Rechtliche Rahmenbedingungen
Neben der europaweit gültigen Datenschutz-Grundverordnung (DS-GVO) und speziellen EU-Richtlinien (ePrivacy -Richtlinie von 2009 z.B. zu Cookies) gibt es eine ganze Reihe nationaler Gesetze, die sich in Teilen auch mit Themen des Datenschutzes beschäftigen und spezielle Regelungen beinhalten. Dazu gehört insbesondere das ‚Telekommunikation- Telemedien Datenschutz Gesetz‘ (TTDSG). Das TTDSG ist am 1. Dezember 2021 in Kraft getreten und hat das bis dahin gültige Telekommunikationsgesetz (TKG) mit Stand von 2011 sowie das Telemediengesetz (TMG) mit Stand 2019 in Teilen abgelöst. Wir haben in unserem Newsletter bereits kurz darüber berichtet.
Das TKG diente zur Regelung der Märkte von – technik-basierten – Telekommunikationsanbietern wie z.B. Telefon- oder Internetprovidern. Das TMG richtet sich an die Anbieter von – inhaltsbasierten – Informations- und Servicediensten, bei denen elektronische Verfahren zum Einsatz kommen. Hieruntern fallen Online-Shops genauso wie Internet-Nachrichtendienste und Unternehmen, die im Internet eine Unternehmenspräsentation veröffentlichen.
Beide Gesetze stammten mit ihren wesentlichen Regelungen aus der Zeit vor dem Gültigwerden der DS-GVO. Sie beinhalteten aber schon Regelungen zum Schutz von personenbezogenen Daten ihrer Nutzer wie z.B. Einwilligungen, Informationspflichten u.s.w.. Grundsätzlich bestanden die hier enthaltenen Regelungen und die in der DS-GVO enthaltenen Regelungen aber nebeneinanderher und waren nicht immer deckungsgleich, so dass es zu Unsicherheiten bei der rechtlichen Beurteilung von Einzelthemen kam.
Durch die technische Weiterentwicklung des Internets wurden außerdem in viel größerem Umfang als früher und als in TKG / TMG berücksichtigt, personenbezogene Daten erhoben, gespeichert und von Diensteanbietern für eigene Zwecke genutzt. Dazu gehört die Datensammlung über ‚Cookies‘ genauso wie die Profilbildung bei Internetdiensten wie Facebook oder Google. Auch die Nutzung von webbasierten E-Mail-Diensten oder Messenger-Diensten wie WhatsApp waren bislang durch TKG / TMG nicht rechtlich belastbar geregelt.
EU-Kommission
Die zuständige EU-Kommission genauso wie die nationale Gesetzgebung haben deshalb schon vor Jahren begonnen, neue Verordnungen oder Gesetze zu entwickeln. Hierzu gehört insbesondere die europäische ePrivacy-Verordnung. Diese europaweit verbindliche Regelung kommt aber nicht voran und befindet sich weiterhin im Entwicklungsstadium (Stand 9.2023).
Um die rechtlichen Unsicherheiten im Interesse der Betroffenen und der beteiligten Unternehmen zu lösen, haben die zuständigen Fachgremien der Bundesregierung daher ein nationales Gesetz entwickelt und beraten. Der Bundestag hat im Mai 2021 das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verabschiedet. Das neue Gesetz ist am 01.12.2021 in Kraft getreten. Gleichzeitig wurden angepaßte Fassungen des TKG und des TMG gültig.
Für die Telekommunikations- / Telemedienanbieter enthält das neue TTDSG eine ganze Reihe konkreter Regelungen z.B. hinsichtlich Vertragsgestaltung, technische und organisatorische Maßnahmen und Vertraulichkeit. Diese Regelungen sind zum überwiegenden Teil nicht neu und werden aufgrund der bisherigen TMG und TKG sowie der aktuellen Rechtsprechung zum überwiegenden Teil schon weitgehend umgesetzt.
In datenschutzrechtlicher Hinsicht werden ebenfalls die Vorgaben und Rahmenbedingungen der DS-GVO in den ehemaligen Themenfeldern der TMG / TKG berücksichtigt und konkretisiert.
Hierbei steht der Schutz der Privatsphäre auf den Endgeräten der Betroffenen im Vordergrund. Eine konkrete Schwachstelle sind hier die vielen Cookies, mit denen die unterschiedlichen Diensteanbieter und Internetseiten-Betreiber personenbezogene Daten oder Nutzerprofile erheben und durch Speicherung auf dem Endgerät des Nutzers für sich oder für Dritte zugänglich machen.
Dieser Blog richtet sich deshalb im Wesentlichen an die Seitenbetreiber, die auf ihren Internetseiten Cookies eingebunden haben. Unternehmen, die über eigene Internetseiten z.B. Kundenbestellungen aufnehmen, Werbung machen, oder Social Media-Dienste anbieten, müssen als verantwortliche Stelle bei der rechtskonformen Gestaltung und Verwendung von Cookies einige wesentliche Punkte beachten.
Anforderungen für den gesetzeskonformen Betrieb von Internetseiten
Cookies
Die heute angebotenen Internetseiten sind in den seltensten Fällen nur einfache Text- oder Bilddarstellungen. In den weitaus meisten Fällen werden im Zusammenhang mit dem Seitenbesuch Daten des Seitenbesuchers – auch personenbezogene Daten – oder Daten aus dem Sitzungsverlauf genutzt. Dazu bindet der Seitenanbieter verschiedene eigene Programm-Komponenten (z.B. zur Einrichtung eines Kundenkontos) oder Programme externer Dienste (z.B. Google Analytics) auf seiner Internetseite ein. Die Speicherung der Daten erfolgt in sogenannten ‚Cookies‘, die vom Seitenbetreiber oder dem jeweiligen Dienst auf dem Endgerät des Seitenbesuchers abgelegt werden.
Bei den Cookies handelt es sich um kleine Textdateien, in denen alle Daten enthalten sind, die für den jeweiligen Zweck des Seitenbetreibers bzw. des Dienstanbieters für dessen jeweiligen Zwecke benötigt werden. Je nach Speicherfrist und Zugangsmöglichkeit können die Cookies dann bei zukünftigen Seitenbesuchen oder von Dritten ausgelesen werden.
Rechtsgrundlagen
Personenbezogene Daten dürfen nur gespeichert und genutzt werden, wenn dafür eine belastbare Rechtsgrundlage gemäß Art. 6 DS-GVO vorliegt. Im Zusammenhang mit z.B. Warenbestellungen oder der Registrierung in einem Kundenkonto können das vertragliche Verpflichtungen des Seitenanbieters gegenüber dem Betroffenen sein (Art 6, Abs.1, Ziff.b DS-GVO).
In den meisten anderen Fällen, insbesondere für Werbeangebote muss die betroffene Person in die Verarbeitung der personenbezogenen Daten ausdrücklich einwilligen (Art 6, Abs.1, Ziff.a DS-GVO) (siehe unten).
Eine besondere Rolle nehmen die sogenannten ‚essentiellen Daten‘ (TTDSG § 25) ein. Hierbei handelt es sich um in der Regel anonymisierte / pseudonymisierte Nutzungsdaten des Seitenbesuches, die für den reibungslosen technischen Betrieb der Internetseite notwendig sind. Hierbei kann es sich z.B. um Anzahlen und Zeitpunkte des Seitenaufrufes (Bereitstellung ausreichender Leitungskapazitäten) oder um die Landesherkunft des Seitenbesuchers (Spracheinstellung der Internetseite) handeln.
In diesen Fällen überwiegt das berechtigte Interesse des Seitenbetreibers gegenüber den Schutzbedürfnissen des Seitenbesuchers (Art 6, Abs.1, Ziff.f DS-GVO). Eine ausdrückliche Einwilligung für die Speicherung eines Cookies ist nicht erforderlich.
Einwilligungen / Cookie-Banner
Insbesondere bei z.B. Erfolgsmessungen, Werbeangeboten und externen Diensten wie Google Analytics müssen ausdrückliche Einwilligungen des Seitenbesuchers gemäß Art. 7 DS-GVO eingeholt werden. Die erhaltene Einwilligung führt dazu, dass vom Seitenbetreiber oder von dem externen Dienst ein Cookie auf dem Endgerät gesetzt wird.
In der Regel verwenden die Seitenanbieter hierfür sogenannte ‚Cookie-Banner‘ oder ‚Consent Tools‘. Der Cookie-Banner erscheint bereits beim Start der Internetseite und stellt die verschiedenen Optionen der Einwilligung bzw. Ablehnung in einem Dialog dar. Der Seitenbesucher stimmt durch seine Auswahl der Verarbeitung seiner Daten zu oder lehnt die Verarbeitung ab.
Hinsichtlich des Aufbaus der Cookie-Banner haben sich im Laufe der Zeit unterschiedliche Arten entwickelt. Die Seitenbetreiber haben dabei versucht, den unterschiedlichen Mengen an Cookies der jeweiligen Internetseite gerecht zu werden und den Aufwand für den Seitenbesucher möglichst gering zu halten. So gibt es Cookie-Banner, bei denen der Seitenbesucher einzeln durch alle Cookies geführt wird. Bei anderen Cookie-Bannern sind die einzelnen Cookies in verschiedene Gruppen (z.B. Werbe-Cookies, Analyse-Cookies) eingeordnet. Der Seitenbesucher hat hier in der Regel die Möglichkeit mit einem einzigen Klick, eine komplette Gruppe zu akzeptieren bzw. abzulehnen.
Durch ‚geschickte‘ Gestaltung des Dialogablaufs im Cookie-Banner (‚dark pattern‘ / ‚nudging‘) haben (einzelne) Seitenanbieter versucht, den eigentlichen Entscheidungswillen des Seitenbesuchers zu beeinflussen und in eine vom Seitenanbieter gewünschte Richtung zu lenken, um so z.B. Einwilligungen zu Werbung zu erhalten. Rechtsprechung und Aufsichtsbehörden haben das Thema inzwischen aufgegriffen und drängen die Seitenanbieter zu einer neutralen Darstellung der Optionen.
Folgende Empfehlungen bei der Gestaltung des Cookie-Banners und beim Dialogablauf sollten beachtet werden:
- Die Option für die Ablehnung muss genauso prominent platziert sein, wie die Zustimmung. Also nicht versteckt in nachfolgenden Dialogbereichen, die erst durch langes Scrollen oder durch mehrmaliges Klicken zu erreichen sind.
- Zustimmungsoption und Ablehnungsoption müssen gleich gestaltet sein, z.B. farbliche Hervorhebung / Schriftgestaltung / Position auf der Dialogseite
- Eine ‚unterschwellige‘ Bevorzugung der Zustimmungsoption durch z.B. besonders leuchtende Farben, blinkenden Texte (‚Nudging‘) ist nicht erlaubt.
- Ebenso darf die Ablehnungsoption nicht benachteiligt werden, z.B. schwarze Schriftfarbe auf schwarzem Hintergrund (‚dark pattern‘).
Internetseiten-interne Verwaltung der Einwilligungen
Die über den Cookie-Banner vom Seitenbesucher eingeholten Einwilligungen für die auf der Internetseite angebotenen Dienste werden in der Regel ebenfalls in Cookies auf dem Endgerät des Seitenbesuchers gespeichert, bis die Internetsitzung vollständig beendet oder die entsprechende Internetseite im Browser geschlossen wird. Ohne weitere Handlung des Seitenbesuchers gelten die abgegebenen Einwilligungen also bis zum Ende des jeweiligen Seitenbesuches.
Die DS-GVO räumt dem Betroffenen aber ein jederzeit ausübbares Widerrufsrecht der Einwilligungen ein (Art.7 Abs.3 DS-GVO). Alle mit der Einwilligung verbundenen Datenverarbeitungen des Dienstes sind dann sobald / soweit möglich zu beenden, schon gespeicherte Daten sind zu löschen und Datenübermittlungen zu stoppen.
Damit der Seitenbesucher seine Einwilligungen überprüfen und ggf. den Widerspruch ausüben kann, ist es zweckmäßig, die aktuell vorliegenden Einwilligungsentscheidungen in einem separaten Dialog anzuzeigen und dem Betroffenen hier Möglichkeit zu bieten, Einwilligungen nachträglich zu vergeben bzw. zurückzuziehen.
Diese Dialogseite sollte z.B. aus den Datenschutz-Hinweisen oder direkt aus dem Link-Bereich der Internetseite aufgerufen werden können. In der Regel werden diese Dialogseiten von den Anbietern der Cookie-Banner bzw. Consent-Tools zur Verfügung gestellt.
Personal Information Management Systeme
Die Besucher / Nutzer von Internetseiten sind damit konfrontiert, dass sie bei jeder Internetseite und ggf. bei jedem neuen Sitzungsaufruf den Dialogablauf für die Einwilligungen neu durchlaufen müssen.
Um die Vielzahl dieser notwendigen Einwilligungserklärungen für den Betroffenen zu vereinfachen, sind mit dem TTDSG künftig ‚Dienste zur Einwilligungsverwaltung‚ (§ 26 TTDSG) möglich. Über diese sogenannten ‚Personal Information Management‘ (PIM) können Internetnutzer festlegen, ob und in welchem Umfang Internetseiten standardmäßig ihre personenbezogenen Daten nutzen dürfen. Der verwendete Browser ermittelt dann im Hintergrund in dem PIM die Nutzungsrechte bei dem fraglichen Dienst und meldet die Freigaben bzw. Beschränkungen an die Internetseite zurück. Internetseiten mit individuellem Cookie-Banner werden dadurch überflüssig.
Um das notwendige Maß an Datensicherheit und Zuverlässigkeit bei den Diensten zur Einwilligungsverwaltung sicherzustellen, sieht das Gesetz vor, dass sich die betreffenden Dienste einer Anerkennung durch staatlich definierte Stellen (§26 TTDSG) unterziehen müssen. Nur entsprechend zertifizierte Dienste dürfen also ein PIM betreiben.
Die rechtlichen Rahmenbedingungen für die betreffenden Dienste wurden in einem Entwurf für eine Verordnung seitens der Bundesregierung vorgelegt. Die Verordnung sieht z.B. vor, dass die Zertifizierung der PIM-Dienste durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) erfolgt. Weiterhin sind technische und organisatorische Maßnahmen als Voraussetzung für die Genehmigung des Dienstes aufgeführt.
Aus heutiger Sicht ist noch nicht absehbar, bis wann das Gesetzgebungsverfahren abgeschlossen ist. Danach schließen sich in jedem Fall noch die technische Umsetzung und Zertifizierung der Dienste an. Und auch die entsprechenden Seitenbetreiber müssen den Dienst in ihrem Einwilligungsverfahren implementieren.
Das wird alles noch einige Zeit dauern, es wird also nicht sinnvoll sein, eigene Maßnahmen zur gesetzkonformen Gestaltung der Internetseite zurückzustellen.
Datenschutz-Hinweise
Nach den Informationspflichten aus der DS-GVO (Art. 13 DS-GVO) müssen die Seitenbesucher vom Seitenbetreiber über die Verarbeitung personenbezogener Daten informiert werden. Hierfür wird zweckmäßiger Weise eine Seite mit ‚Datenschutz-Hinweisen‘ innerhalb der Internetseite bereitgestellt. Die ‚Datenschutz-Hinweise‘ müssen – neben vielen anderen Informationen – alle auf der Internetseite verwendeten Cookies vollständig und mit Angabe von Ersteller/ Herkunft, Zweck, Datenkategorien, Löschregeln, usw. enthalten.
Den Seitenbesuchern wird damit die Möglichkeit gegeben, ihre Einwilligungen zu den einzelnen Diensten zu überdenken und ggf. zu verweigern bzw. zurückzuziehen.
Sanktionen der Aufsichtsbehörden
Die rechtskonforme Gestaltung und Verwendung von Cookies wird von den Aufsichtsbehörden nach eigenem Ermessen oder aufgrund von Beschwerden einzelner Betroffener geprüft und verfolgt. Bei Verstößen gegen die Regelungen des TTDSG können erhebliche Bußgelder (max 300T€) verhängt werden.
Bei Verletzung der Datenschutzregelungen bei personenbezogenen Daten können dazu auch noch die Bußgelder der DS-GVO kommen.
Die Berater der ANMATHO AG helfen gerne, dabei Ihre Internetseite und vorhandene Einwilligungsverfahren einmal hinsichtlich der Datenschutz-Konformität zu überprüfen.
Fotolia | #205374109 | Jürgen Fälchle
