Schlagwort: TTDSG

DSK zu Diensten zur Einwilligungsverwaltung

31. Juli 2023

Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.

Künftig keine Cookie-Banner mehr?

Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.

Reaktion der DSK

Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.

Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.

Fazit

Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.

Bundesregierung muss Facebook-Fanpage abschalten

23. Februar 2023

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.

Fehlende Rechtsgrundlage und Cookies

Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.

Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.

Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.

Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.

Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.

Fazit

Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.

Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.

Google ändert Cookie-Banner nach Klage der Verbraucherzentrale NRW

22. Dezember 2022

Wie die Verbraucherzentrale NRW berichtet, hat Google im Klageverfahren vor dem Landgericht Berlin eine Unterlassungserklärung abgegeben und seine Cookie-Banner angepasst. Daraufhin wurde das Verfahren für erledigt erklärt und damit beendet.

Klage der Verbraucherzentrale NRW wegen „Dark Patterns“

Die Klage hatte die Verbraucherzentrale NRW im April 2022 erhoben. Darin warf sie Google vor, Nutzerinnen und Nutzer mithilfe sogenannter „Dark Patterns“ dazu zu bewegen, zu mehr Cookies eine Einwilligung zu erteilen als beabsichtigt. Solche Dark Patterns sind darauf ausgelegt, Personen zu Handlungen zu verleiten, die ihren eigenen Interessen entgegenlaufen. Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät bei einem Webseitenbesuch speichert. Sie ermöglichen es (Dritt-)Anbietern, das Nutzungsverhalten beim Surfen im Internet nachzuverfolgen.

Die Cookie-Banner auf den Webseiten der Suchmaschine von Google waren in einer Weise gestaltet, die es Besucherinnen und Besuchern erheblich schwieriger machte, die Verarbeitung von Cookies abzulehnen als in diese einzuwilligen. Für die Zustimmung genügte ein einziger Klick. Dagegen musste zur Ablehnung auf eine zweite Ebene des Banners gewechselt werden. Um sämtliche nicht technisch erforderlichen Cookies abzulehnen, mussten mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden.

Laut Verbraucherzentrale NRW sei dieses Vorgehen ein Trick, um die Einwilligung zu „erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten“. Das Ablehnen von Cookies müsse genauso leicht sein wie das Akzeptieren.

Das neue Cookie-Banner von Google setzt diese Vorgabe nun auch um. Es stehen zwei Schaltflächen nebeneinander, mit denen entweder alle Cookies akzeptiert oder abgelehnt werden können.

Der Kampf gegen undurchsichtige Cookie-Banner

Wohl die meisten Internetnutzerinnen und -nutzer sind genervt von der Flut an Cookie-Bannern im Internet. Sie sind das erste, womit sie auf jeder neuen Webseite konfrontiert werden. Grund dafür ist vor allem, dass eine Einwilligung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches auf der europäischen ePrivacy-Richtlinie beruht, für alle nicht technisch unbedingt erforderlichen Cookies benötigt wird. Dabei sind die Webseitenbetreiber in der Gestaltung keineswegs frei. So hat der Europäische Gerichtshof 2019 entschieden, dass bestimmte Informationen darin enthalten sein müssen: Der Verantwortliche muss erkennbar sein, die Verarbeitungszwecke und Dauer müssen angegeben werden und auch die Weitergabe der Daten muss klar kommuniziert werden. Darüber hinaus gelten für die Einwilligung die Anforderungen der Datenschutzgrundverordnung (DSGVO). Eine Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein (vgl. Art. 4 Nr. 11 DSGVO). Außerdem müssen die Freiwilligkeit der Einwilligung und ihre jederzeitige Widerrufbarkeit kommuniziert werden.

Infolge von Klagen und Beschwerden von den Verbraucherzentralen und Datenschutzorganisationen wurden bereits auf zahlreichen Webseiten die Cookie-Banner geändert. Um den Umgang mit Cookies zu erleichtern, arbeitet die Bundesregierung derzeit an einer Rechtsverordnung zur zentralen Einwilligungsverwaltung. Damit könnten Nutzerinnen und Nutzer in ihrem Browser ihre Cookie-Präferenzen einmalig angeben, anstatt dies auf jeder einzelnen Webseite zu tun.

„Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?“

26. Oktober 2022

Unter diesem Thema veranstaltete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Themenwoche auf seinem Mastodon-Kanal. Bei dieser Veranstaltung stellte das BayLDA, neben rechtlichen und technischen Informationen, praxisorientierte Empfehlungen rund um das Thema „Cookies“ zu Verfügung. Die Veranstaltung richtete sich an öffentliche Stellen und Interessierte.

Die Einwilligungspflicht

Zunächst informierte das BayLDA darüber, dass Cookies den Regelungen der DSGVO und ebenso dem TTDSG, das seit dem 01. Dezember 2021 in Kraft getretenen ist, unterfallen (wir berichteten). Nach § 25 Abs. 1 TTDSG bedürfe das Setzen von Cookies einer Einwilligung. Zusätzlich sei eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung mittels Cookies erforderlich. Regelmäßig komme hierfür ebenso die Einwilligung in Betracht. Nach § 25 Abs. 2 TTDSG existiere eine Ausnahme zur Einwilligungspflicht. Diese liege erstens vor, wenn der Verwender Cookies zweckgebunden für die Übertragung einer Nachricht einsetze. Zweitens liege diese vor, wenn die verwendeten Cookies technisch erforderlich seien.

Es sei jedoch fraglich, wann Cookies technisch erforderlich seien. Das BayLAD führte hierzu aus, dass ein Cookie technisch erforderlich sei, wenn ohne ihn „(…) bestimmte Komponenten oder Funktionen des Telemediendienstes nicht ausgeführt werden könnten.“

Anschließend befasste sich das BayLDA mit der Frage, wie Webseitenbetreiber herausfinden könnten, welche Cookies ihre eigene Webseite setzt. Jeder Verwender könne über den Internet-Browser herausfinden, welche Cookies die aktuell aufgerufene Webseite nutze. Jeder Internet-Browser verwende dafür eine andere Funktion. Im Falle von „Mozilla Firefox“ können die Cookies beispielsweise über die „Entwicklungswerkzeuge“ angezeigt werden. 

Datenschutzrechtliche Vorgaben

Das BayLDA empfahl den Betreibern einer Webseite, darauf zu achten, Cookies möglichst datenschutzfreundlich einzusetzen. Hierbei ging das BayLDA exemplarisch auf die Auswahl von Tools zur Reichweitenmessung ein. Es empfahl solche Tools, die wenige oder keine Cookies verwenden und von einem Anbieter mit Sitz in der EU betrieben werden.

Hinsichtlich der datenschutzrechtlichen Vorgaben sei bei Cookies außerdem zu beachten, dass im Sinne der Art. 13 und 14 DSGO über die durch sie erfolgende Datenverarbeitung zu informieren sei. Der Umfang der erforderlichen Informationen bestimme sich anhand der eingesetzten Cookies. Bei technisch notwendigen Cookies seien regelmäßig weniger Informationen im Vergleich zu technisch nicht notwendigen Cookies zur Verfügung zu stellen. Darüber hinaus solle darauf geachtet werden, zu welchem Zeitpunkt der Nutzer die Einwilligung erteile und dass dabei eine Opt-In-Lösung gewählt werde. Auch sei eine mögliche Datenübermittlung in Drittländer zu überprüfen.

Das im Dezember 2021 in Kraft getretene TTDSG und die neuen Cookie-Regelungen

23. Dezember 2021

Am 1. Dezember 2021 ist das Telemedien- und Telekommunikationsgesetz (TTDSG), und somit auch das neue “Cookie-Gesetz”, in Kraft getreten.  

Datenverarbeitung innerhalb des TTDSG

Der Begriff der Datenverarbeitung im Sinne der DSGVO geht weit und umfasst die Speicherung, das Ordnen, das Erfassen, die Anpassung oder Veränderung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

Datenverarbeitung findet ferner auch statt, indem Unternehmen per Software oder Betriebssystem Daten auf elektronischen Geräten erheben. Erfolgt der Zugriff des Anbieters einer Website oder App auf das Gerät von dem aus die Seite aufgerufen wird nicht, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Damit eine Datenübertragung stattfinden kann, muss eine Kommunikation zwischen den Geräten jedoch vorliegen. Diese zuletzt genannte Art der Datenverarbeitung regelt nicht die DSGVO, sondern eine EU-Richtlinie von 2002, die nun in Deutschland durch das TTDSG umgesetzt wurde. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext zusammengefasst. Das TTDSG ist nicht wie die DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.

Wer muss den Verpflichtungen aus dem TTDSG nachkommen?

Alle Anbieter von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter Anbieter von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter.

Was bedeutet das TTDSG für die Nutzung von Cookies?

Nutzer sind mit den Anforderungen des Online-Datenschutzes jedes Mal konfrontiert, wenn ein Cookie-Banner auf dem Bildschirm erscheint. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nichts und muss deshalb noch ausgelegt werden. Für das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting) ist die Grundlage der § 25 TTDSG, welcher den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht gegeben ist. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.

Lösung durch Einwilligungsmanagement

Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise, durch eine unmissverständliche Willensbekundung und als eindeutige bestätigende Handlung, mit Hinweis auf eine Widerrufsmöglichkeit ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als “Opt-In“. Unternehmen sollten auf ihrer Webseite daher genau beachten, dass Internetnutzer konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen “Zustimmen”-Button, einwilligen kann. Voreingestellt gesetzte Häkchen sind unzulässig.

Ausnahmen der Einwilligung

Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann nicht notwendig, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.
Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben jedoch auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.