Datenschutz­woche

#22

Kinderbuch statt Stellungnahme? Dass der Bundesdatenschutzbeauftragte keine Stellungnahme zu den Cookie-Regelungen des neuen TTDSG, sondern zwei Kinderbücher veröffentlicht hat, war eine Überraschung der der ersten Dezemberwoche. Die Nachfrage scheint dem BfDI jedoch Recht zu geben: Während es bei den Kinderbüchern gleich zu Lieferverzögerungen kam, hat sich über einen Mangel an Cookie-Bannern bisher noch niemand beschwert.

„Unbedingt erforderlich“ – Die Aufsichtsbehörden zum TTDSG

Nicht ganz passend zur Weihnachtszeit ist am 01. Dezember 2021 das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz: TTDSG) in Kraft getreten. Das Gesetz dient unter anderem dazu, die verunglückte Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie zu korrigieren. Dies geschieht in § 25 TTDSG, der damit zur zentralen Norm für die Speicherung von Cookies und anderen Informationen auf Geräten von Endnutzern wird. Für diese ist künftig - ganz so wie es dies ePrivacy-Richtlinie vorgesehen hat - eine Einwilligung erforderlich, wenn die Speicherung nicht „[…] unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“ Wann eine Speicherung jedoch „unbedingt erforderlich“ ist, ist umstritten und bisher nicht abschließend geklärt. Im Zusammenhang mit dem Inkrafttreten des TTDSG haben sich jedoch mehrere deutsche Datenschutzaufsichtsbehörden zum Thema geäußert. Insgesamt vertreten sie hierbei eine strenge Linie, wie der folgende Überblick zeigt:

  • Datenschutzaufsicht Hamburg: „Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig werden daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.
  • Datenschutzaufsicht Sachsen: „Ausnahmen von diesem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
  • Datenschutzaufsicht Berlin: „Einer Einwilligung bedarf es ausnahmsweise nur dann nicht, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein von den Nutzenden ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann. Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern.“
  • Datenschutzaufsicht Niedersachsen: „Für Anbieter von Telemedien gibt es eine Ausnahmeregelung in § 25 Abs. 2 Nr. 2 TTDSG. […] Da es sich um eine Ausnahmeregelung handelt, ist grundsätzlich von einem engen Verständnis auszugehen, so dass es nur wenige Cookies und Drittdienste geben wird, die ohne eine Einwilligung auf der Webseite eingesetzt werden können.
  • Datenschutzaufsicht Nordrhein-Westfalen: „Die Einwilligung richtet sich nach den Regeln der Datenschutz-Grundverordnung. Ausnahmen von dieser Einwilligung sind aber im § 25 Abs. 2 TTDSG enthalten. Ausgenommen sind danach rein funktionelle Cookies, etwa Warenkorb-Cookies oder Systeme zur Betrugsprävention.

Zugleich haben die Aufsichtsbehörden eine Orientierungshilfe der Datenschutzkonferenz angekündigt, die Anfang 2022 veröffentlicht werden soll. Da § 25 TTDSG der Umsetzung der ePrivacy-Richtlinie dient, bleibt diesbezüglich auch mit Spannung abzuwarten, ob sich die deutschen Aufsichtsbehörden mit den – teils deutlich liberaleren – Einschätzungen anderer europäischer Aufsichtsbehörden, z.B. Frankreich, Spanien oder Luxemburg, auseinandersetzen. Zu bedenken ist auch: § 25 TTDSG könnte schon bald von der ePrivacy-Verordnung verdrängt werden.

EuGH Generalanwalt: Verbandsklagen bei Datenschutzverstößen zulässig

Im Rechtsstreit zwischen Facebook und dem Verbraucherzentrale Bundesverband e.V. (Rechtssache C-319/20) wegen des Vorwurfs von Datenschutzverstößen bei der Bereitstellung kostenloser Spiele von Drittanbietern im sog. App-Zentrum hat der Generalanwalt beim EuGH seine Schlussanträge im laufenden Vorabentscheidungsverfahren vorgelegt. In seiner Einschätzung zu den Fragen des Bundesgerichtshofs vertritt der Generalanwalt die Auffassung, dass die Mitgliedstaaten Verbraucherschutzverbänden Verbandsklagen bei Datenschutzverstößen erlauben können. Voraussetzung dafür sei, dass die Klagen auf die Verletzung von Rechten gestützt sind, die den Betroffenen unmittelbar aus der DSGVO erwachsen.

Die Schlussanträge des Generalanwalts sich nicht bindend, gelten aber als Indikator für eine mögliche Entscheidung des EuGH. Sollte sich dieser dem Generalanwalt tatsächlich anschließen, könnte die die Durchsetzung der DSGVO, die bisher eher stockend erfolgt, erheblich befördern. Für Verantwortliche würde damit das Risiko steigen, dass datenschutzwidriges Verhalten zu negativen rechtlichen Konsequenzen führt.

BayLDA: Prüfverfahren zu Ransomware gestartet

Die neu gegründete Stabstelle Prüfverfahren des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat eine anlasslose Prüfung von Maßnahmen gegen Ransomware gestartet. Im Mittelpunkt der Prüfung stehen KMU, kleinere Krankenhäuser, Schulen und Arztpraxen. Von diesen möchte das BayLDA wissen, ob ausreichende technische und organisatorische Maßnahmen (Art. 32 DSGVO) getroffen wurden, um einen Basisschutz gegen Angriffe mit Ransomware zu gewährleisten. Die von der Behörde verwendeten Prüfunterlagen (Anschreiben, Fragebogen, Handreichung und Infoblatt) sind online abrufbar und für Verantwortliche nicht nur eine gute Gelegenheit, die eigenen Schutzmaßnahmen gegen Ransomware zu überprüfen, sondern auch die Reaktionsfähigkeit auf aufsichtsbehördliche Prüfverfahren zu erproben.

Internationale Nachrichten

Island: Die Datenschutzaufsicht Island hat ein Bußgeld von etwa 50.000€ gegen das isländische Wirtschaftsministerium wegen mehrerer Verstöße gegen die DSGVO verhängt. Unter anderem fehlte ein Vertrag zur Auftragsverarbeitung. Interessant ist, dass wegen einiger Verstöße auch der Auftragsverarbeiter mit einer Geldbuße vom ca. 27.000€ belegt wurde.

Österreich: Das Oberlandesgericht Linz hat in einer Entscheidung vom 10.11.2021 (Az. 2R149/21a) entschieden, dass ein Betroffener die Kosten für die Durchführung eines Verwaltungsverfahrens bei der Datenschutzbehörde als Teil des Schadensersatz nach Art. 82 DSGVO ersetzt verlangen kann.

Aktuelle Gerichtsentscheidungen

VG Köln, Beschluss vom 10.11.2021, Az. 13 L 1707/21 (Volltext): Der Bundesdatenschutzbeauftragte darf gegenüber eine Behörde (hier: dem Jobcenter) unabhängig von § 20 Abs. 7 BDSG nicht die Rückbestellung des behördlichen Datenschutzbeauftragten mit sofortiger Vollziehung anordnen.

LG Frankfurt, Urteil vom 19.10.2021, Az. 3-06 O 24/21 (Volltext): Die Beklagte wird verurteilt, es zu unterlassen, ohne erforderliche Einwilligung der betroffenen Webseiten-Besucher nicht-notwendige Cookies zu speichern oder in den Cookie-Einstellungen anzuzeigen, nicht-notwendige Cookies seien deaktiviert, obwohl dies nicht zutrifft.

AG Hamburg, Urteil vom 15.11.2021, Az. 11 C 75/21 (BeckRS 2021, 37095): Ein Insolvenzverwalter ist für die Daten des Schuldners nicht Verantwortlicher i.S. v. Art. 4 Nr. 7 DSGVO und daher auch nicht auskunftspflichtig nach Art. 15 DSGVO.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Baden-Württemberg: „Orientierungshilfe zu 3G am Arbeitsplatz“ – veröffentlicht am 29.11.2021

Datenschutzaufsicht Hamburg: „Das TTDSG - Neue Regelungen zum Einsatz von Cookies und vergleichbaren Technologien“ – veröffentlicht am 30.11.2021

Datenschutzaufsicht Sachsen: „TTDSG tritt in Kraft: Website-Inhaber und App-Anbieter müssen ihre Angebote prüfen“ – veröffentlicht am 30.11.2021

Datenschutzaufsicht Berlin: „TTDSG tritt in Kraft: Klare Regeln für Cookies und ähnliche Technologien“ – veröffentlicht am 01.12.2021

Datenschutzaufsicht Niedersachsen: „Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) - Fragen und Antworten“ – Stand: Dezember 2021

Datenschutzaufsicht Bayern (BayLDA):Für den Ernstfall gewappnet? - Datenschutzprüfung gegen Welle von Ransomwaren-Angriffen bei bayerischen Unternehmen“ – veröffentlicht am 01.12.2021

Datenschutzaufsicht Niedersachsen: Eckpunkte für die datenschutzkonforme Durchführung von Online-Prüfungen in den niedersächsischen Hochschulen“ – Stand: November 2021

Netzpolitik.org: „Online-Tracking: Warum nicht das Unmögliche wagen?“ – Ein Gastbeitrag von Lars Konzelmann (Techniker beim Sächsischen Datenschutzbeauftragten) vom 01.12.2021

Datenschutzaufsicht Hessen: „Impfstatus darf von Schulen nicht erhoben werden“ – Stand: 30.11.2021

Datenschutzaufsicht Nordrhein-Westfalen: „PIMS, Apps, Cookies & Co – Neues Datenschutzrecht für Telekommunikation und Telemedien“ – undatiert

Netzwerk Datenschutzexpertise: „Die Bestellung der Leitung von Datenschutz-Aufsichtsbehörden in Deutschland“ – Gutachten zur Transparenz im Bestellungsprozess der Datenschutzbeauftragten mit Stand vom 01.12.2021

Bundesdatenschutzbeauftragter: „Datenschutz im Pixi-Format“ – veröffentlicht am 03.12