In seinen Richtlinien 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie führt der EDSA aus, welche Technologien die Speicherung von oder den Zugriff auf Informationen ermöglichen. Diese Ausführungen sollten daher als Anhaltspunkt dienen, beim Einsatz welcher Technologien darüber klar und umfassend informiert werden muss, um eine wirksame Einwilligung nach §25 TTDSG einzuholen.

Gemäß Art. 5 Abs. 3 der ePrivacy-Richtlinie und der Umsetzung in Deutschland durch §25 TTDSG ist die Speicherung von Informationen oder der Zugriff auf Informationen in der Endeinrichtung eines Endnutzers zulässig, wenn dieser auf der Grundlage von klaren und umfassenden Informationen in die Speicherung oder den Zugriff eingewilligt hat. Entbehrlich ist eine solche Einwilligung nur, wenn die Speicherung oder der Zugriff für die Durchführung des entsprechenden Dienstes (z.B. dem Aufruf oder der Nutzung einer Webseite) technisch notwendig ist.

Diese Vorschriften sind Ursache für die weitverbreitete Verwendung von sog. Cookie-Bannern. Cookies sind Dateien, die beim Aufruf einer Webseite auf dem Endgerät gespeichert und bei dem (erneuten) Besuch dieser Webseite ausgelesen werden, um etwa die Sprache oder Präferenzen des Webseiten-Besuchers zu speichern. Durch Cookies erfolgt also der Zugriff auf und die Speicherung von Informationen auf einem Endgerät. Ist ein Cookie für den Besuch einer Webseite nicht technisch notwendig, muss in dessen Verwendung eingewilligt werden. Dies erfolgt bei Aufruf der Webseite über das Cookie-Banner.

I. Pixel-Tracking

Jedoch ist die Speicherung von oder der Zugriff auf Informationen nicht nur mittels Cookies, sondern auch durch andere Technologien möglich. Unter anderem durch das sog. Pixel-Tracking, das ebenfalls Art. 5 Abs. 3 der ePrivacy-Richtlinie unterfällt und damit einwilligungsbedürftig ist. Weitverbreitet ist diese Art des Trackings im Bereich des Newsletter-Versands. Mit einem in einen Newsletter eingefügten Pixel, etwa in Form einer Bilddatei, die beim Öffnen des Newsletters geöffnet und die Information über das Öffnen an den Versender des Newsletters zurückschickt, kann der Versender nachvollziehen, welcher Empfänger zu welcher Uhrzeit den Newsletter geöffnet hat.

II. Tracking der IP-Adresse

Verbreitet ist auch das Tracking der IP-Adresse. In seiner Richtlinie stellt der EDSA klar, dass Technologien, bei denen bloß die IP-Adresse erfasst wird, ebenfalls Art. 5 Abs. 3 der ePrivacy-Richtlinie unterfallen können, da sich bereits mit der IP-Adresse die Navigation des entsprechenden Endnutzers nachvollziehen lässt.

Daran ändert auch die fortschreitende Verbreitung des sog. Carrier-grade NAT (CGNAT) nichts. Bei diesem erstellen Internetprovider zu einer „öffentlichen“ IPv4-Adresse mehrere „nicht-öffentliche“ Endstellen für unterschiedliche Endnutzer. Mehrere Endnutzer teilen sich also eine identische „öffentliche“ IPv4-Adresse. Im Ergebnis heißt dies, dass Informationen über eine IPv4-Adresse abfließen können, die nur vom Endgerät eines der Nutzer dieser IPv4-Adresse stammen, andere Nutzer der Adresse dazu jedoch in keiner Beziehung stehen.

Ganz grundsätzlich müssten diese Endnutzer in den Zugriff auf die Informationen über die IPv4-Adresse nicht einwilligen, sondern nur der Nutzer, auf dessen Endgerät die Informationen entstanden sind oder sich befinden. Wenn nun auf Informationen über eine IPv4-Adresse zugegriffen wird, die gerade nicht von dem Nutzer stammen, welcher etwa eine Webseite besucht, stellt sich die Frage, ob überhaupt noch eine wirksame Einwilligung eingeholt werden muss oder auch nur eingeholt werden kann. Der EDSA umgeht diese Problematik und weist darauf hin, dass, solange geteilte IP-Adressen nicht gängige Praxis sind, immer davon ausgegangen werden muss, dass die Informationen, auf die zugegriffen wird, tatsächlich auch von dem Endgerät des Webseiten-Besuchers stammen und nicht von einem anderen Nutzer, der sich mit diesem eine IPv4-Adresse teilt.

III. Tracking über eine API

In einem weiteren Anwendungsfall weist der EDSA darauf hin, dass Anbieter von Anwendungen bei denen über eine API – eine Schnittstelle zwischen Anwendungen – auf ausschließlich lokal entstandene und gespeicherte Daten zugegriffen werden kann, die Vorgaben des Art. 5 Abs. 3 der ePrivacy-Richtlinie ebenfalls zu beachten sind. Man stelle sich eine App vor, mittels derer etwa ein digitales Fotobuch mit Bildern aus dem lokalen Speicher eines mobilen Endgerätes erstellt werden kann. Erfolgt eine Verarbeitung der Bilder zu einem Fotobuch über den Server des App-Anbieters, so wäre dies nach den Ausführungen des EDSA ein Zugriff auf Informationen in der Endeinrichtung eines Endnutzers und damit einwilligungsbedürftig, soweit der Zugriff nicht zur Durch- bzw. Ausführung der App erforderlich ist.

IV. Auswirkungen auf die Praxis

Anhand dieser drei Anwendungsfälle wird deutlich, dass die Vorgaben von Art. 5 Abs. 3 der ePrivacy-Richtlinie nicht nur bei dem Einsatz von Cookies, sondern auch bei zahlreichen anderen technischen Lösungen zu beachten sind. In welchen Fällen eine Anwendbarkeit von Art. 5 Abs. 3 der ePrivacy-Richtlinie angenommen werden dürfte, dazu gibt die Richtlinie 2/2023 des EDSA einige Anhaltspunkte.

Betreiber von Webseiten oder Anbieter von Apps sollten nicht nur bei Cookies, sondern auch bei anderen Technologien immer einzelfallbezogen prüfen, ob eine Speicherung von oder der Zugriff auf Informationen in der Endeinrichtung eines Endnutzers erfolgt und ob eine Einwilligung des Endnutzers nach §25 TTDSG erforderlich ist. Ist eine Einwilligung erforderlich, sollte ebenfalls bezogen auf den jeweiligen Anwendungsfall geprüft werden, in welchem Umfang über den Einsatz dieser Technologien zu informieren ist und wie eine wirksame Einwilligung der Endnutzer eingeholt werden kann.