News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Der EDSA legt dar, wann nach seiner Einschätzung ein „Zugriff auf“ oder „Speicherung von Informationen“ in einem Endgerät vorliegen. Zudem wird erläutert, was unter dem „Endgerät eines Nutzers“ zu verstehen ist. Hervorzuheben ist, dass der EDSA einige konkrete Aussagen zur Anwendbarkeit der ePrivacyRL auf gängige Trackingtechnologien (insbesondere nicht allein Cookies) trifft. Eine Besonderheit: der EDSA geht davon aus, dass Art. 5 Abs. 3 ePrivacyRL auf das Tracking via Link anwendbar sein soll.
Bisheriger Stand
Maßgeblich für die Auslegung des technischen Anwendungsbereich des § 25 TTDSG durch die Deutschen Aufsichtsbehörden war bislang die von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe Telemedien 2021 (OH Telemedien 2021). In dieser wurde zum Beispiel der Zugriff auf das Endgerät als „gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen“ ausgelegt und nur Informationen ausgenommen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werde (wie z.B. die IP-Adresse, die abgerufene URL oder den User-Agent).
Zentrale Aussagen der Leitlinie des EDSA
Zur Anwendbarkeit der ePrivacyRL trifft der EDSA folgende zentrale Aussagen:
- Für die Anwendbarkeit kommt es nicht auf eine Verarbeitung personenbezogener Daten an; es reicht, wenn Daten von einem Endgerät ausgelesen oder abgerufen werden.
- Daten sind geschützt, egal von wem sie auf dem Endgerät abgelegt wurden, d.h. es sind z.B. auch Daten geschützt, die von Dritten in Form eines Cookies oder Pixels auf einem Endgerät abgelegt wurden.
- Die ePrivacyRL soll auch Endgeräte von juristischer Personen vor unberechtigten Zugriffen schützen.
- Es kommt nicht darauf an, dass der Nutzer Eigentümer des Endgeräts ist; es reicht, wenn er das Gerät ausgeliehen bekommen hat oder mit mehreren Personen gemeinsam nutzt.
- Ein Zugriff liegt immer vor, wenn aktiv Informationen von einem Endgerät abgerufen werden, z.B. durch Abruf mittels eines JavaScripts.
- In Bezug auf die Speicherung von Daten auf einem Endgerät, spielt es keine Rolle, wo und wie lange Daten auf dem Endgerät gespeichert werden. Bei jeder Form der Speicherung sind die Vorgaben der ePrivacyRL anwendbar.
Praxisbeispiele des EDSA
Besonders relevant ist die vom EDSA vorgenommene Einordnung konkreter Praxisbeispiele, die wir im folgenden überblicksartig dargestellt haben:
|
Fallbeispiel |
Anwendbarkeit ePrivacyRL? |
|
Speicherung von Daten durch den lokalen Browser |
Nicht anwendbar, solange die Daten nicht auch abgerufen werden. |
|
Tracking Pixel |
Anwendbar. |
|
Tracking Links |
Anwendbar, da zumindest Speicherung im Cache der clientseitigen Software. Das soll insbesondere auch für Affiliate-Links gelten. |
|
Tracking auf Basis der IP |
Ja, wenn die IP-Adresse vom Endgerät stammt, z.B. bei den vom Router eines Benutzers ausgehenden IPv4-Adressen und bei IPv6-Adressen. |
|
IoT (Internet of Things) |
Ja, wenn das IoT-Gerät direkt mit einem öffentlichen Netzwerk verbunden ist. Bei Anbindung über ein Smartphone schützt Art. 5 Abs. 3 ePrivacyRL den Zugriff auf das Smartphone. |
|
Unique Identifier |
Anwendbar. |
Besonders eine mögliche Anwendbarkeit im Kontext von Tracking Links könnte weitreichende Konsequenzen für viele Unternehmen haben. Im Affiliatemarketing werden diese Links in der Regel ohne Nutzereinwilligung eingesetzt, damit Unternehmen lückenlos, also für jeden weitergeleiteten Nutzer, vergütet werden.
Empfehlung
Der EDSA scheint die Anwendbarkeit der ePrivacyRL deutlich weiter zu fassen als die DSK. Der von der DSK herausgearbeitete Ausnahmefall wird beispielsweise an keiner Stelle der Leitlinie erwähnt. Wir empfehlen Ihnen daher dringend zu prüfen, ob die o.g. Use Cases für Ihr Unternehmen relevant sind und intern zu prüfen, ob diesbezüglich bereits die Vorgaben aus der ePrivacyRL bzw. dem TTDSG als Umsetzungsgesetz eingehalten werden.
Die Leitlinien sind aktuell im Entwurf veröffentlicht. Bis zum 28. Dezember 2023 können interessierte Kreise ihre Anmerkungen und ggfs. auch Kritik an den EDSA übersenden.
News
Zweitverwendung personenbezogener Daten in der Forschung: EDSB-Studie zeigt dringenden Handlungsbedarf
Ob Biobank, klinische Studie oder KI-gestützte Gesundheitsforschung: Die Wiederverwendung bereits erhobener personenbezogener Daten für neue wissenschaftliche Fragestellungen – die sogenannte Zweitverarbeitung, Zweitverwendung oder Zweitnutzung – ist aus der modernen Forschung nicht mehr wegzudenken. Sie verspricht Effizienz, Erkenntnisgewinn und gesellschaftlichen Mehrwert. Doch das datenschutzrechtliche Fundament für solche Projekte ist häufig eher unsicher.
Relevante Vorgaben zum Einsatz von KI in Unternehmen und öffentlichen Stellen aus dem Tätigkeitsbericht 2024 des LfDI Baden-Württemberg
In seinem Tätigkeitsbericht für das Jahr 2024 hat sich der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) unter anderem auch zum Thema Künstliche Intelligenz (KI) geäußert. Insbesondere wird im Tätigkeitsbericht der Einsatz von KI in Schulen thematisiert (siehe S. 112 ff.). Die dort genannten Vorgaben lassen sich zum Großteil jedoch auch auf andere Sachverhalte anwenden.
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.