Seit Monaten werden wir auf Webseiten mit Popups “beglückt”, die uns um die Einwilligung zu unterschiedlichsten Dingen bitten. Wir haben in der Vergangenheit einige Artikel veröffentlicht, die sich mit den Aspekten dieser sogenannten Consentmanager (häufig auch fälschlicherweise als Cookiebanner oder ähnlich bezeichnet) beschäftigen (siehe zum Beispiel hier, hier und hier). Zusammenfassend (und für diesen Artikel einleitend) könnte man vermutlich sagen, dass die Consentmanager noch bei weitem nicht ausgereift sind. Die kombinierten Anforderungen des TTDSG sowie der Transparenzpflichten der DSGVO lassen sich mit diesen Tools Stand heute kaum vollständig erfüllen.

Nun hat bereits Ende 2021 die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) eine Orientierungshilfe für Anbieter*innen von Telemedien herausgegeben. Auch der Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat sich in Form einer Orientierungshilfe geäußert. Achtung, der BayLfD ist zuständig für die Öffentlichen Stellen in Bayern, für die Unternehmen ist eigentlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, dieses verweist jedoch lediglich auf die Orientierungshilfe der DSK. Da beide Behörden sich jedoch mit der Überwachung der Einhaltung der DSGVO zu beschäftigen haben, können für die öffentlichen Stellen lediglich identische oder “schärfere” Regelungen gelten, bezüglich des TTDSG gibt es zwischen den Regelungen für öffentliche und nicht-öffentliche Stellen gar keinen Unterschied. Ein Blick in das Dokument des BayLfD lohnt also allemal.

Wir wollen in diesem Artikel allerdings gar nicht im Detail auf die Orientierungshilfen eingehen, sondern verweisen auf diese aus 4 Gründen:

  1. Die Orientierungshilfen existieren seit nunmehr knapp einem Jahr,
  2. sie enthalten gute und praxistaugliche Informationen für alle, die Telemedien zur Verfügung stellen,
  3. sie werden von den Anbietern der Consentmanager nur in Teilen berücksichtigt,
  4. letztlich sind die Unternehmen (ja – und die Behörden) für die vollständige und korrekte Umsetzung der Anforderungen verantwortlich, verlassen sich aber leider scheinbar vollständig auf die Anbieter der Consentmanager (hierzu siehe Ziffer 3).

Alle diese Fragestellungen werden in den Orientierungshilfen ausführlich und teilweise sehr praxisnah behandelt. Dennoch hapert es erschreckend häufig mit der Umsetzung. Um es sehr deutlich zu sagen: Wir haben in unserer täglichen Praxis nahezu keine Webseite geprüft, auf der die Forderungen des § 25 TTDSG sowie des Art. 13 DSGVO bezüglich der Informationspflichten und die Regelungen bezüglich der Übermittlung von Daten in Drittstaaten (insbesondere Art. 49 DSGVO) vollständig und korrekt umgesetzt waren. Werden wir in die Gestaltung einbezogen, finden unsere Anmerkungen häufig nicht die notwendige Aufmerksamkeit. Wobei wir den „Gegenwind“ durchaus nachvollziehen können. Werden die von den Behörden formulierten Anforderungen tatsächlich 1:1 umgesetzt, dann wird man kaum noch eine Einwilligung erhalten oder die Nutzer werden mit derart vielen Informationen „versorgt“, dass sie die Webseiten im schlimmsten Fall gleich wieder verlassen.

Nach dieser sehr langen Einleitung möchten wir einmal auf die folgenden Fragestellungen eingehen:

  • Was sind notwendige Cookies?
  • Warum ist es falsch, nur auf Cookies einzugehen?
  • Was sind notwendige Dienste?
  • Wie bekomme ich die Nutzung von Tools in den USA und anderen Drittstaaten rechtssicher hin?

Spätestens bei der dritten Fragestellung werden bei vielen unserer Leser*innen vermutlich die Fragezeichen aufkommen und bereits bei der ersten Fragestellung sollte sich zumindest bei unseren erfahrenen Leser*innen schon Widerspruch regen. Daher arbeiten wir diese Fragestellungen nachfolgend einmal ab, auf die ersten beiden gehen wir dabei gemeinsam ein:

Was sind notwendige Cookies und warum ist es falsch, nur auf Cookies einzugehen?

Bereits die Fragestellung ist eigentlich nicht korrekt. Und, nein: Es müsste auch (beziehungsweise erst recht) nicht “technisch notwendige Cookies” heißen. Zum einen geht es nicht nur um Cookies, zum anderen kommt die Formulierung “technisch notwendig” nicht in der dazugehörigen gesetzlichen Regelung vor. Es geht um § 25 TTDSG, den wir hier der Einfachheit halber einmal (mit Hervorhebungen durch uns) zitieren:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 679/2016 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das TTDSG spricht also nicht ausdrücklich von Cookies. Es wird vielmehr auf die lokale Speicherung von Daten und deren Abruf eingegangen. Dies betrifft auch Cookies (wer kennt ihn nicht den Satz “Cookies sind kleine Textdateien…”?) aber eben auch jegliche andere Speicherung von Daten auf den Endgeräten der Nutzer*innen. Der Begriff “Endgerät” ist zwar sperrig, aber es geht hier eben um jede Art von Gerät: Rechner, Smartphones, Bordelektronik im Auto, den Kühlschrank oder die Kaffeemaschine mit Internetanschluss und so weiter. Immer wenn Daten gespeichert oder ausgelesen werden sollen, wird die Einwilligung der Nutzer*innen benötigt. Dabei ist es übrigens unerheblich, ob es sich um personenbezogene Daten handelt.

Neben Cookies fallen uns spontan noch der sogenannte “local storage”, WebSQL und auch ganz ordinäre Downloads ein, die unter die Einwilligungspflicht des § 25 TTDSG fallen – die Aufzählung erhebt keinen Anspruch auf Vollständigkeit. Es ist darüber hinaus ebenfalls unerheblich, ob es sich um eine persistente oder eine temporäre Speicherung handelt. Anders ausgedrückt: Auch für Session Cookies wird eine Einwilligung benötigt.

Jetzt aber zur Ausnahme, die häufig fälschlicherweise als “technisch notwendige Cookies” bezeichnet wird. Abgesehen davon, dass es wie gerade erläutert eben nicht nur um Cookies geht, ist der Begriff “technisch notwendig” mindestens irreführend. Die Formulierung geht auf die Ausnahme des § 25 Abs. 2 Ziff. 2 TTDSG zurück. Dort wird allerdings von Informationen gesprochen, die “unbedingt erforderlich” sind, um “einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung” zu stellen. Wir wollen aber gar nicht so sehr über die Begriffe “technisch notwendig” oder „unbedingt erforderlich“ diskutieren, sondern lieber einmal klären, was denn der Begriff “notwendig” aus Sicht des Datenschutzbeauftragten bedeuten mag. Hier weichen die Vorstellungen der Marketingabteilungen, der Agenturen und aller anderen, die an der Umsetzung von Webseiten beteiligt sind nämlich vielfach von unseren Vorstellungen und noch häufiger von denen der Aufsichtsbehörden ab.

“Notwendig” zielt auf die Formulierung des § 25 Abs. 2 Ziff. 2 TTDSG ab: “Die Einwilligung nach Absatz 1 ist nicht erforderlich, wenn die Speicherung von Informationen […] oder der Zugriff auf bereits […] gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann”. Wichtig ist dabei eben nicht nur das Wörtchen “notwendig”, sondern auch die Formulierung “vom Nutzer ausdrücklich gewünscht”. Damit ist beispielsweise die Aussage “wir finanzieren uns über Werbung, daher ist die Einbindung von Werbenetzwerken notwendig” irrelevant, da Werbung vermutlich niemals von den Nutzer*innen ausdrücklich gewünscht sein wird. Gleiches gilt für Tracking und in diesem Zusammenhang gespeicherte Daten (zum Beispiel Cookies) und so weiter. Ganz deutlich: Wenn etwas nicht benötigt wird, um die Wünsche der Nutzer*innen zu erfüllen, dann fällt es nicht unter die Ausnahme des § 25 Abs. 2 TTDSG.

Was sind notwendige Dienste?

Diese Frage haben wir im letzten Absatz eigentlich schon nebenbei und indirekt mitbeantwortet: Notwendige Dienste sind diejenigen Dienste, die benötigt werden, um die Wünsche der Nutzer*innen zu erfüllen. Hierzu gehören auch Sicherheit und Betrugsprävention, ebenfalls (zum Beispiel im Rahmen von Kaufverträgen) Bonitätsprüfungen oder Plausibilitätsprüfungen bezüglich Rechnungs- oder Lieferanschriften. Nicht dazu gehören aber alle Dienste, die ausschließlich dem Webseitenbetreiber dienen, beziehungsweise Dinge tun, die mit den eigentlich von den Nutzer*innen angefragten oder gewünschten Diensten nichts mehr zu tun haben. Tracking ist beispielsweise so ein Dienst.

Zu beachten ist, dass das Thema der Drittstaatenübermittlung problematisch ist. Insbesondere seit dem Schrems-2-Urteil (siehe zum Beispiel hier, hier und hier – und das sind nur einige unserer Artikel zu diesem Thema) sind nicht nur Übermittlungen in die USA, sondern in jeden Drittstaat, für den kein Angemessenheitsbeschluss der EU-Kommission existiert (hier eine Liste der Angemessenheitsbeschlüsse) ein Risiko für die Verantwortlichen. Selbst der Abschluss von Standardvertragsklauseln bietet leider seitdem keine Rechtssicherheit mehr. Die letzten skurrilen Auswirkungen dieses Risikos sind das Urteil des LG München zu Google Fonts (wir berichteten) und die seitdem grassierenden Abmahnungen und Schmerzensgeldforderungen (weitere Infos hier, hier, hier und hier). Insbesondere den Ärger für die Nutzung von Google Fonts könnte man sich mit einer kleinen technischen Maßnahme einfach ersparen: Sie müssten lediglich auf dem eigenen Webserver gehostet werden, anstatt sie von den Google-Servern nachzuladen. Andere eingebundene Dienste sind da schon deutlich schwerer rechtssicher einzubinden.

Nur zur Erinnerung: Bei der Nutzung von Google Fonts und auch von jedem anderen extern eingebundenen Dienst (wir bleiben im weiteren Artikel der besseren Lesbarkeit halber bei dem Begriff “Dienste” und meinen Tools, Ressourcen und alle anderen mit) erhält technisch bedingt der Server, von dem der Dienst abgerufen oder nachgeladen wird, immer mindestens die öffentliche IP-Adresse des Internet-Anschlusses, von dem der Aufruf erfolgt. Die IP-Adresse ist gemäß Ansicht des EuGH ein personenbeziehbares Datum und unterliegt damit dem Regime der DSGVO. Dies ist auch die Argumentationskette mit der eine Beeinträchtigung der informationellen Selbstbestimmung der Personen angenommen wird, die beim Einsatz von Google Fonts auf Webseiten Schmerzensgeld fordern.

Wie bekomme ich die Nutzung von Tools, Ressourcen oder Diensten in den USA und anderen Drittstaaten rechtssicher hin?

Bezüglich der Nutzung von US-basierten Diensten zeichnet sich ein Hoffnungsschimmer am Horizont ab: Das Trans Atlantic Data Privacy Framework (TADPF, siehe hier). Ja, wir waren und sind immer noch skeptisch, dass dieses Abkommen dauerhaft sein wird, aber für ein paar Jahre sollte es den Unternehmen Rechtssicherheit für die Übermittlung von Daten in die USA geben. Und die aktuellen Entwicklungen lassen sogar für eine kurzfristige Erleichterung hoffen: Am 07.10.2022 unterzeichnete US-Präsident Joe Biden gemäß zahlreicher Medienberichte eine sogenannte Executive Order, welche die Zugriffe der US-Geheimdienste auf Daten stärker beschränken soll und der auch weitere Regelungen des im März 2022 gemeinsam veröffentlichten Fact Sheet aufgreift.

Mit Gültigkeit dieser Executive Order lässt sich unseres Erachtens nicht mehr einfach so behaupten, dass der Zugriff der Geheimdienste massenhaft und unkontrolliert wäre. Damit sollte man hoffentlich zumindest den oben beschriebenen Abmahnungen und Schmerzensgeldforderungen entgegenwirken können. Dennoch halten wir die vollständige Erfüllung der Regelungen des Kapitel V der DSGVO auch weiterhin für nicht vollständig und rechtssicher möglich. Daher empfehlen wir, bis zum tatsächlichen Inkrafttreten des TADPF auch weiterhin solche Drittstaatentransfers auf Basis einer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO durchzuführen. Selbst bei diesem Vorgehen befürchten wir eine Angreifbarkeit, eine andere Möglichkeit sehen wir aktuell jedoch nicht.

Bitte beachten Sie, dass diese ausdrückliche Einwilligung auch tatsächlich ausdrücklich sein muss. Sie in einem Nebensatz mit einzuholen ist nicht möglich. Auch die (auch von uns) propagierte Methode, in das Startfenster der Consentmanager einen Text aufzunehmen, dass beim Klick auf “alle akzeptieren” (oder ähnlich) auch ausdrücklich gemäß Art. 49 Abs. 1 lit. a DSGVO in die Übermittlung den Drittstaat XY eingewilligt würde, ist nach Auffassung einiger Aufsichtsbehörden nicht ausreichend. Leider – und da kommen wir wieder zu unserem Rant zu Beginn des Artikels – bieten die Consentmanager bis heute keine vernünftige Lösung für dieses Problem. Und wer sich nicht täglich mit Datenschutz beschäftigt, übersieht es leider schnell.

Fazit

Um es kurz zu machen: Es ist immer noch ein Graus und es wird vermutlich auch lange einer bleiben. Die rechtssichere Empfehlung lautet: Verzichten Sie vollkommen auf jegliche Cookies (oder andere lokale Datenspeicherung) und extern eingebundene Dienste. Das führt zu hässlichen, funktionslosen Webseiten oder zu enormen Entwicklungskosten, das ist uns bewusst. Alternativ prüfen Sie, ob Sie noch warten können und hoffen, dass das TADPF möglichst schnell verabschiedet wird und möglichst lange hält. Oder Sie gehen ein gewisses Risiko ein und verzichten zumindest auf die externe Einbindung der Google Fonts.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.