News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Der EDSA legt dar, wann nach seiner Einschätzung ein „Zugriff auf“ oder „Speicherung von Informationen“ in einem Endgerät vorliegen. Zudem wird erläutert, was unter dem „Endgerät eines Nutzers“ zu verstehen ist. Hervorzuheben ist, dass der EDSA einige konkrete Aussagen zur Anwendbarkeit der ePrivacyRL auf gängige Trackingtechnologien (insbesondere nicht allein Cookies) trifft. Eine Besonderheit: der EDSA geht davon aus, dass Art. 5 Abs. 3 ePrivacyRL auf das Tracking via Link anwendbar sein soll.
Bisheriger Stand
Maßgeblich für die Auslegung des technischen Anwendungsbereich des § 25 TTDSG durch die Deutschen Aufsichtsbehörden war bislang die von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe Telemedien 2021 (OH Telemedien 2021). In dieser wurde zum Beispiel der Zugriff auf das Endgerät als „gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen“ ausgelegt und nur Informationen ausgenommen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werde (wie z.B. die IP-Adresse, die abgerufene URL oder den User-Agent).
Zentrale Aussagen der Leitlinie des EDSA
Zur Anwendbarkeit der ePrivacyRL trifft der EDSA folgende zentrale Aussagen:
- Für die Anwendbarkeit kommt es nicht auf eine Verarbeitung personenbezogener Daten an; es reicht, wenn Daten von einem Endgerät ausgelesen oder abgerufen werden.
- Daten sind geschützt, egal von wem sie auf dem Endgerät abgelegt wurden, d.h. es sind z.B. auch Daten geschützt, die von Dritten in Form eines Cookies oder Pixels auf einem Endgerät abgelegt wurden.
- Die ePrivacyRL soll auch Endgeräte von juristischer Personen vor unberechtigten Zugriffen schützen.
- Es kommt nicht darauf an, dass der Nutzer Eigentümer des Endgeräts ist; es reicht, wenn er das Gerät ausgeliehen bekommen hat oder mit mehreren Personen gemeinsam nutzt.
- Ein Zugriff liegt immer vor, wenn aktiv Informationen von einem Endgerät abgerufen werden, z.B. durch Abruf mittels eines JavaScripts.
- In Bezug auf die Speicherung von Daten auf einem Endgerät, spielt es keine Rolle, wo und wie lange Daten auf dem Endgerät gespeichert werden. Bei jeder Form der Speicherung sind die Vorgaben der ePrivacyRL anwendbar.
Praxisbeispiele des EDSA
Besonders relevant ist die vom EDSA vorgenommene Einordnung konkreter Praxisbeispiele, die wir im folgenden überblicksartig dargestellt haben:
|
Fallbeispiel |
Anwendbarkeit ePrivacyRL? |
|
Speicherung von Daten durch den lokalen Browser |
Nicht anwendbar, solange die Daten nicht auch abgerufen werden. |
|
Tracking Pixel |
Anwendbar. |
|
Tracking Links |
Anwendbar, da zumindest Speicherung im Cache der clientseitigen Software. Das soll insbesondere auch für Affiliate-Links gelten. |
|
Tracking auf Basis der IP |
Ja, wenn die IP-Adresse vom Endgerät stammt, z.B. bei den vom Router eines Benutzers ausgehenden IPv4-Adressen und bei IPv6-Adressen. |
|
IoT (Internet of Things) |
Ja, wenn das IoT-Gerät direkt mit einem öffentlichen Netzwerk verbunden ist. Bei Anbindung über ein Smartphone schützt Art. 5 Abs. 3 ePrivacyRL den Zugriff auf das Smartphone. |
|
Unique Identifier |
Anwendbar. |
Besonders eine mögliche Anwendbarkeit im Kontext von Tracking Links könnte weitreichende Konsequenzen für viele Unternehmen haben. Im Affiliatemarketing werden diese Links in der Regel ohne Nutzereinwilligung eingesetzt, damit Unternehmen lückenlos, also für jeden weitergeleiteten Nutzer, vergütet werden.
Empfehlung
Der EDSA scheint die Anwendbarkeit der ePrivacyRL deutlich weiter zu fassen als die DSK. Der von der DSK herausgearbeitete Ausnahmefall wird beispielsweise an keiner Stelle der Leitlinie erwähnt. Wir empfehlen Ihnen daher dringend zu prüfen, ob die o.g. Use Cases für Ihr Unternehmen relevant sind und intern zu prüfen, ob diesbezüglich bereits die Vorgaben aus der ePrivacyRL bzw. dem TTDSG als Umsetzungsgesetz eingehalten werden.
Die Leitlinien sind aktuell im Entwurf veröffentlicht. Bis zum 28. Dezember 2023 können interessierte Kreise ihre Anmerkungen und ggfs. auch Kritik an den EDSA übersenden.
News
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?