Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Und wer unbedingt noch mehr zu mir wissen möchte, kann sich mein Profil ansehen.

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

BfDI: Tätigkeitsbericht zum Datenschutz 2019

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:

Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:

  1. Einleitung
  2. Empfehlungen
  3. Gremienarbeit
  4. Schwerpunktthemen
  5. Gesetzgebung
  6. Sicherheitsbereich
  7. Bundestag
  8. Weitere Einzelthemen
  9. BfDI intern
  10. BfDI als Zentrale Anlaufstelle (ZASt)

Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.

Verschlüsselung von E-Mails

So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.

Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.

Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.

In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.

Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.

Google Analytics

Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.

Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:

Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.

Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.

Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).

Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.

LfDI M-V: Tätigkeitsbericht 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat heute seinen Tätigkeitsbericht zum Datenschutz (und zur Umsetzung des Informationsfreiheitsgesetzes) veröffentlicht.

Den Tätigkeitsbericht findest du hier: LfDI MV, Fünfzehnter Tätigkeitsbericht zum Datenschutz und Siebenter Bericht über die Umsetzung des Informationsfreiheitsgesetzes (PDF)

Der Berichtszeitraum für das Thema Datenschutz bezieht sich auf das Jahr 2019. Auf den ersten 94 Seiten finden sich Ausführungen zum Datenschutz, gegliedert nach folgenden Kapiteln:

  1. Empfehlungen
  2. Zahlen und Fakten
  3. Entwicklung der Behörde
  4. Zusammenarbeit auf europäischer Ebene
  5. Zusammenarbeit auf deutscher Ebene
  6. Datenschutz und Bildung
  7. Technik und Organisation
  8. Datenschutz in verschiedenen Rechtsgebieten

Was uns Praktiker natürlich immer besonders interessiert, ist die Bußgeldpraxis der Aufsichtsbehörden. Der LfDI MV hat im Jahr 2019 gerade einmal fünf Bußgelder verhängt. Das ist nicht gerade viel.

In acht Fällen hat die Behörde Gebrauch von Anordnungen mit Zwangsgeldandrohung gemacht. Eine Maßnahme, die die Aufsichtsbehörde nach eigenen Angaben als „deutlich wirksameres“ Mittel zur Durchsetzung von Datenschutzanforderungen ansieht.

Die verhängten Bußgelder scheinen auch nicht sonderlich hoch gewesen zu sein. Im Bericht wurde z.B. erwähnt, dass ein Bußgeldbescheid über 500,00 € gegen einen Rentner verhängt wurde, weil dieser Nachbarschaftslisten erstellt und verteilt hat. Das verhängte Bußgeld wurde dann aber nach Angaben des LfDI MV vom AG Schwerin auf 200,00 € herabgesetzt.

Um ganz ehrlich zu sein, habe ich ansonsten nicht viele (für mich) spannende Themen im Tätigkeitsbericht finden können.

Gutes Erklärvideo zur Funktionsweise von heutigem Online-Advertising

Über ein Retweet des geschätzten Ralf Bendrath auf Twitter bin ich auf dieses Video aufmerksam geworden. Das Video ist von Dr. Johnny Ryan, der Chief Policy & Industry Relations Officer bei der Brave Software, Inc. („Brave“) ist. Und es erklärt, wie heutige Online-Werbung funktioniert.

Dieses Video ist für Procter & Gamble aufgenommen worden und soll dort das heutige, im Online-Advertising verwendete „Real Time Bidding“ (RTB) erklären. RTB ist sicher alles andere als trivial und viele Datenschutzbeauftragte und Juristinnen und Juristen verstehen nicht, wie das Ganze funktioniert. In diesem Video wird ab Minute 4:28 in großartig einfacher Weise erklärt, wie RTB funktioniert und warum es aus Datenschutzsicht besonders relevant ist.

Vimeo

Für unsere Videos nutzen wir den US-Dienstleister Vimeo. Leider gibt es hierfür keine Alternative in der EU.

Hinweis: In den USA besteht nach der Rechtsprechung des EuGH („Schrems II“) kein angemessenes Datenschutzniveau. Die Nutzung erfolgt daher für Datenschutz-Coaching-Mitglieder auf Basis der Ausnahme des Art. 49 Abs. 1 lit. b) DSGVO. Andere Nutzer erteilen mit dem Klick auf „Video ansehen“ in Kenntnis des nicht angemessenen Datenschutzniveaus ihre Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO. Dies gilt für dann auch für alle weiteren Vimeo-Videos auf dieser Seite und deine Wahl wird in einem Cookie in deinem Browser gespeichert. Weitere Hinweise zum Datenschutz findest du hier.

Video ansehen

Die rechtlichen Bewertungen, die Dr. Johnny Ryan, dann daraus zieht, teile ich nicht bzw. nicht ganz. Insbesondere die Ausführungen zu Art. 5 Abs. 1 lit. f) DSGVO sind m.E. etwas pauschal. Das ändert aber nichts daran, dass RTB hier einmal einfach und gut erklärt wird.

Office Hours für Beginner vom 02.06.2020

Wir schreiben den Monat Juni 2020 und heute haben die Office Hours für Beginner stattgefunden. Etwas über 30 Minuten Fragen und Antworten können Datenschutz-Coaching-Mitglieder hier nachhören:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Beginner vom 12.05.2020 (Teil 2)

Wie ich hier schon berichtet hatte, sind wir bei den Office Hours für Beginner im Mai 2020 wegen der vielen Fragen nicht „durch“ gekommen.

Daher hier noch die aufgezeichneten Antworten auf die weiteren Fragen.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar „Datenschutz-Folgenabschätzung (DSFA)“

Am 28.05.2020 hat das monatliche Webinar für Datenschutz-Coaching-Mitglieder mit dem Thema „Datenschutz-Folgenabschätzung (DSFA)“ stattgefunden. Wir haben uns damit beschäftigt, wann eine DSFA erstellt werden muss, wann eine DSFA erstellten werden sollte und vor allem wie eine DSFA erstellt werden sollte – mit einem Fokus auf die Risikoanalyse und -bewertung.

Die Aufzeichnung sowie die weiteren Unterlagen finden sich hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

YouTube

Für unsere Videos nutzen wir auch ab und an YouTube von Google. Leider gibt es hierfür keine Alternative in der EU.

Hinweis: In den USA besteht nach der Rechtsprechung des EuGH („Schrems II“) kein angemessenes Datenschutzniveau. Die Nutzung erfolgt daher für Datenschutz-Coaching-Mitglieder auf Basis der Ausnahme des Art. 49 Abs. 1 lit. b) DSGVO. Andere Nutzer erteilen mit dem Klick auf „Video ansehen“ in Kenntnis des nicht angemessenen Datenschutzniveaus ihre Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO. Dies gilt für dann auch für alle weiteren Vimeo-Videos auf dieser Seite und deine Wahl wird in einem Cookie in deinem Browser gespeichert. Weitere Hinweise zum Datenschutz findest du hier.

Video ansehen

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

YouTube

Für unsere Videos nutzen wir auch ab und an YouTube von Google. Leider gibt es hierfür keine Alternative in der EU.

Hinweis: In den USA besteht nach der Rechtsprechung des EuGH („Schrems II“) kein angemessenes Datenschutzniveau. Die Nutzung erfolgt daher für Datenschutz-Coaching-Mitglieder auf Basis der Ausnahme des Art. 49 Abs. 1 lit. b) DSGVO. Andere Nutzer erteilen mit dem Klick auf „Video ansehen“ in Kenntnis des nicht angemessenen Datenschutzniveaus ihre Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO. Dies gilt für dann auch für alle weiteren Vimeo-Videos auf dieser Seite und deine Wahl wird in einem Cookie in deinem Browser gespeichert. Weitere Hinweise zum Datenschutz findest du hier.

Video ansehen

Office Hours für Beginner vom 12.05.2020

Am 12.05.2020 haben die Office Hours für Beginner stattgefunden. Die Aufzeichnung finden Datenschutz-Coaching-Mitglieder hier: (MP3) Die in den Office Hours offen gebliebenen Fragen werde ich später noch einmal beantworten und …

Office Hours für Beginner vom 12.05.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

LDI NRW mit Empfehlungen zu Videokonferenzsystemen und Messengerdiensten

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 18.05.2020 Informationen und Empfehlungen zum Einsatz von Videokonferenz- und Messengerdiensten veröffentlicht.

Dazu wurden dann auch zwei Dokumente als „Leitplanken“ veröffentlicht:

Gut: Es werden konstruktive Empfehlungen gegeben zum Einsatz der Dienste gegeben.

Was besser gemacht werden kann: Die Informationen zu den einzelnen Diensten (z.B. Microsoft Teams, Skype und Zoom) sind inhaltlich teilweise falsch bzw. nicht auf dem aktuellen Stand.

Office Hours für Profis vom 04.05.2020

Am 04.05.2020 haben die Office Hours für Profis stattgefunden. Auch diesmal länger als geplant (1:18h).

Die Aufzeichnung finden Datenschutz-Coaching-Mitglieder hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden