Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat am 4. März 2022 eine FAQ zu Cookies und Tracking durch Betreiber von Websites und Hersteller von Smartphone-Apps veröffentlicht. Die FAQ soll die im Dezember 2021 von der Datenschutzkonferenz (DSK) veröffentlichte Orientierungshilfe der Aufsichtsbehörden für die Anbieter:innen von Telemedien (OH Telemedien 2021) „praxisorientiert ergänzen.“ Anders als die OH Telemedien 2021 scheint der Fokus des FAQ tatsächlich nicht auf der juristischen Herleitung von datenschutzrechtlichen Anforderungen zu liegen, sondern darauf, diese Anforderungen möglichst konkret zu benennen. Die FAQ enthält zu diesem Zweck u.a. eine 16-seitige (!) Auflistung von Negativbeispielen, die auf eine sehr strenge Auslegung der Anforderungen des TTDSG und der DSGVO durch den LfDI BaWü hindeutet. Zugleich zeigt der LfDI BaWü unter welchen Bedingungen Reichweitenmessung oder Server-seitiges Tracking ohne Einholung einer Einwilligung möglich sein kann.

Wir haben uns das Dokument im Detail angesehen und im Folgenden versucht, die wichtigsten Aussagen möglichst knapp zusammenzufassen:

1. Vom Anwendungsbereich des TTDSG erfasste Technologien (Seite 7)

Die FAQ stellt eingangs klar, dass die Vorgaben des TTDSG neben dem Einsatz von Cookies auch für Technologien wie „LocalStorage, Web Storage, das Auslesen von Werbe- und Geräte-IDs, Seriennummern, aber auch der Einsatz von ETags oder TLS-Session-IDs zum Zwecke des Trackings, Fingerprinting (z.B. durch das Auslesen von installierten Schriften oder Anwendungen)“ gelten sollen. Wenn im Folgenden von Cookies die Rede ist, sind daher die genannten Technologien mitgemeint, auch wenn es sich nicht um Cookies handelt.

2. Anwendungsbeispiele für erforderliche Cookies (Seite 7 – 9)

Anders als die OH Telemedien nennt das FAQ einige Beispielsfälle, in denen in der Regel keine Einwilligung für den Einsatz von Cookies eingeholt werden muss. Genannt werden z.B. Cookies zur Sitzungsverwaltung (Login- oder Warenkorb-Cookies) und Speicherung von Spracheinstellungen. Bemerkenswert ist hier, dass der Einsatz von Cookies zu Sicherheitszwecken nur in Ausnahmefällen gestattet sein soll und nur „bei gesonderten Nutzer_innen-Interaktionen“ (z.B. bei Durchführung von Abstimmungen). Ferner soll auch die Speicherung des Einwilligungsstatus nur mit der Angabe des Einwilligungsstatus / der konkreten Konfiguration (ja/nein) und ohne Festlegung einer eindeutigen ID ohne Einwilligung zulässig sein.

Der LfDI BaWü weist ferner darauf hin, dass für erforderliche Cookies auch keine Einwilligung eingeholt werden darf. Wenn eine Einwilligung eingeholt wird, soll dies sogar einen Verstoß gegen die DSGVO-Grundsätze von Treu und Glauben sowie der Transparenz darstellen.

3. Einbindung von externen (Medien-) Inhalten (Seite 9 – 13)

Die Einbindung von externen Inhalten ist nach Ansicht des LfDI ohne Einholung einer Einwilligung in der Regel nur dann möglich, wenn besondere Maßnahmen getroffen wurden, die einen Zugriff auf Daten durch Dritte verhindern. Hintergrund dessen ist, dass durch die (direkte) Einbindung der externen Elemente unmittelbar und automatisch Daten an Drittanbieter übermittelt werden. Entsprechend zielen die vom LfDI BaWü vorgeschlagenen Maßnahmen auch darauf ab, dass eine solche Datenübermittlung (im besten Fall) vollständig unterbleibt und Inhalte möglichst lokal eingebunden werden (z.B. Bereitstellung von Google Fonts über den eigenen Webserver).

Die FAQ bietet hier eine gute Zusammenfassung dazu, wie Kartendienste, Videoinhalte, Socia-Media-Buttons und Inhalte aus sozialen Netzwerken datenschutzkonform eingebunden werden können. Die von der Behörde vorgeschlagenen Lösungen scheinen, zumindest auf den ersten Blick, praktisch und mit überschaubarem Aufwand umsetzbar zu sein.

4. Reichweitenanalyse (Seite 13 – 16)

Bereits in der OH Telemedien war davon die Rede, dass § 25 TTDSG nicht für zwangsläufig übermittelte Daten gelten soll. Nach dem LfDI BaWü können zwangsläufig übermittelte Daten, wie die IP-Adresse oder Informationen zum verwendeten Browser, auch nach Vorgaben der DSGVO ohne Einwilligung zur Durchführung von Reichweitenanalysen verwendet werden. Mit Reichweitenanalyse soll dabei die Verarbeitung der erhobenen Daten für die Erstellung von nicht-personenbeziehbaren Statistiken gemeint sein. Die Verarbeitung soll ohne Einholung einer Einwilligung bei Vorliegen der folgenden Voraussetzungen unter Berufung auf berechtigte Interessen nach Art. 6 Abs. 1 f) DSGVO zulässig sein:

• Die Verarbeitung beschränkt sich auf automatisiert übermittelte Daten;
• die Reichweitenanalyse erfolgt mittels lokaler Logfile-Analyse;
• es wird auf Dienste externer Dritter verzichtet;
• es werden möglichst wenig personenbezogene Daten verarbeitet;
• es erfolgt kein Zusammenführen von Nutzungsdaten, z.B. mit Daten von anderen Anbietern oder über mehrere Geräte hinaus;
• die Daten werden nicht zur Wiedererkennung der Nutzer für andere Zwecke verwendet.

Eine ähnliche Ansicht vertritt auch bislang die französische Aufsichtsbehörde (CNIL) in ihren Empfehlungen.

5. Serverseitiges Tracking – Seite 16 – 17

Auch ein serverseitiges Tracking kann nach Ansicht des LfDI BaWü unter Umständen ohne Einholung einer Einwilligung erfolgen.

6. Anforderungen an Einwilligungs-Banner - Seite 18 - 21

Hinsichtlich der allgemeinen Anforderungen an den Einwilligungs-Banner bezieht sich der LfDI BaWü in weiten Teilen auf die OH Telemedien, deren Anforderungen wir bereits hier im Blog zusammengefasst hatten.

Besonders wichtig scheint der Aufsichtsbehörde zu sein, dass bei Einholung der Einwilligung die Verarbeitungszwecke transparent beschrieben werden. Es soll vor allem nicht ausreichen, nur das Ergebnis der Verarbeitung zu nennen. Vielmehr müsse der Inhalt der eigentlichen Datenverarbeitung wiedergegeben werden. Demnach reiche es nicht aus, allein von der „Anzeige von Werbung“ als Zweck zu sprechen. Stattdessen müsse auch der Inhalt der Verarbeitung klarwerden, also z.B. die Nachverfolgung und Überwachung der Internet-Nutzung. Zudem sei der Verantwortliche in der Pflicht im Banner auch über die Verarbeitung seiner Partnerunternehmen zu informieren. Aus den Negativbeispielen geht hervor (S. 24, Negativbeispiel 1.3.3.2.), dass es nicht ausreicht, dazu lediglich auf die Datenschutzerklärung eines Partnerunternehmens zu verlinken. Die Information im Banner soll vor allem die folgenden Fragen beantworten können:

• Welche personenbezogenen Daten sind betroffen?
• Was passiert mit ihnen?
• Wer erhält Zugriff auf die Daten?
• Werden die personenbezogenen Daten mit weiteren Daten verknüpft?
• Welchen Zwecken dient das?

7. Kein pauschaler Verweis auf das TCF – Seite 22

Das FAQ bezieht sich hinsichtlich einer möglichen Rechtswidrigkeit des Transparency Consent Framework (TCF) ausdrücklich auf die Entscheidung der belgischen Aufsichtsbehörde (mehr dazu hier). Zudem betont der LfDI BaWü, dass es auch bei Verwendung von Datenschutzstandards wie dem TCF darauf ankomme, ob diese Standards rechtskonform implementiert wurden.

8. Negativbeispiele – Seite 23 - 39

Wie bereits erwähnt, wurde von der Aufsichtsbehörde eine beeindruckende Liste von Negativbeispielen zusammengestellt, die wohl einen Großteil der Banner erfassen sollte, die aktuell eingesetzt werden. Mögliche Fehler werden zunächst aufgezählt und anschließend potenzielle Verstöße mit Hilfe von acht fehlerhaften Einwilligungsabfragen illustriert.

Zwar wurde auf ein Positivbeispiel verzichtet, die im Kontext der Negativbeispiele formulierten Anforderungen sind aber so konkret formuliert, dass hinreichend deutlich wird, welche konkreten Anforderungen an den Einsatz von Cookies und die Einholung der Einwilligung bestehen sollen.

So kann man aus Negativbeispielen unter anderem ableiten, dass der Websitebetreiber über alle verwendeten Techniken (Ziffer 1.3.5.6.) informieren muss und dass es für die Rechtfertigung der Drittlandsübermittlung nicht ausreicht, eine Einwilligung einzuholen (Ziffer 5.1.1.3, Beispiel 7).

Handlungsempfehlung und Zusammenfassung

Websitebetreibern innerhalb der Zuständigkeit des LfDI BaWü empfehlen wir daher auch dringend, den eigenen Banner bzw. das eigene CMP mit der Negativliste abzugleichen. Ein Großteil der derzeit im Einsatz befindlichen Einwilligungsbanner wird aller Voraussicht nach nicht den (strengen) Vorgaben der Behörde entsprechen.

Keineswegs sichergestellt ist allerdings, ob sich andere Behörden den Ansichten des LfDI BaWü anschließen werden. Ebenfalls nicht sicher ist, ob der LfDI BaWü dem FAQ auch Maßnahmen folgen lässt. Bislang haben sich die deutschen Aufsichtsbehörden noch zurückgehalten, was den Erlass von Anordnungen und Bußgeldern aufgrund des rechtswidrigen Einsatzes von Cookies betrifft. Zumindest einer der Gründe dafür könnte sein, dass den Behörden im Hinblick auf mögliche Verstöße gegen das TTDSG die Zuständigkeit gefehlt hat.