News
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Verhältnis zwischen TTDSG und DSGVO
Die DSK stellt einleitend klar, dass rechtlich beim Einsatz von Cookies und ähnlichen Technologien zwei Schritte unterschieden werden müssen:
- Die Speicherung von und Zugriff auf Endeinrichtungen und
- die nachfolgende Verarbeitung personenbezogener Daten.
Während Schritt 1 allein nach den Anforderungen des TTDSG geprüft werden muss, gelten für Schritt 2 ausschließlich die Anforderungen der DSGVO. Praktisch bedeutet das, dass die Behörden in der Zukunft, im Fall eines Verstoßes, sowohl Maßnahmen wie Bußgelder nach dem TTDSG und der DSGVO ergreifen können und voraussichtlich auch werden.
Kein Einwilligungsbedürfnis bei zwangsläufiger Übermittlung
Interessanterweise geht die DSK nicht von einem Zugriff auf die Daten eines Endgerätes aus, wenn die Daten zwangsläufig oder aufgrund von Browsereinstellungen bei Abruf eines Dienstes übermittelt werden. Werden z.B. die öffentliche IP-Adresse, die Adresse der aufgerufenen Website, der User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache automatisch an den Betreiber einer Website übermittelt, soll § 25 TTDSG daher mangels Zugriff auf das Endgerät keine Anwendung finden.
Einheitliche Einwilligungserklärung
In der OH Telemedien 2021 geht die DSK davon aus, dass die Einwilligung nach § 25 Abs. 1 TTDSG zusammen mit der Einwilligung nach Art. 6 Abs. 1 a) DSGVO erklärt werden kann, solange der Telemedienanbieter / Verantwortlicher ausreichend klarstellt, dass die Einwilligung den gesamten Lebenssachverhalt umfasst. Das bedeutet z.B., dass nach Ansicht der DSK im Banner die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) mit angesprochen werden muss.
Eindeutig bestimmbare Zwecke
Bezüglich der Informationen, die vor Abgabe der Einwilligung erteilt werden müssen, bleibt die DSK relativ vage. Hervorzuheben ist allerdings, dass die DSK eine konkrete Beschreibung der Zwecke der Folgeverarbeitung fordert. Die Ausführungen hierzu werden im Kontext des Bestimmtheitserfordernisses konkretisiert. So soll es ausdrücklich nicht ausreichen, wenn als Zwecke z.B. nur
- Verbesserung der Erfahrung des Nutzers,
- Werbezwecke,
- IT-Sicherheitszwecke oder
- zukünftige Forschung
genannt werden. Ferner müssen laut DSK auf erster Ebene des Banners konkrete Informationen zu allen Zwecken enthalten sein, allgemeine und vage Informationen sollen nicht ausreichen.
Gleichwertige Ablehnungsmöglichkeit
An mehreren Stellen der OH Telemedien 21 positioniert sich die DSK zum Erfordernis einer gleichwertigen Ablehnungsmöglichkeit. Zusammengefasst lässt sich sagen, dass nach Ansicht der DSK eine Funktion zum Ablehnen in den meisten Fällen erforderlich sein wird. In diesen Fällen dürfe das Ablehnen auch nicht mit einem messbaren Mehraufwand verbunden sein.
Einfacher Widerruf der Einwilligung
Einwilligungen, die über Banner eingeholt werden, müssen laut DSK mithilfe eines Direktlinks oder Icons widerrufen werden können. Es reiche nicht aus, in der Datenschutzerklärung auf eine Widerrufsmöglichkeit zu verweisen. Nur so werde gewährleistet, dass entsprechend Art. 7 Abs. 3 S. 4 DSGVO der Widerruf so einfach wie die Einwilligung ist.
Ausnahmen vom Einwilligungserfordernis
Nach der DSK ist Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Sie gelte nur dann, wenn der Zugriff oder die Speicherung von Informationen auf einem Endgerät unbedingt erforderlich ist, um einen aus Perspektive eines durchschnittlich verständigen Nutzers gewünschten Dienst bereitzustellen. Dabei müsse zwischen Bereitstellung des Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Die DSK hat in diesem Rahmen klargestellt, dass die Ausnahme nicht anwendbar ist, wenn für den Einsatz eines Cookies eine rein wirtschaftliche Erforderlichkeit im Hinblick auf das gewählte Geschäftsmodell besteht.
Die DSK hat ausdrücklich darauf verzichtet, konkrete Beispiele für die Ausnahme aus Art. 25 Abs. 2 Nr. 2 TTDSG zu nennen.
Einwilligung in die Drittlandübermittlung
Innerhalb der OH Telemedien 21 bezieht die DSK außerdem Stellung zu der seit Längerem umstrittenen Frage, ob bei der Nachverfolgung von Nutzerverhalten auf Websites und Apps auf Grundlage eine Drittlandübermittlung auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO möglich ist. Die DSK lehnt dies grundsätzlich mit der Begründung ab, dass Umfang und Regelmäßigkeit der Transfers dem Ausnahmecharakter der Vorschrift widersprechen. Für die Übermittlung in Drittstaaten kommen daher in der Regel nach Ansicht der DSK nur ein Angemessenheitsbeschluss der Kommission oder geeignete Garantien nach Art. 46 Abs. 2 DSGVO in Betracht.
Erstes Fazit
Das Papier enthält umfassende Angaben und Erläuterungen dazu, wie Verantwortliche in Zukunft Cookies und ähnliche Technologien in Übereinstimmung mit DSGVO und TTDSG einsetzen können. Die Positionierung stellt in jedem Fall auch ein gutes Hilfsmittel für die Auslegung der einschlägigen Vorgaben aus DSGVO und TTDSG dar. Die Orientierungshilfe lässt zugleich viel Raum für Diskussionen und klammert einige der spannendsten Fragen aus. So befasst sich die OH z.B. nicht mit der Zulässigkeit von Paywalls oder der Zuständigkeit der Landesdatenschutzbehörden für Maßnahmen nach dem TTDSG.
Wir raten dringend dazu, existierende Banner mit den Anforderungen aus dem Papier abzugleichen. Es erscheint absehbar, dass hier in naher Zukunft Kontrollen und Maßnahmen durch die Behörden erfolgen werden.
News
Barrierefreiheitsstärkungsgesetz (Teil 2) – Für welche Apps und Websites gilt das BFSG?
In Teil 1 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) haben wir uns bereits mit den allgemeinen Anforderungen des BFSG befasst. In Teil 2 geht es darum, für welche Apps und Websites das BFSG gilt.
Piltz Legal Whitepaper zur KI-Verordnung
Die KI-Verordnung, auch bekannt als Artificial Intelligence Act („AI Act“), ist kürzlich in Kraft getreten. Erstmalig wird damit ein harmonisierter Rechtsrahmen auf europäischer Ebene zum Einsatz von Künstlicher Intelligenz (KI) geschaffen. Die Verordnung gilt aufgrund ihrer Rechtsnatur bereits mit ihrem Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne dass ein weiterer Vollzugsakt notwendig wird.
Barrierefreiheitsstärkungsgesetz (Teil 1) – Neue Pflichten für Unternehmen ab Juni 2025
Bestimmte Produkte und Dienstleistungen müssen ab dem 28. Juni 2025 barrierefrei zugänglich sein. Dies sieht das bereits im Juli 2021 veröffentlichte Barrierefreiheitsstärkungsgesetz (BFSG) vor. Konkret betrifft das BFSG vor allem auch die Gestaltung von Websites und Apps. Um Sie angemessen auf die Anforderungen des BFSG vorzubereiten, haben wir einen kurzen Überblick zu den wichtigsten Informationen erstellt.
Ist mein Unternehmen Anbieter nach der KI-Verordnung? Zum Begriff des „Inverkehrbringens“ nach der KI-VO
Die Einführung der KI-Verordnung (KI-VO) der Europäischen Union hat weitreichende Auswirkungen auf Unternehmen, die KI-Systeme entwickeln und / oder anbieten. Die KI-VO legt eine Vielzahl von Anforderungen fest, die in erster Linie von den Anbietern von KI-Systemen erfüllt werden müssen. Daher ist es für Unternehmen essenziell zu klären, ob sie als „Anbieter“ von KI-Systemen im Sinne der KI-VO gelten.
Gutachten von Piltz Legal zum Cloud-Einsatz im Gesundheitswesen für den bvitg – Fragen zum neuen § 393 SGB V
Seit dem 1. Juli 2024 gilt der neue § 393 SGB V. Darin geht es um den Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits- und Sozialdaten im Gesundheitsbereich. Piltz Legal hat für den Bundesverband Gesundheits-IT – bvitg e. V. („bvitg“) ein Gutachten zu ausgewählten Fragen der Mitglieder des bvitg erstellt. Dieses Gutachten ist jetzt öffentlich auf der Website des bvitg unter der folgenden URL abrufbar: https://www.bvitg.de/wp-content/uploads/2024-05-27_bvitg-Cloud-Gutachten.pdf.In diesem Newsbeitrag gehen wir auf ausgewählte Themen ein, die auch im Gutachten detaillierter besprochen werden.
Weitere Auszeichnungen für unsere beiden Partner
Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz und Dr. Carlo Piltz weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 16. Edition der The Best Lawyers in Germany™ inkludiert wurden.