Kurz vor Weihnachten hat es sich die deutsche Datenschutzkonferenz (DSK) nicht nehmen lassen, erneut für ordentlich Wirbel im Datenschutz zu sorgen und „beschenkte“ uns mit einer neuen „Orientierungshilfe für Anbieter*innen von Telemedien“, die sich mit der Rechtslage nach der Einführung des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) am 1. Dezember 2021 befasst.
Wir wollen Ihnen das für die Onlinemarketing-Branche Wesentliche näherbringen, insbesondere die Ausführungen der DSK zum Einsatz von Cookies und anderen Technologien, speziell zur Frage des Einwilligungsmanagements.
Wichtig: Bei der Orientierungshilfe handelt es sich bisher nur um einen Entwurf.Es wird noch ein öffentliches Konsultationsverfahren stattfinden, nach dem sich der Text noch ändern kann. Nähere Informationen dazu sollen laut DSK noch in diesem Monat folgen.
Ebenfalls erwähnenswert ist, dass Bezahlmodelle (auch „Pur-Modelle“, wie sie zum Beispiel bei Spiegel Online oder mittlerweile auch auf bild.de zum Einsatz kommen), von der Orientierungshilfe ausdrücklich nicht behandelt werden.
Einwilligungen nach TTDSG und DSGVO können zusammen eingeholt werden
Wenig überraschend: Die nach TTDSG und DSGVO erforderlichen Tracking-Einwilligungen können nach Ansicht der DSK durch ein und dieselbe Handlung zusammen eingeholt werden. Das setzt jedoch voraus, dass den Nutzern deutlich gemacht wird, dass sich ihre Einwilligungserklärung sowohl auf Speicherung auf und Auswertung von Informationen von der Endeinrichtung als auch auf die darauf folgende Datenverarbeitung bezieht. Außerdem ist über beide Rechtsgrundlagen separat zu informieren. Das bedeutet: In den Einwilligungsbannern sind zukünftig noch mehr und deutlichere Informationen bereitzustellen.
Mehr Informationen über den Einsatz von Cookies und ähnlichen Technologien
Die Nutzer sollen über das Einwilligungsbanner außerdem transparent und nachvollziehbar darüber informiert werden, wer in welcher Form zu welchem Zweck für wie lange auf seine Endeinrichtung zugreift und wer die Informationen auslesen kann. Ebenso muss der Nutzer erfahren, inwieweit die ausgelesenen Informationen für weitere Datenverarbeitungszwecke verarbeitet werden. Es reicht nicht aus, nur vage über die Zwecke zu informieren (wie zum Beispiel „Marketingzwecke“ oder „Verbesserung der Nutzererfahrung“).
Zwar können entsprechende Informationen auch weiterhin auf einer zweiten Ebene des Einwilligungsbanners erfolgen, wenn jedoch auf der ersten Ebene die Möglichkeit besteht, in verschiedene Zwecke einzuwilligen, sollen Sie auch auf dieser Ebene hinreichend informieren. Wie das praktikabel und übersichtlich umzusetzen sein soll, lässt die DSK offen.
Wie wichtig der DSK die informierte Einwilligung des Endnutzers ist, wird auch in den weiteren Ausführungen deutlich.
So stellt die DSK klar, dass ein „OK“-Button in keinem Fall eine unmissverständliche Willenserklärung im Sinne einer Einwilligung darstellt. Selbst „akzeptieren“ oder „ich stimme zu“ ist nur dann für eine wirksame Einwilligung ausreichend, sofern aus dem Einwilligungstext deutlich hervorgeht, wozu eingewilligt wird.
Es müssen zwei gleichwertige Handlungsmöglichkeiten angeboten werden
Das Einwilligungsbanner soll so gestaltet sein, dass dem Endnutzer zwei gleichwertige Handlungsmöglichkeiten mit demselben Kommunikationseffektoffenstehen. Kann der Nutzer eine freiwillige und informierte Entscheidung nur mit einem Mehraufwand an Klicks und/oder Aufmerksamkeit treffen, steht das nach Ansicht der DSK einer wirksamen Einwilligung entgegen
Zwei gleichwertige Handlungsmöglichkeiten sind daher regelmäßig nur dann anzunehmen, wenn bereits auf der ersten Ebene der Einwilligungsplattform eine „alles akzeptieren“ und eine „ablehnen“– oder „jetzt nicht akzeptieren“-Schaltfläche als Optionen angeboten werden.
Die DSK fordert darüber hinaus ein Einwilligungsmanagement, dass dem Nutzer granulare Teil-Einwilligungen nach dem Vorbild des IAB TCF 2.0 ermöglicht.
Gleiches gilt für den Widerruf. Auch dieser muss auf die gleiche Art und Weise möglich sein, wie die Erteilung der Einwilligung (zum Beispiel per Schaltfläche auf der Website).
Analytics-Cookies als „unbedingt erforderlich“?
Für die Ausnahme für „unbedingt erforderliche“ Cookies nach § 25 Abs. 2 Nr. 2 TTDSG muss laut der DSK zwischen der Bereitstellung eines Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Eine rein wirtschaftliche Erforderlichkeit ist nicht ausreichend.
Die DSK möchte sich aus diversen Gründen ausdrücklich nicht dazu äußern, ob Analyse-Cookies, die der Reichweitenmessung dienen (sowie andere spezielle Kategorien von Cookies), unter bestimmten Bedingungen als „unbedingt erforderlich“ zu klassifizieren und damit nach § 25 Abs. 2 Nr. 2 TTDSG von der Einwilligungspflicht ausgenommen sind. Dies wird damit begründet, wdass es zum Beispiel für den Fall der Analytics-Cookies immer vor allem auf den konkreten Zweck, für den die Reichweitenmessung im Einzelfall eingesetzt wirdankommt.
Hier folgt die DSK also nicht dem Vorbild anderer Aufsichtsbehörden, wie zum Beispiel der französischen Aufsichtsbehörde CNIL, die den Standpunkt vertritt, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn
- die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
- die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich und
- ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.
Die DSK gibt uns nur an die Hand, dass für die Frage, inwiefern Cookies „unbedingt erforderlich“ sind, neben dem „ob“ auch noch zeitliche, inhaltliche sowie personelle Dimensionen zu berücksichtigen sind und versorgt uns mit maßgeblichen Kriterien:
- Zeitpunkt der Speicherung: Der Auslese- und Speichervorgang darf erst dann beginnen, wenn die konkrete Funktion tatsächlich in Anspruch genommen wird.
- Inhalt der Information: Die Informationen, welche gespeichert und ausgelesen werden, müssen für die Funktion unbedingt erforderlich sein.
- Dauer der Speicherung der Information: Die Informationen dürfen nur so lange gespeichert und ausgelesen werden, wie unbedingt erforderlich.
- Auslesbarkeit der Informationen: Es muss technisch sichergestellt werden, dass die Informationen nur vom Anbieter ausgelesen werden können; bei Third-Party-Cookies, dass die Informationen nur für die vom Nutzer aufgerufene Website verwendet werden können.
Ablehnung des „Axel-Springer-Modells“ für internationale Datentransfers
Zum Schluss äußert sich die DSK auch dazu, dass nach ihrer Ansicht personenbezogene Daten, die im Zusammenhang mit der Nachverfolgung von Nutzerverhalten auf Websites oder in Apps verarbeitet werden, nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO an Datenempfänger außerhalb der EU übermittelt werden können. Denn Umfang und Regelmäßigkeit solcher Datentransfers widersprächen regelmäßig dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift.
Die DSK erteilt damit dem „Axel-Springer-Modell“ eine Absage. Ob sich diese Ansicht durchsetzen wird, insbesondere ob sie mit dem Wortlaut des Art. 49 Abs. 1 S. 2 DSGVO zu vereinbaren ist, kann zumindest angezweifelt werden.
Was ist nun zu tun?
Erst einmal können das Konsultationsverfahren und die endgültige Version der Orientierungshilfe abgewartet werden – auch wenn uns bereits aufsichtsbehördliche Prüfverfahren bekannt sind, die offenbar auf der Grundlage der hier beschriebenen Positionen angestoßen wurden.
Vorweg die gute Nachricht: Viele Anforderungen, wie zum Beispiel gleichwertige Gestaltung der einzelnen Schaltflächen (insbesondere der Verzicht auf übermäßiges Nudging), keine voreingestellten Kästchen oder Opt-Outs oder die Möglichkeit, nicht notwendige Cookies einfach ablehnen zu können, wurden bereits seit geraumer Zeit empfohlen und dürften daher für Sie nicht neu sein und keine Änderungen nötig machen.
Die DSK stellt in der neuen Orientierungshilfe jeodch teilweise noch einmal strengere Anforderungen an das Einwilligungsmanagement. Das TTDSG dient hier nur als Anlass – Unternehmen sollen dazu bewegt werden, den Umfang der zur Verfügung gestellten Informationen und die im Einwilligungsbanner angezeigten Schaltflächen anzupassen.
Wollen Sie einem Verfahren durch die Aufsichtsbehörden entgehen, raten wir daher, Ihr Einwilligungsmanagement entsprechend unserer Ausführungen zu überprüfen und gegebenenfalls anzupassen.
Als ein mahnendes Beispiel können die vor wenigen Tagen Google und Facebook in Frankreich auferlegten Bußgelder in Höhe von 150 Mio. und 60 Mio. Euro dienen, weil diese ihren Nutzern die Ablehnung von Cookies nicht ebenso einfach machten wie die Einwilligung.
Wir werden für Sie die weitere Entwicklung beobachten und Sie bei Bedarf informieren. Bei allen weiteren notwendigen Schritten, insbesondere der rechtskonformen Gestaltung Ihres Online-Angebots, beraten wir Sie wie immer gern.
(Dr. Frank Eickmeier, Dr. Lukas Mezger UNVERZAGT Rechtsanwälte)