Direkt zum Inhalt wechseln

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz DSK, hat im Dezember 2022 die Orientierungshilfe für Anbieter:innen von Telemedien (nachfolgend „OH Telemedien“) aktualisiert. Der vorliegende Beitrag gibt einen Überblick zu ausgewählten Neuerungen, die besondere Praxisrelevanz aufweisen.

I.           Überblick

Im Anschluss an die Veröffentlichung der Ursprungsversion der OH Telemedien im Dezember 2021 hat die DSK ein Konsultationsverfahren eröffnet und Vertreter:innen aus Politik, Wirtschaft, Wissenschaft, Gesellschaft und Verwaltung die Gelegenheit gegeben, Stellung zu nehmen. Auf dieser Grundlage wurde die überarbeitete Version der OH Telemedien erstellt. Der anschließend veröffentlichte Konsultationsbericht (nachfolgend „KonsF.“) greift drei Themen heraus, deren besondere Bedeutung im Konsultationsverfahren offenbar wurde:

 

  • Vom Nutzer ausdrücklich gewünschter Telemediendienst – Differenzierung Basis- und Zusatzfunktionen
  • Tatbestandsmerkmal „unbedingt erforderlich“
  • Ablehnbutton auf erster Ebene

II.         Ausgewählte Neuerungen der OH Telemedien

1.          Ausdrücklich gewünschter Telemediendienst

Die Frage, wann ein Telemediendienst von Nutzenden ausdrücklich gewünscht (§ 25 Abs. 2 Nr. 2 TTDSG) ist, so dass eine Ausnahme von der grundsätzlichen Einwilligungspflicht aus § 25 Abs. 1 S. 1 TTDSG für das Speichern oder Auslesen von Informationen in der Endeinrichtung des Endnutzers angenommen werden kann, wurde und wird viel diskutiert und daher von der DSK weitergehend adressiert. In einer neu eingefügten Fußnote in Kapitel 3. b) aa. wird für die Frage, was ein ausdrücklicher gewünschter Telemediendienst bei vernetzten Fahrzeugen oder Smarthome-Geräten ist, an eine vergleichbare Handlung zum Aufruf einer Website unter Verweis auf die Leitlinien der EDSA zu vernetzten Fahrzeuge und virtuellen Sprachassistenten angeknüpft. Darin heißt es unter anderem:

Sofern die oben genannten Kriterien erfüllt sind, sollten das vernetzte Fahrzeug und das damit verbundene Gerät als „Endeinrichtung“ betrachtet werden (genau wie ein Computer, ein Smartphone oder ein Smart-TV) und gegebenenfalls die Bestimmungen des Artikels 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation gelten (EDSA, Leitlinien 01/2020 zur Verarbeitung pbD im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen, Version 2.0, Rn. 13).

Dagegen wäre eine Einwilligung nach Artikel 5 Absatz 3 der ePrivacy-Richtlinie erforderlich, um Informationen für andere Zwecke als für die Erledigung von Nutzeranfragen (z. B. zur Erstellung eines Nutzerprofils) zu speichern oder Zugriff darauf zu erhalten (EDSA, Leitlinien 02/2021 zu virtuellen Sprachassistenten Version 2.0, Rn. 29).

Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation (der ePrivacy-RL) wurde nunmehr von § 25 TTDSG abgelöst, die Ausführungen der EDSA aber aufgrund des weitergehend gleichen Wortlautes entsprechend anwendbar. An vertieften Ausführungen, was bei vernetzten Fahrzeugen oder Smarthome-Geräten eine vergleichbare Handlung zum Aufruf einer Website sein soll, fehlt es in er OH Telemedien. In einem neu eingefügten Absatz wird jedoch für Telemediendienste auf Grundlage eines zuvor geschlossenen Vertrages festgestellt, dass die Vertragsdokumentation zur Bestimmung des Nutzerwunsches herangezogen werden können (OH Telemedien, Rn. 69).

Ein weiterer neuer Absatz unterstreicht die Unterscheidung zwischen Basisdienst und Zusatzfunktionen als Maßstab der Aufsichtsbehörden bei der Prüfung, ob ein Dienst als ausdrücklich gewünscht einzustufen ist (OH Telemedien, Rn. 75), ohne neue Anhaltspunkte für die Prüfung zu liefern. Es bleibt insofern bei den Ausführungen der Vorversion der OH Telemedien. Der Auswertungsbericht des AK Medien zum Konsultationsverfahren führt dazu aus, dass Mindestvoraussetzung eines ausdrücklichen Wunsches des Nutzers immer dessen Kenntnis sei, dass eine bestimmte Funktion in einem Telemediendienst integriert ist. Diese Kenntnis könne erst dann unterstellt werden, wenn eine konkrete Funktion vom Nutzer des Telemediendienstes wahrgenommen wird ( KonsF., S. 21). Das Abgrenzungskriterium der Wahrnehmbarkeit einer Funktion bei der Unterteilung von Diensten in Basisdienst und Zusatzfunktion kann damit ein praxisrelevantes Kriterium bei der Prüfung des Bestehens einer Ausnahme von der Einwilligungspflicht nach § 25 Abs. 1 S. 1 TTDSG sein.

2.         Tatbestandsmerkmal „unbedingt erforderlich“

Neu eingefügt wurde in Absatz 3. b) bb. eine Passage, welche erläutert, dass Cookies als „unbedingt erforderlich eingeordnet werden können“, wenn es sich um „nutzerorientierte Sicherheitscookies“ handelt. Die DSK führt damit die enge Auslegung des § 25 Abs. 2 Nr. 2 TTDSG fort. Beispielhaft werden Cookies genannt, die wiederholt fehlgeschlagene Anmeldeversuche auf einer Webseite entdecken. „Unbedingt erforderlich“ sollen auch andere Mechanismen sein, die die Login-Systeme vor Missbrauch schützen. Ausgenommen seien solche Cookies, die der Sicherheit von Webseiten oder Diensten Dritter dienen, die nicht ausdrücklich vom Nutzer angefordert wurden (OH Telemedien, Rn. 81).

Im Auswertungsbericht des AK Medien zum Konsultationsverfahren führt die DSK diesbezüglich aus, dass sich die wesentlichen Ausnahmen vom Einwilligungserfordernis in der Vorgängernorm des § 25 TTDSG, dem bereits erwähnten Art. 5 Abs. 3 ePrivacy-RL, und in Erwägungsgrund 66 der ePrivacy-RL finden ( KonsF., S. 28): Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Rechtsanwender:innen sind daher angehalten, im Rahmen der Prüfung der „unbedingten Erforderlichkeit“ von Cookies und anderen Anwendungen, die strenge Auslegung der DSK (im Zweifel eine Einwilligung einzuholen) im Blick zu behalten.

3.         Ablehnbutton auf erster Ebene

Die überarbeitete Version der OH Telemedien versieht den Begriff der „Akteure“ in einer neuen Fußnote mit einer Definition (OH Telemedien, Rn. 37):

Der Begriff „Akteure“ bezieht sich im Kontext des TTDSG auf diejenigen, die Zugriff auf die Informationen der Endeinrichtung nehmen und diejenigen, die Informationen in der Endeinrichtung speichern. Dies sind im Regelfall der Webseitenbetreiber und gegebenenfalls Dritte, die ebenfalls Zugriff haben, beispielsweise Anbieter der eingesetzten Dienste. Sofern ein Zugriff auf die Endeinrichtung durch einen Drittdienstleister erfolgt, ist dieser daher als Akteur zu nennen, unabhängig davon, ob er eine nachfolgende Verarbeitung in eigener Verantwortung vornimmt oder ob er diese als Auftragsverarbeiter durchführt. Im Hinblick auf die DS-GVO wird hierfür auf die EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, Rn. 65 verwiesen.

Der gänzlich neu eingefügte Abschnitt V. zur Gestaltung von Einwilligungsbannern (OH Telemedien, Rn. 113 ff.) bezieht diese „Akteure“ und deren Funktion in die Pflichtinformationen eines Einwilligungsbanners mit ein. Diese müssen erklärt und über ein Auswahlmenü aktiviert werden können. Dabei wird der layered approach (wie bereits in OH Telemedien,Rn. 36) für statthaft erklärt, jedoch sogleich definiert, welche Informationen auf erster Ebene erforderlich sind:

  • Konkrete Zwecke der Verarbeitung
  • Wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden
  • Wenn Daten außerhalb des EWR verarbeitet werden
  • An wie viele Verantwortliche die Daten offengelegt werden

Besonderes Augenmerk legt die DSK auf Ausführungen zu notwendigen Informationen für die Informiertheit der Einwilligung in die Profilbildung zu Werbezwecken (OH Telemedien, Rn. 118). Auch wird neuerlich klargestellt, dass einwilligungsbedürftige Datenverarbeitungen erst nach Abgabe der Einwilligung stattfinden dürfen (OH Telemedien, Rn. 119).

Weiterhin führt die DSK aus, dass eine Ablehnfunktion auf erster Ebene nicht generell, sondern nur dann erforderlich sei, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen (OH Telemedien, Rn. 122). Wenn die Einwilligung erst auf einer anderen Ebene erteilt werden könne, sei auch eine Ablehnfunktion auf erster Ebene nicht erforderlich (OH Telemedien, Rn. 123). Nudging hält die DSK in den sich aus Art. 4 Nr. 11 und Art. 7 DSGVO ergebenden Grenzen einer wirksamen Einwilligung grundsätzlich für zulässig:

Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist (Rn. 125).

Zur Erfüllung des Merkmals der Freiwilligkeit sei es aber erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich sei (OH Telemedien, Rn. 122). Letztlich sei eine Einzelfallbetrachtung erforderlich, für die auf die „Guidelines 3/2022 on Dark patterns in social media plattform interfaces: How to recognize and avoid them“ verwiesen wird (OH Telemedien, Rn. 131). Entscheidend für die Ablehnoption sei, dass diese durch optische und sprachliche Gestaltung als gleichwertige Alternative zur Einwilligung wahrgenommen werden könne (OH Telemedien, Rn. 134). Als Negativbeispiel wird “Einstellungen oder Ablehnen“ genannt (OH Telemedien, Rn. 135).

Insbesondere den Aussagen der DSK zur optischen und sprachlichen Gestaltung von Einwilligungsbannern sind besondere Aufmerksamkeit zu schenken und bei der Gestaltung von Webseiten zu berücksichtigen.

III.        Weitere wesentliche Aussagen

Weitere wesentliche Aussagen der OH Telemedien, die teilweise bereits in der Ursprungsversion getroffen wurden (die Randnummern beziehen sich auf die aktualisierte Version von Dezember 2022):

  • „Zugriff“ i.S.d. § 25 Abs. 1 S. 1 TTDSG setzt gezielte und nicht durch den Nutzer veranlasste Übermittlung der Browser-Informationen voraus. Werden ausschließlich Informationen verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen übermittelt werden, ist dies nicht als Zugriff zu werten. Beispiele: IP-Adresse, URL, User-Agent-String mit Browser- und Betriebssystem-Version und eingestellte Sprache. (Rn. 21)
  • Gegenbeispiel: Auslesen mittels JavaScript zur Erstellung von Fingerprints (Rn. 22)
  • Bündelung von Einwilligungen nach TTDSG und DSGVO zulässig; beide Zwecke müssen klar aus der Einwilligungserklärung hervorgehen (Rn. 27)
  • Transparenzpflichten bei einwilligungsfreien Cookies? – weiterhin unklar, ob § 25 Abs. 1 S. 1 TTDSG auch für § 25 Abs. 2 TTDSG gilt (Rn. 28, vgl. auch S. 24 Ausw. KonsF.)
  • Einwilligung muss vom tatsächlichen Nutzer kommen (Rn. 33)
  • Weitersurfen ist keine aktive Handlung (Rn. 43)
  • keine vagen oder allgemeinen Angaben wie „Verbesserung der Erfahrungen des Nutzers“, Werbezwecke, „IT- Sicherheitszwecke“ oder „zukünftige Forschung“ (Rn. 49)
  • Cookie-Banner darf Webseite nicht verdecken, wenn dieser nicht ohne Entscheidung geschlossen werden kann (Rn. 54)
  • Widerruf soll über Direktlink, Icon o.ä. möglich sein; (nur) in diesem Fall Verortung in DSI möglich (Rn. 60)
  • Kein Verfall der Einwilligung durch Zeitablauf – wenn sich aber der Sachverhalt ändert, muss neue Einwilligung eingeholt werden (Rn. 61)
  • Ob A/B-Tests als Basisdienste einzustufen sind, bleibt unklar, aber wohl vertretbar (Rn. 75)
  • Nachweisführung über Prozessdokumentation und Cookie ohne UID (Rn. 82), auch „überholte Bannertexte“ sollen gespeichert werden (Rn. 83)
  • Wechselwirkung zwischen TTDSG und DSGVO; Verarbeitung nur rechtmäßig, wenn Cookies rechtskonform gesetzt wurden (Rn. 96)
  • Drittstaatentransfers sind grds. nicht über Art. 49 Abs. 1 lit. a DSGVO möglich (Rn. 112)

IV.       Fazit

Die neue Version der OH Telemedien adressiert Eingaben und Bedenken aus der Praxis, die im Einzelfall insbesondere Auswirkungen auf die Beurteilung der Einholung und Gestaltung von Einwilligungen nach TTDSG und DSGVO haben können. Die DSK beschränkt sich dabei im Wesentlichen auf eine Präzisierung bereits zuvor eingenommener Positionen, die Rechtsanwender:innen künftig in ihre Überlegungen einzubeziehen haben und die gestalterischen Grauzone verkleinern. Hervorzuheben bleibt in diesem Zusammenhang die Rechtsnatur der OH. Es handelt sich nicht um eine norminterpretierende Richtlinie und führt nicht zu einer Selbstbindung der einzelnen Aufsichtsbehörden, da es sich bei der DSK um eine nicht-institutionalisierte Form der freiwilligen Zusammenarbeit zwischen Bund und Ländern. Dennoch sei davon auszugehen, dass die von den deutschen Aufsichtsbehörden in einer Orientierungshilfe dargelegte Auslegung datenschutzrechtlicher Normen in Kontrollverfahren in den weit überwiegenden Fällen einheitlich angewandt wird (S. 6, Ausw. KonsF.). Damit stellt die DSK klar, dass die in der OH zum Ausdruck kommenden Rechtsauffassungen eben dieses sind und keine rechtsverbindlichen Vorgaben.