Der Europäische Datenschutzausschuss EDSA hat mit Datum vom 14. November 2023 seine Leitlinien zum sachlichen Anwendungsbereich von Art. 5 Abs. 3 der e‑Privacy-Richtlinie veröffentlicht (Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive).
Art. 5 Abs. 3 in seiner heutigen Fassung wurde durch die RL 2009/136/EG eingeführt und hat folgenden Wortlaut:
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Dass diese Bestimmung nicht nur Cookies erfasst, ist unbestritten; deshalb sprechen Cookie Policies meistens von „ähnlichen Technologien“, aber der Anwendungsbereich ist im Einzelnen unklar.
Der EDSA versucht das Dunkel entsprechender Technologien auszuleuchten, mit dem ausdrücklichen Anliegen, Umgehungen zu verhindern, also mit einer bewusst weiten Auslegung.
Der Tatbestand von Art. 5 Abs. 3 hat vier Elemente:
- Es werden „Informationen“ gespeichert oder ausgelesen;
- es geht dabei um ein „Endgerät“;
- die Vorgänge stehen im Zusammenhang mit einer fernmeldetechnischen Übertragung in einem öffentlichen Netzwerk („provision of publicly available electronic communications services in public communications networks“);
- es erfolgt eine „Speicherung“ von oder ein „Zugriff“ auf Informationen.
Der EDSA diskutiert diese vier Elemente:
„Informationen“
- Nicht nur Personendaten sind erfasst, weil es um die Vertraulichkeit von Informationen und den Schutz vor Eindringen geht, nicht die informationelle Selbstbestimmung, d.h. nicht eine bestimmte Verwendung von Daten mit Persönlichkeitsbezug – das ist für die Auslegungen des EDSA leitend, allerdings ohne dass er Grenzen des entsprechend geschützten Raums zu bestimmen versucht;
- es genügt, wenn Informationen nur ausgelesen – und nicht geändert – werden, weshalb auch bspw. eine MAC-Adresse erfasst ist.
„Endgerät“
- Endgerät ist jede Einrichtung, die Informationen nicht nur durchleitet. Ob ein Endgerät einem Nutzer gehört, gemietet oder nur benutzt wird, spielt keine Rolle.
- Ebenfalls spielt keine Rolle, ob der Nutzer die Bearbeitung von Informationen über das Endgerät will oder davon Kenntnis hat.
- Beispiele sind Smartphones, Laptops, Connected Cars, Smart TVs und Smart Glasses.
Fernmeldetechnische Übertragung
- Dieses Erfordernis ist kaum einschränkend. Es sind aber nur öffentliche Netzwerke erfasst. Eine gewisse Beschränkung des Nutzerkreises bspw. auf Abonnenten führt aber noch nicht aus dem Anwendungsbereich.
„Zugriff“ auf Informationen
- Auch Informationen einer juristischen Person sind vor Zugriff geschützt.
- Zugriff ist auch erfasst, wenn eine Speicherung gar nicht oder durch eine andere Stelle erfolgt. Auch die Herkunft ausgelesener Daten spielt keine Rolle. Art. 5 Abs. 3 gilt daher, wann immer aktiv auf Informationen zugegriffen wird.
- Anwendungsfälle sind Instruktionen des Servers an das Endgerät mit einer Rückmeldung von Informationen wie etwa beim Auslesen von Cookies. Ebenfalls erfasst wäre bspw. ein Zugriff auf Informationen über eine API in einer Software auf dem Endgerät, oder ein Java Script, über das ein Browser Informationen liefert, weil die Beschaffung von Informationen auch hier aktiv veranlasst wird.
- Das gilt auch, wenn eine Stelle die Übermittlung von Informationen an eine andere Stelle veranlasst.
“Speicherung“ von Informationen
- Das bedeutet, dass Informationen auf einen physischen Datenträger gespeichert werden, der funktional zum Endgerät gehört, auch bspw. im RAM oder einem Cache, oder auch auf einem externen, aber verbundenen Speicher. Das geschieht i.d.R. nicht direkt, sondern über Software auf dem Endgerät, die Information erzeugt, aber sie kann auch vom Nutzer selbst oder einer anderen Stelle vorgenommen werden, solange die Speicherung nur aktiv veranlasst wird.
- Wie gross die Information ist und wie lange sie gespeichert wird, spielt keine Rolle.
Anwendungsfälle
Als „Use Cases“ diskutiert der EDSA u.a. folgendes:
- Das Auslesen von MAC- oder IP-Adressen;
- Fingerprinting auf Basis von Informationen wie etwa HTTP-Header-Informationen;
- Pixel Tracking oder ein Tracking durch Links, d.h. in beiden Fällen der Aufruf einer kodierten URL durch den Mail Client oder Browser mit einer entsprechenden Informationsübermittlung auf einen Server. Durch die Übermittlung des Pixels oder kodierten Links erfolge ein aktives Auslesen von Informationen:
Under the condition that said pixel or tracked URL have been distributed over a public communication network, it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable;
- ein Abfragen von Informationen über eine API, sofern anschliessend Informationen über ein Netzwerk übermittelt werden;
- ein Tracking alleine über eine IP-Adresse, sofern diese Information vom Endgerät – etwa von einem Router – ausgelesen wird, auch bei einer dynamischen IP-Adresse, die bspw. über DHCP auch serverseitig generiert wird;
- das Auslesen von Informationen aus einem verbundenen IoT-Gerät, falls es Informationen über ein öffentliches Netzwerk übermittelt (z.B. via WiFi oder eine SIM-Karte), aber nicht, wenn Informationen eine nicht-öffentliche Verbindung (Point-to-Point-Verbindung) übermittelt werden;
- das Auslesen eines Unique Identifiers, z.B. eines Hashwert auf Basis von Nutzerdaten oder eines Logins.
Nicht erfasst ist dagegen bspw. der Zugriff auf Informationen ausschliesslich im Endgerät selbst, etwa einer Applikation im Mobiltelefon auf die Kamera oder im Browser auf Cookies oder andere lokal gespeicherte Daten.
Ein Blick in die Schweiz
Die Schweiz kennt eine verwandte Bestimmung in Art. 45c FMG („Bearbeiten auf fremden Geräten“):
Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt: […]
b. wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.
Diese Bestimmung verlangt grundsätzlich eine Information über das Bearbeiten und dessen Zweck und das Widerspruchsrecht, und dies dann, wenn Daten „auf fremden Geräten“ bearbeitet werden. Ihr Anwendungsbereich ist aber weitgehend ungeklärt. Der Wortlaut bspw. spricht nur vom Bearbeiten auf dem fremden Gerät. Der Botschaft zufolge soll aber auch das Auslesen von Informationen erfasst sein („Das Bearbeiten von Daten im Sinne von Artikel 45c umfasst die Speicherung, den Zugriff und jede sonstige Bearbeitung“).
Die Lehre vertritt sodann, dass Art. 45c FMG nur die Bearbeitung von Personendaten erfasse. Die Botschaft zu Art. 45c FMG legt an und für sich aber eine weitere Auslegung nahe, zumal sie als Schutzzweck nicht nur die Privatsphäre nennt (und selbst hier: Art. 13 BV betrifft auch die Bearbeitung nicht personenbezogener Daten), sondern auch den Schutz vor Zugriffen auf Geräte, und ausdrücklich eine Anlehnung an Art. 5 Abs. 3 beabsichtigt (aber in der Ursprungsfassung der RL, die ein Widerspruchsrecht, nicht aber ein Einwilligungserfordernis vorgesehen hatte).
Sobald Personendaten bearbeitet werden, ist jedenfalls aber das Datenschutzrecht anwendbar. Dazu folgende Hinweise:
- Der Begriff des Personendatums entspricht nach wie vor dem Logistep-Entscheid. Ein Datum ist nur personenbezogen, wenn es mit vernünftigem Aufwand einer natürlichen Person zugeordnet werden kann. Eine Cookie ID, eine Mac-Adresse usw. stellt für den Betreiber i.d.R. kein Personendatum dar. Anders wäre es, wenn er diese Angaben in einer Art und Weise verwendet, die eine Identifikation ermöglicht, bspw. in einem Strafverfahren unter Einbezug des ISP oder im Zusammenhang mit einem Nutzer-Login.
- Eine Einwilligung ist grundsätzlich nicht erforderlich. Art. 45c FMG sieht nur ein Widerspruchsrecht vor, und das Datenschutzrecht verlangt bekanntlich keine Einwilligung, solange die Bearbeitungsgrundsätze eingehalten werden.
- Die Grundsätze des Datenschutzrechts verlangen Transparenz. Dazu kommt die Informationspflicht nach Art. 19 DSG.
- Weder Art. 45c FMG noch das Datenschutzrecht verlangen ein Cookie Banner. Es reicht, in einer Datenschutzerklärung oder einer Cookie Notice zu informieren.
- Falls ein Cookie Banner eingesetzt wird, muss es nicht in einer bestimmten Weise gestaltet sein, solange es nicht irreführend ist. Zulässig ist grundsätzlich ein „OK“-Button, ein „Einverstanden“-Button, ein „Konfigurieren“-Button oder eine Kombination. Wer einen „Einverstanden“- und einen „Konfigurieren“-, aber keinen „Ablehnen“-Button verwendet, verhält sich nicht besonders nutzerfreundlich, verletzt aber nicht schweizerisches Recht. Eine solche Gestaltung dürfte auch den Grundsatz von Treu und Glauben nicht verletzen, sofern er überhaupt zur Anwendung kommt (was eine Bearbeitung von Personendaten voraussetzt). Nutzerunfreundliches Verhalten ist nicht treuwidrig; so niedrig ist die Schwelle des Eingriffs nicht, und es besteht auch keine besondere Beziehung zum Nutzer einer Website, die einen höheren Masstab verlangen könnte.
- Wer sich entschliesst, mit einer Einwilligung zu arbeiten, darf das. Es gibt in der Schweiz dabei kein Erfordernis, den Widerruf der Einwilligung technisch zu erleichtern (und auch nicht den Widerspruch nach Art. 45c FMG). Entsprechend gibt es keine Pflicht, laufend ein Opt-Out-Menu o.dgl. anzubieten. Wer mit Einwilligungen arbeitet, muss aber den Privacy by Default-Grundsatz beachten. Je nach Gestaltung der Einstellungsmöglichkeiten kann sich daraus das Erfordernis ergeben, die von einer Einwilligung betroffenen Cookies by default auszuschalten.
- Der Zweck ist Richtgrösse für die Beurteilung der Verhältnismässigkeit. Der Verantwortliche setzt den Zweck gemäss dem Grundsatz der Privatautonomie im Rahmen des zwingenden Rechts frei. Es gibt im Privatbereich keinen gesetzlichen Zweck, ausserhalb zwingender Bearbeitungen, also kein „iustum pretium“ der Datenbearbeitung. Das Datenschutzrecht verlangt nur, dass der Verantwortliche den Rahmen des selbstgesetzten Zwecks nicht verlässt. Entsprechend kann nicht gesagt werden, der Betrieb einer Website oder App erfordere objektiv keine Cookies, weshalb ihr Einsatz unverhältnismässig wäre, denn „Betrieb der Website“ beschreibt einen Zweck, dessen Bestimmung aber dem Verantwortliche obliegt und nicht dem Gesetzgeber, einer Behörde oder einem „reasonable man“.