linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
16.März 2022 | Team Datenschutz | Thema: Datenschutz

Neues aus der Cookie-Welt: aktualisierte Orientierungshilfe zu Telemedien (1)

Schlagwörter: DSGVO | kleine Reihe | Rechtsgrundlagen

Mit Geltung des neuen Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (kurz TTDSG) traten zum 01.12.2021 einige, unter anderem für die Nutzung von Cookies, relevante Änderungen in Kraft.
Die Datenschutzkonferenz (DSK) hat das neue Gesetz nun zum Anlass genommen, um die „Orientierungshilfe für Anbieter*innen von Telemedien“ zu aktualisieren und um wichtige Praxishinweise zu ergänzen. Wir fassen die wichtigsten Inhalte und Handlungsempfehlungen für Euch in zwei Blog-Beiträgen zusammen.

Unterscheidung zwischen TTDSG und DSGVO

Zunächst ist es wichtig, zwischen den Anwendungsbereichen des TTDSG und der DSGVO zu unterscheiden. Denn während der § 25 TTDSG das Speichern und den Zugriff auf Informationen in den Endeinrichtungen regelt, geht es in der DSGVO um die Verarbeitung von personenbezogenen Daten. Im Klartext bedeutet das: Wenn durch das Setzen von Cookies oder vergleichbarer Eingriffe in das Endgerät keine personenbezogenen Daten verarbeitet werden, gilt nur das TTDSG. Die Regelungen der DSGVO befassen sich erst mit den (in der Regel) nachgelagerten Verarbeitungsprozessen, in denen personenbezogene Daten abgerufen, gesammelt und weiterverwendet werden. In vielen Fällen wird es in der Praxis aber darauf hinauslaufen, dass beide Regelungen anwendbar sind, da durch die Technologien auf den Endgeräten in der Regel personenbezogene Daten abgerufen und weiterverarbeitet werden.

Der Dreh- und Angelpunkt: Die Einwilligung

In § 25 TTDSG ist nun klar geregelt, dass für jeden Vorgang des Speicherns und des Zugriffs auf Informationen in Endgeräten eine Einwilligung des Nutzers notwendig ist. Die Vorgaben für eine wirksame Einwilligung stammen dabei aus der DSGVO. Auch für die Weiterverarbeitung wird in aller Regel eine Einwilligung notwendig sein, sofern es sich bei den Informationen um personenbezogene Daten handelt.

Wie holt man diese Einwilligung(en) nun ein?

Die DSK geht auf diese Frage in der Orientierungshilfe konkret ein und legt wichtige Wirksamkeitskriterien fest.

  • Bündelung von Einwilligungen
    Was tun, wenn nun also eine Einwilligung sowohl nach dem TTDSG, als auch nach der DSGVO notwendig ist? Die DSK stellt richtigerweise klar: Eine Bündelung der Einwilligungen (bspw. in einem Banner) ist möglich. Wichtig ist allerdings, dass den Nutzenden gegenüber, transparente Informationen zur Verfügung gestellt werden, die auf diese Bündelung eingehen.
  • Zeitpunkt der Einwilligung
    Der Zeitpunkt der Einwilligung ist relativ eindeutig: Die Einwilligung muss VOR dem Zugriff auf das Endgerät und VOR einem möglichen Abfluss von Daten eingeholt werden. Dafür sind insbesondere die Einstellungen im (häufig genutzten) Cookie-Consent-Banner ausschlaggebend.
  • Informiertheit der Einwilligung
    Wichtig sind auch im Rahmen des TTDSG, durch den Verweis auf die Regeln der DSGVO, die gegebenen Informationen im Umfeld der Einwilligung (gem. Art. 13 DSGVO). Dabei ist auch transparent über die verschiedenen Vorgänge und die jeweiligen Rechtsgrundlagen des TTDSG und der DSGVO zu informieren. Wichtig ist zudem die Aufklärung über den jederzeit möglichen Widerruf.
  • Unmissverständliche und eindeutig bestätigende Handlung
    Eine Einwilligung kann nicht „im Vorbeigehen“ erteilt werden. Es braucht im Gegenteil eine explizite, unmissverständliche Handlung der betroffenen Person. Das bedeutet im Webseitenkontext, dass z.B. das reine Weitersurfen auf der Webseite allein (ohne eine Handlung im Cookie-Banner, sofern denn möglich) definitiv keine Einwilligung darstellen kann. Es braucht beispielsweise das Anklicken einer designierten Schaltfläche, die Auswahl technischer Einstellungen oder eine vergleichbare andere Erklärung oder aktive Verhaltensweise.
    Bei Untätigkeit oder Weitersurfen müsse sogar nach Ansicht der DSK ein Nutzer immer davon ausgehen können, dass eine Einwilligung eben nicht erteilt werde. Im Kontext des Cookie-Banners macht die DSK zudem klar, dass auch die Annahme von im Banner vorangekreuzten Kästchen keine wirksame Einwilligung darstellen kann.
    Im Zusammenspiel mit dem Merkmal der Informiertheit weist die DSK auch darauf hin, dass die Gestaltung der jeweiligen Schaltflächen im Cookie-Banner transparent gestaltet werden muss. Ist für den Nutzer nicht erkennbar, durch welche Schaltflächen welche Konsequenzen entstehen, kann eine getätigte Einwilligung, auch wenn eine aktive Handlung durchgeführt wird, nicht wirksam sein.
  • Bezogenheit auf den bestimmten Fall
    Eine Einwilligung muss sich auch immer auf einen konkreten Fall beziehen. Das schließt vor allem Generaleinwilligungen aus. Es muss ein eindeutiger, legitimer Zweck feststehen, bevor eine Einwilligung abgefragt werden kann. Die Zwecke müssen dabei ebenfalls konkret sein; allgemeine Aussagen wie „Marketingzwecke“ sollten vermieden werden. Sofern es angemessen ist, sollten Nutzende auch die Möglichkeit haben, Einwilligungen für separate Zwecke zu erteilen oder abzulehnen. Es muss also in bestimmten Fällen auch eine granulare Wahlmöglichkeit geben.
  • Freiwilligkeit
    Ausschlaggebend ist bei jeder Einwilligung das Merkmal der Freiwilligkeit. Es muss eine echte Wahlmöglichkeit für die betroffene Person bestehen. Bei Ablehnung der Einwilligung dürfen zudem keine Nachteile entstehen.
    Strittig ist allerdings dabei weiterhin die Frage, ob man den Zugang zu einer Webseite von einer Cookie-Einwilligung abhängig machen kann. Die Aufsichtsbehörden positionieren sich hierzu relativ klar und vertreten die Auffassung, dass eine solche Koppelung der Einwilligung an den Besuch der Seite und der Inhalte unwirksam ist. Viele Datenschutzexperten bewerten dies allerdings anders und argumentieren, dass Nutzende nicht zu dem Besuch einer Webseite gezwungen werden. Schon der Besuch erfolge auf freiwilliger Basis; Nutzende können selbst entscheiden, ob es ihnen Wert ist, die Seite im Gegenzug für das stattfindende Tracking zu besuchen oder nicht.
    Klar ist aber: Der Einsatz solcher „Cookie-Walls“ ist mindestens risikobehaftet. Der Knackpunkt im Rahmen der Freiwilligkeit für die praktische Umsetzung besteht aber in der Gestaltung des Banners. Wichtig ist, und das betont die DSK an verschiedenen Stellen mehrmals, dass die Ablehnung von Cookies und Tracking genauso einfach möglich sein muss, wie die Erteilung der Einwilligung. Es darf für die Nutzenden kein Mehraufwand entstehen, wenn der Einsatz von Cookies abgelehnt werden soll. Es braucht eine gleichwertige Gestaltung.
    Das bedeutet für die Praxis: Wenn es auf der ersten Ebene des Banners eine Möglichkeit gibt, alle Cookies zu akzeptieren, muss es ebenfalls die Schaltfläche geben, um den Einsatz aller Cookies abzulehnen. Die Verlagerung des „alles ablehnen“-Buttons auf den zweiten Layer des Banners ist nach Ansicht der DSK definitiv unrechtmäßig.
  • Möglichkeit zum Widerruf
    Ein Widerruf einer einmal erteilen Einwilligung muss über denselben Weg möglich sein. Es ist dabei nicht ausreichend, wenn ein Widerruf nur über ein anderes Medium erteilt werden kann, also beispielsweise nur per E-Mail oder über ein Kontaktformular, wenn die Einwilligung über ein Cookie-Banner erteilt wurde. Die DSK sieht es an dieser Stelle auch als unzulässig an, wenn ein Widerruf nur über einen Link in den Datenschutzhinweisen möglich ist. Die Suche nach diesem Link und das Scrollen zur jeweiligen Stelle in den Hinweisen ist an dieser Stelle schon zu viel Aufwand, als dass eine gleichwertige Möglichkeit zum Widerruf angenommen werden könnte.

Links/Verweise

Orientierungshilfe für Anbieter*innen von Telemedien: https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
DSGVO (Datenschutzgrundverordnung): https://dsgvo-gesetz.de/
TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz): https://gesetz-ttdsg.de
DSK (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/

BLOG-Beitrag Teil 2: https://www.procado.de/cookies-aktualisierte-orientierungshilfe-zu-telemedien-2/

 

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Aktuelles zum Zertifikatslehrgang: Betriebliche*r Datenschutzbeauftragte*rNeues aus der Cookie-Welt: aktualisierte Orientierungshilfe zu Telemedien (...