News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Der EDSA legt dar, wann nach seiner Einschätzung ein „Zugriff auf“ oder „Speicherung von Informationen“ in einem Endgerät vorliegen. Zudem wird erläutert, was unter dem „Endgerät eines Nutzers“ zu verstehen ist. Hervorzuheben ist, dass der EDSA einige konkrete Aussagen zur Anwendbarkeit der ePrivacyRL auf gängige Trackingtechnologien (insbesondere nicht allein Cookies) trifft. Eine Besonderheit: der EDSA geht davon aus, dass Art. 5 Abs. 3 ePrivacyRL auf das Tracking via Link anwendbar sein soll.
Bisheriger Stand
Maßgeblich für die Auslegung des technischen Anwendungsbereich des § 25 TTDSG durch die Deutschen Aufsichtsbehörden war bislang die von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe Telemedien 2021 (OH Telemedien 2021). In dieser wurde zum Beispiel der Zugriff auf das Endgerät als „gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen“ ausgelegt und nur Informationen ausgenommen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werde (wie z.B. die IP-Adresse, die abgerufene URL oder den User-Agent).
Zentrale Aussagen der Leitlinie des EDSA
Zur Anwendbarkeit der ePrivacyRL trifft der EDSA folgende zentrale Aussagen:
- Für die Anwendbarkeit kommt es nicht auf eine Verarbeitung personenbezogener Daten an; es reicht, wenn Daten von einem Endgerät ausgelesen oder abgerufen werden.
- Daten sind geschützt, egal von wem sie auf dem Endgerät abgelegt wurden, d.h. es sind z.B. auch Daten geschützt, die von Dritten in Form eines Cookies oder Pixels auf einem Endgerät abgelegt wurden.
- Die ePrivacyRL soll auch Endgeräte von juristischer Personen vor unberechtigten Zugriffen schützen.
- Es kommt nicht darauf an, dass der Nutzer Eigentümer des Endgeräts ist; es reicht, wenn er das Gerät ausgeliehen bekommen hat oder mit mehreren Personen gemeinsam nutzt.
- Ein Zugriff liegt immer vor, wenn aktiv Informationen von einem Endgerät abgerufen werden, z.B. durch Abruf mittels eines JavaScripts.
- In Bezug auf die Speicherung von Daten auf einem Endgerät, spielt es keine Rolle, wo und wie lange Daten auf dem Endgerät gespeichert werden. Bei jeder Form der Speicherung sind die Vorgaben der ePrivacyRL anwendbar.
Praxisbeispiele des EDSA
Besonders relevant ist die vom EDSA vorgenommene Einordnung konkreter Praxisbeispiele, die wir im folgenden überblicksartig dargestellt haben:
|
Fallbeispiel |
Anwendbarkeit ePrivacyRL? |
|
Speicherung von Daten durch den lokalen Browser |
Nicht anwendbar, solange die Daten nicht auch abgerufen werden. |
|
Tracking Pixel |
Anwendbar. |
|
Tracking Links |
Anwendbar, da zumindest Speicherung im Cache der clientseitigen Software. Das soll insbesondere auch für Affiliate-Links gelten. |
|
Tracking auf Basis der IP |
Ja, wenn die IP-Adresse vom Endgerät stammt, z.B. bei den vom Router eines Benutzers ausgehenden IPv4-Adressen und bei IPv6-Adressen. |
|
IoT (Internet of Things) |
Ja, wenn das IoT-Gerät direkt mit einem öffentlichen Netzwerk verbunden ist. Bei Anbindung über ein Smartphone schützt Art. 5 Abs. 3 ePrivacyRL den Zugriff auf das Smartphone. |
|
Unique Identifier |
Anwendbar. |
Besonders eine mögliche Anwendbarkeit im Kontext von Tracking Links könnte weitreichende Konsequenzen für viele Unternehmen haben. Im Affiliatemarketing werden diese Links in der Regel ohne Nutzereinwilligung eingesetzt, damit Unternehmen lückenlos, also für jeden weitergeleiteten Nutzer, vergütet werden.
Empfehlung
Der EDSA scheint die Anwendbarkeit der ePrivacyRL deutlich weiter zu fassen als die DSK. Der von der DSK herausgearbeitete Ausnahmefall wird beispielsweise an keiner Stelle der Leitlinie erwähnt. Wir empfehlen Ihnen daher dringend zu prüfen, ob die o.g. Use Cases für Ihr Unternehmen relevant sind und intern zu prüfen, ob diesbezüglich bereits die Vorgaben aus der ePrivacyRL bzw. dem TTDSG als Umsetzungsgesetz eingehalten werden.
Die Leitlinien sind aktuell im Entwurf veröffentlicht. Bis zum 28. Dezember 2023 können interessierte Kreise ihre Anmerkungen und ggfs. auch Kritik an den EDSA übersenden.
News
Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema
Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Digital Markets Acts (DMA): Was geht uns das an?
Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).
Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.
Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen
Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.
Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?
US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet. Welchen Einfluss diese auf Datentransfers in die USA hat und ob die EO die durch den EuGH festgestellten Defizite heilt, ist bislang noch fraglich. In diesem Beitrag geben wir Ihnen einen kurzen Überblick, über die EO und den aktuellen Stand der Diskussion.
Piltz Legal Update am 25.11.2022 - "AVV-Prüfung und -Verhandlung in der Praxis" - online
Am 25.11.2022 findet unsere zweite Veranstaltung der "Piltz Legal Update" Seminarreihe online statt.
Dieses Mal sprechen Dr. Carlo Piltz und Philipp Quiel über das Thema: "AVV-Prüfung und -Verhandlung in der Praxis". Sie geben Einblicke, klären über typische Probleme auf und geben ausgewählte Lösungsvorschläge.