News
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Verhältnis zwischen TTDSG und DSGVO
Die DSK stellt einleitend klar, dass rechtlich beim Einsatz von Cookies und ähnlichen Technologien zwei Schritte unterschieden werden müssen:
- Die Speicherung von und Zugriff auf Endeinrichtungen und
- die nachfolgende Verarbeitung personenbezogener Daten.
Während Schritt 1 allein nach den Anforderungen des TTDSG geprüft werden muss, gelten für Schritt 2 ausschließlich die Anforderungen der DSGVO. Praktisch bedeutet das, dass die Behörden in der Zukunft, im Fall eines Verstoßes, sowohl Maßnahmen wie Bußgelder nach dem TTDSG und der DSGVO ergreifen können und voraussichtlich auch werden.
Kein Einwilligungsbedürfnis bei zwangsläufiger Übermittlung
Interessanterweise geht die DSK nicht von einem Zugriff auf die Daten eines Endgerätes aus, wenn die Daten zwangsläufig oder aufgrund von Browsereinstellungen bei Abruf eines Dienstes übermittelt werden. Werden z.B. die öffentliche IP-Adresse, die Adresse der aufgerufenen Website, der User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache automatisch an den Betreiber einer Website übermittelt, soll § 25 TTDSG daher mangels Zugriff auf das Endgerät keine Anwendung finden.
Einheitliche Einwilligungserklärung
In der OH Telemedien 2021 geht die DSK davon aus, dass die Einwilligung nach § 25 Abs. 1 TTDSG zusammen mit der Einwilligung nach Art. 6 Abs. 1 a) DSGVO erklärt werden kann, solange der Telemedienanbieter / Verantwortlicher ausreichend klarstellt, dass die Einwilligung den gesamten Lebenssachverhalt umfasst. Das bedeutet z.B., dass nach Ansicht der DSK im Banner die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) mit angesprochen werden muss.
Eindeutig bestimmbare Zwecke
Bezüglich der Informationen, die vor Abgabe der Einwilligung erteilt werden müssen, bleibt die DSK relativ vage. Hervorzuheben ist allerdings, dass die DSK eine konkrete Beschreibung der Zwecke der Folgeverarbeitung fordert. Die Ausführungen hierzu werden im Kontext des Bestimmtheitserfordernisses konkretisiert. So soll es ausdrücklich nicht ausreichen, wenn als Zwecke z.B. nur
- Verbesserung der Erfahrung des Nutzers,
- Werbezwecke,
- IT-Sicherheitszwecke oder
- zukünftige Forschung
genannt werden. Ferner müssen laut DSK auf erster Ebene des Banners konkrete Informationen zu allen Zwecken enthalten sein, allgemeine und vage Informationen sollen nicht ausreichen.
Gleichwertige Ablehnungsmöglichkeit
An mehreren Stellen der OH Telemedien 21 positioniert sich die DSK zum Erfordernis einer gleichwertigen Ablehnungsmöglichkeit. Zusammengefasst lässt sich sagen, dass nach Ansicht der DSK eine Funktion zum Ablehnen in den meisten Fällen erforderlich sein wird. In diesen Fällen dürfe das Ablehnen auch nicht mit einem messbaren Mehraufwand verbunden sein.
Einfacher Widerruf der Einwilligung
Einwilligungen, die über Banner eingeholt werden, müssen laut DSK mithilfe eines Direktlinks oder Icons widerrufen werden können. Es reiche nicht aus, in der Datenschutzerklärung auf eine Widerrufsmöglichkeit zu verweisen. Nur so werde gewährleistet, dass entsprechend Art. 7 Abs. 3 S. 4 DSGVO der Widerruf so einfach wie die Einwilligung ist.
Ausnahmen vom Einwilligungserfordernis
Nach der DSK ist Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Sie gelte nur dann, wenn der Zugriff oder die Speicherung von Informationen auf einem Endgerät unbedingt erforderlich ist, um einen aus Perspektive eines durchschnittlich verständigen Nutzers gewünschten Dienst bereitzustellen. Dabei müsse zwischen Bereitstellung des Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Die DSK hat in diesem Rahmen klargestellt, dass die Ausnahme nicht anwendbar ist, wenn für den Einsatz eines Cookies eine rein wirtschaftliche Erforderlichkeit im Hinblick auf das gewählte Geschäftsmodell besteht.
Die DSK hat ausdrücklich darauf verzichtet, konkrete Beispiele für die Ausnahme aus Art. 25 Abs. 2 Nr. 2 TTDSG zu nennen.
Einwilligung in die Drittlandübermittlung
Innerhalb der OH Telemedien 21 bezieht die DSK außerdem Stellung zu der seit Längerem umstrittenen Frage, ob bei der Nachverfolgung von Nutzerverhalten auf Websites und Apps auf Grundlage eine Drittlandübermittlung auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO möglich ist. Die DSK lehnt dies grundsätzlich mit der Begründung ab, dass Umfang und Regelmäßigkeit der Transfers dem Ausnahmecharakter der Vorschrift widersprechen. Für die Übermittlung in Drittstaaten kommen daher in der Regel nach Ansicht der DSK nur ein Angemessenheitsbeschluss der Kommission oder geeignete Garantien nach Art. 46 Abs. 2 DSGVO in Betracht.
Erstes Fazit
Das Papier enthält umfassende Angaben und Erläuterungen dazu, wie Verantwortliche in Zukunft Cookies und ähnliche Technologien in Übereinstimmung mit DSGVO und TTDSG einsetzen können. Die Positionierung stellt in jedem Fall auch ein gutes Hilfsmittel für die Auslegung der einschlägigen Vorgaben aus DSGVO und TTDSG dar. Die Orientierungshilfe lässt zugleich viel Raum für Diskussionen und klammert einige der spannendsten Fragen aus. So befasst sich die OH z.B. nicht mit der Zulässigkeit von Paywalls oder der Zuständigkeit der Landesdatenschutzbehörden für Maßnahmen nach dem TTDSG.
Wir raten dringend dazu, existierende Banner mit den Anforderungen aus dem Papier abzugleichen. Es erscheint absehbar, dass hier in naher Zukunft Kontrollen und Maßnahmen durch die Behörden erfolgen werden.
News
Gesetz für faire Verbraucherverträge – Wichtige Änderungen und Handlungsbedarf für Unternehmen
Das „Gesetz für faire Verbraucherverträge“ ist seit dem 1. Oktober 2021 zu großen Teilen in Kraft. Durch die Änderung der entsprechenden Vorschriften des Bürgerlichen Gesetzbuches (BGB) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) wird die Kündigung von Langzeitverträgen für Verbraucher erleichtert, das AGB-Recht verschärft und die Dokumentationspflichten für die Einwilligung bei Telefonwerbung erweitert. Da die Neuregelungen stufenweise in Kraft traten, gelten aktuell bereits neue Vorgaben für die Verwendung von AGB sowie die erweiterten Dokumentationspflichten für die Einwilligung in die Telefonwerbung. Ab dem 1. Juli 2022 gelten darüber hinaus die neuen Regeln für die Kündigung von Verbraucherverträgen, die über eine Website geschlossen wurden.
Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformer Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufen geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt.
Neues Framework für Datenübermittlungen in die USA (coming soon)
Am 25. März 2022 gaben die Präsidentin der Europäischen Kommission Ursula von der Leyen und US-Präsident Joe Biden in einer gemeinsamen Pressekonferenz bekannt, dass man sich im Rahmen eines Trans-Atlantic Data Privacy Framework (TDPF) auf gemeinsame Regelungen bezüglich der Übermittlung personenbezogener Daten in die USA verständigt habe. Begleitend wurden von Seiten der EU-Kommission und des Weißen Hauses jeweils Fact Sheets mit den wesentlichen Inhalten der Vereinbarung bereitgestellt (EU / US).
Datenschutzbehörde Baden-Württemberg veröffentlicht umfassende FAQ zum Einsatz von Cookies und ähnlichen Technologien
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWÜ) hat am 4. März 2022 eine FAQ zu Cookies und Tracking durch Betreiber von Websites und Hersteller von Smartphone-Apps veröffentlicht.