News
Neue Vorgaben für Anbieter von Telemedien ab Dezember 2021 – Handlungsbedarf u. a. bei Website- und App-Betreibern
Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.
Das TTDSG setzt die europäischen Vorgaben aus der ePrivacy-Richtlinie in das deutsche Recht um und hat damit auch erhebliche Auswirkungen darauf, wann und unter welchen Umständen Website- und App-Betreiber Cookies und vergleichbare Technologien (d. h. Instrumente, die auf das Endgerät zugreifen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückverfolgen können) einsetzen dürfen.
Konkret wird es gemäß § 25 Abs. 2 TTDSG in Zukunft nur in streng geregelten Ausnahmefällen möglich sein, Cookies, Pixel, Fingerprints und ähnliche Trackingtechnologien ohne Einholung einer Einwilligung einzusetzen. Grundsätzlich sieht das TTDSG nach § 25 Abs. 1 TTDSG vor, dass für jeden Zugriff auf ein Endgerät der Nutzer (z.B. deren Smartphone oder Computer) eine individuelle Einwilligung eingeholt werden muss und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Während es nach Auffassung der Datenschutzaufsichtsbehörden z.B. bislang möglich war, den Einsatz von Cookies zur Reichweitenmessung (also für Zwecke der statistischen Analyse) auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO zu stützen, ist noch offen, ob mit Geltung des TTDSG hierfür eine Einwilligung eingeholt werden muss.
Eine Ausnahme für die Einholung einer Einwilligung sieht das TTDSG gemäß § 25 Abs. 2 Nr. 2 TTDSG nur dann vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um die Website oder App selbst oder einen darin eingebundenen Dienst (der Informationsgesellschaft) bereitzustellen, soweit dies vom Nutzer ausdrücklich gewünscht wird. Diese Ausnahme wird von den europäischen Aufsichtsbehörden eng ausgelegt. Der Einsatz von Cookies für verhaltensbasierte Werbung wird sich daher voraussichtlich nicht durch § 25 Abs. 2 Nr. 2 TTDSG rechtfertigen lassen.
Relevanz kommt § 25 Abs. 2 Nr. 2 TTDSG vor allem in den Fällen zu, in denen der Einsatz von Cookies technisch erforderlich ist. Wann ein Cookie als technisch erforderlich gilt, ist in Deutschland noch nicht abschließend geklärt. Nach einer älteren Ansicht der Art. 29-Datenschutzgruppe können Cookies beispielsweise technisch erforderlich sein, um eine gewünschte Spracheinstellung zu speichern oder eine Warenkorbfunktion anzubieten. Der deutsche Gesetzgeber hat im Rahmen der Verabschiedung des TTDSG allerdings darauf verzichtet, konkrete Beispiele für eine technische Erforderlichkeit gemäß § 25 lit. 2 Nr. 2 TTDSG zu benennen. Entsprechend muss praktisch im Einzelfall geprüft werden, ob der Zugriff auf Informationen oder das Auslesen von Informationen aus dem Endgerät eines Nutzers wirklich technisch erforderlich ist. Prüfbedarf besteht vor allem auch in Fällen, in denen Informationen vom Endgerät der Nutzer dazu verwendet werden, um den Missbrauch eines Dienstes auszuschließen.
Mit der Einführung des TTDSG steigt außerdem vor allem das Bußgeldrisiko für den unrechtmäßigen Einsatz von Trackingtechnologien, da es für die Behörden erheblich leichter wird, eine bußgeldbewehrte Ordnungswidrigkeit nachzuweisen. Während die Aufsichtsbehörden nach aktuell noch geltender Rechtslage für den Erlass eines Bußgeldes nachweisen müssen, dass es zu einer unrechtmäßigen Verarbeitung von personenbezogenen Daten durch den Website-Betreiber gekommen ist (was sich rein technisch gesehen als ausgesprochen schwierig darstellt), muss die Behörde in Zukunft nur noch belegen können, dass Cookies gesetzt wurden, keine Einwilligung dafür vom Nutzer eingeholt wurde und der o. g. Ausnahmetatbestand nicht einschlägig ist. Entsprechend haben auch diverse andere europäische Aufsichtsbehörden in der Vergangenheit ihre Bußgelder im Zusammenhang mit dem Einsatz von Cookies häufig auf die jeweils nationale Umsetzung der Vorgaben aus der ePrivacy-Richtlinie gestützt (siehe z.B. das Bußgeldverfahren der französischen Aufsichtsbehörden gegen Amazon). Für Verstöße gegen das TTDSG können Bußgelder in Höhe von bis zu 300.000 Euro verhängt werden.
Wir empfehlen daher Website- und App-Betreibern dringend bis Dezember zu überprüfen:
- Inwieweit werden auf den Unternehmens-Websites oder Apps Cookies, Pixel, Fingerprints und ähnliche Technologien derzeit noch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO eingesetzt?
- Ist für den Einsatz dieser Instrumente zukünftig eine Ausnahmeregelung nach § 25 Abs. 2 TTDSG einschlägig?
- Kann in den Fällen, in denen die Ausnahme nach § 25 Abs. 2 TTDSG nicht anwendbar ist, ab Dezember 2021 eine Nutzereinwilligung für den Zugriff auf das Endgerät der Nutzer eingeholt werden?
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.