Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Mitautorin: Ulrike Berger*

Sie ist da. Die stark herbeigesehnte Entscheidung des Bundesgerichtshof zur Frage, wie mit der Speicherung von Cookies und etwaigen Einwilligungen umzugehen sei (BGH, Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“). Bislang liegt allerdings nur die diesbezügliche Pressemitteilung des BGH vor. Auf die Urteilsgründe werden wir noch warten müssen.

Auf Basis dessen jedoch in aller Kürze eine erste Einordnung des Urteils:

Das Urteil des BHG geht auf einen Fall aus dem Jahr 2013 zurück. Dort ging es (unter anderem) um die Frage der Einwilligung für ein Analyse-Cookie, das die Auswertung des Surf- und Nutzungsverhaltens ermöglicht. Es musste darüber befunden werden, ob ein Opt-Out (das digitale Häkchen für die Einwilligung war bereits gesetzt und hätte vom Nutzer rausgenommen werden können) für eine Einwilligung ausreichend sei. Der BGH legte hier dem EuGH die Frage vor, ob diese Opt-Out-Einwilligungen nach diversen EU-Richtlinien und Verordnungen zulässig sei. Der EuGH beschied, dass ein Opt-Out keine wirksame Einwilligung im Sinne der EU-Vorgaben darstelle. Mit der Entscheidung des EuGH, dem zu Grunde liegenden Sachverhalt sowie der entscheidenen sog. „Cookie-Richtlinie„, auch ePrivacy-Richtlinie genannt, hatte ich mich im Rahmen des Artikels Zum EuGH Urteil „Planet49“, Az. C-673/17 – Benötigen Cookies ab jetzt immer einer Einwilligung? (Spoiler: Nein) bereits im Oktober 2019 ausführlich auseinandergesetzt.

Wenig überraschend hat der BGH nun, basierend auf eben dieser Entscheidung des EuGH, entschieden, dass im konkreten Fall keine wirksame Einwilligung in das Analyse-Cookie zur Auswertung des Surf-Verhaltens vorlag. Obwohl der Fall vor Inkrafttreten der DSGVO spielt, sagt der BGH, dass auch nach aktueller Rechtslage keine wirksame Einwilligung vorliegt, wenn das Kreuzchen gesetzt ist und der Nutzer es abwählen müsste. All dies hatten wir bereits in dem oben genannten Artikel auch so erläutert.

Viel interessanter ist die eben herbeigesehnte Beurteilung bzw. Auslegung des noch geltenden § 15 Abs. 3 TMG, wonach eine Opt-Out-Lösung bei pseudonymen Profilen für die Marktforschung (aka Nutzungs-Analysen) ausreicht. Dies stand und steht in Widerspruch zu der Anforderung der Cookie-Richtlinie sowie – soweit personenbezogene Daten betroffen sind – zur DSGVO, der der Gesetzgeber wurde hier jedoch dennoch seit 2009 nicht tätig. (siehe dazu im Einzelnen der o.g. Artikel zum EuGH Urteil Planet 49).

Der BGH hat nun – laut Pressemitteilung – entschieden, dass § 15 Abs. 3 TMG richtlinien entsprechend konform auszulegen sei:

„§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“ (Pressemitteilung des BGH vom 28.05.2020 zur Entscheidung I ZR 7/16).

Genau  diese Auslegung hatte ich zwar im Ergebnis** erwartet, da eine andere Auslegung EU-rechtswidrig wäre (siehe die Ausführungen hier), allerdings ist sie doch, nun ja, „interessant“. Schließlich steht in § 15 Abs. 3 TMG exakt das Gegenteil. Laut § 15 Abs. 3 TMG genügt ein Opt-Out. Der BGH sagt aber nun, dass § 15 Abs. 3 TMG einer Einwilligung nach Art. 5 Abs. 3 S.1 der Cookie-Richtline bedürfe. Und da eine Einwilligung, siehe die vorgehenden Ausführungen, eben nicht per Opt-Out eingeholt werden könne, bedarf es nun mehr auch hier eines Opt-Ins. Aber der BGH sagt, mit dem Wortlaut des § 15 Abs. 3 TMG sei eine solche richtlinien-konforme Auslegung noch vereinbar. Na, und wenn der BGH das sagt, dann können wir nur „We serve and obey“ sagen. (Sollten Sie JurastudentIn sein, dann sehen Sie bitte in den Klausuren eher davon ab, derartige Auslegungen vorzunehmen, es sei denn, Sie können den BGH gleich dazu zitieren. 😉 )

Dieser leichte Spott nur am Rande. Das Ergebnis halte ich für richtig (auch wenn es absolut egal ist, ob ich das Urteil des BGH für richtig oder falsch halte, aber man freut sich doch immer ein kleines bißchen, wenn die eigene Prädiktion zutreffend ist. 🙂 )

Ein Disclaimer aber an dieser Stelle: Bis jetzt liegt nur die Pressemitteilung des BGH vor. Allein auf diese stützen sich die vorstehnenden Ausführungen. Es bleibt abzuwarten, ob sich nicht aus den Urteilsgründen noch etwas anderes ergibt. Das ist leider auch schon vorgekommen. Sollte dies so sein, werden Sie hier an dieser Stelle weitere Informationen finden.

Und last but not least: Nur Cookies im Sinne von Art. 5 Abs. 3 S. 1 „Cookie-Richtlinie“ bedürfen einer Einwilligung. Eine Einwilligung ist hingegen nicht erforderlich, wenn es sich sich gemäß Art. 5 Abs. 3 S. 2 „Cookie-Richtlinie“ um Cookies handelt, die unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann (siehe dazu ausführlich hier.)

Ok, doch noch einen weiteren Satz: Damit werden sich die Vermarkter jetzt auf den Hosenboden setzen und endlich rechtskonforme Angebote schaffen müssen. Denn der Verweis auf § 15 Abs. 3 TMG taugt nun endgültig nicht mehr.

Ergänzung vom 29.05.2020 für Unternehmen:

Für Unternehmen, insbesondere auch solche, die mit verschiedenen Werbenetzwerken zusammenarbeiten, bedeutet dies auch, dass sie genau prüfen müssen, ob die von Ihnen verwendeten Tracking-Technologien (Art. 5 Abs. 3 „Cookie-Richtlinie“ spricht von „Speicherung von Informationen oder Zugiff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“) Art. 5 Abs. 3 S. 1 oder Art. 5 Abs. 3 S. 2 Cookie-Richtlinie unterfallen – und damit, ob Einwilligungen von den Nutzern einzuholen sind. (Spoiler: In den meisten Fällen schon.)

Ergänzung vom 29.05.2020 zur Frage, ob § 15 Abs. 3 TMG in Auslegung nach Art. 5 Abs. 3 „Cookie“-Richtlinie den Einsatz von Cookies abschließend regelt.

Die vorgenannte Prüfung ist unabhängig davon vorzunehmen, ob personenbezogene Daten verarbeitet werden oder nicht. Wenn aber auch noch personenbezogene Daten verarbeitet werden, dann ist nicht nur der jeweilige Anwendungsbereich von Art. 5 Abs. 3 S.2 der EU-Richtlinie, sondern auch noch zu prüfen, ob eine Rechtsgrundlage zur Datenverarbeitung im Sinne von Art. 6 DSGVO vorliegt. Des Weiteren muss über eine solche Verarbeitung von personenbezogenen Daten natürlich in den Informationen zur Datenverarbeitung nach Art. 12, 13 DSGVO aufgeklärt werden.  Zwar wird zuweilen von Kommentatoren aus dem Satz in der Pressemitteilung des BGH „An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt.„, dass bei der Verarbeitung von Cookies, gleich ob diese personenbezogene Daten verarbeiten oder nicht, die DSGVO keine Anwendung fände. Das ist – meines Erachtens – nicht richtig. Art. 5 Abs. 3 der EU-Richtlinie regelt nur die Frage, ob die „die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ einer Einwilligung bedürfen. Wenn personenbezogene Daten betroffen sind, dann sind weiter die Voraussetzungen der DSGVO zu prüfen. Hieran ändert auch der Wortlaut des § 15 Abs. 3 TMG nichts, der von „pseudonymen Nutzungsprofilen“ spricht. Denn Art. 5 Abs. 3 EU-Richtlinie regelt gerade nicht die Verarbeitung von personenbezogenen Daten, so dass hier ergänzend die DSGVO Anwendung findet. Dass dies vom EuGH genauso gesehen wird, zeigt bspw. die Entscheidung Planet49, die in den Entscheidungsgründen überhaupt nicht auf § 15 Abs. 3 TMG abstellt.

In diesem Sinne,

auf bald!

*Ulrike Berger ist Rechtsanwältin bei MÖHRLE HAPP LUTHER und blickt auf mehr als zehn Berufsjahre im IT- und Datenschutzrecht zurück.

** Ich hätte an sich erwartet, dass § 15 Abs. 3 TMG für unvereinbar mit der EU-Richtlinie erklärt und damit § 15 Abs. 3 TMG für nicht anwendbar durch den BGH erklärt wird, so dass ePrivacy-Richtlinie („Cookie“-Richtlinie) unmittelbare Anwendung findet. Zu dem „Ergebnis“ kommt der BGH praktisch auch dadurch, dass er sagt, der Wortlaut müsse im Sinne von Art. 5 Abs. 3 S.1 Cookie-Richtlinie ausgelegt werden. Wie oben dargestellt hinterlässt diese Auslegung allerdings dogmatisches Stirnrunzeln und man fragt sich, warum der BGH diesen Weg gegangen ist.

Wer den Newsletter dieses Blogs abonniert hat oder mir auf Twitter oder LinkedIn folgt, der weiß, dass sich am vergangenen Freitag auf Initiative von Peter Hense und Johannes Nehlsen nicht nur das #TeamDatenschutz zum 1. virtuellen Stammtisch traf, sondern ich dort auch mit einem Beitrag zur „Datenübermittlung im Konzern“ vertreten war. Ehrlich gesagt, gingen wir von einem familiären, nerdigen Treffen mit 20, maximal 40 TeilnehmerInnen, aus und waren in Folge dessen von den mehr als 150 FachteilnehmerInnen wirklich überrascht. Ebenso groß war natürlich die Freude, dass das Format so gut ankam.  Oder wie Peter es auf Twitter ausdrückte „Es braucht offenbar keine EUR 1000/Tag-Veranstaltung, um mit Kollegen zu plaudern.„. Es steht auch schon fest, es wird eine Wiederholung geben. Mit anderen Themen und anderen ReferentInnen. (Wer Interesse hat: Einfach Johannes Nehlsen auf Twitter folgen!)

Doch nun weg vom famosen Stammtisch (dennoch: Danke nochmal, Johannes, für Deine Orga!) hin zu meinem Beitrag und dem oben stehenden Titel: „Datenübermittlung  im Konzern“. Auf das Thema kam ich,  da ich schon seit Ewigkeiten einen recht umfangreichen Aufsatz dazu in der Schublade liegen habe. So umfangreich, dass er für eine Zeitschrift zu lang ist. Leider auch zu kurz, um ein Büchlein draus werden zu lassen. Und natürlich wäre es möglich zu kürzen oder das Ganze noch weiter aufzubohren. Aber woher all die Zeit nehmen und nicht stehlen? Und dann die Absprachen mit den Verlagen. Kürzer? Welcher Fokus? Länger? Wohin denn bitte? Und ach ja, da sind wir wieder beim Problem der nicht vorhandenen Zeit. Und so nahm ich den virtuellen Stammtisch als Anlass, meine Gedanken dort einmal in die Runde zu schicken. Unvorsichtigerweise fragte ich danach, ob Interesse bestünde, das Ganze noch einmal ausführlicher in Form eines Aufsatzes nachlesen zu können, den ich einfach zur Diskussion auf den Blog stellen könne. Die Antwort lautete „Ja!“.

Und da habe ich nun an diesem Sonntag den Salat. Natürlich dauert die „kurze“ Überarbeitung für die Online-Stellung schon den ganzen Nachmittag und ich fürchte, ich habe einen Sonnenbrand auf der Stirn (was tue ich nicht alles für den Datenschutz!1!11).  Aber hier ist er nun, frisch gedruckt, äh, in das Internet gestellt:

Datenübermittlung im Konzern

Rechtsgrundlagen und formelle Anforderungen

Oder auch: Existiert ein Konzernprivileg und sind Intercompany-Verträge eine Lösung?

Ja, der Aufsatz hat nun keine rechtswissenschaftliche Redaktion durchlaufen. Aber wir machen das jetzt einfach wie die Virologen. Der Aufsatz wird online gestellt und muss sich dem kritischen Auge der fachlich versierten LeserInnen stellen. Ich freue mich auf Kritik, Ergänzungen oder am besten vollständige Erwiderungen an anderer Stelle. Und ja, natürlich noch mehr über Zustimmungen. 😉 (Und wer weiß, vielleicht sind wir 2020 ja auch so weit, dass Gedankengänge, die nicht zuerst auf Papier gedruckt wurden, einmal Eingang in die klassischen Literaturempfehlungen finden. Die Hoffnung stirbt bekanntermaßen zuletzt…)

Der Aufsatz hat nun natürlich auch kein Lektorat gesehen. Ich bitte also, sämtliche Typos etc. zu verzeihen. Wenn ich dazu kommen sollte, stelle ich vielleicht die Tage auch noch mal eine korrigierte Fassung bereit.

Nun wünsche ich erst einmal viel Spaß beim Lesen!

Last but not least, an meine interessierten Laien-Leser: Es handelt sich wirklich um einen juristischen Aufsatz. Sie können den gerne lesen. Aber suchen Sie nicht die gleiche Verständlichkeit wie sonst im Blog. Vielleicht machen wir auch noch mal eine Blog-Fassung daraus, versprechen möchte ich an dieser Stelle aber nichts.

In diesem Sinne,

so oder so, auf bald!

 

Mitautor: Tobias Pollmann*

Während es in den letzten Beiträgen wieder vermehrt um Datenschutz im engeren Sinne und dabei vor allem ein datenschutzgerechtes sowie datensicheres Homeoffice ging (Teil 1 und Teil 2!), wenden wir uns heute maßgeblich dem Arbeitsschutz zu. Allerdings nicht ohne doch noch auch in diesem Zusammenhang auf den Datenschutz zurückzukommen.

Am Mittwoch, den 15.04.2020 verkündete die Bundesregierung gemeinsam mit den Ministerpräsident*innen die ersten Lockerungen der strengen Maßnahmen zur Eindämmung der Coronakrise. Damit jedoch das langsame „Hochfahren“ der Wirtschaft nicht schiefgeht und in kürzester Zeit die Lockerungen uns erneut an den Rand des Zusammenbruchs führen, bedarf es – nicht nur, aber auch – einiger einheitlicher Regeln zum Schutz der Arbeitnehmer*innen vor dem Coronavirus in den Betrieben. Diesem Thema hat sich das zuständige Bundesministerium für Arbeit und Soziales (BMAS) angenommen und am Donnerstag, den 16.04.2020 ein Papier mit dem Titel „SARS-CoV-2-Arbeitsschutzstandard“ vorgestellt.

Welche rechtlichen und tatsächlichen Implikationen dieses Papier hat, haben wir uns für Sie angeschaut.

Den ganzen Artikel lesen.

Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

  • Regelungen zum Home Office
  • IT- und Datenschutzrichtlinie
  • Dokumentation über Meldepflichten bei einer Datenpanne
  • Verpflichtung auf Vertraulichkeit nach dem Datenschutz
  • Auftragsverarbeitungsvereinbarungen
  • Information zur Datenverarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

1 2 3 29

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.