Neue Orientierungshilfe der Aufsichtsbehörden zum TTDSG für Anbieter von Telemedien

pexels acrossAm 01.12.2021 trat das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft Über die Auswirkungen des TTDSG auf Internetseiten haben wir bereits informiert. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz oder DSK) eine neue Orientierungshilfe für Anbieter von Telemedien veröffentlicht. Diese Orientierungshilfe bietet  Anbietern von Telemediendiensten konkrete Hilfestellungen bei der Umsetzung der neuen Vorschriften des TTDSG, insbesondere enthält die Praxishilfe Vorgaben und Ausgestaltungshinweise zu Cookie-Bannern.
Die wichtigsten Inhalte der Orientierungshilfe haben wir im Folgenden kurz zusammengefasst.

Cookie-Banner: Einwilligung nach TTDSG oder DSGVO?

In ihrer Orientierungshilfe geht die DSK davon aus, dass sich die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung des Nutzers ausschließlich nach dem TTDSG (z. B. für das Auslesen und Setzen von Cookies) richten. Das TTDSG geht nach Ansicht der DSK damit über den Anwendungsbereich der DSGVO hinaus.

„Mithin gelten die spezifischen Bestimmungen des § 25 TTDSG vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden.“

Die DSGVO greift nach Ansicht der DSK nämlich erst dann, wenn die erhobenen Daten (weiter-) verarbeitet werden.
Wichtig ist, dass das TTDSG nicht nur personenbezogene Daten betrifft. Im Endeffekt geht es beim TTDSG generell um alle Speichervorgänge bezüglich „Informationen in der Endeinrichtung“.Die DSK führt dies in ihrer Orientierungshilfe näher aus. Hintergrund dieser Einschätzung ist, dass die der Umsetzung zugrunde liegende Richtlinie einen von der DSGVO abweichenden Anwendungsbereich besitzt. Eine Einwilligung kann somit – abweichend zur DSGVO – auch dann erforderlich sein, wenn keine personenbezogenen Daten gespeichert werden.

Im Hinblick auf die Anwendung des TTDSG ist also zukünftig bei der Bewertung und Einstufung von Cookies stets zwischen der Rechtsgrundlage der Einwilligung nach dem TTDSG und nach der DSGVO zu unterscheiden. Dies stellt einen in der Praxis vor starke Probleme. Ist ein Cookie z.B. nach TTDSG einwilligungsbedürftig, nach der DSGVO jedoch nicht, muss zwingend vorab eine Einwilligung eingeholt werden.

Telemediendienst: Wann ist keine Einwilligung erforderlich?

Eine Einwilligung ist gemäß § 25 Abs. 2 Nr. 2 TTDSG entbehrlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Unbedingt erforderlich ist ein Dienst dann, wenn ohne diesen die Funktionalität des Angebots nicht gewährleistet ist. Demzufolge sind nur Zugriffe auf die Endeinrichtung erlaubt, die im konkreten Fall unentbehrlich sind, damit der vom Nutzer gewünschte Dienst überhaupt abrufbar ist.
Welche Dienste ausdrücklich gewünscht sind, ist aus der Perspektive des Nutzers zu beurteilen. Das Warenkorbcookie ist nach Auffassung der DSK erst zu setzen, wenn der Nutzer tatsächlich eine Ware in den Warenkorb legt, da der Dienst erst dann vom Besucher gewünscht ist. Das Aufrufen einer URL erlaubt keinen Rückschluss auf den Willen des Nutzers das gesamte Websiteangebot in Anspruch nehmen zu wollen. Des Weiteren betont die DSK, dass die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG nicht anwendbar ist, wenn für den Einsatz eines Dienstes eine rein wirtschaftliche Erforderlichkeit für das betriebene Geschäftsmodell im Vordergrund steht.

Cookies sind, soweit möglich, ohne Identifier auszuspielen, da hier nur in den wenigstens Fällen eine unbedingte Erforderlichkeit besteht und das Speichern einer nicht identifizierbaren Angabe ausreicht.
Nach dem TTDSG ist eine Einwilligung somit nur dann nicht erforderlich, wenn das Setzen des Cookies „unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“. Dies erfordert jedoch für jedes Cookie eine Prüfung im Einzelfall. So dürfen z.B. Cookies für einen Warenkorb grundsätzlich auch ohne Einwilligung gesetzt werden. Nach Ansicht der DSK jedoch erst dann, wenn der Nutzer den Dienst (in diesem Fall den Warenkorb) explizit anfordert, in dem er z.B. ein Produkt in den Warenkorb legt. Sollen diese Cookies vorher gesetzt werden, müsst eine Einwilligung eingeholt werden.

Anforderungen an Einwilligungen und die Ausgestaltung von Cookie-Bannern

Die meisten Telemedienanbieter halten sich derzeit nicht an die von der Rechtsprechung aufgestellten Grundsätze bezüglich der Ausgestaltung wirksam erklärter Einwilligungen und Cookie-Bannern. Fehlerhafte Cookie-Banner können leicht zu einer Abmahnung führen. Wir haben bereits einen Leitfaden für Cookie-Banner erstellt, in dem wir über die häufigsten Fehler in Cookie-Bannern  aufklären. Vor dem Hintergrund des neuen TTDSG haben die Datenschutzbehörden nun die Anforderungen an Einwilligungen und die Ausgestaltung der Cookie-Banner angepasst.
Folgende Anforderungen stellen die Datenschutzbehörden auf:

1. Webdienst erst aktiv schalten nach Einwilligung

Einwilligungsbedürftige Cookies oder ähnlichen Technologien dürfen erst aktiv sein, wenn der Websitebesucher der Nutzung zugestimmt hat. Oft halten Cookie-Banner die einwilligungsbedürftigen Webdienste nicht zurück. Telemediendienstanbieter sollten daher auf eine korrekte technische Umsetzung des Cookie-Banners achten. Zudem dürfen auch andere Cookies erst dann gesetzt werden, wenn Sie für die Nutzung der jeweiligen Funktion bzw. des „Dienstes“ zwingend notwendig sind. Dies gilt z.B. für Warenkorb oder Formular Cookies, die eingelegte Produkte oder eingegebene Informationen zwischenspeichern. Das Ganze gilt wohl nicht nur für Cookies, sondern auch für alle weiteren Technologien, wie z.B. LocalStorage oder SessionStorage.

Im Zweifel sollte der Websitebetreiber für alle Dienste auf seiner Seite, die Cookies oder eine sonstige Speicherung auf dem PC vornehmen eine „shareif“ Lösung verwenden, die dafür sorgt, dass ein Cookie erst dann gesetzt wird, wenn der Nutzer die Funktion tatsächlich auch betätigt.
Vielen dürfte diese Lösung von der Einbindung externer Inhalte von Social Media Seiten bekannt sein. Diese sind aber (aus anderen Gründen) rechtlich höchst problematisch.

2. Ein Klick - zwei Einwilligungen

Die DSK geht davon aus, dass der Nutzer die Einwilligung gemäß § 25 Abs. 1 TTDSG in das Speichern und Auslesen von Informationen zusammen mit der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO für die nachfolgende Verarbeitung der Daten durch eine einzige Handlung erteilen kann.
Der Telemediendienstanbieter muss jedoch ausreichend klarstellen, dass der Nutzer mit einer einzigen Handlung, z.B. durch das Anklicken einer Schaltfläche, mehrere Einwilligungen erteilt, d.h. die Folgeverarbeitung ist im Banner mit anzusprechen. Eine Formulierung wie “Wir setzen auf dieser Website Cookies ein.” ist demnach nicht ausreichend.

Ob der Hinweis im Cookie-Banner direkt erfolgen muss oder erst in der Datenschutzerklärung erfolgen muss, ist aktuell noch nicht geklärt. Aus Gründen der Vorsicht raten wir dazu die Hinweise direkt im Cookie-Banner zu erteilen und die damit verbundene Einwilligungserklärung entsprechend anzupassen.

3. Informiertheit

Die Einwilligung muss in informierter Weise erfolgen. Gemäß der DSK müssen „[…] jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein […]“  (OH Telemedien, 2021, S. 11). Der Bannertext muss demnach Informationen darüber enthalten, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können (EuGH Urteil vom 1. Oktober 2019 – Az. C-673/17 – Planet49, Rn. 75 ff.). Die DSK weist auch darauf hin, dass bereits an dieser Stelle im Cookie-Banner auf eine Widerrufsmöglichkeit hingewiesen werden muss und ein späterer Widerruf sich gemäß Art. 7 Abs. 3 S. 3 DSGVO nicht mehr auf die Rechtmäßigkeit des bis zum Widerruf erfolgten Zugriffs bzw. der bis dahin erfolgten Speicherung auswirkt.

4. Mehrschichtige Banner noch möglich

Zudem fordert die DSK konkrete Informationen zu allen Zwecken der Folgeverarbeitung bei Erteilung der Einwilligung auf der ersten Ebene des Banners. Unzureichend ist es, wenn die Zwecke mit ungenauen Kategorien umschrieben sind, wie z.B.: Werbezwecke, IT-Sicherheitszwecke oder Verbesserung der Erfahrungen des Nutzers.

Es ist weiterhin möglich den Cookie-Banner mehrschichtig zu gestalten, d.h. detaillierte Informationen über die Verarbeitungszwecke erst auf einer zweiten Ebene des Banners anzuzeigen. Jedoch soll nach Auffassung der DSK dann erst auf dieser zweiten Ebene die Möglichkeit bestehen in die Erhebung und Verarbeitung einzuwilligen.

In wieweit dies eine Auswirkung auf die Ausgestaltung der Cookie-Banner hat ist derzeit noch nicht abzusehen. Über die genauen Grenzen der Ausgestaltung, insbesondere darüber welche Form des Cookie-Banner noch rechtskonform ist oder nicht müssen letztendlich wohl die Gerichte entscheiden.
Geht man davon aus, dass eine Einwilligung stets mit dem konkreten Dienst verbunden sein soll, kann schnell ein Transparenzproblem entstehen, da der Nutzer (theoretisch) sehr viele Cookies manuell bestätigen müsste, obwohl er einige Dienste ggf. nutzen möchte.

5. Unmissverständliche und eindeutig bestätigende Handlung

Um wirksam eine Einwilligung erklären zu können, muss eine unmissverständliche und eindeutig bestätigende Handlung vorliegen. Ein bloßer Hinweis, dass durch Weitersurfen/-scrollen die Webdienste akzeptiert werden, ist bereits seit dem Planet 49 Urteil des BGH unzureichend. Es muss ein aktives Handeln des Nutzers vorliegen z.B. durch das Anklicken einer Schaltfläche. „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Nutzenden können demgegenüber keine Einwilligung darstellen“ (OH Telemedien, 2021, S. 12).

Die DSK nimmt auch Bezug auf die Ausgestaltung der Schaltflächen. Die Schaltfläche „Okay“ enthält keine unmissverständliche Erklärung. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem Begleittext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt wird.

Die DSK selbst stellt sich entschieden gegen das mittlerweile beliebte „Nudging“, bei dem die Möglichkeit zur Ablehnung erst eine zweite Ebene öffnet (z.B. „Einstellungen“ oder „Weitere Informationen“). Die Ablehnung aller Cookies muss nach Ansicht der DSK so einfach möglich sein, wie die Einwilligung.

Konkret führt die DSK hierzu folgendes aus:

„Um nachweisen zu können, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben, müssen diesen also mindestens solche Auswahloptionen angeboten werden, deren Kommunikationseffekt gleichwertig ist. Ist eine Auswahloption präzise dargestellt und erzeugt unmittelbar einen Effekt (z. B. eine „Alles Akzeptieren“-Schaltfläche), während die andere Option nebulös gehalten wird und nicht ermöglicht, den wahren gegenteiligen Willen mit demselben Aufwand zu äußern, besteht ein Effekt- und Informationsdefizit. Ein solches Defizit ist geeignet, Endnutzer:innen dazu zu bewegen, ihre Entscheidung nicht nach dem eindeutigen Willen, sondern nur danach zu treffen, welche Option die Einwilligungsabfrage eindeutig schneller beendet. Werden den Nutzenden keine gleichwertigen Handlungsmöglichkeiten offeriert, um die Einwilligung zu erteilen oder sie abzulehnen, so liegen die Anforderungen an eine wirksame Einwilligung regelmäßig nicht vor.“

6. Freiwilligkeit

Außerdem muss die Einwilligung freiwillig erfolgen. Freiwilligkeit ist nur gegeben, wenn auf den Nutzer kein Zwang ausgeübt wird. Die DSK vertritt den Standpunkt, dass ein solcher Zwang bereits besteht, wenn ein Banner oder sonstiges grafisches Element zur Einwilligungsabfrage den Zugriff auf die Website insgesamt oder Teile des Inhalts verdeckt und das Banner nicht einfach ohne Entscheidung geschlossen werden kann.
Bei der Ausgestaltung von Cookie-Bannern erscheint es daher zukünftig ratsam auch einen „X“ Button einzuführen, mit dem das Banner geschlossen werden kann. Das Bestätigen der Schließen Aufforderung ist dabei zwingend als Ablehnung aller einwilligungsbedürftigen Cookies zu interpretieren.

7. Widerruf

Ebenfalls fordert die DSK, dass der Widerruf einer Einwilligung ebenso einfach möglich sein muss, wie die Erteilung. Wenn die Notwendigkeit besteht eine Datenschutzerklärung aufzurufen und dort zunächst zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen, entspricht dies nach Auffassung der DSK nicht den Vorgaben.

Dieser Umweg ist auch nicht auf eine technische Unmöglichkeit zurückzuführen, da viele Websites bereits einen Direktlink oder ein Icon zur Verfügung stellen, welches unmittelbar zu den relevanten Einstellungsmöglichkeiten führt. Außerdem sind Widerrufsmöglichkeiten über andere Kommunikationswege wie z.B. E-Mail, Fax oder Brief unzulässig. Falls die Einwilligung mittels eines Banners oder Ähnlichem abgefragt wurde, muss der Widerruf auch auf diesem Weg möglich sein.
Um die Auswirkungen der Erteilung der Einwilligung zu verdeutlichen, muss schließlich auch über die Tatsache informiert werden, dass ein späterer Widerruf sich gemäß Art. 7 Abs. 3 S. 3 DSGVO nicht mehr auf die Rechtmäßigkeit des bis zum Widerruf erfolgten Zugriffs bzw. der bis dahin erfolgten Speicherung auswirkt.

8. „Alles Ablehnen“-Button nun verpflichtend?

Des Weiteren fordert die DSK eine gleichwertige Ablehnungsmöglichkeit. Ein Cookie-Banner ist unzulässig, wenn nicht zwei Handlungen mit demselben Kommunikationseffekt vorhanden sind. Hat das Banner z.B. Schaltflächen mit den Bezeichnungen „Alles Akzeptieren“, „Details“ oder „weitere Einstellungen“ fehlt es an einer gleichwertigen Ablehnungsmöglichkeit. Mit der Schaltfläche „Alles Akzeptieren“ kann der Nutzer unmittelbar eine Einwilligung erklären, während er mit den Schaltflächen „Details“ oder „„weitere Einstellungen“ lediglich weitere Handlungsschritte einleiten kann. Hier hat das Ablehnen des Dienstes einen messbaren zeitlichen Mehraufwand. Somit neigt der Nutzer dazu der Datenverarbeitung einfach zuzustimmen, um somit die Einwilligungsabfrage früher zu beenden. Der wahre Wille des Nutzers muss mit demselben Aufwand geäußert werden können, ansonsten besteht ein Effekt- und Informationsdefizit.
Wenn also eine Schaltfläche mit der Bezeichnung „Alles Akzeptieren“ vorhanden ist, muss auch eine Schaltfläche mit der Bezeichnung „Alles Ablehnen“ vorhanden sein.

Einsatz von US-Dienstleistern

Wenn eine Übermittlung von personenbezogenen Daten in ein Drittland erfolgt, muss der Anbieter eines Telemediendienstes sicherstellen, dass in dem Drittland ein angemessenes Datenschutzniveau vorhanden ist. Eine Übertragung in ein Land, für das kein Angemessenheitsbeschluss der EU-Kommission vorliegt, kann nur erfolgen, wenn geeignete Garantien vorliegen. Die DSK selbst stellt hierbei erneut fest, dass die alleinige Verwendung von Standarddatenschutzklauseln keine geeignete Garantie im Sinne der DSGVO darstellt, wenn nicht weitere Maßnahmen, wie z.B. eine Vollverschlüsselung der erhobenen (personenbezogenen) Daten, zum Einsatz kommen.

Auch die von der EU neu eingeführten Standarddatenschutzklauseln ändern nichts an dieser Einstufung. Auch die bisher von vielen Unternehmen verwendete Rechtsgrundlage der Einwilligung im Sinne des Art. 49 Abs. 1 lit. a DSGVO wird zumindest im Hinblick auf das auf den Seiten zum Einsatz kommende Webtracking durch die DSK strikt abgelehnt. Die DSK begründet dies damit, dass die Regelmäßigkeit und der Umfang der Datenübertragung dem Ausnahmecharakters des Gesetzes entgegensteht.

Fazit

Die Orientierungshilfe bietet einen umfangreichen Überblick darüber, wie das TTDSG aus Sicht der deutschen Datenschutzbehörden auszulegen und anzuwenden ist. Die Behörden stellen mit dieser Orientierungshilfe einen Prüfungsmaßstab auf, den sie mit großer Wahrscheinlichkeit zukünftig bei ihren Überprüfungen zugrunde legen werden. Schlussendlich reflektiert die Orientierungshilfe jedoch nur die (sehr strengen) Ansichten der Datenschutzbehörden. Hierbei handelt es sich zunächst um Empfehlungen der Aufsichtsbehörden, wie ein Telemediendienstanbieter rechtskonform eine Internetseite ausgestalten kann. Es bleibt abzuwarten, ob sich die Rechtsprechung und der europäische Datenschutzausschuss (EDSA) den Ansichten der DSK anschließen werden.

Das Thema Cookie-Banner bleibt weiterhin im Fokus der Behörden. Websitebetreiber sollten daher mit Blick auf § 25 TTDSG ihre Cookie-Banner überprüfen und aktualisieren. Vor allem aber sollte geprüft werden, ob Cookies so eingestellt werden können, dass Sie erst nach Abruf der konkreten Funktion auf der Internetseite gesetzt werden.

Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Laura Berend

Bildquelle:Foto von Fernando Arcos von Pexels

 

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de