Sehr geehrter *************,

es erschließt sich mir nicht, was Sie mir damit sagen wollen. Wollen Sie mir sagen, dass meine Beschwerde nicht greift, weil ich möglicherweise vergessen habe, mich wegen Verstoß gegen §25 TTDSG statt gegen Artikel 6/7 DSGVO – auf den dieser dann referenziert, was die Anforderungen/Wirksamkeit der Einwilligung angeht – zu beschweren? Dann möchte ich das hiermit nachholen. Hat das dann den Effekt, dass Sie nicht auf das belgische Verfahren warten müssen?

Auf den illegalen Datenexport sind Sie noch gar nicht eingegangen, obwohl die Frist nach Artikel 78 schon verstrichen ist.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter Herr Lindenberg,

besten Dank für Ihre Nachfrage und Ihr Interesse an der Durchsetzung des Datenschutzrechts.

Für den Einsatz von Cookies und ähnlichen Technologien sind in erster Linie die Datenschutzgrundverordnung (DS-GVO) sowie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) einschlägig. Die DS-GVO regelt den Schutz personenbezogener Daten, das TTDSG in § 25 den Einsatz von Cookies und ähnlichen Technologien, über die Informationen auf Endeinrichtungen  gespeichert oder aus diesen ausgelesen werden, unabhängig davon, ob diese personenbezogen sind oder nicht.

Die spezifischen Bestimmungen des § 25 TTDSG gelten vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden (vgl. Art. 95 DS-GVO). Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.

Cookies (u.ä.) sind grundsätzlich einwilligungsbedürftig (vgl. § 25 Abs. 1 S. 1 TTDSG). Von der Einwilligungspflicht nach dem TTDSG ausgenommen sind Cookies (u.ä.), die unbedingt erforderlich sind, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, § 25 Abs. 2 Nr. 2 TTDSG. Neben den Vorgaben des TTDSG ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DS-GVO erfüllt ist. Für die Verarbeitung personenbezogener Daten bei der Erbringung von Telemediendiensten kommt es etwa in Betracht, sich auf eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO zu berufen. Die Einwilligung, die nach § 25 Abs. 1 TTDSG erforderlich ist, und die Einwilligung, die als Rechtsgrundlage für eine geplante weitere Verarbeitung der ausgelesenen Daten gemäß Art. 6 Abs. 1 lit. a DS-GVO erforderlich sein kann, können durch dieselbe Handlung erteilt werden.

Sofern keine Einwilligung erteilt wurde oder Wirksamkeitsmängel der Einwilligung nach § 25 Abs. 1 TTDSG festgestellt werden, wirkt dies auf die nachgelagerte Verarbeitung fort. Nachgelagerte Datenverarbeitungen können nur rechtmäßig erfolgen, wenn die vorgelagerte Verarbeitung nach dem TTDSG rechtmäßig ist. In derartigen Konstellationen muss im Rahmen der Rechtmäßigkeit der Datenverarbeitung nach der DS-GVO inzident geprüft werden, ob die vorgelagerten Vorgänge rechtmäßig stattgefunden hat. Denn schon das Einfallstor, um die nachgelagerte Verarbeitung überhaupt durchführen zu können, wurde von den Nutzenden nicht „geöffnet“. Dies muss ferner gelten, wenn eine Einwilligung zwar erteilt wurde, diese jedoch unter Wirksamkeitsmängeln leidet. Auch hier liegt keine Konstellation vor, die eine nachgelagerte Verarbeitung nach der DS-GVO legitimieren könnte.

Ich hoffe, ich konnte Ihnen mit diesen Informationen weiterhelfen.

Mit freundlichen Grüßen
Im Auftrag

***************