News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Der EDSA legt dar, wann nach seiner Einschätzung ein „Zugriff auf“ oder „Speicherung von Informationen“ in einem Endgerät vorliegen. Zudem wird erläutert, was unter dem „Endgerät eines Nutzers“ zu verstehen ist. Hervorzuheben ist, dass der EDSA einige konkrete Aussagen zur Anwendbarkeit der ePrivacyRL auf gängige Trackingtechnologien (insbesondere nicht allein Cookies) trifft. Eine Besonderheit: der EDSA geht davon aus, dass Art. 5 Abs. 3 ePrivacyRL auf das Tracking via Link anwendbar sein soll.
Bisheriger Stand
Maßgeblich für die Auslegung des technischen Anwendungsbereich des § 25 TTDSG durch die Deutschen Aufsichtsbehörden war bislang die von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe Telemedien 2021 (OH Telemedien 2021). In dieser wurde zum Beispiel der Zugriff auf das Endgerät als „gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen“ ausgelegt und nur Informationen ausgenommen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werde (wie z.B. die IP-Adresse, die abgerufene URL oder den User-Agent).
Zentrale Aussagen der Leitlinie des EDSA
Zur Anwendbarkeit der ePrivacyRL trifft der EDSA folgende zentrale Aussagen:
- Für die Anwendbarkeit kommt es nicht auf eine Verarbeitung personenbezogener Daten an; es reicht, wenn Daten von einem Endgerät ausgelesen oder abgerufen werden.
- Daten sind geschützt, egal von wem sie auf dem Endgerät abgelegt wurden, d.h. es sind z.B. auch Daten geschützt, die von Dritten in Form eines Cookies oder Pixels auf einem Endgerät abgelegt wurden.
- Die ePrivacyRL soll auch Endgeräte von juristischer Personen vor unberechtigten Zugriffen schützen.
- Es kommt nicht darauf an, dass der Nutzer Eigentümer des Endgeräts ist; es reicht, wenn er das Gerät ausgeliehen bekommen hat oder mit mehreren Personen gemeinsam nutzt.
- Ein Zugriff liegt immer vor, wenn aktiv Informationen von einem Endgerät abgerufen werden, z.B. durch Abruf mittels eines JavaScripts.
- In Bezug auf die Speicherung von Daten auf einem Endgerät, spielt es keine Rolle, wo und wie lange Daten auf dem Endgerät gespeichert werden. Bei jeder Form der Speicherung sind die Vorgaben der ePrivacyRL anwendbar.
Praxisbeispiele des EDSA
Besonders relevant ist die vom EDSA vorgenommene Einordnung konkreter Praxisbeispiele, die wir im folgenden überblicksartig dargestellt haben:
Fallbeispiel |
Anwendbarkeit ePrivacyRL? |
Speicherung von Daten durch den lokalen Browser |
Nicht anwendbar, solange die Daten nicht auch abgerufen werden. |
Tracking Pixel |
Anwendbar. |
Tracking Links |
Anwendbar, da zumindest Speicherung im Cache der clientseitigen Software. Das soll insbesondere auch für Affiliate-Links gelten. |
Tracking auf Basis der IP |
Ja, wenn die IP-Adresse vom Endgerät stammt, z.B. bei den vom Router eines Benutzers ausgehenden IPv4-Adressen und bei IPv6-Adressen. |
IoT (Internet of Things) |
Ja, wenn das IoT-Gerät direkt mit einem öffentlichen Netzwerk verbunden ist. Bei Anbindung über ein Smartphone schützt Art. 5 Abs. 3 ePrivacyRL den Zugriff auf das Smartphone. |
Unique Identifier |
Anwendbar. |
Besonders eine mögliche Anwendbarkeit im Kontext von Tracking Links könnte weitreichende Konsequenzen für viele Unternehmen haben. Im Affiliatemarketing werden diese Links in der Regel ohne Nutzereinwilligung eingesetzt, damit Unternehmen lückenlos, also für jeden weitergeleiteten Nutzer, vergütet werden.
Empfehlung
Der EDSA scheint die Anwendbarkeit der ePrivacyRL deutlich weiter zu fassen als die DSK. Der von der DSK herausgearbeitete Ausnahmefall wird beispielsweise an keiner Stelle der Leitlinie erwähnt. Wir empfehlen Ihnen daher dringend zu prüfen, ob die o.g. Use Cases für Ihr Unternehmen relevant sind und intern zu prüfen, ob diesbezüglich bereits die Vorgaben aus der ePrivacyRL bzw. dem TTDSG als Umsetzungsgesetz eingehalten werden.
Die Leitlinien sind aktuell im Entwurf veröffentlicht. Bis zum 28. Dezember 2023 können interessierte Kreise ihre Anmerkungen und ggfs. auch Kritik an den EDSA übersenden.
News
Prof. Piltz im Interview mit ICC Germany zu den Incoterms® 2020
Incoterms® bieten einen global gültigen Standard für die Lieferbedingungen bei internationalen Geschäften. Seit nunmehr 5 Jahren greifen die Incoterms® 2020, Zeit um einen Rückblick auf die erste Halbzeit zu werfen.
Dr. David Saive und Prof. Burghard Piltz haben sich hierzu zu einem Interview der ICC Germany getroffen. Hören Sie doch gerne rein: Interview: Fünf Jahre Incoterms® 2020 mit Prof. Piltz.
Bundesverwaltungsgericht Österreich zum Cookie-Banner: Einfache Möglichkeit zum Ablehnen ist Pflicht
Das Österreichische Bundesverwaltungsgericht (BVwG) hat in einem Erkenntnis vom 31. Juli 2024 (Az. W108 2284491-1/15E) klargestellt, dass ein Cookie-Banner neben der Option Cookies und andere Technologien zu „akzeptieren“ auch eine optisch gleichwertige Option zum Ablehnen enthalten muss. Die Entscheidung ist aus mehreren Gründen bemerkenswert.
Neue Auszeichnungen für unsere Kanzlei!
Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)
Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.