Die DSK hat kürzlich ihre Anforderungen an Telemedienanbieter aktualisiert und gibt konkretisierende Hinweise zur Gestaltung von Einwilligungsbannern.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich erstmals in der am 20. Dezember 2021 veröffentlichten Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 zu den Anforderungen und Wertungen geäußert, die sich aus dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) für Telemedienanbieter ergeben.
Nach nunmehr einem Jahr – zum Dezember 2022 – hat die DSK ihre Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (Stand: Dezember 2022) (Orientierungshilfe) aktualisiert. Die aktualisierte Fassung beruht auf einem zuvor durchgeführten öffentlichen Konsultationsverfahren. Im Auswertungsbericht des Arbeitskreises Medien – Konsultation zur Orientierungshilfe für Anbieter von Telemedien (Auswertungsbericht) sind die Ergebnisse des Konsultationsverfahrens dargestellt. Der Auswertungsbericht gibt vertiefte Einsicht in die Erwägungen der Aufsichtsbehörden.
Konkretisierte Vorstellungen zur Gestaltung von Einwilligungsbannern
Dieser Beitrag konzentriert sich vorwiegend auf die Neuerungen in der aktualisierten Orientierungshilfe zu den Anforderungen an eine datenschutzkonforme Gestaltung von Einwilligungsabfragen, insbesondere bei Cookie-Bannern. Die DSK hat dabei einige konkretisierende Ergänzungen in Bezug auf die Gestaltung von Einwilligungsbannern vorgenommen.
Grundinformationen sind auf der Ebene der Einwilligung erforderlich
Eine Einwilligung ist gem. § 25 Abs. 1 TTDSG nur wirksam, wenn sie vom Nutzer* auf Grundlage von klaren und umfassenden Informationen abgegeben wird. Die Anforderungen entsprechen denen aus der DSGVO, wonach zum Zeitpunkt der Einwilligung die Informationen gem. Art. 13 oder Art. 14 DSGVO bereitzustellen sind. In Übereinstimmung mit dem Europäischen Datenschutzausschuss (EDSA) ist es nach Ansicht der DSK grds. möglich, die hiernach erforderlichen Informationen über mehrere Ebenen oder durch eine Verlinkung zur Datenschutzerklärung zu erteilen (sog. „layered approach“). Erforderlich sei dabei allerdings eine ausreichende Darstellung von Grundinformationen auf derjenigen Ebene, auf der die Einwilligung eingeholt wird. Dies dürfte i.d.R. die erste Ebene sein. Hilfreich ist, dass die DSK erstmals konkret ausführt, welche Informationen ihrer Ansicht nach als Grundinformationen zu verstehen sind. Erforderlich sind laut DSK auf der ersten Ebene i.d.R. Informationen
- zu den konkreten Zwecken der Verarbeitung,
- zum Anlegen individueller Profile und zur Anreicherung mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen,
- zur Verarbeitung von Daten auch außerhalb des Europäischen Wirtschaftsraums (EWR) sowie
- zur Anzahl der Verantwortlichen, gegenüber denen die Daten offengelegt werden.
Möglichkeit der Ablehnung muss erkennbar gleichwertige Alternative sein
Die Möglichkeit zur Ablehnung muss klar und eindeutig für den Nutzer erkennbar, leicht wahrnehmbar und unmissverständlich sein. Nach den Ausführungen der DSK muss die Ablehnung der Einwilligung als „gleichwertige Alternative“ gegenüberstehen. Dies sei dann anzunehmen, wenn sich neben der Schaltfläche zur Einwilligung eine vergleichbare Schaltfläche zur Ablehnung der Einwilligung befindet. Die DSK bezieht diese Vergleichbarkeit insbesondere auf Größe, Farbe, Kontrast und Schriftbild. Dem lässt sich entnehmen, dass ein gewisser Spielraum bei der konkreten Gestaltung besteht, wonach jedenfalls eine identische Gestaltung nicht gefordert sein dürfte.
Zur Konkretisierung der Anforderungen an die Gestaltung führt die DSK einige Negativbeispiele auf. Nicht ausreichend sei die Möglichkeit zur Ablehnung, wenn diese
- lediglich außerhalb des Einwilligungsbanners auf der Webseite selbst dargestellt werde oder
- im Fließtext des Einwilligungsbanners ohne erkennbare optische oder sprachliche Hervorhebung in den Hintergrund tritt, während die Schaltfläche zur Einwilligung deutlich erkennbar außerhalb des Fließtexts platziert ist.
Selbst eine identische Schaltfläche sei dann nicht ausreichend, wenn die Schaltfläche zur Ablehnung der Einwilligung erst nach Scrollen durch das Einwilligungsbanner in Erscheinung tritt, während die Schaltfläche zur Einwilligung bereits zu Beginn des Banners ersichtlich ist.
Ablehnfunktion nicht generell auf erster Ebene erforderlich
Während bislang womöglich der Eindruck entstehen konnte, dass die Aufsichtsbehörden stets eine Möglichkeit zur Ablehnung auf erster Ebene verlangen, hat die DSK nunmehr klargestellt, dass dies aus Sicht der Aufsichtsbehörden nicht generell erforderlich ist. So hält die DSK die Möglichkeit zur Ablehnung auf erster Ebene nicht für erforderlich, wenn die Nutzung einer Webseite möglich ist, ohne dass eine Interaktion mit dem Einwilligungsbanner erforderlich ist. Dies ist dann der Fall, wenn das Einwilligungsbanner keine Bereiche oder Inhalte der Webseite versperrt, sodass die Nutzung der Webseite mithin ohne eine Tätigkeit des Nutzers uneingeschränkt möglich ist, im Ergebnis also weder eine Einwilligung noch eine Ablehnung für die Nutzung der Webseite erforderlich ist.
Zudem ist nach Ansicht der DSK eine Ablehnfunktion auf erster Ebene dann nicht erforderlich, wenn auch die Einwilligung erst auf einer anderen Ebene erteilt werden kann. Da ein Telemedienanbieter i.d.R. eine Interaktion mit dem Einwilligungsbanner wünscht (zumeist wohl um eine Einwilligung zu erhalten), sich die zweite Konstellation bereits aus der Anwendung des Erfordernisses einer „gleichwertigen Alternative“ ergibt und überdies deutlich gemacht wird, dass stets die konkrete Gestaltung des Einwilligungsbanners und damit eine Einzelfallbetrachtung für eine Bewertung maßgeblich ist, ergeben sich aus diesen Ausführungen der DSK keine wesentlichen Erkenntnisse für die Praxis.
Dagegen erteilt die DSK der durchaus verbreiteten Praxis, bei der eine Schaltfläche „Einstellungen oder ablehnen“ zu einer weiteren Ebene des Banners führt, auf der differenzierte Einstellungen vorgenommen werden können oder die Einwilligung abgelehnt werden kann, eine klare Absage. Nach Ansicht der DSK sei diese Gestaltung aufgrund einer für den Nutzer unzumutbaren Intransparenz unzulässig. Dies dürfte bei einer Vielzahl von Telemedienanbietern zu Anpassungsbedarf führen.
Anforderungen an die Möglichkeit zum Widerruf der Einwilligung
Eine Einwilligung ist nur wirksam, wenn die betroffene Person vor Abgabe der Einwilligung über ihr Recht zum Widerruf der Einwilligung in Kenntnis gesetzt wurde. Gem. Art. 7 Abs. 3 DSGVO ist es zudem erforderlich, dass der Widerruf so einfach wie die Erteilung der Einwilligung möglich ist. Das bedeutet im Grundsatz, dass die Einwilligung über denselben Kommunikationsweg (z.B. Webseite, App, E-Mail) widerrufen werden können muss, über den sie zuvor erfolgte.
Widerruf über einen Verweis in einer Datenschutzerklärung nicht per se unzulässig
Bei einer Einwilligung über ein Einwilligungsbanner ist es nach Ansicht der DSK nicht zulässig, wenn der Widerruf erst möglich ist, nachdem der Nutzer die Datenschutzerklärung aufgerufen und den maßgeblichen Abschnitt herausgesucht hat. Denn dieser Suchvorgang sei als Zwischenschritt eine mit den gesetzlichen Vorgaben nicht zu vereinbarende Erschwernis.
Erstmals positioniert sich die DSK in der aktualisierten Orientierungshilfe jedoch ausdrücklich dahingehend, dass sie einen Widerruf über einen Verweis in einer Datenschutzerklärung nicht per se ablehnt. Voraussetzung für eine Zulässigkeit dieser Gestaltungsform sei aber, dass Verlinkungen den Nutzer direkt an die konkrete Stelle des möglichen Widerrufs leiten müssten. Erschwerende Suchvorgänge (z.B. durch Scrollen in der Datenschutzerklärung) müssten hiernach ausgeschlossen sein. Zur Umsetzung der Informations- und Transparenzpflichten sei es erforderlich, dass der Nutzer darüber informiert werde, wie er seine Rechte geltend machen könne.
In Ergänzung zu den Ausführungen in der Orientierungshilfe kann dem Auswertungsbericht entnommen werden, dass es ausreicht, wenn eine gut auffindbare Schaltfläche in der Datenschutzerklärung oder auf der Webseite (z.B. mit der Bezeichnung „Datenschutzeinstellungen“) vorgesehen sei, die eine Bearbeitung der Datenschutzeinstellungen zulasse.
Jede Änderung eingesetzter Cookies erfordert neue Einwilligung
Nicht thematisiert wurde in der vorherigen Fassung der Orientierungshilfe die Frage der Gültigkeitsdauer einer erteilten Einwilligung. Unter Verweis auf die Ausführungen des EDSA in den Leitlinien zur Einwilligung stellt die DSK in Bezug auf die Gültigkeit einer Einwilligung auf den jeweiligen Kontext, den Umfang der ursprünglichen Einwilligung und die Erwartungen der betroffenen Partei ab. Maßgeblich sei, dass sich Einwilligungen stets auf den bestimmten Fall beziehen. Nach Ansicht der DSK erfordere daher jede Änderung eines eingesetzten Cookies oder eines eingebundenen Drittanbieters auf einer Webseite die Einholung einer erneuten Einwilligung.
Nutzerorientierte Sicherheitscookies gelten als unbedingt erforderlich
Gem. § 25 Abs. 2 Nr. 2 TTDSG ist für Telemedienanbieter eine Einwilligung nicht erforderlich, wenn die Speicherung von oder der Zugriff auf Informationen
unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Lediglich klarstellenden Charakter hat die in der aktuellen Fassung der Orientierungshilfe vorgenommene Übernahme der Beispiele aus der Stellungnahme der Art.-29-Datenschutzgruppe in die Orientierungshilfe. Hiernach gelten nutzerorientierte Sicherheitscookies als unbedingt erforderliche Cookies. Umfasst seien Cookies, die verwendet werden, um wiederholt fehlgeschlagene Anmeldeversuche auf einer Website zu entdecken sowie
ähnliche Mechanismen, die das Login-System vor Missbrauch schützen sollen.
Dennoch fordert die DSK die einzelfallbezogene Prüfung der Erfüllung der gesetzlichen Voraussetzungen; eine pauschale Einstufung als unbedingt erforderlicher Sicherheitscookie sei nicht ausreichend.
Berücksichtigung der Vorgaben der DSK zu Einwilligung und Ablehnung sinnvoll
Die Orientierungshilfe bezweckt zwar lediglich eine Orientierung dahingehend, wie die Vorgaben des TTDSG und der DSGVO in Bezug auf Telemedien von den deutschen Aufsichtsbehörden verstanden werden, und stellt keine bindende Rechts- oder Verwaltungsvorschrift dar. Zudem steht sie ausdrücklich unter dem Vorbehalt eines zukünftigen, ggf. abweichenden Verständnisses der maßgeblichen Vorschriften durch den EDSA.
Zur Vermeidung etwaiger Untersagungsverfügungen oder Bußgelder durch Aufsichtsbehörden sowie etwaiger Abmahnungen durch Nutzer, Mitbewerber oder klagebefugte Organisationen ist es jedoch empfehlenswert, dass Telemedienanbieter bei der Gestaltung ihrer Angebote den Wertungen und Auslegungen der Rechtsnormen durch die DSK Beachtung schenken.
Mehr zum Thema TTDSG und Cookies finden Sie sowohl hier als auch hier. Informationen zum Thema ePrivacy-VO finden Sie auf unserer Insight-Seite zur ePrivacy-VO. Einen Blog-Beitrag zu wesentlichen Neuerungen des TTDSG im Bereich des Telekommunikationsrechts finden Sie hier.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.