Der europäische Datenschutzaussschuss (EDSA) hat den Entwurf einer neuen Richtlinie zum technischen Anwendungsbereich von Art. 5 Abs. 3 der E-Privacy Richtlinie (Richtlinie 2002/58/EG in der durch die Richtlinie 2009/136/EG geänderten Fassung) zur öffentlichen Konsultation gestellt (Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive). Stellungnahmen zu dem Entwurf sind noch bis zum 28. Dezember 2023 möglich.
Art. 5 Abs. 3 E-Privacy Richtlinie legt seit dem in Kraft treten der E-Privacy Richtlinie Ende Juli 2002, die verbindlichen Mindestvorgaben zum Schutz von lesenden oder schreibenden Zugriffen auf Endgeräte bei der elektronischen Kommunikation fest, wie es beispielsweise beim Speichern oder Abruf von Cookies im Browser geschieht. Der breiteren Öffentlichkeit ist die Richtlinie daher auch vor allem als „Cookie Richtlinie“ bekannt. Art. 5 Abs. 3 der E-Privacy Richtlinie wurde – mit erheblicher Verspätung und nach zahlreichen kontroversen Diskussionen – 2021 durch das TTDSG in das deutsche Recht umgesetzt.
Worum geht es?
Konkret ordnet Art. 5 Abs. 3 E-Privacy Richtlinie folgendes an:
„(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Die neuen Leitlinien des EDSA beschäftigen sich nun mit den grundlegenden Begriffen bzw. Merkmalen von Art. 5 Abs. 3 E-Privacy Richtlinie, namentlich:
- „Information“,
- „Endgeräte“,
- „Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“
- „Speicherung von oder der Zugriff auf Informationen, die im Endgerät bereits gespeichert sind“.
Sehr weites Begriffsverständnis bei Speicherung und Zugriff
Besonders interessant sind die Äußerungen des EDSA zur Frage, wann Informationen auf einem Endgerät gespeichert werden, bzw. wann auf dem Endgerät gespeicherte Informationen zugegriffen wird.
- So bestehe laut EDSA kein Unterschied zwischen großen und kleinen Dateien oder flüchtiger und dauerhafter Speicherung (Rn. 36 der Stellungnahme). Daher kämen für eine Speicherung auch tatsächlich alle Bestandteile des Endgeräts in Betracht, seien es Festplatten, SSDs, RAM oder der Cache einer CPU. Auch über Netzwerke angebundene Speicher seien erfasst, soweit sie wie ein lokaler Speicher eingesetzt werden (Rn. 37 der Stellungnahme).
- Ebenso irrelevant sei, wer die Information gespeichert habe und wie sie gespeichert wurden. Als Beispiele nennt der EDSA daher auch z.B. den Zugriff auf zuvor durch Nutzer:innen selbst oder Hardwarehersteller gespeicherte Informationen (Rn. 39 der Stellungnahme).
- Der EDSA ist zudem der Ansicht, dass es für das Vorliegen eines Zugriffsvorgangs nicht von Bedeutung ist, wer den Vorgang veranlasst hat, sondern nur, dass Zugriff auf die Daten bestehe d.h. auch die im Rahmen eines Kommunikationsvorgangs über das Netzwerk aufgrund der eingesetzten technischen Protokolle zwingend erforderliche Bekanntgabe einer IP-Adresse sei ein Vorgang der unter Art. 5 Abs. 3 der E-Privacy-Richtlinie falle (Rn. 42 der Stellungnahme).
Von der E-Privacy Richtlinie erfasste Technologien
Anschließend geht der EDSA auf mehrere konkreten Technologien ein und ordnet sie – konsequent angesichts des sehr weiten Begriffsverständnisses – durchweg als unter Art. 5 Abs. 3 der E-Privacy-Richtlinie fallende Vorgänge ein.
- So fielen nach dem EDSA sowohl Tracking Pixel als auch Tracking Links unter Art. 5 Abs. 3 der E-Privacy-Richtlinie. Die Einbindung eines Tracking Pixels oder der eines Tracking-Links (z.B. in einer Website oder in einer E-Mail) sei eine Speicherung von und die von dem Pixel bzw. Link hergestellte Verbindung und damit verbundene Übermittlung sei ein Zugriff auf Informationen.
- Ebenso seien lokal erzeugte Ergebnisse, die über Schnittstellen übermittelt würden auch ein Zugriff – nach den zuvor angestellten Überlegungen selbst dann, wenn die Übermittlung vom Endgerät der Nutzer:in ausgelöst wird.
- Auch Tracking, welches ausschließlich beim Verbindungsvorgang übermittelte IP-Adressen verwendet, sei von Art. 5 Abs. 3 E-Privacy Richtlinie erfasst.
- Ebenso unterfalle der Zugriff auf IoT-Geräte der E-Privacy Richtlinie. Entweder da die IoT-Geräte selbst ein Endgerät darstellen oder aber – je nach Netzwerkverbindung – zumindest die Information an ein Endgerät (wie z.B. den Router) übermitteln.
- Schließlich sei auch die Speicherung von eindeutigen Kennungen, die auf dem Gerät der Nutzer:innen anhand von Hashwerten aus Daten wie Namen oder E-Mail-Adressen gebildet werden, erfasst. Dabei sei bereits die Bildung des Hashwertes auf dem Endgerät eine rechtfertigungsbedürftige Speicherung, da die Daten – jedenfalls flüchtig – im Endgerät vorhanden seien.
Eigene Bewertung: zu weite Auslegung
Die Stellungnahme überrascht insoweit, dass sie über die bislang durch die Aufsichtsbehörden vorgenommene Auslegung der Merkmale weit hinausgeht. So nehmen selbst die deutschen Aufsichtsbehörden in Form der Datenschutzkonferenz (DSK) – die selbst nicht gerade für eine restriktive Auslegungen der E-Privacy und Datenschutzvorschriften bekannt sind – in ihrer Orientierungshilfe zu Telemedien bislang eine engere und näher am Wortlaut orientierte Auslegung der deutschen Umsetzungsnorm § 25 TTDSG vor.
So sieht die DSK in der Erfassung der bei einer Kommunikation aufgrund des verwendeten Protokolls zwangsläufig übermittelten Daten (z.B. der IP-Adresse und dabei mitübermittelten Metadaten) keinen „Zugriff“ auf eine Endeinrichtung, sondern nur in der aktiven Beeinflussung einer Endeinrichtung – z.B. durch aktives Fingerprinting (Rn. 21 – Rn. 23 der Orientierungshilfe). Auch über diese Auslegung lässt sich trefflich streiten, sie liegt aber jedenfalls näher am technischen Vorgang sowie am Schutzzweck von Art. 5 Abs. 3 der E-Privacy-Richtlinie.
Denn in technischer Hinsicht findet hier rein faktisch kein Zugriff auf im Endgerät gespeicherte Informationen statt. In rechtlicher Hinsicht ist der Schutzzweck der Richtlinie die Sicherstellung der Privatsphäre, welche im Sinne einer Integritätsgewährung verstanden werden muss. EG 24 der Richtlinie will die Endgeräte der Nutzer:innen vor dem „Eindringen“ schädlicher Technologien schützen. Bei der bloßen Abhandlung des Kommunikationsvorgangs kann davon keine Rede sein. Dass der Gesetzgeber dies nicht vor Augen hatte wird z.B. deutlich, wenn man sich die Systematik von Art. 5 der E-Privacy Richtlinie ansieht. So wird der Schutz von Verkehrsdaten wie der IP-Adresse und damit verbundenen Metadaten schon in Art. 5 Abs. 1 und Abs. 2 E-Privacy-Richtlinie geregelt. Es wäre kontraintuitiv, wenn Absatz 3 den gleichen Regelungsgegenstand erneut aufgreifen würde. Überzeugender ist, dass sich die Absätze jeweils geschlossen mit den von ihnen behandelten Sachverhalten befassen.
Weitere Probleme bei zu weiter Auslegung
Auch führt die weite Auslegung des EDSA zu äußerst zweifelhaften Ergebnissen, wenn man sie nur zu Ende denkt. So wäre grundsätzlich jeder Server Request nach Ansicht des EDSA von der E-Privacy-Richtlinie erfasst. Dies würde gleichzeitig bedeuten, dass auch der Abruf einzelner Elemente einer Website – z.B. von Bildern, Texten und anderen Mediendateien – stets nach Art. 5 Abs. 3 E-Privacy Richtlinie zu beurteilen wäre. Dementsprechend müsste auch stets eine (informierte und DSGVO-konforme) Einwilligung eingeholt werden, wenn nicht der spezifische Inhalt unbedingt erforderlich ist, damit der von den Nutzer:innen ausdrücklich gewünschte Dienst zur Verfügung gestellt wird. Die Konsequenz wäre die behördliche und gerichtliche Kontrolle jedes Verbindungsvorgangs im Internet und zudem eine hoheitliche Entscheidungsgewalt darüber, welche Texte, Bilder, Dateien und Inhalte auf einer Seite noch als „erforderlich“ angesehen werden und welche nicht. Ein Ergebnis, dass eigentlich so von keiner Seite gewollt werden kann.
Auch die Erfassung von nur flüchtigen Speicherungen erscheint fragwürdig. Zwar werden flüchtige Speicherungen auch in anderen Rechtsgebieten wie dem Urheberrecht erfasst. Dort ist die Schutzrichtung des Gesetzes jedoch eine andere, da gerade der spezifische Inhalt geschützt werden soll, der auch durch eine flüchtige Speicherung beeinträchtigt werden kann und nicht die Integrität der Endeinrichtung. Diese wird durch flüchtige und allein technisch bedingte Speicherungen wie in RAM und CPU-Cache aber gerade nicht berührt.
Bildnachweis: Lisa Fotios, Stack Chocolate Chip, CC0