Schlagwort: Einwilligung
30. Januar 2023
Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.
Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.
Abgrenzung ePrivacy Richtlinie und DSGVO
Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.
Ablehnung von Cookies auf erster Ebene
Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.
26. Oktober 2022
Unter diesem Thema veranstaltete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Themenwoche auf seinem Mastodon-Kanal. Bei dieser Veranstaltung stellte das BayLDA, neben rechtlichen und technischen Informationen, praxisorientierte Empfehlungen rund um das Thema „Cookies“ zu Verfügung. Die Veranstaltung richtete sich an öffentliche Stellen und Interessierte.
Die Einwilligungspflicht
Zunächst informierte das BayLDA darüber, dass Cookies den Regelungen der DSGVO und ebenso dem TTDSG, das seit dem 01. Dezember 2021 in Kraft getretenen ist, unterfallen (wir berichteten). Nach § 25 Abs. 1 TTDSG bedürfe das Setzen von Cookies einer Einwilligung. Zusätzlich sei eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung mittels Cookies erforderlich. Regelmäßig komme hierfür ebenso die Einwilligung in Betracht. Nach § 25 Abs. 2 TTDSG existiere eine Ausnahme zur Einwilligungspflicht. Diese liege erstens vor, wenn der Verwender Cookies zweckgebunden für die Übertragung einer Nachricht einsetze. Zweitens liege diese vor, wenn die verwendeten Cookies technisch erforderlich seien.
Es sei jedoch fraglich, wann Cookies technisch erforderlich seien. Das BayLAD führte hierzu aus, dass ein Cookie technisch erforderlich sei, wenn ohne ihn „(…) bestimmte Komponenten oder Funktionen des Telemediendienstes nicht ausgeführt werden könnten.“
Anschließend befasste sich das BayLDA mit der Frage, wie Webseitenbetreiber herausfinden könnten, welche Cookies ihre eigene Webseite setzt. Jeder Verwender könne über den Internet-Browser herausfinden, welche Cookies die aktuell aufgerufene Webseite nutze. Jeder Internet-Browser verwende dafür eine andere Funktion. Im Falle von „Mozilla Firefox“ können die Cookies beispielsweise über die „Entwicklungswerkzeuge“ angezeigt werden.
Datenschutzrechtliche Vorgaben
Das BayLDA empfahl den Betreibern einer Webseite, darauf zu achten, Cookies möglichst datenschutzfreundlich einzusetzen. Hierbei ging das BayLDA exemplarisch auf die Auswahl von Tools zur Reichweitenmessung ein. Es empfahl solche Tools, die wenige oder keine Cookies verwenden und von einem Anbieter mit Sitz in der EU betrieben werden.
Hinsichtlich der datenschutzrechtlichen Vorgaben sei bei Cookies außerdem zu beachten, dass im Sinne der Art. 13 und 14 DSGO über die durch sie erfolgende Datenverarbeitung zu informieren sei. Der Umfang der erforderlichen Informationen bestimme sich anhand der eingesetzten Cookies. Bei technisch notwendigen Cookies seien regelmäßig weniger Informationen im Vergleich zu technisch nicht notwendigen Cookies zur Verfügung zu stellen. Darüber hinaus solle darauf geachtet werden, zu welchem Zeitpunkt der Nutzer die Einwilligung erteile und dass dabei eine Opt-In-Lösung gewählt werde. Auch sei eine mögliche Datenübermittlung in Drittländer zu überprüfen.
29. September 2022
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) warnte eine große Anzahl genossenschaftlicher Banken davor, mit Hilfe von Kundendaten Profile für Werbezwecke zu bilden. Bereits vor einigen Monaten hatte die LfD Niedersachsen in einem ähnlichen Fall gegen die Volksbank ein Bußgeld in Höhe von 900.000€ verhängt.
Kein Smart-Data Verfahren
Konkret riet die LfD Niedersachsen davon ab, sog. Smart-Data Verfahren anzuwenden. Durch dieses Vorgehen können Banken für jeden Kunden passende Werbemaßnahmen auswählen. Dafür analysieren sie in einem großen Umfang die Zahlungsverkehrsdaten ihrer Kunden. Auf diese Weise verfügen Banken über Information, wie u.a. die Höhe des Gehalts, Ausgaben für Lebensmittel oder Bezüge von Sozialleistungen. Außerdem kaufen Banken regelmäßig personenbezogene Daten ihrer Kunden bei externen Dienstleistern ein. Demnach können die Banken beispielsweise Information über Schulabschlüsse, Anzahl der Kinder pro Haushalt oder Anteil geschiedener Personen in der Bevölkerung sammeln.
Die Datenanalyse zeige, wie hoch die Wahrscheinlichkeit sei, dass ein Kunde Interesse an einem bestimmten Produkt habe. Wenn der Analyse zufolge ein Kunde Interesse an einem Kredit oder einer Hausfinanzierung habe, könne die Bank konkret für ein solches Produkt werben.
Keine rechtmäßige Datenverarbeitung
In der Pressemitteilung verwies die LfD Niedersachsen auf das Mitte diesen Jahres an die Volksbank verhängte Bußgeld in Höhe von 900.000 Euro. Diesbezüglich führte die BfD aus, dass die fehlende Rechtsgrundlage das Problematische an der Datenverarbeitung im Rahmen des Smart-Data-Verfahrens sei.
Die Volksbank hatte sich auf ihr berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Die LfD Niedersachsen stellte fest, dass Banken grundsätzlich ein berechtigtes Interesse an der „werblichen Ansprache“ ihrer Kunden haben können. Allerdings überwiege bei diesen Werbemethoden das Interesse der Kunden.
Außerdem könne die Datenverarbeitung nicht auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfolgen. Zwar wurden Einwilligungen der Kunden zur Datenverarbeitung eingeholt, diese seien aber zu unbestimmt. Der Kunde wisse nicht, in welchem Umfang die Bank seine personenbezogene Daten verarbeite.
Fazit
Die LfD Niedersachsen betonte, dass sie zunächst lediglich Warnung ausgesprochen habe. Sie wollte sich Vor-Ort darüber informieren, ob Banken diese schwerwiegenden Verstöße gegen das Datenschutzrecht fortführen.
11. August 2022
Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.
Informelle Beschwerden an 500 Unternehmen
Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.
Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.
Wann ist der Cookie-Banner rechtswidrig?
Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.
Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.
Fazit
Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.
20. Juli 2022
Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.
Der Wächter-Modus
Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.
Videoüberwachung unter der DSGVO
Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.
Der Wächter-Modus unter der DSGVO
In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.
14. Juli 2022
Die Bundesnetzagentur (BNetzA) veröffentlichte letzte Woche Auslegungshinweise bezüglich der nach § 7 a UWG bestehenden Dokumentations- und Aufbewahrungspflicht für Einwilligungen in die Telefonwerbung.
§ 7 a Abs. 1 UWG regelt, dass die Werbung per Telefon nur erlaubt ist, wenn die betroffene Person vorher in die Telefonwerbung eingewilligt hat. Diese Einwilligung muss der Werbende dokumentieren und die Dokumentation gem. § 7 a Abs. 2 S.1 UWG fünf Jahre lang aufbewahren.
Adressat der Dokumentations- und Aufbewahrungspflicht
Zunächst geht die BNetzA darauf ein, an wen sich die Dokumentations- und Aufbewahrungspflicht richtet. Vom Tatbestand des § 7 a UWG sind alle werbenden Unternehmen umfasst. Die BNetzA stellt klar, dass darunter Unternehmen und Personen fallen, „(…) die Werbeanrufe gegenüber Verbrauchern ausführen (…)“, d.h. Callcenter, sowie Unternehmen, die Callcenter mit diesen Werbeanrufen beauftragen. Beauftragt ein Unternehmen also einen externen Dienstleister mit Werbeanrufen, dann sind beide Akteure für die Dokumentations- und Aufbewahrungspflicht verantwortlich.
Die Dokumentationspflicht
Die BNetzA äußerte sich ferner zum Umfang der Dokumentationspflicht. Der Werbende müsse für eine wirksame Einwilligung nachweisen können, wer an der Einwilligung beteiligt war, wann und wie sie abgegeben wurde und welche Reichweite sie habe. Grundsätzlich könne der Werbende die Form der Einwilligung frei wählen. Das Gesetzt sehe keine bestimmte Form vor. Die gewählte Form habe aber Auswirkungen auf die Dokumentation der Einwilligung.
Für eine per E-Mail, SMS oder per Anklicken eines entsprechenden Feldes eingeholte Einwilligung wies die BNetzA auf die Anfälligkeit für eine Manipulation hin. Es müsse sichergestellt werden, dass die beworbenen Personen keine falschen Angaben zu personenbezogenen Daten tätigen. Diese Gefahr bestünde insbesondere, wenn der Werbende einen Verbraucher per E-Mail kontaktiere und dieser falsche Angaben zu seiner Telefonnummer mache. Um dem vorzubeugen, müsse der Werbende einen geeigneten Verifizierungsmechanismus ergreifen.
Für die fernmündlich erteilte Einwilligung könne der Werbende das entsprechende Gespräch aufzeichnen. Hinsichtlich einer schriftlich erteilten Einwilligung müsse der Werbende beachten, dass sich diese nicht innerhalb eines sonstigen Vertragstextes „verstecke“.
Die Aufbewahrungspflicht
Die Aufbewahrungspflicht beginne erstmalig, laut BNetzA mit Erteilung der Einwilligung. Anschließend beginne mit jeder Verwendung der Einwilligung die fünfjährige Aufbwahrungsfrist von neuem zu laufen. Eine Verwendung liege vor, wenn auf Grundlage der Einwilligung die beworbene Person kontaktiert werde und ein Werbegespräch erfolge.
Außerdem konkretisierte die BNetzA die Dokumentations- und Aufbewahrungspflicht dahingehend, dass sie im Lichte der Rechenschaftsplicht nach Art. 7 Abs. 1 DSGVO zu betrachten seien. Jegliche Zweifel an der Abgabe einer Einwilligung gehen demnach zu Lasten des Werbenden.
7. April 2022
Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)
Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.
Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.
Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.
Reaktion auf das Kurzgutachten
Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden.
Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.
4. Januar 2022
Am 1. Oktober 2021 ist der neue § 7a UWG (Gesetz gegen den unlauteren Wettbewerb) zur erforderlichen Einwilligung in Telefonwerbung gegenüber Verbrauchern in Kraft getreten. Der neue § 7a UWG dient mit seinen Dokumentations- und Aufbewahrungspflichten der effizienteren Gestaltung der Sanktionierung von unerlaubter Telefonwerbung. Die praktischen Auswirkungen des neuen § 7a UWG dürften in der Praxis für die meisten werbetreibenden Unternehmen eher gering sein. Schon vor den Neuerungen bestand aufgrund der DSGVO und des UWG die (faktische) Pflicht, eine Einwilligung nachzuweisen. So musste bereits nach Art. 7 Abs. 1 DSGVO der Unternehmer die Einwilligung des Verbrauchers in die Telefonwerbung aufzeigen.
Einwilligung dokumentieren
Der Unternehmer hat die Einwilligung des Verbrauchers zunächst einzuholen, eine Formvorschrift gibt es hierfür nicht, jedoch muss der Unternehmer diese „in angemessener Form“ dokumentieren. Aus der Dokumentation muss zwingend hervorgehen, dass die personenbezogenen Daten und die entsprechende Einwilligung zur werblichen Verwendung über den behaupteten Weg eingeholt wurden und die Person, deren personenbezogene Daten in der Einwilligung genannt werden, diese auch abgegeben hat. Als Beispiel für eine zulässige Form nennt die Gesetzesbegründung die Dokumentation der mündlichen Einwilligung im Wege der Tonaufzeichnung. Zur Notwendigkeit der Einwilligung des Betroffenen in die Tonaufzeichnung selbst sagt die Gesetzesbegründung an dieser Stelle jedoch nichts. Ohne Einwilligung ist die Aufzeichnung von Tonaufnahmen grundsätzlich strafbar und ein Datenschutzverstoß. Folglich müsste der Betroffene praktisch gesehen zweifach einwilligen: zum einen in die Aufzeichnung seiner Einwilligung und des Weiteren darin, dass er mit Werbeanrufen einverstanden ist.
Die Aufbewahrungspflicht der Einwilligung
Sodann ist der Unternehmer zur Aufbewahrung der Einwilligung für fünf Jahre ab deren Erteilung sowie nach jeder Verwendung der Einwilligung verpflichtet. Diese Verpflichtung, die Einwilligungserklärungen 5 Jahre aufzubewahren, gab es bislang so nicht. Der Unternehmer muss auf Verlangen der Bundesnetzagentur als zuständige Behörde die Einwilligung unverzüglich vorlegen. Die Löschfrist ist sehr gewissenhaft einzuhalten und gleichzeitig ist Art. 5 DSGVO hinsichtlich der Datenminimierung und Datensparsamkeit zu berücksichtigen.
Ein Verstoß gegen die Dokumentations- oder Aufbewahrungspflicht kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden. Ein Werbeanruf gänzlich ohne Einwilligung des Verbrauchers kann hingegen bis zu 300.000 Euro kosten.
23. Dezember 2021
Am 1. Dezember 2021 ist das Telemedien- und Telekommunikationsgesetz (TTDSG), und somit auch das neue “Cookie-Gesetz”, in Kraft getreten.
Datenverarbeitung innerhalb des TTDSG
Der Begriff der Datenverarbeitung im Sinne der DSGVO geht weit und umfasst die Speicherung, das Ordnen, das Erfassen, die Anpassung oder Veränderung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Datenverarbeitung findet ferner auch statt, indem Unternehmen per Software oder Betriebssystem Daten auf elektronischen Geräten erheben. Erfolgt der Zugriff des Anbieters einer Website oder App auf das Gerät von dem aus die Seite aufgerufen wird nicht, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Damit eine Datenübertragung stattfinden kann, muss eine Kommunikation zwischen den Geräten jedoch vorliegen. Diese zuletzt genannte Art der Datenverarbeitung regelt nicht die DSGVO, sondern eine EU-Richtlinie von 2002, die nun in Deutschland durch das TTDSG umgesetzt wurde. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext zusammengefasst. Das TTDSG ist nicht wie die DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.
Wer muss den Verpflichtungen aus dem TTDSG nachkommen?
Alle Anbieter von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter Anbieter von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter.
Was bedeutet das TTDSG für die Nutzung von Cookies?
Nutzer sind mit den Anforderungen des Online-Datenschutzes jedes Mal konfrontiert, wenn ein Cookie-Banner auf dem Bildschirm erscheint. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nichts und muss deshalb noch ausgelegt werden. Für das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting) ist die Grundlage der § 25 TTDSG, welcher den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht gegeben ist. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.
Lösung durch Einwilligungsmanagement
Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise, durch eine unmissverständliche Willensbekundung und als eindeutige bestätigende Handlung, mit Hinweis auf eine Widerrufsmöglichkeit ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als “Opt-In“. Unternehmen sollten auf ihrer Webseite daher genau beachten, dass Internetnutzer konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen “Zustimmen”-Button, einwilligen kann. Voreingestellt gesetzte Häkchen sind unzulässig.
Ausnahmen der Einwilligung
Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann nicht notwendig, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.
Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben jedoch auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.
27. August 2021
Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU.
Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.
Einwilligung oder Vertrag zur Datennutzung
In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.
Werbe-Targeting und Verarbeitung sensibler Daten
Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.
Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.
Anspruch auf Schadensersatz möglich
Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.
“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.
