Cookies, Tracking und Datenanalyse beschäftigt nach wie vor die Datenschützer. Einige neue Entwicklungen haben Bewegung in das Thema gebracht:
Am 1. 12.2021 trat das neue „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in Kraft. § 25 TTDSG enthält nun eine ausdrückliche Regelung zu Cookies.
Die deutschen Datenschutz-Aufsichtsbehörden haben am 20.12.2021 eine „Orientierungshilfe für Anbieter von Telemedien ab dem 1. Dezember 2021“ veröffentlicht, in der u.a. die aktuellen Anforderungen der Aufsichtsbehörden an Einwilligungen und Cookie-Banner zusammengefasst sind (https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf).
Die österreichische Datenschutzbehörde hält ausweislich einer Entscheidung vom Januar 2022 den Einsatz von Google Analytics wegen Datenübermittlungen in die USA für rechtswidrig (siehe https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf).
Mit Urteil vom 20.1.2022 hat das Landgericht München den Einsatz von Google Fonts untersagt und einem Website-Besucher 100,- € Schadensersatz zugesprochen, da aufgrund des Einsatzes von Google Fonts IP-Adressen an Google übertragen werden und es dafür an einer Rechtsgrundlage fehlt (LG München, Urt. v. 20.01.2022 – 3 O 17493/20). Allerdings ist umstritten, ob Website-Besucher derartige Ansprüche geltend machen können – das Landgericht Wiesbaden hat einen ähnlichen Anspruch mit Urteil vom 22.01.2022 abgelehnt (LG Wiesbaden, Urt. v. 22.01.2021 – 10 O 14/21).
Cookies, Tracking und Analytics-Maßnahmen erfordern zwingend eine Einwilligung. Gleiches gilt für die Einbindung externer Services (Videos, Chats, Schriftarten etc.). Der Einsatz von Cookie-Bannern bzw. Consent-Management-Tools ist damit Pflicht. Die Aufsichtsbehörden stellen extrem detaillierte und kleinteilige Anforderungen an die Gestaltung und technische Implementierung von Cookie-Bannern.
Das Thema steht derzeit verstärkt im Fokus der Aufsichtsbehörden. Aufgrund der leichten „Sichtbarkeit“ von Verstößen – jeder Nutzer der Website bzw. App kann die Einhaltung der gesetzlichen Vorgaben kontrollieren – drohen verstärkt Beschwerden, Abmahnungen und Klage von Nutzern und Verbraucherschützern.
Das neue TTDSG: Einwilligungspflichten für Cookies und App-Tracking
Mit dem neuen § 25 TTDSG hat der Gesetzgeber nun endlich Art. 5 Abs. 3 ePrivacy-RL in deutsches Recht umgesetzt. Das Einwilligungserfordernis bei Cookies ist nun auch ausdrücklich gesetzlich verankert.
Wir haben zum neuen TTDSG bereits in einem Artikel vom 22.12.2021 ausführlicher informiert (https://www.tcilaw.de/das-ttdsg-veraenderungen-beim-einsatz-von-cookies/).
Generell ist gemäß § 25 TTDSG eine Einwilligung immer dann notwendig, wenn Informationen in der „Endeinrichtung“ (also z.B. auf dem PC oder Mobilgerät) des Nutzers gespeichert oder ausgelesen werden – unabhängig davon, ob es um personenbezogene Daten geht.
Ein Speichern und Auslesen findet bei Cookies statt, aber z.B. auch beim Zugriff auf Daten in Mobilgeräten wie etwa Werbe-IDs (IDFA), Hardware-Gerätekennungen usw. Das Einwilligungserfordernis gilt damit nicht nur für Cookies auf Webseiten, sondern auch beim App-Tracking, bei dem regelmäßig Werbe-IDs oder ähnliche auf dem Gerät gespeicherte Identifier genutzt werden. Gleiches gilt für die Verwendung von local storage als Alternative zu Cookies. Die Aufsichtsbehörden wenden § 25 TTDSG sogar auf Browser-Fingerprinting an, soweit dabei Informationen verwendet werden, die über die standardmäßig im Rahmen von http-Requests übermittelten Daten hinausgehen. Auch bei der Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams) werden i.d.R. vom Drittanbieter Cookies gesetzt.
Eine Einwilligung ist dann nicht erforderlich, wenn der Zugriff bzw. die Speicherung „unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“ (§ 25 Abs. 2 Nr. 2 TTDSG). Die Aufsichtsbehörden legen an die „unbedingte Erforderlichkeit“ einen äußerst strengen Maßstab an. So sind z.B. Cookies für eine Warenkorb-Funktion erforderlich –aber erst dann, wenn der Nutzer den Warenkorb auch tatsächlich verwendet. Cookies im Zusammenhang mit einem Chatbot auf der Website dürfen erst dann ohne Einwilligung gesetzt werden, wenn der Nutzer den Chatbot aktiv anklickt.
Ergänzende datenschutzrechtliche Anforderungen
Website- und App-Betreiber müssen zusätzlich zum § 25 TTDSG noch weitere datenschutzrechtliche Anforderungen beachten:
Zusätzliche datenschutzrechtliche Rechtsgrundlage erforderlich
§ 25 TTDSG gilt nur für das Setzen und Auslesen von Cookies oder anderen Informationen. Für die damit zusammenhängenden Datenverarbeitungen – also z.B. das Tracking oder die Analyse – ist eine zusätzliche Rechtsgrundlage nach der DSGVO erforderlich.
Gleiches gilt für den Einsatz von Services, bei denen IP-Adressen an Dritte übertragen werden – also z.B. die Einbindung externer Schriftarten (siehe LG München, Urt. v. 20.01.2022 – 3 O 17493/20) oder die Einbindung von Drittinhalten („embedded content“, z.B. Einbindung von YouTube-Videos oder Instagram-Streams).
Dies kann eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1a DSGVO sein (zusätzlich zur Einwilligung nach § 25 TTDSG!). Glücklicherweise können diese Einwilligungen zusammen eingeholt werden. Es muss jedoch klargestellt werden, dass sich die Einwilligung nicht nur auf die Verwendung von Cookies, sondern auch auf die damit verbundenen weiteren Verarbeitungen (also z.B. das Tracking) bezieht.
Datenübermittlungen in das Nicht-EU-Ausland sind rechtswidrig
Der EuGH hat in seinem „SchremsII“-Urteil vom 16.07.2020 klargestellt, dass Datentransfers an Empfänger im Nicht-EU-Ausland nur dann zulässig sind, wenn beim Empfänger ein „angemessenes Schutzniveau“ der Daten sichergestellt ist. Nach der EuGH-Entscheidung gibt es keine formalen Mittel mehr (wie z.B. den Abschluss von Verträgen wie den sog. EU-Standardvertragsklauseln), um Datenübermittlungen insbesondere in die USA zu legalisieren.
Die österreichische Datenschutzbehörde hält deshalb den Einsatz von Google Analytics für rechtswidrig. Auch eine Einwilligung in die Auslandsübermittlung soll nach Auffassung der österreichischen und deutschen Aufsichtsbehörden nicht möglich sein.
Es ist deshalb äußerst fraglich, ob derzeit US-basierte Analyse- und Trackingtools rechtskonform eingesetzt werden können. Wir empfehlen deshalb, bis auf weiteres auf den Einsatz US-basierter Analyse- und Trackingtools zu verzichten (wie z.B. Google Analytics). Prüfen Sie, ob europäische Alternativen wie z.B. Matomo in Betracht kommen – insbesondere wenn Sie nur Aufrufstatistiken benötigen und nicht weitergehendes Werbe-Tracking einsetzen.
Seit dem 01.12.2021 ist das TTDSG, das Telekommunikation-Telemedien-Datenschutz-Gesetz in Kraft. Der nachfolgende Artikel soll einen Überblick darüber geben, welche Änderungen das Gesetz mit sich bringt.
Zweck des Gesetzes
Das Gesetz schafft einen rechtlichen Rahmen für die Verwendung von Cookies und ähnlichen Technologien bei Endgeräten. Durch das Einführen des TTDSGs wurden europarechtliche Vorgaben der ePrivacy-Richtlinie (Richtlinie 2009/136/EG des Europäischen Parlaments und Rates) in nationales Recht umgesetzt. Bisher konnten diese, mangels eigener Rechtsgrundlage, lediglich teilweise, durch eine europarechtskonforme Auslegung von § 15 Abs. 3 TMG erreicht werden. Das TTDSG normiert nun die rechtlichen Vorgaben von EuGH und BGH. Es ist nun neben der DSGVO anzuwenden. Anders als bisher sind vom Regelungsgehalt neben Webseiten auch Apps umfasst, die Cookies setzen.
Daneben gestaltet das Gesetz Einzelheiten des Telekommunikationsgesetztes neu aus und gibt beispielsweise Anforderungen in Bezug auf die Nutzung von Telekommunikationsdiensten, die Aufnahme in Endnutzerverzeichnisse oder die Erteilung von Auskünften über Bestands- und Nutzungsdaten vor.
Die wichtigste Änderung: Pflicht zur Einholung einer Einwilligung für Trackingdienste und Cookies
Mit Inkrafttreten des TTDSGs müssen die Verwender nun gemäß § 25 TTDSG grundsätzlich eine informierte, ausdrückliche und vorherige Zustimmung (Einwilligung) der Nutzer einholen, wenn sie Informationen auf einem Endgerät speichern oder auf dieses zugreifen wollen. Dies gilt sowohl beim Einsatz von Cookies als auch bei vergleichbaren Techniken wie Fingerprinting, der Nachverfolgung über MAC-Adressen oder IMEI-Nummern.
Der Einwilligung bedarf es unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden oder nicht. Falls personenbezogene Daten verarbeitet werden, kann die Einwilligung jedoch zusammen mit der Einwilligung nach der DSGVO eingeholt werden und erfolgen. Da viele Webseitenbetreiber bereits einen Consent Banner verwenden bzw. verwenden sollten, wenn eiwilligungsbasiert mit Cookies gearbeitet wird, kommt also vor allem auf die Betreiber von Apps zusätzlicher Handlungsbedarf zu. Noch nicht endgültig geklärt ist die Frage, ob sich bestehende Auftragsdatenverarbeitungsverträge mit App Betreibern, die nun eine Einwilligung der Nutzer einholen müssen, insoweit erübrigen.
Für die Einholung der Einwilligung gibt es nach der TTDSG lediglich zwei Ausnahmen: (1.) Wenn durch die Cookies und Informationen allein die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz bezweckt wird oder (2.) die Speicherung unbedingt zur Zurverfügungstellung des Telemediendienst erforderlich ist.
Form der Einwilligung
Wie muss die erforderliche Einwilligung also künftig aussehen? Auch das TTDSG gibt keine konkreten Vorgaben in Bezug auf die Einwilligung vor. Es bleibt insofern bei den bisher geltenden Voraussetzungen, die die Datenschutzbehörden für Consent Banner entwickelt haben. Zuletzt hatte die Datenschutzkonferenz am 20.12.2021 ihre „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ dazu veröffentlicht. Diese ist hier abrufbar.
Weitere Änderungen
Mit § 26 TTDSG wurde zudem die Voraussetzung dafür gesetzt, dass zukünftig Dienste geschaffen werden, bei denen Nutzer einmalig angeben können, unter welchen Voraussetzungen sie ihre Einwilligung zur Verwendung Cookies erteilen möchten. Beispielsweise sollen zusammengeschlossene Unternehmen dann einen gemeinsamen Dienst anbieten können, damit Nutzer nicht mehrmals einwilligen müssen.
Die genauen Anforderungen, die solche Dienste erfüllen müssen, sollen allerdings erst durch die Regierung, mit Zustimmung des Gesetzgebers, in einer Rechtsverordnung geregelt werden. Sobald diese feststehen, können Dienste dann von einer unabhängigen staatlichen Stelle anerkannt werden. Mindestvoraussetzungen, wie ein Sicherheitskonzept oder dass der Dienst kein wirtschaftliches Eigeninteresse aufweisen darf, wurden bereits im § 26 TTDSG geregelt.
Sämtliche Verarbeitungen, die keine personenbezogenen Daten betreffen, wurden der Zuständigkeit der Bundesnetzagentur unterworfen. Zudem können auch nach dem TTDSG Bußgelder verhängt werden, wenn die erforderliche Einwilligung nicht eingeholt wird.
Fazit:
Praktisch ändert sich für viele Webseitenbetreiber aufgrund des TTDSGs wenig. Die Pflicht zur Einholung der Einwilligung zur Nutzung von Cookies oder anderen Trackingdiensten ist nun gesetzlich normiert. An den entwickelten Anforderungen an die Einwilligung selbst hat sich jedoch nichts geändert. Lediglich Betreiber von Apps, die Informationen auf dem Endgerät speichern oder Informationen vom Endgerät auslesen, müssen nun ebenfalls eine Einwilligung hierfür einholen.