23.März 2022 | Team Datenschutz | Thema: Datenschutz

Neues aus der Cookie-Welt: aktualisierte Orientierungshilfe zu Telemedien (2)

Schlagwörter: DSGVO | kleine Reihe | Rechtsgrundlagen

Seit dem 01.12.2021 gilt das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (kurz „TTDSG“). In Teil eins der Blog-Reihe haben wir uns die Grundregeln angeschaut (Cookies nur mit Einwilligung). Nun schauen wir auf die Ausnahmeregelungen und die Anforderungen an die so geliebten Cookie-Consent-Banner, die die DSK in ihrer Orientierungshilfe vorgeben.

Ausnahmen von der Einwilligungsbedürftigkeit

Der § 25 TTDSG normiert in Absatz 2 enge Ausnahmen von der Einwilligungspflicht für das Setzen von Cookies oder vergleichbaren Technologien. Demnach ist eine Einwilligung nicht erforderlich, wenn

  • die Speicherung der Informationen bzw. der Zugriff auf diese in der Endeinrichtung des Nutzers allein zum Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz erfolgen oder
  • wenn die Speicherung bzw. der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.

Variante eins (Übertragung einer Nachricht) hat in unserer Praxis keine wirkliche Relevanz. Deutlich spannender ist da die zweite Variante, auf die auch die DSK erläuternd eingeht. Nachfolgend schauen wir uns auch diese Voraussetzungen kurz an.

a) Vom Endnutzer ausdrücklich gewünschter Telemediendienst
Für die Ausnahme des § 25 Abs. 2 Var. 2 TTDSG wird ein „vom Nutzer ausdrücklich gewünschter Telemediendienst“ benötigt. Wann genau ein Dienst ausdrücklich gewünscht ist, ist natürlich noch unklar und birgt einige Auslegungsschwierigkeiten. Aus Sicht der DSK ist eine innere, persönliche Einstellung der Nutzenden festzustellen, um dieses Kriterium zu erfüllen. So soll ein Basisdienst, der bewusst aufgerufen wird (z.B. die Grundwebseite), wohl grundsätzlich als gewünscht anzusehen sein. Was allerdings mögliche Zusatzdienste (z.B. Blog, Webshop, Chatbot o.Ä.) angeht, könnte die Ausnahme schon nicht mehr gelten, so dass für diese wiederum eine Einwilligung notwendig sein wird. Welcher Funktionsumfang gewünscht ist, sei im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzender zu beurteilen.

b) Unbedingt erforderlich
Darüber hinaus muss der Zugriff auf Informationen bzw. die Speicherung dieser auf dem Endgerät auch „unbedingt erforderlich“ sein, um den gewünschten Dienst bereitstellen zu können. Dies schränkt die oben gemachten Ausführungen nochmals erheblich ein.
Zu Grunde liegt dabei laut DSK ein strenges Verständnis im Sinne der technischen Erforderlichkeit. Zugriffe auf die Endeinrichtungen seien daher auf das erforderliche Minimum zu reduzieren.
Aber welche Kriterien können nun für diese Bewertung herangezogen werden? Nach Ansicht der DSK sind es der Zeitpunkt der Speicherung, der Inhalt der abgerufenen oder gespeicherten Informationen, die Dauer der Speicherung sowie die Auslesbarkeit von Informationen (s. Ausführungen auf S. 26 f. in der Orientierungshilfe).

Letztendlich ist aber klar: Für die Nutzung der Ausnahmevorschrift in § 25 Abs. 2 TTDSG braucht es eine valide Grundlage, eine gute Argumentation und eine gewisse Risikoakzeptanz. Hier wird sich (hoffentlich) in den nächsten Jahren etwas mehr Klarheit ergeben.

Vorgaben für Cookie-Consent-Banner

Die DSK geht auch konkret auf die Gestaltung von Cookie-Consent-Bannern ein. Wir fassen die Vorgaben kurz zusammen:

  • Einwilligungsbanner sollten nur eingesetzt werden, wenn auch wirklich eine Einwilligung benötigt wird. Werden beispielsweise nur technisch notwendige Cookies gesetzt, so ist auch kein Consent-Banner nötig.
  • Das Cookie-Consent-Banner muss beim erstmaligen Öffnen der Webseite angezeigt werden.
  • Es muss ausreichend Informationen zur Datenverarbeitung enthalten.
  • Es dürfen keine vorangekreuzten oder voraktivierten Schaltflächen vorhanden sein.
  • Die Verarbeitung darf erst erfolgen, wenn eine Einwilligung erteilt wurde.
  • Der Zugriff auf das Impressum und die Datenschutzhinweise darf durch das Banner nicht behindert werden.
  • Es muss eine gleichwertige Möglichkeit der Ablehnung bestehen. Ist die Annahme aller Cookies auf der ersten Ebene möglich, muss dies auch für die Ablehnung aller Cookies gelten.
  • Die getroffene Auswahl muss gespeichert werden, damit bei erneuten Aufrufen nicht nochmals abgefragt wird.
  • Der Widerruf einer Einwilligung muss genauso einfach sein, wie die Erteilung.

Problematik: Datentransfer in Drittstaaten

Häufig gehen mit dem Einsatz von Cookies und Tracking auch Transfers von personenbezogenen Daten in Drittstaaten einher. Häufig ist das Ziel der Daten die USA. Für diese Übermittlungen braucht es eine Rechtsgrundlage im Sinne der Art. 44 ff. DSGVO. Häufig wird dabei auf die Einwilligung im Sinne des Art. 49 Abs. 1 lit. a) DSGVO zurückgegriffen. Diese lässt sich praktischerweise direkt in das Cookie-Consent-Banner integrieren, so dass das Risiko quasi auf die Nutzer*innen übertragen wird. Diesem Ansatz erteilt die DSK allerdings eine Absage. Die Anwendung von Art. 49 Abs. 1 lit. a) DSGVO sei demnach bei der Verarbeitung im Zusammenhang mit einer regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps nicht möglich. Art. 49 DSGVO gelte als absolute Ausnahmevorschrift, die nur für Einzelübertragungen anwendbar sei.
Auch hier gibt es durchaus andere Ansichten, insbesondere in der Literatur. Klar ist aber: Die Nutzung des Art. 49 DSGVO birgt gewisse Risiken und sollte daher gut begründet werden.

Fazit

Die überarbeitete Orientierungshilfe gibt viele sehr konkrete Vorgaben, die in der Praxis helfen können. Wichtig sind vor allem die Richtlinien in Bezug auf die Gestaltung der Cookie-Consent-Banner. An diesen Vorgaben solltet Ihr Euch in der Praxis orientieren. Abweichungen von diesen Vorgaben sollten in jedem Fall begründet und dokumentiert werden.
Unklarheiten bleiben aber trotz der Hilfestellungen, insbesondere im Bereich der Ausnahmeregelungen. Sicher wird man wohl in der Regel nur sein, wenn man in Zweifelsfällen eine (wirksame!) Einwilligung einholt.

 

Links

Orientierungshilfe für Anbieter*innen von Telemedien: https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
DSGVO (Datenschutzgrundverordnung): https://dsgvo-gesetz.de/
TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz): https://gesetz-ttdsg.de
DSK (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/

BLOG-Beitrag Teil 1: https://www.procado.de/cookies-aktualisierte-orientierungshilfe-zu-telemedien/