Vielleicht haben Sie es gehört: Es wird wieder einmal teuer für die Giganten. Google wurde von der französischen Datenschutzbehörde (CNIL) zu einem Bußgeld von 150 Millionen Euro und Facebook zu 60 Millionen Euro verdonnert. Der Grund war bei beiden der gleiche: Ihre Cookie-Banner waren illegal. Genauer gesagt: Die Möglichkeit zur Ablehnung von Cookies war nicht genauso einfach wie die Zustimmung.
Wenn Sie jetzt denken: “Na, dann müssten aber fast alle anderen Webseiten-Betreiber auch blechen!” liegen Sie wahrscheinlich goldrichtig.
Und wenn Sie jetzt denken: “Na, mir doch egal was die Franzosen machen!” liegen Sie ein klein wenig daneben, denn auch bei uns in Deutschland tut sich gerade einiges in Bezug auf das TTDSG im Konkreten und damit Cookie-Banner im Allgemeinen.
Kurz zum Verständnis:
Was in Frankreich die CNIL sind in Deutschland die Datenschutzaufsichtsbehörden der Länder und des Bundes die unter anderem auch dafür sorgen sollen, dass die DSGVO durchgesetzt und überwacht wird. Sie sind es auch, die die Anfragen und Beschwerden zum Thema bearbeiten. Alle diese Behörden zusammen bilden die Konferenz der unabhängigen Datenschutzaufsichtbehörden des Bundes und der Länder (DSK), welche auch Orientierungshilfen (OH) zum Verständnis und zur Umsetzung der verschiedenen Gesetze gibt.
Am 20. Dezember letzten Jahres hat eben diese DSK ihre Orientierungshilfen von 2019 zum Thema Telemedien komplett überarbeitet und ergänzt. Grund war das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welche ja bekanntlich zum 01.12.2021 in Kraft getreten ist.
https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
Dieses OH-PDF ist 33 Seiten lang und enthält viele Erklärungen und Beispiele vor allem für die Anforderungen bezüglich DSGVO und TTDSG beim Betrieb von Webseiten und Apps. Das macht es auch für uns Internet-Unternehmer interessant. Für den, der sich nicht die Mühe machen möchte, sich durch diesen juristischen Text zu arbeiten, habe ich im Folgenden einige besonders wichtige Punkte herausgesucht.
Im Gegensatz zur DSGVO, die sich ja hauptsächlich mit dem Schutz unserer persönlichen Daten beschäftigt, dient das TTDSG dem Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung von Endeinrichtungen. Endnutzer:innen sollen davor geschützt werden, dass Dritte unbefugt auf einer Endeinrichtung Informationen speichern oder auslesen und so die Privatsphäre der Endnutzer:innen verletzen. Vereinfacht: Bei der DSGVO geht es um Personen, beim TTDSG um technische Geräte.
Endeinrichtungen sind kurz gesagt, alle technischen Geräte (PC, Laptop, Handy, Tablet, Smarthome, Smartcar, etc.) die irgendwie an ein öffentliches Telekommunikationsnetz (Telefonnetz, Internet, etc.) angeschlossen sind. Ausgeschlossen sind lediglich interne Firmennetzwerke, über die man nicht in öffentliche Netze kommunizieren kann.
Als Grundsatz gilt hier nach §25 Abs. 1, Satz 1 TTDSG: Die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, ist nur mit Einwilligung der Endnutzer:innen zulässig.
Dabei werden alle Techniken und Verfahren erfasst, mittels derer das Speichern und Auslesen von Informationen erfolgen kann. Dazu zählen neben Cookies auch automatische Update-Funktionen und der Zugriff auf Hardware-Gerätekennungen, Telefonnummern, SIM-Karten, Kontakte, Anruflisten, Bluetooth oder SMS – und ganz konkret beschrieben, der gezielte Zugriff auf Informationen zur Bildschirmauflösung, Betriebssystemversionen oder installierten Schriften um anhand dieser Daten einen sogenannten personenbezogenen Browser-Fingerprint zu erstellen.
Das alles darf nicht ohne ausdrückliche Zustimmung der Endnutzer:innen erfolgen. Dabei ist es im Gegensatz zur DSGVO egal, ob die Informationen Bezug auf eine konkrete Person haben. Hier gehen die Regelungen des TTDSG ausdrücklich über die Regelungen der DSGVO hinaus: Die Pflicht zur Einwilligung ist unabhängig von einem Personenbezug der Informationen! Nutzer:innen sollen vor jedem unerlaubten Eingriff in die Privatsphäre geschützt werden, unabhängig davon, ob personenbezogene oder andere Daten betroffen sind. Deshalb braucht es auch eine Einwilligung, wenn keine konkret personenbezogenen Informationen gespeichert oder auslesen werden sollen.
Von wem muss eine solche Einwilligung eingeholt werden?
Klar, vom Endnutzer oder der Endnutzerin. Das ist in diesem Falle keine eindeutige einzelne Person, sondern die Person, die “objektiv die Endeinrichtung nutzt”, egal, wem das Gerät gehört oder wer den Mobilfunkvertrag abgeschlossen hat. Die konkreten Eigentumsverhältnisse sind irrelevant.
Ganz klar ist mir das hier jetzt nicht. Was ist, wenn mehrere Personen ein Gerät nutzen und eine Person zustimmt aber eine andere dies nicht will? Das ließe sich ja eigentlich nur durch unterschiedliche Benutzerkonten umsetzen. Hier kann es schnell zu Ärger kommen. Deshalb ist es wichtig, die Einwilligung eines Nutzers immer auch genau zu dokumentieren, damit man im Streitfall zumindest immer nachweisen kann, wann die Einwilligung erfolgte.
Wie muss eine solche Einwilligung erfolgen?
Das TTDSG regelt nicht explizit, wie eine Einwilligung aussehen muss, sondern verweist auf die entsprechenden Regelungen in der DSGVO. Eine solche Willenserklärung muss dementsprechend:
- freiwillig
- für jeweils einen ganz bestimmten Fall
- in informierter Weise
- und unmissverständlich
- in Form einer Erklärung
- oder einer sonstigen eindeutigen bestätigenden bestimmten Handlung
abgegeben werden.
Wann muss eine Einwilligung erfolgen?
Diese Willenserklärung muss erfolgen, bevor ein Zugriff auf eine Endeinrichtung (z. B: setzen des Cookies, Auslesen von Daten) erfolgt.
Was bedeutet “in informierter Weise”?
“Informiert” bedeutet hier: Jegliche Speicher- und Ausleseaktivitäten müssen transparent und nachvollziehbar erklärt werden. Konkret heißt dass, der Nutzer muss informiert werden
- wer auf die jeweilige Endeinrichtung zugreifen möchte
- in welcher Form das passiert
- zu welchem Zweck das geschieht
- wie lange das geschieht
- und ob auch Dritte Zugriff erhalten könnten
und auch
- ob der Zugriff weiteren Datenverarbeitungsprozessen dient, die unter die Anforderungen der DSGVO fallen.
- Wenn ja, müssen die Zwecke präzise beschrieben werden.
Achtung Abmahngefahr!
Es wird in der OH ganz konkret auch darauf hingewiesen, dass man über die Tatsache informieren muss, dass ein späterer Widerruf sich nicht mehr auf die Rechtmäßigkeit des bis zu diesem Widerrufs erfolgten Zugriffs bzw. der sich bis dahin erfolgten Speicherung auswirkt. Das bedeutet, dass man dem Nutzer schon vor der Einwilligung klarmachen muss, dass mit einem späteren Widerruf nicht automatisch sämtliche Informationen weg sind, sondern nur zukünftig keine mehr gespeichert oder ausgelesen werden. Allerdings hat der Nutzer ja explizit auch das Recht solche bereits gespeicherten Informationen löschen zu lassen.
Das sieht ganz nach einer dieser kleinen aber fiesen Formulierungen aus, die man sehr schnell mal “vergessen” kann und die einem dann richtig teuer werden können, wenn sich erst einmal die Abmahnindustrie darauf fokussiert hat. Stichwort: mangelhafte Widerrufsbelehrung!
Intransparente Banner
Die Datenschützer gehen in ihrer Orientierungshilfe auch ganz besonders auf aktuelle Defizite bei der Gestaltung der Cookie-Banner ein, mit denen Einwilligungen eingeholt werden sollen. (Wir alle kennen ja zum Genüge den Wildwuchs der dort zur Zeit (noch) herrscht.)
Intransparent sei vor allem
- dass Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind
- aber auch, dass unklar ist mit welcher Schaltfläche welcher Effekt erreicht werden kann
- oder mit welchem Aufwand eine Ablehnung (nur) möglich ist
Transparenz dagegen bedeute auch,
- dass die diesbezüglichen Informationen überall auf der Webseite oder in der App auch gleich sind. Oftmals würden die Banner andere (oder weniger) Rechtsgrundlagen, Zwecke oder Drittanbieter enthalten als die Datenschutzerklärung.
- die Vorgänge bezüglich TTDSG und DSGVO klar zu differenzieren und auseinander zu halten. Gibt es Prozesse, die sowohl unter das TTDSG als auch die DSGVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren!
Was gilt als Einwilligung?
Eine wirksame Einwilligung muss eine “unmissverständlich abgegebene Willensbekundung” sein.
Aktiv
Das heißt, dass sie zwingend aktives Handeln sein muss. Das Anklicken einer Schaltfläche oder die Auswahl von technischen Einstellungen sind solche unmissverständlichen, eindeutigen, aktiven Einwilligungen.
Stillschweigen, Untätigkeit oder das “Abnicken” voreingestellter Kästchen oder Häkchen, Herunterscrollen, das Anklicken von Inhalten oder ähnliche Aktionen sind keine unmissverständlich abgegebenen Willensbekundungen – auch nicht, wenn man den Nutzer vorher darüber informiert!
Scrollen oder das Weitersurfen sind typische Handlungen bei der Nutzung des Internets, denen grundsätzlich kein rechtlicher Erklärungsgehalt innewohnt, weil man hierbei Handlungen nicht deutlich voneinander unterscheiden kann und deshalb so keine eindeutige Zustimmung festgestellt werden kann.
Unmissverständlich
Ein “Okay” ist keine unmissverständliche Erklärung. Auch “Zustimmen”, “Ich willige ein” oder “Akzeptieren” reichen nicht aus, wenn aus dem Kontext nicht eindeutig hervorgeht, wozu konkret die Einwilligung gegeben wird. Wollen Sie eine solche Beschriftung auf einem Button, müssen Sie im begleitenden Informationstext eindeutige Informationen liefern.
Stellen Sie solche Informationen bereit, aber müsste der Nutzende erst eine Detailansicht öffnen, um zu sehen, was er denn so alles akzeptiert, ist es keine wirksame Einwilligung!
Keine künstlichen Hindernisse
Eine Einwilligung kann nicht erzwungen werden aber es darf einem Nutzer auch nicht willkürlich schwer gemacht werden ohne Einwilligung wieder wegzukommen. Nutzer:innen müssen eine Ablehnung ohne einen Mehraufwand an Klicks gegenüber der Zustimmung äußern können.
Es darf nicht nur die Auswahl zwischen “Alles akzeptieren” und “Einstellungen”, “Mehr Details”, “Weitere Informationen” etc. geben!
Wenn man mit der ersten Schaltfläche eine Zustimmung geben und das Angebot sofort nutzen kann aber die andere Schaltfläche keine Möglichkeit zum direkten Ablehnen gibt, sondern nur zu weiteren Handlungen führt, die weitere Entscheidungen verlangen, ist dies nicht unmissverständlich, weil der Klick auf die Zustimmung auch bedeuten kann, das der Nutzer lediglich den Willen bekundet, sich nicht weiter “durchklicken” zu wollen. Das gilt vor allem, wenn er nicht sofort erkennen kann, wieviel mehr Aufwand letztlich erforderlich ist, um abzulehnen.
Man kann Cookie-Banner grundsätzlich mehrschichtig (mit Unterseiten) gestalten, um vielleicht umfangreiche detaillierte Informationen übersichtlich auf eigenen Seiten zu präsentieren (Datenschutzerklärung etc.) Kann der Nutzer aber schon auf der ersten Ebene seine Einwilligung für verschiedene Zwecke erteilen, müssen auch auf dieser ersten Ebene schon konkrete Informationen zu den Zwecken vorhanden sein.
Man kann nur einwandfrei feststellen, ob eine bestätigende Handlung (Zustimmung) wirklich unmissverständlich und eindeutig ist, wenn man dem Nutzer eine vom Aufwand her mindestens ebenso einfache und somit gleichwertige Möglichkeit gibt, abzulehnen. Man muss dem Nutzer die Möglichkeit geben auch einen gegenteiligen Willen mit demselben Aufwand zu äußern, weil man sonst nicht feststellen kann, ob der Nutzer die Zustimmung nach seinem freien Willen gibt oder sie nur erteilt, weil es die schnellere Option ist (oder zu sein scheint). “Schnell wegklicken” geht nur mit Zustimmung – geht gar nicht!
Keine Blankovollmacht!
Eine Einwilligung muss immer für einen bestimmten Zweck eingeholt werden. Es können ausdrücklich mehrere nach TTDSG und nach DSGVO erforderliche Einwilligungen gleichzeitig, also gebündelt, eingeholt werden aber es muss vorher über alle Zwecke einer Datenverarbeitung informiert werden und es muss eindeutig erkennbar sein, dass der Endnutzer mit einer Handlung, z. B. dem Betätigen einer Schaltfläche, mehrere Einwilligungen gleichzeitig erteilt.
Beispiel: Wenn Sie durch ein Banner auf Ihrer Webseite Besucher darum bitten, dem Einsatz von Cookies zuzustimmen, ihm aber nicht gleichzeitig mitteilen, dass sie die so gewonnenen Informationen auch weiterverarbeiten (Folgeverarbeitung) dann haben Sie zwar eine Einwilligung nach TTDSG eingeholt aber (noch) nicht nach DSGVO. Sie dürften Informationen zwar im Endgerät speichern und auslesen aber diese Informationen dann nicht anderweitig speichern oder auswerten.
Allgemeine Formulierungen wie “Werbezwecke”, “Verbesserung der Nutzererfahrung” oder “IT-Sicherheit” sind keine bestimmten Zwecke, weil der Nutzer nicht konkret nachvollziehen, für welche Fälle er einwilligt. Auch muss eine Einwilligung immer, wenn es möglich ist, gesondert eingeholt werden. Werden verschiedene Einwilligungen so verbunden, dass der Nutzer nicht auswählen kann, gelten sie nicht als freiwillig erteilt.
Freiwillig
Wenn eine Person keine wirkliche Wahl hat, sich bedrängt fühlt oder negative Auswirkungen befürchten bzw. erdulden muss, wenn sie nicht einwilligt oder sie die Einwilligung nicht verweigern oder zurückziehen könnte ohne Nachteile zu erleiden, ist eine Einwilligung laut DSGVO nicht freiwillig!
Man darf einen Nutzer nicht dazu zwingen, eine Einwilligung in die Nutzung von Daten zu erteilen, wenn diese Daten nicht für die Erfüllung des Vertrages nötig sind. Zum Beispiel darf man die Teilnahme an einem Gewinnspiel nicht an die Zustimmung zur Nutzung der Daten zu Werbezwecken koppeln.
Versperrt ein Banner die Webseite oder Teile davon und der Nutzer kann deshalb die Einwilligungsabfrage nicht einfach ignorieren, darf die Ablehnung nicht mit höherem Aufwand verbunden sein als die Zustimmung! Das bedeutet, dass neben dem “Alles akzeptieren” auch ein “Alles Ablehnen”-Button gleichwertig daneben zu finden sein muss. Die zur Auswahl stehenden Optionen müssen vom Aufwand her gleichwertig gestaltet sein.
“Kann kein sachlicher Grund dafür vorgebracht werden, warum z. B. keine mit demselben Aufwand verbundene Ablehnungsmöglichkeit auf der ersten Ebene eines Cookie-Banners angeboten wird, stellt dies einen Versuch dar, in treuwidriger Weise Einfluss auf die Endnutzer:innen zu nehmen.”
