Bereits kurz vor Weihnachten hat es sich die deutsche Datenschutzkonferenz (DSK) nicht nehmen lassen, erneut für ordentlich Wirbel im Datenschutz zu sorgen und „beschenkte“ uns mit einer neuen „Orientierungshilfe für Anbieter*innen von Telemedien“, die sich mit der Rechtslage nach der Einführung des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) am 1. Dezember 2021 befasst.
Wir
wollen Ihnen das für die Onlinemarketing-Branche Wesentliche näherbringen,
insbesondere die Ausführungen der DSK zum Einsatz von Cookies und anderen
Technologien, speziell zur Frage des Einwilligungsmanagements.
Wichtig:
Bei der Orientierungshilfe handelt es sich bisher nur um einen Entwurf. Es wird noch ein öffentliches
Konsultationsverfahren stattfinden, nach dem sich der Text noch ändern
kann. Nähere Informationen dazu sollen laut DSK noch in diesem Monat folgen.
Ebenfalls
erwähnenswert ist, dass Bezahlmodelle
(auch „Pur-Modelle“, wie sie zum Beispiel bei Spiegel Online oder mittlerweile
auch auf bild.de zum Einsatz kommen), von der Orientierungshilfe ausdrücklich nicht
behandelt werden.
Einwilligungen nach TTDSG und DSGVO
können zusammen eingeholt werden
Wenig
überraschend: Die nach TTDSG und DSGVO erforderlichen Tracking-Einwilligungen
können nach Ansicht der DSK durch ein und dieselbe Handlung zusammen eingeholt
werden. Das setzt jedoch voraus, dass den Nutzern deutlich gemacht wird,
dass sich ihre Einwilligungserklärung sowohl auf Speicherung auf und Auswertung
von Informationen von der Endeinrichtung als auch auf die darauf folgende
Datenverarbeitung bezieht. Außerdem ist über beide Rechtsgrundlagen separat
zu informieren. Das bedeutet: In den Einwilligungsbannern sind zukünftig
noch mehr und deutlichere Informationen bereitzustellen.
Mehr Informationen über den Einsatz von
Cookies und ähnlichen Technologien
Die
Nutzer sollen über das Einwilligungsbanner außerdem transparent und
nachvollziehbar darüber informiert werden, wer in welcher Form zu welchem
Zweck für wie lange auf seine Endeinrichtung zugreift und wer die Informationen
auslesen kann. Ebenso muss der Nutzer erfahren, inwieweit die ausgelesenen
Informationen für weitere Datenverarbeitungszwecke verarbeitet werden. Es reicht
nicht aus, nur vage über die Zwecke zu informieren (wie zum Beispiel
„Marketingzwecke“ oder „Verbesserung der Nutzererfahrung“).
Zwar
können entsprechende Informationen auch weiterhin auf einer zweiten Ebene des
Einwilligungsbanners erfolgen, wenn jedoch auf der ersten Ebene die
Möglichkeit besteht, in verschiedene Zwecke einzuwilligen, sollen Sie auch
auf dieser Ebene hinreichend informieren. Wie das praktikabel und
übersichtlich umzusetzen sein soll, lässt die DSK offen.
Wie
wichtig der DSK die informierte Einwilligung des Endnutzers ist, wird
auch in den weiteren Ausführungen deutlich. So stellt die DSK klar, dass ein „OK“-Button in keinem Fall eine
unmissverständliche Willenserklärung im Sinne einer Einwilligung darstellt.
Selbst „akzeptieren“ oder „ich stimme zu“ ist nur dann für eine
wirksame Einwilligung ausreichend, sofern aus dem Einwilligungstext deutlich
hervorgeht, wozu eingewilligt wird.
Es müssen zwei gleichwertige
Handlungsmöglichkeiten angeboten werden
Das
Einwilligungsbanner soll so gestaltet sein, dass dem Endnutzer zwei
gleichwertige Handlungsmöglichkeiten mit demselben Kommunikationseffekt
offenstehen. Kann der Nutzer eine freiwillige und informierte Entscheidung nur
mit einem Mehraufwand an Klicks und/oder Aufmerksamkeit treffen, steht
das nach Ansicht der DSK einer wirksamen Einwilligung entgegen
Zwei
gleichwertige Handlungsmöglichkeiten sind daher regelmäßig nur dann anzunehmen,
wenn bereits auf der ersten Ebene der Einwilligungsplattform eine „alles akzeptieren“ und eine „ablehnen“- oder „jetzt nicht akzeptieren“-Schaltfläche als Optionen angeboten
werden.
Die
DSK fordert darüber hinaus ein Einwilligungsmanagement, dass dem Nutzer granulare
Teil-Einwilligungen nach dem Vorbild des IAB TCF 2.0 ermöglicht. Gleiches
gilt für den Widerruf. Auch dieser muss auf die gleiche Art und Weise
möglich sein, wie die Erteilung der Einwilligung (zum Beispiel per Schaltfläche
auf der Website).
Analytics-Cookies als „unbedingt
erforderlich“?
Für
die Ausnahme für „unbedingt erforderliche“ Cookies nach § 25 Abs. 2 Nr. 2 TTDSG
muss laut der DSK zwischen der Bereitstellung eines Basisdienstes,
zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden.
Eine rein wirtschaftliche Erforderlichkeit ist nicht ausreichend.
Die
DSK möchte sich aus diversen Gründen ausdrücklich nicht dazu äußern, ob
Analyse-Cookies, die der Reichweitenmessung dienen (sowie andere spezielle
Kategorien von Cookies), unter bestimmten Bedingungen als „unbedingt
erforderlich“ zu klassifizieren und damit nach § 25 Abs. 2 Nr. 2 TTDSG von
der Einwilligungspflicht ausgenommen sind. Dies wird damit begründet, wdass es zum
Beispiel für den Fall der Analytics-Cookies immer vor allem auf den konkreten
Zweck, für den die Reichweitenmessung im Einzelfall eingesetzt wird
ankommt.
Hier
folgt die DSK also nicht dem Vorbild anderer Aufsichtsbehörden, wie zum
Beispiel der französischen Aufsichtsbehörde CNIL, die den Standpunkt vertritt,
dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn
- die
Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
- die
für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich und
- ausschließlich
für den Betreiber der betreffenden Website oder App bestimmt sind.
Die
DSK gibt uns nur an die Hand, dass für die Frage, inwiefern Cookies „unbedingt
erforderlich“ sind, neben dem „ob“ auch noch zeitliche, inhaltliche sowie
personelle Dimensionen zu berücksichtigen sind und versorgt uns mit
maßgeblichen Kriterien:
- Zeitpunkt
der Speicherung: Der
Auslese- und Speichervorgang darf erst dann beginnen, wenn die konkrete
Funktion tatsächlich in Anspruch genommen wird.
- Inhalt
der Information: Die
Informationen, welche gespeichert und ausgelesen werden, müssen für die
Funktion unbedingt erforderlich sein.
- Dauer
der Speicherung der Information:
Die Informationen dürfen nur so lange gespeichert und ausgelesen werden, wie
unbedingt erforderlich.
- Auslesbarkeit
der Informationen: Es
muss technisch sichergestellt werden, dass die Informationen nur vom Anbieter ausgelesen
werden können; bei Third-Party-Cookies, dass die Informationen nur für die vom Nutzer
aufgerufene Website verwendet werden können.
Ablehnung des
„Axel-Springer-Modells“ für internationale Datentransfers
Zum
Schluss äußert sich die DSK auch dazu, dass nach ihrer Ansicht personenbezogene
Daten, die im Zusammenhang mit der Nachverfolgung von Nutzerverhalten auf
Websites oder in Apps verarbeitet werden, nicht auf Grundlage einer
Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO an Datenempfänger
außerhalb der EU übermittelt werden können. Denn Umfang und Regelmäßigkeit
solcher Datentransfers widersprächen regelmäßig dem Charakter des Art. 49 DSGVO
als Ausnahmevorschrift.
Die
DSK erteilt damit dem „Axel-Springer-Modell“ eine Absage. Ob sich diese Ansicht
durchsetzen wird, insbesondere ob sie mit dem Wortlaut des Art. 49 Abs. 1 S. 2
DSGVO zu vereinbaren ist, kann zumindest angezweifelt werden.
Was ist nun zu tun?
Erst
einmal können das Konsultationsverfahren und die endgültige Version der
Orientierungshilfe abgewartet werden – auch wenn uns bereits
aufsichtsbehördliche Prüfverfahren bekannt sind, die offenbar auf der Grundlage
der hier beschriebenen Positionen angestoßen wurden.
Wie
bereits erwähnt ist auch zu berücksichtigen, dass die Orientierungshilfe selbst
keinen Gesetzescharakter hat. Es handelt sich nur um die unverbindliche
Stellungnahme der Aufsichtsbehörden. Es bleibt insbesondere abzuwarten, wie
sich die Gerichte dazu positionieren. Zu recht wird bei vielen Positionen der
DSK seitens der Berufsverbände der Einwand erhoben, dass sich eine derart
strenge Auslegung, wie sie in der Orientierungshilfe vorgenommen wurde,
keineswegs aus dem Wortlaut der DSGVO ergäbe.
Viele
Anforderungen, wie zum Beispiel gleichwertige Gestaltung der einzelnen
Schaltflächen (insbesondere der Verzicht auf übermäßiges Nudging), keine
voreingestellten Kästchen oder Opt-Outs oder die Möglichkeit, nicht notwendige
Cookies einfach ablehnen zu können, wurden zudem bereits seit geraumer Zeit
empfohlen und dürften daher für Sie nicht neu sein und keine Änderungen nötig
machen.
Die
DSK stellt in der neuen Orientierungshilfe jeodch teilweise noch einmal
strengere Anforderungen an das Einwilligungsmanagement. Das TTDSG dient hier
nur als Anlass – Unternehmen sollen dazu bewegt werden, den Umfang der zur
Verfügung gestellten Informationen und die im Einwilligungsbanner angezeigten
Schaltflächen anzupassen.
Wollen
Sie einem Verfahren durch die Aufsichtsbehörden entgehen, raten wir daher, Ihr
Einwilligungsmanagement entsprechend unserer Ausführungen zu überprüfen und
gegebenenfalls anzupassen.
Als
ein mahnendes Beispiel können die vor wenigen Tagen Google und Facebook in
Frankreich auferlegten Bußgelder in Höhe von 150 Mio. und 60 Mio. Euro
dienen, weil diese ihren Nutzern die Ablehnung von Cookies nicht ebenso einfach
machten wie die Einwilligung.
Wir werden für Sie die weitere Entwicklung
beobachten und Sie bei Bedarf informieren. Bei allen weiteren notwendigen
Schritten, insbesondere der rechtskonformen Gestaltung Ihres Online-Angebots,
beraten wir Sie wie immer gern.