Die meisten Webseiten kommen nicht ohne Cookies aus. Cookies stellen kleine Datenpakete dar. Diese können auf dem Endgerät des Webseitenbesuchers gespeichert werden und von der Webseite bzw. ihrem Server beim erneuten Aufruf abgerufen. Dadurch können beispielsweise Login-Informationen oder aber auch Suchanfragen gespeichert werden. Dazu ist stets die IP-Adresse des konkreten Nutzers erforderlich. Wiederum bedarf der Einsatz von Cookies deshalb einer Aufklärung in der Datenschutzerklärung. Ein bloß pauschaler pauschale Hinweis auf Cookies ist dabei nicht ausreichend. Vielmehr sollte der datenschutzrelevante Vorgang beim Einsatz von Cookies kurz skizziert werden. Dazu möchte die Kanzlei Jöhnke & Reichow Rechtsanwälte Ihnen im Folgenden berichten:
Mit dem Inkrafttreten des neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zum 1. Dezember 2021 traten zeitgleich ein neues Telekommunikationsgesetz (TKG) und Änderungen des Telemediengesetzes (TMG) in Kraft. Im TTDSG wurden die wesentlichen Datenschutzvorschriften für Telekommunikations- und Telemediendienste gebündelt. Das TTDSG wirkt sich u.a. auf den sehr praxisrelevanten Einsatz von Cookies und ähnlichen Technologien beim Betrieb von Telemedien aus.
Mittels Cookies und ähnlicher Technologien können Informationen auf den Geräten der Nutzenden abgelegt, angereichert und verwaltet werden, die bei der Verwendung eindeutiger Kennungen eine Identifikation oder Zuordnung zu einer natürlichen Person zulassen. Diese Prozesse dienen in der Praxis häufig dazu, das individuelle Verhalten der Nutzenden nachzuverfolgen und gegebenenfalls Profile über eine Person zu bilden.
Unabhängig von der technischen Ausgestaltung oder den verfolgten Zwecken wird die Erhebung und weitere Verarbeitung dieser Informationen meist als ein einheitlicher Lebenssachverhalt wahrgenommen. Jedoch sind hier rechtlich zwei Schritte zu unterscheiden. Einerseits die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung und andererseits die Verarbeitung personenbezogener Daten, die oftmals mit dem Einsatz von Cookies und ähnlichen Technologien bezweckt wird. Die Rechtmäßigkeit dieser Verarbeitungen richtet sich nach den Anforderungen der Datenschutz-Grundverordnung (DS-GVO).
Das neue TTDSG regelt unter anderem den Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen, unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Daneben enthält das Gesetz besondere Vorschriften zu technischen und organisatorischen Vorkehrungen, die von Telemedienanbietern zu beachten sind. Auch Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten sind in dem Gesetz geregelt. Im Rahmen des neuen TTDSG nahm der Gesetzgeber die Gelegenheit wahr, die bisher nicht an die DS-GVO angepassten Datenschutzvorschriften des TKG und des TMG ebenfalls in den Blick zu nehmen und im neuen TTDSG zusammenzuführen. Ziel war es hierbei, beide Bereiche an die DS-GVO anzupassen.
Das TTDSG richtet sind neben den Anbietern von Telekommunikationsdiensten vor allem an Anbieter von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierunter fällt jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.
Alle Adressaten unterliegen gemäß § 1 Abs. 3 dem TTDSG, die im Geltungsbereich des Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.
Im Rahmen des neuen Gesetzes stellt § 25 TTDSG die zentrale Norm mit Bezug auf die hier zu betrachtenden Technologien dar. § 25 TTDSG dient dem Schutz der Privatsphäre und Vertraulichkeit bei der Nutzung von Endeinrichtungen. Endnutzer werden also davor geschützt, dass Dritte unbefugt auf deren Endeinrichtung Informationen speichern oder auslesen und dadurch ihre Privatsphäre verletzen.
§ 25 Abs. 1 Satz 1 TTDSG normiert den Grundsatz, dass die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer zulässig sind.
Endeinrichtungen werden in § 2 Abs. 2 Nr. 6 TTDSG legaldefiniert.
Gemäß § 25 Abs. 1 S. 1 TTDSG bedarf die Speicherung von Informationen in der Endeinrichtung oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, der Einwilligung der Endnutzer. Die Vorschrift ist diesbezüglich technikneutral formuliert, so dass alle Techniken und Verfahren erfasst werden, mittels derer das Speichern und Auslesen von Informationen erfolgen kann.
Dabei begründet § 25 Abs. 1 TTDSG im Unterschied zu den datenschutzrechtlichen Vorschriften ein Einwilligungserfordernis für das Speichern und/oder Auslesen von Informationen auf bzw. aus einem Endgerät unabhängig von einem Personenbezug der Informationen. Damit wird bereits durch den Wortlaut der Vorschrift deutlich gemacht, dass sie über den Anwendungsbereich der DS-GVO hinausgeht.
Das TTDSG enthält keine telekommunikations- oder telemedienspezifischen Vorgaben für die Einwilligung. § 25 Abs. 1 S. 2 TTDSG verweist sowohl bezüglich der Informationspflichten gegenüber den Endnutzern als auch der formalen und inhaltlichen Anforderungen an eine Einwilligung auf die DS-GVO. Damit ist die Definition nach Art. 4 Nr. 11 DS-GVO maßgeblich. Weitere Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 7 und Art. 8 DS-GVO. Letztlich sind für die Beurteilung der Wirksamkeit einer Einwilligung gemäß § 25 Abs. 1 S. 1 TTDSG dieselben Bewertungsmaßstäbe anzulegen, wie bei einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Gemäß Art. 4 Nr. 11 DS-GVO ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Im Wesentlichen ergeben sich aus diesen rechtlichen Vorgaben folgende Prüfungspunkte für die Beurteilung der Wirksamkeit einer Einwilligung im Rahmen von § 25 Abs. 1 TTDSG:
Kommt es zu einer Verarbeitung von personenbezogenen Daten (die z. B. unter Verwendung von Cookies und ähnlichen Technologien erhoben wurden) durch Anbieter von Telemedien, sind hierfür die allgemeinen Vorgaben der DS-GVO zu beachten. Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DS-GVO erfüllt ist.
Für die Verarbeitung personenbezogener Daten durch nicht-öffentliche Verantwortliche bei der Erbringung von Telemediendiensten kommt eine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DS-GVO in Betracht. Die formalen und inhaltlichen Anforderungen an eine wirksame Einwilligung ergeben sich sowohl für die telemedienspezifischen als auch die datenschutzrechtlich relevanten Prozesse aus Art. 4 Abs. 1 Nr. 11 i. V. m. Art. 7 und 8 DS-GVO.
Für die Beurteilung der Wirksamkeit einer Einwilligung sind daher grundsätzlich diejenigen Maßstäbe anzulegen, die bereits oben (siehe unter: “Welche Anforderungen werden an die Einwilligung gestellt?”) dargestellt wurden – mit der Maßgabe, dass die Einwilligung durch die betroffene Person zu erteilen ist und die zur Verfügung gestellten Informationen sich eindeutig auf Datenverarbeitungsprozesse (und nicht lediglich den technischen Einsatz von Cookies o. Ä.) beziehen müssen.
Ferner ist Art. 25 Abs. 2 DS-GVO zu beachten. Die Norm verlangt von dem datenschutzrechtlichen Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass durch datenschutzfreundliche Voreinstellungen nur personenbezogene Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Außerdem ist durch den datenschutzrechtlich Verantwortlichen technisch sicherzustellen, dass Verfahren zur Verfolgung von Nutzeraktivitäten, die datenschutzrechtlich einer Einwilligung bedürfen, erst dann zum Einsatz kommen, wenn die betroffene Person die Information über die geplante Datenverarbeitung inhaltlich erfasst und eine Entscheidung in Form einer expliziten Willensbetätigung darüber getroffen hat.
In der Praxis erfolgt die Abfrage einer Einwilligung regelmäßig dadurch, dass beim ersten Aufruf einer Webseite oder einer App ein Banner oder ähnliches grafisches Element mit Schaltflächen angezeigt wird. Über den Einsatz von Cookies und ähnlichen Technologien hinaus wird mit solchen Einwilligungsbannern jedoch meist auch eine Einwilligung für nachfolgende Datenverarbeitungsprozesse abgefragt. Dennoch ist nicht jeder Einsatz von Cookies oder das anschließende Tracking einwilligungsbedürftig, daher sollten entsprechende Einwilligungsbanner nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist. Andernfalls entsteht der missverständliche Eindruck, dass die betroffenen Personen eine Wahl haben, obwohl diese gar nicht besteht.
Setzen Webseiten- oder Appbetreiber solche Einwilligungsbanner für die Abfrage einer Einwilligung ein, sind insbesondere folgende Anforderungen zu beachten:
Die vollständige Orientierungshilfe der DSK vom 20. Dezember 2021 können Sie HIER nachlesen. Die vorgenannten Empfehlungen sind als unverbindlich zu verstehen, da rechtliche Änderungen im Informationstechnologierecht „Tagesordnung“ sind und ebenso im Datenschutzrecht sich rechtliche Auffassungen häufig verändern. Insbesondere sind Streitigkeiten im IT-Recht/Datenschutzrecht von Einzelfällen geprägt, so dass auch der Sachverhalt im Einzelnen fachanwaltlich überprüft werden sollte.
Nachfolgend können weitere Rechtsstreitigkeiten im Bereich des IT-Rechts/Datenschutzrecht nachgelesen werden: Datenschutz.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.