EINWILLIGUNG IN TELEFONWERBUNG

Mit Wirkung zum 01. Oktober 2021 nimmt der deutsche Gesetzgeber im Rahmen des Gesetzes für faire Verbraucherverträge vom 10. August 2021 auch eine Änderung des Gesetzes gegen den unlauteren Wettbewerb (UWG) vor. Konkret werden für die Fälle der Telefonwerbung nach § 7 UWG bestimmte Anforderungen an die erforderlichen Einwilligungen gestellt. So dürfen nach der bisherigen Rechtslage Verbraucher gemäß § 7 Abs. 2 Nr. 2 UWG ohne vorherige ausdrückliche Einwilligung nicht zu werblichen zwecken telefonisch kontaktiert werden. Die Gesetzesänderung erweitert nun den Pflichtenkreis des Unternehmers insoweit, als dass an die eingeholten Einwilligungen künftig eine Dokumentationspflicht geknüpft wird.


WAS IST NEU?

Einzug in das Gesetz hält der neue § 7a UWG mit folgendem Wortlaut:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Hinzu kommt eine Änderung des § 20 UWG:

§ 20 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 7 Absatz 1 Satz 1 in Verbindung mit Absatz 2 Nummer 2 oder 3 mit einem Telefonanruf oder unter Verwendung einer automatischen Anrufmaschine gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung wirbt,

2. entgegen § 7a Absatz 1 eine dort genannte Einwilligung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig dokumentiert oder nicht oder nicht mindestens fünf Jahre aufbewahrt […]

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, in den übrigen Fällen das Bundesamt für Justiz.


WAS ÄNDERT SICH NUN KONKRET?

Mit Einführung des § 7a UWG besteht nun künftig wettbewerbsrechtlich eine Pflicht zu Dokumentation für Fälle der Telefonwerbung.  Hinsichtlich des Umfangs der Dokumentation konkretisiert der Gesetzgeber die Anforderungen lediglich insoweit, als dass zum Zeitpunkt der Erteilung der Einwilligung dies in angemessener Form erfolgen soll und diese Dokumentation gemäß § 7a Abs. 1 Satz 1 in Verbindung mit § 7 Abs. 2 Satz 1 UWG ab Erteilung sowie nach jeder Verwendung der Einwilligung für fünf Jahre aufbewahrt wird. Über weitergehende konkrete Anforderungen an die Dokumentation stellt der Gesetzgeber keine Anforderungen.


WAS BEABSICHTIGT DER GESETZGEBER MIT DER GESETZESÄNDERUNG?

Ausweislich des Gesetzesbegründung strebt der Gesetzgeber hier einen verbesserten Schutz vor telefonisch aufgedrängten und untergeschobenen Verträgen und eine effiziente Sanktionierung unerlaubter Telefonwerbung an. Weiter heißt es, dass durch die Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden sollen. Die Pflicht zur Dokumentation wird es werbenden Unternehmen außerdem erleichtern, die Wirksamkeit der Einwilligung zu prüfen.


IST DAMIT ALLES GESAGT?

Nicht so ganz. Die Neuregelung hat zu Recht Kritik erfahren, wobei insbesondere die Vereinbarkeit mit der Datenschutz-Grundverordnung (DS-GVO) in Zweifel gezogen wird. Wie durch den Kollegen Dr. Carlo Piltz bereits anschaulich dargestellt, liegt das Problem im Einwilligungsbegriff verankert, denn das UWG kennt einen solchen nicht. Die Einwilligung im UWG wird durch die Gesetzänderung aber nun Anforderungen unterworfen, welche wiederrum die DS-GVO selbst nicht vorsieht. Es stellt sich daher die Frage, ob zum einen die Dokumentationsverpflichtung und zum anderen die Aufbewahrungspflicht mit der DS-GVO vereinbar sind.

Der Gesetzgeber seinerseits verweist in seiner Begründung darauf, dass die Normen über Art. 94 Abs. 2 DS-GVO sowie Art. 13 in Verbindung mit Art. 2 lit. f) der Richtlinie 2002/58/EG auf die Einwilligung in Telefonwerbung anwendbar sind. Ferner stelle die Regelung eine spezielle Ausfüllung der Beweislastverteilung der in Art. 7 Abs. 1 DS-GVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar.

Im oben genannten Beitrag vom Kollegen Dr. Carlo Piltz wird zurecht darauf abgestellt, dass aufgrund der Tatsache, dass § 7a UWG keine weitere Konkretisierung zur Dokumentation normiert, es durchaus vertretbar erscheint, diese Verpflichtung insoweit mit Art. 5 Abs. 2 in Verbindung mit Art. 7 Abs. 1 DS-GVO als bereits durch die DS-GVO vorgesehene Regelung auszulegen. Bei einem Blick in Art. 7 DS-GVO findet sich jedoch keine Normierung eines näher definierten Aufbewahrungszeitraums.


FAZIT

Durch die Neuregelung des § 7a UWG wird nunmehr ein konkreter Zeitraum vorgegeben, innerhalb dessen die dokumentierte Einwilligung durch den Unternehmer vorgehalten werden muss. Ob hieraus künftig Rechtsunsicherheiten aufgrund der möglichen Unionsrechtswidrigkeit herrühren, muss entsprechend beobachtet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • § 7a UWG
  • Einwilligung
  • Telefonwerbung
  • unlauterer Wettbewerb
  • Werbung
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

OLG DÜSSELDORF: VERÖFFENTLICHUNG VON KINDERFOTOS

Erst vor kurzem beleuchteten wir in unserem Beitrag „Einwilligungen – Wie? Wann? Wofür nicht?“ welche Anforderungen an eine rechtskonforme Einwilligung zu stellen sind und in welchen Situationen sich ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet. Im Rahmen des Beitrages wiesen wir bereits darauf hin, dass bei bestimmten Datenverarbeitungen, welche Kinder betreffen, es der Einwilligung der Träger der elterlichen Verantwortung bedarf. Aus einem aktuellen Beschluss des Oberlandesgerichts Düsseldorf (OLG Düsseldorf, Beschl. v. 20.07.2021 – 1 UF 74/21) geht nun hervor, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist.


SACHVERHALT

Dem streitgegenständlichen Sachverhalt ist zu entnehmen, dass es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die gemeinsamen Kinder leben bei der Mutter, wobei der Vater mit den Kindern einen regelmäßigen Umgang pflegt. Die neue Lebensgefährtin des Vaters wiederum betreibt einen Friseursalon und verbreitete zu Werbezwecken für ihr Friseurgewerbe auf den einschlägigen Profilen bei Facebook und Instagram Aufnahmen der Kinder. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Die Mutter ging hiergegen mit Erfolg gerichtlich vor.


ENTSCHEIDUNG DES OLG DÜSSELDORF

Auch wenn im Rahmen des Beschlusses des OLG Düsseldorf im Kern die Anwendung des § 1628 BGB (Bürgerliches Gesetzbuch) hinsichtlich der gerichtlichen Entscheidung bei Meinungsverschiedenheiten der Eltern thematisiert wird, deren Ausführungen an dieser Stelle nicht weiter ausgeführt werden sollen, sind die weiteren datenschutzrechtlichen Betrachtungen von besonderer Bedeutung:

Zunächst stellt das Gericht klar, dass „das öffentliche Teilen der Bilder bei Facebook und Instagram und ihre Einstellung auf der Webseite […] schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder [hat].“ Dies ergebe sich „aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit.“ Weiterhin wird im Rahmen des Beschlusses deutlich gemacht, dass eine derartige Veröffentlichung von Fotoaufnahmen gegenüber einem unbegrenzten Personenkreis erfolgt und eine Weiterverbreitung dieser kaum kontrollierbar ist. Dies führe zwangsläufig dazu, dass die Kinder (potenziell) für einen unbegrenzten Zeitraum und gegenüber einem unbeschränkten Personenkreis mit Fotoaufnahmen aus der Zeit ihrer Kindheit konfrontiert werden. Nach Auffassung des Gerichtes „tangiert [dies] spürbar die Integrität ihrer Persönlichkeit und ihrer Privatsphäre.“

Darüber hinaus führt das OLG Düsseldorf mit Verweis auf eine frühere Entscheidung des Bundesgerichtshofes (BGH, Urt. v. 28.09.2004 – VI ZR 305/03) aus , dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO (Datenschutz-Grundverordnung) ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dementsprechend komme es grundsätzlich auch nicht darauf an, „ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. […] Denn entscheidend sind nicht die Neigungen, die Bindungen oder der Wille der Kinder. Den Ausschlag gibt [vorliegend] vielmehr die Rechtswidrigkeit der Bildverbreitung mangels der Zustimmung der Mutter.“


AUSWIRKUNGEN FÜR DIE PRAXIS

Für die Praxis ergibt sich aus dem Beschluss des OLG Düsseldorf zwangsläufig die Anforderung, dass im Rahmen einer Veröffentlichung von Fotoaufnahmen von Kindern die Einwilligungen sämtlicher sorgeberechtigter Parteien eingeholt werden. Das bedeutet, dass neben den allgemeinen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung, diese so zu gestalten ist, dass die Notwendigkeit der Einwilligung sämtlicher Sorgeberechtigten deutlich hervortritt. Dies kann beispielsweise durch eine entsprechende Gestaltung der Unterschriftenfelder oder im Rahmen elektronischer Einwilligungserklärungen beispielsweise durch eine Hervorhebung im Text erreicht werden.

Sofern es der verantwortlichen Stelle zuzumuten ist und diese gegebenenfalls bereits Informationen über die sorgeberechtigten Personen vorliegen hat, sollte eine entsprechende Überprüfung der Einwilligungserklärungen erfolgen.


BESONDERER SCHUTZBEDARF PERSONENBEZOGENER DATEN VON KINDERN

Weiterhin ergibt sich aus den Entscheidungsgründen ein weit wesentlicher Aspekt: Die Veröffentlichung von Kinderfotos im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen kann auf die Entwicklung von Kindern enorme negative Auswirkungen haben. In diesem Zusammenhang sollten verantwortliche Stellen – insbesondere solche mit Nähe zu Kindern, z.B. Kindertageseinrichtungen – stets hinterfragen, ob die Veröffentlichung von Kinderfotos im Internet zwingend erforderlich ist. (Zur Erforderlichkeit der Abbildung konkreter Personen unser Beitrag: „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“, DSB 2021, S. 128 ff.). Dies ergibt sich bereits aus Art. 5 Abs. 1 lit. c DS-GVO – dem Grundsatz der Datenminimierung. Eine Veröffentlichung von Fotoaufnahmen verbietet sich erst recht dann, wenn Kinder (teilweise) unbekleidet abgebildet sind. Einen Perspektivenwechsel ermöglicht hierbei auch der Blog von Toyah Diebel.

Darüber hinaus wird in der datenschutzrechtlichen Literatur auch ein weiterer nicht zu vernachlässigender Gesichtspunkt diskutiert: Influencer:innen und Blogger:innen nutzen im Rahmen Ihrer Reichweite Fotoaufnahmen ihrer Kinder zur Platzierung von Werbung. Bei den benannten Personen handelt es sich sodann zugleich sowohl um die datenschutzrechtlich verantwortliche Stelle als auch um die Träger der elterlichen Verantwortung. Ist vor diesem Hintergrund eine solche Datenverarbeitung zulässig oder handelt es sich hierbei womöglich um ein unwirksames Insichgeschäft im Sinne des § 181 BGB?


FAZIT

Aus dem Beschluss des OLG Düsseldorf geht deutlich hervor, dass eine Veröffentlichung von Fotoaufnahmen von Kindern erhebliche Auswirkungen auf die Entwicklung der Kinder haben kann. Die Dimension einer solchen Veröffentlichung bedingt – und dies wurde bereits durch den Gesetzgeber und andere Gerichte erkannt – stets einer Einwilligung sämtlicher sorgeberechtigter Personen. Aufgrund möglicher weitreichender Folgen sollte durch verantwortliche Stellen stets im Vorfeld einer Veröffentlichung geprüft werden, ob eine solche zwingend erforderlich ist und bejahendenfalls für eine konforme Einwilligung der sorgeberechtigten Personen Sorge tragen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Fotoveröffentlichung
  • Internetseite
  • Kinder
  • Soziale Netzwerke
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen

ICH MÖCHTE EINE UMFRAGE MACHEN – UND NUN?

„Wie zufrieden sind Sie mit unserer Leistung?“ „Welche Partei würden Sie wählen, wenn heute Bundestagswahl wäre?“ „Wie hat sich Corona auch Ihre Psyche, Arbeit oder Ihr Privatleben ausgewirkt?“ Derartige Umfragen sind auch aus datenschutzrechtlicher Perspektive äußerst interessant. Der folgende Beitrag umreißt die datenschutzrechtlichen Anforderungen an derartigen Umfragen.


ICH WOLLTE DOCH NUR MAL FRAGEN…

Es gibt die verschiedensten Arten von Umfragen. Im Rahmen meiner Tätigkeit für Forschungseinrichtungen und Hochschulen ist die erste Aussage eigentlich immer: „Da haben wir kein Problem, alles anonym.“ Sieht man sich das Ganze dann genauer an, wird schnell das Gegenteil deutlich. Darüber hinaus gibt es viele Umfragen/Studien, die nur mit der Rückverfolgbarkeit zu einer konkreten Person ihr Ziel erreichen können.

Daher müssen Sie sich bei Planung einer Umfrage/Studie immer zuerst fragen, ob der Anwendungsbereich des Datenschutzes eröffnet ist und welche Anforderungen bestehen. Sehen Sie sich zunächst einmal Ziel und die Fragestellungen genau an. Geht es Ihnen darum, die Person – z.B. zur weiteren Klärung von Aussagen oder Problemen – zu kontaktieren? Gibt es weitere Datenverarbeitungen (z.B. klinische Studien, Gerätemessungen, Zusammenführung von Teilumfragen) mit denen die Antworten z.B. über eine Studien-ID in Verbindung gebracht werden müssen, ohne dass die Möglichkeit besteht, hierfür einen Code zu nutzen, der nur dem Befragten selbst bekannt ist? Werden möglicherweise durch die technische Umsetzung oder das eingesetzte Umfragetool personenbezogene Daten verarbeitet (z.B. Kontaktdaten zur Zusendung der Umfrage, IP-Adressen, Zuordnungsnummern zu Messtechniken)?

Häufig werden „Anonymität“ und „Pseudonymität“ fatalerweise gleichgesetzt. Aber nur, wenn tatsächlich kein Personenbezug gegeben ist, besteht auch kein Risiko für die befragten Personen und es bedarf nicht der Schutzmaßnahmen des Datenschutzes. „Anonym“ ist eine Umfrage dann, wenn durch die beteiligten Forscher, aber auch die beteiligten Einrichtungen insgesamt sowie gegebenenfalls Dritte keine Möglichkeit besteht, die Antworten zu einer Person zurückzuverfolgen. Auch die Rückverfolgbarkeit zu einer kleinen Gruppe (in der Regel drei bis fünf Personen) kann problematisch sein, da häufig nicht ausgeschlossen werden kann, dass Dritte über entsprechendes Zusatzwissen verfügen. Bei der Beurteilung der Anonymität einer Umfrage dürfen Sie daher die folgenden Blickrichtungen nicht aus den Augen verlieren:

(1) Direkte Erhebung personenbezogener Daten bzw. sonstiges Identifikationsmerkmal (z.B. Name, Personal- oder Matrikelnummer, Studien-ID etc.) im Rahmen der Einladung/Zusendung der Umfrage oder des Umfrageformulars sowie im Zusammenhang mit Anreizen (z.B. Bezahlung, Geschenk, Verlosung – grundsätzlich auf freiwilliger Basis),
(2) Rückverfolgbarkeit auf eine einzelne Person oder kleine Gruppe von Personen durch Zusammenführung verschiedener Fragen/Antworten (z.B. Geschlecht, Altersgruppe, Betriebszugehörigkeit, Einrichtung – Achtung auch bei Freitextfeldern!),
(3) Neben dem Umfrageteilnehmer gegebenenfalls personenbezogenes Befragungsthema, also z.B. Zufriedenheit mit dem Vorgesetzten bzw. der Geschäftsleitung, Meinung zu einer Veranstaltung/Vortrag und damit zum Dozierenden, Fragen zu Familienangehörigen,
(4) Erhebung technischer Daten, welche eine Rückverfolgbarkeit zulassen (z.B. IP-Adresse, Sensor-ID).

Auch wenn im Ergebnis keine Umsetzung datenschutzrechtlicher Anforderungen wie z.B. Informationspflichten erfolgen muss: Seien Sie gegenüber den Befragten transparent in dem, was Sie tun! Denken Sie immer daran, dass die erfolgreiche Durchführung einer Umfrage/Studie immer auch auf dem Vertrauen der Befragten beruht.


WELCHES UMFRAGETOOL IST FÜR MICH DAS RICHTIGE?

Auf dem Markt existieren diverse Umfragetools wie z.B. LamaPoll, SosciSurvey, QuestionStar, Easy Feedback, LimeSurvey, Blubbsoft, Zoho Survey sowie Google Forms. Natürlich gibt es noch viele andere Anbieter und der Auswahl und Reihenfolge ist keine Bewertung zu Leistung oder Datenschutzkonformität zu entnehmen. Welches Tool im konkreten Fall geeignet ist, ist von verschiedenen Faktoren abhängig. Was ist der Zweck der Umfrage (z.B. Kundenzufriedenheit, Mitarbeiterbefragung z.B. zur Arbeitssicherheit oder Mobilität, Evaluation der Lehre, klinische oder wissenschaftliche Studie, sozialwissenschaftliche Umfrage) und wen will ich ansprechen (z.B. Kunden, Beschäftigte, anonyme Probanden, zufälliger Personenkreis)? Bestehen besondere Ansprüche hinsichtlich der Gestaltung, Durchführung oder Auswertung? Besteht über das Tool auch technisch die Möglichkeit der anonymen Befragung? Handelt es sich um eine einzelne Umfrage oder wird ein dauerhaftes Tool für verschiedene Umfragen benötigt? Verfüge ich über eine eigene, geeignete IT-Struktur oder wo soll die Datenspeicherung erfolgen (Empfehlung: Deutschland/Europa)? Wie hoch ist mein Budget? Auch wenn der Datenschutz bei der Auswahl oft nicht an erster Stelle steht: Stellen Sie vor Auswahl sicher, dass die Software geeignet ist, um die zu Ihrer Umfrage/Studie passenden Anforderungen, insbesondere Anonymität sowie technische und organisatorische Maßnahmen, zu erfüllen.


MEINE UMFRAGE IST DOCH NICHT ANONYM. WAS SOLL ICH TUN?

Zunächst einmal benötigen Sie eine Rechtsgrundlage. In den meisten Fällen werden Sie für die Datenerhebung im Zuge der Umfrage eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a i.V.m. Art. 7 Datenschutz-Grundverordnung (DS-GVO) benötigen, da Sie nur selten für die Durchführung eines Vertrags oder ein besonderes Interesse erforderlich sein dürfte. Unabhängig davon dürfte sich eine verpflichtende Umfrage i.d.R. auch auf die Qualität der Antworten niederschlagen. Werden die Umfragebögen bereits personenbezogen verteilt und beispielsweise nicht über einen Link an eine Funktions-E-Mail-Adresse beziehungsweise durch Auslage/Intranet, benötigen Sie darüber hinaus eine Rechtsgrundlage, um mit den gewünschten Umfrageteilnehmern in Kontakt treten zu dürfen. Hierfür kann neben einer Einwilligung auch ein bereits bestehender Vertrag gemäß Art. 6 Abs. 1 Satz 1 lit. b DS-GVO in Frage kommen. Aber Achtung: Der BGH hat in seinem Urteil vom 10. Juli 2018 (VI ZR 225/17) entschieden, dass es sich bei Kundenzufriedenheitsumfragen um Werbung handelt und die Anforderungen des § 7 UWG zu beachten sind. Es sind also unter Umständen auch angrenzende Rechtsgebiete zu berücksichtigen.

Vor Durchführung der Umfrage muss der gewünschte Teilnehmer über die Datenverarbeitung nach Art. 13, 14 DS-GVO informiert werden. Dies kann mit der gegebenenfalls erforderlichen Einwilligung verbunden werden und sollte bereits bei der ersten Ansprache z.B. per E-Mail oder Brief, im Rahmen des Umfrageformulars sowie gegebenenfalls im Zusammenspiel mit einer separaten Internetseite zur Datenschutzinformation erfolgen. Wichtig ist nur, dass die Information verständlich, möglichst transparent und vor der Datenerhebung erfolgt. Achten Sie dabei im Interesse der Teilnehmer bitte auch darauf, die Informationen nicht ganz unten auf das Formular bzw. auf die letzte Seite des Fragebogens vor dem „Abschicken“-Button zu packen.

Vor Erhebung und Verarbeitung der Daten muss sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen getroffen wurden. Die Möglichkeiten der technischen Maßnahmen bestimmen sich in weiten Teilen danach, für welches Umfrage-Tool Sie sich entscheiden. Insoweit die Möglichkeit besteht, dass der Anbieter des Umfragetools auf die (personenbezogenen) Daten zugreifen kann, bedarf es des Abschlusses eines Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO. Hierbei ist frühzeitig der Datenschutzbeauftragte Ihrer Einrichtung einzubeziehen.

In Hinblick auf die organisatorischen Maßnahmen ist insbesondere sicherzustellen, dass der Kreis der zugriffsberechtigten Personen möglichst klein bleibt und mit den datenschutzrechtlichen Anforderungen – insbesondere der Vertraulichkeit im Umgang mit personenbezogenen Daten – vertraut ist. Kontaktdaten für die Umfrageverteilung beziehungsweise im Rahmen versprochener Anreize sind möglichst frühzeitig von den Umfragedaten zu trennen. Auch darüber hinaus ist die frühestmögliche Anonymisierung beziehungsweise Pseudonymisierung der Daten zu berücksichtigen. Alle Umfragedaten sind zu löschen, sobald diese nicht mehr für die Durchführung der Umfrage inklusive Auswertung benötigt werden und keine Aufbewahrungspflichten o.ä. bestehen. Eine Veröffentlichung ist in der Regel nur in Bezug auf aggregierte Daten ohne Personenbezug zulässig.

Zumindest wenn Umfragetools dauerhaft eingesetzt werden oder es sich nicht nur um eine einmalige/kurzzeitige Umfrage handelt, sollte eine Prozessbeschreibung in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO aufgenommen werden. Und ganz wichtig: Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein! Von diesem können Sie wertvolle Tipps zur Gestaltung Ihrer Umfrage und der erforderlichen Dokumente erhalten.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Anonymisierung
  • Einwilligung
  • Pseudonymisieung
  • Studie
  • Umfrage
Lesen

DIE EINWILLIGUNG BEI DER E-MAIL-VERSCHLÜSSELUNG

Im Rahmen unseres Beitrages zur E-Mail-Verschlüsselung bei Berufsgeheimnisträgern haben wir bereits über die grundsätzlichen datenschutzrechtlichen Anforderungen bei der E-Mail-Kommunikation berichtet. Unvermeidbar wird bei dieser Thematik früher oder später die Frage aufgeworfen, ob ein Verzicht auf die E-Mail-Verschlüsselung möglich sei. Datenschutzrechtlich stellt sich hierbei die Frage, ob ein Betroffener in ein niedrigeres Schutzniveau, als rechtlich geboten einwilligen kann, m.a.W. steht die Abdingbarkeit des Art. 32 DS-GVO durch Erteilung einer Einwilligung des Betroffenen im Raum. Diesbezüglich hat sich jüngst der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in einem Aktenvermerk geäußert.


WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.


WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.


GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.


FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen

NEUES ZUM TTDSG

Über einen im August des vergangenen Jahres geleakten Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) haben wir bereits früher berichtet. Seitdem hat die Entwicklung des TTDSG an Fahrt aufgenommen. Die Details:


WAS IST BISHER GESCHEHEN?

Im Januar dieses Jahres hat zunächst das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf zum „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt. Gleichzeitig wurde am 12. Januar das Anhörungsverfahren der Verbände eingeleitet. Bis zum Stichtag am 22. Januar sind 31 Stellungnahmen, u.a. des Branchenverbandes bitkom, des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., des Rundfunkdatenschutzbeauftragten, der Landesbeauftragten für den Datenschutz Niedersachsen und der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eingegangen. Am 10. Februar 2021 hat das Bundeskabinett sodann den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetzes – TTDSG)“ beschlossen. Hierbei drängt sich bereits die Frage auf, ob dieser verhältnismäßig kurze Zeitraum ausreichend war, um die entsprechenden Stellungnahmen gebührend Beachtung zu schenken. Die Stellungnahme des Bundesrates folgte nach einer Beratung am 26. März 2021.


WAS IST DAS TTDSG?

Das TTDSG soll laut Gesetzesentwurf in aller erster Linie für Rechtklarheit sorgen und bestehende Rechtsunsicherheiten durch das Nebeneinander von DS-GVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden beseitigen. Gewährleistet werden soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre der Endnutzer.

Das TTDSG führt die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, zusammen und versucht eine Anpassung der der Bestimmungen an die der DS-GVO sowie der Richtlinie 2002/58/EG, der sogenannten ePrivacy-Richtlinie.

Systematisch besteht das TTDSG aus vier Teilen: Allgemeine Vorschriften; Datenschutz und Schutz der Privatsphäre in der Telekommunikation, Telemediendatenschutz, Endeinrichtungen; Straf- und Bußgeldvorschriften und Aufsicht. Ersichtlich wird hierdurch, dass – neben dem „allgemeinen Datenschutzrecht“ aus der DS-GVO – auf nationaler Ebene weiterhin an der bisherigen sektorspezifischen Unterscheidung zwischen Datenschutz in Telemedien und Datenschutz in der Telekommunikation festgehalten wird, wohingegen es auf europäischer Ebene bei der klassischen Zweiteilung von DS-GVO und „ePrivacy-Recht“ als spezielles Datenschutzrecht verbleibt.


WAS SOLL SICH NUN ÄNDERN?

Berücksichtigung findet im TTDSG die aktuelle Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies. In Bezug genommen wird hier die Entscheidung des EuGH in der Rechtssache Planet 49 (EuGH, Urt. v. 01.10.2019 – C-673/17). Hierzu wird eine Regelung in das Gesetz aufgenommen, die sich eng am Wortlaut der ePrivacy-Richtlinie orientiert.

Zudem soll die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger Datenschutzaufsichtsbehörde erfolgen.


WELCHE REGELUNGEN VERDIENEN BESONDERE AUFMERKSAMKEIT?

Zunächst enthält § 2 Abs. 1 TTDSG-E Begriffsbestimmungen, welche an die Bestimmungen von TMG, TKG und DS-GVO anknüpfen. In § 2 Abs. 2 TTDSG-E sollen darüber hinaus Bestimmungen der ePrivacy-Richtline aufgenommen werden.

§ 2 Abs. 2 Nr. 6 TTDSG-E einhält dabei die Legaldefinition der Endeinrichtung. Hierunter ist „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ zu verstehen. Gewählt wird hier wohl bewusst eine technologieneutrale Formulierung und somit ein weiter Anwendungsbereich. Erfasst ist nicht nur die Telefonie oder die Internetkommunikation, sondern auch Gegenstände im Internet der Dinge.  

In § 3 TTDSG-E (Vertraulichkeit der Kommunikation – Fernmeldegeheimnis) sollen die derzeit in § 88 TKG enthaltenen Regelungen zum Fernmeldegeheimnis – bis auf redaktionelle Anpassungen – unverändert übernommen werden. Die Verpflichteten werden in § 3 Abs. 2 TTDSG-E aufgeführt. Kritische Stimmen zweifeln jedoch an einer Vereinbarkeit des Anwendungsbereiches des § 3 Abs. 2 Nr. 2 TTDSG-E mit der Öffnungsklausel des Art. 95 DS-GVO für öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Abzuwarten bleibt daher, ob der bekannte Streit über die Privatnutzung betrieblicher Informations- und Kommunikationstechnik durch die Mitarbeiter und der damit einhergehenden Frage nach der Wahrung des Fernmeldegeheimnisses durch den Arbeitgeber tatsächlich gelöst werden kann.

§ 19 Abs. 2 TTDSG-E (Technische und organisatorische Vorkehrungen) enthält darüber hinaus die Verpflichtung von Anbietern von Telemedien die Nutzung anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

§ 24 Abs. 1 TTDSG-E (Schutz der Privatsphäre bei Endeinrichtungen) setzt nunmehr für das Speichern oder den Zugriff – also bspw. das Auslesen – von Endgeräteinformationen die Pflicht zur klaren und umfassenden Information sowie die Abgabe einer Einwilligung des Endnutzers voraus. Die Regelung orientiert sich laut Gesetzesbegründung eng am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL. Abgestellt wird auf die Endgeräteinformationen, weshalb gerade kein Personenbezug erforderlich ist. Erfasst werden mithin Cookies, Fingerprints und vergleichbare Technologien. Die Einwilligung des Endnutzers muss dabei den Anforderungen der DS-GVO an die Einwilligung entsprechen.

Ausnahmen vom Einwilligungserfordernis werden durch § 24 Abs. 2 TTDSG-E für die Fälle vorgesehen, dass der alleinige Zweck der Speicherung oder des Zugriffs in der Endeinrichtung des Endnutzers die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist (Nr. 1) oder die Speicherung oder der Zugriff auf die Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einem vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2). Unberührt bleibt die Frage der Rechtmäßigkeit der an die Speicherung oder den Zugriff anschließenden Verarbeitung personenbezogener Daten.


FAZIT

Der Entwicklungsprozess des TTDSG-E schreitet sichtlich voran. Viele derzeitig vorgesehene Regelungen haben das Potenzial das Wirrwarr im Datenschutz für Telekommunikation und Telemedien etwas zu entzerren. Nicht absehbar ist, wann das TTDSG tatsächlich verabschiedet werden soll. Entsprechenden Einfluss dürfte hier ebenfalls die anstehende Bundestagswahl ausüben. Welche Normen letztendlich in das TTDSG aufgenommen werden, bleibt abzuwarten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Telekommunikation
  • Telemedien
  • TTDSG
Lesen

VERÖFFENTLICHUNG VON GRUPPENFOTOS IN SOZIALEN NETZWERKEN

Die Veröffentlichung von Fotoaufnahmen einer oder mehrerer Personen im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen stellt eine Verarbeitung personenbezogener Daten dar, welcher einer einschlägigen Rechtsgrundlage bedarf. Verantwortliche Stellen und Datenschutzbeauftragte stehen regelmäßig vor der Herausforderung der datenschutzrechtlichen Einschätzung, ob und in welchem Rahmen eine derartige Veröffentlichung vorgenommen werden kann. Anhaltspunkte liefert hierbei eine aktuelle Entscheidung des Oberverwaltungsgerichts Lüneburg (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20).


SACHVERHALT

Im Rahmen einer öffentlichen Veranstaltung eines Ortsvereins einer politischen Partei mit insgesamt rund 70 Teilnehmenden nahm einer der Veranstaltungsteilnehmer ein Foto auf, auf welchem ein Großteil der Teilnehmenden abgebildet war. Hierunter auch der Vorsitzende des Ortsvereins sowie das Ehepaar F. Dieses Foto wurde durch denselben Ortsverein vier Jahr später in einem sozialen Netzwerk veröffentlicht. Herr F. wandte sich hierauf mit Verweis auf das für die Veröffentlichung fehlende erforderliche Einverständnis an den Ortsverein und forderte diesen zur Stellungnahme und Löschung auf. Zudem legte Herr F. bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde ein, welche umgehend ein aufsichtsbehördliches Prüfverfahren einleitete. Der Ortsverein führte aus, dass die Veröffentlichung weder gegen die Datenschutz-Grundverordnung (DS-GVO) noch gegen das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) verstoße. Gegen die daraufhin ergangene aufsichtsbehördliche Verwarnung erhob der Ortsverein Klage. Das Verwaltungsgericht Hannover bestätigte erstinstanzlich den Bescheid (VG Hannover, Urt. v. 27.11.19 – 10 A 820/19), das OVG lehnte nunmehr den Antrag auf Berufungszulassung ab.


ENTSCHEIDUNGSGRÜNDE UND AUSWIRKUNGEN AUF DIE PRAXIS

Die Veröffentlichung von Fotografien innerhalb eines sozialen Netzwerkes stellt nach Ansicht des OVG unstreitig eine Verarbeitung personenbezogener Daten unter gemeinsamer Verantwortlichkeit des Betreibers der jeweiligen Seite mit dem Betreiber des sozialen Netzwerkes dar. Die streitgegenständliche Datenverarbeitung sei nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO nicht gerechtfertigt und mithin als Verstoß gegen die DS-GVO zu werten. Die Veröffentlichung der Fotografien könne unter anderem weder auf die Rechtsgrundlagen des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO noch auf die spezialgesetzlichen Regelungen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO gestützt werden.

Das OVG legte dar, dass es im vorliegenden Fall grundsätzlich an der Erforderlichkeit der konkreten Datenverarbeitung fehlte. Darüber hinaus haben im Rahmen einer Interessenabwägung des Ortsvereins die entgegenstehenden Rechte und Interessen der betroffenen Personen lediglich in unzureichendem Umfang Eingang gefunden. Weiterhin entspricht die konkrete Datenverarbeitung auch nicht den vernünftigen Erwartungen der betroffenen Personen. Die Anwendung der spezialgesetzlichen Normen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO scheidet zudem aufgrund eines fehlenden journalistischen Verarbeitungszweckes aus.

Für die Praxis ergeben sich aus dem Urteil für die Veröffentlichung von Fotografien wichtige Hinweise, insbesondere welche Kriterien im Rahmen einer Interessenabwägung einbezogen werden sollten. Hierzu zählen unter anderem der Aspekt der Erforderlichkeit, die näheren Umstände der Anfertigung sowie das Veröffentlichungsmedium und der Zeitpunkt der Veröffentlichung.

Eine umfassende Darstellung der Entscheidungsgründe sowie der Auswirkungen und Handlungsempfehlungen für die Praxis können Sie unserem Beitrag „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“ entnehmen, welcher in der Ausgabe Nr. 04/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Erforderlichkeit
  • Fotoveröffentlichung
  • Interessenabwägung
  • Soziale Netzwerke
Lesen

ANALYSE, KARTEN, SCHRIFTARTEN & CO. – DATENSCHUTZ BEI INTERNETSEITEN

Seit den Urteilen des Europäischen Gerichtshofes (EuGH) im Oktober 2019 sowie des Bundesgerichtshofes (BGH) im Mai 2020 bezüglich der Verwendung von Cookies sind viele Internetseiten auf umfangreiche „Consent-Tools“ umgestiegen. Jedoch herrschen nach wie vor große Verunsicherungen und Fehlvorstellungen hinsichtlich eines datenschutzkonformen Einsatzes von Drittinhalten (z.B. Schriftarten, Formulare, Karten- oder Medieninhalte). Dieser Beitrag soll die rechtlichen Rahmenbedingungen umreißen und die wesentlichen Implementierungsmöglichkeiten kurz darstellen.


IST EINE EINWILLIGUNG ERFORDERLICH?

Zunächst sollte die Internetseite hinsichtlich eingebundener Drittinhalte, Cookies und Scripts überprüft werden. Unter Umständen ist hierbei die Einbindung Ihres Dienstleisters, welcher die Internetseite erstellt hat und / oder technisch betreut, erforderlich. Im ersten Schritt kann jedoch bereits eigenständig eine Überprüfung mit kostenfreien Anwendungen bei der Erstellung einer ersten Übersicht dienen. Hierfür geeignet scheinen insbesondere Webbkoll, BuiltWith, Ghostery und uBlock Origin. Darüber hinaus bieten auch einige Internetbrowser über integrierte Analysefunktionen.

Die Auflistung der eingesetzten Drittinhalte, Cookies und Scripts sollte kritisch hinterfragt werden: Welche dieser sind (technisch) zwingend erforderlich? Welche optionalen Technologien werden tatsächlich aktiv genutzt? Wurde die / der Datenschutzbeauftragte vor der Implementierung über die Verwendung in Kenntnis gesetzt? Bestehen datenschutzfreundlichere Alternativen?

Erfolgt ein Einsatz von Drittinhalten, Cookies und Scripts, die für einen Einsatz der Internetseite technisch zwingend erforderlich sind, das heißt ein fehlerfreier Aufruf der Internetseite ohne Implementierung und Nutzung dieser gänzlich unmöglich ist, bedarf es keiner Einwilligung der Personen, welche die Internetseite aufrufen. Das betrifft in der Regel zum Beispiel Cookies zur technischen Gewährleistung einer Anmeldung zu einem internen Bereich oder Warenkorbfunktionen zur Abwicklung einer Online-Bestellung.


WELCHE ANFORDERUNGEN WERDEN AN EINE WIRKSAME EINWILLIGUNG GESTELLT?

Grundsätzlich empfiehlt sich bei der Nutzung einwilligungsbedürftiger Drittinhalte, Cookies und Scripts die Verwendung eines sogenannten „Consent-Tools“ (auch: „Cookie-Banner“). Werden hingegen ausschließlich technisch erforderliche Inhalte verwendet, bedarf es eines solchen Banners nicht. In diesem Fall genügt eine Information über die verwendeten Inhalte im Rahmen der Datenschutzinformation (auch: „Datenschutzerklärung“).

Bei einem erstmaligen Aufruf der Internetseite muss gewährleistet sein, dass diese zunächst ausschließlich im technisch erforderlichen Umfang dargestellt wird. Sofern darüber hinaus die Nutzung von Cookies, Drittinhalten und Scripts gewünscht ist, dürfen diese erst nach erteilter Einwilligung der Nutzenden geladen werden. Das Einholen einer rein formalen Einwilligung, wobei eine Datenverarbeitung bereits vor oder gänzlich unabhängig von der konkreten Einwilligung stattfindet, ist unzulässig. Die konkrete Einwilligung der Nutzenden ist stets technisch exakt abzubilden.

Der Europäische Datenschutzausschuss (EDSA) setzt für eine wirksame Einwilligung bereits vor Abgabe der Einwilligung folgende Informationen voraus: Angaben zur verantwortlichen Stelle, Darstellung der konkreten Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Absicht einer automatisierten Entscheidungsfindung sowie der Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland. Weiterhin ist gemäß Art. 7 Abs. 3 DS-GVO ebenfalls vor Abgabe der Einwilligung auf das Bestehen des Widerrufrechts hinzuweisen.

Eine Einwilligung ist tatsächlich nur dann als wirksame Einwilligung zu klassifizieren, sofern die Nutzenden tatsächlich eine Wahl über Zustimmung oder Ablehnung erhalten. Die oftmals vorzufindende Formulierung, wonach die Internetseite Cookies verwendet und mit dem weiteren Besuch von einer Zustimmung ausgegangen wird, erfüllt diese Anforderung nicht. Derartige „Cookie-Banner“ sind schlichtweg nutzlos und aus datenschutzrechtlicher Sicht absolut unzureichend. Ebenfalls als unzulässig einzuordnen sind vorausgefüllte Auswahlfelder oder das sogenannte „Nudging“, also das Beeinflussen der Nutzenden, der Verwendung zuzustimmen, indem die weiteren Optionen (z.B. „Ablehnen“ oder „weitere Einstellungen“) kaum lesbar oder nur schwer auffindbar integriert werden.

Übrigens: Die getätigte Einwilligung darf und sollte aus Gründen der Nachweisbarkeit gespeichert werden. So kann auch vermieden werden, dass Nutzende bei erneutem Aufrufen der Internetseite wiederholt der Datenverarbeitung zustimmen oder diese ablehnen müssen. Das permanente Abfragen wird durch die datenschutzrechtlichen Vorschriften weder verlangt, noch trägt dies zu einem positiven Nutzungserlebnis bei.


WAS BEDEUTET DAS FÜR EINZELNE DATENVERARBEITUNGEN?

Im weiteren Verlauf soll nun kurz dargestellt werden, welchen Maßnahmen in der Regel bei der Implementierung der folgenden Kategorien von Drittinhalten, Cookies und Scripts beachtet werden sollte.

Analyse des Nutzungsverhaltens: Bei einem Einsatz von Analyse- und Trackingdiensten werden durch diese in der Regel Cookies gesetzt, die hinsichtlich der Darstellung der Internetseite als nicht technisch erforderlich zu klassifizieren sind, sodass es grundsätzlich einer Einwilligung der Nutzenden bedarf. Einige Anbieter solcher Dienste werben explizit damit, dass durch den Verzicht einer Cookie-Setzung und stattdessen der Verwendung einer Fingerprinting-Methode das Einwilligungserfordernis umgangen werden kann. Aufgrund der (datenschutzrechtlichen) Vergleichbarkeit beider Methoden sind solche Aussagen mit Vorsicht zu betrachten. Hier bedarf es zuvor einer grundlegenden Überprüfung im Einzelfall.

Darstellung von Karteninhalten: Je nach gewähltem Kartendienst erfolgt oder unterbleibt bei der Nutzung der Karteninhalte das Setzen von Cookies. Mit Blick auf den Grundsatz der Datenminimierung gemäß Art. 5 Abs 1. lit. c DS-GVO sowie auf die Anforderung eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO, sollte eine möglichst datensparsame Kartendarstellung gewählt werden. Sofern eine Cookie-Setzung unausweichlich ist, bedarf es für die Darstellung der Karteninhalte in der Regel der Einwilligung der Nutzenden.

Darstellung von Videoinhalten: Werden bei einem Abspielen eingebundener Videoinhalte keine Cookies gesetzt und findet darüber hinaus keine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, so kann eine Implementierung in der Regel ohne Einwilligung der Nutzenden erfolgen. Eine mögliche Rechtsgrundlage der Datenverarbeitung stellt dann das berechtigte Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar. Als Anforderung ist hierbei jedoch zu nennen, dass das Video nur durch einen extra Klick der Nutzenden und nicht automatisch starten darf. So zumindest führt es die FAQ des Bayrischen Landesamtes für Datenschutzaufsicht aus.

Einbindung von Webschriftarten oder Scripts: Beliebt – und oftmals mit einem Hinweis auf die Performance der Internetseite begründet – sind sogenannte Webschriftarten („Fonts“) oder Scripts, die bei einem Aufruf der Internetseite durch die Nutzenden von externen Servern geladen werden. Grundsätzlich lässt sich diese Datenverarbeitung auf das berechtigte Interesse der verantwortlichen Stelle stützen, jedoch sollte eine lokale Installation auf den Servern der verantwortlichen Stelle bevorzugt werden. Ein Drittstaatentransfer sollte grundsätzlich unterbleiben.

Hinweis: Erfolgt im Rahmen der Implementierung und Nutzung der oben aufgeführten Drittinhalte eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland, so bedarf es für die Übermittlung einer gesonderten Rechtsgrundlage.


WAS IST DARÜBER HINAUS DATENSCHUTZRECHTLICH ZU BEACHTEN?

Unabhängig von der Einwilligungsbedürftigkeit sind sämtliche Datenverarbeitungen in der Datenschutzinformation der Internetseite darzustellen. Die notwendigen Inhalte richten sich hierbei insbesondere nach Art. 13 DS-GVO. Da die Datenverarbeitungen auf jeder Internetseite unterschiedlich sind, gibt es nicht die „eine“ richtige Datenschutzinformation. Aus diesem Grund sollten auch die Ergebnisse sogenannter „Generatoren für Datenschutzerklärungen“ detailliert überprüft und gegebenenfalls angepasst werden.

Kommen im Zusammenhang mit der Internetseite Dienstleister zum Einsatz, die personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting, Wartung und Pflege, Analyse und Tracking), so sind mit diesen zwingend Verträge zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO zu schließen. Darüber hinaus muss die verantwortliche Stelle über die Datenverarbeitungen der Internetseite gemäß Art. 30 Abs. 1 DS-GVO ein Verzeichnis der Verarbeitungstätigkeiten führen.


FAZIT

Mit der Bereitstellung und dem Betrieb einer Internetseite gehen zahlreiche datenschutzrechtliche Verpflichtungen einher, die einer detaillierten Betrachtung bedürfen. Aus diesem Grund sollte der / die Datenschutzbeauftragte frühestmöglich bei der Erstellung oder Änderung der Internetseite einbezogen werden. Sollten Sie bei der datenschutzrechtlichen Überprüfung Ihrer Internetseite oder bei der Erstellung einer passgenauen Datenschutzinformation Unterstützung benötigen, können Sie hierfür gern das DID Dresdner Institut für Datenschutz kontaktieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Cookies
  • Datenschutzinformation
  • Drittstaaten
  • Einwilligung
  • Internetseite
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen