Wird die Datenschutzgrundverordnung in der Europäischen Union einheitlich angewendet?

Eigentlich dürfte sich die Fragestellung, ob eine EU-Verordnung in den EU-Mitgliedsstaaten einheitlich angewendet wird, erübrigen, da EU-Verordnungen (anders als Richtlinien) in allen Mitgliedsstaaten direkt gelten und nicht durch nationales Recht umgesetzt werden müssen. Die Vielzahl von Öffnungsklauseln in der Datenschutzgrundverordnung (DSGVO) geben den Mitgliedsstaaten allerdings einen erheblichen Handlungsspielraum zur nationalen Sondergesetzgebung.

Was bedeutet das für den deutschen Online-Händler, der Waren und Dienstleistungen in den EU-Mitgliedstaaten vertreibt. Muss er bei den datenschutzrechtlichen Vorgaben der DSGVO eine Vielzahl von nationalen Sonderregelungen beachten oder sind diese Sonderregelungen für ihn nicht relevant? Was aber gilt für die sog. Cookie-Regelung?

Wenn Sie zu dieser Frage mehr wissen wollen, dann lesen Sie den folgenden Beitrag

1. Öffnungsklauseln für nationalstaatliche Sonderregelungen in der DSGVO

Je nach Zählweise gibt es etwa 50-60 Öffnungsklauseln der DSGVO, die dem nationalen Gesetzgeber die Möglichkeit geben, nationalstaatliche Sonderregelungen zu setzen. Allerdings darf der materielle Schutzstandard der DSGVO nicht verändert werden.

Deutsches Sonderrecht

Auch der deutsche Gesetzgeber hat mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 (in folgenden Anpassungsgesetz) von dieser Möglichkeit Gebrauch gemacht.

Als Beispielsfälle sind zu nennen:

• Einschränkung der Informationspflicht gegenüber dem Betroffen, wenn die personenbezogenen Daten für einen anderen Zweck weiterverarbeitet werden als den, für den die Daten bei der betroffenen Person erhoben wurden, sog. Folge-Informationspflicht (Öffnungsklausel Art. 13 DSGVO, § 32 Anpassungsgesetz).
• Einschränkung der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Dies gilt, wenn die Geltendmachung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient (Öffnungsklausel Art. 14 DSGVO, § 33 Anpassungsgesetz).
• Einschränkung des Auskunftsrechtsrechts der betroffenen Person: Dies gilt, wenn Daten nur wegen gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würden (Öffnungsklausel Art. 15 DSGVO, § 34 Anpassungsgesetz).
• Einschränkung des Rechts auf Löschung: Dies gilt, wenn eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nur mit unverhältnismäßig hohen Aufwand möglich und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist (Öffnungsklausel Art. 17 DSGVO, § 35 Anpassungsgesetz)
• Voraussetzung für die Bestellung eines Datenschutzbeauftragten: Demnach ist ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (Öffnungsklausel Art. 37 DSGVO, § 39 Abs. 1 Anpassungsgesetz).

Sonderrecht in anderen EU-Mitgliedsstaaten

Auch andere Mitgliedsstaaten wie zum Beispiel Frankreich und Großbritannien haben in ihren Anpassungsgesetzen zur DSGVO von der Möglichkeit Gebrauch gemacht, über die Öffnungsklausel der DSGVO nationalstaatlichen Sonderregelungen zu setzen.

Großbritannien

Großbritannien hat insbesondere in den Anlagen zum Data Protection Act alle Tatbestände zusammengefasst, in denen auf Grund der Öffnungsklauseln des DSGVO britisches Sonderrecht gesetzt wird

Beispielsfälle

- Bedingung für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Art. 8 Abs. 1 DSGVO macht die Einwilligung des Kindes rechtmäßig, wenn es das 16. Lebensjahr vollendet hat. In Großbritannien ist diese Altersgrenze auf 13 Jahre abgesenkt

- Einschränkung des Rechts auf Information gegenüber Kreditinstituten

- Einschränkung der Betroffenenrechte auf Grund der Öffnungsklausel der Art. 13 bis 21 und Art. 23, 34 DSGVO (ähnlich wie in Deutschland)

Frankreich

Frankreich hat in seinem Anpassungsgesetz (loi relative à la protection des données personnelles) von der Möglichkeit der Öffnungsklauseln in der DSGVO Gebrauch gemacht.

Beispielsfälle

• Vorrang des französischen Rechts, wenn Mitgliedsstaaten beim Gebrauch der Öffnungsklauseln des DSGVO im Verhältnis zu Frankreich abweichendes nationales Recht setzen und der Betroffene seinen Wohnsitz in Frankreich hat (Art. 8, loi relative à la protection des données personnelles). Dies gilt auch dann, wenn der Datenverantwortliche seinen Wohnsitz in einem anderen EU-Staat hat.
• Einschränkungen der Betroffenenrechte ähnlich wie in Deutschland

2. Kaum Relevanz der genannten Sonderregelungen für den Online-Händler

Der Online-Händler mit Geschäftssitz in Deutschland ist lediglich an die deutschen Sonderregelungen zur DSGVO gebunden (§ 1 Abs. 4 deutsches Anpassungsgesetz). Wenn er nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen, sind diese Sonderregelungen für ihn weitgehend irrelevant. Aber auch für den Online-Händler mit Geschäftssitz oder Niederlassung in einem anderen EU-Mitgliedsstaat haben die o.g. Sonderregelungen kaum Relevanz wie die Beispiele für Frankreich und Großbritannien zeigen. Die französische Sonderregelung, dass bei abweichendem nationalen Recht zur DSGVO für den Betroffenen mit Wohnsitz in Frankreich französisches Recht gilt, wird in der Praxis des Online-Händlers kaum eine Rolle spielen.

3. Sonderfall der Cookie-Regelung

Zur Vorgeschichte der Cookie-Regelung

2009 hat die EU in der auch als „Cookie-Richtlinie“ bezeichneten Richtlinie Nr. 2009/136/EG in Artikel 2 Nr. 5 geregelt, dass Anbieter von Webseiten grundsätzlich nur dann in den Geräten (PC, Tablets, Smartphones) des Nutzers Cookies abspeichern dürfen, wenn der Nutzer hierzu vorab (Opt-in Lösung) seine Einwilligung gegeben hat (Ausnahmen: technisch notwendige Cookies). Diese Bestimmung der Cookie-Richtlinie wurde in Deutschland nie aktiv in deutsches Recht umgesetzt. Die Bundesregierung geht davon aus, dass eine aktive Umsetzung dieser Bestimmung in deutsches Recht nicht notwendig gewesen sei (s. hierzu Beitrag der IT-Recht Kanzlei: https://www.it-recht-kanzlei.de/google-cookie-hinweis.html) . Es galt daher in Deutschland weiterhin die Regelung des § 13 Abs. 3 TMG, demnach der Nutzer im Rahmen seines Widerspruchsrecht über die Verwendung von Cookies und ihre mögliche Deaktivierung unterrichtet werden muss (sog. Opt-out Lösung).

Gilt die deutsche Regelung der Opt-out Lösung (§ 13 TMG) auch nach Geltung der DSGVO?

Das ist eine schwierige Frage. Zur richtigen Einordnung: Es handelt sich hier nicht um eine deutsche nationalstaatliche Sonderregelung zur DSGVO, zu der der deutsche Gesetzesgeber aufgrund einer Öffnungsklausel der DSGVO berechtigt ist. Es handelt sich vielmehr um die Frage, ob die Cookie-Richtlinie neben der DSGVO weiterhin Geltung hat. Dies ist zu bejahen. Die DSGVO soll nicht alle europäischen Regelungen zum Datenschutzrecht ersetzen (s. Kommentar Gola zur DSGVO, Art. 6 Rdnr. 15)

Die Cookie-Richtlinie gilt daher in Deutschland in ihrer nationalstaatlichen Umsetzung in Deutschland weiterhin fort (s. Kommentar Gola zur DSGVO, Art. 6 Rdnr. 15). Nach 13 Abs. 3 TMG ist daher für die Verwendung von Cookies für Werbe- und Marktforschungszwecken die o.g. Opt-out Regelung maßgebend.

Nach Auffassung der IT-Recht Kanzlei bedarf es gem. Art. 6, Abs. 1 lit. f DSGVO grundsätzlich nicht einer Vorab-Einwilligung des Nutzers in die Verwendung von Cookies zu Zwecken der Werbung und Marktforschung. Die Verwendung von solchen Cookies ist gem. Art. 6 Abs. 1 lit. f DSGVO durch das berechtigte (wirtschaftliche) Interesse des Online-Händlers oder eines Dritten gedeckt. Es gilt allerdings § 13 TMG, der vorgibt, dass der Nutzer der Verwendung von solchen Cookies widersprechen und er im Nachhinein seine Einwilligung verweigern kann (Opt-out Lösung) . In diesem Sinne hat die IT-Recht Kanzlei auch ihre Datenschutzerklärung für ihre Mandanten konzipiert.

Unterschiedliche Anwendung der Cookie Richtlinie in den EU Mitgliedsstaaten

In wichtigen EU-Mitgliedsstaaten (wie F, GB oder Italien) ist Art. 2 Nr. 5 der Cookie-Richtlinie entsprechend dem Wortlaut dieser Bestimmung umgesetzt worden.

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Bei Verwendung von Cookies zur Werbung und zur Marktforschung muss daher bei wörtlicher Anwendung der Cookie-Richtlinie die vorherige Einwilligung des Nutzers eingeholt werden. Wie ausgeführt gilt die Cookie-Richtlinie auch nach Inkrafttreten der DSGVO in der jeweiligen nationalstaatlichen Umsetzung der EU-Mitgliedsstaaten fort. Das heißt: Anders als in Deutschland muss in anderen wichtigen EU-Mitgliedsstaaten, die die Cookie-Richtlinie nach ihrem Wortlaut umgesetzt haben, bei Verwendung von Cookies zu Werbe- und Marktforschungszwecken die vorherige Einwilligung des Nutzers eingeholt werden. Es ist allerdings dabei nicht damit getan, den Nutzer, der eine Webseite des Online-Händlers öffnet, mit Hilfe eines Banners allgemein darauf hinzuweisen, dass von seiner Einwilligung in die Verwendung von Cookies bei weiterem Besuch der Webseite ausgegangen wird. Der Nutzer muss vielmehr im Einzelnen über den Einsatz aller verwendeten Cookies und ihren Zweck unterrichtet werden (siehe z.B. den Leitfaden der britischen Datenschutzkommission zum Einsatz von Cookies oder die Ausführungen der französischen Datenschutzkommission zu diesem Thema.

Was bedeutet das für den Online-Händler?

Da wie ausgeführt die Cookie-Richtlinie in ihrer jeweiligen nationalstaatlichen Umsetzung auch nach Geltung der DSGVO gilt, kann ein Online-Händler mit Wohnsitz in Deutschland in seiner Datenschutzerklärung bei Verwendung von Cookies die Opt-out Lösung nach § 13 Abs. 3 TMG verwenden. Ein Online-Händler mit Wohnsitz oder mit einer Niederlassung in anderen wichtigen EU-Mitgliedsstaaten wie F, GB oder Italien muss dagegen bei Verwendung von Cookies die oben dargestellte Opt-in Regelung seines Wohnsitzstaates anwenden. In dieser wichtigen Frage fällt daher Datenschutzrecht in Deutschland und in anderen EU-Mitgliedsstaaten auseinander. Die IT-Recht Kanzlei hat daher für ihre angebotenen Datenschutzerklärungen darauf hingewiesen, dass sie nicht für Online-Händler mit Wohnsitz oder Niederlassung in anderen EU-Mitgliedsstaaten gedacht sind.

4. Ausblick auf die künftige Entwicklung

Eine geplante sog. E-Privacy Verordnung soll künftig die Verwendung von Cookies und die Frage der vorherigen Einwilligung durch eine unmittelbar in allen EU-Staaten unmittelbar geltende Verordnung regeln. Damit würde für die Frage der Verwendung von Cookies einheitliches EU-Recht hergestellt. Wie nicht anders zu erwarten wird diese Frage im Verordnungsverfahren äußerst kontrovers diskutiert. Ob es zu einer Einigung zu einer solchen Verordnung noch in diesem Jahr kommt, ist noch nicht abzusehen (zum Stand des Verordnungsverfahrens s. hier). Die IT-Recht Kanzlei wird über das weitere Verfahren berichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.