News

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Der EDSA legt dar, wann nach seiner Einschätzung ein „Zugriff auf“ oder „Speicherung von Informationen“ in einem Endgerät vorliegen. Zudem wird erläutert, was unter dem „Endgerät eines Nutzers“ zu verstehen ist. Hervorzuheben ist, dass der EDSA einige konkrete Aussagen zur Anwendbarkeit der ePrivacyRL auf gängige Trackingtechnologien (insbesondere nicht allein Cookies) trifft. Eine Besonderheit: der EDSA geht davon aus, dass Art. 5 Abs. 3 ePrivacyRL auf das Tracking via Link anwendbar sein soll.

 

Bisheriger Stand

Maßgeblich für die Auslegung des technischen Anwendungsbereich des § 25 TTDSG durch die Deutschen Aufsichtsbehörden war bislang die von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe Telemedien 2021 (OH Telemedien 2021). In dieser wurde zum Beispiel der Zugriff auf das Endgerät als „gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen“ ausgelegt und nur Informationen ausgenommen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werde (wie z.B. die IP-Adresse, die abgerufene URL oder den User-Agent).

 

Zentrale Aussagen der Leitlinie des EDSA

Zur Anwendbarkeit der ePrivacyRL trifft der EDSA folgende zentrale Aussagen:

  • Für die Anwendbarkeit kommt es nicht auf eine Verarbeitung personenbezogener Daten an; es reicht, wenn Daten von einem Endgerät ausgelesen oder abgerufen werden.
  • Daten sind geschützt, egal von wem sie auf dem Endgerät abgelegt wurden, d.h. es sind z.B. auch Daten geschützt, die von Dritten in Form eines Cookies oder Pixels auf einem Endgerät abgelegt wurden.
  • Die ePrivacyRL soll auch Endgeräte von juristischer Personen vor unberechtigten Zugriffen schützen.
  • Es kommt nicht darauf an, dass der Nutzer Eigentümer des Endgeräts ist; es reicht, wenn er das Gerät ausgeliehen bekommen hat oder mit mehreren Personen gemeinsam nutzt.
  • Ein Zugriff liegt immer vor, wenn aktiv Informationen von einem Endgerät abgerufen werden, z.B. durch Abruf mittels eines JavaScripts.
  • In Bezug auf die Speicherung von Daten auf einem Endgerät, spielt es keine Rolle, wo und wie lange Daten auf dem Endgerät gespeichert werden. Bei jeder Form der Speicherung sind die Vorgaben der ePrivacyRL anwendbar.

 

Praxisbeispiele des EDSA

Besonders relevant ist die vom EDSA vorgenommene Einordnung konkreter Praxisbeispiele, die wir im folgenden überblicksartig dargestellt haben:

Fallbeispiel

Anwendbarkeit ePrivacyRL?

Speicherung von Daten durch den lokalen Browser

Nicht anwendbar, solange die Daten nicht auch abgerufen werden.

Tracking Pixel

Anwendbar.

Tracking Links

Anwendbar, da zumindest Speicherung im Cache der clientseitigen Software. Das soll insbesondere auch für Affiliate-Links gelten.

Tracking auf Basis der IP

Ja, wenn die IP-Adresse vom Endgerät stammt, z.B. bei den vom Router eines Benutzers ausgehenden IPv4-Adressen und bei IPv6-Adressen.

IoT (Internet of Things)

Ja, wenn das IoT-Gerät direkt mit einem öffentlichen Netzwerk verbunden ist. Bei Anbindung über ein Smartphone schützt Art. 5 Abs. 3 ePrivacyRL den Zugriff auf das Smartphone.

Unique Identifier

Anwendbar.

 

Besonders eine mögliche Anwendbarkeit im Kontext von Tracking Links könnte weitreichende Konsequenzen für viele Unternehmen haben. Im Affiliatemarketing werden diese Links in der Regel ohne Nutzereinwilligung eingesetzt, damit Unternehmen lückenlos, also für jeden weitergeleiteten Nutzer, vergütet werden.

 

Empfehlung

Der EDSA scheint die Anwendbarkeit der ePrivacyRL deutlich weiter zu fassen als die DSK. Der von der DSK herausgearbeitete Ausnahmefall wird beispielsweise an keiner Stelle der Leitlinie erwähnt. Wir empfehlen Ihnen daher dringend zu prüfen, ob die o.g. Use Cases für Ihr Unternehmen relevant sind und intern zu prüfen, ob diesbezüglich bereits die Vorgaben aus der ePrivacyRL bzw. dem TTDSG als Umsetzungsgesetz eingehalten werden.

Die Leitlinien sind aktuell im Entwurf veröffentlicht. Bis zum 28. Dezember 2023 können interessierte Kreise ihre Anmerkungen und ggfs. auch Kritik an den EDSA übersenden.

Rechtsanwalt, Senior Associate
Philip Schweers
Rechtsanwalt, Senior Associate
Philip Schweers

Zurück

News

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig