Patientendaten PDSG ePA Datenschutz mangelhaft

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat. 

Patientendaten als hochsensibles Schutzgut 

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur `vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten `intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten 

Es würden `aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) `ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung  seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien `weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA. 

Patientendaten in Zeiten fragwürdiger `Digitalisierung´ 

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der `behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein. 

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten 

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022  für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können – entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung. 

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Verursacher von Datenschutzverletzungen 

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit `Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik `datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben `konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels `operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich. 

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten 

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich – hinreichende Gesundheit vorausgesetzt – mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten. 

Fazit und Statement 

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter. 

Das heißt also – verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Dashcams im Straßenverkehr und der Datenschutz

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag. 

Die Funktionsweise  

Dashcams sollen insbesondere das Verkehrsgeschehen und -unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können – einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht. 

Dashcams in der praktischen Anwendung 

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden. 

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter. 

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite

Die Frage zur Zulässigkeit von Dashcams vor dem BGH 

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.  

Überwiegende Interessen beim Einsatz von Dashcams 

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten. 

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten. 

Informationssicherheit und Datenschutz -Pannen 2019 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Cookies Kekse

Grundlose Panik zu Cookies durch das EuGH Urteil zu Planet49

Seit der Urteilsverkündung des EuGH am 01.10.2019 hat man das Gefühl, die Medien überschlagen sich mit aufmerksamkeitserhaschenden Eilmeldungen und Headlines. Leider – und das im Kontext der DSGVO nicht zum ersten Mal – mit Falschdarstellungen und Aussagen, die der EuGH so gar nicht getätigt hat. Da das Thema Cookies auch immer wieder Gegenstand von Anfragen Ihrerseits an uns ist, ein paar Informationen zu den eigentlichen Inhalten des Urteils.

Ausgangslage – Bundesverband der Verbraucherzentralen klagt wegen einer bereits vorausgewählten Checkbox für Cookies im Kontext Werbung

Die Planet49 GmbH führte ein Gewinnspiel zu Werbezecken durch. Dem Besucher wurden hierbei die üblichen Einwilligungen bzw. Zustimmungen in Form von zwei Checkboxen vor dem dann folgenden Teilnehmen-Button angezeigt. Bei der Checkbox Nummer 1 handelte es sich um eine Einwilligung in Post- und Telefonwerbung der Kooperationspartner und Sponsoren des Gewinnspiels. Diese Checkbox war nicht angekreuzt, der Teilnehmer musste die Checkbox also selbst aktivieren, sofern er die Einwilligung erteilen wollte. Im Fall der zweiten Checkbox war diese bereits angekreuzt und enthielt folgenden Text im Wortlaut:

„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“

Der Bundesverband der Verbraucherzentralen war nun – wenig verwunderlich – der Ansicht, die bereits angekreuzte Checkbox Nummer 2 verstößt durch die bereits voreingestellte Aktivierung gegen das  Gesetz gegen unlauteren Wettbewerb, kurz UWG. Man mahnte den Sachverhalt folgerichtig ab. Der nun folgende Rechtsstreit ging bis zum BGH. Dieser brachte für die Bewertung die EU-Datenschutzrichtlinie für elektronische Kommunikation ins Spiel und rief daher den EuGH zur Beurteilung an.

So weit, so gut: Der geneigte Leser weiß seit langem, dass vorangekreuzte Einwilligungen bereits die formalen Anforderungen an eine Einwilligung nicht erfüllen und damit hinfällig sind. Den Umweg hätte man sich daher sparen können. Aber gut.

Was konkret fragte der BGH den EuGH im Zuge des Planet49-Vorgangs?

Der BGH wollte vom EuGH mehrere Fragen beantwortet haben. Ob Cookies nun generell alle zustimmungspflichtig sind, war explizit nicht Gegenstand der Anfrage. Wissen wollte man seitens des BGH, ob

  1. eine solche bereits angekreuzte Checkbox, welches derartige Cookies setzt, eine nach den vorgenannten Rechtsgrundlagen „wirksame Einwilligung“ darstellt,
  2. ob es einen Unterschied macht, ob der Cookie „personenbezogene Daten“ verarbeitet oder nicht,
  3. ob die vorliegende Einwilligung nach DSGVO wirksam wäre und
  4. welche Informationen für eine wirksame Einwilligung konkret zu erteilen sind.

Und jetzt schauen wir mal auf das gestrige Urteil.

Was hat der EuGH zu Cookies denn nun entschieden? Einwilligung zwingend notwendig?

Glaubt man dem medialen Hype, dann sind seit dem 01.10.2019 Cookies nur noch mit Einwilligung möglich. Wie heißt es so schön: Wer lesen kann, ist klar im Vorteil. Genau das hat der EuGH eben nicht entschieden.

Der EuGH wenig überraschend dahingehend geantwortet, dass eine bereits aktivierte Checkbox weder nach altem noch nach neuem Datenschutzrecht eine wirksame Einwilligung darstellt. Nix Neues! Desweiteren hat der EuGH klargestellt, dass sich im Sinne der og. Richtlinie kein Unterschied zwischen Cookies mit und ohne personenbezogene ergibt. Die Richtlinie selbst spricht hier rein von „Informationen“, nicht von personenbezogenen Daten. Auch nicht wirklich überraschend bzw. absehbar. Im Hinblick auf die notwendige „informierte Einwilligung“ stellte der EuGH u.a. auf die Angaben aus den Informationspflichten nach Art. 13 DSGVO ab. Was Wunder!

Das EuGH-Urteil hat nur klargestellt, was zu Cookies und Einwilligungen eh schon lange bekannt war

  1. Eine Einwilligung ist stets ein Opt in, kein Opt out!
  2. Die Informationspflichten nach Art. 12, 13 DSGVO sind durch den Webseitenbetreiber auch für Cookies einzuhalten!
  3. Einwilligungen sind auch für Cookies einzuholen unter Verweis auf die EU-Richtlinie für elektrische Kommunikation!

Und damit endete das Urteil.

Also jetzt doch Einwilligungen für alle Cookies, oder?

Der EuGH hat auf die besagte EU-Datenschutzrichtlinie für elektronische Kommunikation abgestellt. In Art. 5 Abs. 3 dieser Richtlinie heißt es:

„Die Mitgliedstaaten stellen sicher, dass die Speiche­rung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teil­nehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG* u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Spei­cherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Entscheidend ist hier Satz 2. Denn das heißt nichts anderes, als das zum Beispiel technisch erforderliche Speicherungen von Informationen ( wie eben Cookies) ohne Einwilligung gesetzt werden können, über den Einsatz aber ausreichend zu informieren ist. Technisch für den Betrieb der Seite nicht erforderliche Cookies wie Webtracking durch bzw. über Dritte, Werbung etc. sind einwilligungspflichtig.

Die pauschale Aussage „Cookies nur noch mit Einwilligung“ ist daher falsch und vergiftet erneut die Diskussion um das Thema Datenschutz. Sicher mag die Werbeindustrie über ein solches Urteil fluchen. Soll sie doch. Einerseits Millionen und Milliarden mit der Erhebung und Nutzung und Weitergabe von personenbezogenen Daten verdienen, aber zum Schutz der Privatsphäre der analysierten Nutzer nichts beitragen wollen – seltsames Geschäftsmodell. Dabei hat der EuGH jetzt nur noch mal festgeschrieben, was eh schon gegolten hat (aber nicht immer eingehalten wurde).

Kurzform des Urteils des EuGH zum Umgang mit Cookies

  • Keine Einwilligung, aber ausreichende Information über technische, für den Betrieb der Webseite zwingend notwendige Cookies.
  • Einwilligung und ausführliche Information für alle anderen Cookies.

Diese Position haben unsere Aufsichtsbehörden übrigens bereits in der DSK Orientierungshilfe für Anbieter von Telemedien nachvollziehbar erläutert.

Gute beschriebene Informationen zum Thema finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg:

Unsicherheiten im Umgang mit Cookies können Sie übrigens auch mit Ihrem Datenschutzbeauftragten klären. Sie haben noch keinen Datenschutzbeauftragten und auch sonst keine beratende Unterstützung zum Thema Datenschutz? Dann sprechen Sie uns doch einfach unverbindlich an.