+49 228 2861 140 60 info@sicoda.de

Die Änderung des TTDSG zum 01.12.2021 hat die Anpassung der Orientierungshilfe für Anbieter von Telemedien erforderlich gemacht. Die Orientierungshilfe ist unter folgendem Link abrufbar: https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

Zusammenfassung

  • Das Einwilligungsbanner muss beim ersten Öffnen der App oder der Webseite angezeigt werden.
  • Es darf zu diesem Zeitpunkt noch kein Cookie geschrieben werden.
  • Der Nutzer muss über die geplante Datenverarbeitung informiert werden.
  • Die Zustimmung muss durch aktive Handlung (anklicken) erfolgen.
  • Es muss eine gleichwertige Möglichkeit zum Ablehnen der Cookies geben.
  • Die Einwilligung darf jederzeit widerrufen werden.

Empfehlung

Der Cookie Banner sollte umgehend geprüft und ggf. textlich und optisch angepasst werden.

Was sind die wesentlichen Punkte der Orientierungshilfe?

Anwendungsbereich TTDSG

Das Telekommunikations-Telemedien-Datenschutz-Gesetz ist für den Bereich der Telekommunikations- und Telemediendienste der Datenschutzgrundverordnung vorrangig (Art. 95 DS-GVO). Nur dann, wenn das TTDSG keine Regelung trifft, sind diese aus der DS-GVO heranzuziehen.

Adressat des TTDSG

Das TTDSG richtet sich an natürliche und juristische Personen, die eigene oder fremde Telemedien- und Telekommunikationsleistungen erbringen. Der Anwendungsbereich ist damit auf die Dienstleister, insbesondere die Auftragsverarbeiter, ausgeweitet worden.

Schutzbereich des TTDSG

Das TTDSG schützt die Privatsphäre und die Vertraulichkeit bei der Nutzung der Endeinrichtung (im Sinne von Art. 7 GRCh). Als Endeinrichtung werden nach der Legaldefinition des § 2 Abs. 2 Nr. 6 TTDSG alle Geräte angesehen, die eine Schnittstelle zu öffentlichen Kommunikationsnetzen aufweisen. Hierzu zählen neben dem bekannten Computer, dem Smartphone oder Tablet auch die intelligenten Geräte wie ans Internet angebundene Fernseher oder Radios, aber auch Heizungsthermostate, Überwachungskameras oder Connected Cars (Autos).

Das TTDSG schützt jeglichen speichernden oder lesenden Zugriff auf Informationen im Endgerät. Dies kann sogar dann schon der Fall sein, wenn der Gerätehersteller automatische Updates einspielen will.

Ausnahme: Wenn z.B. Browser-Header Informationen aufgrund der Einstellungen des Endgeräts an den Dienst übermittelt werden, liegt kein unter das TTDSG fallender „Zugriff“ auf das Endgerät vor. In der normalen Internetkommunikation senden Browser entsprechend des im W3C definierten Standards RFC 2616 Daten an den Webserver (Beispiels Log).

Es ist nicht erfoderlich, dass es sich bei diesen Daten um „personenbezogene Daten“ im Sinne des Art. 4 Abs. 1 DS-GVO handelt.

Die DSK weist noch einmal deutlich darauf hin, dass das TTDSG nur die Datenverarbeitung auf dem Endgerät regelt. Sollen personenbezogene Daten darüber hinaus auch analysiert werden, was in der Praxis sicherlich der Normalfall ist, unterliegt diese Datenverarbeitung der DS-GVO. Die Analyse der Daten ist nur dann zulässig, wenn sich die Einwilligung auf dem Endgerät auch auf die nachträgliche Auswertung bezieht. Dies ergibt sich laut DSK aus der in Art. 5 Abs. 2 DS-GVO verankerten Rechenschaftspflicht.

Datenverarbeitung ohne Einwilligung

Die Datenverarbeitung ohne Einwilligung ist nach § 25 Abs 2 TTDSG auf zwei Fälle beschränkt. Die Datenverarbeitung muss zwingend erforderlich sein für die Durchführung der Übertragung einer Nachricht oder zur Zurverfügungstellung eines Telemediendienstes. Die DSK geht bei der Auslegung so weit, dass ein Warenkorb Cookie nur dann zwingend erforderlich ist, wenn der Nutzer auch Waren in diesen Warenkorb gelegt hat. Der Umstand, dass auf der Seite ein Shop integriert ist, reicht noch nicht aus, um den Warenkorbcookie auszuspielen. Darüber hinaus stellt die DSK strenge Anforderungen an den Inhalt des Cookies. So sind nach dieser Auffassung eindeutige Identifier nur zulässig, wenn dies auch für die Funktion erforderlich sei. Spracheinstellung oder Bildschirmfarbe könnten auch ohne einen Identifier gespeichert werden.

Datenverarbeitung mit Einwilligung

Die DSK ist im TTDSG im Grundsatz der Einwilligungsbedürftigkeit formuliert. Das TTDSG stellt keine weiteren Anforderungen an die Einwilligung und verweist auf die DS-GVO. Wesentliche Kriterien der Einwilligung sieht die DSK in

  • Eindeutigkeit der bestätigenden Handlung
  • ausreichende Information bezogen auf den Einzelfall
  • im richtigen Zeitpunkt
  • freiwillig
  • mit Widerrufsmöglichkeit

Eindeutige, bestätigende Einwilligung

Vor dem ersten Zugriff auf das Endgerät muss die Einwilligung bereits erteilt sein. Die DSK stellt fest, dass ein „weitersurfen“, „runterscrollen“ oder vorbelegte Checkboxen keine bestätigende Einwilligung ist und verweist richtiger Weise auf das Plante 49 Urteil des BGH. Untätigbleiben und Stillschweigen sind im Anwendungsbereich der DS-GVO keine wirksamen Erklärungen.

Das Anklicken einer „designierten“ Schaltfläche in einem Banner reicht indes aber aus.

Informationen bei der Einwilligung

Die Einwilligung muss für den Nutzer die Information zur Datenverarbeitung für jeden Einzelfall klar verständlich bereithalten. Hierbei muss insbesondere darauf geachtet werden, dass die Einwilligung zur Datenspeicherung und zum Zugriff nach TTDSG noch nicht die Einwilligung für die nachgelagerte Verarbeitung nach DS-GVO abdecken. So ist eine Formulierung „Wir setzen auf dieser Webseite Cookies ein.“ nicht ausreichend. Es muss vielmehr auch auf die nachgelagerte Verarbeitung der so gewonnenen Daten hingewiesen werden.

Es ist zwar möglich, die Einwilligungserklärung mehrschichtig zu gestalten, aber es muss zum Zeitpunkt der Einwilligungserklärung sichergestellt sein, dass der Nutzer alle relevanten Informationen hatte. Wenn also im Cookie Banner ein „alles akzeptieren“ Button bereitsteht, müssen auch die notwendigen Informationen zur Datenverarbeitung bereits im Cookiebanner enthalten sein. Dies wird in der Praxis schon aus Platzgründen schwierig werden.

Freiwilligkeit der Einwilligung

Die DSK diskutiert die Frage der Freiwilligkeit und deren Einwilligung sehr umfassend und kommt zu der aus unserer Sicht streitbaren Meinung, dass Webseitenbetreiber ihre Angebote auch dann anbieten müssen, wenn der Nutzer dem Targeting nicht zustimmt. Cookiewalls, die ohne Zustimmung zu den Cookies den Inhalt unzugänglich machen, sind laut DSK unzulässig, da sie gegen den Grundsatz der Freiwilligkeit verstoßen. Wir sehen hier einen erheblichen Eingriff in die Privatautonomie der Webseitenbetreiber, der so auch nicht ohne weiteres zu rechtfertigen ist.

Ablehnen Button

Die DSK fordert, dass ein Ablehnen Button auf gleicher Ebene zu finden sein muss wie der Akzeptieren Button. Sollte der Ablehnen Button auf einer tieferen Ebene liegen als der „alles akzeptieren“ Button, liege hierin ein Verstoß gegen die Freiwilligkeit, da der Nutzer vom Webseitenbetreiber davon abgehalten werde, diese Option zu wählen. Es gebe für dieses Vorgehen keinen sachlichen Grund und daher sei darin ein Verstoß gegen Treu und Glauben gemäß Art. 5 Abs. 1 a DS-GVO zu sehen.

Weitere Quellen

https://www.golem.de/news/orientierungshilfe-zu-ttdsg-nutzer-muessen-cookies-direkt-ablehnen-koennen-2112-161966.html?utm_source=nl.2021-12-22.html&utm_medium=e-mail&utm_campaign=golem.de-newsletter

Die Landesbeauftragte für den Datenschutz Niedersachsen mit Zusammenfassung