Textprobe: Kapitel 2.4 Anwendungsbereiche von Datenschutzanforderungen 2.4.1 Allgemeine Anwendungsbereiche der DSGVO Nach der Darstellung der Regelungen, die sich mit Datenschutzthemen befassen, soll im Folgenden ausgeführt werden, welche - vor allem in Unternehmen vorkommenden - Bereiche und Themenkreise Gegenstand von Datenschutzbemühungen sein können. Dazu schreiben Geis und Helfrich, dass Datenspuren sich aus der Nutzung sozialer Netzwerke ebenso ergeben wie aus der Überwachung von Mitarbeitern, Empfehlungsalgorithmen von Lieferanten oder der Strafverfolgung. Personenbezogene Daten sollen in diesen vernetzen Digitalsphären geschützt werden. Dabei sind solche Daten als personenbezogen anzusehen und durch entsprechende Grundrechte zu schützen, mit denen Personen direkt oder indirekt identifiziert und Datensätzen oder Eigenschaften zugeordnet werden können. Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung weiterhin sowohl für die ganz und teilweise automatisierte Verarbeitung als auch für nichtautomatisierte Verarbeitung. Unter automatisiert ist im Wesentlichen die Zuhilfenahme von IT-Prozessen und EDV-Anlagen zu verstehen. Um bewerten zu können, ob ein konkreter Fall in den Anwendungsbereich der DSGVO fällt, müssen sachliche, persönliche und räumliche Aspekte geprüft werden. Wenn eine Verarbeitung stattfindet, die personenbezogene Daten betrifft, dann fällt dies sachlich in den Anwendungsbereich der DSGVO. Persönliche Kriterien sind durch die Identifizierbarkeit von Personen anhand von bestimmten Merkmalen wie Name oder Standort gegeben. Örtlich ist die DSGVO dann anzuwenden, wenn personenbezogene Daten von europäischen Bürgern betroffen sind. Ein Sitz des Unternehmens in einem Mitgliedsstaat ist nicht erforderlich. Erwägungsgrund 14 konkretisiert Art. 3 Abs. 2 DSGVO dahingehend, dass eine betroffene Person, die sich in der europäischen Union befindet, nicht die Staatsangehörigkeit eines Mitgliedslandes und auch keinen dauerhaften Wohnsitz in der EU haben muss. Ausnahmen in Bezug auf den sachlichen Anwendungsbereich werden in Art. 2 Abs. 2 DSGVO festgelegt und betreffen beispielsweise Behörden, die für die öffentliche Sicherheit sorgen, oder persönliche und familiäre Tätigkeiten von Privatpersonen. 2.4.2 Produkterstellung und -vermarktung Bereits bei der 'Erstellung von Produkten' müssen Unternehmen Datenschutzaspekte berücksichtigen. Beispielsweise dürfen Produkte, die nach § 90 TKG eine Sendeanlage darstellen und daher mit ihrer Umgebung kommunizieren können, Anforderungen an die Erkennbarkeit dieser Funktion erfüllen. So wurde im Februar 2017 bei einer Spielzeugpuppe mit der Bezeichnung 'Cayla', die von einem britischen Unternehmen vertrieben wurde, von der Bundesnetzagentur ein Verstoß gegen das TKG festgestellt. Die Puppe war geeignet, als getarntes Spionagegerät eigenständig Gespräche aufzuzeichnen und zu übermitteln sowie die Personen in ihrem Umfeld beispielsweise zu Werbezwecken anzusprechen. Die Bundesnetzagentur riet allen Eltern, das Spielzeug zu vernichten. Die in Kapitel 2.2.2 beschriebenen Grundsätze von 'Data Protection by Design bzw. Default' greifen zukünftig bei solchen Fällen. Sie waren bislang weder in der DSRL noch im BDSG verankert. So sollen Produkte bei ihrer Auslieferung so eingestellt sein, dass sie keine zweckfremden Daten erheben. Allerdings wird unterschieden zwischen den in Art. 25 benannten Verantwortlichen und den Herstellern, die lediglich ermutigt werden sollen, die Produkte so zu gestalten, dass die Verantwortlichen später ihren Pflichten nachkommen können. Die konkrete Auslegung dieser Prinzipien wird vom neu geschaffenen Datenschutzausschuss festgelegt. Lange Zeit war es außerdem üblich, dass Unternehmen zu Werbezwecken eigene Daten verwendeten bzw. fremde Datensätze einkauften, die ihnen Zugang zu potenziellen Kunden gewähren sollten. Die §§ 28, 29 BDSG befassen sich mit der Zulässigkeit der Verwendung, Nutzung und Weitergabe von Daten zu Werbezwecken. Daten, die mit der Einwilligung der Betroffenen erhoben wurden, dürfen zu Werbezwecken bzw. im Adresshandel verarbeitet und genutzt werden. Außerdem gilt das sogenannte Listenprivileg, nach dem bestimmte Attribute in Listen zusammengefasst werden und zu Werbezwecken verwendet werden dürfen, ohne dass eine Einwilligung dazu vorliegt. Dies wird jedoch überlagert von § 7 UWG, der sich auf Werbung, die z. B. per Telefon oder E-Mail erfolgt, bezieht und durch die Notwendigkeit einer expliziten Erlaubnis ggf. eine Nutzung verbietet, die nach BDSG erlaubt wäre. § 7 UWG beruht auf dem Art. 13 der ePrivacy-Richtlinie über die Zusendung unerbetener Nachrichten, die jedoch auch von der ePrivacy-Verordnung zum Mai 2018 abgelöst werden wird. Die DSGVO sieht keine eigenständige Regelung für den Gebrauch personenbezogener Daten zu Werbezwecken vor. Einzig in Art. 21 Abs. 2 DSGVO zum Widerspruchsrecht wird beschrieben, dass Betroffene jederzeit das Recht haben, gegen die Verarbeitung ihrer Daten zum Zweck der Direktwerbung Widerspruch einzulegen. Außerdem müssen sie nach Art. 21 Abs. 4 DSGVO ausdrücklich über ihr Recht auf Widerspruch informiert werden. Ansonsten gilt vor allem nach Art. 6 DSGVO Abs. 1 lit. a und f, dass für eine rechtmäßige Verarbeitung die zweckbezogene Einwilligung notwendig ist oder aber ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht. Das Mindestalter für die Einwilligung ist ebenfalls nach DSGVO neu geregelt. Sah das BDSG noch kein Mindestalter für die Einwilligungsfähigkeit von Minderjährigen vor, so ist nun in Art. 8 Abs. 1 DSGVO geregelt, dass nur Personen über 16 Jahren eine Einwilligung zur rechtmäßigen Verarbeitung geben können. Ansonsten muss die Einwilligung der Erziehungsberechtigten eingeholt werden. Die Verordnung sieht an dieser Stelle vor, dass nationales Recht der Mitgliedsstaaten die Grenze niedriger, allerdings nicht unter 13 Jahren ansetzen kann. Zentrale Aspekte im DSGVO sind die Freiwilligkeit der Einwilligung sowie der Weg, auf dem diese erteilt wird. Das Kopplungsverbot in Art. 7 Abs. 4 DSGVO stellt die Freiwilligkeit und damit die gesamte Einwilligung in Frage, sofern die Erfüllung eines Vertrages von dieser abhängig gemacht wird, ohne dass dazu eine Notwendigkeit besteht. Der Betroffene muss seine Einwilligung verweigern oder zurückziehen können, ohne benachteiligt zu werden. Im Zusammenhang mit Kundengewinnung und -bindung stehen datenschutzrechtlich immer häufiger die so genannten Tracking-Maßnahmen in der Kritik. Unternehmen möchten Daten derjenigen speichern, die auf ihre Webseite zugegriffen haben, und auch solche Protokolle (Cookies) auslesen, die von anderen Unternehmen platziert wurden. Allerdings wurde im Mai 2017 vom Bundesgerichtshof (BGH) entschieden, dass die IP-Adressen von Personen, die sich im Internet bewegen, nicht nur als personenbezogene Daten anzusehen sind (s. Kap. 2.3.3), sondern deren Speicherung mit dem Datenschutzrecht abzuwägen ist. Nach europäischem Recht ist eine Speicherung bei berechtigtem Interesse möglich (Online-Marketing-Klausel), nach deutschem Recht nur dann, wenn sie 'erforderlich' (§ 15 Abs. 1 TMG) ist. Der BGH hat nun geäußert, dass ein Erfordernis bestünde, wenn sich etwa der Betreiber der Seite gegen Cyberattacken wehren müsse; je höher das Gefahrenpotenzial, desto mehr Daten dürfen gespeichert werden. Wie es im konkreten Fall des Klägers Breyer zu beurteilen ist, muss das Berufungsgericht entscheiden. In Bezug auf das Tracking mit Cookies wird zukünftig die Regelung von der ePrivacy-Verordnung abhängig sein, die im Mai 2018 die ePrivacyRL und auch Regelungen diesbezüglich im TMG ersetzen soll. Wahrscheinlich ist, dass die bisher üblichen Cookie-Banner entfallen können, wenn Nutzer in den Voreinstellungen von Browsern oder Messenger-Diensten bereits zwischen 'always accept cookies', 'never accept cookies' oder 'reject/only accept first party cookies' wählen können.