News
Neue Vorgaben für Anbieter von Telemedien ab Dezember 2021 – Handlungsbedarf u. a. bei Website- und App-Betreibern
Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.
Das TTDSG setzt die europäischen Vorgaben aus der ePrivacy-Richtlinie in das deutsche Recht um und hat damit auch erhebliche Auswirkungen darauf, wann und unter welchen Umständen Website- und App-Betreiber Cookies und vergleichbare Technologien (d. h. Instrumente, die auf das Endgerät zugreifen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückverfolgen können) einsetzen dürfen.
Konkret wird es gemäß § 25 Abs. 2 TTDSG in Zukunft nur in streng geregelten Ausnahmefällen möglich sein, Cookies, Pixel, Fingerprints und ähnliche Trackingtechnologien ohne Einholung einer Einwilligung einzusetzen. Grundsätzlich sieht das TTDSG nach § 25 Abs. 1 TTDSG vor, dass für jeden Zugriff auf ein Endgerät der Nutzer (z.B. deren Smartphone oder Computer) eine individuelle Einwilligung eingeholt werden muss und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Während es nach Auffassung der Datenschutzaufsichtsbehörden z.B. bislang möglich war, den Einsatz von Cookies zur Reichweitenmessung (also für Zwecke der statistischen Analyse) auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO zu stützen, ist noch offen, ob mit Geltung des TTDSG hierfür eine Einwilligung eingeholt werden muss.
Eine Ausnahme für die Einholung einer Einwilligung sieht das TTDSG gemäß § 25 Abs. 2 Nr. 2 TTDSG nur dann vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um die Website oder App selbst oder einen darin eingebundenen Dienst (der Informationsgesellschaft) bereitzustellen, soweit dies vom Nutzer ausdrücklich gewünscht wird. Diese Ausnahme wird von den europäischen Aufsichtsbehörden eng ausgelegt. Der Einsatz von Cookies für verhaltensbasierte Werbung wird sich daher voraussichtlich nicht durch § 25 Abs. 2 Nr. 2 TTDSG rechtfertigen lassen.
Relevanz kommt § 25 Abs. 2 Nr. 2 TTDSG vor allem in den Fällen zu, in denen der Einsatz von Cookies technisch erforderlich ist. Wann ein Cookie als technisch erforderlich gilt, ist in Deutschland noch nicht abschließend geklärt. Nach einer älteren Ansicht der Art. 29-Datenschutzgruppe können Cookies beispielsweise technisch erforderlich sein, um eine gewünschte Spracheinstellung zu speichern oder eine Warenkorbfunktion anzubieten. Der deutsche Gesetzgeber hat im Rahmen der Verabschiedung des TTDSG allerdings darauf verzichtet, konkrete Beispiele für eine technische Erforderlichkeit gemäß § 25 lit. 2 Nr. 2 TTDSG zu benennen. Entsprechend muss praktisch im Einzelfall geprüft werden, ob der Zugriff auf Informationen oder das Auslesen von Informationen aus dem Endgerät eines Nutzers wirklich technisch erforderlich ist. Prüfbedarf besteht vor allem auch in Fällen, in denen Informationen vom Endgerät der Nutzer dazu verwendet werden, um den Missbrauch eines Dienstes auszuschließen.
Mit der Einführung des TTDSG steigt außerdem vor allem das Bußgeldrisiko für den unrechtmäßigen Einsatz von Trackingtechnologien, da es für die Behörden erheblich leichter wird, eine bußgeldbewehrte Ordnungswidrigkeit nachzuweisen. Während die Aufsichtsbehörden nach aktuell noch geltender Rechtslage für den Erlass eines Bußgeldes nachweisen müssen, dass es zu einer unrechtmäßigen Verarbeitung von personenbezogenen Daten durch den Website-Betreiber gekommen ist (was sich rein technisch gesehen als ausgesprochen schwierig darstellt), muss die Behörde in Zukunft nur noch belegen können, dass Cookies gesetzt wurden, keine Einwilligung dafür vom Nutzer eingeholt wurde und der o. g. Ausnahmetatbestand nicht einschlägig ist. Entsprechend haben auch diverse andere europäische Aufsichtsbehörden in der Vergangenheit ihre Bußgelder im Zusammenhang mit dem Einsatz von Cookies häufig auf die jeweils nationale Umsetzung der Vorgaben aus der ePrivacy-Richtlinie gestützt (siehe z.B. das Bußgeldverfahren der französischen Aufsichtsbehörden gegen Amazon). Für Verstöße gegen das TTDSG können Bußgelder in Höhe von bis zu 300.000 Euro verhängt werden.
Wir empfehlen daher Website- und App-Betreibern dringend bis Dezember zu überprüfen:
- Inwieweit werden auf den Unternehmens-Websites oder Apps Cookies, Pixel, Fingerprints und ähnliche Technologien derzeit noch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO eingesetzt?
- Ist für den Einsatz dieser Instrumente zukünftig eine Ausnahmeregelung nach § 25 Abs. 2 TTDSG einschlägig?
- Kann in den Fällen, in denen die Ausnahme nach § 25 Abs. 2 TTDSG nicht anwendbar ist, ab Dezember 2021 eine Nutzereinwilligung für den Zugriff auf das Endgerät der Nutzer eingeholt werden?
News
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.
NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit
Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.
Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema
Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Digital Markets Acts (DMA): Was geht uns das an?
Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).
Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.
Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen
Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.