News
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Verhältnis zwischen TTDSG und DSGVO
Die DSK stellt einleitend klar, dass rechtlich beim Einsatz von Cookies und ähnlichen Technologien zwei Schritte unterschieden werden müssen:
- Die Speicherung von und Zugriff auf Endeinrichtungen und
- die nachfolgende Verarbeitung personenbezogener Daten.
Während Schritt 1 allein nach den Anforderungen des TTDSG geprüft werden muss, gelten für Schritt 2 ausschließlich die Anforderungen der DSGVO. Praktisch bedeutet das, dass die Behörden in der Zukunft, im Fall eines Verstoßes, sowohl Maßnahmen wie Bußgelder nach dem TTDSG und der DSGVO ergreifen können und voraussichtlich auch werden.
Kein Einwilligungsbedürfnis bei zwangsläufiger Übermittlung
Interessanterweise geht die DSK nicht von einem Zugriff auf die Daten eines Endgerätes aus, wenn die Daten zwangsläufig oder aufgrund von Browsereinstellungen bei Abruf eines Dienstes übermittelt werden. Werden z.B. die öffentliche IP-Adresse, die Adresse der aufgerufenen Website, der User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache automatisch an den Betreiber einer Website übermittelt, soll § 25 TTDSG daher mangels Zugriff auf das Endgerät keine Anwendung finden.
Einheitliche Einwilligungserklärung
In der OH Telemedien 2021 geht die DSK davon aus, dass die Einwilligung nach § 25 Abs. 1 TTDSG zusammen mit der Einwilligung nach Art. 6 Abs. 1 a) DSGVO erklärt werden kann, solange der Telemedienanbieter / Verantwortlicher ausreichend klarstellt, dass die Einwilligung den gesamten Lebenssachverhalt umfasst. Das bedeutet z.B., dass nach Ansicht der DSK im Banner die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) mit angesprochen werden muss.
Eindeutig bestimmbare Zwecke
Bezüglich der Informationen, die vor Abgabe der Einwilligung erteilt werden müssen, bleibt die DSK relativ vage. Hervorzuheben ist allerdings, dass die DSK eine konkrete Beschreibung der Zwecke der Folgeverarbeitung fordert. Die Ausführungen hierzu werden im Kontext des Bestimmtheitserfordernisses konkretisiert. So soll es ausdrücklich nicht ausreichen, wenn als Zwecke z.B. nur
- Verbesserung der Erfahrung des Nutzers,
- Werbezwecke,
- IT-Sicherheitszwecke oder
- zukünftige Forschung
genannt werden. Ferner müssen laut DSK auf erster Ebene des Banners konkrete Informationen zu allen Zwecken enthalten sein, allgemeine und vage Informationen sollen nicht ausreichen.
Gleichwertige Ablehnungsmöglichkeit
An mehreren Stellen der OH Telemedien 21 positioniert sich die DSK zum Erfordernis einer gleichwertigen Ablehnungsmöglichkeit. Zusammengefasst lässt sich sagen, dass nach Ansicht der DSK eine Funktion zum Ablehnen in den meisten Fällen erforderlich sein wird. In diesen Fällen dürfe das Ablehnen auch nicht mit einem messbaren Mehraufwand verbunden sein.
Einfacher Widerruf der Einwilligung
Einwilligungen, die über Banner eingeholt werden, müssen laut DSK mithilfe eines Direktlinks oder Icons widerrufen werden können. Es reiche nicht aus, in der Datenschutzerklärung auf eine Widerrufsmöglichkeit zu verweisen. Nur so werde gewährleistet, dass entsprechend Art. 7 Abs. 3 S. 4 DSGVO der Widerruf so einfach wie die Einwilligung ist.
Ausnahmen vom Einwilligungserfordernis
Nach der DSK ist Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Sie gelte nur dann, wenn der Zugriff oder die Speicherung von Informationen auf einem Endgerät unbedingt erforderlich ist, um einen aus Perspektive eines durchschnittlich verständigen Nutzers gewünschten Dienst bereitzustellen. Dabei müsse zwischen Bereitstellung des Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Die DSK hat in diesem Rahmen klargestellt, dass die Ausnahme nicht anwendbar ist, wenn für den Einsatz eines Cookies eine rein wirtschaftliche Erforderlichkeit im Hinblick auf das gewählte Geschäftsmodell besteht.
Die DSK hat ausdrücklich darauf verzichtet, konkrete Beispiele für die Ausnahme aus Art. 25 Abs. 2 Nr. 2 TTDSG zu nennen.
Einwilligung in die Drittlandübermittlung
Innerhalb der OH Telemedien 21 bezieht die DSK außerdem Stellung zu der seit Längerem umstrittenen Frage, ob bei der Nachverfolgung von Nutzerverhalten auf Websites und Apps auf Grundlage eine Drittlandübermittlung auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO möglich ist. Die DSK lehnt dies grundsätzlich mit der Begründung ab, dass Umfang und Regelmäßigkeit der Transfers dem Ausnahmecharakter der Vorschrift widersprechen. Für die Übermittlung in Drittstaaten kommen daher in der Regel nach Ansicht der DSK nur ein Angemessenheitsbeschluss der Kommission oder geeignete Garantien nach Art. 46 Abs. 2 DSGVO in Betracht.
Erstes Fazit
Das Papier enthält umfassende Angaben und Erläuterungen dazu, wie Verantwortliche in Zukunft Cookies und ähnliche Technologien in Übereinstimmung mit DSGVO und TTDSG einsetzen können. Die Positionierung stellt in jedem Fall auch ein gutes Hilfsmittel für die Auslegung der einschlägigen Vorgaben aus DSGVO und TTDSG dar. Die Orientierungshilfe lässt zugleich viel Raum für Diskussionen und klammert einige der spannendsten Fragen aus. So befasst sich die OH z.B. nicht mit der Zulässigkeit von Paywalls oder der Zuständigkeit der Landesdatenschutzbehörden für Maßnahmen nach dem TTDSG.
Wir raten dringend dazu, existierende Banner mit den Anforderungen aus dem Papier abzugleichen. Es erscheint absehbar, dass hier in naher Zukunft Kontrollen und Maßnahmen durch die Behörden erfolgen werden.
News
Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden
Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.
Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.
Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an
In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert.
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer
Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.