Die DSK hat das seit Dezember 2021 geltende TTDSG zum Anlass genommen, die Anforderungen und Wertungen an Telemedienanbieter zu konkretisieren.
Die DSK (die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat sich in der am 20. Dezember 2021 veröffentlichten Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 zu den Anforderungen und Wertungen geäußert, die sich aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) für Telemedienanbieter ergeben. Die im März 2019 veröffentlichte Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien wurde dabei vollständig überarbeitet und ergänzt.
Dieser Beitrag widmet sich vorwiegend den aufsichtsrechtlichen Anforderungen an eine datenschutzkonforme Gestaltung von Einwilligungsabfragen (z.B. Cookie-Bannern). Skizziert wird außerdem, wann aus Sicht der Aufsichtsbehörden eine Einwilligung nicht erforderlich ist.
Spezielle Regelungen des TTDSG haben Vorrang vor der DSGVO
Anbieter von Telemedien haben sowohl die datenschutzrechtlichen Vorgaben des TTDSG als auch der EU-Datenschutzgrundverordnung (DSGVO) zu beachten. Während die DSGVO nur für personenbezogene Daten anwendbar ist, fordert das TTDSG dagegen keinen Personenbezug.
Für den Fall, dass bei der Speicherung von Informationen in der Endeinrichtung des Endnutzers* oder beim Zugriff auf bereits in der Endeinrichtung gespeicherte Informationen personenbezogene Daten verarbeitet werden, stellt sich die Frage, welche Regelungen anzuwenden sind. Nach der in Art. 95 DSGVO enthaltenen Kollisionsregelung werden datenschutzrechtlich Verantwortlichen durch die DSGVO keine zusätzlichen Pflichten auferlegt, soweit diese bereits den besonderen Pflichten der ePrivacy-RL (RL 2002/58/EG) unterliegen, die dasselbe Ziel verfolgen. Diese Kollisionsregelung gilt auch für das TTDSG, das die ePrivacy-RL umsetzt. Soweit im konkreten Anwendungsbereich des TTDSG personenbezogene Daten verarbeitet werden, hat das TTDSG Vorrang vor der DSGVO. Anwendung findet die DSGVO dagegen auf etwaige nachgelagerte Verarbeitungen personenbezogener Daten. Allerdings gibt es insofern Überschneidungen, als für die nach dem TTDSG bestehenden Informationspflichten und für die Anforderungen an die Einwilligung auf die DSGVO verwiesen wird.
Speicherung von und Zugriff auf Informationen bedürfen grds. der Einwilligung
Nach dem TTDSG ist sowohl für die Speicherung von Informationen auf dem Endgerät als auch für den Zugriff auf dort bereits gespeicherte Informationen grds. eine Einwilligung erforderlich (vgl. § 25 Abs. 1 S. 1 TTDSG). Aufgrund der unterschiedlichen Schutzzwecke ist ein Personenbezug, anders als in der DSGVO, nicht erforderlich. Die Aufsichtsbehörden gehen in der Orientierungshilfe von einem weiten Verständnis dieser Regelung aus, wonach „alle Techniken und Verfahren erfasst werden, mittels derer das Speicher (sic!) und Auslesen von Informationen erfolgen kann.“
Das Einwilligungserfordernis erfasst daher neben Cookies insbesondere auch Spähsoftware, Web-Bugs, Hidden Identifiers, Web-Storage-Objekte und Werbe-Kontakte. Auch das sog. Browser-Fingerprinting fällt nach Ansicht der Aufsichtsbehörden unter das grds. Einwilligungserfordernis. Ausnahmen vom Einwilligungserfordernis werden nur in engen Grenzen zugelassen.
Strenge Anforderungen an die Einholung einer Einwilligung
Das TTDSG verweist hinsichtlich der Anforderungen an die Einwilligung und die Informationspflichten auf die DSGVO, sodass der bisher geltende Bewertungsmaßstab anzuwenden ist. In der Orientierungshilfe werden diese Anforderungen konkretisiert, wobei ein eher strenges Verständnis zugrunde gelegt wird.
Grundlage jeder wirksamen Einwilligung ist die Informiertheit des Nutzers. Dies setzt – wie bisher auch – voraus, dass Nutzer in ausreichender und transparenter Weise informiert werden. Durch die Einführung des TTDSG komme laut Aufsichtsbehörden allerdings hinzu, dass Prozesse, die sowohl unter das TTDSG als auch unter die DSGVO fallen, klar getrennt werden müssen und separat über die jeweiligen Rechtsgrundlagen zu informieren sei. Bspw. muss aus dem Informationstext sowohl klar hervorgehen, welche Speicher- und Ausleseaktivitäten gem. TTDSG vorgenommen werden, als auch, welche etwaigen nachfolgenden Datenverarbeitungsprozesse gem. DSGVO stattfinden. Für Telemedienanbieter ergibt sich insoweit Handlungsbedarf, als bestehende Datenschutzerklärungen geprüft und ggf. entsprechend angepasst werden müssen.
Unmissverständliche und eindeutig bestätigende Handlung erforderlich
Für eine wirksame Einwilligung ist eine unmissverständliche und eindeutig bestätigende Handlung des Nutzers erforderlich. Bereits seit einiger Zeit, spätestens seit den Entscheidungen des EuGH (Urteil vom 1. Oktober 2019 – C-673/17 – Planet49) und des BGH (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II), ist das Opt-out-Verfahren stets ungeeignet, eine Einwilligung einzuholen. Auch in der reinen weiteren Nutzung einer Website oder App (z.B. durch Herunterscrollen, Surfen durch Inhalte, Anklicken von Inhalten) kann nach Ansicht der DSK keine wirksame Einwilligung liegen. Begründet wird dies damit, dass es sich hierbei um eine typische Nutzungshandlung handele, der auch bei entsprechender Belehrung grds. kein rechtlicher Erklärungsgehalt zugeschrieben werden könne.
Konkrete Vorstellungen zur Gestaltung von Einwilligungsbannern
Soweit Einwilligungsbanner genutzt werden, ist wie bisher auch jedenfalls eine „Okay“-Schaltfläche allein nicht ausreichend. Die DSK beschreibt darüber hinaus, dass selbst die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ jedenfalls dann nicht ausreichend seien, wenn der eingeblendete Informationstext nicht den sich aus der DSGVO ergebenden erforderlichen Mindestanforderungen genüge. Unzureichend sei es zudem, wenn zunächst eine im Einwilligungsbanner integrierte Detailansicht geöffnet werden müsse, welche erst die Auskunft darüber gebe, worauf sich die Einwilligung beziehe.
Die DSK erteilt auch der derweil häufig anzutreffenden Gestaltung eine Absage, bei der zwei Handlungsmöglichkeiten (z.B. zwei Schaltflächen) vorhanden sind, die unterschiedlich schnell zur Möglichkeit der Nutzung des Telemediendiensts führen. Damit ist gemeint, dass einerseits die Möglichkeit besteht, seine Einwilligung vollumfänglich zu erteilen (z.B. „Alles akzeptieren“), andererseits eine unmittelbare Ablehnung der Einwilligung nicht möglich ist, sondern lediglich weitere Handlungsschritte eingeleitet werden können (z.B. „Einstellungen“, „Weitere Informationen“, „Details“). Die DSK begründet diese Ansicht damit, dass Nutzer ihre Entscheidung in diesen Fällen nicht nach ihrem Willen treffen würden, sondern ausschließlich danach, welche der Optionen die Einwilligungsabfrage schneller beende.
Selbst wenn auf der zweiten Ebene, also mit einem weiteren Klick, die Ablehnung erteilt werden kann, führe dies aufgrund eines messbaren Mehraufwands für die Nutzer zu einer unwirksamen Einwilligungserklärung. Hieraus ergibt sich das Erfordernis, dass die Einwilligung dann, wenn sie im Banner mit einem Klick erteilt werden kann, ebenfalls mit einem Klick verweigert werden können muss (z.B. mittels einer „Alles ablehnen“-Schaltfläche).
Zur Fallgestaltung, bei der zwischen der Schaltfläche „Alles akzeptieren“ und „Auswahl akzeptieren“ (bei der nur unbedingt erforderliche Cookies vorausgewählt sind) entschieden werden kann, hat sich die DSK nicht geäußert. Diese Gestaltung ist somit nicht ausdrücklich ausgeschlossen. Zu beachten ist jedoch, dass nicht der Eindruck entstehen darf, der Nutzer habe bezüglich der unbedingt erforderlichen Cookies eine Wahl, ob er einwillige oder nicht.
Eine ausführliche Liste mit Negativbeispielen zu Einwilligungen und Cookie-Bannern sowie mit Standardfehlern bei deren Gestaltung findet sich im FAQ zu Cookies und Tracking des Landesbeauftragten für den Datenschutz Baden-Württemberg.
Enge Ausnahmen von der Einwilligungsbedürftigkeit
Nach § 25 Abs. 2 Nr. 2 TTDSG ist für Telemedienanbieter eine Einwilligung nicht erforderlich, wenn die Speicherung von oder der Zugriff auf Informationen „unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“ Da es sich hierbei um eine Ausnahmevorschrift handelt, werden die Voraussetzungen von den Aufsichtsbehörden streng ausgelegt.
Telemediendienst muss vom Nutzer ausdrücklich gewünscht sein
Zunächst muss der Telemediendienst vom Nutzer ausdrücklich gewünscht sein. Hierzu führt die DSK aus, dass die Feststellung einer inneren, persönlichen Einstellung des Nutzers erforderlich sei, die nur aus objektiven Kriterien, insbesondere Handlungen des Nutzers, ableitbar sei. Selbst bei dem bewussten Aufruf einer Webseite sei zunächst zu bestimmen, welcher konkrete Nutzerwunsch aus dem Aufruf der Webseite geschlossen werden könne. Hierbei unterscheidet die DSK zwischen den folgenden drei Kategorien:
- Ein Basisdienst sei untrennbar für das gesamte Angebot von Bedeutung und ließe sich regelmäßig aus der Kategorie des Telemediendienstes ableiten. Basisdienst eines Webshops sei z.B. der Verkauf von Produkten. Solche Basisdienste seien grds. als vom Nutzer gewünschte Dienste anzusehen, sobald dieser den Dienst bewusst aufruft. Soweit der Basisdienst mit Systemen zur nutzerorientierten Betrugsprävention und IT-Sicherheit ausgestattet ist, seien diese ebenfalls dem Basisdienst zuzurechnen.
- In den Basisdienst integrierte Zusatzfunktionen seien weitere nutzerorientierte Zusatzfunktionen, durch die der Basisdienst unterstützt werde, die jedoch für manche Nutzer überhaupt nicht oder nur für einen bestimmten Zeitraum der Nutzung wichtig sind (z.B. Warenkorb- und Zahlungsfunktion des Webshops). Nach Ansicht der DSK seien diese nicht bereits mit dem ersten Aufruf der Webseite gewünscht, sondern erst dann, wenn die konkrete Zusatzfunktion genutzt, also z.B. tatsächlich ein Produkt in den Warenkorb gelegt werde.
- Zusatzdienste und -funktionen werden unabhängig von der Kategorie des Telemediendienstes zur Verfügung gestellt (z.B. Chatboxen, Kontaktformulare, Push-Nachrichten, Karten- und Wetterdienste, Videos). Der DSK folgend, sind diese Dienste ebenfalls erst vom Nutzer gewünscht, wenn diese explizit in Anspruch genommen werden, z.B. durch Anklicken des entsprechenden Dienstes.
Maßgebend ist unbedingte technische Erforderlichkeit
Die Speicherung von oder der Zugriff auf Informationen muss unbedingt erforderlich sein, um den vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Die DSK geht hier ausdrücklich von einem strengen Verständnis des Merkmals „unbedingt erforderlich“ aus und führt aus, dass nur die technische Erforderlichkeit entscheidend ist, um den gewünschten Dienst bereitzustellen.
So betrachtet die DSK Zusatzfunktionen wie die Warenkorb- oder Zahlungsfunktion in zeitlicher Dimension erst dann als unbedingt erforderlich, wenn eine diesbezügliche Nutzerinteraktion festzustellen ist, indem ein Artikel in den Warenkorb gelegt oder der Zahlungsvorgang vom Nutzer angestoßen werde.
Ausdrücklich nicht genügend für eine Ausnahme vom Einwilligungsbedürfnis sei laut der DSK die wirtschaftliche Erforderlichkeit für das Geschäftsmodell des Telemedienanbieters, entscheidend sei lediglich die technische Erforderlichkeit.
Absage an die Einwilligung nach Art. 49 Abs. 1a DSGVO bei Drittlandübermittlung
Für die Fälle der Übermittlung personenbezogener Daten in Drittländer, die kein durch die EU-Kommission anerkanntes angemessenes Datenschutzniveau aufweisen, darf eine Übermittlung nur vorbehaltlich geeigneter Garantien (Art. 46 DSGVO) oder bei Vorliegen von Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) erfolgen. Zwar sieht Art. 49 DSGVO vor, dass auch eine Einwilligung eine solche Ausnahme darstellen kann. Allerdings ist die DSK der Ansicht, dass die Übermittlung grds. nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1a DSGVO erfolgen kann, soweit personenbezogene Daten im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten verarbeitet würden.
Zur Begründung wird der Charakter des Art. 49 DSGVO als Ausnahmevorschrift herangezogen. Die von der DSK am Rand getätigte Äußerung dürfte – sofern sie von den Gerichten bestätigt wird – erhebliche Auswirkungen auf die Praxis haben. Insbesondere die Einbindung der bei vielen Website-Betreibern beliebten Dienste von Google dürfte hierdurch erheblich erschwert werden. So haben die Datenschutzaufsichtsbehörden von Österreich und Frankreich erst kürzlich geäußert, dass sie die bei der Nutzung von Google Analytics von den Website-Betreibern veranlassten Maßnahmen zum Schutz personenbezogener Daten für unzureichend erachten und die Nutzung der Tools nicht DSGVO-konform sei.
Berücksichtigung der Vorgaben sinnvoll
Die Aussagen der deutschen Aufsichtsbehörden sind teilweise sehr konkret, der zugrunde gelegte Maßstab ist eher streng. Die Orientierungshilfe gibt zwar nur die aktuellen Wertungen auf Basis der Auslegungen der Rechtsnormen durch die DSK wieder und steht überdies ausdrücklich unter dem Vorbehalt eines zukünftigen, ggf. abweichenden Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA). Um Untersagungsverfügungen oder Bußgelder durch Aufsichtsbehörden sowie Abmahnungen durch Nutzer, Mitbewerber oder klagebefugte Organisationen zu vermeiden, solltenAnbieter von Telemedien bei der Gestaltung ihrer Angebote den Wertungen und Auslegungen der Rechtsnormen durch die DSK allerdings sehr wohl Beachtung schenken. Als erster Schritt bietet sich dabei die Prüfung der Einwilligungsabfrage entlang der aufsichtsrechtlichen Maßgaben und ggf. ihre Anpassung an.
Informationen zum Thema ePrivacy-VO finden Sie auf unserer Insight-Seite zur ePrivacy-VO. Einen Blog-Beitrag zu wesentlichen Neuerungen des TTDSG im Bereich des Telekommunikationsrechts finden Sie hier. Mehr zum Thema TTDSG und Cookies finden Sie hier.
*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.