei gilt nach wie vor das Marktortprinzip. Die im Verhältnis zur E-Privacy-Richtlinie subsidiär geltende DSGVO enthält bereits das Marktortprinzip, das damit auch für die Verarbeitung von personenbezogenen Daten durch Telekommunikationsanbieter gilt“. Und: „§ 1 Absatz 3 TTDSG hat daher Bedeutung für alle Bestimmungen, die sich nicht auf die Verarbeitung personenbezogener Daten beziehen und die nicht unter § 3 des Telemediengesetzes fallen, so dass das Marktortprinzip bei der Anwendung dieses Gesetzes gilt, soweit nicht § 3 des Telemediengesetzes Anwendung findet„.

Auch ohne Niederlassung in Deutschland, gilt also § 26 TTDSG für ein Unternehmen aus Indien, welches über eine Webseite Dienstleistungen in Deutschland erbringt. Aber, nur weil ein Gesetz gilt, bedeutet dies nicht, dass es auch eingehalten bzw. durchgesetzt wird.

Der Gesetzgeber des TTDSG hat jedoch auf halber Strecke halt gemacht und keine entsprechenden Folgereglungen zur Durchsetzung des TTDSG ggü. Unternehmen in Drittstaaten erlassen. In Art. 27 DSGVO ist etwa für diesen Fall vorgesehen, dass ein Vertreter in der EU zu benennen ist. Eine solche Pflicht enthält das TTDSG nicht.

Und noch zwei Anmerkungen zum Tatbestand selbst.

Erfasst ist dem Wortlaut nach allein das „Erbringen“ von Dienstleistungen. Nicht erwähnt ist das „Anbieten“. Versteht man dies so, dass nur die aktive Ausführung einer Dienstleistung relevant ist, würde zB ein Tracking auf Webseiten nicht in den Anwendungsbereich des TTDSG fallen, soweit etwa ein Online-Shop Waren und Dienstleistungen nur präsentiert; also „anbietet“. Erst, wenn eine Person eine Dienstleistung bestellt und einen Vertrag hierüber schließt („erbringen“), würden die Vorgaben des TTDSG greifen. Ist das gewollt? Ich meine nein. So steht es aber in § 1 Abs. 3 TTDSG.

Zum anderen wird nicht nur das „Erbringen“ erwähnt, sondern sogar ein „Mitwirken“ hieran. Also Unterstützungsleistungen im Hintergrund. Man denke an Auftragsverarbeiter oder andere Dienstleister. Auch diese Unternehmen wären, ohne Niederlassung in Deutschland, von den Vorgaben des TTDSG erfasst, wenn sie bei der Erbringung von Dienstleistungen (in welcher Form auch immer?) mitwirken. Im TTDSG selbst wird der Begriff nicht definiert. Nach § 2 Abs. 1 TTDSG gelten die Begriffsbestimmungen des TKG. Dort kennt man den Begriff des „Mitwirkens“ (zB in § 3 Nr. 6 TKG). Möchte man diese Parallele zwischen TKG und TMG ziehen (was mE zumindest in der Pauschalität auch schon diskutiert werden kann), dann zeigt sich eine weites Verständnis des Begriffs. So etwa die BNetzA: „Das Eröffnen dieser Nutzungsmöglichkeit stellt im Regelfall kein eigenständiges Erbringen, sondern lediglich eine “Mitwirkung an der Erbringung von Telekommunikationsdiensten“ (vgl. § 3 Nr. 6 b TKG) eines Dritten (Netzbetreiber und/oder TK-Diensteanbieter, einschließlich Wiederverkäufer) dar“ (S. 1, PDF).

Fazit Diese Anmerkungen stellen nur eine erste kleine Einschätzung zu möglichen Praxisproblemen bei der Anwendung des neuen TTDSG, insbesondere im Fall von Auslandsbezügen, dar. Ich bin sehr gespannt, ob und wenn ja wie die Datenschutzbehörden mit möglichen Durchsetzungslücken in der Praxis umgehen.

Referentenwurf zum TTDSG – Cookies, Einwilligungsmanagement und Registrierungspflicht im Internet?

Heute das das BMWi einen neuen Referentenentwurf für ein Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (pdf). Bis zum 22.1.2021 können Stellungnahmen an das BMWi abgegeben werden.

Ziel des Entwurfs ist es, ein abgeschlossenes Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und den Telemedien (also zB Apps und Webseiten) zu schaffen. Man möchte vor allem auch Rechtssicherheit für Unternehmen schaffen, die aktuell mit verschiedensten Datenschutzvorgaben aus mehreren Gesetzen (DSGVO, TMG und TKG) umgehen müssen. Europarechtlich spielen hierbei vor allem die RL 2002/58/EG (inkl. der Änderungen durch die RL 2009/136/EG) sowie die RL 2018/1972/EG eine wichtige Rolle.

Nachfolgend möchte ich keine allgemeine Stellungnahme abgeben, sondern nur auf ein paar interessante Aspekte des Entwurfs eingehen, die zum Teil aber noch gar nicht im Entwurf selbst enthalten sind.

Vorgaben für den Einsatz von Cookies

Mit § 22 TTDSG möchte das BMWi die Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG umsetzen. Dieser verlangt von den Mitgliedstaaten, sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Endnutzer seine Einwilligung gegeben hat. Diese Regelung begegnet uns in der Praxis immer im Zusammenhang mit dem Einsatz von Cookies und anderen Trackingtechnologien. Kürzlich haben sich zur deutschen Rechtslage auch der EuGH (C-673/17) und der BGH (I ZR 7/16) geäußert.

Der Entwurf sieht vor, dass der aktuell geltende § 15 TMG komplett aufgehoben wird. Hierfür soll der neue § 22 TTDSG geschaffen werden, der sich sehr stark an der europäischen Vorgabe orientiert:

Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat“.

Wie auch Art. 5 Abs. 3 RL 2002/58/EG sieht § 22 in Abs. 2 und 3 Ausnahmen vom Einwilligungserfordernis vor. Die Begründung hierzu: § 22 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen (S. 32).

Besonders relevant für den Einsatz von Trackingtechnologien ist § 22 Abs. 3 TTDSG:

Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können“.

Für uns würde dies bedeuten, dass mit § 22 Abs. 1 TTDSG generell eine Einwilligungspflicht vorgeschrieben wird, die in den in Abs. 2 und 3 benannten Ausnahmefällen nicht greift. Dann dürfen zB Cookies auch ohne Einwilligung gesetzt werden.

In der Praxis wird die Diskussion sich dann vor allem um die Frage drehen, wann ein Zugriff auf Daten in einem Endgerät unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können. Bespiele hierfür sind der klassische Warenkorb-Cookie oder auch Authentifzierung-Cookies. Es gibt aber noch einige andere relevante Fallgruppe, die u.a. auch von europäischen Datenschutzbehörden als solche anerkannt sind (kleiner Spoiler: in einem der nächsten Hefte der Zeitschrift ZD wird es hierzu einen Aufsatz von Jasmin Kühner und mir geben).

Einwilligungsmanagement

Neu und daher besonders spannend ist die Idee des BMWi, Vorschriften zum Einsatz sog. Personal Information Management Services – PIMS zu schaffen. Im aktuellen Entwurf ist hierzu noch keine Regelung enthalten. Daher ist die Begründung auf S. 23 des Entwurfs leider nicht korrekt: „Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) geschaffen.“

Auf der Webseite des BMWi zu Anhörung findet sich jedoch die Aufforderung, genau zu diesem Thema Stellungnahmen abzugeben.

Das BMWi überlegt, evtl. doch noch eine Regelung zu „Regelungen zu Datenmanagementsystemen und „Personal Information Management-Services“ (PIMS)“ aufzunehmen. Die Idee ist nicht komplett neu, wie sich etwa aus ErwG 21 des Entwurfs der Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz) der EU-Kommission ergibt: „Solche Strukturen können die Dateninhaber beim Einwilligungsmanagement unterstützen, wenn beispielsweise für bestimmte Bereiche der wissenschaftlichen Forschung die Einwilligung unter der Voraussetzung gegeben wird, dass anerkannte Standards der Ethik für die wissenschaftliche Forschung eingehalten werden.“

Meiner Ansicht nach ist die Aufnahme einer Regelung hierzu im TTDSG deswegen aber nicht per se ausgeschlossen. Denn das Daten-Governance-Gesetz zielt vor allem auf Daten im öffentlichen Sektor. Daneben werden zwar auch Regelungen für den C2B Kontext geschaffen (also, wenn Nutzer ihre Daten an Unternehmen weitergeben wollen). Relevant ist hier die Tätigkeit sog. „Vermittlungsdienste“ nach Art. 9 Abs. 1 lit. b und die Bedingungen für die Erbringung solcher Vermittlungsdienste in Art. 11.

Ob und wie dieser Entwurf am Ende aber verabschiedet wird, ist derzeit aber nicht klar. Da wäre man auch nationaler Ebene sicher schneller. Natürlich käme es am Ende auf die konkreten Vorgaben im TTDSG an. Aber ein Novum wären solche Vorgaben für die Tätigkeit von Diensten zur Verwaltung persönlicher Informationen schon.

Registrierungspflicht im Internet?

Ein „heißes Eisen“ fasst das BMWi auf seiner Webseite ebenfalls an. Nach aktueller Gesetzeslage (§ 13 Abs. 6 TMG) müssen Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonymen ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung würde man im Grundsatz übernehmen.

Nun verweist das BMWi aber auf die Forderungen des BMI und auch der Innenministerkonferenz. Diese sprechen sich für gesetzliche Vorgaben zur Identifizierung zur Verifikation des Nutzers aus (Beschlussniederschrift der Frühjahrskonferenz, Juni 2020, zu Tagesordnungspunkt 24, PDF). Dort wurde beschlossen, dass das BMI sich innerhalb der Bundesregierung für eine Gesetzesinitiative mit dem Ziel der eindeutigen Identifizierbarkeit strafrechtlich Verantwortlicher im Bereich der (Hass-)Kriminalität im Internet einzusetzen“ soll. Es wird zudem auf eine Initiative der Ländern Niedersachsen und Mecklenburg-Vorpommern im Bundesrat verwiesen (BR Drs. 70/20, PDF). Dieser Antrag wurde jedoch nicht weiterverfolgt.

Nun stellt das BMWi folgende Möglichkeit auf regulatorischer Ebene in den Raum:

Möglich wäre die Einführung einer entsprechenden Verpflichtung von Anbietern von Telemedien zur Erhebung und Verifizierung von Name, Adresse und Geburtsdatum nach dem Vorbild der bereits für Telekommunikationsdiensteanbieter geregelten entsprechenden Pflicht bei Prepaid-Mobilfunkdiensten (§ 111 Absatz 1 Satz 3, § 171 Absatz 2 TKG-Entwurf). Dabei würde jeder Nutzer weiterhin selbst entscheiden können, ob er unter einem Pseudonym oder unter seinem Namen im Internet auftritt“.

Meines Erachtens muss man den Vorschlag scheibchenweise analysieren.

Zum einen denkt das BMWi an eine Verpflichtung für „Telemedienanbieter“. Das bedeutet gleichzeitig auch, dass der Zugang zum Internet an sich nicht betroffen wäre, aber natürlich die dortigen Angebote.

Zum anderen ist die hier angedachte Pflicht aber sogar umfassender als damals der Vorschlag im Bundesrat. Dort ging es um „Anbieter sozialer Netzwerke und Anbieter von Spieleplattformen“.

Zuletzt sieht das BMWi aber vor, dass die Kommunikation nach außen, also das Auftreten im virtuellen Raum, weiterhin pseudonym erfolgen könnte. Die Identifizierung soll also „nur“ gegenüber dem Diensteanbieter erfolgen, der diese Daten dann quasi intern vorhält. Ein Nutzerprofil oder einen Account, sollen Nutzer aber weiterhin unter Pseudonym führen können. Eventuell könnte man die angedachte Identifizierungspflicht daher auch als „Identifizierung light“ bezeichnen. So wie ich den Diskussionsvorschlag des BMWi verstehe, geht es um eine Identifizierung durch das Unternehmen (und dann wohl sicher auch um eine mögliche Weitergabe der Daten für Strafverfolgungszwecke).

Datenschutzbehörde Niedersachsen: Hinweise zu Einwilligungen für Cookies und Consent Management Tools

Die Datenschutzbehörde Niedersachsen hat am 25.11.2020 „Hinweise zu datenschutzkonfomen Einwilligungen auf Webseiten und zu Anforderungen an Consent-Layer“ (PDF) auf ihrer Webseite veröffentlicht. Die Hinweise geben einen guten und praktischen Überblick, was aus Unternehmenssicht bei dem Einsatz von Cookies und auch der Auswahl eines Consent Management Tools zu beachten ist. Zum Teil sind die Empfehlungen tatsächlich eher wirtschaftsfreundlich, jedoch finden sich in den Hinweisen auch einige meiner Ansicht nach rechtlich diskutable Punkte.

Die Hinweise starten mit der Feststellung, dass „sowohl für die Verwendung von Cookies als auch generell für die Einbindung von Drittdienst-leistern auf Webseiten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste)“ eine datenschutzrechtliche Einwilligung der Seitennutzerinnen und -nutzer erforderlich sei. In dieser Pauschalität ist diese Aussage jedoch nicht richtig. Natürlich gibt es auch Cookies, für deren Einsatz gerade keine Einwilligung eingeholt werden muss. Beispiele hierfür finden sich etwa im Working Paper 194 der ehemaligen Art. 29 Datenschutzgruppe, welches sich allein mit den Ausnahmen vom Einwilligungserfordernis befasst.

„Werbeversprechen“ von Consent-Tools

Meines Erachtens zurecht weist die Behörde darauf hin, dass sich Unternehmen nicht blind auf Aussagen von Anbietern von Consent Management Tools verlassen dürfen. Also etwa, dass mit deren Einsatz per se DSGVO-konforme Einwilligungen eingeholt werden. Meiner Erfahrung nach können dieses Tools sehrwohl als Werkzeug dienen, um solche Einwilligung einzuholen. Jedoch bedarf es stets einer finalen Prüfung und ggfs. Anpassung durch den Verantwortlichen.

Anforderungen an datenschutzkonforme Einwilligungen

Nachfolgend geht die Behörde dann auf die einzelnen Voraussetzungen einer Einwilligung nach Art. 4 Nr. 11 DSGVO ein. Sie stellt hierzu folgende Prüfpunkte auf:

  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • eindeutige bestätigende Handlung,
  • freiwillige Einwilligung,
  • keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog. Nudging),
  • Widerruf der Einwilligung,
  • Einwilligungen für Datenverarbeitungen von Minderjährigen.

Wichtig ist etwa, dass Cookies (oder generell andere Tracker) erst aktiviert werden, wenn die Einwilligung aktiv erteilt wurde. Ansonsten stellt ein Consent Management Tool nur ein Placebo dar.

Interessant ist zudem die Ansicht zu dem Merkmal der „Informiertheit der Einwilligung“, also welche Informationen im Einwilligungstext zu erteilen sind. Die Behörde trennt hier strikt zwischen der Informiertheit der Einwilligung und den Informationspflichten nach Art. 13 DSGVO.

Welche Informationen konkret zu erteilen sind, ergibt sich – im Unterschied zu den in Art. 13 DS-GVO normierten Informationspflichten – nicht unmittelbar aus dem Gesetz“. Die Datenschutzbehörde verweist für die „Informiertheit“ auf die Anforderungen des EDSA in den Guidelines 05/2020. Danach müssen folgende Informationen erteilt werden:

  • Identität des Verantwortlichen,
  • Verarbeitungszwecke
  • die verarbeiteten Daten,
  • die Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c) und
  • die Absicht einer Datenübermittlung in Drittländer (Art. 49 Abs. 1 S. 1 lit. a).

Erfreulicherweise gibt die Behörde auch Beispiele für Verarbeitungszwecke, die ihrer Ansicht nach nicht ausreichend sind. Etwa: „Webanalyse und Werbemaßnahmen durchzuführen“ und „Marketing, Analytics und Personalisierung“ zu ermöglichen. Und auch bei der Einbindung von Drittdiensten (was in der Praxis zumeist der Fall ist), ist die Behörde recht streng. Es genüge nicht eine Information, dass Daten an „Partner“ weitergegeben werden. Jedoch verlangt die Behörde nicht, dass die einzelnen Dritten direkt auf dem ersten Layer oder der ersten Ebene zu sehen sind. Sie müssen nur ausdrücklich benannt sein. Man könnte als annehmen, dass eine Information über einzelne Dritte auch auf der zweiten Ebene im Consent Management Tool zulässig ist.

Strenger ist die Auffassung hinsichtlich des Hinweises auf das Widerrufsrecht (Art. 7 Abs. 3 S. 3 DSGVO). Dort verlangt die Behörde explizit, dass dieser Hinweis „bereits auf der ersten Ebene des Consent-Fensters erforderlich“ sei. Dass man dies auch anders beurteilen kann, zeigt ein jüngst veröffentlichtes Urteil des LG Rostock (Az. 3 O 762/19). Das Gericht entschied dort: „Soweit der Kläger einwendet, die Information habe im Cookie-Banner selbst erfolgen müssen, so dass ein Verstoß gegen Art. 13 Abs. 2 lit. c DSGVO vorliege, teilt die Kammer diese Ansicht nicht“.

Spannend finde ich zudem noch die Ansicht der Behörde zur „Freiwilligkeit“. Zwar vertritt sie die Ansicht, dass sog. Cookie Walls unzulässig seien. „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen“. Die Datenschutzbehörde aus Niedersachsen bezieht sich hierbei auf einen beispielhaften Screenshot, in dem Nutzern ein Abo für 3 EUR im Monat angeboten wird, welches ohne ein Tracking auskommt. Die Behörde gestattet also das Modell der Alternative zwischen „Kostenlos, dafür Tracking“ und „Kostenpflichtig, dafür ohne Tracking“. Ob die in dem Beispiel genannten 3 EUR pro Monat als Maximalwert anzusetzen sind, würde ich jedoch eher ablehnen.

Neue Rechtslage: Berliner Datenschutzbehörde erhält Zuständigkeit für Bußgelder nach dem TMG

Im Juni diesen Jahres hatte ich im Blog darauf hingewiesen, dass in einigen Bundesländern die Zuständigkeit für die Verhängung von Bußgeldern wegen Verstößen gegen die datenschutzrechtlichen Vorgaben des TMG (insbesondere §§ 13, 14, 15 TMG) gar nicht bei den Datenschutzbehörden liegt. In Berlin waren etwa die jeweiligen Bezirksämter zuständig.

Änderung der Rechtslage

Nun hat der Landesgesetzgeber in Berlin genau diese Situation adressiert und auch geändert. Ab sofort, genauer gesagt ab heute, ist für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG nicht mehr das jeweilige Bezirksamt, sondern die Landesbeauftragte für Datenschutz zuständig.

Die Anpassung erfolgt im Rahmen der „Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben“, die gestern im Berliner Gesetzes- und Verordnungsblatt veröffentlicht wurde (PDF).

Es erfolgt eine Änderung in § 1 der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten (ZustVO-OWiG). Die veränderte Verordnung tritt heute in Kraft (vgl. Art. 3 Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben).

Der neue § 1 Nr. 16 ZustVO-OWiG lautet wie folgt:

Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten sind für die Fälle, in denen die zuständige Verwaltungsbehörde nicht durch Gesetz bestimmt ist, die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit für Ordnungswidrigkeiten nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, in der jeweils geltenden Fassung.

Auswirkung

Eine direkte Auswirkung dieser Anpassung ist, dass nun die Berliner Datenschutzbehörde für die Verhängung von Bußgeldern in den benannten Fällen des § 16 Abs. 2 TMG zuständig ist. Dies sollten Unternehmen in Berlin beachten, wenn sie etwa im Rahmen einer internen Risikoprüfung des Trackings auf Webseiten oder Apps über Rechtsfolgen nachdenken.

Hinweise

Weiterhin bisher nicht angepasst wurde aber § 16 Abs. 2 TMG selbst; konkret Nr. 5. Als Bußgeldtatbestand wurde dort „nur“ eine Verletzung von § 15 Abs. 3 S. 3 TMG aufgeführt, nicht jedoch ein Verstoß gegen die übrigen Sätze des § 15 Abs. 3 TMG, in denen es um die Erstellung von Profilen und den Einsatz von Cookies geht. Zudem gilt auch weiterhin die Obergrenze für Bußgelder von 50.000 EUR nach § 16 Abs. 3 TMG. Dies aber natürlich nur, soweit man sich nicht im Anwendungsbereich der DSGVO befindet.

Man wird nun abwarten müssen, ob die Berliner Aufsichtsbehörde von ihrer neu geschaffenen Zuständigkeit Gebrauch macht.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Datenschutzerklärungen der Aufsichtsbehörden: Wie setzen die Datenschutzbehörden die DSGVO-Vorgaben um?

Datenschutzerklärungen zu erstellen, gehört für Unternehmen quasi zum Tagesgeschäft. Die damit verbundene Erfüllung der Informationspflichten aus Art. 12, 13 und 14 DSGVO müsste, nach fast zwei Jahren der Anwendbarkeit der DSGVO, quasi ein Selbstläufer sein und ohne Interpretationsschwierigkeiten auskommen. Mag man meinen.

Doch steigt man erst einmal in die einzelnen Anforderungen der „Checklisten“ in Art. 13 und 14 DSGVO ein, wird schnell klar, dass die Vorgaben zum Teil so unbestimmt sind, dass eine eindeutige Aussage dazu, über was und wie informiert werden muss, nicht trivial ist.

Vor diesem Hintergrund habe ich mir die Datenschutzerklärungen der deutschen Datenschutzbehörden auf deren Webseiten angeschaut. Denn ich meinte, dass bei den Aufsichtsbehörden doch wohl eine einheitliche Linie bei der Umsetzung der DSGVO-Vorgaben zu erkennen sei. Meine Ergebnisse habe ich in der Tabelle unten zusammengefasst. Zum Teil sind die Angaben in den Datenschutzerklärungen tatsächlich so unklar, dass ich meine eigenen Mutmaßungen in die Tabelle eingefügt habe.

Es zeigt sich, dass auch die Datenschutzbehörden die Anforderungen an die Informationspflichten sehr unterschiedlich interpretieren und umsetzen. Dass es hier Abweichungen und wohl auch unterschiedliche Interpretation der gesetzlichen Vorgabem gibt, mag zunächst verweunden. Andererseits ist es meines Erachtens auch nicht sehr überraschend und es zeigt, dass aktuell wirklich jede datenverarbeitende Stelle, auch die Aufsichtsbehörden, die Anforderungen der DSGVO verschieden versstehen.

Hinweis: ich habe mir in den Datenschutzerklärungen jeweils nur die Informationen angeschaut, die einfache Webseitenbesucher betreffen. Also wirklich nur den Besuch, ohne zusätzliche Funktionen (zB Meldungen) oder Angebote (zB Newsletter) zu nutzen.

Zudem habe ich mich auf zwei Informationspflichten beschränkt. Zum einen Art. 13 Abs. 1 a) DSGVO. Empfänger oder Kategorien. Hier stellt sich nämlich oft die (umstrittene) Frage, ob ein Unternehmen zwingend die Empfänger benennen muss (meines Erachtens nicht). Und Art. 13 Abs. 2 a) DSGVO, Dauer der Speicherung. Bei dieser Vorschrift wird etwa diskutiert, wann die konkrete Angabe der Dauer nicht möglich ist und man auf die Kriterien abstellen kann.

Datenschutzbehörde Art. 13 Abs. 1 e) (Empfänger oder Kategorien) Art. 13 Abs. 2 a) (Dauer der Speicherung oder die Kriterien)
BfDI Kategorien Allgemeine Kriterien
LfDI BaWÜ Kategorien Allgemeine Kriterien
LfD Bayern Kategorien 7 Tage
BayLDA Kategorien 7 Tage
Berliner LDI Keine Weitergabe an „Dritte“ Dauer der Nutzung
LDA Brandenburg Keine Weitergabe an „Dritte“ Keine Angabe (da keine IP Adressen gespeichert)
LfDI Bremen Kategorien Dauer der Nutzung
HmbBfDI Keine Weitergabe an „Dritte“ Erhebung anonymisierter IP Adressen
LfDI Mecklenburg-Vorpommern Konkret benannt und Kategorien 1 Tag
LfD Niedersachsen Konkret benannt Keine Angabe
LDI NRW Konkret benannt 4 Wochen
LfDI RLP Kategorien 30 Tage
Unabhängiges Datenschutzzentrum Saarland Keine Weitergabe (da keine pb Daten gespeichert) Keine Angabe (da keine IP Adressen gespeichert)
LfD Sachsen-Anhalt Konkret benannt und Kategorien 7 Tage
ULD Schleswig-Holstein Kategorien Keine Angabe (da keine IP Adressen gespeichert)
Sächsischer DSB Konkret benannt Keine Angabe (da keine IP Adressen gespeichert)
TLfDI Konkret benannt und Kategorien 21 Tage

Protokoll der letzten DSK-Sitzung: Sprachassistenz-Systeme, Webseitenprüfung bei Medienunternehmen und mehr

Die Datenschutzkonferenz („DSK“) hat auf ihrer Webseite das Protokoll der letzten Sitzung vom 6. Und 7. November 2019 veröffentlicht (PDF). Auch dieses Mal sind wieder einige interessante und praxisrelevante Informationen enthalten. Nachfolgend einige der dort behandelten Themen.

Entschließung: Transkriptionen durch Anbieter von Sprachassistenz-Systemen

Die DSK arbeitet aktuell an einer Entschließung zu Sprachassistenz-Systemen. Die Behörde aus Hamburg stellt dar, dass das Thema bereits auf europäischer Ebene diskutiert wurde. Zwar wurde offensichtlich ein Entschließungsentwurf vorgelegt, jedoch gab es seitens der Aufsichtsbehörden eine Reihe von Änderungswünschen. Daher beschloss die DSK die vorgelegte Entschließung im Umlaufverfahren abzustimmen. Wir werden also wohl hoffentlicher in naher Zukunft zu diesem durchaus relevanten Thema eine erste Orientierung aus Sicht der Behörden erhalten. Relevant ist dieses Thema vor allem, weil immer mehr Geräte und zB auch Fahrzeuge mit einer Sprachsteuerung ausgestatte sind.

Vertreter von Unternehmen in Deutschland nach Art. 27 DSGVO

Auch an diesem Thema arbeitet die DSK. Die Arbeitskreise Grundsatz und Internationaler Verkehr sollen ein Positionspapier zu Art und Umfang der einem Vertreter nach Art. 27 DSGVO obliegenden Aufgaben erstellen. Diese Position dürfte dann vor allem für Anbieter der Tätigkeit als Vertreter sein, aber auch für Unternehmen außerhalb der EU, die einen Vertretet in Deutschland benennen möchten (oder evtl. müssen).

Tracking bei Presseportalen

Interessant finde ich die Informationen unter TOP 19. Die Aufsichtsbehörde aus Hamburg informiert, dass bei ihr eine steigende Zahl von Beschwerden hinsichtlich des Einsatzes von Trackingtools auf Presseportalen zu verzeichnen sei. Von Hamburg initiierte und bereits stattgefundene Gespräche mit den entsprechenden Verbänden ließen bislang allerdings wenig Bereitschaft erkennen, hinsichtlich einer Änderung dieser Praxis auf die Mitgliedsunternehmen einzuwirken. Die Behörde aus Niedersachsen berichtet zudem, dass im Arbeitskreis Medien der DSK bereits deutlich wurde, dass die Gesprächsreihe nicht fortzusetzen ist.

Und dann: „Es soll nun die bereits geplante, koordinierte Webseitenprüfung bei Medienunternehmen begonnen werden, an der sich voraussichtlich 11 Länder beteiligen werden“.

Dies bedeutet, dass sich Medienunternehmen, also wohl vor allem Verlage, aber evtl. auch Betreiber von Fernsehsendern, darauf vorbereiten sollten, dass ihre digitalen Angebote durch die Behörden im Rahmen eines koordinierten Vorgehens geprüft werden. Schwerpunkt hierbei scheint das Thema „Tracking“ (also wohl der Einsatz von Cookies, Pixeln und ähnlichen Technologien) auf den Webseiten und Apps zu sein.

Bericht der Taskforce Facebook Fanpages

Zudem gibt es eine kleine Information dazu, wie innerhalb der DSK hinsichtlich des Themas „Fanpages“ weitergearbeitet werden soll. Die Behörde aus Schleswig-Holstein stellt dar, dass die Gründe der Entscheidung des BVerwG vom 11.09.2019 noch nicht vorliegen (Anmerkung von mir: diese liegen mittlerweile vor).

Die Taskforce innerhalb der DSK werde in Kürze erneut zusammenkommen, um:

  • das von Facebook aktualisierte Addendum auszuwerten
  • eine Bewertung der Antworten auf die ausgesendeten Fragenkataloge vorzunehmen
  • eine Bewertung laufender Verfahren (insbesondere Fashion ID und Wirtschaftsakademie) vorzunehmen
  • eine Abstimmung über das weitere Vorgehen vorzunehmen

Aktueller Stand der geplanten ePrivacy-Verordnung: Mitgliedstaaten sehen viele offene Fragen

Im Januar 2017 hat die Europäische Kommission den Entwurf für eine neue Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), pdf) veröffentlicht (zu dem ersten Leak des Entwurfs im Dezember 2016, hier mein Beitrag).

Die Verordnung (ePrivacy-VO) soll die geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen, zum Teil neue Regelungen schaffen und inhaltlich mit der Datenschutz-Grundverordnung abstimmen. Grundsätzlich soll diese neue Verordnung zum 25. Mai 2018 anwendbar sein. Ein sehr ambitioniertes Vorhaben.

Der Entwurf wird nun von dem Europäischen Parlament und auch dem Rat der Europäischen Union begutachtet und jeweils eigene Stellungnahmen und Änderungswünsche erarbeitet. Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament ist die Abstimmung derzeit zunächst für Oktober 2017 geplant.

Auch der Rat (also die Mitgliedstaaten) befasst sich mit dem Entwurf, dort insbesondere in einer eigenen Arbeitsgruppe für Telekommunikation und Informationsdienste (WP TELE). In dieser Gruppe wurden bisher die Artikel 1 – 8 (von insgesamt 29) des Entwurfs näher besprochen. Hier liegt also noch einiges an Arbeit vor der Arbeitsgruppe.

Doch bereits zum aktuellen Zeitpunkt der Beratungen lassen sich mehrere kritische Themen identifizieren, bei denen die Mitgliedstaaten Diskussions- und ggf. Anpassungsbedarf sehen. Über diesen aktuellen Stand hat nun die Ratspräsidentschaft in einem Bericht (pdf) vom 19. Mai 2017 informiert.

So wird etwa die geplante Zuständigkeit der nationalen Datenschutzbehörden für die Überwachung der Regeln der ePrivacy-VO und deren Durchsetzung kritisch gesehen. Insbesondere sei dies nach Auffassung einiger Mitgliedstaaten nicht unbedingt der passende Weg, um das Problem der uneinheitlichen Durchsetzung der Regelungen in Europa zu lösen.

Zwar wurden die Ziele des Entwurfs in der WP TELE grundsätzlich positiv bewertet, insbesondere ein hohes Schutzniveau für die Privatsphäre zu garantieren. Jede erfordere die angedachte Form der EU-Verordnung einen höheren Detailgrad der Regelungen (als im Fall einer Richtlinie). Aus diesem Grund halten Delegationen der Mitgliedstaaten den angedachten Zeitpunkt der Anwendbarkeit am 25. Mai 2018 daher auch für schlicht unrealistisch.

Zudem besteht aus Sicht der Mitgliedstaaten Klärungsbedarf bei dem Verhältnis und Zusammenspiel der Regelungen mit anderem europäischen Recht, insbesondere der Datenschutz-Grundverordnung.

Ganz konkret kritisieren Delegationen auch den sachlichen Anwendungsbereich der ePrivacy-VO. Die Ausweitung auf over-the-top-Dienste (OTT) erfordere weitere Klärung. Auch existieren offene Fragen mit Blick auf die Ausweitung des Anwendungsbereichs auf die Maschine-Maschine-Kommunikation.

Hier lässt sich bereits erkennen, dass die Kritik der Delegationen im Rat teilweise schon bei den ganz grundsätzlichen Regelungen und Neuerungen (etwa Einbeziehung der OTT Dienste) ansetzt.

Auch die Vorschriften zu den Erlaubnistatbeständen, wann also Kommunikationsdaten verarbeitet werden dürfen, sehen manche Delegationen also zu eng an und fordern mehr Möglichkeiten und Flexibilität.

Auch das Thema „Cookies“ wird von den Mitgliedstaaten analysiert und die Regelungen im Entwurf kritisiert. Einige Delegationen fordern genauere Bestimmungen zu den Ausnahmen vom generellen Verbot der Datenverarbeitung über Cookies und auch das Gerätetracking. Hier soll über eine Liste mit weiteren Ausnahmen (auch von der Einwilligung der Nutzer) nachgedacht werden.

Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.