18. April 2019
Am 5. April 2019 hat die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) eine neue Orientierungshilfe für Anbieter von Telemedien herausgegeben (Orientierungshilfe). Eine englische Übersetzung der Orientierungshilfe finden Sie hier. Die Orientierungshilfe stellt eine Ergänzung der bereits am 26. April 2018 veröffentlichten DSK-Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen dar. Die Kernaussage der Positionsbestimmung war die Forderung einer Einwilligung im Sinne des Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DS-GVO), falls Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, eingesetzt werden. Die DSK vertrat dabei die umstrittene Ansicht, dass die Vorschriften des Telemediengesetzes (TMG) nicht anwendbar seien. Das TMG ist für Internetdienste maßgeblich und enthält datenschutzrechtliche Sonderregelungen. Nach dessen Vorschriften ist unter bestimmten Voraussetzung z. B. eine Profilbildung zu Zwecken der bedarfsgerechten Gestaltung oder Werbung auf Grundlage eines Widerspruchsrechts (Opt Out) möglich. Überwiegend wird angenommen, dass die datenschutzrechtlichen Vorschriften des TMG aufgrund der sog. ePrivacy-Richtlinie umgesetzt wurden. Die ePrivacy-Richtlinie soll durch die derzeit verhandelte ePrivacy-Verordnung ersetzt werden, welche die DS-GVO flankieren soll. Die DS-GVO regelt in Art. 95, dass sich aus ihr im Anwendungsbereich der ePrivacy-Richtlinie keine zusätzlichen Pflichten ergeben sollen. Daher gehen viele davon aus, dass die Vorschriften des TMG weiterhin gelten.
In der aktuellen Orientierungshilfe bleibt die DSK jedoch bei ihrem Standpunkt, dass die Vorschriften der DS-GVO dem TMG vorgehen. Die nationalen Bestimmungen in den §§ 11 ff. TMG seien nicht mehr anwendbar. „Tracking“ definiert die DSK als „(…) jede Datenverarbeitung zur – in der Regel Website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern ist (…)“. Hierfür müsse einer der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO vorliegen. Für sog. Telemedienanbieter kommen insbesondere die Einwilligung, die Vertragserfüllung und das berechtigte Interesse als Erlaubnistatbestände in Betracht. Im Hinblick auf den Erlaubnistatbestand „Vertragserfüllung“ verweist die DSK auf eine noch ausstehende Stellungnahme des European Data Protection Board (EDPB). Das EDPB arbeitet derzeit an einer entsprechenden Guideline für Online Services vom 12. April 2019. Dieser Entwurf wird derzeit noch diskutiert. Es besteht bis zum 24. Mai 2019 Gelegenheit zur Stellungnahme. In Bezug auf die anderen Erlaubnistatbestände trifft die DSK folgende Kernaussagen:
Einwilligung
Berechtigtes Interesse
Die Aufsichtsbehörden gehen davon aus, dass das sog. berechtigte Interesse als Erlaubnistatbestand in Betracht komme. Dabei sei jedoch eine genaue Prüfung erforderlich:
Einschränkend hält die DSK ausdrücklich fest, dass die Orientierungshilfe, vorbehaltlich einer abweichenden Auslegung der betreffenden Vorschriften durch den EDPB, sowie einer etwaigen Rechtsänderung durch Inkrafttreten der ePrivacy-Verordnung gilt.
Bewertung
Die Orientierungshilfe ist im Hinblick auf die klare Haltung der Aufsichtsbehörden zur Anwendbarkeit des TMG fragwürdig. Die Aufsichtsbehörden setzen sich sehr detailliert damit auseinander. Sie nehmen an, dass weder eine richtlinienkonforme Auslegung der für Tracking relevanten Vorschriften noch eine unmittelbare Anwendung der ePrivacy-Richtlinie in Betracht käme. Daher bleibe es bei der generellen Anwendung der Regelungen der DS-GVO. Faktisch überschreiten die Aufsichtsbehörden damit ihre Kompetenz, da sie als Teil der Exekutive hiermit über die Unanwendbarkeit einer geltenden rechtlichen Norm entscheiden.
Ferner wirkt auch die sehr deutliche Forderung der Aufsichtsbehörden im Hinblick auf Cookie-Banner und Consent-Tools etwas unbedacht. Die Aufsichtsbehörden empfehlen damit deutschen Anbietern von Internet-Diensten etwas, was zur uneinheitlichen Ausgestaltung innerhalb der EU und daher zu einer fragmentierten Rechtslage führen könnte. Dies wiederspricht gerade der Idee der EU-weiten Harmonisierung, die der europäische Gesetzgeber mit der DS-GVO und der ePrivacy-Verordnung anstrebt. Vorzugswürdiger wäre es daher gewesen, solche Forderungen einer abgestimmten Stellungnahme der europäischen Aufsichtsbehörden auf Ebene des EDPB zu überlassen.
Schließlich sind die Aussagen zur Interessenabwägung zum Teil schwierig nachvollziehbar. Die Aufsichtsbehörden nehmen an, dass z.B. bestimmte Maßnahmen wie Pseudonymisierung oder die Erfüllung der Informationspflicht keine Rolle bei der Abwägung spielen dürften. Solche undifferenzierten Aussagen erzeugen weitere Rechtsunsicherheit. Die Aussage, dass sich zusätzliche Schutzmaßmaßnahmen positiv auswirken, gehen insoweit aber leider nicht ins Detail. Gerade dies wäre aber als Empfehlung seitens der Aufsichtsbehörden für die Anbieter von Internetdiensten hilfreich gewesen.
Insgesamt lässt sich festhalten, dass in Deutschland die Aufsichtsbehörden für den Datenschutz und die Verbraucherverbände sehr streng gegenüber der Online-Werbewirtschaft sind. Das zeigen nicht zuletzt die vielen Stellungnahmen und Verfahren gegen Facebook. In einer weiteren Stellungnahme vom 1. April 2019, „positionieren“ sich die Aufsichtsbehörden zu Facebook Fanpages: Die in Folge des EuGH-Urteils von Facebook veröffentlichte Vereinbarung (sog. „Seiten-Insights Ergänzung bezüglich des Verantwortlichen“) erfülle nicht die Anforderungen an eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO; Facebook solle nachbessern.
von Elisa-Marlen Eschborn, LL.M. (Turin) und Thanos Rammos, LL.M.
von Nathalie Koch, LL.M. (UC Hastings) und Thanos Rammos, LL.M.
2022 dürfte das Jahr von ePrivacy werden