Cookies und Tracking-Tools – ein Update

Zum Einsatz von Cookies und Tracking-Tools auf der Webseite haben wir bereits einige Artikel veröffentlicht (siehe hierzu hier, hier, hier und hier). Man könnte also beim Thema Cookies und Tracking-Tools fast schon von einer Never Ending Story sprechen, die hoffentlich – wie es im gleichnamigen Film der Fall war – bald ein gutes Ende haben wird.

Doch aktuell ist das Ganze sehr dynamisch und von einem guten Ende – wenn das Thema Cookies & Co. sich erledigt hat – sind wir (zumindest noch) etwas weiter entfernt. Es gilt, noch einige Hürden zu nehmen und Probleme zu lösen. Die Situation ändert sich sehr schnell und das, was gestern noch (eher) als rechtskonform eingestuft werden konnte, ist heute möglicherweise gar nicht mehr zulässig, so dass sich immer wieder neue ToDos und neue Baustellen für Verantwortliche ergeben.

Deshalb haben wir uns entschlossen, hier ein Update zu bringen, um den Verantwortlichen insbesondere aktuelle Auffassungen der deutschen Aufsichtsbehörden zu präsentieren. Hier gab es in der letzten Zeit sehr interessante Veröffentlichungen, in die es sich definitiv lohnt, einen Blick hineinzuwerfen, um zu erfahren, ob man den „Cookie-Banner“ (genauer gesagt das Consent-Management-Tool) auf einer Webseite oder bei einer App nicht doch besser noch einmal anpacken oder einen Verarbeitungsprozess nicht anpassen müsste.

Orientierungshilfe der Aufsichtsbehörden für Anbieter*innen von Telemedien

Ein sehr hilfreiches Dokument, auf welches wir aufmerksam machen möchten, wäre die aktuelle Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz bzw. DSK) für Anbieter*innen von Telemedien, die kurz nach Inkrafttreten des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) veröffentlichte wurde.

Die aktuelle Orientierungshilfe der DSK aus 2021 ersetzt mit Blick auf die neue Rechtslage die alte Orientierungshilfe zu Telemedien aus dem Jahr 2019. Darin wird die neue Rechtslage ab 2021 erläutert und insbesondere die Anwendungsbereiche des TTDSG und der DSGVO voneinander abgegrenzt. Die DSK geht dabei insbesondere auf den Schutz der Privatsphäre in Endeinrichtungen ein und definiert den Gegenstand und den Anwendungsbereich der zentralen Norm des neuen Gesetzes, den § 25 TTDSG. Erläutert werden insbesondere der Grundsatz der Einwilligungsbedürftigkeit (vgl. § 25 Abs. 1 TTDSG) sowie die Anforderungen an eine Einwilligung nach TTDSG hinsichtlich des Zeitpunkts (wann sie einzuholen wäre), der Form und ihre Form und Freiwilligkeit sowie ihre Widerrufbarkeit.

Da es im Bereich der Telemedien Fälle gibt, bei denen eine Einwilligung in die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nicht erforderlich ist, geht die DSK in ihrer Orientierungshilfe ausführlich auf die jeweiligen Ausnahmetatbestände ein. In der Orientierungshilfe werden die aus Sicht der Aufsichtsbehörden maßgeblichen Prüfkriterien zusammengefasst, die von Anbieter*innen von Telemedien bei der Bewertung berücksichtigt werden sollten, ob eine Ausnahme gemäß § 25 Abs. 2 TTDSG vorliegt. Dies ist insbesondere dann der Fall, wenn die Speicherung von Informationen auf dem Endgerät des Nutzers erforderlich ist, damit der Telemediendienst erbracht werden kann (beispielsweise bei Cookies zur Erkennung des Warenkorbs bei einem Online-Shop).

Die Orientierungshilfe der DSK geht im Abschnitt IV explizit auf das Thema Rechtmäßigkeit der Verarbeitung gemäß der DSGVO ein und erläutert, welche Verarbeitungen einwilligungsbedürftig sind und welche dagegen auf der Grundlage eines Vertrages oder aber auch des überwiegenden berechtigten Interesses des Verantwortlichen erfolgen können. Besonders im Kontext des Trackings weist die DSK darauf hin, dass nur in wenigen Konstellationen die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO (überwiegendes berechtigtes Interesse) erfüllt wären. Und eine aus unserer Sicht ganz wesentliche Aussage wird in Bezug auf die Datenübermittlung an ein Drittland (insb. die USA) getroffen, denn in der Orientierungshilfe wird in Bezug auf die Datenübermittlung in ein Drittland Folgendes gesagt:

„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“

Die DSK verweist dabei auf die Leitlinien des Europäischen Datenschutzausschusses (engl.: European Data Protection Board bzw. EDSA).

Die in der aktuellen Orientierungshilfe des DSK dargestellten Anforderungen und Wertungen sind dabei nicht auf den Betrieb von Webseiten und Apps beschränkt, obwohl diese natürlich die häufigsten Anwendungsfälle darstellen.

In einem unserer Artikel sind wir auf die wesentlichen Regelungen des TTDSG eingegangen und haben schon frühzeitig erläutert, worauf die Verantwortlichen im Rahmen der Umsetzung der Gesetzesvorgaben insbesondere zu achten haben, denn das neue Gesetz hat Auswirkungen auf den Einsatz von Cookies und ähnlichen Technologien und hat damit eine sehr hohe Praxisrelevanz (vgl. unseren Artikel vom 03.06.2022).

FAQ des LfDI BW zu Cookies und Tracking

Da die durch die DSK veröffentlichte aktuelle Orientierungshilfe trotz ihres praxisorientierten Ansatzes immer noch einen recht hohen Abstraktionsgrad aufweist, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) eine neue Hilfestellung für Betreiber von Webseiten und Entwickler von Smartphone-Apps in Form einer Liste mit häufig gestellten Fragen (engl.: Frequently Asked Questions bzw. FAQ) veröffentlicht. Die Hilfestellung des LfDI BW knüpft dabei an die oben beschriebene Orientierungshilfe der DSK aus dem Jahr 2021 an. Die FAQs des LfDI BW haben als Ziel, die Ausführungen der DSK unter Einbeziehung konkreter Anwendungsfälle praxisorientiert zu ergänzen.

Im Wesentlichen beziehen sich die Ausführungen des LfDI BW auf Webseiten, sie gelten jedoch sinngemäß auch für sonstige Telemedien wie beispielsweise Smartphone-, Tablet-Anwendungen, PC-Software oder aber auch Geräte aus dem Bereich des Internet der Dinge (engl.: Internet of Things bzw. IoT).

Zum IoT gehören insbesondere vernetzte Küchengeräte, smarte Lampen, Steuergeräte für Heizungen, Alarmsysteme, Smart-TVs, vernetzte Fahrzeuge. Es geht also um Geräte und Maschinen, die über entsprechende Kommunikationsfunktionen verfügen und über das Inter- oder Intranet kommunizieren oder sogar von dort erreichbar sind.

Die FAQ des LfDI BW beantworten häufige Fragen in Bezug auf Cookies und Tracking und geben in diesem Zusammenhang einen Überblick zu möglichen datenschutzfreundlicheren Lösungen bei der Einbindung von medialen Inhalten sowie zur sogenannten Reichweitenanalyse. Besonders hilfreich sind die FAQ auch deshalb, weil getreu dem Prinzip „ein Bild sagt mehr als tausend Worte“, der LfDI BW anhand von Beispielen zeigt wie eine – aus seiner Sicht – datenschutzkonforme Lösung auszusehen hat und wie nicht datenschutzkonforme Lösungen aussehen, die in der Praxis jedoch oft anzutreffen sind.

Den Abschnitt C der FAQ des LfDI BW empfehlen wir daher den Verantwortlichen ganz besonders, um anhand der Negativbeispiele zu sehen, inwiefern die eigene Consent-Management-Lösung einer Prüfung des LfDI standhalten würde. Als solche kommen dann regelmäßig folgende besonders häufig in der Praxis vor:

  • Missverständliche Überschriften,
  • Unzumutbare optische Gestaltung,
  • Keine gleichwertige Möglichkeit der Ablehnung,
  • Täuschung über den wahren Zweck der Datenverarbeitung,
  • Es wird teilweise nur über Cookies, nicht aber über die Verarbeitungen informiert,
  • Nur Beschreibung des Ergebnisses, nicht der Verarbeitung selbst,
  • Täuschung über Ausmaß der Verarbeitung,
  • Drittstaatentransfer, insbesondere massenweise Datenverarbeitung in Drittstaaten aufgrund Einwilligung,
  • Es findet Nudging statt,
  • Ablehnen ist nicht möglich,
  • Freiwilligkeit der Einwilligung fraglich,
  • Irreführende Auswahlmöglichkeiten,
  • Falsche Aussagen über die Sensibilität der Daten und über die Eingriffsintensität,
  • Keine präzise Information in einfacher Sprache und/oder unvollständige Information,
  • Keine ausreichende Information über die Verarbeitungen oder die Informationspflichten werden nicht eingehalten.

Weiterhin enthalten die FAQ konkrete Hinweise dazu, welche Bedingungen eingehalten werden müssen, wenn Verantwortliche, die Telemediendienste einsetzen, sich dazu entscheiden einwilligungsbedürftige Verarbeitungen oder Techniken zu nutzen.

Fazit

Die aktuellen Hilfestellungen der Aufsichtsbehörden bringen deutlich mehr Licht ins Dunkle der Datenverarbeitung im Zusammenhang mit der Bereitstellung von Telemedien. Insbesondere erläutern sie sehr deutlich die Erwartungshaltungen der einzelnen Aufsichtsbehörden. Jedoch zeigen sie gleichzeitig Missstände auf, die aus deren Sicht bei vielen Webseiten vorhanden sind, und die im Rahmen der Compliance umgehend zu beseitigen wären. Hier darauf zu setzen, dass es auch weiterhin mit der bisherigen Vorgehensweise schon irgendwie gut gehen wird, ist aus unserer Sicht der falsche Weg. Selbst wenn eine Behörde kein (sehr hohes) Bußgeld verhängt, sind die Schadensersatzjäger mittlerweile sehr aktiv und lassen sich die Chance auf eine Beute sicherlich nicht entgehen (siehe hierzu unsere Artikel vom 18.03.2021 sowie vom 21.02.2022).

Möchten Sie Cookies und Tracking-Tools rechtskonform einsetzen? Rufen Sie uns an, wir helfen Ihnen gerne!