Nach der Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie in § 25 des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) veröffentlichte die Datenschutzkonferenz (DSK) eine Orientierungshilfe dieser Regelung für die Betreiber[1] von Webseiten, Apps und Smarthome-Anwendungen. Nachfolgend wird auf die wichtigsten Punkte eingegangen, um einen möglichst kurzen Überblick über die Hilfestellung zu erhalten:
Die Anforderungen an den Schutz der Privatsphäre und die Vertraulichkeit der personenbezogenen Daten der Telemediennutzer sind strenger geworden. Daher ist Telemedienanbietern dringend zu empfehlen, ihre Apps, Webseiten, etc. umfassend auf ihre Aktualität der Rechtmäßigkeit zu prüfen. Insbesondere wirkt sich die neue Bestimmung auf die Verwendung von Cookies und ähnliche Technologien aus.
Anwendungsbereich
Das TTDSG regelt den Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen. Hervorzuheben ist, dass im Gegensatz zur DS-GVO kein Personenbezug erforderlich ist. Die Bestimmungen des TTDSG gelten als Detaillierung und Ergänzung der DS-GVO und damit als vorrangig, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Bei der nachfolgenden Verarbeitung personenbezogener Daten ist jedoch wiederum die DS-GVO maßgeblich.
Einwilligungsbedürftigkeit
Grundsätzlich gilt, dass eine Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf bereits in der Endeinrichtung gespeicherte Informationen nur mit der Einwilligung der Endnutzer vorgenommen werden darf. In lediglich zwei Fällen ist eine Einwilligung nicht erforderlich.
Als Endeinrichtung sind gemäß der Legaldefinition in § 2 Abs. 2 Nr. 6 TTDSG auch Gegenstände, die inzwischen kabelgebunden oder über WLAN-Router an das öffentliche Kommunikationsnetz angeschlossen sind, also auch das Internet of Things, wie z.B. Smarthome-Anwendungen (Küchengeräte, Smart-TVs, etc.), zu verstehen.
Im Hinblick auf die Informationspflichten gegenüber den Endnutzern verweist § 25 Abs. 1 S. 2 TTDSG auf die Anforderungen an eine Einwilligung der DS-GVO. Eine subjektive Betroffenheit ist jedoch nicht erforderlich, sondern nur die Einwilligung der Person, die objektiv die Endeinrichtung nutzt. Daher kommt es beispielsweise auf Eigentumsverhältnisse nicht an.
Die Einwilligung hat stehts vor dem Zugriff auf die Endeinrichtung zu erfolgen und bedarf zu ihrer Wirksamkeit der umfassenden Informiertheit der Nutzer. Die Speicher- und Ausleseaktivität muss für den Nutzer transparent und nachvollziehbar sein. Das bedeutet, dass er Kenntnis darüber erlangen muss, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck dies geschieht, welche Funktionsdauer die Cookies oder ähnliche Technologien haben und ob Dritte darauf Zugriff erlangen können.
Erforderlich ist, dass die Endnutzer eine aktive Handlung setzen, mit der sie zu verstehen geben, dass sie mit dem Zugriff auf und dem Abruf von Informationen ausdrücklich einverstanden ist. Nicht ausreichend sind dabei bereits angekreuzte Kästchen, Untätigkeit oder die einfache Nutzung der Webseite, beispielsweise durch weitersurfen oder scrollen.
Darüber hinaus muss eine Ablehnung ohne Mehraufwand an Klicks möglich sein, sohin muss dem Nutzenden eine gleichwertige Handlungsmöglichkeit geboten werden, die Einwilligung zu erteilen oder sie abzulehnen. Andernfalls liegt keine wirksame Einwilligung vor.
Dieses Erfordernis ist eng verknüpft mit der Freiwilligkeit der Einwilligung, das heißt die betroffene Person darf sich nicht zur Einwilligung gedrängt fühlen oder negative Auswirkungen befürchten, wenn sie nicht einwilligt. Zusätzlich muss der Widerruf einer Einwilligung ebenso einfach und durch denselben Weg möglich sein, wie die Erteilung.
Ausnahmen von der Einwilligungsbedürftigkeit bestehen nach § 25 Abs. 2 TTDSG in zwei Fällen. Eine Ausnahme liegt vor, wenn der alleinige Zweck der Speicherung oder des Zugriffs die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist. Die zweite Ausnahme betrifft die Zulässigkeit der Speicherung oder den Zugriff auf Informationen, wenn diese unbedingt erforderlich ist, damit dem Nutzer den ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Die Orientierungshilfe der DSK zeigt, dass diese Regelung sehr eng auszulegen ist. Als Beispiel wird angeführt, dass ein Webshop erst dann von einem Wunsch des Nutzers ausgehen kann, wenn er tatsächlich ein Produkt in den Warenkorb legt oder eine Zahlfunktion auswählt. Weitere maßgebliche Abgrenzungskriterien sind in der Orientierungshilfe der DSK nachzulesen.
Rechtmäßigkeit der Verarbeitung nach der DS-GVO und Drittlandbezug
Schließlich ist zu beachten, dass bei der Verarbeitung personenbezogener Daten unter Verwendung von Cookies oder ähnlicher Technologien („Tracking“) eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO erforderlich ist. Regelmäßig wird dies nur mittels Einwilligung nach Art. 6 Abs. 1 DS-GVO möglich sein. Eine Bündelung zusammen mit der Einwilligung nach § 25 Abs. 1 TTDSG ist grundsätzlich möglich, wobei der Nutzer sodann über beide Rechtsgrundlagen separat zu informieren ist und erkennbar sein muss, dass er mehrere Einwilligungen erteilt.
Die Bestimmungen gelten nur für die Verarbeitung von Daten innerhalb des Europäischen Wirtschaftsraums. Eine Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO ist grundsätzlich nicht möglich. Eine Übermittlung personenbezogener Daten an Drittländer ist daher unzulässig, es sei denn, es liegt ein Angemessenheitsbeschluss der Europäischen Kommission vor. Andere geeignete Garantien, wie z.B. Standardschutzklauseln dürften regelmäßig nicht ausreichend sein. Es ist daher insbesondere bei der Einbindung von Dritt-Inhalten große Vorsicht geboten.
Fazit
Die ePrivacy-RL zeigt, dass Telemedienanbieter weitere Sicherheitsvorkehrungen für die rechtmäßige Verwendung von Cookies oder ähnlicher Technologien treffen müssen. Ein einfacher Mausklick auf einen „Alles akzeptieren“-Button wird zukünftig nicht mehr möglich sein. Ebenso die Anforderung der Gleichwertigkeit der Handlungsmöglichkeiten beim Akzeptieren oder Ablehnen von Cookies werden viele Telemedienanbieter anpassen müssen. Die Orientierungshilfe der DSK ist insbesondere für ihre Adressaten eine große Unterstützung bei der Umsetzung dieser neuen rechtlichen Anforderungen. Sollten Sie noch weitere Fragen zu diesem Thema haben oder bei der Ausgestaltung Ihrer Telemedien mit Cookies oder ähnlicher Technologien rechtlichen Beistand benötigen, kontaktieren Sie mich gerne!
mitgeteilt von
Karsten Klug
Rechtsanwalt und
Fachanwalt für Arbeitsrecht
Externer Datenschutzbeauftragter (TÜV)
[1] Aus Gründen der Lesbarkeit von Personenbezeichnungen & personenbezogenen Wörtern wird die männliche Form genutzt. Diese Begriffe gelten für alle Geschlechter.