Digitale Dienste: Orientierungshilfe der DSK
Digitale Dienste wie Webseiten und Apps prägen unseren Alltag – ebenso wie die Technologien, die hinter ihnen stehen. Doch die Verarbeitung personenbezogener Daten durch Cookies und andere Tracking-Technologien wirft seit Jahren rechtliche Fragen auf. Deshalb hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im November 2024 eine Version 1.2 der Orientierungshilfe für Anbieter von digitalen Diensten veröffentlicht. Diese bietet Unternehmen, die digitale Dienste anbieten, konkrete Anhaltspunkte, wie sie sowohl die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) als auch die Datenschutzgrundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) rechtssicher umsetzen können.
Rechtliche Grundlagen
Die ePrivacy-Richtlinie (2002/58/EG) regelt den Schutz der Privatsphäre in der elektronischen Kommunikation. Seit ihrer Einführung und den späteren Änderungen durch die Richtlinie 2009/136/EG blieb ihre nationale Umsetzung in Deutschland lange hinter den Erwartungen der DSK zurück. 2021 kam dann das Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), das die Nutzung von Tracking-Technologien konkretisierte. Mit Inkrafttreten des Digitale-Dienste-Gesetz (DDG) im Mai 2024 wurde das TTDSG zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das fortan den Begriff „Telemedien“ durch „digitale Dienste“ ersetzt.
Cookies, Tracking und digitale Dienste
Digitale Dienste sind Vermittlungsdienste, die Nutzern den Zugang zu Waren, Dienstleistungen oder Inhalten ermöglichen, einschließlich Hosting-, Online-Plattform- und Suchmaschinen-Diensten. Hierzu zählen beispielsweise Webseiten oder Apps. Solche Dienste verwenden häufig Technologien, die personenbezogene Daten verarbeiten. Der Einsatz von Cookies kommt in diesem Zusammenhang besonders oft vor. Webseitenbetreiber setzen beispielsweise regelmäßig Cookies ein, um Daten zu Werbezwecken zu sammeln oder die Nutzererfahrung auf ihrer Webseite zu verbessern.
Kernfragen der Orientierungshilfe
Bei der rechtlichen Bewertung von Cookies unterscheidet die Orientierungshilfe zwei Dimensionen. Das „Setzen und Auslesen von Cookies“ falle unter die ePrivacy-Richtlinie. Die eigentliche Folgeverarbeitung personenbezogener Daten richte sich hingegen primär nach den Grundsätzen der DSGVO. Die Orientierungshilfe betont, dass beide Vorgänge getrennt zu bewerten sind, obwohl sie in der Praxis oft als einheitlicher Prozess wahrgenommen werden.
Überarbeitung der Orientierungshilfe
Die am 20.11.2024 beschlossene Überarbeitung der Orientierungshilfe bringt vor allem terminologische und inhaltliche Klarstellungen. So wurde der Text an die Terminologie des TDDDG angeglichen, und Rechtsentwicklungen seit 2021 eingearbeitet. Diese Leitlinien sollen nun auch die jüngsten Entwicklungen bezüglich des EU-U.S. Data Privacy Framework berücksichtigen. Besonders die Rz. 114 ff. bieten nun eine aktualisierte Auslegung technischer und rechtlicher Aspekte. Die Hilfestellung orientiert sich außerdem auch an den Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA), die den technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie präzisieren.
Inhaltlich geht die Orientierungshilfe neben dem Anwendungsbereich des TDDDG auch auf datenschutzrechtliche Aspekte ein, wie etwa die Anforderungen an Einwilligungen und die Rechtmäßigkeit der Datenverarbeitung nach der DSGVO. In diesem Zusammenhang gibt es auch einen separaten Abschnitt zur Gestaltung von Einwilligungsbannern und zur Verwirklichung der Anforderungen für Betroffenenrechte.
Fazit
Die Orientierungshilfe der DSK über Digitale Dienste bietet ein wichtiges Werkzeug für Unternehmen. In einem zunehmend komplexer werdendem rechtlichen Umfeld hilft sie, Rechtsunsicherheiten zu reduzieren. Trotzdem ist es stets erforderlich je nach Einzelfall spezielle Prozesse einzurichten, um sämtlichen datenschutzrechtlichen Anforderungen gerecht zu werden. Für eine individuelle Beratung und fachkundige Unterstützung helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.