Sie sind hier: > Start > Tätigkeitsberichte > 28. TB 2018 > 13. E-Government, Telemedienrecht,Soziale Medien
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019
13. E-Government, Telemedienrecht,Soziale Medien
13.1. Soziale Medien, insbesondere Soziale Netzwerke
Die Nutzung Sozialer Medien durch bayerische öffentliche Stellen habe ich bereits in meinem 25. Tätigkeitsbericht 2012 unter Nr. 1.3, in meinem 26. Tätigkeitsbericht 2014 unter Nr. 12.4 und in meinem 27. Tätigkeitsbericht 2016 unter Nr. 12.4 behandelt. Auf dieser Basis habe ich grundsätzlich auch in diesem Berichtszeitraum bayerische öffentliche Stellen zur Nutzung Sozialer Medien beraten beziehungsweise die Nutzung stichprobenartig geprüft.
Zum Betrieb einer Facebook Fanpage hatte das Bundesverwaltungsgericht bereits 2016 ein bei ihm anhängiges Revisionsverfahren ausgesetzt und dem Europäischen Gerichtshof (EuGH) Fragen zur Vorabentscheidung vorgelegt (Beschluss vom 25. Februar 2016, Az.: 1 C 28.14). Der Europäische Gerichtshof hat die Vorlagefragen des Bundesverwaltungsgerichts nun mit Urteil vom 5. Juni 2018, Az.: C-210/16, beantwortet. Mit dieser Entscheidung ist das Ausgangsverfahren jedoch nicht beendet. Vielmehr ist nun wieder das Bundesverwaltungsgericht berufen, das dort anhängige Verfahren weiter zu führen. Wann das Bundesverwaltungsgericht entscheiden wird, ist derzeit nicht absehbar.
Die Verwaltungsstreitsache begann 2011, als sich die Wirtschaftsakademie Schleswig-Holstein GmbH gegen eine Anordnung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein wandte, das in diesem Bundesland die Aufgaben der Datenschutz-Aufsichtsbehörde wahrnimmt. Das Unternehmen vertrat die Auffassung, es dürfe eine Facebook-Fanpage betreiben, ohne sich darum kümmern zu müssen, ob Facebook Datenschutzrecht einhält. Insbesondere habe es keinerlei datenschutzrechtliche (Mit-) Verantwortung etwa für die Verarbeitung von Nutzungsdaten der Fanpage-Besucher. Der Europäische Gerichtshof stellte in seiner Entscheidung klar, dass diese Auffassung nicht mit dem europäischem Datenschutzrecht vereinbar ist:
"Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien."
Unabhängig von der noch ausstehenden Entscheidung des Bundesverwaltungsgerichts bin ich bereits nach dem Urteil des Europäischen Gerichtshofs auf verschiedenen Ebenen tätig geworden.
So hat die Datenschutzkonferenz unter meiner Mitwirkung zeitnah folgende Entschließung veröffentlicht:
Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 6. Juni 2018
Die Zeit der Verantwortungslosigkeit ist vorbei:EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt. Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.
Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.
Im Einzelnen ist Folgendes zu beachten:
- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.
Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Im Juni 2018 habe ich zeitnah die Staatskanzlei und die Staatsministerien über die gefasste Entschließung informiert. Dabei habe ich darauf hingewiesen, dass Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung zwar nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt. Doch können bayerische öffentliche Stellen nicht untätig bleiben, wenn sie zukünftig Fanpages betreiben wollen. Als einen maßgeblichen Schritt habe ich dabei das Einfordern der in der Entschließung genannten Vereinbarung nach Art. 26 DSGVO zur Festlegung der jeweiligen Verpflichtungen gesehen. Zudem habe ich auch an meine - fortgeltende - Empfehlung an bayerische öffentliche Stellen erinnert, keine Fanpages zu betreiben, jedenfalls solange, bis sichergestellt ist, dass ein Betrieb von Fanpages datenschutzkonform möglich ist.
Das (damalige) Bayerische Staatsministerium des Innern und für Integration als für den Datenschutz federführendes Ressort habe ich gebeten, entsprechende Schritte innerhalb der bayerischen Verwaltung zu koordinieren und mit Facebook Kontakt aufzunehmen.
Weiterhin habe ich in der von der Datenschutzkonferenz eingerichteten Task Force Fanpage mitgearbeitet. Facebook hatte auf das Urteil des Europäischen Gerichtshofs vom 5. Juni 2018 und auch auf die Entschließung der Datenschutzkonferenz vom 6. Juni 2018 hin über Monate nicht ersichtlich reagiert. Daher hat die Task Force Fanpage folgenden Beschluss der Datenschutzkonferenz vorbereitet:
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 5. September 2018
Beschluss der DSK zu Facebook Fanpages
Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen C-210/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen sich aus dem Urteil für die gemeinsam Verantwortlichen - insbesondere für die Betreiberinnen und Betreiber einer Fanpage - ergeben.
Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten, die klarstellt, wie die Pflichten aus der DSGVO erfüllt werden.
Seit dem Urteil des EuGH sind drei Monate vergangen. Zwar hat Facebook einige Änderungen in seinem Angebot - zum Beispiel bezüglich der Cookies - vorgenommen, doch weiterhin werden auch bei Personen, die keine Facebook-Nutzerinnen und Nutzer sind, Cookies mit Identifikatoren gesetzt, jedenfalls wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufrufen.
Auch werden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt.
Der EuGH hat unter anderem hervorgehoben, dass "die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst."
Offizielle Verlautbarungen vonseiten Facebooks, ob und welche Schritte unternommen werden, um einen rechtskonformen Betrieb von Facebook-Fanpages zu ermöglichen, sind bisher ausgeblieben. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) wurde bislang nicht zur Verfügung gestellt. Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin.
Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.
Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.
Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass Fanpage-Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).
Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können.
Anhang: Fragenkatalog
- In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
- Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
- Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
- Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
- Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Am 11. September 2018 veröffentlichte Facebook in seinem Internet-Auftritt sowohl eine "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" als auch "Informationen zu Seiten-Insights".
Es ist anzunehmen, dass Facebook damit seinen Verpflichtungen aus Art. 26 DSGVO nachkommen möchte, auch wenn ein ausdrücklicher Verweis auf die Vorschrift fehlt.
Die von Facebook veröffentlichten Informationen lassen allerdings weiterhin viele Fragen offen. Es bestehen erhebliche Zweifel, ob die veröffentlichten Informationen den Anforderungen an eine Vereinbarung gemäß Art. 26 DSGVO genügen. Die gemeinsame Verantwortlichkeit hat außerdem zur Folge, dass auch Fanpage-Betreiber die Rechtmäßigkeit der (gemeinsam) zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können müssen. Jedoch hat Facebook offenbar schon die Datenverarbeitungen im Zusammenhang mit Seiten-Insights nicht umfassend dargestellt. Denn der veröffentlichten Auflistung hat Facebook den Passus "werden Informationen wie die folgenden erfasst und verwendet" vorangestellt. Der genaue Umfang der Datenverarbeitungen spielt jedoch auch eine Rolle für die Beurteilung, ob und gegebenenfalls auf welcher Rechtsgrundlage eine Fanpage betrieben werden kann.
Mir war es zudem ein Anliegen, dass die im Zusammenhang mit dem Betrieb einer Fanpage auftretenden Themen auch auf europäische Ebene vorangebracht werden. Unter anderem die Social Media Subgroup des Europäischen Datenschutzausschusses befasst sich nun ebenfalls mit der Thematik.
Ich werde mich auch weiterhin dafür einsetzen, gezielt auf Facebook einzuwirken. Unabhängig davon bleiben bayerische öffentliche Stellen in der Pflicht, ihre Nutzung Sozialer Medien, insbesondere den Betrieb von Fanpages, kritisch zu überprüfen. Der schon bislang hohe Beratungsbedarf hierzu wird sich im kommenden Berichtszeitraum voraussichtlich fortsetzen.
Auch anlässlich des Datenskandals um Facebook und Cambridge Analytica hat die Datenschutzkonferenz Konsequenzen gefordert:
Entschließung der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 26. April 2018
Facebook-Datenskandal - Neues Europäisches Datenschutzrechtbei Sozialen Netzwerken durchsetzen!
Im März 2018 wurde in der Öffentlichkeit bekannt, dass über eine von November 2013 bis Mai 2015 mit Facebook verbundene App nach Angaben des Unternehmens Daten von 87 Millionen Nutzern weltweit, davon 2,7 Millionen Europäern und etwa 310.000 Deutschen erhoben und an das Analyseunternehmen Cambridge Analytica weitergeben wurden. Dort wurden sie offenbar auch zur Profilbildung für politische Zwecke verwendet.
Aus diesem Anlass hat der national zuständige Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeldverfahren gegen Facebook eingeleitet. Er steht dabei in engem Austausch mit seinen europäischen Kollegen, insbesondere mit dem Information Commissioners Office in Großbritannien sowie der Artikel-29-Gruppe. Der Datenskandal um Facebook und Cambridge Analytica wirft ein Schlaglicht auf den Umgang mit Millionen Nutzerdaten. Zudem dokumentieren die Vorgänge um Cambridge Analytica, dass Facebook über Jahre hinweg den Entwicklern von Apps den massenhaften Zugriff auf Daten von mit den Verwendern der Apps befreundeten Facebook-Nutzenden ermöglicht hat. Das geschah ohne eine Einwilligung der Betroffenen. Tatsächlich ist der aktuell diskutierte Fall einer einzelnen App nur die Spitze des Eisbergs. So geht die Zahl der Apps, die das Facebook-Login-System nutzen, in die Zehntausende. Die Zahl der davon rechtswidrig betroffenen Personen dürfte die Dimension des Cambridge-Analytica-Falls in dramatischer Weise sprengen und dem Grunde nach alle Facebook-Nutzenden betreffen. Das Vorkommnis zeigt zudem die Risiken für Profilbildung bei der Nutzung sozialer Medien und anschließendes Mikrotargeting, das offenbar zur Manipulation von demokratischen Willensbildungsprozessen eingesetzt wurde.
Die Datenschutzkonferenz fordert aus diesen offenbar massenhaften Verletzungen von Datenschutzrechten Betroffener folgende Konsequenzen zu ziehen:
- Soziale Netzwerke müssen ihre Geschäftsmodelle auf die neuen europäischen Datenschutzregelungen ausrichten und ihrer gesellschaftliche Verantwortung nachkommen. Dazu gehört auch, angemessene Vorkehrungen gegen Datenmissbrauch zu treffen.
- Facebook muss den wahren Umfang der Öffnung der Plattform für App-Anbieter in den Jahren bis 2015 offenlegen und belastbare Zahlen der eingestellten Apps sowie der von dem Facebook-Login-System betroffenen Personen nennen. Ferner gilt es Betroffene über die Rechtsverletzungen zu informieren.
- In Zukunft muss Facebook sicherstellen, dass die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) rechtskonform umgesetzt werden: Die Vorstellung von Facebook zur Einführung der automatischen Gesichtserkennung in Europa lässt erhebliche Zweifel aufkommen, ob das Zustimmungsverfahren mit den gesetzlichen Vorgaben insbesondere zur Einwilligung vereinbar ist. Wenn Facebook die Nutzenden dazu drängt und es ihnen wesentlich leichter macht, der biometrischen Datenverarbeitung zuzustimmen, als sich ihr zu entziehen, führt dies zu einer unzulässigen Beeinflussung des Nutzers.
Die Reaktionen auf datenschutzwidriges Verhalten sind dabei nicht allein auf den Vollzug des Datenschutzrechts beschränkt, sondern betreffen auch das Wettbewerbs- und Kartellrecht. Die Forderung nach einer Entflechtung des Facebook-Konzerns wird in dem Maße zunehmen, wie sich dieser durch die systematische Umgehung des Datenschutzes wettbewerbswidrige Vorteile auf dem Markt digitaler Dienstleistungen zu verschaffen versucht. Es bedarf europäischer Initiativen, um monopolartige Strukturen im Bereich der sozialen Netzwerke zu begrenzen und Transparenz von Algorithmen herzustellen.
Weil Datenverarbeitungsprozesse zunehmend komplexer und für Betroffene intransparenter werden, kommt der Datenschutzaufsicht eine elementare Rolle zu. Ihre fachliche Expertise ist gefragt, sie muss organisatorisch und personell in der Lage sein, beratend und gestaltend tätig zu sein. Ein starkes Datenschutzrecht und effektive Aufsichtsbehörden vermindern gemeinsam die Risiken für die Bürgerinnen und Bürger in der digitalen Gesellschaft. Sollten Facebook und andere soziale Netzwerke nicht bereit sein, den europäischen Rechtsvorschriften zum Schutz der Nutzenden nachzukommen, muss dies konsequent durch Ausschöpfung aller vorhandenen aufsichtsbehördlichen Instrumente auf nationaler und europäischer Ebene geahndet werden.
13.2. Geplante ePrivacy-Verordnung
Die in der Datenschutz-Grundverordnung festgelegten allgemeinen Vorschriften sollen bezüglich "elektronischer Kommunikationsdaten" durch eine Verordnung des Europäischen Parlaments und des Rats über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation, nichtamtlich: ePrivacy-Verordnung) ergänzt und präzisiert werden (siehe auch meine Ausführungen im 27. Tätigkeitsbericht 2016 unter Nr. 12.3). Diese speziellen und damit in ihrem Anwendungsbereich vorrangigen Bestimmungen betreffen unter anderem Datenverarbeitungen beim Betrieb von Webseiten (etwa Analyse und Verfolgen des Nutzerverhaltens) und können daher auch für bayerische Behörden bedeutsam sein.
Die ePrivacy-Verordnung befindet sich allerdings noch im europäischen Gesetzgebungsverfahren. Angesichts der Bedeutung dieser Verordnung informiere ich auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik "Themengebiete - Internet, Medien und Telekommunikation" über das laufende Gesetzgebungsverfahren. Der aktuelle Entwurf nennt eine 24-Monate-Frist, die ab Inkrafttreten bis zur unmittelbaren Anwendbarkeit gelten soll.
Damit ergeben sich Fragen zur Anwendbarkeit nationalen Rechts neben der Datenschutz-Grundverordnung. Der Bundesgesetzgeber hat das Telemediengesetz (TMG) bisher nicht an die Datenschutz-Grundverordnung angepasst, doch sind die datenschutzrechtlichen Vorschriften des Telemediengesetzes (Abschnitt 4) weiterhin in Kraft. Für die Rechtsanwender stellt sich wegen des Anwendungsvorrangs der Datenschutz-Grundverordnung daher die Frage, ob die datenschutzrechtlichen Regelungen des Telemediengesetzes weiterhin anwendbar sind. Zur Anwendbarkeit des Telemediengesetzes für nicht-öffentliche Stellen ab dem 25. Mai 2018 veröffentlichte die 95. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder eine Positionsbestimmung. In der Diskussion auf Bundesebene habe ich auf die Besonderheiten für öffentliche Stellen hingewiesen, insbesondere kann Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO für eine durch "Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung" nicht die Rechtmäßigkeit begründen. Zu öffentlichen Stellen soll daher eine gesonderte Veröffentlichung vorbereitet werden.
Positionsbestimmung der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018
Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018
Der Kommissionsentwurf zur ePrivacy-Verordnung vom Januar 2017 sieht vor, dass diese Verordnung, welche die ePrivacy-Richtlinie ersetzen soll, gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 in Kraft tritt und Geltung erlangt. Die ePrivacy-Verordnung soll die DSGVO im Hinblick auf die elektronische Kommunikation präzisieren und ergänzen. Das Gesetzgebungsverfahren zur ePrivacy-Verordnung verzögert sich jedoch erheblich, so dass voraussichtlich nicht mehr mit einem Inkrafttreten im Jahr 2018 zu rechnen ist. Damit ergeben sich Fragen zur Anwendbarkeit nationalen Rechts neben der DSGVO. Der Gesetzgeber hat das Telemediengesetz (TMG) bisher nicht an die DSGVO angepasst, so dass die datenschutzrechtlichen Vorschriften des TMG (Abschnitt 4) voraussichtlich ab dem 25. Mai 2018 unverändert in Kraft sein werden. Für die Rechtsanwender stellt sich wegen des Anwendungsvorrangs der DSGVO daher die Frage, ob die datenschutzrechtlichen Regelungen des TMG weiterhin anwendbar sein werden.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vertritt hierzu folgende Position:
- Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisions-regel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar.
- Die DSGVO enthält in Artikel 95 eine Kollisionsregel zum Verhältnis der DSG-VO zur ePrivacy-Richtlinie, wonach natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt werden, soweit sie besonderen in der ePrivacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
- Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen - da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen - demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der ePrivacy-Richtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.
- Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.
- Eine unmittelbare Anwendung der ePrivacy-Richtlinie für die unter Ziffer 4 genannten Verarbeitungsvorgänge kommt nicht in Betracht (keine horizontale unmittelbare Wirkung von Richtlinien).
- Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die all-gemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.
- Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.
- Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.
- Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt wer-den muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.