Der Hamburgische Beauftragte für Datenschutz und

ePrivacy-Verordnung

6. DFN Konferenz "Datenschutz„28. und 29. November 2017

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Dr. Moritz Karg

Referent bei der Dienststelle des Hamburgischen Beauftragten für Datenschutz und

Informationsfreiheit


METAINFORMATIONEN ZUM ENTWURF DER EPRIVACY-VO

DFN-CERT ePrivacy-VO 29.11.2017


Stand der ePrivacyVO-E

Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation)

(COM(2017)0010 – C8-0009/2017 – 2017/0003(COD))• Überblick des Gesetzgebungsverlaufs unter

http://eur-lex.europa.eu/procedure/DE/2017_3



Stand des Entwurfs der ePrivacyVO

Januar 2017

Entwurf der Kommission Januar 2017 (COM)

Juni 2017 Stellungnahme Art-29-Datenschutzgruppe Juli 2017

1. Stellungnahme EP – LIBE-Ausschuss September 2017

1. Stellungnahme Präsidium des EU-Rates (CON)19. Oktober 2017

Report EP-LIBE-Ausschuss (31 Ja / 24 Nein/ 1 Enth)

26. Oktober 2017Annahme des Entwurfs durch EP

Todo: Entwurf Europäischer Rat & Trilog



Arbeitsauftrag DSGVO

DSGVO ErwG 173

[…]Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.



ZIELE UND ZWECK DER EPRIVACY-VO



Rechtspolitische Motivation

Schutz des Grundrechts aus Artikel 7 GrCH

Schutz des Grundrechts aus Artikel 7 GrCH

• Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation

• Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt

• Schutz der Kommunikation vor Kenntnisnahme durch Dritte

• Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation

• Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt

• Schutz der Kommunikation vor Kenntnisnahme durch Dritte

Entwurf des EP COM(2017)0010 – C8-0009/2017 –

2017/0003(COD) ErwG 2

Entwurf des EP COM(2017)0010 – C8-0009/2017 –

2017/0003(COD) ErwG 2

• „Der Schutz der Vertraulichkeit der Kommunikation ist eine Grundvoraussetzung für die Wahrung anderer damit verbundener Grundrechte und -freiheiten, etwa den Schutz der Gedanken-, Gewissens- und Religionsfreiheit, der Versammlungsfreiheit sowie des Rechts auf freie Meinungsäußerung und Informationsfreiheit.“

• „Der Schutz der Vertraulichkeit der Kommunikation ist eine Grundvoraussetzung für die Wahrung anderer damit verbundener Grundrechte und -freiheiten, etwa den Schutz der Gedanken-, Gewissens- und Religionsfreiheit, der Versammlungsfreiheit sowie des Rechts auf freie Meinungsäußerung und Informationsfreiheit.“




Paradigma der individuellen und gesellschaftlichen Notwendigkeit der

Nutzung digitaler Dienste und Kommunikationsmittel

Paradigma der individuellen und gesellschaftlichen Notwendigkeit der

Nutzung digitaler Dienste und Kommunikationsmittel

E-Privacy Richtlinie ergänzt datenschutzrechtlichen Vorgaben der

DSGVO bezogen auf Vertraulichkeit der digitalen Kommunikation

• Bewahrung der „digitalen Privatheit“ der Kommunikation – Art. 7 GrCH

• Schutz der Individualkommunikation• Schutz vor Ausforschung der Privatsphäre über genutzte

Infrastrukturen und informationstechnischen Systeme

E-Privacy Richtlinie ergänzt datenschutzrechtlichen Vorgaben der

DSGVO bezogen auf Vertraulichkeit der digitalen Kommunikation

• Bewahrung der „digitalen Privatheit“ der Kommunikation – Art. 7 GrCH

• Schutz der Individualkommunikation• Schutz vor Ausforschung der Privatsphäre über genutzte

Infrastrukturen und informationstechnischen Systeme





Mr President, briefly, because a lot of myths – or you could also say a lot of lies – have been spread around by some industrial lobbyists.

I would like to add some very short points on what we are deciding today.

The ePrivacy Regulation aims to put users back in control of their communication data and to make sure that confidentiality of communication in a digital environment becomes a reality for everyone. At the same time, the ePrivacy Regulation does not ban all forms of advertising. It only addresses the issues of surveillance-driven advertising and wants consumers given [sic!] a choice about whether they want to be tracked or not for commercial purposes.[…]

(Plenardebatte Donnerstag, 26. Oktober 2017 – Straßburg)

MdEP Birgit Sippel(Fraktion der Progressiven Allianz der Sozialisten und Demokraten)


GRUNDLAGEN & ANWENDUNGSBEREICH



Überblick über ePrivacyVO-E

VO löst ePrivacy-RL 2002/58/EG und darauf basierende Gesetze (maßgebl. TKG) im sachlichen Anwendungsbereich ab

gleicher räumlicher Anwendungsbereich wie DSGVO (Marktortprinzip)

gleiches Sanktionssystem mit Verweis in DSGVO(Art. 21 und 22 ePrivacyVO-E)

identische Bußgeldhöhen (Art. 23 ePrivacyVO-E)

grds. gleiche Behörden zuständig & Anwendung des Kohärenzverfahrens der DSGVO (Art. 18 ff ePrivacyVO-E)

weniger Öffnungsklauseln



Verhältnis zur DSGVO

• Kommission: „lex specialis zur DS-GVO“• Kommission: „lex specialis zur DS-GVO“

Herstellung der Kohärenz zu anderen europäischen VorschriftenHerstellung der Kohärenz zu anderen europäischen Vorschriften

• EP-Entwurf ErwG 5: Vielmehr sollen durch diese Verordnung zusätzliche und ergänzende Sicherheitsvorkehrungen getroffen werden, da die Vertraulichkeit der Kommunikation über das bisherige Maß hinaus geschützt werden muss.

• EP-Entwurf ErwG 5: Vielmehr sollen durch diese Verordnung zusätzliche und ergänzende Sicherheitsvorkehrungen getroffen werden, da die Vertraulichkeit der Kommunikation über das bisherige Maß hinaus geschützt werden muss.

Ergänzung und Präzisierung der Vorgaben der DSGVOErgänzung und Präzisierung der Vorgaben der DSGVO

DSGVO findet Anwendung wenn E-Privacy-Verordnung keine Regelung vorsieht oder erkennbar lückenhaft istDSGVO findet Anwendung wenn E-Privacy-Verordnung keine Regelung vorsieht oder erkennbar lückenhaft ist

• Bsp. Art. 9 ePrivacyVO-E zur Einwilligung • Bsp. Art. 9 ePrivacyVO-E zur Einwilligung

DSGVO findet Anwendung, wenn durch E-Privacy-Verordnung explizit geregeltDSGVO findet Anwendung, wenn durch E-Privacy-Verordnung explizit geregelt



Materieller Anwendungsbereich ePrivacyVO-E

KommissionKommission

• Verarbeitung elektronischer Kommunikationsdaten in Verbindung mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste

• Verarbeitung von Informationen in Bezug auf die Endeinrichtungen der Endnutzer


• Verarbeitung von Informationen in Bezug auf die Endeinrichtungen der Endnutzer

EU-ParlamentEU-Parlament


• Verarbeitung von Informationen, die sich auf die Endeinrichtungen der Endnutzer beziehen oder von diesen verarbeitet werden

• Inverkehrbringen von Software, die elektronische Kommunikation ermöglicht (inkl. Browser etc.)

• Bereitstellung öffentlich zugänglicher Verzeichnisse

• Übermittlung von elektronischer Direktwerbung


• Verarbeitung von Informationen, die sich auf die Endeinrichtungen der Endnutzer beziehen oder von diesen verarbeitet werden

• Inverkehrbringen von Software, die elektronische Kommunikation ermöglicht (inkl. Browser etc.)

• Bereitstellung öffentlich zugänglicher Verzeichnisse

• Übermittlung von elektronischer Direktwerbung



Materieller Anwendungsbereich ePrivacyVO-E

• Kommission: Verweis auf Kodex für elektronische Kommunikation / EP: eigene Definition• unerheblich ist Entgeltlichkeit

• Zugangsdienste / Interpersonelle Kommunikationsdienste• OTT-Dienste

• Dienst zur Übertragung von Signalen• auch Maschine-zu-Maschine• Teile eines Rundfunkdienstes

• EP: keine Anwendung auf Inhalte von Rundfunkdiensten, wenn Nutzer nicht individualisiert wird

• Kommission: Verweis auf Kodex für elektronische Kommunikation / EP: eigene Definition• unerheblich ist Entgeltlichkeit

• Zugangsdienste / Interpersonelle Kommunikationsdienste• OTT-Dienste

• Dienst zur Übertragung von Signalen• auch Maschine-zu-Maschine• Teile eines Rundfunkdienstes

• EP: keine Anwendung auf Inhalte von Rundfunkdiensten, wenn Nutzer nicht individualisiert wird

Elektronische Kommunikationsdienste Art. 4 ePrivacyVOElektronische Kommunikationsdienste Art. 4 ePrivacyVO

• elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten• erstmals gesetzliche Definition von Inhalts- und Meta(Nutzungs-)daten

• elektronische Kommunikationsinhalte und elektronische Kommunikationsmetadaten• erstmals gesetzliche Definition von Inhalts- und Meta(Nutzungs-)daten

Elektronische KommunikationsdatenElektronische Kommunikationsdaten

• ErwG 8: „Software die elektronische Kommunikation ermöglicht, einschließlich Abruf und Darstellung von Informationen aus dem Internet“• Browser etc.

• ErwG 8: „Software die elektronische Kommunikation ermöglicht, einschließlich Abruf und Darstellung von Informationen aus dem Internet“• Browser etc.

SoftwareSoftware



MATERIELLE VORGABEN IN BEZUG AUF KOMMUNIKATIONSDATEN



Materielle Vorgaben ePrivacyVO-E


Ko

mm

iss

ion • Elektronische

Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.

• Elektronische Kommunikationsdaten sind vertraulich. Eingriffe in elektronische Kommunikationsdaten wie Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens oder Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer sind untersagt, sofern sie nicht durch diese Verordnung erlaubt werden.

Eu

rop

äis

ches

P

arl

am

ent • Elektronische Kommunikation ist

vertraulich. Eingriffe in elektronische Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Durchleuchten oder andere Arten des Abfangens oder Überwachens oder jegliche Verarbeitung elektronischer Kommunikation durch andere Personen als die Endnutzer sind untersagt.

• Elektronische Kommunikation ist vertraulich. Eingriffe in elektronische Kommunikation wie Mithören, Abhören, Speichern, Beobachten, Durchleuchten oder andere Arten des Abfangens oder Überwachens oder jegliche Verarbeitung elektronischer Kommunikation durch andere Personen als die Endnutzer sind untersagt.


Materielle Vorgaben ePrivacyVO-E

Primat der Vertraulichkeit der KommunikationPrimat der Vertraulichkeit der Kommunikation

Verarbeitung von Kommunikationsdaten

Verarbeitung von Kommunikationsdaten

Kommunikationsdaten allgemeinKommunikationsdaten allgemein

KommunikationsmetadatenKommunikationsmetadaten KommunikationsinhalteKommunikationsinhalte

Verarbeitung von Informationen auf Endgeräten

Verarbeitung von Informationen auf Endgeräten

Schutz der Informationen auf den

Endeinrichtungen

Schutz der Informationen auf den

Endeinrichtungen

Schutz bei Verbindungsherstellung

Schutz bei Verbindungsherstellung



Überblick materielle Vorgaben

• Erbringung des Dienstes• KOM: Verarbeitung ist für Durchführung der Übermittlung der

Kommunikation nötig• EP: Verarbeitung ist für Durchführung der Übermittlung der

Kommunikation technisch nötig• Technische Sicherheit• KOM: Sicherheit elektronischer Kommunikationsnetze und –

dienste• EP: Gewährleistung der Verfügbarkeit, Integrität,

Vertraulichkeit und Sicherheit des jeweiligen elektronischen Kommunikationsnetzes oder –dienstes

• Erbringung des Dienstes• KOM: Verarbeitung ist für Durchführung der Übermittlung der

Kommunikation nötig• EP: Verarbeitung ist für Durchführung der Übermittlung der

Kommunikation technisch nötig• Technische Sicherheit• KOM: Sicherheit elektronischer Kommunikationsnetze und –

dienste• EP: Gewährleistung der Verfügbarkeit, Integrität,

Vertraulichkeit und Sicherheit des jeweiligen elektronischen Kommunikationsnetzes oder –dienstes

Verarbeitung elektronischer Kommunikationsdaten Art. 6 Abs. 1 ePrivacyVO-E

Verarbeitung elektronischer Kommunikationsdaten Art. 6 Abs. 1 ePrivacyVO-E




• Gewährleistung der Dienstqualitätsanforderungen• Betrugserkennung und -prävention• Netzzusammenschaltungsabrechnung• Qualifizierte Einwilligung – strenger

Erforderlichkeitsmaßstab• KOM: sofern die betreffenden Zwecke durch eine Verarbeitung

anonymisierter Informationen nicht erreicht werden können• EP: sofern die die jeweiligen Zwecke ohne die Verarbeitung

dieser Metadaten nicht erreicht werden können• zudem EP: Datenschutzfolgeabschätzung & vorherige

Konsultation gemäß Art. 36 & 36 DSGVO

• Gewährleistung der Dienstqualitätsanforderungen• Betrugserkennung und -prävention• Netzzusammenschaltungsabrechnung• Qualifizierte Einwilligung – strenger

Erforderlichkeitsmaßstab• KOM: sofern die betreffenden Zwecke durch eine Verarbeitung

anonymisierter Informationen nicht erreicht werden können• EP: sofern die die jeweiligen Zwecke ohne die Verarbeitung

dieser Metadaten nicht erreicht werden können• zudem EP: Datenschutzfolgeabschätzung & vorherige


KommunikationsmetadatenArt. 6 Abs. 2 ePrivacyVO-EKommunikationsmetadatenArt. 6 Abs. 2 ePrivacyVO-E



• Einwilligung des betreffenden/jeweiligen Nutzers• Erforderlichkeit für Erfüllung des Zwecks• alternative, nichtpersonenbezogene Erfüllung

des Zweck ist ausgeschlossen

• Einwilligung des betreffenden/jeweiligen Nutzers• Erforderlichkeit für Erfüllung des Zwecks• alternative, nichtpersonenbezogene Erfüllung

des Zweck ist ausgeschlossen

Kommunikationsinhalte Art. 6 Abs. 3 lit. a) ePrivacyVO-EKommunikationsinhalte Art. 6 Abs. 3 lit. a) ePrivacyVO-E





• Verarbeitung von Inhaltsdaten der interpersonelle Kommunikation

• Einwilligung aller jeweiligen Nutzer• ein oder mehrere bestimmte/n Zwecke• strenge Erforderlichkeitsprüfung bzgl.

anonymisierter Verarbeitung der Inhaltsdaten zur Zweckerreichung

• Pflicht zur Konsultation der Aufsichtsbehörde• Datenschutzfolgeabschätzung & vorherige


• Verarbeitung von Inhaltsdaten der interpersonelle Kommunikation

• Einwilligung aller jeweiligen Nutzer• ein oder mehrere bestimmte/n Zwecke• strenge Erforderlichkeitsprüfung bzgl.

anonymisierter Verarbeitung der Inhaltsdaten zur Zweckerreichung

• Pflicht zur Konsultation der Aufsichtsbehörde• Datenschutzfolgeabschätzung & vorherige


Kommunikationsinhalte Art. 6 Abs. 3 lit. b) ePrivacyVO-EKommunikationsinhalte Art. 6 Abs. 3 lit. b) ePrivacyVO-E




• „einseitige Inhaltsdaten“ • EP: Such- oder Verschlagwortungsfunktion, virtuelle

Assistenten, Text-Sprach-Module und Übersetzungsdienste

• alleinigen Zweck der persönlichen Nutzung• Ausschließlich für erforderlichen Nutzungszeitraum• keine Einwilligung aller Nutzer/Betroffene erforderlich• Beeinträchtigung der Grundrechte und Interessen

eines anderen Nutzers oder mehrerer anderer Nutzer muss ausgeschlossen sein

• „einseitige Inhaltsdaten“ • EP: Such- oder Verschlagwortungsfunktion, virtuelle

Assistenten, Text-Sprach-Module und Übersetzungsdienste

• alleinigen Zweck der persönlichen Nutzung• Ausschließlich für erforderlichen Nutzungszeitraum• keine Einwilligung aller Nutzer/Betroffene erforderlich• Beeinträchtigung der Grundrechte und Interessen

eines anderen Nutzers oder mehrerer anderer Nutzer muss ausgeschlossen sein

EP: Kommunikationsinhalte Art. 6 Abs. 3a ePrivacyVO-EEP: Kommunikationsinhalte Art. 6 Abs. 3a ePrivacyVO-E



MATERIELLE VORGABEN ZUM SCHUTZ DER INFORMATIONEN AUF ENDEINRICHTUNGEN





„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt[…]“

„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt[…]“

Grundprinzip der VertraulichkeitArt. 8 Abs. 1 ePrivacyVO-E

Grundprinzip der VertraulichkeitArt. 8 Abs. 1 ePrivacyVO-E


Überblick materielle Vorgaben Art. 8 Abs. 1 ePrivacyVO-E

Ausnahmen Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz

EP: unbedingte Notwendigkeit

Einwilligung des Endnutzers EP: ausdrückliche Einwilligung

Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft

EP: ausdrückliche Anforderung des Dienstes durch Nutzer

Zwingende technische Notwendigkeit

EP: Wahrung der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Endeinrichtungen

Keine Änderungen der Funktionsfähigkeit & Privatsphäreeinstellungen

Vorherige Information & Interventionsmöglichkeit des Nutzers




Anforderungen der Kommission an Webanalytics

Anforderungen der Kommission an Webanalytics

Nötig für Messung des WebpublikumsNötig für Messung des Webpublikums

vom Endnutzer gewünschter Dienst

der Informationsgesellschaft

vom Endnutzer gewünschter Dienst

der Informationsgesellschaft

Betreiber des Dienstes führt Messung durchBetreiber des Dienstes führt Messung durch




• Technische Notwendigkeit• Messung vom Betreiber

• oder in seinem Namen• oder von einer unabhängigen Webanalyseagentur, die im öffentlichen

Interesse – auch für wissenschaftliche Zwecke – tätig ist• Pflicht zur Aggregierung der Daten• Widerspruchsrecht gegen Messung• Verbot der Zugänglichmachung der personenbezogene Daten

gegenüber Dritten• keine Beeinträchtigung der Grundrechte des Nutzers durch Messung• Verarbeitung der Daten von Publikumsmessung auf Diensten der

Informationsgesellschaft nur durch Betreiber• Trennungsgebot mit Daten anderer Publikumsmessungen• Information und zusätzliche Risikoeindämmungsmaßnahmen

• Technische Notwendigkeit• Messung vom Betreiber

• oder in seinem Namen• oder von einer unabhängigen Webanalyseagentur, die im öffentlichen

Interesse – auch für wissenschaftliche Zwecke – tätig ist• Pflicht zur Aggregierung der Daten• Widerspruchsrecht gegen Messung• Verbot der Zugänglichmachung der personenbezogene Daten

gegenüber Dritten• keine Beeinträchtigung der Grundrechte des Nutzers durch Messung• Verarbeitung der Daten von Publikumsmessung auf Diensten der

Informationsgesellschaft nur durch Betreiber• Trennungsgebot mit Daten anderer Publikumsmessungen• Information und zusätzliche Risikoeindämmungsmaßnahmen

Anforderungen des Europäischen Parlaments an Webanalytics 1/3Anforderungen des Europäischen Parlaments an Webanalytics 1/3




• Webanalyse im Arbeitsverhältnis - Arbeitnehmerdatenschutz• Zwingende technische Erforderlichkeit für Erfüllung einer

Aufgabe im Arbeitsverhältnissen• Arbeitgeber stellt Endeinrichtung bereit• Nutzer ist der Arbeitnehmer• Messung dient nicht Überwachung des Arbeitnehmers

• Webanalyse im Arbeitsverhältnis - Arbeitnehmerdatenschutz• Zwingende technische Erforderlichkeit für Erfüllung einer

Aufgabe im Arbeitsverhältnissen• Arbeitgeber stellt Endeinrichtung bereit• Nutzer ist der Arbeitnehmer• Messung dient nicht Überwachung des Arbeitnehmers

Anforderungen des Europäischen Parlaments an Webanalytics 2/3

Anforderungen des Europäischen Parlaments an Webanalytics 2/3



Überblick materielle Vorgaben Art. 8 Abs. 1a ePrivacyVO-E

• Allgemeine Anforderungen• Cookiewallverbot• Zugang zu Dienst oder Funktionselement der

Informationsgesellschaft darf nicht abhängig gemacht werden von Einwilligung• in die Verarbeitung personenbezogener Daten oder• in die zur Bereitstellung des Dienstes oder des

Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung

• Allgemeine Anforderungen• Cookiewallverbot• Zugang zu Dienst oder Funktionselement der

Informationsgesellschaft darf nicht abhängig gemacht werden von Einwilligung• in die Verarbeitung personenbezogener Daten oder• in die zur Bereitstellung des Dienstes oder des

Funktionselements nicht erforderliche Nutzung von Verarbeitungs- oder Speicherkapazitäten seiner Endeinrichtung

Anforderungen des Europäischen Parlaments an Webanalytics 3/3Anforderungen des Europäischen Parlaments an Webanalytics 3/3



WAS WÄRE WENN…TRACKING OHNE EPRIVACY-VO



Thesen zum anzuwendenden Recht

Art. 95 DSGVO – Fortgeltung der ePrivacy-Richtlinie 2002/58/EGArt. 95 DSGVO – Fortgeltung der ePrivacy-Richtlinie 2002/58/EG

ePrivacy-Richtlinie wird durch TKG und nicht durch TMG umgesetztePrivacy-Richtlinie wird durch TKG und nicht durch TMG umgesetzt

keine Anwendbarkeit §§ 11 – 15 TMG• insbesondere nicht § 15 Abs. 3 TMG

keine Anwendbarkeit §§ 11 – 15 TMG• insbesondere nicht § 15 Abs. 3 TMG

Anwendung der DSGVO auf „heutige“ TelemediendienstanbieterAnwendung der DSGVO auf „heutige“ Telemediendienstanbieter



These zur datenschutzrechtlichen Rechtmäßigkeit

Gewährleistung der Schutzziele des Art. 5 Abs. 1 a) DSGVO

Gewährleistung der Schutzziele des Art. 5 Abs. 1 a) DSGVO

RechtmäßigkeitRechtmäßigkeit Treu und GlaubenTreu und Glauben Transparenz Transparenz

Anzuwendendes Recht: DSGVOAnzuwendendes Recht: DSGVO



These zur datenschutzrechtlichen Rechtmäßigkeit

• Zu „enger“ Anwendungsbereich in Absatz 1• „rechtlicher Wirkung“ bzw. Beeinträchtigung in „ähnlicher“

Weise

• Zu „enger“ Anwendungsbereich in Absatz 1• „rechtlicher Wirkung“ bzw. Beeinträchtigung in „ähnlicher“

Weise

Art. 22 DSGVO – Einzelfallentscheidung

und Profiling

Art. 22 DSGVO – Einzelfallentscheidung

und Profiling

• berechtigtes Interesse vs. schutzwürdige Interessen der Betroffenen

• Position Art-29-Datenschutzgruppe• nur first-party-tracking zulässig• Keine umfassenden Nutzungsprofile ohne entsprechende

Einwilligung

• berechtigtes Interesse vs. schutzwürdige Interessen der Betroffenen

• Position Art-29-Datenschutzgruppe• nur first-party-tracking zulässig• Keine umfassenden Nutzungsprofile ohne entsprechende

Einwilligung

Art. 6 Abs. 1 f) DSGVO –

Art. 6 Abs. 1 f) DSGVO –



2- Stufenprüfung

Bedingungen für Nutzertracking auf Grundlage berechtigten Interesses Art. 6 Abs. 1 f) DSGVO

2-Stufen-Prüfung1. Interesse muss „legitim“ = rechtmäßig sein

• Beachtung von datenschutzrechtl. Verarbeitungsverboten – z.B. Art. 9 Abs. 1 DSGVO

• ggfs. Beachtung bereichsspezifischer Verarbeitungsverbote – z.B. GenTG

2. Abwägungsentscheidung

• im Prinzip Verhältnismäßigkeitsprüfung

• Beachtung der freien Ausübung der Grundrechte insbes. mit Relevanz zur freiheitlich-demokratischen Grundordnung (gesellschaftliche Dimension der Grundrechte)



Art-29-Datenschutzgruppe

Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP 217) S. 33

„Für die Verarbeitung Verantwortliche können ein berechtigtes Interesse daran haben, die Vorlieben ihrer Kunden zu erfahren, um dadurch ihre Angebote besser auf die jeweilige Person abzustimmen und schließlich Waren und Dienstleistungen anbieten zu können, die den Bedürfnissen und Wünschen der Kunden besser gerecht werden. Vor diesem Hintergrund kann Artikel 7 Buchstabe f [DSRL] für bestimmte Arten von Vermarktungstätigkeiten, online wie offline, eine Rechtsgrundlage liefern, auf die man sich berufen könnte, vorausgesetzt, bestimmte Schutzmaßnahmen wurden getroffen“



Art-29-Datenschutzgruppe

Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die

Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP 217) S. 33

„Das bedeutet jedoch nicht, dass die für die Verarbeitung Verantwortlichen sich auf Artikel 7

Buchstabe f berufen können, wenn sie unangemessenerweise die Online- oder

Offlineaktivitäten ihrer Kunden überwachen, ungeheure Mengen von Daten über diese aus

verschiedenen Quellen, die ursprünglich vor einem anderen Hintergrund und für andere

Zwecke erhoben wurden, zusammenfassen, komplexe Profile zu den persönlichen

Besonderheiten und Vorlieben der Kunden erstellen und – beispielsweise unter Hinzuziehung

von Datenvermittlern – mit diesen auch Handel treiben, ohne dass diese Kunden davon in

Kenntnis gesetzt werden und ein funktionierender Widerspruchsmechanismus existieren

würde, von Einwilligung in Kenntnis der Sachlage ganz zu schweigen. Derartige

Profilingtätigkeiten stellen mit hoher Wahrscheinlichkeit einen massiven Eingriff in die

Privatsphäre des Kunden dar, und wenn dem so ist, überwiegen die Interessen und Rechte

der betroffenen Personen das Interesse des für die Verarbeitung Verantwortlichen.“



TOM zur Wahrung der Nutzerinteressen

• Widerspruchsrecht• Verwendung von Pseudonymen• Trennungsgebot - Einwilligungsvorbehalt

• zeitl. Beschränkung der Profilbildung• keine Verarbeitung besonderer personenbezogener Daten

• Widerspruchsrecht• Verwendung von Pseudonymen• Trennungsgebot - Einwilligungsvorbehalt

• zeitl. Beschränkung der Profilbildung• keine Verarbeitung besonderer personenbezogener Daten

Rechtmäßigkeit / Treu und GlaubenRechtmäßigkeit / Treu und Glauben

• Information vor Profilbildung über• Auswirkung auf Rechte der Nutzer• Zweck, Art, Umfang und Dauer der Verarbeitung• Beachtung der Transparenzvorgaben der DSGVO

• Information vor Profilbildung über• Auswirkung auf Rechte der Nutzer• Zweck, Art, Umfang und Dauer der Verarbeitung• Beachtung der Transparenzvorgaben der DSGVO

TransparenzTransparenz



Kontakt

Vielen Dank für Ihre AufmerksamkeitDr. Moritz KargDienstelle des Hamburgische Beauftragte für den Datenschutz und die InformationsfreiheitKlosterwall 6 (Block C)20095 HamburgTelefon: +49 40/42854 – 4051E-Fax: +49 40 4 279 11 – 851E-Mail: [email protected]


Documents

Der Hamburgische Beauftragte für Datenschutz und