Datenschutzaufsichtsbehörden geben Praxishilfe für Cookie-Banner

Kurz vor dem Fest veröffentlichen die Datenschützer eine Orientierungshilfe für Anbieter von Telemediendiensten. Hauptsächlich geht es um die leidigen Cookies.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen

(Bild: Datenschutz-Stockfoto/Shutterstock.com)

Lesezeit: 7 Min.
Von
  • Tobias Haar
Inhaltsverzeichnis

Nur drei Wochen nach Inkrafttreten des „Gesetz[es] zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) hat die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz Datenschutzkonferenz (DSK), eine 33-seitige „Orientierungshilfe [...] für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ veröffentlicht. Sie ersetzt eine frühere Version einer Orientierungshilfe Telemedien aus dem Jahr 2019.

Die Bezeichnung Orientierungshilfe ist wörtlich zu nehmen. Für alle Betreiber von „Endeinrichtungen im Sinne von § 25 TTDSG“ ist sie ein wertvoller Ratgeber, wie die Neuregelungen im TTDSG in der Praxis umzusetzen sind. Mit ihnen legen sich die deutschen Datenschutzbehörden auch fest, welche Maßstäbe sie anwenden, wenn sie die Einhaltung der gesetzlichen Vorgaben überprüfen. Allerdings kommt letztlich nur den Gerichten die Aufgabe zu, die TTDSG-Vorgaben auszulegen. Dabei dürften sie sich allerdings an den Empfehlungen der DSK orientieren.

Einen weiteren Vorbehalt machen die obersten Datenschützer in ihrer Einführung selbst: „Die vorliegende Orientierungshilfe steht unter dem ausdrücklichen Vorbehalt eines zukünftigen – möglicherweise abweichenden – Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA), durch maßgebliche europäische Rechtsprechung sowie Änderungen des europäischen Rechtsrahmens.“ Das Thema „Cookie-Banner & Co.“ bleibt also auch weiterhin im Fokus und im Detail können sich auch zukünftig Änderungen in der Auffassung der Datenschutzbehörden ergeben.

Der Schwerpunkt der Orientierungshilfe liegt auf dem Schutz der Privatsphäre in Endeinrichtungen gemäß § 25 TTDSG. „Endeinrichtung“ meint nach § 2 Abs. 2 Nr. 6 TTDSG jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.

Diese Vorschrift wird zu Recht als „die zentrale Norm des TTDSG“ bezeichnet. „Die Vorschrift ist diesbezüglich technikneutral formuliert, sodass alle Techniken und Verfahren erfasst werden, mittels derer das Speichern und Auslesen von Informationen erfolgen kann.“ Das bedeutet zum einen, dass es nicht ausschließlich um personenbezogene Daten und damit den Datenschutz im engeren Sinne geht, sondern vielmehr alle Informationen unter die Regelung fallen, die auf einem Endgerät gespeichert werden oder auf die dort zugegriffen wird.

Zum anderen stellt dies klar, dass § 25 TTDSG nicht nur auf Cookies Anwendung findet. Erfasst werden danach auch Web-Storage-Objekte, automatische Update-Funktionen, „Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation“ sowie das Auslesen der MAC-Adresse et cetera.

Keine Einwilligung der Nutzer ist nach der Orientierungshilfe bei der Nutzung von Internetbrowsern erforderlich für die öffentliche IP-Adresse der Endeinrichtung, die Adresse der aufgerufenen Website (URL), den User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache. Das Auslesen der Eigenschaften eines Endgeräts oder die Erstellung eines Fingerprints sind aber bereits einwilligungspflichtig.

Die DSK stellt zudem klar, dass sogenannte Cookie-Banner nur dann geeignet sind, mehrere Einwilligungen miteinander zu kombinieren, wenn über sämtliche Zwecke einer Datenverarbeitung informiert wird. Sollen durch etwa Cookies erhobene Informationen anschließend weiterverarbeitet werden dürfen, muss die Einwilligung unbedingt auch diese „Folgeverarbeitungen“ umfassen.

Die Anforderungen an eine Einwilligung zur Informationsverarbeitung nach § 25 TTDSG listet die DSK wie folgt auf: “Einwilligung der Endnutzer:innen des Endgeräts, Zeitpunkt der Einwilligung, Informiertheit der Einwilligung, unmissverständliche und eindeutig bestätigende Handlung, bezogen auf den bestimmten Fall, Freiwilligkeit der Willensbekundung, Möglichkeit zum Widerruf der Einwilligung, die ebenso einfach sein muss wie die Erteilung“. Einen besonderen Schwerpunkt legt die DSK dabei auf Detailfragen, wie der Nutzer wirksam einzuwilligen hat. Es muss ein aktives Handeln vorliegen, Stillschweigen genügt nicht. Dies gilt gleichermaßen für das bloße Herunterscrollen oder Surfen auf einer Webseite sowie das Anklicken von Inhalten.

Bei der Prüfung von Einwilligungen anhand des TTDSG kommt es laut DSK darauf an, „wie die Schaltflächen für die Abgabe der Einwilligung und weitere Handlungsoptionen beschriftet und gestaltet sind und welche Zusatzinformationen zur Verfügung gestellt werden“. Konsequent in diesem Zusammenhang ist die Aussage „Darüber hinaus dürfen Endnutzer:innen berechtigterweise die Erwartung haben, dass sie einfach untätig bleiben können, wenn sie nicht einwilligen möchten“.

Kritisch bewertet die DSK Fälle, in denen dem Nutzer zwei Handlungsmöglichkeiten angeboten werden. Als veranschaulichendes Beispiel wird der häufig anzutreffende Fall beschrieben, dass dem Nutzer eine Schaltfläche „Alles Akzeptieren“ und zusätzlich Optionen wie „Einstellungen“, „Weitere Informationen“ oder „Details“ angeboten werden. Dies wird von der DSK als nicht rechtskonform angesehen, da der „Kommunikationseffekt“ der beiden Optionen nicht gleichwertig ist.

Auch der Freiwilligkeit einer Einwilligung kommt große Bedeutung zu. Diese ist nur gegeben, wenn auf den Nutzer kein Zwang ausgeübt wird. „Es ist davon auszugehen, dass ein solcher Zwang besteht, wenn ein Banner oder sonstiges grafisches Element zur Einwilligungsabfrage den Zugriff auf die Webseite insgesamt oder Teile des Inhalts verdeckt und das Banner nicht einfach ohne Entscheidung geschlossen werden kann.“

Die DSK nimmt auch zur Nutzung von Consent-Management-Plattformen Stellung: „Die Betreiber:innen von Webseiten haben zahlreiche Konfigurationsmöglichkeiten, sodass allein durch den Einsatz der CMP keineswegs automatisch rechtskonforme Einwilligungen eingeholt werden. Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes.”

Die Orientierungshilfe geht des Weiteren auf die Ausnahmen vom Erfordernis einer Nutzereinwilligung ein, wie sie etwa beim „Zurverfügungstellen eines Telemediendienstes“ gegeben ist. Ob ein Telemediendienst ausdrücklich vom Nutzer gewünscht wird, kann danach nur anhand „einer inneren, persönlichen Einstellung“ festgestellt werden. Strenge Maßstäbe gelten auch für das Erfordernis „unbedingt erforderlich“.

Erforderlich in diesem Sinne kann ausschließlich sein, was sich auf die „Funktionalität des Telemediendienstes“ bezieht. Die aus Sicht der DSK maßgeblichen Kriterien für das Bestimmen, ob dieses beiden Voraussetzungen im Einzelfall eingehalten werden, werden in der Orientierungshilfe in Form einer Checkliste zusammengefasst.

Die DSK äußert sich in der Orientierungshilfe auch zum Verhältnis zwischen TTDSG und DSGVO: „§ 25 TTDSG dient – anders als die Vorschriften der DS-GVO – dem Schutz der Privatsphäre und Vertraulichkeit bei der Nutzung von Endeinrichtungen“. Für die anschließende Verarbeitung über solche Endeinrichtungen gewonnener personenbezogener Daten gelten dann wiederum die Regelungen der DSGVO. Das ist letztlich konsequent, da das TTDSG alle „Informationen unabhängig vom Personenbezug“ erfasst und damit weitreichender ist als die DSGVO.

Sobald Webseitenbetreiber nicht bloß technisch erforderliche Cookies setzen oder anderweitig Informationen von Endgeräten eines Endnutzers abgreifen, gilt seit Kurzem § 25 TTDSG. Die Vorgaben für Cookies, das Abrufen von MAC-Adressen und letztlich aller Informationen des Endgeräts eines Nutzers stehen unter neuen rechtlichen Vorgaben. Wie diese auszulegen sind, haben die obersten Datenschützer in einer Orientierungshilfe beschrieben. Wer diese beachtet, sollte vor rechtlicher Unbill an dieser Stelle geschützt sein.

Dass es sich um teils überraschend strenge Vorgaben handelt, wird spätestens beim Lesen der Orientierungshilfe schnell deutlich. Eines ist klar: Die von den meisten Internetnutzern als lästig empfundenen Cookie-Banner werden so schnell nicht verschwinden. Im Gegenteil: Die Vorgaben wurden nun präzisiert, was wiederum eine Grundlage für Abmahnungen, Untersagungsverfügungen und dergleichen bildet.

(ur)