Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Aus TMG wird DDG…

Betreiber von Internetseiten sollten im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Inhaltliche Änderungen sind hingegen nicht notwendig. Jedoch kann zugleich hinterfragt werden, ob ein spezifischer Normenverweis überhaupt erforderlich ist. Weder § 5 TMG, noch § 5 DDG setz(t)en dies voraus – eine gut aufzufindende Bezeichnung als Impressum oder Anbieterkennzeichnung ist ausreichend. Ein künftiger Aktualisierungsaufwand aufgrund von Änderungen an Gesetzesbezeichnungen kann so vermieden werden.

…TTDSG zu TDDDG…

Auch hinsichtlich des bisherigen TTDSG sind die Änderungen wenig aufregend: Es ändert sich ausschließlich der Name des Gesetzes – und somit wird aus einer sperrigen Abkürzung nur eine noch schrecklichere. Relevant ist dies hinsichtlich der weit überwiegenden Mehrheit an Datenschutzinformationen und Cookie-Banner. Für das Setzen von Cookies und der daraus resultierenden Verarbeitung personenbezogener Daten, bedarf es neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO auch einer nach § 25 TTDSG, nun § 25 TDDDG. Wird im Rahmen der Datenschutzinformation oder des Cookie-Banners über die jeweilige Rechtsgrundlage informiert (Art. 13 Abs. 1 lit. c) DS-GVO), sind auch hier die entsprechenden Verweise anzupassen.

MfG der DSB, ojemine?

Auch wenn die Namensänderungen für den juristischen Laien unnötig erscheinen, waren sie für eine zutreffende Beschreibung der jeweiligen Dienste erforderlich. Betreiber von Internetseiten sollten nun zeitnah die betreffenden Texte prüfen und erforderlichenfalls Anpassungen vornehmen. Auch wenn – entgegen einigen panischen Meldungen – aufgrund einer fehlerhaften Bezeichnung von Gesetzestexten keine flächenmäßigen Abmahnungen zu befürchten sind, lassen aktualisierte Pflichtinformationen die Betreiber von Internetseiten in einem besseren Licht dastehen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden. Im Ergebnis also alles nur halb so schlimm!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In seinem Urteil vom 29. November 2022 hat das Landgericht München I (Az.: 33 O 14776/19) festgestellt, dass das Cookie-Banner der Internetseite von focus.de nicht den rechtlichen Anforderungen entspricht und die weitere Nutzung untersagt. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv). Was das Urteil für Betreiber von Internetseiten konkret bedeutet, lesen Sie im nachfolgenden Beitrag.

Zum Sachverhalt

Zur Verwaltung der Nutzerpräferenzen hinsichtlich datenschutzrechtlicher Einwilligungen, setzt der Betreiber der Internetseite focus.de ein sogenanntes Consent-Management-System (Cookie-Banner) nach Branchenstandard („Transparency & Consent Framework (TCF) 2.0“ des Interactive Advertising Bureau (IBA)) ein. Über dieses haben die Nutzenden der Internetseite die Möglichkeit, ihre Einwilligung hinsichtlich verschiedenster Drittanbieter, beispielsweise Publishern, Werbungstreibenden, Vermarktern, Agenturen und den jeweiligen Technologiepartnern, zu verwalten. Auf der ersten Ebene war es den Nutzenden jedoch ausschließlich möglich, die optionalen Datenverarbeitungen vollumfänglich zu akzeptieren oder diese im Rahmen der weiteren Einstellungsmöglichkeiten einzeln ab- bzw. zuzuwählen.

Die Vornahme der Einstellungsmöglichkeiten verteilte sich vorliegend auf insgesamt 500 Einzelansichten, wobei für mehr als ein Dutzend Anbieter die jeweilige Einwilligung bereits vorausgewählt gewesen sei, so der vzbv. Zwar war es den Nutzenden auf der zweiten Ebene möglich alle optionalen Datenverarbeitungen abzulehnen, jedoch trat diese Schaltfläche aufgrund der grafischen Gestaltung gegenüber den weiteren Schaltflächen deutlich in den Hintergrund. Bemängelt wurde weiterhin die fehlende Transparenz der Datenverarbeitung entsprechend der Regelungen des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sowie der Datenschutz-Grundverordnung (DS-GVO).

Zweifel an der Freiwilligkeit

Das Gericht setzte sich im Rahmen der Entscheidung mit verschiedenen Aspekten hinsichtlich des Cookie-Banners auseinander. Dabei kam es unter anderem zu dem Ergebnis, dass das vorliegende Cookie-Banner keine wirksame Einwilligung der Nutzenden gewährleisten könne.

Die Einwilligung könne insbesondere bereits nicht als freiwillig angesehen werden, da den Nutzenden erst auf der zweiten Ebene die Möglichkeit zur Verfügung steht, sämtliche optionalen Datenverarbeitungen abzulehnen. Insofern würde den Nutzenden im Gegensatz zur allumfassenden Einwilligung hiermit ein Mehraufwand entstehen, welcher insbesondere aufgrund der im Internet üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzenden als nicht unerheblich anzusehen sei. Weiterhin wäre es den Nutzenden erst durch genaue Betrachtung des Fließtextes ersichtlich, dass überhaupt ein umfassendes Ablehnen sämtlicher optionaler Datenverarbeitungen möglich ist.

Die aufgeführte Darstellung des Gerichts ist aus Fairnessgründen zu begrüßen, wobei die hervorgebrachte Begründung juristisch jedoch zu überraschen vermag: Eine Einwilligung nach TTDSG ist an den Anforderungen der DS-GVO auszurichten. Vorliegend ergeben sich die Bedingungen an eine wirksame Einwilligung aus Art. 7 DS-GVO sowie den hierzu einschlägigen Erwägungsgründen. Hieraus lassen sich sich zunächst keine konkreten Vorgaben dahingehend ableiten, dass die Verweigerung einer Einwilligung mit dem gleichen Aufwand wie die Erteilung einer Einwilligung verbunden sein muss –  auch wenn dies seitens der hiesigen Aufsichtsbehörden gern in dieser Form vertreten wird. Auch erscheint es fraglich, wie das Gericht vorliegend die kognitiven Fähigkeiten von Nutzenden des Internets darstellt.

Verantwortliche sind unter den genannten Gesichtspunkten auf der sicheren Seite, wenn das Consent-Management-System bereits auf der ersten Seite eine echte Wahl zwischen Zustimmung und Ablehnung bereithält und die Schaltflächen hinsichtlich Form und Farbe gleichberechtigt dargestellt werden.

Ausführungen zur technischen Erforderlichkeit

Ferner stellt das Gericht deckungsgleich zu den Auffassungen der Aufsichtsbehörden dar, dass das Vorliegen einer technischen Erforderlichkeit, an der von den Nutzenden ausdrücklich gewünschten Funktionen eines Telemediendienstes auszurichten ist. Dementsprechend liege nach Auffassung des Gerichts einer solcher Wunsche hinsichtlich Cookies zu Analyse- und Marketingzwecken bei dem Besuch eines Nachrichtenportals nicht vor. Auch wenn der Betreiber der Internetseite hiermit eine Finanzierung des Angebots verfolgt, handele es sich damit ausschließlich um subjektive Interessen, auf die er sich vorliegend nicht stützen könne.

Fazit

Zunächst ist darauf hinzuweisen, dass die Entscheidung noch nicht rechtskräftig ist und der Betreiber der Internetseite gegen die Entscheidung des Gerichts Rechtsmittel eingelegt hat. Mit Spannung kann demnach einerseits die Entscheidung, aber insbesondere auch die Begründung der nächsten Instanz erwartet werden. Für Betreiber von Internetseiten zeigt sich aber bereits jetzt: Eine detaillierte Auseinandersetzung mit den unterschiedlichen rechtlichen Anforderungen aus dem TTDSG und der DS-GVO ist in jedem Fall erforderlich. Ein Verweis auf geltende Branchenstandards stellt nicht in jedem Fall eine rechtssichere Umsetzung dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Als Datenschutzbeauftragter gehört die datenschutzrechtliche Überprüfung von Internetseiten zum kleinen Einmaleins. Dabei ist oftmals festzustellen, dass verantwortliche Stellen kaum einen aktuellen Überblick über die tatsächlichen Datenverarbeitungen der eigenen Internetseite haben und/oder das Bewusstsein für die datenschutzrechtliche Relevanz fehlt. Der folgende Blog-Beitrag zeigt überblicksartig auf, welche datenschutzrechtliche Anforderungen im Zusammenhang mit Internetseiten bestehen und wie in wenigen Schritten eine Überprüfung der eigenen Internetseiten erfolgen kann.

Relevanz des Themas

Nahezu jede verantwortliche Stelle, egal ob Behörde, Unternehmen oder Verein, betreibt eine Internetseite, über die sich interessierte Personen über Neuigkeiten informieren, Produkte kaufen oder Anfragen stellen können. Unabhängig von den konkreten Inhalten der jeweiligen Internetseite, werden bei einem jedem Aufruf personenbezogene Daten, beispielsweise in Form von IP-Adressen, verarbeitet. Datenschutzwidrige Verarbeitungen stellen somit aufgrund der Vielzahl betroffener Personen und der vergleichsweisen leichten Überprüfbarkeit der Datenverarbeitungen ein hohes Risiko für verantwortliche Stellen dar. Weiterhin steht gemäß Art. 77 DS-GVO jeder von einer Datenverarbeitung betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, sofern die betroffene Person bereits nur der Ansicht ist, dass eine Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.

Datenschutzrechtliche Anforderungen

Die konkreten Anforderungen an eine datenschutzkonforme Verarbeitung durch eine Internetseite ergibt sich im Wesentlichen aus den Normen der DS-GVO sowie des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Zu benennen sind in diesem Zusammenhang die Rechtsgrundlagen nach Art. 6 Abs. 1 Satz 1 DS-GVO und § 25 TTDSG, die Verpflichtung zur Bereitstellung von Datenschutzinformationen nach Art. 13 DS-GVO, die Notwendigkeit zum Abschluss von Verträgen zur Auftragsverarbeitung mit eingesetzten Dienstleistern (z.B. Hosting-Dienstleistern) nach Art. 28 DS-GVO sowie die besonderen Anforderungen im Zusammenhang  mit der Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.

Grundsätzlich sollte sichergestellt sein, dass sämtliche Datenverarbeitungen einer Internetseite auf einschlägige Rechtsgrundlagen gestützt werden. Wie im Rahmen unseres Blog-Beitrags Analysen, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten bereits dargestellt, ist zunächst zwischen einwilligungsfreien und einwilligungsbedürftigen Datenverarbeitungen zu unterscheiden. Eine Datenverarbeitung ist grundsätzlich ohne Einwilligung möglich, soweit diese für die Bereitstellung der Internetseite zwingend erforderlich ist – das heißt, ein fehlerfreier Abruf der Internetseite ohne diese Datenverarbeitung gänzlich unmöglich ist. Alle weiteren Datenverarbeitungen, zum Beispiel im Zusammenhang mit einem Nutzer-Tracking oder der Bereitstellung von Medieninhalten, bedürfen in der Regel einer Einwilligung der Nutzenden. Weiterführende Informationen zur Anforderung an Einwilligungen auf Internetseiten, können in dem oben genannten Blog-Beitrag oder in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 202 nachgelesen werden.

Unabhängig von der Einwilligungsbedürftigkeit von Datenverarbeitungen ist darauf zu achten, dass personenbezogene Daten ausschließlich so lange gespeichert werden dürfen, wie es zur Erfüllung des Verarbeitungszwecks zwingend erforderlich ist. Neben Protokollierungen und Logfiles, deren Speicherdauer in der Regel 30 Tage nicht übersteigen sollte, betrifft dies ebenfalls Cookies und weitere personenbeziehbare Daten, wie beispielsweise Analysen des Nutzungsverhaltens.

Wichtig ist, dass sämtliche Datenverarbeitungen im Rahmen einer Datenschutzinformation (auch „Datenschutzerklärung“ genannt) transparent beschrieben werden. Die konkreten Anforderungen an eine solche Datenschutzinformation ergeben sich im Detail aus den Artikeln 12 bis 14 DS-GVO. Die im Rahmen einer Datenschutzinformation geschilderten Sachverhalte müssen stets zutreffend sein, es dürfen also ausschließlich solche Datenverarbeitungen beschrieben werden, welche tatsächlich auch stattfinden. Auch sollte möglichst auf Phrasen und Begriffsdefinitionen verzichtet werden, welche den Informationstext für die betroffene Person unnötig in die Länge ziehen. In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass sogenannte „Generatoren für Datenschutzerklärungen“ ausschließlich mit Vorsicht zu gebrauchen sind. Sie ermöglichen bereits mit wenigen Klicks die Erstellung umfassender Datenschutzinformationen, welche meist jedoch nicht auf die Besonderheiten einer Internetseite angepasst sind. Werden Internetseiten mehrsprachig zur Verfügung gestellt, ist in den gleichen Sprachen ebenfalls die Datenschutzinformation bereitzustellen.

Überprüfung der INternetseite

Da bereits minimale Anpassungen an Internetseiten eine Änderung der jeweiligen Datenverarbeitungen bewirken kann, sollte diese regelmäßig überprüft werden. So kann stets auch eine Aktualität der Datenschutzinformation sichergestellt werden. Im Folgenden sollen einige Werkzeuge und Möglichkeiten dargestellt werden:

Identifizierung des Hosting-Dienstleisters
Zum Teil bestehen Unsicherheiten hinsichtlich des konkreten Hosting-Dienstleisters. Beispielsweise geben Agenturen gelegentlich an, ein Hosting der Internetseite selbst durchzuführen. Eine nähere Betrachtung zeigt oftmals jedoch, dass das Hosting durch einen Subdienstleister realisiert wird. Als Werkzeug bietet sich hierbei als Firefox Browser Add-On „Flagfox“ an. Über eine Länderflagge in der Adresszeile des Browsers wird stets der Standort des jeweiligen Servers angezeigt. Mit einem Klick auf die Länderflagge folgt eine Darstellung weiterführender Informationen, unter anderem auch der Name des Hosting-Dienstleisters.

Identifizierung von Datenübermittlungen und Konfigurationen
Zur Visualisierung der Übermittlungen personenbezogener Daten können verschiedene Werkzeuge genutzt werden. Beispielsweise Webbkoll überprüft bei einer Internetseite durch das Fingieren eines Seitenaufrufs, welche Konfigurationen (z.B. Verschlüsselung, Content Security Policy, Referrer Policy) aktiv sind, welche Anfragen an Drittanbieter übermittelt und ob Informationen auf dem Gerätespeicher abgelegt werden. Hinsichtlich der Anfragen an Drittanbieter erfolgt eine Auflistung der jeweiligen Inhalte und über welche IP-Adressen diese Anfragen bearbeitet werden. So lassen sich beispielsweise auch Übermittlungen personenbezogener Daten in Drittländer identifizieren. Bei der Verwendung von Webbkoll ist zu beachten, dass hierbei nur Datenverarbeitungen angezeigt werden können, welche ohne Reaktion auf etwaig verwendete Cookie-Banner stattfinden.

Für eine technisch detailliertere Darstellung umgesetzter Konfigurationen eignet sich PrivacyScore. In der Übersicht lassen sich neben grundlegenden Informationen zu Drittinhalten auch die Absicherungen gegen typische Angriffsszenarien auf Internetseiten überprüfen.

Aber auch die browsereigenen Mittel ermöglichen eine gute Übersicht über Datenübermittlungen bei einem Aufruf der Internetseite. Bei Firefox ist dies beispielsweise per Rechtsklick auf der Internetseite und einem Klick auf „Untersuchen“ möglich. Über den Reiter „Netzwerkanalyse“ werden bei einem Laden der Internetseite sämtliche Ressourcen und angefragte Hosts aufgelistet.

Identifizierung von Cookies und Nutzung des Gerätespeichers
Ebenfalls über den jeweiligen Browser ist eine Ermittlung der gesetzten Cookies und der Nutzung des Gerätespeichers möglich. Hierzu wird wie zuvor beschrieben der Reiter „Web-Speicher“ aufgerufen. Unter „Cookies“ werden mit Angabe der jeweiligen Speicherdauer die Cookies der jeweiligen Hosts aufgelistet. Über den Abschnitt „Local Storage“ erfolgt eine Darstellung, welche Informationen innerhalb des internen Gerätespeichers abgelegt werden.

Identifizierung von Facebook-Inhalten
Gelegentlich werden auf Internetseiten Facebook-Inhalte verwendet, welche bereits ohne Einwilligung der Nutzenden eine Serververbindung zu Facebook aufbauen. Das Firefox Browser Add-On „Facebook Container“ identifiziert (und blockiert) derartige Inhalte und kennzeichnet diese durch ein farbiges Symbol. Das Add-On eignet sich insbesondere zur Überprüfung, ob Facebook-Inhalte tatsächlich nur mit Einwilligung aktiv sind oder diese erfolgreich von der Internetseite entfernt wurden.

Fazit

Datenschutzwidrige Datenverarbeitungen und unzutreffende Datenschutzinformationen stellen auf Internetseiten ein besonderes Risiko für verantwortliche Stellen dar. Eine regelmäßige Überprüfung der eigenen Internetseite kann helfen, Mängel zu identifizieren und das rechtliche Risiko so zu minimieren. Auch wenn durch die aufgezeigten Hilfsmittel nicht immer alle Datenverarbeitungen zweifelsfrei abgebildet werden, decken diese die „gröbsten Schnitzer“ allemal auf.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenanneten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Facebook besteht. Nunmehr hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) FAQ zu den Facebook-Fanpages veröffentlicht und somit ein weiteres Kapitel der Saga aufgeschlagen. Der nachfolgende Beitrag soll in Ergänzung zu unserem kurzen Überblick aus April 2022 die bisherige Entwicklung, den Inhalt der FAQ und mögliche Auswirkungen für die Praxis darstellen und näher beleuchten.

WIE NAHM DAS UNHEIL SEINEN LAUF?

Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der DSK unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Dem liegt zu Grunde, dass über die Funktion „Insights“ den Fanpage-Betreiberinnen und Fanpage-Betreiber eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt wird. Unter anderem aufgrund dieser Funktion habe der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit im Sinne des Art. 4 Nr. 8 und Art. 26 DS-GVO zwischen Fanpage- und Plattformbetreiber besteht. Demnach ergeben sich für Betreiberinnen und Betreiber von Facebook-Fanpages zahlreiche Pflichten zu denen u.a. gehören, dass transparent und in verständlicher Form darüber informiert werden muss, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden und dass für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreiberinnen und Fanpage-Betreiber in einer (transparenten) Vereinbarung festzulegen, wer welche Verpflichtung aus der Datenschutz-Grundverordnung (DS-GVO) erfüllt. Diese Vereinbarung muss darüber hinaus in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sog. „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO, da insbesondere die alleinige Entscheidungsmacht seitens Facebook „hinsichtlich der Verarbeitung von Insights-Daten“ im Widerspruch zur gemeinsamen Verantwortlichkeit stehe wie die DSK in der „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ vom 1. April 2019 deutlich machte.

Am 20. Mai 2019 richtete sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die DSK in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. In einem bisher letzten Akt geht insbesondere der BfDI noch weiter und versendet mittlerweile Anhörungen zu Facebook-Fanpages.

WORUM GEHT ES NUN IN DEN FAQ FACEBOOK-FANPAGE DER DSK?

Nach einem Problemaufriss inklusive Herausstellung des eigentlichen Knackpunktes, dass Meta Platforms als Betreiber des Dienstes Facebook die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiberinnen und Fanpage-Betreiber die Vorgaben der DS-GVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht. Demnach können verantwortliche Betreiberinnen und Betreiber häufig eine rechtskonforme Verarbeitung personenbezogener Daten nicht sicherstellen. Das betrifft insbesondere die Frage, in welchem Umfang eine Übermittlung personenbezogener in datenschutzrechtliche Drittländer stattfindet, wobei in derartigen Fällen die speziellen Anforderungen der Art. 44 ff. DS-GVO einzuhalten sind.

FÜR WEN GELTEN DIE AKTUELLEN HINWEISE DER DSK UND WELCHE KONSEQUENZEN DROHEN?

Unter Ziff. 6 ff. der FAQ führt die DSK weiter aus, dass Facebook-Fanpages nur dann betrieben werden dürfen, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die DS-GVO dar. Dies gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Jedoch sind öffentliche Stellen in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion sollen diese durch die Datenschutzaufsichtsbehörden nun vorrangig in die Pflicht genommen werden. Dies werde auch durch das Urteil des OVG Schleswig-Holstein vom 25.11.2021 (Az. 4 LB 20/13) gestützt, welches die Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein Marit Hansen gegenüber einer öffentliche Stelle bestätigte.

Die obigen Ausführungen zu Grunde gelegt kommt die DSK zu dem Ergebnis, dass Fanpage-Betreiberinnen und Fanpage-Betreiber die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können müssen, dies ihnen für den Betrieb von Facebook-Fanpages zurzeit jedoch nicht möglich ist. Datenschutzrechtlich Verantwortliche können in dieser Situation daher nach Ansicht der DSK nur eine (unverzügliche) Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DS-GVO zu erfüllen. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, sieht die DSK zudem keine Lösung durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite. Nichts desto trotz ergeht der Hinweise, dass sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, eine Facebook-Fanpage dann wieder in Betrieb genommen werden könnte. Ob und wann dies der Fall sein könnte, gleicht wohl jedoch einem Blick in die berühmte Glaskugel.

Weiterhin verweist die DSK darauf, dass viele der Erkenntnisse auch auf andere Social-Media-Auftritte (bspw. Instagram, Twitter, TikTok usw.) übertragbar sein dürften. Die Umstände seien häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.

FAZIT

Die eigentlich Rechtsproblematik für Betreiberinnen und Betreiber von Facebook-Fanpages ist nicht erst durch die neuerdings veröffentlichen FAQ der DSK zu einer Herausforderung für datenschutzrechtliche Verantwortliche erwachsen. Vielmehr schwillt der Konflikt rund um das Urteil des EuGH aus dem Jahre 2018 und die Gemeinsame Verantwortlichkeit zwischen Facebook und Betreiberinnern und Betreibern bereits seit Jahren und gleicht einem Stück in mehreren Akten, bei dem aktuell das vorläufige Ende zumindest vieler Facebook-Fanpages öffentlicher Stellen durch deren Abschaltung gekommen zu sein scheint. Allerdings wird das letzte Wort noch lange nicht gesprochen sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.

Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.

WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?

Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.

Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.

Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.

Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.

WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN

Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.

WOHIN MIT DEN PFLICHTANGABEN?

Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.

Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.

Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.

FAZIT

Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage –  nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.

Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.

Zum 18. März 2022 hat die „Taskforce Facebook-Fanpages“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) ein 40-seitiges Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vorgelegt. Darin finden insbesondere die seit dem 01. Dezember 2021 geltenden Regelungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und dessen Auswirkungen auf die rechtliche Beurteilung der Zulässigkeit des Betriebs einer Facebook-Fanpage Berücksichtigung. Die Taskforce nimmt dabei ebenfalls Bezug auf ein aktuelles Urteil des OVG Schleswig vom 25. November 2021. Die Inhalte und Auswirkungen des Kurzgutachtens für verantwortliche Stellen soll der nachfolgende Beitrag näher beleuchten.

WOMIT BEFASST SICH DAS KURZGUTACHTEN UND WOMIT NICHT?

Das Kurzgutachten befasst sich unter Berücksichtigung des seit 01. Dezember 2021 anzuwendenden TTDSG hauptsächlich mit der Speicherung von und dem Zugriff auf Informationen (Cookies) in den Endeinrichtungen von Nutzenden. Weiterhin wird die sich daran anschließende Verarbeitung und Verknüpfung mit Nutzungsdaten zu Statistikzwecken sowie zur Profilbildung und zu Werbezwecken thematisiert.

Lediglich umrissen wird hingegen die generellen datenschutzrechtlichen Anforderungen für Betreibende von Facebook-Fanpages sowie eine weitere Positionierung zur datenschutzrechtlichen Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages. Hierzu hatte die DSK bereits im September 2018 sowie April 2019 entsprechende Stellungnahmen veröffentlicht. Bereits aus diesen ging hervor, dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann.

VEREINBARKEIT MIT DEM TTDSG

Im Rahmen des Kurzgutachtens wird zunächst eine Darstellung der beim Aufruf von Facebook-Fanpages gesetzten Cookies vorgenommen. Hierbei sind grundsätzlich Cookies zu unterscheiden, die bei nicht-registrierten Nutzenden sowie bei registrierten Nutzenden gesetzt werden.

Unstreitig ist eine Facebook-Fanpage als Telemediendienst einzustufen, an deren Bereitstellung der jeweilige Betreiber der Facebook-Fanpage mitwirkt. Dementsprechend handelt es sich bei dem Betreiber um einen „Anbieter von Telemedien“ im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Somit obliegt diesem ebenfalls die Verpflichtung zur Einhaltung der Regelungen des § 25 TTDSG. Entsprechend des § 25 TTDSG bedürfen Cookies, welche nicht zur Erbringung des jeweiligen Dienstes technisch zwingend benötigt werden, einer Einwilligung. Im Ergebnis ist somit der Betreiber einer Facebook-Fanpage neben Facebook für das Einholen einer gegebenenfalls erforderlichen wirksamen Einwilligung (mit-)verantwortlich.

Das Kurzgutachten widmet sich unter Berücksichtigung dieser Grundvoraussetzungen der Frage, ob die Bereitstellung einer Facebook-Fanpage den Anforderungen aus § 25 TTDSG nachkommen kann. In diesem Zusammenhang wird sich ausführlich mit der Frage auseinandergesetzt, ob die im Rahmen einer Facebook-Fanpage gesetzten Cookies zur Erbringung des Telemediendienstes als technisch zwingend erforderlich bezeichnet werden können. Aufgrund der untrennbaren Verknüpfung mit Verarbeitungen zu Analyse- und Werbezwecken kommt die Taskforce unter Bezugnahme auf die Ausführungen des OVG Schleswig jedoch zu dem Ergebnis, dass die gesetzten Cookies nicht (ausschließlich) zur Erbringung des Telemediendienstes erforderlich und mithin einwilligungsbedürftig sind.

Das seitens Facebook bereitgestellte Einwilligungs-Banner bietet unter Berücksichtigung der Ausführungen der Taskforce sowie des OVG Schleswig zwar grundsätzlich die Möglichkeit Cookies zu akzeptieren bzw. weiterführende Einstellungen vorzunehmen, es erfüllt inhaltlich jedoch nicht die Anforderungen, welche an eine rechtskonforme Einwilligungserklärung zu stellen sind. Das Kurzgutachten kommt dementsprechend zu dem Ergebnis, dass für das Setzen der Cookies keine wirksame Einwilligung eingeholt wird. Die im Rahmen eines Aufrufes einer Facebook-Fanpage gesetzten Cookies werden somit ohne einschlägige Rechtsgrundlage gesetzt. Der Betrieb einer Facebook-Fanpage ist demnach unter Berücksichtigung der Anforderungen des § 25 TTDSG nicht mit dem TTDSG vereinbar.

VEREINBARKEIT MIT DER DS-GVO

Zur Vereinbarkeit der Verarbeitung personenbezogenen Daten im Rahmen von Facebook-Fanpages, insbesondere bezüglich der jeweiligen Insight-Statistiken, führt das Kurzgutachten zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit von Facebook und dem jeweiligen Betreiber der Facebook-Fanpage aus. Die Einstufung als gemeinsame Verantwortliche im Sinne des Art. 26 DS-GVO entstammt der Rechtsprechung des Europäischen Gerichtshofes und wurde sowohl durch das Bundesverwaltungsgericht als auch das OVG Schleswig aufgegriffen.

An dieser Stelle positiv hervorzuheben ist, dass das OVG Schleswig in der Datenverarbeitung zu Werbezwecken durch Facebook keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sieht. Hierbei fehle es „insoweit jedenfalls an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung.“ Dieser Ansicht folgt die Taskforce jedoch nicht. Sie sieht in der Nutzung eines werbefinanzierten Dienstes durch den Betreiber der Facebook-Fanpage durchaus ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten von Facebook. Auch wenn die Taskforce die Argumentation unter Nennung des sogenannten „Netzwerkeffektes“ stützt, kann diese im Ergebnis nicht überzeugen.

Übereinstimmend kann jedoch eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten zu Insight-Statistiken angenommen werden. Das Kurzgutachten weist in diesem Zusammenhang darauf hin, dass eine jede Verarbeitung personenbezogener Daten einer einschlägigen Rechtsgrundlage bedarf. Eine solche liege jedoch für die Anfertigung von Statistiken ausdrücklich nicht vor. Die Annahme einer Einwilligung scheitere bereits aufgrund der Ausführungen zur Einwilligung hinsichtlich des Setzens von Cookies, die Durchführung einer Interessenabwägung sei bereits wegen einer unmöglich vorzunehmenden Prüfung der Rechtskonformität nicht möglich.

Abschließend verweist das Kurzgutachten auf die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DS-GVO sowie die Verpflichtung zur Bereitstellung transparenter Informationen nach Art. 26 DS-GVO hinsichtlich der gemeinsamen Verarbeitung personenbezogener Daten durch Facebook und dem jeweiligen Betreiber der Facebook-Fanpage sowie nach Art. 13 DS-GVO hinsichtlich der jeweils eigenverantwortlichen Verarbeitung personenbezogener Daten. Beide Informationspflichten lassen sich nach Auffassung der Taskforce aufgrund unzureichender Informationsbereitstellung durch Facebook nicht im erforderlichen Rahmen bereitstellen. Im Ergebnis ist dem Kurzgutachten eine deutliche Verneinung der Vereinbarkeit mit der DS-GVO zu entnehmen.

ERGEBNIS DES KURZGUTACHTENS

Auch wenn einige Ausführungen des Kurzgutachtens äußerst komplex dargestellt werden, erfreut sich das Ergebnis einer besonders klaren Formulierung: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.“ Facebook-Fanpages lassen sich somit nicht datenschutzkonform betreiben.

FAZIT

Die Inhalte des Kurzgutachtens sind inhaltlich (weitestgehend) nicht zu beanstanden, überraschen darüber hinaus jedoch auch wenig. Im Ergebnis ist festzuhalten, dass das vorliegende Kurzgutachten durch die betreffenden verantwortlichen Stellen – wenn überhaupt – nur schulterzuckend zur Kenntnis genommen werden wird. Dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann, ist bereits seit einigen Jahren Gegenstand der datenschutzrechtlichen Beratungspraxis. Eine entsprechende Sanktionierung seitens der Aufsichtsbehörden blieb bislang weitestgehend aus, sodass sich verantwortliche Stellen auch weiterhin in der Breite dieses Marketinginstrumentes bedienen werden. Daran wird auch das Veröffentlichen eines weiteren Gutachtens nichts ändern können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  

WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“

WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.

WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“ Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.

WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.

FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

SEPTEMBER 2021

Der September begann sogleich mit der Verhängung eines enormen Bußgeldes der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegenüber WhatsApp. Bemängelt wurde seitens der Aufsichtsbehörde insbesondere die intransparente Datenverarbeitung von WhatsApp, einschließlich der  Übermittlung von personenbezogenen Daten von Nutzenden an Facebook. Das Unternehmen WhatsApp Ireland Ltd. hat bereits angekündigt, gegen den Bußgeldbescheid vorzugehen. Zwar mag die Verhängung eines solchen Bußgeld als ein erster Erfolg gegen die zum Teil datenschutzrechtlich fragwürdigen Verarbeitungspraktiken großer Konzerne gewertet werden. Jedoch stellen die benannten 225 Millionen Euro lediglich einen geringen Bruchteil eines Prozentes des weltweit erzielten Jahresumsatzes des Unternehmens dar. Die Datenschutz-Grundverordnung (DS-GVO) sieht im Rahmen des Art. 82 Abs. 5 lit. a) und b) DS-GVO in Fällen von Verstößen gegen die Rechtmäßigkeit und Transparenz von Datenverarbeitungen ein Bußgeld von bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes vor. Demnach hätte das Bußgeld auch 50-mal höher ausfallen können.

Weiterhin ist auch die Entscheidung des OLG Brandenburg (Beschl. v. 11.08.2021 – Az.: 1 U 69/20) als wesentliches Ereignis zu betrachten. Das Gericht stellte im Rahmen seines Beschlusses klar, dass es für einen Schadensersatzanspruch nach Art. 82 DS-GVO einer konkreten Schädigung der betroffenen Person bedarf. Die Richter verwiesen diesbezüglich auf die Regelung des Art. 82 Abs. 3 DS-GVO in Verbindung mit Erwägungsgrund 146 Satz 2 zur DS-GVO, wonach es des Nachweises eines konkreten Schadens bedarf. Der einfache Verweis auf die Rechtswidrigkeit einer Datenverarbeitung und daraus lediglich potenziell entstehender Nachteile für die betroffene Person reiche demnach nicht aus, um einen Schadenersatzanspruch zu begründen. Der benannte Beschluss steht damit im Einklang mit der Entscheidung des OLG Düsseldorf in einem ähnlich gelagerten Fall (Beschl. v. 16.02.2021 – Az.: 16 U 269/20).

OKTOBER 2021

Im Laufe des Jahres berichteten wir im Rahmen unseres Blogs über verschiedene Betroffenenrechte. So unter anderem über das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung. Im datenschutzrechtlichen Alltag der verantwortlichen Stellen und der Entscheidungspraxis der Gerichte kommt neben dem Recht auf Löschung dem Auskunftsrecht jedoch mit Abstand die wohl größte Bedeutung zu. Dies zeigt auch umso mehr die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20). Das Gericht entschied in dem benannten Prozess, dass von einem Auskunftsanspruch nach Art. 15 Abs. 3 DS-GVO grundsätzlich sämtliche personenbezogene Daten, also auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sind. Es stellte in diesem Zusammenhang klar, dass sich das Auskunftsrecht nicht ausschließlich auf besonders sensible oder private Informationen beschränkt, sondern grundsätzlich alle Informationen betrifft, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Das Gericht folgt damit dem Verständnis einer besonders weiten Auslegung des Auskunftsrechts nach Art. 15 DS-GVO.

Auch direkt die Tätigkeit der Datenschutzbeauftragten betreffend bot der Oktober 2021 Interessantes in Bezug auf die Rechtsprechung. Das OLG München befand in seinem Urteil (Urt. v. 27.10.2021 – Az.: 20 U 7051/20), dass ein externer Datenschutzbeauftragter nicht für die datenschutzrechtlichen Verstöße seines Auftraggebers haften kann. Das Gericht begründete diese Entscheidung damit, dass sich die datenschutzrechtlichen Verpflichtungen grundsätzlich gegen den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO richten, von welchem der Datenschutzbeauftragte klar zu unterscheiden sei. Art. 39 Abs. 1 DS-GVO sieht für den Datenschutzbeauftragten insbesondere die Aufgaben der Unterrichtung und Beratung des Verantwortlichen sowie die Überwachung der Einhaltung der Datenschutzvorschriften vor.

NOVEMBER 2021

Nachdem wir uns bereits im September und Oktober 2021 mit dem datenschutzrechtlichen Hintergrund der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber befasst hatten, traten nun im November 2021 einige wesentliche Änderungen des Infektionsschutzgesetzes (IfSG) in Kraft. Das Hauptaugenmerk war und ist dabei auf die Regelung des § 28b Abs. 3 IfSG zu legen. Demnach sind alle Arbeitgeber sowie die Leitungen der in § 28b Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen dazu verpflichtet, die Einhaltung des Infektionsschutzes durch Nachweiskontrollen des Impf-, Test- und Genesenenstatus täglich zu überwachen und regelmäßig zu kontrollieren. Die hierfür verarbeiteten personenbezogenen Daten sind nach § 28b Abs. 3 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Mit dieser Regelung schuf der Gesetzgeber eine ausdrückliche rechtliche Grundlage zur Verarbeitung der jeweiligen Gesundheitsdaten. Aus datenschutzrechtlichen Gesichtspunkten wurde die hinsichtlich der konkreten Umsetzung jedoch sehr unspezifische Gestaltung der Norm teilweise auch kritisiert.

DEZEMBER 2021

Mit Beginn des Dezembers trat auch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel dieses Gesetzes ist die Anpassung der datenschutzrelevanten Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung sowie Umsetzung der ePrivacy-Richtlinie. Das TTDSG sieht unter anderem Regelungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum digitalen Erbe, hinsichtlich Cookies sowie zu Diensten zur Einwilligungsverwaltung vor. Im Rahmen unserer Beiträge in diesem Jahr betrachteten wir darüber hinaus die (potenziellen) Auswirkungen des TTDSG auf Videokonferenzdienste sowie hinsichtlich der Privatnutzung betrieblicher Informations- und Kommunikationstechnik.

Zur Monatsmitte und dementsprechend nur noch wenige Tage von Weihnachten entfernt, sorgt(e) die Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Aufsehen und eine Menge Arbeit. Eine kritische sowie zwei weitere Schwachstellen in der Java-Protokollierungsbibliothek „Log4j“ führen auch gegenwärtig nach der Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Aufgrund der Vielzahl vonProdukten, die „Log4j“ verwenden, besteht eine unüberschaubare Vielfalt von verwundbaren Anwendungen. Hierunter können grundsätzlich zum Beispiel Client-Anwendungen, Internetseiten und automatisierte Schnittstellen fallen. Das BSI hat in diesem Zusammenhang das „Arbeitspapier Detektion und Reaktion“ zum Umgang mit der kritischen Schwachstelle veröffentlicht. Weiterhin trägt das BSI sämtliche relevanten Informationen auf einer eigens eingerichteten Unterseite zusammen und aktualisiert fortlaufend die darauf enthaltenen Einträge. Darüber hinaus lassen sich dort ebenfalls weiterführende Informationen für Verbraucherinnen und Verbraucher finden.

Zum Ende des letzten Teils unseres Jahresrückblickes werden wir nun noch etwas regionaler: Zum 31. Dezember 2021 endet die knapp 18-jährige Amtszeit des derzeitigen Sächsischen Datenschutzbeauftragten Andreas Schurig. Am 21. Dezember 2021 wählte der Sächsische Landtag Dr. Juliane Hundert zur neuen Sächsischen Datenschutzbeauftragten. Dr. Juliane Hundert ist Juristin und arbeitete bereits seit über zehn Jahren als Parlamentarische Beraterin bei der Fraktion Bündnis 90/Die Grünen des Sächsischen Landtags. Die Dauer der Amtszeit ihres Vorgängers wird sie voraussichtlich jedoch nicht erreichen können: Das Sächsische Datenschutzdurchführungsgesetz (SächsDSDG) sieht seit Mai 2018 in § 16 Abs. 3 SächsDSDG lediglich eine Amtszeit von sechs Jahren sowie eine einmalige Wiederwahl vor.

Damit beenden wir nun unseren Datenschutz-Jahresrückblick für das Jahr 2021. Insgesamt lässt sich zusammenfassen, dass die vergangenen zwölf Monate auch datenschutzrechtlich einige Herausforderungen boten. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser unseres Datenschutz-Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2022!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WORUM GEHT ES EIGENTLICH?

Im Mittelpunkt der Diskussion steht die Frage, ob und inwiefern der Arbeitgeber seinen Beschäftigten die Privatnutzung betrieblicher IuK gestattet hat und ob er in diesen Fällen das Fernmeldegeheimnis zu wahren hat. Zunächst lohnt hierzu der Blick auf § 3 Abs. 1 TTDSG, welcher das vormals in § 88 TKG a.F. anzutreffende Fernmeldegeheimnis regelt:

„Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.“

Wer zur Wahrung des Fernmeldegeheimnis nach Abs. 1 verpflichtet ist, regelt § 3 Abs. 2 TTDSG:

„Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet

1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

3. Betreiber öffentlicher Telekommunikationsnetze und

4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.

Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.“

Wesentlich für die Betrachtung der Privatnutzungsproblematik sind die Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten nach § 3 Abs. 2 Satz 1 Nr. 2 TTDSG. Nach § 88 Abs. 2 Satz 1 TKG a.F. waren bisher zu Wahrung des Fernmeldegeheimnisses Diensteanbieter verpflichtet. Diensteanbieter war nach der Legaldefinition des § 3 Nr. 6 TKG a.F. jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt (lit. a)) oder an der Erbringung solcher Dienste mitwirkt (lit. b)). Unter Geschäftsmäßigkeit verstand man mit § 3 Nr. 10 TKG a.F. das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Nach der herrschenden Meinung zur bisher geltenden Rechtslage wurde ein Arbeitgeber, der den Beschäftigten seines Betriebes die Privatnutzung der betrieblichen IuK gestattet hatte, als ein solcher geschäftsmäßiger Diensteanbieter qualifiziert, da die Nutzung nachhaltig für private Zwecke erlaubt wurde. Dieser Ansicht folgten insoweit ebenfalls die Datenschutz-Aufsichtsbehörden.

Wie der Kollege Hansen-Oest in seinem Beitrag bereits treffend dargestellt hat, wäre die gesamte Situation vermeidbar gewesen, hätte denn der Gesetzgeber entsprechend den kritischen Stimmen aus der Fachwelt gelauscht, die bereits frühzeitig auf die Problematik hingewiesen haben.

WIESO IST DAS PROBLEMATISCH?

Die Entwurfsbegründung zum TTDSG ist zu § 3 zu entnehmen: „§ 3 enthält die derzeit in § 88 TKG enthaltene Regelung zum Fernmeldegeheimnis, die bis auf redaktionelle Anpassungen unverändert übernommen wird. Die Regelung setzt Artikel 5 Absatz 1 der E-Privacy-Richtlinie um.“ Und hier offenbart sich die tatsächliche Problemstellung: Art. 95 DS-GVO eröffnet das Verhältnis zwischen Datenschutz-Grundverordnung und ePrivacy-Richtlinie „nur“ für öffentlich zugängliche Kommunikationsdienste. Darüber hinaus bezieht sich Art. 3 Abs. 1 ePrivacy-RL auf die „Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“. Der in der Entwurfsbegründung in Bezug genommene Art. 5 Abs. 1 ePrivacy-RL verpflichtet seinerseits die Mitgliedstaaten zur Sicherstellung der Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten. Für die in Rede stehenden geschäftsmäßigen angebotenen Telekommunikationsdienste findet sich insoweit kein Regelungsspielraum. Dies tritt noch deutlicher hervor, da in der vorbezeichneten Entwurfsbegründung offenkundig zwischen öffentlich zugänglichen und geschäftsmäßig angebotene Kommunikationsdiensten differenziert wird. Erschwerend tritt hinzu, dass mit Wirkung zum 1. Dezember 2021 die Regelungen des § 3 Nr. 6 und Nr. 10 TKG a.F., welche wie dargestellt Definitionen zu Diensteanbietern und Geschäftsmäßigkeit enthielten, entfallen. Das TTDSG definiert die Begrifflichkeiten nicht.

Es darf mithin bezweifelt werden, dass zur Regelung des Adressatenkreises unter Einbeziehung der Anbieter von geschäftsmäßig angebotenen Telekommunikationsdiensten und zur Anwendung des Telekommunikationsdatenschutzes auf diese Art von Anbieter seitens des deutschen Gesetzgebers ein entsprechender Regelungsspielraum bestand. Dogmatisches Ergebnis wäre eine Verdrängung der Regelungen durch die Datenschutz-Grundverordnung und eine Anwendung selbiger, insbesondere bei Datenverarbeitung im Rahmen von Kontrollrechten seitens des Arbeitgebers bei Fragen der Privatnutzung betrieblicher IuK.

WELCHE AUSWIRKUNGEN HÄTTE EINE ANWENDUNG DER DS-GVO AUF DIE PRIVATNUTZUNGSFÄLLE?

Argumentiert wird diesbezüglich, dass die betroffenen Beschäftigten bei einer Nichtanwendung des Fernmeldegeheimnisses keines Weges schutzlos gestellt würden. Unter anderem käme zum Tragen, dass bei den entsprechenden Datenverarbeitungen die Vorgaben der Datenschutz-Grundverordnung (und des Bundesdatenschutzgesetzes), insbesondere der Art. 5 und Art. 32 DS-GVO zu wahren wären. Bei einer Nichtbeachtung drohen gleichfalls empfindliche Strafen im Rahmen des Art. 83 DS-GVO.

FAZIT

Für die Praxis dürfte der dogmatische Streit vorerst weniger Auswirkungen haben, da die Regelungen des TTDSG und mithin auch § 3 zunächst einmal in Kraft sind und ihre Wirkung entfalten. Mit Blick auf die Brisanz der Thematik der Privatnutzung betrieblicher IuK erscheint es ratsam eine ausdrückliche Regelung zu treffen, um die Privatnutzung nicht zu dulden und mithin zu gestatten. Insofern die unternehmerische Entscheidung pro erlaubte Privatnutzung ausfällt sind gleichfalls Erlaubnisrahmen und Kontrollmöglichkeiten entsprechend zu regeln. Unter Beachtung datenschutzrechtlicher Gesichtspunkte erscheint es ferner ratsam die Privatnutzung (zumindest des betrieblichen E-Mail-Accounts) zu untersagen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BRAUCHEN WIR NOCH EIN DATENSCHUTZGESETZ?

Der Gesetzgeber hat sich mit der Novellierung des bereits bestehenden Telekommunikations- (TKG) sowie Telemediengesetzes (TMG) dafür entschieden, für diesen Bereich ein eigenes Gesetz zur Konkretisierung der allgemeinen Datenschutzanforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) sowie Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetzen, zu schaffen. Übrigens etwas, worum Datenschützer und Unternehmen in Bezug auf den Beschäftigtendatenschutz seit Jahr(zehnt)en bitten. Eine Novellierung der bisherigen Regelungen war aufgrund der seit 2018 geltenden DS-GVO sowie der ePrivacy-Richtline von 2002 (geänderte Fassung von 2009) dringend geboten und soll nach dem Wunsch des Gesetzgebers die bestehenden Rechtsunsicherheiten – zumindest in diesem Bereich – beseitigen. Zentral ist sicherlich die explizite Regelung des Einwilligungserfordernisses bei Cookies, Browser Fingerprinting, Smarthome etc. und deren Ausnahmen (§ 25 TTDSG) sowie die Möglichkeit von Diensten zur entsprechenden zentralen Einwilligungsverwaltung (§ 26 TTDSG). Darüber hinaus wurden Regelungen z.B. zum lang umstrittenen „Digitalen Erbe“ aufgenommen. Sowohl das TMG als auch das TKG bleiben grundsätzlich bestehen, das TKG wurde jedoch im gleichen Zuge modernisiert.

FÜR WEN GILT DAS GESETZ?

Zunächst einmal gilt das Gesetz nur für Anbieter von Telemedien- bzw. Telekommunikationsdiensten. Zu den Telemediendiensten nach § 1 Abs. 1 S. 1 TMG zählen zum Beispiel Internetauftritte, Onlineshops sowie Werbe-E-Mails (siehe hierzu auch Praxishilfe der GDD zum TTDSG).

Wer ein Telekommunikationsanbieter ist, beantwortet sich nach dem neuen § 3 TKG. Hierzu gehören sogenannte nummerngebundene sowie – neu – nummernunabhängige interpersonelle Kommunikationsdienste. Letztere werden auch „Over-the-top-Dienste“ (OTT) genannt. Die Internetanbieter, deren Infrastruktur zur Erbringung genutzt werden, haben auf diese keinen Einfluss. Gemeint sind z.B. webbasierte E-Mail-Dienste oder Messenger- Dienste wie WhatsApp oder Threema. Diese wurden bisher nicht von den telekommunikationsrechtlichen Vorgaben (siehe hierzu auch EuGH-Urteil vom 13.06.2019 – C-193/18) erfasst, sodass allein die allgemeinen Datenschutzregeln, insbesondere der DS-GVO, galten. Dienste, welche allein die Weitergabe von Inhalten (z.B. Nachrichtenportale) zum Ziel haben, sind auch weiterhin keine Telekommunikationsanbieter.

HANDELT ES SICH BEI VIDEOKONFERENZDIENSTEN DANN NOCH UM AUFTRAGSVERARBEITER?

Ob es sich bei Videokonferenzdiensten um Telekommunikationsdienste handelt und welche Auswirkungen dies auf die datenschutzrechtliche Beurteilung hat, ist derzeit noch nicht abschließend geklärt. Hierbei muss sicherlich zwischen den verschiedenen Arten des Einsatzes (insbesondere SaaS/Online-Dienst bzw. on-Premise) unterschieden werden. Eine gute Darstellung hierzu findet sich in der DSK-Orientierungshilfe Videokonferenzsysteme. Derzeit wird von den Aufsichtsbehörden davon ausgegangen, dass es sich bei der Nutzung von Videokonferenzen und Messengern in Form von SaaS/Online-Diensten in der Regel um eine Auftragsverarbeitung handelt. Allerdings verweist die Berliner Aufsichtsbehörde im Rahmen der – zugegebenermaßen viel diskutierten – Prüfung der Verträge verschiedener Anbieter darauf, dass der deutsche Gesetzgeber diese eigentlich aufgrund der EU-Vorgaben bereits bis zum 21. Dezember 2020 im Rahmen neuer Regelungen für „Over-the-top-Dienste“ (OTT) hätte regeln müssen und es nur mangels einer deutschen Regelung bei der alten Rechtslage bleibt.

Anders sieht dies jedoch bisher bei Telekommunikationsanbietern aus, insofern diese keine hierüber hinausgehenden Zusatzdienste anbieten. Der Anbieter der Telekommunikationsleistungen (z.B. Telefon, Internet) wird insoweit nach dem Verständnis der Artikel-29-Gruppe als Verantwortlicher für die – technisch bzw. zur Sicherheitsabwehr notwendigen – Verkehrsdaten sowie für die Verarbeitung der Rechnungsdaten verantwortlich. Für die inhaltliche Komponente und diesbezügliche Datenverarbeitungen im Rahmen der Angebotsnutzung sind die Anwender allein verantwortlich. Entsprechend ist beispielsweise kein Auftragsverarbeitungsvertrag in Bezug auf die Nutzung eines E-Mail-Anbieters erforderlich.  Es gilt also zu hinterfragen, inwieweit diese Ausführungen noch – die Aussagen der Artikel-29-Gruppe entstammen aus der Zeit vor der DS-GVO und auch vor dem Urteil des EUGH – gelten können und beispielsweise auch auf Messenger- und Videokonferenzdienste anwendbar sind.

WAS UNTERSCHEIDET VIDEOKONFERENZDIENSTE VON KLASSISCHEN TELEKOMMUNIKATIONSANBIETERN?

Unstrittig ist sicherlich, dass ein Videokonferenzsystem in der Regel neben der reinen Videotelefonie noch weitere Funktionen beinhaltet. Denn neben der Möglichkeit der Aufzeichnung existieren häufig auch parallele Chatmöglichkeiten sowie die Möglichkeit des Austauschs von Daten. Insofern könnte man davon ausgehen, dass die Dienste über die „reine Telekommunikation“ hinausgehen. Zusammengefasst dienen diese Funktionen aber alle dem Ziel der Kommunikation zwischen den beteiligten Parteien. Aus einem Brief wurde eine E-Mail und aus dieser ein Messenger-Dienst. Und aus dem Telefon wurde die Videotelefonie und schließlich in Verbindung mit Messengern-Diensten – und der damit verbundenen Möglichkeit, neben Texten auch Dokumente zu teilen – das Videokonferenzsystem als Basis weiterer kollaborativer Systeme.

Entsprechend einem klassischen Telekommunikationsdienst werden die übertragenen Inhalte bei all diesen Systemen allein durch die Nutzer gesteuert. Demgegenüber hat der Nutzer keinen Einfluss auf die technische Datenübertragung, da diese häufig aus Gründen der Diensterbringung, Systemsicherheit oder Abrechnung durch den Systemanbieter gesteuert wird.

WAS SPRICHT NOCH FÜR EINE AUFTRAGSVERARBEITUNG ODER EINE GEMEINSAME DATENVERARBEITUNG?

Unter diesem Gesichtspunkt kann die Annahme einer Auftragsverarbeitung als Versuch gesehen werden, die möglicherweise höheren Risiken dieser Systeme zu minimieren. Gleichzeitig bietet ein Vertrag zur Auftragsverarbeitung vermeintliche Rechtssicherheit, da dieser gleichzeitig eine Rechtsgrundlage für die Verarbeitung der Daten durch den Dienstleister beinhaltet. Durch die Notwendigkeit einen geeigneten Dienstleister auszuwählen, soll sichergestellt werden, dass nur möglichst datenschutzfreundliche Dienste eingesetzt werden, wodurch wiederum seitens der Kunden Druck auf die Anbieter ausgeübt werden. Mit mäßigem Erfolg, wie man sieht…

Demgegenüber besteht bei Annahme einer gemeinsamen oder auch parallelen alleinigen Verantwortung von Anbieter und Anwender keine Privilegierung mehr, das heißt der Diensteanbieter würde gegenüber den Betroffenen mehr in die Pflicht genommen werden. Er muss insbesondere eine eigene Rechtsgrundlage für die systemimmanenten Datenverarbeitungen vorweisen können und ist für die Einhaltung der diesbezüglichen Betroffenenrechte allein verantwortlich. Eine ausführliche Darstellung der Datenverarbeitung durch beide Parteien wird auch unabhängig von einer Auftragsverarbeitung aus Gründen der Informiertheit zu fordern sein.

Daneben wird es auch hier Wettbewerbsdruck auf die Anbieter geben. Denn die Systeme müssen Funktionen vorweisen können, welche es dem Anwender als inhaltlich Verantwortlichen gestatten, selbst datenschutzfreundlich agieren zu können. Hierbei ist grundsätzlich auch zu prüfen, ob es mildere Mittel gibt oder die Datenverarbeitung eingeschränkt werden kann. Dabei muss auch berücksichtigt werden, dass die Systeme nicht nur ein höheres Risikopotenzial haben, sondern in weiten Teilen auch mehr technische Schutzmöglichkeiten (z.B. Moderationsrechte, Passwortschutz, Verschlüsselung) bieten, als dies beispielsweise bei Telefon, Fax und E-Mail möglich ist. Ob ein entsprechender Dienst durch den Nutzer im Rahmen eines beruflichen Kontextes (z.B. Webmeeting mit Geschäftspartnern, Studienberatung, digitale Lehre) nutzbar ist, wird sich daher auch weiterhin im Wesentlichen nach der Erforderlichkeit, der bestehenden Rechtsgrundlage und den spezifisch getroffenen technischen und organisatorischen Maßnahmen bestimmen. Hierbei ist stets auch zu berücksichtigen, inwieweit andere Kommunikationsteilnehmer verpflichtet sind, das entsprechende System zu nutzen und der Datenverarbeitung durch den Diensteanbieter zuzustimmen.

HAT DIES EINFLUSS AUF DIE ZULÄSSIGKEIT DER NUTZUNG US-AMERIKANISCHER DIENSTE?

Spannend dürfte auch der Einfluss auf die Problematik der Datenübermittlung in die USA oder andere datenschutzrechtliche Drittländer durch Nutzung entsprechender Dienste sein. Hier müsste konkret beleuchtet werden, inwieweit überhaupt Daten gemäß Art. 44 DS-GVO vom Verantwortlichen bzw. in dessen Einflussbereich übermittelt werden und inwieweit die Verarbeitung der Daten in den USA durch andere Rechtsgrundlagen und im Verantwortungsbereich des Dienstleisters gedeckt sein kann. Im Falle eines einfachen Telefonats unter Nutzung eines amerikanischen Telefonanbieters sowie der Nutzung eines amerikanischen E-Mail-Anbieters kann der Zugriff durch amerikanische Ermittlungsbehörden faktisch ebenfalls nicht ausgeschlossen werden. Insoweit – bei Abkehr von der bisherigen Annahme einer Auftragsverarbeitung – die Verantwortung bei dem jeweiligen Anbieter und nicht durch den Nutzer initialisiert wurde, liegt keine Übermittlung nach Art. 44 DS-GVO, sondern eine eigene Datenerhebung durch den Anbieter vor. Dem Anbieter obliegt jedoch unabhängig davon die Einhaltung der Anforderungen nach DS-GVO, da in der Regel der räumliche Anwendungsbereich nach Art. 3 DS-GVO eröffnet sein wird. Der Anwender wird seinerseits im Rahmen der oben genannten Punkte prüfen müssen, ob sich der Einsatz des Dienstes mit seinen rechtlichen Anforderungen in Einklang bringen lässt.

FAZIT

Es bleibt abzuwarten, ob und in welchem Umfang sich die Aufsichtsbehörden zum datenschutzrechtlichen Einfluss des TTDSG allgemein sowie in Bezug auf Videokonferenzdienste positionieren. Wir können nur hoffen, dass dies zeitnah und in Abstimmung aller deutschen Aufsichtsbehörden erfolgt. Alles andere würde dazu führen, dass verantwortliche Stellen neben den sonstigen bestehenden Corona-Unsicherheiten auch in Hinblick auf die Anwendung von Systemen, welche in weiten Bereichen ein Homeoffice erst möglich macht, allein gelassen werden.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.