11

Kernpunkte:

  • Leitlinien aus Europa zu Targeting
  • Leitlinien aus Europa zu Datenpannen
  • Stand zur ePrivacy-Verordnung

11  Europa  und Internationales

Für ein einheitliches Verständnis und eine einheitliche Anwendung der DSGVO ist eine Abstimmung unter den Aufsichtsbehörden der EU-Mitgliedstaaten notwendig. Dies geschieht im Europäischen Datenschutzausschuss (EDSA). Der EDSA veröffentlicht beispielsweise Guidelines (Leitlinien) und Empfehlungen, die in Arbeitsgruppen (Expert Subgroups) erarbeitet werden. Das ULD ist als Vertreter der Datenschutzaufsichtsbehörden der Länder Mitglied in der Key Provisions Expert Subgroup, die sich grundsätzlichen Fragen widmet. Als stellvertretender Ländervertreter arbeitet das ULD in der Technology Expert Subgroup mit, die sich mit Informations- und Kommunikationstechnologien beschäftigt. Ländervertreter haben insbesondere die Aufgabe, Auffassungen aus allen Bundesländern zu Auslegungsfragen einzuholen und Formulierungen abzustimmen. Auch an weiteren Unterarbeitsgruppen und zu spezifischen Themen (beispielsweise zu Zertifizierung, Tz. 9.3) beteiligt sich das ULD auf europäischer Ebene, soweit dies mit den zur Verfügung stehenden beschränkten Ressourcen möglich ist.

 

11.1        Guidelines aus Europa – Finalisierung zu Targeting in sozialen Medien

Die Arbeiten an den „Leitlinien 8/2020 über die gezielte Ansprache von Nutzer:innen sozialer Medien“ sind abgeschlossen (39. TB, Tz. 11.2). Eine deutsche Version ist mittlerweile auf den Webseiten des EDSA abrufbar.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_de
Kurzlink: https://uldsh.de/tb40-11-1

Targeting
Unter dem Begriff ‚Targeting‘ (auch Microtargeting) werden Dienste zur gezielten, meist werblichen Ansprache von Nutzenden in sozialen Netzwerken oder auf Webseiten verstanden.
Damit wird es natürlichen oder juristischen Personen, die in dem Dokument des EDSA als „Targeter“ bezeichnet werden, ermöglicht, spezifische Botschaften an die Nutzenden sozialer Medien oder Webseiten zu übermitteln, um kommerzielle, politische oder sonstige Interessen zu fördern. Je detaillierter das zugrunde liegende Profil über eine Person ist, desto passgenauer können Botschaften an die jeweiligen Nutzenden angepasst werden und desto höher ist die Wahrscheinlichkeit, dass die beworbenen Produkte oder Dienstleistungen tatsächlich nachgefragt werden.
Diese Dienste werden häufig zur werblichen Ansprache verwendet, um Nutzenden passgenaue Werbung anzuzeigen, aber auch im politischen Meinungskampf werden diese Dienste vermehrt genutzt.
Umfangreich eingesetzt und auch untersucht wurde Microtargeting unter anderem im Zusammenhang mit der Volksabstimmung zum Brexit. Detaillierte Informationen dazu finden sich z. B. auf der Webseite der Aufsichtsbehörde für Großbritannien, Information Comissioner‘s Office (ICO).
Link: https://ico.org.uk/ [Extern]

Im Rahmen einer öffentlichen Konsultation hatte der EDSA eine Vielzahl an Rückmeldungen insbesondere von Wirtschaftsunternehmen und verbänden, Nichtregierungsorganisationen, Verbraucherschutzorganisationen sowie Akteuren der Wissenschaft erhalten. Nach Sichtung und Auswertung der Rückmeldungen wurden die Leitlinien final abgefasst. Dabei wurden die Rückmeldungen berücksichtigt und teilweise Änderungen am Text vorgenommen.

Die Leitlinien beleuchten vor dem Hintergrund der Entscheidungen des Europäischen Gerichtshofs zu Fragen der gemeinsamen Verantwortlichkeit, wie die Rollen der Akteure im Bereich des Targeting (auch „Micro-Targeting“ oder „gezielte Ansprache“ genannt) zu beurteilen sind und welche rechtlichen Konsequenzen sich daraus für die Beteiligten ergeben. Die Urteile in den Rechtssachen Wirtschaftsakademie (C-210/16), Jehovan todistajat (C-25/17) und Fashion ID (C40/17) sind hierbei von besonderer Bedeutung. Die Leitlinien fokussieren sich dabei maßgeblich auf die Social-Media-Anbieter und die sogenannten Targeter, d. h. diejenigen, die Social-Media-Dienste nutzen, um auf der Grundlage bestimmter Parameter oder Kriterien bestimmte (Werbe-)Botschaften gezielt an eine Gruppe von Social-Media-Nutzenden zu richten.

Nach einer Darstellung der verschiedenen Targeting-Techniken (Targeting auf Grundlage bereitgestellter, beobachteter oder abgeleiteter Daten sowie einer Kombination dieser Daten) wird anhand von Beispielen dargelegt, welche Rollen die jeweils Beteiligten einnehmen und welche damit einhergehenden Anforderungen eingehalten werden müssen, damit die Beteiligten datenschutzkonform handeln.

Da die Rolle des datenschutzrechtlich Verantwortlichen zentral für die DSGVO ist (siehe auch Tz. 11.4), muss klargestellt werden, für welche Verarbeitungsschritte eine (gemeinsame) Verantwortlichkeit besteht. Den Verantwortlichen treffen nämlich sämtliche Pflichten aus der DSGVO für von ihm (auch in gemeinsamer Verantwortung) verantwortete Datenverarbeitungen. Dies betrifft vor allem die Pflicht, die Rechtmäßigkeit der Verarbeitung sicherzustellen und dies auch nachweisen zu können.

Auch vor dem Hintergrund, dass aufgrund der ungleich größeren tatsächlichen Einwirkungs- und Gestaltungsmöglichkeiten des Social-Media-Anbieters dort auch ein wesentlich höherer Grad der Verantwortlichkeit gegeben ist, lässt das die Verantwortlichkeit der Targeter nicht entfallen. Dies ändert sich auch dann nicht, wenn kaum eine Möglichkeit für Targeter besteht, Bedingungen auszuhandeln oder Änderungen an Standardvereinbarungen vorzunehmen.

Gemeinsam Verantwortliche müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Der EDSA ist der Ansicht, dass die Vereinbarung zwischen den Targetern und den Anbietern sozialer Medien alle Verarbeitungsvorgänge umfassen sollte, für die sie gemeinsam verantwortlich sind (d. h. die unter ihrer gemeinsamen Kontrolle stehen). Durch den Abschluss einer nur oberflächlichen und unvollständigen Vereinbarung würden die Targeter und die Social-Media-Anbieter gegen ihre Verpflichtungen aus Artikel 26 DSGVO verstoßen. Zur Erarbeitung einer umfassenden Vereinbarung müssen sowohl der Social-Media-Anbieter als auch der Targeter die durchgeführten spezifischen Datenverarbeitungsvorgänge kennen und ausreichend detaillierte Informationen darüber haben.

Ohne ausreichende Informationen über die Verarbeitung kann eine Bewertung über die Rechtskonformität nicht vorgenommen werden. Verantwortliche können so ihrer Rechenschaftspflicht nicht nachkommen.

Was ist zu tun?
Wer eine gezielte Ansprache (Targeting) von Nutzenden auf Social Media Plattformen betreiben möchte, muss sicherstellen, dass er die rechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten zu diesen Zwecken einhält, da eine Verantwortlichkeit der Werbetreibenden (Targeter) in diesen Fällen gegeben ist. Die Leitlinien des EDSA zeigen anhand von Beispielen auf, wie die Rollen der Beteiligten zu sehen sind und welche Pflichten sich daraus ergeben.

 

11.2        Guidelines aus Europa – Data Breach Notifications

Verletzung des Schutzes personenbezogener Daten (Datenpanne)
Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Täglich erhalten wir Meldungen nach Artikel 33 DSGVO über Verletzungen des Schutzes personenbezogener Daten (auch als Datenpannen bezeichnet).

Häufig wenden sich Verantwortliche an uns, weil Unsicherheiten angesichts der Risikoeinschätzung bestehen, ob ein eingetretener Vorfall beim Verantwortlichen die Meldepflicht nach Artikel 33 DSGVO an die Landesbeauftragte für Datenschutz auslöst.

Auch ist einigen Verantwortlichen nicht klar, ob zusätzlich eine Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Artikel 34 DSGVO notwendig ist.

Die Unsicherheit der Verantwortlichen in der Abgrenzung sowohl bei der Meldung an die Aufsichtsbehörde als auch hinsichtlich der Benachrichtigung der betroffenen Personen wurden in den anderen Mitgliedstaaten ähnlich wahrgenommen. Zwar existieren bereits Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten, die noch von dem Vorgängergremium des EDSA, der Artikel-29-Datenschutzgruppe, erstellt und vom EDSA übernommen wurden.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-personal-data-breach-notification-under_de [Extern]
Kurzlink: https://uldsh.de/tb40-11-2a

Es hat sich jedoch gezeigt, dass Bedarf an weiterer Orientierung besteht. Aus diesem Grund hat der EDSA im Jahr 2021 neue Leitlinien mit diversen Fallbeispielen veröffentlicht und einem Konsultationsverfahren zugeführt.

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_de [Extern]
Kurzlink: https://uldsh.de/tb40-11-2b

Die Konsultationsfrist ist mittlerweile abgelaufen, die Rückmeldungen werden analysiert und bei Abfassung des finalen Dokuments berücksichtigt. Mit der Veröffentlichung einer endgültigen Version ist im ersten Quartal 2022 zu rechnen.

Was ist zu tun?
 Im Fall von Verletzungen des Schutzes personenbezogener Daten müssen die datenschutzrechtlichen Anforderungen an eine Meldung an die Aufsichtsbehörde und gegebenenfalls an eine Benachrichtigung der betroffenen Personen erfüllt werden. Hilfestellung geben die Veröffentlichungen des Europäischen Datenschutzausschusses.

 

11.3        Stand zur ePrivacy-Verordnung

Eigentlich schon für 2018 geplant, aber noch immer nicht da: die ePrivacy-Verordnung. Auch unter der Ratspräsidentschaft Deutschlands hat es keine wesentliche Entwicklung in Bezug auf die geplante Verordnung zum Schutz personenbezogener Daten in der elektronischen Kommunikation (ePrivacy-Verordnung) gegeben, die dazu geführt hätten, dass ein seit langem herbeigesehntes Regelwerk für diesen so relevanten Bereich der Datenverarbeitung verabschiedet worden wäre.

Die Entwicklungen im Rahmen der Gesetzgebung veranlassten den EDSA jedoch dazu, seine Position zu einigen Punkten darzulegen. Daher veröffentlichte der EDSA im März 2021 eine Erklärung dazu:

https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-032021-eprivacy-regulation_de [Extern]
Kurzlink: https://uldsh.de/tb40-11-3

So betont der EDSA erneut, dass es zügig einheitlicher Vorschriften für den Bereich der elektronischen Kommunikation bedarf. Eine Vielzahl der Beschwerden, die die mitgliedstaatlichen Aufsichtsbehörden erreichen, haben nämlich direkten oder unmittelbaren Bezug zu Verarbeitungen im Internet.

Der EDSA weist darauf hin, dass bei Webseiten die Bestimmungen über die Einwilligung nach der DSGVO gelten (siehe auch Tz. 7.2). Damit eine Einwilligung wirksam ist, muss sie insbesondere freiwillig sein. Aus diesem Grund vertritt der EDSA die Ansicht, dass unlautere Praktiken, die den Zugang zu Diensten und Funktionen von der Einwilligung einer Nutzerin oder eines Nutzers in die Speicherung von Informationen im eigenen Gerät oder dem Zugang zu bereits darin gespeicherten Informationen abhängig machen (sogenannte „Cookie Walls“), verhindert werden müssen.

Der EDSA ist der Ansicht, dass von Verantwortlichen verlangt werden kann, faire Alternativen zu Angeboten mit Tracking und Profiling anzubieten. Dies solle für alle Diensteanbieter gleichermaßen gelten, unabhängig von ihrem Tätigkeitsbereich oder ihrem derzeitigen Finanzierungsmodell.

Nach jetziger Rechtslage ist es nur in sehr begrenztem Umfang zulässig, eine Verarbeitung personenbezogener Daten zur Reichweitenmessung ohne vorherige Einwilligung durchzuführen. Der EDSA fordert daher, dass eine gesetzliche Regelung geschaffen wird, die vorgibt, welche Arten der Reichweitenmessung ohne vorherige Einwilligung zulässig sind. Dabei müsse aber sichergestellt sein, dass eine solche Regelung nur solche Verarbeitungen erlaubt, die für die Auswertung der Leistung des vom Nutzer angefragten Dienstes zwingend erforderlich sind, und sollte sich daher ausschließlich auf die Bereitstellung von Statistiken für den Dienstebetreiber beschränken. Eine Regelung, die in diese Richtung ging, fand sich zwischenzeitlich auch in Entwürfen zur Verordnung.

Eine Reichweitenmessung dürfe weder allein noch in Kombination mit anderen Tracking-Lösungen zu einem gezielten Herausgreifen oder zu einem Profiling von Nutzenden durch den Anbieter oder andere Verantwortliche führen.

Darüber hinaus dürfe ein solcher Dienst für Reichweitenmessung es nicht ermöglichen, Daten zum Surfverhalten von Nutzenden über verschiedene Websites oder Anwendungen hinaus zu sammeln. Außerdem sollte es einen nutzungsfreundlichen Opt-out-Mechanismus in Bezug auf jegliche diesbezügliche Datenerhebung geben.

Bis es soweit sein wird, dass eine Überarbeitung der ePrivacy-Richtlinie erfolgt ist, gilt die bisherige Richtlinie fort. Mit Inkrafttreten des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) am 1. Dezember 2021 hat der deutsche Gesetzgeber nun endlich die Vorgaben der ePrivacy-Richtlinie umgesetzt. § 25 TTDSG setzt die dortigen Vorgaben zu Cookies um (siehe Tz. 7.2).

 

11.4        Guidelines aus Europa – Verantwortlicher und Auftragsverarbeiter

Das ULD vertritt die Bundesländer in der sogenannten Key Provisions Expert Subgroup (KEYP ESG). Die Arbeitsgruppe befasst sich mit der Auslegung der Kernbegriffe und wesentlicher Regelungen der DSGVO und berät andere Arbeitsgruppen des EDSA zu den Grundsätzen.

Verantwortlicher
ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Im Jahr 2021 hat die KEYP ESG die Arbeit an den Leitlinien 7/2020 über Verantwortliche und Auftragsverarbeiter abgeschlossen (siehe 38. TB, Tz. 11.1). Die Begriffe „Verantwortlicher“, „gemeinsam Verantwortliche“ und „Auftragsverarbeiter“ spielen im Datenschutzrecht eine wesentliche Rolle, denn mit ihrer Hilfe wird bestimmt, wer für die Einhaltung der gesetzlichen Vorgaben bei einer Verarbeitung personenbezogener Daten verantwortlich ist.

Die Verantwortlichkeit kann nur so weit vertraglich festgelegt werden, wie auch tatsächlich über die Mittel und Zwecke der Verarbeitung entschieden wird. In den Leitlinien wird dargelegt, wie dies im Einzelnen bestimmt werden kann und wie sich ein Verantwortlicher und gemeinsam Verantwortliche von einem Auftragsverarbeiter unterscheiden.

Die Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und Auftragsverarbeiters sind unter dem folgendem Link abrufbar:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de [Extern]
Kurzlink: https://uldsh.de/tb40-11-4

11.5        Guidelines aus Europa – Einschränkungen im Sinne des Artikel 23 DSGVO

Im Jahr 2021 wurden die Arbeiten an den Leitlinien zu den Einschränkungen nach Artikel 23 DSGVO abgeschlossen.

Die Mitgliedstaaten können aus bestimmten Gründen, wie beispielsweise der nationalen Sicherheit und wichtiger öffentlicher Interessen, die Rechte der betroffenen Personen einschränken, soweit trotz dieser Einschränkungen die wesentlichen Elemente der Grundrechte gewahrt bleiben. In den Leitlinien wird der Begriff der „Einschränkung“ erläutert. Es wird beschrieben, unter welchen Bedingungen eine gesetzliche Regelung von Einschränkungen möglich erscheint.

Die Leitlinien 10/2020 zu den Einschränkungen nach Artikel 23 DSGVO stehen unter dem folgendem Link zur Verfügung:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-102020- restrictions-under-article-23-gdpr_de [Extern]
Kurzlink: https://uldsh.de/tb40-11-5

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel