zugrunde liegen, bieten die Regelungen des BDSG eine wertvolle Auslegungshilfe.
167
Zu beachten ist, dass die Grenzen aus anderen Richtlinien und Verordnungen, etwa der Richtlinie über unlautere Geschäftspraktiken[310] oder der DSRL für elektronische Kommunikation[311] hiervon unberührt bleiben.[312] Sofern ein Verantwortlicher Direktmarketing bspw. online durchführt ist auch der Anwendungsbereich der DSRL für elektronische Kommunikation eröffnet. In Deutschland bestehen jedoch gegenwärtig Unsicherheiten hinsichtlich der Frage, ob bzw. inwieweit die RL eine Umsetzung in das nationale Recht erfahren hat, und insofern in Deutschland Wirkung entfalten kann (s.u. Rn. 170 ff.).
b) Profilbildung
168
Die Bildung personenbezogener Profile dürfte grundsätzlich aufgrund des Rechtsgedankens in Art. 22, der eine grundlegende Wertung zum Ausdruck bringt, wohl nicht über Art. 6 Abs. 1 lit. f zu rechtfertigen sein.[313] Nicht abschließend geklärt ist die Frage, ob eine pseudonyme Profilbildung ähnlich der bisherigen Regelung unter § 15 Abs. 3 TMG ohne Verletzung der Vorgaben des Art. 22 möglich ist. Fraglich ist, ob eine solche Profilbildung im Bereich des Online-Marketings nach Art. 6 Abs. 1 lit. f erlaubt sein kann, wenn keine erhebliche Beeinträchtigung der Rechte der betroffenen Person vorliegt.[314] Im Rahmen des Abwägungsprozesses ist dabei insbesondere zu berücksichtigen, ob und wie weit Daten aus Drittquellen durch den Verantwortlichen genutzt werden, wie umfangreich die Profilbildung vor dem Hintergrund der genutzten Datenpunkte ist und insbesondere wie lange Daten für die Profilbildung genutzt und aufbewahrt werden, so dass in Ausnahmefällen eine Profilbildung im Rahmen des berechtigten Interesses zulässig sein kann.[315]
c) Datenverarbeitungsprozesse im Zusammenhang mit Websites
169
Die zuvor aufgeführten Überlegungen etwa zum Direktmarketing und zur Profilbildung lassen sich nicht ohne Weiteres auf den Online-Bereich sprich Online-Marketing und Online-Werbung übertragen.[316] Insbesondere beim Einsatz von Cookies und weiteren Tracking-Technologien muss behutsam geprüft werden, ob die erforderliche Datenverarbeitung noch auf das berechtigte Interesse des Verantwortlichen gestützt werden kann, es insofern für deren Zulässigkeit ausreicht, dem Nutzer eine Widerspruchslösung einzuräumen oder eine Einwilligung erforderlich ist.[317] Zu den Grenzen einer wirksamen Datenverarbeitung zu Werbezwecken und einem Verstoß gegen das Koppelungsverbot i.S.d. neuen Rechtsprechung des BGH vgl. Art. 7 Rn. 48.
aa) Die Interessenabwägung nach der DS-GVO
170
Eine besondere Rolle spielt im Rahmen der Interessenabwägung die vernünftige Erwartung der betroffenen Person. Der durchschnittliche Nutzer von Online-Diensten muss nach Ansicht der DSK etwa grundsätzlich davon ausgehen, dass seine personenbezogenen Daten bei der Nutzung von Webseiten und Online-Diensten zur Finanzierung dieser zumeist kostenlosen Angebote auch werblich, gerade im Bereich des Online-Marketings, genutzt werden.[318] Die Anzeige etwaiger zielgerichteter Werbung ist insofern in der Regel transparent für die betroffene Person. Daher bestehen gerade bei pseudonymer Nutzung der personenbezogenen Daten der betroffenen Person für die Zwecke des Online-Marketings und der Online-Werbung keine Bedenken, im Rahmen der Abwägung des Art. 6 Abs. 1 lit. f diese zu Gunsten des Verantwortlichen ausfallen zu lassen.[319] Auch weist ErwG 47 S. 7 eine Verarbeitung personenbezogener Daten zum Zwecke der Werbung ausdrücklich als berechtigtes Interesse aus. Solange die Daten nicht zur weitergreifenden Profilbildung mittels großer Werbenetzwerke eingesetzt werden,[320] ist der Nutzer bzw. die betroffene Person insofern durch die Möglichkeiten zur Einschränkung der Verarbeitung ausreichend geschützt.[321] Wesentlich ist aber, dass im Gegensatz zur heute üblichen Praxis die gesamte Verarbeitungstätigkeit einschließlich der Übermittlung an Dritte im Rahmen der Informationspflichten transparent darzustellen ist (eine detaillierte Übersicht findet sich in Rn. 182).
171
Auch Daten, die durch für die Nutzung der Website notwendige Cookies erhoben werden, sind stets über Art. 6 Abs. 1 lit. f zu rechtfertigen.[322] Insbesondere Session- und Warenkorbcookies sind daher vom Einwilligungserfordernis per se ausgenommen.[323]
bb) Einfluss der DSRL für elektronische Kommunikation
172
Wie mit deren Anwendbarkeit zuvor gilt jedoch, dass die DSRL für elektronische Kommunikation Einschränkungen vorsehen kann, wie etwa das Einwilligungserfordernis für das Setzen von Cookies im Art. 5 Abs. 3, die der DS-GVO nach der Kollisionsregel des Art. 95 prinzipiell vorgehen.[324] Bei der DS-GVO und der DSRL für elektronische Kommunikation handelt es sich allerdings um Normen unterschiedlicher Wirkung. Richtlinien müssen anders als Verordnungen gem. Art. 288 AEUV durch die Mitgliedsstaaten in nationales Recht umgesetzt werden. Eine unmittelbare Wirkung kommt nur in Ausnahmefällen in Betracht.[325] Um Art. 95 DS-GVO anzuwenden, bedarf es daher einer Betrachtung der Umsetzungsakte im deutschen Recht.[326] Schwierigkeiten ergeben sich an dieser Stelle, da sich die Ansicht der Aufsichtsbehörden nicht mit der Sichtweise des BGH deckt, welche der BGH seiner Entscheidung in Sachen Planet49 (Cookie-Einwilligung II)[327] zugrunde gelegt hat. Der EuGH hat in einem diesbezüglich angestrengten Vorabentscheidungsverfahren zu der Frage, ob Cookies in Deutschland auch nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO zulässig sein können, keine Stellung bezogen.[328]
(1) Ansicht der Datenschutzaufsichtsbehörden
173
Nach Ansicht der DSK[329] sowie der herrschenden Meinung in der Literatur[330] hat jedenfalls das Einwilligungserfordernis für Cookies aus Art. 5 Abs. 3 der DSRL für elektronische Kommunikation keine Umsetzung ins nationale Recht erfahren. Auch die EU-Kommission stellte im Jahr 2015 klar, dass sie Art. 5 Abs. 3 der ePrivacy-RL als im deutschen Recht für nicht umgesetzt ansieht.[331] Hierfür spricht zunächst die Entstehungsgeschichte des TMG. Die datenschutzrechtlichen Vorschriften des 4. Abschnittes des TMG entsprechen im Wesentlichen den Regelungen des TDDSG. Dieses ist bereits 1998 und damit zeitlich vor der ePrivacy-RL in Kraft getreten. Zudem verfolgen § 15 Abs. 3 TMG und Art. 5 Abs. 3 ePrivacy-RL unterschiedliche Schutzziele. Während § 15 Abs. 3 TMG lediglich den Schutz personenbezogener Daten zum Ziel hat, dient Art. 5 Abs. 3 ePrivacy-RL auch dem Schutz der Vertraulichkeit elektronischer Kommunikation.[332] Gegen die Annahme eines Umsetzungsaktes spricht schließlich auch die Tatsache, dass die Normen konträre inhaltliche Entscheidungen enthalten. Denn nach § 15 Abs. 3 TMG darf der Diensteanbieter Cookies einsetzen, solange der Nutzer nach einer Unterrichtung über
