{"id":612,"date":"2020-09-11T20:24:54","date_gmt":"2020-09-11T18:24:54","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=612"},"modified":"2020-12-09T20:26:41","modified_gmt":"2020-12-09T19:26:41","slug":"tracking-im-fokus-der-aufsichtsbehoerden-laenderuebergreifende-pruefung-von-medienwebsites","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=612&lang=de","title":{"rendered":"Tracking im Fokus der Aufsichtsbeh\u00f6rden &#8211; L\u00e4nder\u00fcbergreifende Pr\u00fcfung von Medienwebsites"},"content":{"rendered":"\n<p>Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen \u201ePlanet 49\u201c (Urteil vom 28.5.2020, Az. I ZR 7\/16;&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=ac883d1dd9&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">wir berichteten<\/a>) auch die Aufsichtsbeh\u00f6rden beim Thema Tracking und Cookies aktiv werden w\u00fcrden. Nun ist es so weit: In einer koordinierten l\u00e4nder\u00fcbergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbeh\u00f6rden gegen gr\u00f6\u00dfere Medienh\u00e4user vor (konkret handelt es sich um die Aufsichtsbeh\u00f6rden in Baden-W\u00fcrttemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste \u00f6ffentliche Ank\u00fcndigung ist der&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=0e2241c1b0&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Pressemitteilung des LfDI Baden-W\u00fcrttemberg<\/a>&nbsp;vom 19.08.2020 zu entnehmen.<\/p>\n\n\n\n<p>Die Aufsichtsbeh\u00f6rden haben demnach an die reichweitenst\u00e4rksten Verlage in Ihrem Zust\u00e4ndigkeitsbereich ein f\u00f6rmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten m\u00fcssen. Dabei haben die Beh\u00f6rden Ihren Schreiben einen umfangreichen Fragebogen beigef\u00fcgt, der auszuf\u00fcllen ist.<\/p>\n\n\n\n<p>Sowohl der Fragebogen, als auch die dazugeh\u00f6rigen Erl\u00e4uterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de ver\u00f6ffentlicht:<\/p>\n\n\n\n<ul><li><a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=68d06465da&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Fragebogen<\/a>&nbsp;(11 Seiten)<\/li><li><a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=4dacf6dda3&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Erl\u00e4uterungen<\/a>&nbsp;(3 Seiten)<\/li><li><a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=a281891bdf&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Tabellendokumente mit Beispielen<\/a><\/li><li>dazugeh\u00f6rige Anschreiben aus&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=9e6ef250bd&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Rheinland-Pfalz<\/a>&nbsp;und&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=647e1ba0ea&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Baden-W\u00fcrttemberg<\/a><\/li><li><a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=a50cb17aa8&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Vermerk aus Rheinland-Pfalz<\/a>, welche Verlage dort angeschrieben wurden.<\/li><\/ul>\n\n\n\n<p>Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbeh\u00f6rden ist. Offenbar geht man dort davon aus, dass \u201edas Problem mit den Cookies\u201c in der Medienbranche ganz besonders ausgepr\u00e4gt ist, weshalb diese Branche ein guter Startpunkt f\u00fcr die eigenen Regulierungsbem\u00fchungen ist. Man wird damit rechnen m\u00fcssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.<\/p>\n\n\n\n<p>Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren f\u00fcr den Einsatz von Tracking-Technologien gewinnen lassen.<\/p>\n\n\n\n<p><strong>Welche Erkenntnisse kann man aus den Anschreiben erlangen?<\/strong><\/p>\n\n\n\n<p>Los geht es mit den Anschreiben der Beh\u00f6rden (derzeit liegen uns Fassungen aus&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=0692a23087&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Rheinland-Pfalz<\/a>&nbsp;und&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=985767553c&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Baden-W\u00fcrttemberg<\/a>&nbsp;vor). Das erste was hier auff\u00e4llt ist, dass diese \u2013 anders als der Fragebogen und die dazugeh\u00f6rigen Dokumente \u2013 unter den Beh\u00f6rden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.<\/p>\n\n\n\n<p>Zwar sagt sowohl die Beh\u00f6rde aus Baden-W\u00fcrttemberg als auch die aus Rheinland-Pfalz, f\u00fcr den Einsatz von Tracking-Technologien ben\u00f6tige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begr\u00fcndung ist jedoch anders. So verweist der LfDI Baden-W\u00fcrttemberg allein auf die \u201e<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=50b2a9467a&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Orientierungshilfe Telemedien<\/a>\u201c, die die Aufsichtsbeh\u00f6rden im letzten Fr\u00fchjahr herausgegeben haben. Konkret hei\u00dft es:<\/p>\n\n\n\n<p><em>\u201eDie Konferenz der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder(DSK) hat in verschiedenen Ver\u00f6ffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen \u2013 vor allem zu Werbezwecken \u2013 dienen. Insbesondere mit der Orientierungshilfe f\u00fcr Anbieter von Telemedien vom M\u00e4rz 2019 (<\/em><a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=3349f71c78&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\"><em>https:\/\/www.datenschutzkonferenzonline.de\/media\/oh\/20190405_oh_tmg.pdf<\/em><\/a><em>) wurden diese ausf\u00fchrlich erl\u00e4utert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zul\u00e4ssig, wenn die Nutzer darin ausdr\u00fccklich eingewilligt haben.\u201c<\/em><\/p>\n\n\n\n<p>Dies ist insofern fragw\u00fcrdig, als dass die Ausf\u00fchrungen in der angesprochenen Orientierungshilfe lange vor den (f\u00fcr den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache \u201ePlanet 49\u201c erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fu\u00dfen, dass eine richtlinienkonforme Auslegung des \u00a7 15 Abs. 3 S. 1 TMG&nbsp;<em>nicht&nbsp;<\/em>m\u00f6glich und die Norm daher nicht anwendbar sei (<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=d1c3e0215a&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Orientierungshilfe Telemedien, S. 2-6)<\/a>. Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein R\u00fcckgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des \u2013 vom BGH f\u00fcr wirksam erachteten \u00a7 15 Abs. 3 S. 1 TMG \u2013 jedoch&nbsp;<em>nicht&nbsp;<\/em>m\u00f6glich. Kurzum: Die rechtlichen Ausf\u00fchrungen des LfDI Baden-W\u00fcrttemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angesto\u00dfen und wollte es trotz des Urteils nun nicht mehr stoppen.<\/p>\n\n\n\n<p>Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zun\u00e4chst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber \u00fcber und erw\u00e4hnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngem\u00e4\u00df: \u201eDer BGH erkl\u00e4rt zwar \u00a7 15 Abs. 3 TMG f\u00fcr anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: F\u00fcr Cookies braucht man eine Einwilligung\u201c.<\/p>\n\n\n\n<p>Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort f\u00fcr bare M\u00fcnze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu \u00a7 15 Abs. 3 TMG zu verstehen sind.<\/p>\n\n\n\n<p>Insbesondere zur Zust\u00e4ndigkeit der Aufsichtsbeh\u00f6rden bereitet die vom BGH beschlossene Anwendbarkeit von \u00a7 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbeh\u00f6rden sowohl f\u00fcr die Aufsicht als auch die Verh\u00e4ngung von Bu\u00dfgeldern zust\u00e4ndig sind, ist alles andere als klar.<\/p>\n\n\n\n<p>An dieser Stelle ein kurzer Exkurs:<\/p>\n\n\n\n<p>Selbstverst\u00e4ndlich sind die Datenschutzaufsichtsbeh\u00f6rden f\u00fcr die \u00dcberwachung der Einhaltung und Ahndung von Verst\u00f6\u00dfen in Bezug auf die DSGVO zust\u00e4ndig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverh\u00e4ltnisses&nbsp;<em>nicht&nbsp;<\/em>anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann \u00fcberwacht.<\/p>\n\n\n\n<p>Das TMG selbst enth\u00e4lt keine Zust\u00e4ndigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in \u00a7 1 Abs. 1 Hs. 2 RStV geregelt, dass f\u00fcr Telemedien (der juristische Begriff f\u00fcr Webangebote) die Abschnitte IV. bis VI. sowie \u00a7 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der \u00dcberschrift \u201eAufsicht\u201c der \u00a7 59 RStV, in dem es in Abs. 1 S. 1 hei\u00dft:<\/p>\n\n\n\n<p><em>\u201eDie nach den allgemeinen Datenschutzgesetzen des Bundes und der L\u00e4nder zust\u00e4ndigen Aufsichtsbeh\u00f6rden \u00fcberwachen f\u00fcr ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des \u00a7 57.\u201c<\/em><\/p>\n\n\n\n<p>Weiter hei\u00dft es in \u00a7 59 Abs. 2 RstV:<\/p>\n\n\n\n<p><em>\u201eDie Einhaltung der Bestimmungen f\u00fcr Telemedien einschlie\u00dflich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der pers\u00f6nlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbeh\u00f6rden \u00fcberwacht.\u201c<\/em><\/p>\n\n\n\n<p>Daraus folgt zun\u00e4chst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbeh\u00f6rden f\u00fcr die Aufsicht zust\u00e4ndig. F\u00fcr die Aufsicht \u00fcber die Einhaltung anderer als datenschutzrechtlicher Bestimmungen f\u00fcr Telemedien sind hingegen die jeweiligen Landesmedienanstalten zust\u00e4ndig.<\/p>\n\n\n\n<p>Da der \u00a7 15 TMG im Telemediengesetz in Abschnitt \u201e4. Datenschutz\u201c steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbeh\u00f6rden deshalb f\u00fcr die Aufsicht zust\u00e4ndig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt f\u00fcr Datenschutzaufsicht (BayLDA), wie&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=00b99fe093&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">hier<\/a>&nbsp;nachzulesen ist.<\/p>\n\n\n\n<p>Nicht ausdr\u00fccklich geregelt in \u00a7 59 RStV ist jedoch eine Regelung zur Zust\u00e4ndigkeit f\u00fcr die Verteilung von Bu\u00dfgeldern. W\u00e4ren die Datenschutzaufsichtsbeh\u00f6rden hierf\u00fcr nicht zust\u00e4ndig, w\u00e4ren sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie k\u00f6nnten zwar wie jetzt Auskunft verlangen, jedoch Verst\u00f6\u00dfe nicht per Bu\u00dfgeld ahnden. (Ende Exkurs)<\/p>\n\n\n\n<p>Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbeh\u00f6rden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies st\u00fcrzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.<\/p>\n\n\n\n<p><strong>Was offenbart der Fragebogen?<\/strong><\/p>\n\n\n\n<p>Der elfseitige&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=a96944e2bf&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Fragebogen<\/a>&nbsp;enth\u00e4lt eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe \u00fcberrascht.<\/p>\n\n\n\n<p>Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber m\u00fcssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgef\u00fcllt werden \u2013 die Dienste m\u00fcssen auch in den beigef\u00fcgten&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=088686bfa1&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Tabellendokumenten<\/a>&nbsp;minuti\u00f6s mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf l\u00e4sst der Fragebogen an dieser Stelle auch erkennen, dass die Beh\u00f6rden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern s\u00e4mtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Pr\u00fcfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur gekl\u00e4rt wurde, dass der Einsatz von&nbsp;<em>Cookies&nbsp;<\/em>unter \u00a7 15 Abs. 3 TMG f\u00e4llt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht gekl\u00e4rt. Neben der Nennung aller Tracking-Technologien m\u00fcssen auch die jeweiligen Rechtsgrundlagen nebst Erl\u00e4uterungen angegeben werden.<\/p>\n\n\n\n<p>Im n\u00e4chsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (\u00c4nderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Beh\u00f6rden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool f\u00fcr die Einholung der Einwilligung eingef\u00fchrt haben.<\/p>\n\n\n\n<p>Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, n\u00e4mlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier m\u00fcssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabw\u00e4gung vorlegen zu k\u00f6nnen. Etwas \u00fcberraschend fragen die Beh\u00f6rden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderj\u00e4hrige. Viele Verantwortliche werden hier Erkl\u00e4rungen finden m\u00fcssen, warum ihr Angebot nicht an unter 16-J\u00e4hrige gerichtet ist und wie sie deren Nutzung wirksam ausschlie\u00dfen.<\/p>\n\n\n\n<p>Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabsch\u00e4tzungen (DSFA). Die Beh\u00f6rden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgef\u00fchrt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Pr\u00fcfungen der Risiken von Datenverarbeitungen. Die Beh\u00f6rden verlangen hier eine Begr\u00fcndung, falls man eine solche DSFA nicht durchgef\u00fchrt hat. Ob daraus ersichtlich wird, dass die Beh\u00f6rden eine solche Folgenabsch\u00e4tzung bei Tracking generell f\u00fcr erforderlich halten, wird allerdings nicht ganz klar.<\/p>\n\n\n\n<p><strong>Was steckt in den zus\u00e4tzlichen Erl\u00e4uterungen?<\/strong><\/p>\n\n\n\n<p>Zusammen mit dem Fragebogen schicken die Beh\u00f6rden noch&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=2c8295bb6c&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Erl\u00e4uterungen<\/a>&nbsp;an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort hei\u00dft es:<\/p>\n\n\n\n<p><em>\u201eDies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie \u201eVerstanden\u201c, \u201eAlles klar\u201c, \u201eJa und weiter\u201c oder \u201eEinverstanden\u201c entsprechen in aller Regel keiner Einwilligung.\u201c<\/em><\/p>\n\n\n\n<p>Dieser Hinweis ist insbesondere f\u00fcr die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine \u201efreie Wahl\u201c hat, wenn ihm im Consent-Banner die M\u00f6glichkeiten \u201eJa \/ Nein\u201c als Buttons gegeben werden, oder ob auch Gestaltungen wie \u201eJa \/ Weitere Einstellungen\u201c rechtskonform sind.<\/p>\n\n\n\n<p>Hier l\u00e4sst der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbeh\u00f6rden auch andere Gestaltungsm\u00f6glichkeiten als ein klares \u201eJa\/Nein\u201c f\u00fcr rechtm\u00e4\u00dfig halten, da hiernach eine \u201eAblehnung oder vergleichbare Alternative\u201c zur Auswahl stehen muss und solche Gestaltungen ggf. als \u201evergleichbare Alternative\u201c angesehen werden k\u00f6nnen.<\/p>\n\n\n\n<p><strong>Fazit<\/strong><\/p>\n\n\n\n<p>Mit ihrer l\u00e4nder\u00fcbergreifenden Aktion bringen die Aufsichtsbeh\u00f6rden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grunds\u00e4tzlich ist es zwar zu begr\u00fc\u00dfen, dass in diesem \u2013 von Unklarheiten gepr\u00e4gten \u2013 Rechtsbereich eine Kl\u00e4rung der f\u00fcr Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Beh\u00f6rdenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen \u201ePlanet 49\u201c nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschl\u00e4chtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von \u00a7 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausf\u00e4llt, wirkt fast ironisch.<\/p>\n\n\n\n<p>Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Beh\u00f6rden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos f\u00fcr Unternehmen sind jetzt:<\/p>\n\n\n\n<ul><li>Sie sollten in jedem Fall eine umfassende Pr\u00fcfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Kl\u00e4ren Sie f\u00fcr sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten k\u00f6nnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter m\u00f6glich. Sollten Ihnen Informationen von Drittanbietern f\u00fcr eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.<\/li><li>Kl\u00e4ren Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?<\/li><li>Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsm\u00f6glichkeit hat.<\/li><li>Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabw\u00e4gung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Beh\u00f6rde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer m\u00f6glich, die entsprechenden Dokumentationen noch \u201eauf die Schnelle\u201c zu erstellen.<\/li><\/ul>\n\n\n\n<p>Geschrieben am 03. September 2020 von Dr. Frank Eickmeier, UNVERZAGT Rechtsanw\u00e4lte&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen \u201ePlanet 49\u201c (Urteil vom 28.5.2020, Az. I<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=612&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/612"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=612"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/612\/revisions"}],"predecessor-version":[{"id":613,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/612\/revisions\/613"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}