Kernpunkte:
- Coronamaßnahme WLAN-Tracking für „Strandampel“
- Facebook-Fanpages
- Gemeinsame Prüfung von Online-Medien
7 Neue Medien
Ein Querschnittsthema des Datenschutzes betrifft die sogenannten Neuen Medien. Auch wenn sich die Fälle nicht trennscharf von anderen Beschwerden oder Prüfungen abgrenzen lassen, in denen es vielfach auch um Themen der Digitalisierung geht, heben wir einige Punkte in diesem Kapitel heraus, weil besondere Konstellationen vorliegen und teilweise neben der Datenschutz-Grundverordnung auch die ePrivacy-Richtlinie eine Rolle spielt, deren Reform weiter auf sich warten lässt. Im Folgenden berichten wir von der Nutzung von WLAN-Tracking zur Bestimmung der Personendichte als Coronamaßnahme (Tz. 7.1), von Verfahren zu Facebook-Fanpages (Tz. 7.2) und von einer gemeinsamen Prüfung der Datenschutzaufsichtsbehörden im Bereich der Online-Medien (Tz. 7.3).
7.1 Coronamaßnahme WLAN-Tracking zur Bestimmung der Personendichte
Im Zusammenhang mit der Bekämpfung der Coronapandemie haben vereinzelte Ordnungsbehörden in Schleswig-Holstein die dem WLAN-Tracking zugrunde liegende Technik genutzt, um die Personendichte in Freizeiteinrichtungen zu messen und potenzielle Besucher über ein im Internet abrufbares Ampelsystem auf den Grad des Risikos einer zu großen Personendichte hinzuweisen, z. B. am Strand („Strandampel“).
WLAN-Tracking
Erhebung von Daten, die mobile Endgeräte, wie z. B. Smartphones, bei entsprechender Konfiguration aussenden (MAC-Adressen). Die Aussendung von MAC-Adressen durch Endgeräte findet eigentlich statt, um eine schnelle und einfache Verbindung der Endgeräte mit offenen Netzzugangspunkten (z. B. WLAN-Hotspots) zu ermöglichen. Werden diese Daten jedoch von dazu geeigneten Empfangsgeräten, die sich wie ein WLAN-Hotspot darstellen, erhoben und verarbeitet, können die Daten beispielsweise dazu verwendet werden festzustellen, ob und wie viele verschiedene Endgeräte sich an einem Ort aufhalten. Je nachdem welche weitere Verarbeitung stattfindet, lassen sich aus den erhobenen Daten noch weitere Informationen ziehen. Ein typisches Anwendungsfeld ist die Messung von Besucher- oder Kundenströmen.
Beim WLAN-Tracking werden MAC-Adressen der Endgeräte erfasst. Bei MAC-Adressen (auch virtuellen, dynamischen) handelt es sich um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO. Eine Zuordnung ist möglich, auch wenn dies nur mittels eines gewissen technischen Aufwands der Fall ist.
Dieser Fall unterscheidet sich von anderen (siehe auch die Fälle zu Offline-Tracking und Ortung von Mobiltelefonen in einer Fußgängerzone, 37. TB, Tz. 5.4.8) insbesondere durch seinen Zweck: die Coronamaßnahme, eine zu große Personendichte zu erkennen und darauf aufbauend weiter gehende Maßnahmen im Sinne des Infektionsschutzes zu ergreifen, beispielsweise den Zugang zu den Orten einzuschränken. Bezüglich der Zulässigkeit einer solchen Datenverarbeitung und des Risikos für die Rechte und Freiheiten betroffener Personen ist die konkrete Ausgestaltung der Verarbeitung zu berücksichtigen:
Um den vor Ort betroffenen Personen zu ermöglichen, die WLAN-Signalaussendung in den mitgeführten Endgeräten abzuschalten und somit eine Erhebung personenbezogener Daten zu verhindern, können Schilder angebracht werden, die auf den Umstand der Erhebung hinweisen. Eine solche Maßnahme fand sich in einem früheren Entwurf einer Verordnung über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, die die noch gültige entsprechende Richtlinie (ePrivacy-Richtlinie) ablösen soll. Der Verordnungsentwurf sah vor, das Thema WLAN-Tracking gesetzlich zu regeln. Eine Warnbeschilderung war dabei eine von mehreren vorgeschlagenen Maßnahmen.
Weiterhin sind die Pflichtinformationen nach Art. 13 Abs. 1 und 2 DSGVO zu erfüllen. Dies kann etwa durch Aushänge erfolgen.
Eine Verkettungsmöglichkeit der personenbezogenen Daten, die Bewegungsprofile ermöglichen würde, kann dadurch ausgeschlossen werden, dass nicht die erhobenen MAC-Adressen gespeichert werden, sondern diese nach einer Erhebung und Erfassung gelöscht werden und stattdessen eine fortlaufende Nummer im System verwendet wird. Begibt sich eine betroffene Person mit ihrem Endgerät erneut in den Empfangsbereich, wird erneut die dann ausgesendete (gegebenenfalls virtuelle, dynamische) MAC-Adresse erfasst und wieder eine fortlaufende Nummer vergeben. Es wird nicht die Angabe erfasst, dass es sich um dasselbe Smartphone handelt, da ein Abgleich mangels Speicherung nicht möglich wäre. Die fortlaufenden Nummern dienen der Zählung, wie viele Personen den Erfassungsbereich durchschreiten, um pandemiebedingt gegebenenfalls ordnungsbehördlich auf eine zu hohe Besucheranzahl reagieren zu können.
Die Erhebung und weitere Verarbeitung von MAC-Adressen kann in diesem Fall unter bestimmten engen Voraussetzungen zur pandemiebedingten Erfassung durch eine öffentliche Stelle als datenschutzrechtlich Verantwortliche auf die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. e DSGVO in Verbindung mit § 3 Abs. 1 LDSG gestützt werden. Danach ist die Verarbeitung zulässig, soweit diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dabei kann es sich um die Wahrnehmung von ordnungsbehördlichen Aufgaben der Gefahrenabwehr handeln. Die Arbeit der Ordnungsbehörden kann gefördert werden, indem Brennpunkte für eine hohe Besucherdichte auf öffentlichen Plätzen (Eingangsbereiche zu öffentlichen Einrichtungen, Marktplätze) identifiziert werden, um dann Abstandsregeln und andere Verpflichtungen durchsetzen zu können. Die Rechtsgrundlage für eine kurzzeitige Erhebung der MAC-Adressen ist daher im Gefahrenabwehrrecht der Ordnungsbehörden zu suchen.
Ausgehend davon, dass die Befugnis zur Kontrolle der Abstandsregeln durch die datenschutzrechtlich verantwortliche Gemeinde besteht, ist die Bekämpfung der Coronapandemie ein zulässiger Zweck bzw. eine Aufgabe im öffentlichen Interesse nach Art. 6 Abs. 1 Buchst. e DSGVO.
Sichergestellt sein muss, dass eine Verarbeitung personenbezogener Daten zu anderen, damit inkompatiblen Zwecken nicht erfolgt. Eine solche wäre – mangels Rechtsgrundlage – unzulässig.
Mit dem etwaigen künftigen Wegfall einer ordnungsbehördlichen Kontrollbedürftigkeit (nach der Coronapandemie) darf das System der Erfassung von MAC-Adressen nicht mehr genutzt werden, da der zulässige Verarbeitungszweck dieses spezifischen Falls dann nicht mehr besteht.
7.2 Verfahren zu den Facebook-Fanpages
Auf Vorlage des Bundesverwaltungsgerichts hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 05.06.2018 (Rs. C-210/16 „Wirtschaftsakademie“) entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucherinnen und -Besucher.
Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe mit Urteil vom 11.09.2019 das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht (OVG Schleswig) zurückverwiesen. Die Beurteilung der Rechtswidrigkeit der Datenverarbeitung im Zusammenhang mit dem Betrieb der Facebook-Fanpage muss nun nach den gesetzlichen Regelungen (insbesondere nach dem Telemediengesetz) erfolgen, die zum Zeitpunkt der letzten Behördenentscheidung im Jahr 2011 galten. Im Verfahren vor dem OVG Schleswig haben die Beteiligten sich bisher lediglich schriftlich geäußert. Ein Verhandlungstermin wurde noch nicht bekannt gegeben.
Auf Grundlage u. a. des EuGH-Urteils „Wirtschaftsakademie“ hat der Europäische Datenschutzausschuss (EDSA) „Guidelines on the targeting on social media users“ verabschiedet (siehe auch Tz. 11.2) und darin ausgeführt, welchen Verpflichtungen gemeinsam Verantwortliche unterliegen. Bezüglich der Verpflichtung, eine Vereinbarung nach Artikel 26 DSGVO zu treffen, und zu der Frage der Rechtsgrundlage heißt es dort:
„If, for example, the controller is considering to rely on Article 6(1)(f) GDPR as a legal basis, it is necessary, among other things, to know the extent of the data processing in order to be able to assess whether the interest of the controller(s) are overridden by the interests or fundamental rights and freedoms of the data subjects. Without sufficient information concerning the processing, such an assessment cannot be performed. The importance of including or referencing the necessary information in the context of a joint arrangement cannot be overstated, especially in situations where one of the parties almost exclusive has the knowledge and access to the information necessary for both parties to comply with the GDPR.“ (Guidelines 08/2020 on the targeting of social media users, Seite 33 f.)
Auf den Fall der Facebook-Fanpages bezogen, bedeutet dies, dass die Fanpage-Betreiber ausreichende Informationen erhalten müssen, um die Interessen und Rechte und Freiheiten der betroffenen Personen abschätzen zu können.
Diese Informationen über die Datenverarbeitung durch Facebook gehören demnach in die Vereinbarung nach Artikel 26-DSGVO, die jeder Fanpage-Betreiber mit Facebook schließen muss.
Die Leitlinien sind unter dem folgenden Link abrufbar:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_de
Kurzlink: https://uldsh.de/tb39-7-2
7.3 Gemeinsame Prüfung der Gestaltung der Webseiten von Online-Medien
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in der Vergangenheit wiederholt kritisch darauf hingewiesen, dass der Gesetzgeber Art. 5 Abs. 3 ePrivacy-Richtlinie (2002/58/EG, zuletzt geändert durch die Richtlinie 2009/136/EG, auch als „Cookie-Richtlinie“ bezeichnet) nicht oder nicht ordnungsgemäß umgesetzt hat. Nach Art. 5 Abs. 3 der Richtlinie haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Ausnahmen von diesem grundsätzlichen Einwilligungserfordernis greifen nur dann, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Das deutsche Recht bildet die klaren Vorgaben der ePrivacy-Richtlinie im Telemediengesetz bis heute nicht ab. Stattdessen findet sich in § 15 Abs. 3 TMG die Vorgabe, dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden dürfen, sofern die Nutzerinnen und Nutzer dem nicht widersprechen.
Die DSK hat bereits im April 2018 in der Positionsbestimmung „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ den Standpunkt vertreten, dass die Datenschutzvorschriften des Telemediengesetzes neben der Datenschutz-Grundverordnung (DSGVO) nicht mehr anwendbar sind. Eine ausführliche Begründung zu dieser Rechtsauffassung wurde von der DSK in der Orientierungshilfe für Anbieter von Telemedien im März 2019 veröffentlicht (Positionsbestimmung der DSK vom 26. April 2018 „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“).
Die Orientierungshilfe ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
Kurzlink: https://uldsh.de/tb39-7-3
Mit Urteil vom 01.10.2019 hat der Europäische Gerichtshof (EuGH) auf Vorlage des Bundesgerichtshofs (BGH) entschieden, dass keine wirksame Einwilligung im Sinne der ePrivacy-Richtlinie und der DSGVO vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät der Nutzerin oder des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das die Nutzerin oder der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (EuGH, Urteil vom 01.10.2019, Rs. C-673/17 „Planet49“).
Ausgehend von diesem Urteil hat der BGH mit Urteil vom 28.05.2020 die Vorschrift des § 15 Abs. 3 TMG mit dem Ziel einer europarechtskonformen Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie ausgelegt und angenommen, dass in dem Fehlen einer wirksamen Einwilligung ein solcher Widerspruch gesehen werden könne, weshalb in solchen Fällen, die § 15 Abs. 3 TMG regelt, eine aktive Einwilligung erforderlich sei (BGH, Urteil vom 28.05.2020 – I ZR 7/16).
Nach der Veröffentlichung der Orientierungshilfe der DSK sowie nach der Verkündung der Urteile von EuGH und BGH erreichte uns eine Vielzahl von Kontrollanregungen und Beschwerden in Bezug auf die Gestaltung von Webseiten schleswig-holsteinischer Verantwortlicher, bei denen in den allermeisten Fällen die Vorgaben nicht oder nicht hinreichend eingehalten wurden. Im Jahr 2020 hat die Landesbeauftragte daher zahlreiche Verfahren geführt, um die jeweils Verantwortlichen dazu zu bringen, die von ihnen verantwortete Datenverarbeitung beim Betrieb ihrer Webseite mit den rechtlichen Vorgaben in Einklang zu bringen.
Ein wiederkehrender Fehler besteht darin, dass Verantwortliche in Bezug auf einwilligungsbedürftige Cookies auf ihren Webseiten – wenn überhaupt – lediglich auf deren Verwendung hinweisen, aber keine vorherige wirksame Einwilligung durch aktives Tätigwerden der Nutzerinnen und Nutzer vorsehen. Häufig werden nur sogenannte Cookie-Banner verwendet, die sich durch Nutzerinnen und Nutzer lediglich mit „OK“ oder ähnlich bestätigen lassen. Auch gibt es vereinzelt immer wieder Unklarheiten hinsichtlich der Frage, welche Datenverarbeitungsvorgänge einwilligungsbedürftig sind.
Neben einer Vielzahl an Verfahren, die aufgrund von Beschwerden angestoßen worden sind, haben wir gemeinsam mit den Aufsichtsbehörden anderer Bundesländer im Rahmen einer koordinierten Prüfung den Sektor der hiesigen Online-Medien anhand einer Auswahl Verantwortlicher einer Prüfung unterzogen. Nach Einleitung von Verfahren wurden teilweise bereits umfangreiche Änderungen an den Webseiten vorgenommen. Die Prüfergebnisse werden zurzeit ausgewertet.
Was ist zu tun?
Sofern Verantwortliche Cookies und ähnliche Technologien auf ihren Webseiten oder Smartphone-Anwendungen einsetzen wollen, die einwilligungsbedürftig sind, haben sie sicherzustellen, dass Nutzerinnen und Nutzer in diese Verarbeitung aktiv und wirksam einwilligen, bevor die Datenverarbeitung durchgeführt wird. Ein bloßer Hinweis – auch unter Verweis auf eine anderenorts mögliche Widerspruchsmöglichkeit – genügt bei einwilligungsbedürftigen Datenverarbeitungen nicht.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |