Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?

Biometrie und Datenschutz

Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.

Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.

Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.

In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.

Einwilligung im Beschäftigtenverhältnis

Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.

Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.

Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.

Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.

Fazit

Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil hat das Verwaltungsgericht Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22) konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager getroffen. In diesem Blog-Beitrag beleuchten wir die wesentlichen Aussagen des Gerichts und geben wichtige Hinweise für Betreibende von Internetseiten.

Zum Sachverhalt

Gegenstand des Gerichtsverfahrens war die Internetseite der Neuen Osnabrücker Zeitung sowie insbesondere die Ausgestaltung des implementierten Cookie-Banners. Nutzenden wurde beim Besuch der Internetseite zunächst eine Auswahl mit eingeschränkten Entscheidungsoptionen präsentiert – namentlich Schaltflächen mit den Beschriftungen „Alle akzeptieren“ und „Einstellungen“. Erst durch einen weiteren Klick auf die Schaltfläche „Einstellungen“ öffnete sich eine detailliertere Ansicht, in der einzelne Kategorien von Cookies beziehungsweise Datenverarbeitungen auswählbar waren. Gleichzeitig kam ein Dienst zur Verwaltung von Tracking-Skripten – konkret der Google Tag Manager – ohne vorherige Einwilligung der Nutzenden zum Einsatz.

Die zuständige Datenschutz-Aufsichtsbehörde des Landes Niedersachsen äußerte Kritik an der Art und Weise der Einholung von Einwilligungen und beanstandete im Rahmen eines Bescheids insbesondere den Einsatz des Google Tag Managers ohne ausdrückliche Zustimmung. Das betroffene Unternehmen erhob Klage gegen den Bescheid.

Zum Urteil

Zunächst stellte das Gericht klar, dass die niedersächsische Datenschutz-Aufsichtsbehörde auch in Bezug auf die Überwachung und Einhaltung des § 25 TDDDG („Schutz der Privatsphäre bei Endeinrichtungen“) zuständig ist. Bei dieser Regelung hinsichtlich der rechtmäßigen Verarbeitung von Cookies handele es sich um „andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG).

Weiterhin sah es das Gericht als erwiesen an, dass die Beanstandung durch die Datenschutz-Aufsichtsbehörde zu Recht erfolgte:

„Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind […] werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht.“

Und weiter:

„Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf “Einstellungen” die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“

Schließlich würden die Nutzer darüber hinaus durch die Ausgestaltung des Cookie-Banners und dessen Schaltflächen hinsichtlich Gestaltung und Farbe ebenfalls zur Zustimmung gedrängt („Nudging“).

In Bezug auf die Verwendung des Google Tag Manager führte das Gericht aus, dass die Verwendung einer ausdrücklichen Einwilligung der Nutzenden bedürfe, da die Verwendung des Dienstes nicht notwendig und ebenfalls nicht vom berechtigten Interesse der Seitenbetreibenden gedeckt sei. Dies ergebe sich insbesondere aus der mit der Nutzung des Dienstes im Zusammenhang stehende Zugriff auf Endgeräte:

„Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. […] Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen […]. Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.“

Fazit

Betreibende von Internetseiten sollten darauf achten, dass ihr Cookie-Banner bereits auf der ersten Ebene eine klare und gleichwertige Auswahl bietet. Gestaltungselemente, die Nutzer zu einer Zustimmung drängen, sind dabei zu vermeiden. Die Informationen zur Datenverarbeitung müssen transparent und verständlich sein, damit Nutzer eine informierte Entscheidung treffen können. Der Einsatz des Google Tag Managers ist ohne vorherige, ausdrückliche Einwilligung unzulässig, da er nicht technisch notwendig ist. Es empfiehlt sich, datenschutzfreundlichere Alternativen zu prüfen. Zudem muss sichergestellt sein, dass keine einwilligungspflichtigen Dienste vor der Zustimmung aktiviert werden. Eine regelmäßige rechtliche und technische Überprüfung des Einwilligungsmanagements ist daher dringend anzuraten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende November 2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK), eine Orientierungshilfe für Anbieter:innen von digitalen Diensten veröffentlicht. Tatsächlich handelt es sich hierbei – mit geringfügig geänderten Namen – lediglich um die Aktualisierung einer bereits im Jahr 2021 veröffentlichten Orientierungshilfe. Was es hiermit auf sich hat und welche wesentlichen Änderungen sich aus der Orientierungshilfe ergeben, erfahren Sie im nachfolgenden Beitrag.

Telemedien werden zu digitalen Diensten

Vor etwas mehr als drei Jahren – am 20. Dezember 2021 – veröffentlichte die Datenschutzkonferenz die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (wir berichteten). Hintergrund hierfür war insbesondere die geänderte Rechtslage durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) sowie durch Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Wesentliche Auswirkungen hatte dies zum damaligen Zeitpunkt insbesondere auf den Einsatz von Cookies und vergleichbaren Technologien. Die Orientierungshilfe thematisierte den rechtskonformen Einsatz, den Grundsatz der Einwilligungsbedürftigkeit sowie die diversen Anforderungen an Einwilligungen und die Gestaltung sogenannter Cookie-Banner.

Zwischenzeitlich ergaben sich aufgrund des europäischen Digital Services Act (DSA) im Mai 2024 wiederum Änderungen am TTDSG sowie am TMG – die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz wurde so das Digitale-Dienste-Gesetz (DDG) und aus dem Telekommunikation-Telemedien-Datenschutzgesetz das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Insofern überrascht es nicht, dass auch die Datenschutzkonferenz die Notwendigkeit sah, die bisherige Orientierungshilfe an die neuen Begrifflichkeiten anzupassen. Doch bei einer rein sprachlichen Anpassung blieb es nicht…

Weitere Anpassungen an die aktuelle Rechtslage

Auch weitere Entwicklungen der Rechtslage fanden in die jüngst überarbeitete Orientierungshilfe Eingang: So wird das seit Juli 2023 bestehende EU-U.S. Data Privacy Framework für Übermittlungen personenbezogener Daten in die USA nun zumindest in einer Fußnote berücksichtigt.

Weiterhin wurden die Ausführungen der Orientierungshilfe an die Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA) zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angelehnt. Änderungen ergeben sich hierdurch hauptsächlich im strengeren Verständnis des Begriffs Zugriff auf Endeinrichtungen. So liegt demnach ein Zugriff bereits dann vor, wenn bei der Nutzung eines digitalen Dienstes Informationen übermittelt werden, die Aufschluss über technische Konfigurationen liefern, sogenanntes Browser-Fingerprinting: „Auch ist es als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“

Einige inhaltliche Ergänzungen

Ergänzungen sieht die überarbeitete Orientierungshilfe hinsichtlich der Gestaltung von Einwilligungsbannern („Cookie-Bannern“) vor. So heißt es beispielsweise nun: „Eine Ablehnfunktion auf erster Ebene ist aus Sicht der Aufsichtsbehörden nicht generell erforderlich, sondern nur dann, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen.“

Auch zum Nudging führt die Datenschutzkonferenz nun differenzierter aus: „Eine Verhaltenssteuerung durch die Gestaltung, die allgemein als Nudging bezeichnet wird, ist daher nicht generell unzulässig. […] Zur Erfüllung des Merkmals der Freiwilligkeit ist es erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich ist. Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist.“ Jedoch: „Die Möglichkeit keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option „Einwilligung erteilen“ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button „Einwilligung erteilen“ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button „Weiter ohne Einwilligung“ finden lässt.“

Weiterhin führt die Orientierungshilfe nun ergänzend zu Informationspflichten und einigen Betroffenenrechten aus. In Bezug auf das Auskunftsrecht stellt die Datenschutzkonferenz beispielsweise dar, dass es Betreibern von Internetseiten oftmals nicht möglich ist, den Namen eines Betroffenen weiteren Daten zuzuordnen. In diesen Fällen sei es mit Verweis auf Art. 11 Abs. 2 Satz 2 DS-GVO möglich, weitere Identifikationsmerkmale anzufordern. Diese Vorschrift berechtige jedoch ausdrücklich nicht zu einer routinemäßigen Identitätsprüfung. Hinsichtlich des Rechts auf Löschung weist die Datenschutzkonferenz darauf hin, dass Cookies standardmäßig mit Laufzeiten zu versehen sind, die sich am Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DS-GVO zu orientieren haben. Eine automatisierte Löschung von Cookies muss demnach in jedem Fall gegeben sein.

Über die umrissenen Ergänzungen hinaus, blieben die wesentlichen Aussagen der bisherigen Orientierungshilfe jedoch von Änderungen verschont.

Fazit

Betreiber von digitalen Diensten sollten die überarbeiteten Ausführungen der Datenschutzkonferenz unbedingt bei der Ausgestaltung von Einwilligungsbannern und dem Einsatz von Cookies berücksichtigen, hilft diese doch rechtliche Unsicherheiten zu minimieren. Nichtsdestotrotz macht die Orientierungshilfe an einigen Stellen deutlich, dass es stets einer fundierten Einzelfallbetrachtung bedarf. Hierbei kann der Datenschutzbeauftragte eine entscheidende Rolle spielen – wir unterstützen Sie gern!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Vor einem reichlichen Monat hat der Europäische Gerichtshof (EuGH) am 4. Oktober 2024 das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO näher ausgelegt (Rs. C-621/22), reichlich ein Jahr nach der letzten wichtigen Entscheidung des EuGH zu dieser Bestimmung (Urt. v. 3.8.2023, Rs. C-252/21). Obwohl sich das „neue“ Judikat immer wieder auf das ältere bezieht und der EuGH selbst wohl sogar der Meinung war, die neue Entscheidung sei überflüssig, sorgt sie vielleicht (leider) für Aufregung und Verunsicherung. Man kann sie nämlich (nach meiner Auffassung: miss-)verstehen als enorme Verschärfung der Anforderungen für das berechtigte Interesse.

Zum Aufbau von EuGH-Urteilen

Schauen wir genauer hin: Für echte Informationen über eine EuGH-Entscheidung liest man natürlich am besten und unbedingt immer die EuGH-Entscheidung selbst – nicht einen Blog oder Kommentar wie diesen hier, jedenfalls nicht nur. Das Urteil finden Sie hier im Veröffentlichungs-Portal der Europäischen Union. An vielen anderen Stellen natürlich auch; mir gefällt die Präsentation im Portal aber gut. Außerdem hat sie den Vorteil der Mehrsprachigkeit – dazu kommen wir noch.

Haben Sie das Urteil mal überflogen? Für Erstleser von EuGH-Urteilen ist der Text etwas sperrig. Schon das dritte oder vierte Urteil liest man dann aber ganz routiniert. Bevor wir zum juristischen Kern kommen, einige Kleinigkeiten:

Die Rechtssache C-621/22 betrifft eine Bitte des Bezirksgerichts Amsterdam an den EuGH, bei der Auslegung von Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO zu helfen. Der EuGH ist für die europaweit verbindliche Auslegung des EU-Rechts allein zuständig. Wie wir im Eingangssatz (immerhin eine Seite lang) lernen, hat der EuGH die Frage des niederländischen Gerichts Ende September 2022 erhalten. Bis zur Entscheidung vergingen also ziemlich genau zwei Jahre. Das liegt beim EuGH im Rahmen. Für Beteiligte an den Ausgangsverfahren kommt dieser Zeitaufwand allerdings „on top“.

Der Königliche Niederländische Rasentennisverband (eigene Übersetzung) führt in Amsterdam ein Verfahren gegen die Autoriteit Persoonsgegevens. Wären Sie darauf gekommen, dass sich dahinter die Niederländische Datenschutz-Aufsichtsbehörde verbirgt? Entschieden hat der EuGH durch die 9. Kammer, besetzt mit drei Richtern. Berichterstatterin war die italienische Richterin Rossi. Sie gehörte dem EuGH seit Oktober 2018 an und wurde am 7. Oktober dieses Jahres durch einen neuen italienischen Richter abgelöst. „Unsere“ Entscheidung ist also vielleicht die letzte von ihr verfasste beim EuGH. Zuvor war sie (im vergangenen Jahr) auch Berichterstatterin beim wichtigen Urteil in Sachen Meta (C-252/21); dazu später mehr.

Zum Inhalt des Urteils

Nach dem Eingangssatz ist die ganze Entscheidung – wie EuGH-Urteile generell – in Textziffern gegliedert. Das ist nutzerfreundlich, weil es den Überblick und das Zitieren erleichtert. Die ersten drei Seiten bestehen nur aus Wiedergabe derjenigen Rechtsnormen, die der EuGH für die Entscheidung wichtig findet. Dieses Gesetz-Abschreiben ist beim EuGH üblich und hat den Vorteil, dass man EuGH-Entscheidungen auch ohne Gesetzbuch lesen kann.

Danach werden Ausgangsverfahren und Vorlagefragen berichtet. Wir bekommen vom EuGH also die Geschichte des jeweiligen Verfahrens erzählt, hier von Textziffer 9 bis 22. Kurz zusammengefasst: Der Tennisverband hatte Kontaktdaten seiner Mitglieder (alle Menschen, die einem Tennisverein angehören, der dem Verband beigetreten ist) an einen Sportwaren-Händler und einen Glücksspiel-Anbieter gegen Geld weitergegeben. Über deren Werbung beschwerten sich dann einige Empfänger bei der Datenschutzaufsicht und die verhängte eine Geldbuße von 525.000 Euro gegen den Verband. Der wiederum klagte gegen das Bußgeld beim Bezirksgericht Amsterdam und – schwupps – war man beim EuGH in Luxemburg.

Die gegensätzlichen Rechtsauffassungen der Aufsichtsbehörde und des Tennisverbands finden sich in Textziffern 16 und 17: Da es keine Einwilligung für die Datenweitergabe gab, berief sich der Tennisverband auf Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO, also sein berechtigtes Interesse. Die Aufsichtsbehörde argumentierte, ein berechtigtes Interesse nach DS-GVO müsse vom Gesetzgeber positiv festgelegt sein. Berechtigte Interessen wären nur „zum Gesetz gehörende, gesetzliche und in einem Gesetz festgelegte Interessen“. Der Verband wiederum meinte, als berechtigtes Interesse Im Sinne der DS-GVO komme jedes Interesse des Verantwortlichen in Betracht, solange es nicht gesetzeswidrig sei (negative Abgrenzung).

Die Auffassung des Verbandes dürfte der bisher ganz herrschenden Meinung in Deutschland entsprechen. Konkretes Beispiel, das für die EuGH-Entscheidung relevant war: Ist das Interesse an Werbung oder an Sponsoring-Geldern nur dann ein berechtigtes Interesse, wenn der Gesetzgeber irgendwo erwähnt, dass Unternehmen Werbung betreiben und Sponsoring-Gelder einnehmen dürfen?

In Textziffer 19 sind die Vorlagefragen des Bezirksgerichts Amsterdam abgedruckt und anschließend lernen wir in Textziffer 20 bis 22, dass der EuGH der Meinung war, er habe diese Fragen mit seiner Entscheidung im Verfahren C-252/21 am 4. Juli 2023 schon beantwortet. Das Bezirksgericht Amsterdam sah es jedoch anders und der EuGH war so freundlich, die Sache noch einmal zu erklären.

Ab Textziffer 23 wird es ein bisschen langweilig, weil der EuGH verschiedene Selbstverständlichkeiten aufzählt: Ziele der DS-GVO, Anforderungen nach Art. 5, im Vorlagefall fehlende Einwilligungen …, bevor er sich ab Textziffer 36 wirklich mit dem berechtigten Interesse befasst. Und mit den Textziffern 38 bis 40 hat er die Vorlagefragen eigentlich schon beantwortet: Nach früheren Entscheidungen des EuGH (zitiert werden C-26/22 und C-64/22) könne „ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten“. Auch aus dem 47. Erwägungsgrund der DS-GVO ergebe sich, dass das Interesse des Verantwortlichen nicht gesetzlich geregelt sein muss, solange es rechtmäßig bleibt – also nicht gegen Gesetze verstößt.

Zum berechtigten Interesse

Wäre die Entscheidung an dieser Stelle beendet, würde sich der Tennisverband freuen. Und ich würde keinen Blog-Beitrag dazu verfassen. Der EuGH geht aber (leider?) noch ein bisschen ins Detail und zerlegt das berechtigte Interesse in drei Prüfschritte:

• Erstens müsse man prüfen, ob der Verantwortliche überhaupt ein berechtigtes Interesse verfolgt. Nach der gerade dargestellten Rechtsprechung des EuGH bedeutet das nur, dass rechtswidrige Interessen ausscheiden. Eine Einbrecherbande kann sich bei Verarbeitung von Wohnanschriften wohlhabender Personen also nicht auf berechtigte Interessen berufen.
  
• Drittens muss (Textziffer 54 der Entscheidung) eine Interessenabwägung stattfinden, die insbesondere die vernünftigen Erwartungen der betroffenen Person, den Umfang der Datenverarbeitung und ihre Auswirkungen auf Betroffene berücksichtigt. Für den konkreten Fall gibt der EuGH seinen Amsterdamer Kollegen den Hinweis, dass sie bitte genauer prüfen sollen, ob die Mitglieder des Tennisverbands vernünftigerweise absehen konnten, dass ihre Daten gegen Entgelt für Werbe- und Marketingzwecke an Dritte weitergegeben werden. Außerdem sei bei der Interessenabwägung zu beachten, dass die Datenübermittlung an einen Glücksspiel-Anbieter sich auf die Betroffenen nachteilig auswirken könne (Gefahr der Entwicklung einer Spielsucht). Alles in allem auch hinsichtlich der Interessenabwägung nichts Überraschendes, vielleicht mit Ausnahme der originellen Einzelfall-Hinweise des EuGH.
  
• Und zweitens? Habe ich nicht vergessen, sondern für den Schluss aufgehoben, weil dort der Hase im Pfeffer liegt: Nach Auffassung des EuGH ist für das berechtigte Interesse (auch) „zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die […] Rechte […] auf Schutz personenbezogener Daten eingreifen“ (Textziffer 42). Der EuGH schlussfolgert das aus dem Zusammenlesen von Art. 6 Abs. 1 Satz 1 lit. f) und Art. 5 Abs. 1 lit. c) DS-GVO (Gebot der Datenminimierung). Und er wird dann auch konkret bei der Anwendung auf den Einzelfall: Der Tennisverein könnte vor der Datenweitergabe „seine Mitglieder … informieren und sie fragen, ob sie möchten, dass ihre Daten für Werbungs- oder Marketingzwecke an Dritte weitergegeben werden“ (Textziffer 51). Immerhin: Ob das im konkreten Fall vom Verband zu fordern sei oder er sich vielleicht doch ohne entsprechende Vorab-Befragung auf das berechtigte Interesse berufen kann, ist nach Auffassung des EuGH vom Amsterdamer Gericht zu prüfen (Textziffer 53), also nicht generell klar, sondern einzelfallabhängig. Aber komisch bleibt es doch: Haben wir jetzt einen generellen Vorrang der Einwilligung vor dem berechtigten Interesse? Verständlicher wäre, wenn der EuGH aus dem Grundsatz der Datenminimierung ableiten würde, dass eben auch beim berechtigten Interesse nur die zwingend benötigten Daten verarbeitet werden dürfen. Eine Weitergabe der Geburtsdaten oder der Vereinsbeitragsdaten an Werbe-Unternehmen wäre deshalb nicht erlaubt.

In der abschließenden Zusammenfassung (Textziffer 57) und im Entscheidungstenor (letzter Absatz des Urteils) werden die Formulierungen des EuGH sehr scharf: Auf berechtigtes Interesse könne man sich nur berufen, „wenn die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig ist“. Das Erfordernis absoluter Notwendigkeit der Verarbeitung wurde beim berechtigten Interesse bisher nicht so kategorisch gesehen. Für die Datenschutz-Praxis kann sich daraus erhebliche Rechtsunsicherheit ergeben. Immerhin ist es der EuGH als verbindliche Auslegungs-Autorität, der hier gesprochen hat.

Wenn es auf Formulierungen und Nuancen ankommt, ist im europäischen Recht oft hilfreich, eine andere Sprachfassung desselben Dokuments zu vergleichen. Die Originalsprache des vorliegenden Verfahrens war niederländisch und ist mir leider nicht verständlich. Wählt man im Kopfbereich der Internetseite die englische Sprachfassung, bestätigt sich (leider) das Problem. Dort heißt es, berechtigte Interessen seien anzunehmen, „only in condition that that processing is strictly necessary for the purposes […] in question“. Absolut notwendig und strictly necessary – das sind Anforderungen, die man vom berechtigten Interesse bisher nicht kannte. Ob der EuGH diese harten Formulierungen in künftigen Entscheidungen beibehält oder doch wieder abschwächt, wird man genau beobachten müssen.

Fazit

Als Fazit aus der Entscheidung vom 04. Oktober 2024 bleibt: Die eigentliche Vorlagefrage hat der EuGH unspektakulär und vorhersehbar beantwortet – berechtigte Interessen müssen nicht gesetzlich vorgegeben sein, dürfen aber nicht gegen Gesetze verstoßen. Und anschließend hat das Gericht – wie ich finde: überraschend und ärgerlich – ein neues Problem kreiert … Was meinen Sie?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO ist eine Verarbeitung personenbezogener Daten dann rechtmäßig, wenn jene Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten von der Datenverarbeitung betroffener Personen überwiegen. Eine solche Interessenabwägung führt in der Datenschutz-Praxis nicht selten zu Unsicherheiten bei der Anwendung: Welche Interessen können als berechtigte Interessen angeführt werden? Inwieweit kann eine Verarbeitung auf Grundlage des berechtigten Interesses als erforderlich angesehen werden? Welche Inhalte müssen in eine Interessenabwägung einfließen? Der nachfolgende Blog-Beitrag gibt einen kurzen Überblick über jüngste Entwicklungen.

Aktuelle Entscheidung des Europäischen gerichtshofes

In einem kürzlich ergangenen Urteil des Europäischen Gerichtshofes (EuGH, Urt. v. 4. Oktober 2024, C-621/22) setzte sich das Gericht näher mit dem berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf das Urteil vom 7. Dezember 2023 (C-26/22 und C-64/22) betont der EuGH zunächst erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein.

Im Bezug zu dem betreffenden Fall verweist der EuGH darauf, dass legitime wirtschaftliche Interessen grundsätzlich berechtigte Interessen darstellen können. Jedoch hat der Verantwortliche darüber hinaus die Erfüllung aller weiteren Verpflichtungen der DS-GVO sicherzustellen. Insbesondere ist im Rahmen der Erforderlichkeit und hinsichtlich des Vorliegens milderer Mittel vorab zu prüfen, ob die vorherige Information und Abfrage einer Einwilligung gegenüber den betroffenen Personen ebenso möglich wären. Hierdurch könne seitens der betroffenen Personen eine bessere Kontrolle der Offenlegung ihrer personenbezogenen Daten erreicht werden. Es läge somit ein geringerer Eingriff in die Rechte der betroffenen Personen vor, wobei – nach Auffassung des EuGH – möglicherweise seitens des Verantwortlichen dennoch die verfolgten Zwecke erreicht werden könnten.

Ergänzend hebt der EuGH unter Bezugnahme des Erwägungsgrund 47 der DS-GVO hervor, dass im Rahmen der vorzunehmenden Interessenabwägung ebenfalls zu berücksichtigen ist, ob die betroffenen Personen vernünftigerweise mit der Verarbeitung ihrer personenbezogenen Daten rechnen konnten und ob eine maßgebliche und angemessene Beziehung zwischen den betroffenen Personen und dem Verantwortlichen besteht. Konkretere Darstellungen zum berechtigten Interesse lassen sich aus dem aktuellen Urteil nicht entnehmen. Mit Blick auf die Rechtssprechungspraxis des EuGH vermag dies nicht zu überraschen, den Herausforderungen in der Praxis kann hiermit jedoch nur unzureichend begegnet werden.

Leitlinien des Europäischen Datenschutzausschusses

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Specht-Riemenschneider, hingegen äußerte sich in einer aktuellen Pressemitteilung zum berechtigten Interesse für die Zukunft optimistisch und verwies in diesem Zusammenhang auf eine am 8. Oktober 2024 veröffentlichte Leitlinie des Europäischen Datenschutzausschusses (EDSA): „Die Definition des ‚berechtigten Interesses‘ ist schon seit Einführung der Datenschutz-Grundverordnung Anlass für Diskussionen. Gerade für das Verhältnis zwischen Wirtschaft und Privatpersonen ist entscheidend, wann Daten auf dieser Grundlage verarbeitet werden dürfen. Deshalb ist es sehr gut, dass der Europäische Datenschutzausschuss seine Leitlinien zu diesem Thema vorgelegt hat. Ich verspreche mir davon mehr Rechtssicherheit für die Bürgerinnen und Bürger, aber eben auch für die Unternehmen.“

Doch welche Klarstellungen erfolgen durch die Leitlinien des EDSA tatsächlich? Werfen wir einen kurzen Blick in die jüngst veröffentliche Version. Deutlich wird hierbei, dass die Leitlinie bereits die Anforderungen des EuGH aus dem Urteil vom 4. Oktober 2024 mit berücksichtigt:

• Die Rechtsgrundlage des berechtigten Interesses sollte weder überdehnt werden noch als „letztes Mittel“ angesehen werden. Die Berufung auf das berechtigte Interesse setzt jedoch ein methodisches Vorgehen sowie vorab eine sorgfältige Bewertung der Verarbeitung voraus (Rn. 9).

• Eine abschließende Auflistung berechtigter Interessen kann es bereits aufgrund einer fehlenden Definition innerhalb der DS-GVO nicht geben. Eine Vielzahl von Interessen können als berechtigte Interessen angesehen werden, zum Beispiel der Zugang zu Online-Informationen, die Gewährleistung des Funktionierens öffentlicher Internetseiten oder die Verarbeitung personenbezogener Daten zum Schutze des Eigentums (Rn. 16).

• Ein berechtigtes Interesse kann in der Regel dann als rechtmäßig angesehen, wenn es nicht gegen europäisches Recht verstößt, klar und präzise formuliert ist und auch tatsächlich derzeit besteht. Es dürfen keine hypothetischen oder in der Zukunft gegebenenfalls vorliegenden Interessen verfolgt werden (Rn. 17).

• Im Rahmen einer Interessenabwägung müssen Verantwortliche folgende Faktoren einbeziehen: die Interessen, Grundrechte und Freiheiten betroffener Personen, die Auswirkungen der Verarbeitung auf die betroffenen Personen (Art der Daten, Kontext der Verarbeitung, Folgen der Verarbeitung), die berechtigten Erwartungen betroffener Personen sowie abmildernde Maßnahmen (Rn. 32).

• Eine bloße Erfüllung der Informationspflichten nach DS-GVO allein reicht nicht aus, um davon ausgehen zu können, dass die betroffene Person eine bestimmte Verarbeitung vernünftigerweise erwarten konnte. Zu berücksichtigen sind hierbei insbesondere die Beziehung zwischen Verantwortlichem und betroffener Person sowie die Eigenschaften der „durchschnittlichen“ betroffenen Person, zum Beispiel Alter, die (berufliche) Stellung und der Grad des Verständnisses im Kontext (Rn. 54).

• Weiterhin wird die besondere Bedeutung der Gewährleistung von Betroffenenrechten im Kontext des berechtigten Interesses dargestellt (Rn. 61 ff.).

• Auch Behörden können – in außergewöhnlichen und begrenzten Fällen – Verarbeitungen auf die Rechtsgrundlage des berechtigten Interesses stützen, soweit die Verarbeitung nicht in Erfüllung der ihnen obliegenden Aufgaben erfolgt bzw. mit Ihnen zusammenhängt (Rn. 99).

Im Rahmen der ausführlichen Darstellungen und Begründungen werden ebenfalls eine Reihe unterschiedlicher Praxisfälle eingeordnet. Insofern sind die Leitlinien auf jeden Fall als sinnvolle Orientierung für die Datenschutz-Praxis geeignet. Inwieweit sich einzelne Ausführungen in Zukunft noch geringfügig ändern werden, wird sich zeigen: Für die bereitgestellten Leitlinien des EDSA läuft bis einschließlich 20. November 2024 das öffentliche Konsultationsverfahren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Vor den erholsamen Wegstrecken bei Artikeln 10 und 11 wird der Ausflug nun sehr beschwerlich:

Artikel 9 regelt ein „Sonderthema“ im Datenschutz, nämlich den Umgang mit besonders sensiblen Daten. Und sensibel meint hier: Solche Informationen, aus deren Missbrauch sich große Risiken für die Betroffenen ergeben können, insbesondere Risiken einer Schlechterbehandlung, also Diskriminierung.Kürzer und präziser könnte der Titel von Artikel 9 deshalb – anstelle Verarbeitung besonderer Kategorien personenbezogener Daten – auch lauten Sensible Daten. Das Konzept des Gesetzgebers ist: In Absatz 1 werden die besonderen Kategorien definiert und ihre Verarbeitung wird untersagt. Der lange Absatz 2 enthält dann viele Ausnahmen mit teils furchtbar komplizierten Details. Und die Absätze 3 sowie 4 sind überflüssig, aber dazu später mehr…

Absatz 1

Der erste Absatz listet die besonderen Kategorien auf – wir schreiben ihn nicht ab, sondern bitten wie üblich darum, die DS-GVO selbst zu lesen. Für die meisten Kategorien (zum Beispiel Herkunft, politische Meinung, religiöse Überzeugung) liegt das Diskriminierungsrisiko nach traurigen historischen Erfahrungen auf der Hand.

Allerdings ist die Mehtode der DS-GVO zum Schutz dieser Daten nicht alternativlos. Anstelle des von zahlreichen Ausnahmen durchlöcherten Verbots wäre beispielsweise auch denkbar, bei jeder Verarbeitung dieser Daten eine Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) zu verlangen oder ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) anzuordnen – und ansonsten darauf zu verzichten. Diese und andere Wege würden einerseits durch erhöhten Verarbeitungsaufwand bei den Verantwortlichen dazu führen, die Verarbeitung einzuschränken und sich mit den Risiken auseinanderzusetzen. Außerdem bliebe uns

Absatz 2

erspart. Er gehört tatsächlich zu den Schlimmsten der DS-GVO. Bestaunen wir ihn buchstabenweise:

Buchstabe (a) erlaubt die Verarbeitung der sensiblen Daten, wenn die betroffene Person „für […] festgelegte Zwecke ausdrücklich eingewilligt“ hat. Manchmal wird die Zweckfestlegung und die Ausdrücklichkeit der Einwilligung als Unterschied zur „normalen“ Einwilligung nach Art. 7 und Art. 6 Abs. 1 Satz lit. a) DS-GVO genannt, aber zu Unrecht: Auch die „normale“ Einwilligung muss sich ja auf einen bestimmten Verarbeitungszweck beziehen und ausdrücklich erklärt werden. Das heißt nicht unbedingt schriftlich oder sonstwie formal; Kopfnicken genügt bei Artikel 6 und bei Artikel 9 – nur muss man es in beiden Fällen nachweisen können.

Bei der Einwilligung gibt es also – wenn man genau hinschaut – keinen Unterschied zwischen normalen und sensiblen Daten. Oder vielleicht doch – einen besonders merkwürdigen: Die Einwilligung bei den sensiblen Daten kann durch nationales oder EU-Recht ausgeschlossen werden. Also: Der Staat darf gesetzlich festlegen, dass beispielsweise Daten zur Religion in bestimmten Fällen nicht aufgrund einer Einwilligung verarbeitet werden können. Ist das sinnvoll? Und wenn ja, wann? Und ist es noch Datenschutz, wenn die Selbstbestimmung verloren geht?

Bei Buchstaben (b), (h) und (i) geht es überwiegend um Gesundheit. Neben der unnötig komplizierten Struktur – zu Buchstaben h gehört auch noch Absatz 3 – ist vor allem seltsam: Es genügt nicht, dass die Datenverarbeitungen für die jeweils genannten Zwecke erforderlich sind und durch Gesetze verlangt werden. Die Gesetze müssen auch noch „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ vorsehen. Daraus ergeben sich schwierige Fragen, zum Beispiel: Ergeben sich diese „geeigneten Garantien“ nicht aus der DS-GVO? Wofür ist sie sonst da? Und was soll der Verantwortliche tun, wenn ihn ein Gesetz zur Datenverarbeitung verpflichtet, das keine geeigneten Garantien enthält? Das Gesetz missachten? Muss der Verantwortliche selbst entscheiden, ob die Garantien des jeweiligen Gesetzes geeignet sind?

Buchstabe (c) am Fallbeispiel: Person A ist lebensnotwendig auf eine Bluttransfusion angewiesen. Verfügbar sind Blutkonserven von B, C und D; alle drei weigern sich jedoch, die Untersuchung der Konserven auf Krankheitserreger zu erlauben. Darf untersucht werden? Wohl nicht. Wenn B, C und D bewusstlos wären, wohl ja.

Buchstabe (d) ist eine Privilegierung für gemeinnützige Verantwortliche, die entweder zu weit geht, oder gar keinen Inhalt besitzt: Soll eine Gewerkschaft Gesundheitsdaten ihrer Mitglieder leichter verarbeiten dürfen, als ein Unternehmen? Dann wäre die Privilegierung zu weitgehend. Oder bedeutet „geeignete Garantien“ und „im Rahmen ihrer rechtmäßigen Tätigkeit“, dass die üblichen Regeln eingehalten werden müssen? Dann besitzt die Norm keinen Inhalt.

Buchstabe (e) verträgt sich schlecht mit Buchstaben (a): Trotz gesetzlichen Verbots der Einwilligung kann man als Betroffener die Verarbeitung sensibler Daten ermöglichen – aber dann muss man sie veröffentlichen? Ist das sinnvoll?

Buchstabe (f) ist recht klar. Man kann natürlich immer darüber streiten, was im Gerichtsverfahren erforderlich ist. Lesenswert dazu: VG Wiesbaden, Urteil vom 19. Januar 2022, Az. 6 K 361/21.WI.

Die Buchstaben (g) und (j) gehören zusammen; (h) und (i) wurden vom Gesetzgeber wohl nur dazwischengeschoben, um zu zeigen, wie man Datenschutzregeln nicht abfassen sollte: Unübersichtlich. Ganz Mutige dürfen jetzt schon kurz von (j) nach Art. 89 Abs. 1 DS-GVO hüpfen und versuchen, dort die Sätze 3 sowie 4 zu verstehen… Aber dann wieder zurückkommen!

Absatz 3

Der dritte Absatz, der besser in Absatz 2 Buchstabe (h) untergebracht wäre, bedeutet: Die Datenverarbeitung nach Buchstabe (h) darf nur durch Personen erfolgen, die einer Geheimhaltungspflicht unterliegen (nach EU-Recht oder nationalem Recht; schweizerisches Recht genügt nicht). Und dies würde wiederum bewirken, dass Datenverarbeitungen nach Buchstabe (h) nicht in Drittstaaten verlegt werden dürfen. Problemfall: Patientin A wird in Deutschland für Diagnosezwecke untersucht; das Bildmaterial erhält anschließend zur Auswertung die Ärztin B in Großbritannien (USA, Schweiz…). Soll dies unzulässig sein?

Absatz 4

Nach Absatz 4 können Mitgliedstaaten die Verarbeitung genetischer, biometrischer und von Gesundheitsdaten weiter einschränken. Ja, so einfach und kurz könnte man es formulieren… . Das heißt – weil Absatz 1 die Verarbeitung gänzlich verbietet – die Mitgliedstaaten können die Verbotsausnahmen in Absatz 2 für die benannten Datenkategorien begrenzen/verkleinern. Sehr wichtig ist Absatz 4 nicht, weil schon im Absatz 2 sehr viele Ausnahmen vom nationalen Recht abhängig sind (Buchstaben a, b und g-j). Sucht man in der Kommentarliteratur nach Anwendungsfällen für Absatz 4, findet man einiges – zum Beispiel Verweise auf § 8 Abs. 1 GenDG und § 7 TPG – merkt aber bei Prüfung, dass all diese Normen schon nach Absatz 2 zulässig sind. Oder haben Sie einen Anwendungsfall für Absatz 4?

Artikel 9 ist ganz sicher ein guter Kandidat für Text-Verbesserungen; momentan ist ein Spaziergang hier besonders holprig und rutschig. Aber wir haben es geschafft – also halten wir uns nicht weiter auf. Frohgemut zu den kurzen Wegstücken Nr. 10 und 11!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie mit der Pressemitteilung vom 13. Juni 2024 der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Kommen Verantwortliche dieser Aufforderung nicht nach, droht ihnen im Rahmen einer erneuten Überprüfung die Eröffnung eines förmlichen Verwaltungsverfahrens.

Kein Tracking ohne Einwilligung

„Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen“, so Dr. Juliane Hundert im Rahmen der Pressemitteilung. An sich ist es keine neue Anforderung, dass Verantwortliche die Nutzung von Google Analytics von der freiwilligen und informierten Einwilligung der Nutzerinnen und Nutzer abhängig machen müssen. Bereits im Jahr 2020 machte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen eines Hinweises darauf aufmerksam, dass der Einsatz von Google Analytics in der Regel der Einwilligung bedürfe.

Dennoch konnten nun in etwa 2.300 Fällen Verstöße wegen einer fehlenden oder unvollständigen Einwilligung ermittelt werden. Hinsichtlich der Gründe für die Verstöße lässt sich nur spekulieren. Regelmäßig lassen sich auf bereits lange bestehenden Internetseiten Rückstände früherer Implementierungen von Google Analytics finden, eine Nutzung von Google Analytics erfolgte ohne Rücksprache mit dem Datenschutzbeauftragten und ohne datenschutzrechtliches Know-how der Marketing-Agenturen oder es handelt sich um eine „Schatten-Internetseite“, die ohne Kenntnis des Verantwortlichen – zum Beispiel durch eine Fachabteilung – eigenmächtig und ebenfalls ohne datenschutzrechtliche Prüfung veröffentlicht wurde.

Aus diesem Grund sind Verantwortliche gut beraten, an einer zentralen Stelle eine Übersicht der aktuellen Internetseiten und Präsenzen in sozialen Netzwerken zu pflegen. Diese sollten zudem in regelmäßigen Abständen, beispielsweise mit Unterstützung des Datenschutzbeauftragten, hinsichtlich der jeweiligen Datenverarbeitungen sowie der Umsetzung der einschlägigen datenschutzrechtlichen Anforderungen überprüft werden. Technische Unterstützung für einen Quick-Check der Internetseite bieten hierbei Dienste wie Webbkoll oder Browser-Add-Ins wie uBlock Origin.

Google Analytics und der Datenschutz

Die datenschutzrechtliche Zulässigkeit der Nutzung von Google Analytics wird regelmäßig diskutiert. So sorgte beispielsweise die auf eine Musterbeschwerde von noyb folgende Untersagung der Nutzung von Google Analytics für ein Unternehmen in Österreich für Aufsehen. Hintergrund war dort insbesondere die rechtswidrige Übermittlung personenbezogener Daten in die USA. Auch die zwingende Einführung des Consent Mode v2 im Frühjahr dieses Jahres führte erneut zu der Frage, ob Google Analytics datenschutzkonform eingesetzt werden könne.

Zum Unmut vieler Betreiber und Betreiberinnen von Internetseiten kann diese Frage nicht mit einem klaren „ja“ oder „nein“ beantwortet werden. Vielmehr kommt es auf die konkrete Implementierung und die vorgenommenen Einstellungen an. Neben der sauberen Implementierung eines Einwilligungsmanagements („Cookie-Banner“), sollte darauf geachtet werden, Google Analytics möglichst datensparsam und unter dem Blickwinkel der Erforderlichkeit einzurichten (z. B. Reduzierung der Speicherdauer, Berichte zu demografischen Merkmalen gegebenenfalls deaktivieren).

Darüber hinaus sollten auch die neben Google Analytics bestehenden Alternativen geprüft werden. Zwischenzeitlich bestehen eine Reihe sinnvoller Anwendungen, deren Datenverarbeitung ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums stattfindet. Zwar kann so das Einwilligungserfordernis nicht umgangen, aber ein Nutzertracking abseits etwaiger Übermittlungsproblematiken in datenschutzrechtliche Drittländer realisiert werden.

Fazit

Die SDTB lässt im Rahmen der Pressemitteilung durchblicken, dass von nun an derartige Prüfungen auch im vorliegenden Größenumfang regelmäßiger vorkommen können. Hierfür stehe der Aufsichtsbehörde seit kurzem ein entsprechendes IT-Labor zur Verfügung: „Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“ Somit sollten Verantwortliche in Sachsen ab sofort regelmäßiger die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nachdem wir uns zuletzt die Bedingungen für die Einwilligungen in Artikel 7 näher angesehen haben, muss nun natürlich geklärt werden, ab welchem Alter sie wirksam erteilt werden kann.

Die einfachste Lösung hätte darin bestanden, diese Frage den Mitgliedstaaten zu überlassen. Dort ist ja geregelt, ab welchem Alter Geschäftsfähigkeit besteht, also zum Beispiel Verträge wirksam abgeschlossen werden können – und umgekehrt, bis zu welchem Alter Kinder vertreten werden. Dies hätte zwar den Nachteil fehlender Vereinheitlichung, aber offenbar wiegt der nicht schwer: Bei Vertragsschlüssen kommt der Europäische Binnenmarkt mit den national verschiedenen Regelungen seit Jahrzehnten gut zurecht. Die DS-GVO denkt komplizierter…

Absatz 1

In Absatz 1 wird das Einwilligungsalter auf 16 Jahre festgesetzt, den Mitgliedstaaten in Satz 3 aber die Erlaubnis eingeräumt, eine niedrigere Altersgrenze bis hinab zum 13. Geburtstag zu regeln. Sinn und Zweck dieses Ansatzes erschließt sich nicht. Eine Liste der aktuellen Altersgrenzen für Datenschutz-Einwilligungen findet sich beispielsweise hier. Es wird sogar noch komplizierter: Art. 8 gilt ja nur bei Diensten der  Informationsgesellschaft. Das sind gemäß Art. 4 Nr. 25 DS-GVO Dienstleistungen im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. So geht das mit der klaren und einfachen Sprache…

Also ein Blick durch´s Fernglas auf die RL 2015/1535. Dort nennt Art. 1 Nr. 1 lit. b) „Dienstleistung der Informationsgesellschaft […] jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bezeichnet der Ausdruck

i) „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;
ii) „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;
iii) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.

Eine Beispielliste der nicht unter diese Definition fallenden Dienste findet sich in Anhang I.“

Nun müssten wir in Anlage I nachschauen, aber wahrscheinlich schmerzen langsam die Füße – es soll ja ein Spaziergang bleiben. Halten wir also fest und das ist ja erstaunlich genug: Für viele Einwilligungen Minderjähriger gilt Art. 8 DS-GVO gar nicht. Das Foto im Ferienlager fällt zum Beispiel nicht darunter. Was wollte der Gesetzgeber damit erreichen? Haben Sie eine Idee?

Absatz 2

Dieser Absatz verlangt vom Verantwortlichen unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um zu prüfen, ob die Zustimmung von den richtigen Personen erteilt wurde. Dies gilt natürlich genauso bei Einwilligungen Erwachsener und ist inhaltlich nicht hilfreich. Was sind denn angemessene Anstrengungen?

Insoweit gelten bei Minderjährigen genau dieselben Maßstäbe wie bei betreuten Personen und Erwachsenen: Verantwortliche müssen nach Lage des Einzelfalls vernünftigerweise davon ausgehen können, dass die richtige Person eingewilligt hat. Das ist hinsichtlich der Altersgrenze auch in anderen Lebensbereichen nichts Neues: An jeder Supermarktkasse und jedem Tresen muss die Altersfrage schnell und korrekt geklärt werden, wenn zum Beispiel Alkoholisches verkauft wird, meist durch einen Blick, in Zweifelsfällen durch einen Blick auf den Ausweis.

Und wie bekommt man bei Kindern einen wasserdichten Nachweis zum Sorgerecht? Auf Antrag erhalten die Sorgeberechtigten einen schriftlichen Nachweis des zuständigen Jugendamtes: Entweder darüber, dass dort keine Eintragungen bzw. Sorgerechtsübertragungen erfolgt sind oder über die tatsächliche Sorgerechtsübertragung, zum Beispiel auf ein alleinerziehendes Elternteil. Gibt es keine Eintragungen beim zuständigen Jugendamt, liegt die Vertretung für Kinder von Gesetzes wegen bei den Eltern. Es braucht dann also nur noch die Vorlage der Geburtsurkunde und zur Identitätsprüfung natürlich eine Kontrolle der Ausweise des Kindes und der Eltern. Schon geschafft!

Genau das meint der DSGVO-Gesetzgeber natürlich in den meisten Fällen nicht (!), wenn er von angemessenen Anstrengungen spricht. Solange das Kind die begleitenden Erwachsenen als Eltern anredet, sich nach dem allgemeinen Eindruck also keine Zweifel an der Elternschaft ergeben, genügt dies. In vielen Konstellationen werden die Verantwortlichen Kind und Eltern gar nicht sehen, also auch nicht gemeinsam erleben. Genügt es dann, wenn das Kind eine Einwilligungsklärung vorlegt, die ein oder zwei unleserliche Unterschriften trägt? Meistens ja. Verantwortliche dürfen zunächst darauf vertrauen, dass auch Kinder sich regelkonform verhalten, die Unterschriften also zum Beispiel nicht gefälscht haben.

Anderes gilt natürlich, wenn im Einzelfall konkrete Umstände einen Verdacht nahelegen. Zum Beispiel: Das Kind verschwindet mit dem Einwilligungsformular und Stift für wenige Sekunden, überreicht dann das unterschriebene Papier. Zu den angemessenen Anstrengungen gehört auch, dass der Verantwortliche direkte Kommunikationskanäle zu den Sorgeberechtigten nutzt, wenn sie vorhanden sind. Zum Beispiel: Bei Organisation eines Ferienlagers sendet der Verantwortliche E-Mails direkt sowohl an die Eltern, wie auch an die Kinder. Die Einwilligungsformulare wären dann den Eltern zu übermitteln, nicht den Kindern zwecks Weiterleitung an die Eltern.

Absatz 3

Absatz 3 regelt dann nur klarstellend, dass selbstverständlich für Vertragsabschlüsse und andere rechtlich relevanten Handlungen von Kindern das nationale Zivilrecht des jeweiligen Mitgliedstaats anwendbar bleibt. Gerade diese Zweiteilung kann zu unnötigen Komplikationen führen. Wenn sich ein 17-jähriger auf Kredit den ersten Porsche kauft, ist dies in Deutschland nur mit Zustimmung der Eltern wirksam. Falls er beim Autohaus vor dem neuen Wagen für ein Werbefoto posiert und dem Verkäufer die Verwendung des Fotos im Internet erlaubt, wäre dies jedoch wirksam. Vielleicht widerruft er die Einwilligung, sobald er enttäuscht hört, dass sich der Autokauf noch um ein Jahr verzögert.

Es wäre einfacher und plausibler, die datenschutzrechtliche Einwilligungsfähigkeit an die Geschäftsfähigkeit zu knüpfen. Die Lösung in Art. 8 bringt weder Einheitlichkeit, noch Klarheit. Und sie gilt zu allem Überfluss nur für bestimmte Einwilligungen.

Am Rande, während wir auf Artikel 9 zuschlendern: Die DS-GVO äußert sich nicht dazu, wie Einwilligungen erteilt werden, wenn Personen – vor allem durch Krankheiten – nicht im Stande sind, ihre Angelegenheiten selbst rechtlich sinnvoll zu regeln. In Deutschland sind dies die Fälle einer vom Amtsgericht angeordneten Betreuung, gegebenenfalls für einzelne Lebensbereiche. Wenn die Betreuung umfassend angeordnet wird, entscheidet auch über die datenschutzrechtliche Einwilligung der jeweilige Betreuer. Und natürlich muss sich der Verantwortliche auch in solchen Fällen in angemessener Weise darüber vergewissern, dass eine Betreuung existiert und der richtige Betreuer entschieden hat.

Als kleine Verbesserung vorzuschlagen wäre deshalb, bei Artikel 8 die Worte in Bezug auf Dienste der Informationsgesellschaft in der Überschrift zu streichen und Abs. 1 Satz 1 zum Beispiel einzuleiten mit „Einwilligungen eines Kindes sind rechtmäßig, wenn das Kind … .“ Noch schöner und einfacher wäre, auf den ganzen Artikel 8 zu verzichten und bei Artikel 7 als Absatz 5 zu ergänzen: „Ob anstelle der Betroffenen andere Personen über die Einwilligung und deren Widerruf entscheiden (z.B. bei Minderjährigen und unter Betreuung Stehenden), regelt sich nach dem allgemeinen Vertragsrecht der Mitgliedstaaten.“ Damit können wir weiterspazieren zu Artikel 9. Achten Sie aber gut auf den Weg – es bleibt arg holprig …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben.

Gerade waren wir an der Einwilligung bei Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO schnell vorbeigelaufen; nun sehen wir sie aus der Nähe: Die Königin der informationellen Selbstbestimmung. In der fiktiven selbstbestimmtesten aller Datenschutzwelten wäre nur die Einwilligung überhaupt eine Rechtfertigung für Datenverarbeitungen. „Volunti non fit iniuria“ – „Freiwilligen geschieht kein Unrecht“, meinten schon die alten Römer und finden wir auch heute noch im Datenschutz. Allerdings gilt das natürlich nur, wenn bestimmte Voraussetzungen erfüllt sind – und damit befasst sich Artikel 7. Das zeigt schon der Titel: Bedingungen für die Einwilligung. Welche Bedingungen hätten wir da?

Absatz 1

Der Verantwortliche muss die Einwilligung nachweisen können. Das passt zu Art. 5 Abs. 2 DS-GVO und verursacht einen gewissen, oft lästigen Aufwand. Vielleicht und hoffentlich bringt die Zeit Besserung, denn viele Einwilligungsformulare sind immer noch viel zu lang und umständlich. Das liegt meist an der verständlichen Angst, irgendetwas Wichtiges zu vergessen. Dann wird verständlicherweise manchmal lieber zu viel, als zu wenig aufgeschrieben. Wie gesagt, hoffentlich wird es besser oder einfacher im Laufe der Zeit…

Momentan ist (noch?) vieles umstritten und unsicher. Gerade deshalb hier einige Thesen zur Diskussion:

• Wenn jemand etwas tut, dass nach allgemeiner Erwartung bestimmte Datenverarbeitungen beim Kommunikationspartner nach sich zieht, willigt er bzw. sie in diese Verarbeitungen ein. Natürlich nur, solange sich im Einzelfall kein anderer Wille zeigt. Beispiele:
  • Wer eine Visitenkarte überreicht, muss nicht gefragt werden, ob die Daten auf dieser Karte gespeichert und genutzt werden dürfen.
  • Wer in eine Kamera lacht und posiert, ist mit dem Foto einverstanden.
  • Wer eine unverschlüsselte E-Mail schickt, ist mit einer unverschlüsselten Antwort zufrieden. Auch darüber wird ja gestritten: Betroffene dürfen in Risiken einwilligen. Natürlich.
    
• Bei Minderjährigen entscheiden die Sorgeberechtigten über die Einwilligung. Dafür gilt meines Erachtens:
  • Wenn ein Einwilligungsformular bei Einwilligung Sorgeberechtigte unterschrieben ist, dürfen die Verantwortlichen davon ausgehen, dass Sorgeberechtigte unterschrieben haben. Die Geburtsurkunde wird ebenso wenig gebraucht, wie Erklärungen des Jugendamts… .
  • Wenn ein Unterzeichner behauptet, die andere Sorgeberechtigte mit zu vertreten, darf der Verantwortliche sich darauf verlassen.
    
• Einwilligungen dürfen auch als Liste von mehreren Personen (z.B. von Teilnehmenden einer Veranstaltung) eingeholt werden.

• In Erwägungsgrund 42 Satz 4 der DS-GVO heißt es: „Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.“ Man darf es dabei auch belassen und weitere Informationen auf Rückfrage anbieten. Mit anderen Worten: Betroffene dürfen selbst entscheiden, wieviel Detail-Information sie vor ihrer Entscheidung haben möchten.

• Da fehlende oder fehlerhafte Einwilligungen zu Schadenersatzforderungen führen können, darf (nicht: muss) die Einwilligung bis zum Ablauf der Verjährungsfrist gespeichert bleiben (zehn Jahre nach Ende der Verarbeitung).

• Es genügt, anstelle der konkreten Einwilligung nachzuweisen, dass der Workflow eine Datenverarbeitung erst nach Einwilligung zulässt. Zum Beispiel: Erst nach Abhaken des Einwilligungs-Kästchens kann der Newsletter bestellt werden.

Einverstanden? Oder haben wir Zank?

Absatz 2

… gibt mal wieder Anlass zum Nörgeln. Satz 2 ist sowieso überflüssig. Und Satz 1 ist grammatisch falsch, weil das Ersuchen um Einwilligung natürlich immer „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen“ muss, nicht nur bei Schriftform.

Absatz 3

Einwilligungen dürfen widerrufen werden. Man kann es sich also später auch noch anders überlegen. Das muss den Betroffenen vorab auch mitgeteilt werden und der Widerruf darf nicht aufwändig sein. Verboten: Einwilligung per E-Mail, Widerruf nur per Einschreibebrief.

Freiwilligkeit und Widerruflichkeit heißt für die Verantwortlichen: Einwilligungen sind nicht planbar. Deshalb eignen sie sich nicht für Datenverarbeitungen, die man unbedingt und auf Dauer braucht. Wenn ein Unternehmen Fortbildungsplanung auf die amerikanische Konzernmutter überträgt und dazu Einwilligungen der ganzen Belegschaft einholt, ist das nicht nachhaltig.

Absatz 4

… ist missglückt, weil man ja, wenn eine Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist, meist gar keine Einwilligung braucht (siehe Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO). Nur unbeteiligte Dritte müssten vielleicht zustimmen. Zum Beispiel: Unternehmen A möchte Frau B zum 100. Geburtstag per Zeitungsinserat gratulieren; Frau B willigt ein.

Was der Gesetzgeber wohl sagen wollte – in klarer und einfacher Sprach: Bei der Prüfung von Freiwilligkeit muss beachtet werden, welche Nachteile man ohne Einwilligung erleidet und ob diese Nachteile nötig sind oder zumindest zumutbar. Zum Beispiel: Verlag A bietet Informationen im Internet entweder ohne Tracking und gegen Geld oder kostenlos, mit Tracking bei Einwilligung. Das darf man (derzeit?) koppeln – vielleicht nicht nötig, aber zumutbar.

Aber wiederum nicht bei Leistungen, auf die Betroffene einen Anspruch haben. Zum Beispiel: Eine Behörde will Ihren Antrag nur bearbeiten, wenn Sie einem Foto für die Öffentlichkeitsarbeit zustimmen. – Nicht nötig und nicht zumutbar. Besser: Die Behörde bearbeitet erst den Antrag und fragt dann nach der Einwilligung.

Manche reden vom Kopplungsverbot (absolut und relativ). Das heißt aber nur: Unnötige und unzumutbare Kopplungen sind verboten. Es bleibt dabei: Was nötig ist und was zumutbar, darauf kommt‘s an. Und darüber kann man manchmal streiten. Eine Entscheidungshilfe kennt übrigens der Volksmund aus der Bibel: „Was Du nicht willst, das man Dir tu, das füg auch keinem Andern zu.“

Auf bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dieser oder ähnlich lautenden Feststellungen könnte man den 7. März 2024 aus datenschutzrechtlicher Sicht zusammenfassen. Doch was genau hat der Europäische Gerichtshof (EuGH) wieder getan? Wie bereits im Mai und Dezember des vergangenen Jahres, versucht der EuGH mit einer Reihe an Urteilen Rechtsklarheit bei der Anwendung der DS-GVO zu schaffen. Man könnte auch meinen der EuGH präzisiert die DSGVO.  

Richten wir nun den Blick auf die Entscheidungen vom 7. März 2024 so befasst sich der EuGH u.a. (erneut) mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).

Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Der nachfolgende Beitrag richtet sich auf die beiden erstgenannten Entscheidungen und deren Auswirkungen auf den Begriff der personenbezogenen Daten.

Die personenbezogenen Daten (und der EuGH)

Gesetzlicher Hauptanknüpfungspunkt ist der Begriff der personenbezogenen Daten in Art. 4 Nr. 1 DS-GVO. So eindeutig wie die Begrifflichkeit formuliert zu scheinen vermag, so löst sie in der Praxis zuweilen erhebliche Schwierigkeiten bei der Anwendung und der Bestimmung des Personenbezuges aus. Die Rechtsprechung hat sich daher offensichtlich zum Auftrag gemacht, mögliche Rechtsunsicherheiten zu beseitigen. Die Urteile in den Rechtssachen C-740/22 und C-479/22 P reihen sich daher in die Kette relevanter Entscheidungen rund um den Begriff der personenbezogenen Daten ein:

Zu nennen ist hier zunächst das Urteil des Europäischen Gerichts (EuG) vom 26.April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt. Das Urteil haben wir bereits im Rahmen eines Beitrages näher beleuchtet. Gegen die Entscheidung wurde am 5. Juli 2023 Rechtsmittel eingelegt. Das Verfahren wir vor dem Europäischen Gerichtshof unter der Rechtssache C-413/23 P geführt.

Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. Eine umfangreiche Darstellung des Urteils und den Aspekten des Personenbezuges findet sich hier.

Im Ergebnis vertritt der EuGH die Auffassung, dass die FIN zwar grundsätzlich ein alphanumerischer Code, deren Zweck die Identifizierung eines Fahrzeuges (also einer Sache) ist und nicht vordergründig zur Identifizierung einer Person dient und daher als solches keinen Personenbezug aufweist. Dieser Umstand schließt jedoch nicht aus, dass die FIN dennoch personenbezogen sein kann, da sich die Beziehung zwischen der FIN und einer Person durch die Hinzuziehung weiterer Informationen (z.B. entsprechende Eintragungen in den Zulassungspapieren) ergeben kann.

Die Entscheidung Rs. C-604/22

In diesem Urteil kommt der EuGH zu dem Ergebnis, dass es sich bei dem sogenannten Transparency and Consent String (TC-String) um personenbezogene Daten handelt. Dem Urteil war ein Vorabentscheidungsverfahren aus Belgien vorausgegangen, in welchem das Interactive Advertising Bureau Europe (IAB) – ein Verband, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt – gegen die belgische Datenschutzaufsichtsbehörde geklagt hatte.

Die IAB hat das „Transparency and Consent Framework“ (TCF) entwickelt wodurch personalisierte Werbung datenschutzkonform möglich sein soll. Grundsätzlich kommt es beim „Betreten“ von Nutzerinnen und Nutzer diverser Internetpräsenzen in der Regel zu einer Einwilligungsabfrage in die Erhebung und zuweilen zur Weiterverarbeitung von Daten (insbesondere Standortdaten, Sucherverläufe, IP-Adressen usw.) für Zwecke des Marketings und/oder des Ausspielens von Werbung. Die IAB hat zur Durchführung und zur Anwendung des TCF eine Consent-Management-Plattform entwickelt, um die jeweiligen Einwilligungen zu verwalten. Hierbei kommt der sogenannte TC-String zum Einsatz. Durch den TC-String werden vereinfacht ausgedrückt Kombinationen von Buchstaben und Zeichen in einer Abfolge (String) gespeichert, welche unter anderem die Präferenzen von Nutzerinnen und Nutzern von Webseiten enthalten. Zusätzlich erfolgt das Setzen eines Cookies.

Der EuGH entschied in der Rechtssache, dass der TC-String ein personenbezogenes Daten im Sinne des Art. 4 Nr. 1 DS-GVO darstelle, da anhand der im TC-String gespeicherten Informationen natürliche Personen identifiziert werden können. Die Informationen können Kennungen wie z.B. IP-Adressen zugeordnet werden, wodurch wiederrum Profile der Nutzerinnen und Nutzer erstellt werden können.

Die Entscheidung Rs. C-479/22 P

In dieser Rechtssache befasst sich der EuGH mit Fragen rund um die zur Identifikation einer natürlichen Person notwendigen Informationen. Vorausgegangen war ein Verfahren am EuG (Rs. T-384/20) zwischen einer griechischen Staatsangehörigen, einer akademischen Forscherin in den Bereichen Nanotechnologieanwendungen, Energiespeicherung sowie Biomedizin und der Europäischen Kommission, in welcher die Klägerin (die griechische Staatsangehörige) Schadenersatz aufgrund einer erschienenen Pressemitteilung des Europäischen Amtes für Betrugsbekämpfung vom 5. Mai 2020 mit der Überschrift „OLAF-Untersuchung deckt Forschungsfinanzierungsbetrug in Griechenland auf“ fordert, da es zur rechtsdwidrigen und ferhlerhaften Verarbeitung personenbezogener Daten gekommen sein soll.

Im Detail konstatiert der EuGH unter anderem, „dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht“; „Insbesondere vermag der Umstand, dass zur Identifizierung der betreffenden Person zusätzliche Informationen erforderlich sind, nicht auszuschließen, dass die fraglichen Daten als personenbezogene Daten qualifiziert werden können“.

Weiterhin ist „für die Einstufung eines Datums als „personenbezogenes Datum“ nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden“. „Um festzustellen, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung einer natürlichen Person genutzt werden, sollten […] alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Im Kontext des Urteils gelten insbesondere Online-Recherchen als verhältnismäßig.

Fazit

Festzuhalten bleibt, dass der EuGH versucht, zunehmend Rechtsklarheit über die Anwendung der DS-GVO und insbesondere bezüglich der durch sie verwendeten Rechtsbegriffe wie dem der personenbezogenen Daten zu schaffen. Welche Auswirkungen die beiden Urteile für die Praxis im Detail haben werden bleibt abzuwarten. Ersichtlich ist jedoch bereits jetzt, dass die Prüfung ob des Vorliegens personenbezogener Daten nicht immer so „einfach“ ausfällt, wie dies möglicherweise auf den ersten Blick anmuten mag. Zudem scheinen aufgrund der aufgestellten Anforderungen an die zur Identifizierung einer natürlichen Person zusätzlich heranzuziehenden Informationen die Hürden für das Vorliegen pseudonymer und auch anonymer Daten zunehmend höhergesteckt zu werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.