In bestimm­ten Fäl­len ist bei der Über­wa­chung von Räu­men laut der kürz­lich in Kraft getre­te­nen Daten­schutz­grund­ver­ord­nung eine Daten­schutz-Fol­gen­ab­schät­zung erfor­der­lich.

Die kürz­lich in Kraft getre­te­ne Daten­schutz­grund­ver­ord­nung (DS-GVO) regelt die Über­wa­chung von Räu­men und Plät­zen mit­tels Video­über­wa­chung nur am Ran­de gere­gelt. Viel­mehr sol­len die ein­zel­nen Mit­glieds­staa­ten selbst Vor­schrif­ten für die elek­tro­ni­sche Über­wa­chung erlas­sen. In Arti­kel 35, Absatz 3 lit. c) schreibt die DS-GVO aller­dings vor, dass bei »einer syste­ma­ti­schen umfang­rei­chen Über­wa­chung öffent­lich zugäng­li­cher Räu­me« eine Daten­schutz-Fol­gen­ab­schät­zung nötig und erfor­der­lich ist.

Hier­zu­lan­de ist die Video­über­wa­chung in §4 Bun­des­da­ten­schutz­ge­setz (BDSG) gere­gelt. In Absatz 1 befin­det sich die Ände­rung zu bis­lang gel­ten­den Rege­lung: Hier ist fest­ge­legt, dass öffent­lich zugäng­li­che groß­flä­chi­ge Anla­gen oder Ein­rich­tun­gen wie öffent­li­che Ver­kehrs­mit­tel, Bahn­hö­fe sowie Ein­kaufs­zen­tren, Sport­stät­ten und Ver­an­stal­tungs­or­te zum Schutz der Men­schen über­wacht wer­den dür­fen. Der Schutz von Per­so­nen, die sich dort auf­hal­ten, muss jedoch beson­ders beach­tet wer­den. Der deut­sche Gesetz­ge­ber stellt also die Sicher­heits­be­lan­ge und den Schutz von Leben, Gesund­heit oder Frei­heit die­ser Per­so­nen als ein beson­ders wich­ti­ges Inter­es­se dar.

Die Über­wa­chung von öffent­li­chen Räu­men ist grund­sätz­lich nur dann erlaubt, wenn ihr kei­ne schutz­wür­di­gen Inter­es­sen der Betrof­fe­nen ent­ge­gen­ste­hen. Auch dann dür­fen Orte nur über­wacht wer­den, wenn das zur Auf­ga­ben­er­fül­lung öffent­li­cher Stel­len, zur Wahr­neh­mung des Haus­rechts und zur Daten­ge­win­nung für einen kon­kret fest­ge­leg­ten Zweck und zur Wahr­neh­mung berech­tig­ter Inter­es­sen erfor­der­lich ist. Laut §4 Absatz 2 BDSG muss die Tat­sa­che, dass eine Beob­ach­tung durch­ge­führt wird, durch geeig­ne­te Maß­nah­men gekenn­zeich­net und die Über­wa­chung ver­ant­wort­li­che Stel­le benannt wer­den muss. Die gewon­ne­nen Daten dür­fen dann nur zur Abwehr von Gefah­ren sowie zur Ver­fol­gung von Straf­ta­ten genutzt wer­den. Ist der Zweck erreicht oder ste­hen schutz­wür­di­ge Inter­es­sen der Betrof­fe­nen einer wei­te­ren Spei­che­rung ent­ge­gen, müs­sen die Daten sofort gelöscht wer­den.

Das hat sicher jeder von uns selbst erlebt. Die Stil­blü­ten um die Ein­ho­lung von neu­en Ein­wil­li­gun­gen zur DS-GVO. Vie­les wäre dabei schon recht­lich frag­wür­dig (wenn eine Ein­wil­li­gung vor­liegt, brau­che ich kei­ne wei­te­re, wenn nicht, dann darf nich nicht danach fra­gen), unnö­tig (natür­lich darf man zur Ver­trags­an­bah­nung oder -abwick­lung per­sön­li­che Anspra­chen von bei­te­lig­ten Per­so­nen ver­wen­den) und im schlimm­sten Fall dann auch nicht recht­lich bin­dend. Ich möch­te hier zwei Links zu dem News­let­ter der inter­soft con­sul­ting ser­vices AG geben:

Übri­gens, der News­let­ter ren­tiert sich alle­ma­le.

Die Bun­des­re­gie­rung hat in der heu­ti­gen Sit­zung des EU-Mini­ster­rats ihre Posi­tio­nie­rung gegen­über der ePri­va­cy-Ver­ord­nung vor­ge­stellt. Die Ver­hand­lun­gen im EU-Rat kön­nen damit vor­an­schrei­ten, so dass das Gesetz noch vor der EU-Par­la­ments­wahl im Früh­jahr 2019 beschlos­sen wer­den könn­te. Klaus Mül­ler, Vor­stand des vzbv, for­dert eine ver­brau­cher­freund­li­che und star­ke Regu­lie­rung der digi­ta­len Kom­mu­ni­ka­ti­on:

Der vzbv begrüßt, dass sich die Bun­des­re­gie­rung end­lich auf eine Posi­ti­on zur ePri­va­cy-Ver­ord­nung fest­ge­legt hat. Posi­tiv ist, dass es Tele­kom­mu­ni­ka­ti­ons­dien­sten nur mit Ein­wil­li­gung oder zu sta­ti­sti­schen Zwecken erlaubt wer­den soll, Kom­mu­ni­ka­ti­ons­me­ta­da­ten, wie bei­spiels­wei­se Stand­ort­da­ten zu ver­ar­bei­ten. Dabei müss­ten sie geeig­ne­te Schutz­maß­nah­men tref­fen und die Daten­schutz­grund­ver­ord­nung beach­ten. Dies ist ein annehm­ba­rer Kom­pro­miss.

Coo­kies und ähn­li­che Tech­no­lo­gi­en, mit denen Unter­neh­men das Ver­hal­ten und die Inter­es­sen von Ver­brau­chern online aus­wer­ten, sol­len eben­falls nur mit deren Ein­ver­ständ­nis oder zu eng defi­nier­ten Zwecken ein­ge­setzt wer­den dürf­ten. Für Sur­fer ist das ein Fort­schritt.

Die Bun­des­re­gie­rung möch­te Anbie­tern jedoch erlau­ben, die Nut­zung ihrer Ange­bo­te von einer sol­chen Ein­wil­li­gung abhän­gig zu machen. Das ist nicht akzep­ta­bel. Damit unter­läuft sie die Daten­schutz­grund­ver­ord­nung und spielt gro­ßen Unter­neh­men wie Goog­le und Face­book in die Hän­de. Denn den Kon­zer­nen wür­de es auf­grund ihrer Markt­macht leich­ter als klei­ne­ren Anbie­tern fal­len, ihren Nut­zern eine sol­che Ein­wil­li­gung abzu­rin­gen. Bedau­er­lich ist außer­dem, dass sich die Bun­des­re­gie­rung nicht für daten­schutz­freund­li­che Vor­ein­stel­lun­gen von Web­brow­sern ein­setzt.“

Fak­ten­blatt des vzbv

Mit dem Start der Daten­schutz-Grund­ver­ord­nung heu­te am Frei­tag, 25. Mai beginnt in Euro­pa eine neue Zeit­rech­nung für den Daten­schutz. Doch in eini­gen Punk­ten fehlt Unter­neh­men, Selb­stän­di­gen und auch den Auf­sichts­be­hör­den noch Rechts­si­cher­heit. „Die neu­en Regeln wer­den uns noch lan­ge über den 25. Mai hin­aus beschäf­ti­gen“, sagt BvD-Vor­stand Tho­mas Spa­eing.

Rechts­un­klar­heit besteht unter ande­rem beim Beschäf­tig­ten­da­ten­schutz und in der Abstim­mung mit der ePri­va­cy-Ver­ord­nung, die aller Vor­aus­sicht erst Ende 2019 an die DS-GVO ange­passt wird. Ein viel­fach dis­ku­tier­tes The­ma ist auch der Medi­en­bruch bei den Infor­ma­ti­ons­pflich­ten, z. B. bei der Video­über­wa­chung oder auch der ein­fa­chen Kon­takt­auf­nah­me im Geschäfts­le­ben.

Die Hoff­nung besteht, dass die Auf­sichts­be­hör­den mit dem Start der DS-GVO zunächst „mit Augen­maß“ Unter­neh­men bei der Umset­zung der Richt­li­ni­en beglei­ten wer­den. „Auch die Auf­sichts­be­hör­den wis­sen um die vie­len Fra­gen, die noch unge­klärt sind“, sag­te Spa­eing. „Des­halb soll­ten Unter­neh­men sie nicht als Geg­ner, son­dern als Part­ner ver­ste­hen“. Wich­tig sei aller­dings, dass die Unter­neh­men auch die Bereit­schaft zeig­ten, das neue Regel­werk umzu­set­zen.

Nach Art. 37 Abs. 7 DS-GVO hat ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten (DSB) nicht nur zu ver­öf­fent­li­chen, son­dern auch der Auf­sichts­be­hör­de mit­zu­tei­len. Das BayL­DA ent­wickelt der­zeit einen neu­en Online-Ser­vice, der es Ver­ant­wort­li­chen ermög­licht, die hier­zu erfor­der­li­chen DSB-Mel­dun­gen für den nicht-öffent­li­chen Bereich in Bay­ern ein­fach und bequem online durch­zu­füh­ren. Die­ses befin­det sich in der fina­len Test­pha­se, wird aber wohl erst (kurz) nach dem 25.05.2018 ver­füg­bar sein.

Aus die­sem Grund und weil den Ver­ant­wort­li­chen aus­rei­chend Zeit zur Mel­dung ein­ge­räu­met wer­den soll, ver­län­gert das BayL­DA die Mel­de­frist bis zum 31. August 2018. Bis zu die­sem Ter­min wird das BayL­DA dann selbst­ver­ständ­lich eine noch nicht erfolg­te Mel­dung nicht bemän­geln und auch dies­be­züg­lich kein Ord­nungs­wid­rig­keits­ver­fah­ren ein­lei­ten.

Von einer Mel­dung in Papier­form ist abzu­se­hen, da die­se dem BayL­DA unnö­ti­gen büro­kra­ti­schen Auf­wand ver­ur­sacht – die vor­han­de­nen Kapa­zi­tä­ten sol­len statt­des­sen lie­ber wie bis­her in die Bereit­stel­lung von Infor­ma­tio­nen ver­wen­det wer­den.

Zur­zeit kur­sie­ren vie­le Mails, in denen Unter­neh­men neue Nut­zungs­be­din­gun­gen vor­stel­len und dar­um bit­ten, die­se zu bestä­ti­gen. Hin­ter­grund ist das Inkraft­tre­ten der neu­en EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) zum 25. Mai 2018. Lei­der nut­zen Betrü­ger dies auch, um mit gefälsch­ten Mails Per­so­nen zu schä­di­gen. Sie ver­sen­den unter ande­rem im Namen von Online-Shops wie Ama­zon, eBay und Paypal wie auch von nam­haf­ten Ban­ken Phis­hing-E-Mails, in denen sie auf um die Ein­ga­be von sen­si­blen Infor­ma­tio­nen bit­ten. Es sind sogar schon Fäl­le auf­ge­tre­ten, in denen Opfer dazu gebracht wur­den, Aus­wei­se ein­zu­scan­nen und an den Absen­der zu ver­sen­den. Eine sol­che Vor­ge­hens­wei­se wür­den seriö­se Unter­neh­men nie­mals anwen­den. Des­halb soll­ten Sie sol­che E-Mails immer direkt löschen.

Um sich vor Phis­hing-Betrü­gern zu schüt­zen, über­prü­fen Sie Ihre E-Mails am besten immer kri­tisch hin­sicht­lich Absen­der, Inhalt und Links. Wor­auf Sie dabei kon­kret ach­ten soll­ten, hat das BSI für Bür­ger zusam­men­ge­stellt.

Zur Mel­dung der Ver​brau​cher​zen​tra​le​.NRW: Betrü­ger miss­brau­chen die DSGVO für Phis­hing-Mails.

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. hat bezüg­lich die­ses The­mas reche­riert und die aktu­el­le Silua­ti­on bei den ein­zel­nen Lan­des­be­hör­den zusam­men­ge­stellt. Der Link zum Arti­kel.

Zuläs­sig­keit des Tracking nach der Daten­schutz-Grund­ver­ord­nung – die GDD bezieht Stel­lung zur Posi­ti­on der Daten­schutz­kon­fe­renz

Am 26. April 2018 hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) ihre Posi­ti­on zur Anwend­bar­keit des Tele­me­di­en­ge­set­zes (TMG) als natio­na­les Gesetz neben der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­öf­fent­licht. Nach Auf­fas­sung der DSK stellt der 4. Abschnitt des TMG kei­ne Umset­zung der ePri­va­cy-Richt­li­nie dar und genießt des­we­gen kei­nen Anwen­dungs­vor­rang als spe­zi­al­ge­setz­li­che Rege­lung für die Ver­ar­bei­tung in Ver­bin­dung mit der Bereit­stel­lung öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dien­ste auf Grund­la­ge des Art. 95 DS-GVO. Die GDD stimmt mit der DSK über­ein, dass für die Beur­tei­lung der Recht­mä­ßig­keit der Reich­wei­ten­mes­sung und des Ein­sat­zes von Tracking-Mecha­nis­men ab dem 25.05.2018 aus­schließ­lich die DS-GVO ein­schlä­gig ist. Folg­lich kom­men als Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Dien­ste­an­bie­ter von Tele­me­di­en Art. 6 Abs. 1, ins­be­son­de­re lit. a, b und f DS-GVO in Betracht.

Tech­nisch not­wen­di­ge Ver­ar­bei­tun­gen für die Bereit­stel­lung eines Dien­stes sind unstrit­tig nach Art. 6 Abs. 1 lit. b oder f DS-GVO zuläs­sig. Diver­genz besteht hin­ge­gen hin­sicht­lich der Rechts­grund­la­ge beim Ein­satz von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len. Der Auf­fas­sung der DSK nach ist das Tracking von Nut­zern wie z.B. durch Ana­ly­se­tools wie Goog­le Ana­ly­tics oder durch Wer­be­tracker nur noch durch eine expli­zi­te Ein­wil­li­gung des Nut­zers legi­ti­miert, auch wenn es ledig­lich in pseud­ony­mi­sier­ter Form erfolgt. Wer­bung stellt jedoch nach der DS-GVO grund­sätz­lich ein berech­tig­tes Inter­es­se im Rah­men der Inter­es­sen­ab­wä­gung nach Art. 6 Abs. 1 lit. f DS-GVO dar, das dem Rege­lungs­ver­ständ­nis der DS-GVO nach jeden­falls grund­sätz­lich nicht von einer Ein­wil­li­gung abhän­gig ist. Wenn nach ErwG. 47 DS-GVO die Direkt­wer­bung ein berech­tig­tes Inter­es­se des wer­ben­den Unter­neh­mens sein kann, muss in der Kon­se­quenz auch das Tracking von Nut­zer­ver­hal­ten als weni­ger stark in das Per­sön­lich­keits­recht ein­grei­fen­de Maß­nah­me grund­sätz­lich zuläs­sig sein. Danach dürf­ten Coo­kies im Rah­men der Wer­bung, die kei­ne sen­si­blen Daten betref­fen und nicht auf Per­so­nen­be­zug schlie­ßen las­sen (wie sie der­zeit nach § 15 Abs. 3 TMG gestat­tet sind), ein berech­tig­tes Inter­es­se der daten­ver­ar­bei­ten­den Unter­neh­men dar­stel­len. Die Anzei­ge etwai­ger ziel­ge­rich­te­ter Wer­bung ist in der Regel trans­pa­rent für die betrof­fe­ne Per­son. Inso­fern bestehen gera­de bei pseud­ony­mer Nut­zung der per­so­nen­be­zo­ge­nen Daten der betrof­fe­nen Per­son für die Zwecke des Online-Mar­ke­tings und der Online-Wer­bung kei­ne Beden­ken, im Rah­men des Art. 6 Abs. 1 lit. f DS-GVO die Abwä­gung zu Gun­sten des Ver­ant­wort­li­chen zuzu­las­sen. Ent­schei­dend für die Zuläs­sig­keit nach Art. 6 Abs. 1 lit. f DS-GVO ist, wel­che Zie­le bei der Daten­ver­ar­bei­tung ver­folgt wer­den. Sofern Daten in Ver­bin­dung mit Per­so­nen­da­ten von Nut­zern gebracht wer­den oder Daten über ein umfas­sen­des Wer­be­netz­werk hin­weg erho­ben wer­den, lässt sich die Beein­träch­ti­gung des Betrof­fe­nen als erheb­lich qua­li­fi­zie­ren. Die beim Online-Tracking web­sei­ten- und sogar gerä­te­über­grei­fend erstell­ten Nut­zungs­pro­fi­le sind nicht der­art schwer­wie­gend, dass sie „die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son, die den Schutz per­so­nen­be­zo­ge­ner Daten erfor­dern, über­wie­gen“. Durch die Pseud­ony­mi­sie­rung wird den schutz­wür­di­gen Inter­es­sen der Nut­zer Rech­nung getra­gen.

Link zur GDD

Die Kom­men­tie­rung die­ser The­ma­tik von Schwartmann/​Klein fin­den Sie im Hei­del­ber­ger Kom­men­tar der DS-GVO/BDSG ab Rn. 138 ff. frei abruf­bar unter: https://​medi​endb​.cfmu​el​ler​.de/​c​f​m​u​e​l​l​e​r​/​t​e​x​t​e​/​l​e​s​e​p​r​o​b​e​/​9​7​8​3​8​1​1​4​4​7​1​2​7​_​l​e​s​e​p​r​o​b​e​_​0​2​.​p​d​f​#​p​a​g​e=3.

Machen wir uns nichts vor, die Angst vor hohen Buß­gel­dern und Abmahn­wel­len sind der Haupt­an­trieb für Unter­neh­men, sich mit der DS-GVO zu beschäf­ti­gen. Bei allem Élan dürf­te es für vie­le den­noch schwie­rig wer­den, alle Anfor­de­run­gen frist­ge­mäß zu erfül­len. Was also tun, wenn ab dem 25. Mai tat­säch­lich Post von den ein­schlä­gig bekann­ten Kanz­lei­en ins Haus geflat­tert kommt?

Ansprü­che aus dem Wett­be­werbs­recht sind umstrit­ten

Die Fra­ge, ob die Kon­kur­renz einen Anspruch auf Unter­las­sen auf Grund von Vor­schrif­ten aus der Daten­schutz-Grund­ver­ord­nung (DS-GVO) haben, rich­tet sich nach dem Wett­be­werbs­recht, ist hoch umstrit­ten und kei­nes­falls rich­ter­lich geklärt. Zu den ein­zel­nen recht­li­chen Fra­ge­stel­lun­gen hat die Kanz­lei Löf­fel Abrar einen her­vor­ra­gen­den Blog­bei­trag geschrie­ben.

Bevor Sie also in einem Anflug von Panik eine Unter­las­sungs­er­klä­rung unter­schrei­ben und die Anwalts­ko­sten der geg­ne­ri­schen Sei­te sowie Scha­dens­er­satz lei­sten, soll­ten Sie sich fol­gen­de Über­le­gun­gen vor Augen füh­ren:

a. Die DS-GVO ist juri­sti­sches Neu­land
Wir befin­den uns auf neu­em Rechts­ge­biet. Egal wie selbst­si­cher die Abmah­nun­gen klin­gen mögen, sei­en sie sich bewusst, dass die Gegen­sei­te nur behaup­tet einen Anspruch zu haben. Ob die­ser Anspruch wirk­lich besteht, müs­sen ein oder meh­re­re Gerich­te ent­schei­den. Genau­so wie Sie über­le­gen müs­sen, ob Sie die Unter­las­sungs­er­klä­rung abge­ben, muss die Gegen­sei­te ent­schei­den, ob sie den Fall wirk­lich vor Gericht brin­gen will. Im schlimm­sten bzw. besten Fall ent­schei­den näm­lich die Gerich­te, dass es kei­ne wett­be­werbs­recht­li­chen Ansprü­che auf Grund von DS-GVO-Ver­stö­ßen gibt und dann ist das gan­ze schö­ne neue Geschäfts­mo­dell der Abmahn­kanz­lei­en zum Teu­fel. Sie kön­nen sich also sicher sein, dass die Gegen­sei­te min­de­stens genau­so viel zu ver­lie­ren hat wie Sie. Den­ken Sie auch dar­an, dass Rich­ter in den mei­sten Fäl­len auch Men­schen sind und denk­bar unge­hal­ten wer­den kön­nen, wenn Sie das Gefühl bekom­men, dass die Gerich­te für unlau­te­re Ansprü­che instru­men­ta­li­siert wer­den sol­len. Wenn Sie zu der Über­zeu­gung gelan­gen, dass die Ansprü­che der Gegen­sei­te defi­ni­tiv unge­recht­fer­tigt sind, lie­ße sich sogar über eine Gegen­ab­mah­nung nach­den­ken.

b. Bewah­ren Sie Ruhe
Wich­tig ist vor allem: bewah­ren sie Ruhe. Die­se Devi­se soll­te im Übri­gen bei allen DSGVO-beding­ten Umset­zungs­maß­nah­men gel­ten.

c. Kon­tak­tie­ren Sie einen Anwalt
Um einen letz­ten Rat­schlag im Fal­le einer Abmah­nung kom­men wir aller­dings trotz­dem nicht her­um: Reden Sie mit einem Anwalt. Mög­lichst einen mit Exper­ti­se im Wett­be­werbs- und Daten­schutz­recht. Denn ob ein Anspruch gerecht­fer­tigt oder unge­recht­fer­tigt ist, kann eben am besten doch ein Rechts­an­walt ent­schei­den.

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der hat am 26. April 2018 ihre Posi­ti­on zum TMG ab dem 25.05.2018 fest­ge­legt. Das Papier ist hier abruf­bar. Kaum über­ra­schen dürf­te es, dass die Auf­sichts­be­hör­den zu dem Ergeb­nis kom­men, dass die Daten­schutz­be­stim­mun­gen des Tele­me­di­en­ge­set­zes (§§ 11 ff TMG) durch die DS-GVO ver­drängt wer­den. Die Ver­öf­fent­li­chung einer kla­ren Posi­ti­on der deut­schen Daten­schutz-Auf­sichts­be­hör­den ist erfreu­lich, da hier­mit ein „zitier­fä­hi­ges“ Papier vor­liegt.

Die Fol­gen der Posi­ti­ons­be­stim­mung der Auf­sichts­be­hör­den wird in der Pra­xis aber erst auf den zwei­ten Blick erkenn­bar. Für Betrei­ber von Inter­net­dien­sten bedeu­tet dies:

  • die §§ 12, 13, 15 TMG bei der Beur­tei­lung der Recht­mä­ßig­keit der Reich­wei­ten­mes­sung und des Ein­sat­zes von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen, kön­nen ab dem 25.Mai 2018 nicht mehr ange­wen­det wer­den.
  • als Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Dien­ste­an­bie­ter von Tele­me­di­en kommt folg­lich nur Arti­kel 6 Absatz 1 DSGVO , ins­be­son­de­re die Ein­wil­li­gung (Buch­sta­be a), die Ver­trags­an­bah­nung oder -erfül­lung (Buch­sta­be b) und das berech­tig­te Inter­es­se (Buch­sta­be f) in Betracht. Dar­über hin­aus sind die all­ge­mei­nen Grund­sät­ze aus Arti­kel 5 Absatz 1 DSGVO („Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz“, „Zweck­bin­dung“, „Daten­mi­ni­mie­rung“, „Rich­tig­keit“, „Spei­cher­be­gren­zung“ und „Inte­gri­tät und Ver­trau­lich­keit“), sowie die beson­de­ren Vor­ga­ben z. B. aus Arti­kel 25 Absatz 2 DSGVO (“Daten­schutz durch durch daten­schutz­freund­li­che
    Vor­ein­stel­lun­gen”) ein­zu­hal­ten.
  • auch § 15 Abs. 3 TMG, wel­che die Erstel­lung von Online-Nut­zungs­pro­fi­len regelt („… für Zwecke der Wer­bung, der Markt­for­schung oder zur bedarfs­ge­rech­ten Gestal­tung der Tele­me­di­en Nut­zungs­pro­fi­le …“), greift nicht mehr

Die Schluß­fol­ge­rung der Auf­sichts­be­hör­den: es bedarf jeden­falls einer vor­he­ri­gen Ein­wil­li­gung beim Ein­satz von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len. Das bedeu­tet, dass eine infor­mier­te Ein­wil­li­gung i. S. d. DSGVO, in Form einer Erklä­rung oder son­sti­gen ein­deu­tig bestä­ti­gen­den Hand­lung vor der Daten­ver­ar­bei­tung ein­ge­holt wer­den muss, d. h. z.B. bevor Coo­kies platz­iert wer­den bzw. auf dem End­ge­rät des Nut­zers gespei­cher­te Infor­ma­tio­nen gesam­melt wer­den.

Die Aus­sa­gen der DSK bedeu­ten kon­kret, dass für eine Nut­zung von Coo­kies – sofern die­se nicht für die rei­ne Funk­tio­na­li­tät der Web­site erfor­der­lich sind (das dür­fen dann aber nur Ses­si­on-Coo­kies sein) – eine aus­drück­li­che, infor­mier­te und frei­wil­li­ge Ein­wil­li­gung erfor­der­lich ist, die den Anfor­de­run­gen des Art. 7 DSGVO erfüllt! Dies dürf­te wesent­li­che Aus­wir­kun­gen auf die Gestal­tung (fast) aller Web­sites haben.