DSK-Position zur Anwendbarkeit des TMG nach Inkrafttreten der DS-GVO am 25.5.2018

von Dr. Stefan Hanloser, veröffentlicht am 30.04.2018

|6540 Aufrufe

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat auf ihrer Sitzung v. 26. April 2018 in Düsseldorf ihre Position „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ bestimmt. Mit Blick auf die künftige ePrivacy-Verordnung nimmt die DSK-Position zum Spannungsverhältnis zwischen TMG, DS-GVO und ePrivacy-Richtlinie Stellung und trifft allgemeine Aussagen zum Einsatz von Tracking-Mechanismen im Internet und zur Erstellung von Nutzerprofilen.

Praxishinweis: Die Positionsbestimmung ist keine Entschließung – entsprechend findet man die DSK-Position beim aktuellen DSK-Vorsitz in der Rubrik „Technik und Organisation“ (Link).

#1 – Beschränkung auf nicht-öffentliche Stellen. Die DSK-Position spart öffentliche Anbieter von Telemedien aus. TMG und DSGVO, auf die sich die DSK-Position bezieht, kennen die Unterscheidung zwischen öffentlichen und nicht-öffentlichen Verantwortlichen jedoch nicht. Konsequent hielt es der EuGH in der Rs. Breyer gar nicht für erwähnenswert, dass die Beklagten eine öffentliche Stelle war. Die tradierte deutsche Unterscheidung zwischen öffentlichen und nicht-öffentlichen Stellen ist auf das nationale BDSG beschränkt (vgl. dort künftig die Legaldefinition in § 2 BDSG-neu) und im Kontext der DSK-Position zum Online-Datenschutz fehl am Platz. Es bleibt unklar, welche Botschaft die Datenschutzkonferenz an öffentliche Stellen sendet, etwa für das Cookie-Setzen und Profilbilden auf Bewerberportalen öffentlicher Stellen.

#2 – Interessenabwägung vorrangig nach Art. 6 Abs. 1 Buchst. f DS-GVO. Die DSK-Position räumt der Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DS-GVO Vorrang vor der gesetzlich ausgeformten Interessenabwägung in § 15 Abs. 3 TMG ein. Auf die Entscheidung des deutschen Gesetzgebers, die datenschutzrechtlichen Bestimmungen im 4. Abschnitt des TMG, insbesondere § 15 Abs. 3 TMG bis zum Inkrafttreten der künftigen ePrivacy-Verordnung unverändert fortgelten zu lassen, geht die DSK-Position nicht ein. Hier hätte es – ganz im Duktus eines Positionspapiers – nahegelegen, an den aktuellen Gesetzgeber zu appellieren, das TMG im Rahmen des anstehenden Omnibus-Gesetzes aufzugreifen.

#3 – „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und „Nutzerprofile“. Ziff. 9 der DSK-Position proklamiert ein Einwilligungserfordernis für „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und für „Nutzerprofile“. Ins Auge sticht zunächst, dass sich das DSK-Papier auf Tracking-Methoden im Internet beschränkt und Mobile Apps unerwähnt lässt. Für browserbasierte Anwendungen stellt sich die Frage, wo künftig die Grenze zwischen dem freien Internet und den eingehegten Einwilligungszonen (walled gardens) ggf. mit Registrierungsschranken (registration walls) konkret verlaufen soll. Die DS-GVO ändert nichts am hergebrachten berechtigten Interesse des Diensteanbieters, gerätebezogen pseudonyme Nutzungsprofile für Zwecke der bedarfsgerechten Angebotsgestaltung oder der Werbung zu bilden. Die Datenschutz-Grundsätze in Art. 5 DS-GVO stehen im Gleichklang mit den bisherigen Prinzipien des Art. 6 DS-RL 95/46 und bedingen keine Neuausrichtung zum 25.5.2018. Vielmehr schiebt Art. 21 Abs. 2 DS-GVO einem generellen Einwilligungserfordernis (Opt-in) für die werbliche Datenverarbeitung einen Riegel vor und räumt den Nutzern statt dessen ein jederzeitiges Widerspruchsrecht (Opt-out) ein.

#4 – Einwilligungsmaßstab – europäische Dimension. Das DSK-Papier hebt abschließend die europäische Dimension des Online-Datenschutzes hervor. Dies betrifft insbesondere die praktische Frage, wann einer „eindeutig bestätigenden Handlung“ der Erklärungswert einer Einwilligung zukommt– und zwar nach gemeinschaftlicher Auslegung über die mitgliedstaatlichen Grenzen hinweg. Blickt man auf die Tracking-Praxis des britischen Information Commissioner’s Office (Link), reicht der nachträgliche (sic!) Hinweis „We have placed (sic!) cookies on your device to help make this website better. You can use this tool to change your cookie settings. Otherwise, we’ll assume you’re OK to continue.” für ein rechtskonformes Cookie-Setzen aus. Bei dieser Angelegenheit von allgemeiner Geltung böte sich eine Stellungnahme des Europäischen Datenschutzausschusses nach Art. 64 Abs. 2 DS-GVO an, ob die Working Paper 171 v. 22.6.2010 (Online Behavioural Advertising), 194 v. 7.6.2012 (Cookie Consent Exemptions) und 208 v. 2.10.2013 (Obtaining Consent for Cookies) der Artikel-29-Datenschutzgruppe unter der DS-GVO und im Lichte des Working Papers 259 rev1 v. 10.4.2018 unverändert Bestand haben.

Praxishinweis: Aktuelle Fachbeiträge zu dem Thema: Benedikt, DSB 04/2018, 80; Engeler/Felber, ZD 06/2017, 251; Hanloser, ZD 05/2018, 213.