Kurz vor Weih­nach­ten hat die Daten­schutz­kon­fe­renz noch ein beson­de­res Geschenk dage­las­sen: Die neue Ori­en­tie­rungs­hil­fe zu Cookie-Bannern. Wir haben zusam­men­ge­fasst, wie Cookie-Banner nach Ansicht der Auf­sichts­be­hör­den zukünf­tig aus­ge­stal­tet sein sol­len.

Obwohl der Selbst-Check wohl auch für »ambi­tio­nier­te Lai­en« ein­setz­bar ist, wird die Prü­fung in der Pra­xis wohl kaum ohne die fach­li­che Unter­stüt­zung der IT-Sicherheitsfachkräfte und des Daten­schutz­be­auf­trag­te durch­führ­bar sein.” – Mat­thi­as Her­kert

Genau­er gesagt nennt sich das 33-seitige Werk der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den
des Bun­des und der Län­der (= DSK oder Daten­schutz­kon­fe­renz) Ori­en­tie­rungs­hil­fe für Anbieter:innen von Tele­me­di­en (Hier geht’s zur OH). Die Bezug­nah­me erfolgt dem­nach auf das Telekommunikation-Telemedien-Datenschutz-Gesetz (= TTDSG), wel­ches am 01.12.2021 in Kraft getre­ten ist und unter ande­rem Rege­lun­gen zum Umgang mit Coo­kies ent­hält. Wir haben dar­über berich­tet (Hier geht’s zum Arti­kel). Nun war bereits vor Inkraft­tre­ten klar, dass kei­ne ande­re Rege­lung sol­che Ver­än­de­run­gen mit sich brin­gen wird als § 25 TTDSG, der Rege­lung zur Ein­wil­li­gungs­pflicht bei der Nut­zung von Coo­kies und ande­rer ähn­li­cher Tech­no­lo­gien. Die­sem The­ma wid­met sich nun die OH und stellt Anfor­de­run­gen an die zuläs­si­ge Nut­zung der Tech­no­lo­gien zusam­men.

Bün­de­lung von Ein­wil­li­gun­gen
Das TTDSG und die DSGVO haben unter­schied­li­che Schutz­zwe­cke. Wäh­rend das TTDSG den Schutz der Pri­vat­sphä­re bei der Nut­zung von End­ein­rich­tun­gen bezweckt, unab­hän­gig davon, ob ein Per­so­nen­be­zug vor­liegt oder nicht, ist die DSGVO dar­auf gerich­tet, das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung zu schüt­zen, d.h. das Recht, selbst zu bestim­men wel­che per­so­nen­be­zo­ge­nen Infor­ma­tio­nen ver­ar­bei­tet wer­den und wel­che nicht. Der Per­so­nen­be­zug ist immer Vor­aus­set­zung.

Nun ist es typisch für Coo­kies und ähn­li­che Tech­no­lo­gien, dass sie auf End­ein­rich­tun­gen von Nut­zen­den Daten sam­meln, die im Wei­te­ren die Ver­ar­bei­tung des Per­so­nen­be­zugs zum Zweck haben. Für das Spei­chern und Aus­le­sen von Infor­ma­tio­nen auf dem End­ge­rät ist hier­bei eine Ein­wil­li­gung nach TTDSG erfor­der­lich. Für die nach­fol­gen­den Ver­ar­bei­tun­gen der Per­so­nen­da­ten, die erst durch das Aus­le­sen mög­lich wer­den, bedarf es einer Ein­wil­li­gung nach der DSGVO. Es sind somit zwei Ein­wil­li­gun­gen vom Nut­zen­den ein­zu­ho­len.

Müs­sen Cookie-Banner nun Ein­wil­li­gun­gen nach der DSGVO und dem TTDSG abfra­gen?
Die DSK ver­tritt in Ihrer OH die Ansicht, dass die­se bei­den Ein­wil­li­gun­gen gebün­delt ange­fragt wer­den kön­nen. Sie kön­nen über eine bestä­ti­gen­de Hand­lung der betrof­fe­nen Per­son über das Cookie-Banner ein­ge­holt wer­den. Vor­aus­set­zung für eine zuläs­si­ge Bün­de­lung ist, dass Nut­zen­de bei Betä­ti­gung einer Hand­lung deut­lich dar­über infor­miert wor­den sind, dass tat­säch­lich zwei Ein­wil­li­gun­gen ein­ge­holt wer­den und für wel­che Zwe­cke die Ein­wil­li­gun­gen jeweils ste­hen.

Kei­ne gebün­del­te Ein­wil­li­gung liegt vor, wenn dar­um gebe­ten wird, eine Ein­wil­li­gung in den Ein­satz von Coo­kies zu ertei­len, ohne dass im Wort­laut der Ein­wil­li­gung auch die Fol­ge­ver­ar­bei­tun­gen ange­spro­chen wer­den.

Anfor­de­run­gen an die Ein­wil­li­gun­gen
Die Vor­ga­ben für die Ein­wil­li­gun­gen las­sen sich direkt dem TTDSG ent­neh­men. § 25 Abs. 1 S. 2 TTDSG ver­weist sowohl bezüg­lich der Infor­ma­ti­ons­pflich­ten gegen­über der End­nut­zen­den als auch der for­ma­len und inhalt­li­chen Anfor­de­run­gen an eine Ein­wil­li­gung auf die DSGVO. Maß­geb­lich ist somit die Defi­ni­ti­on nach Art. 4 Nr. 11 DSGVO.

Wel­che Anfor­de­run­gen sind an eine Ein­wil­li­gung nach TTDSG zu stel­len?
Eine wirk­sa­me Ein­wil­li­gung setzt u.a. vor­aus, dass sie den Nut­zen­den zuvor hin­rei­chend infor­miert. Der Inhalt der Infor­ma­tio­nen ergibt sich – anders als in Art. 13 DSGVO gere­gelt — nicht aus dem TTDSG. § 25 Abs. 2 TTDSG ist daher im Kon­text zum „Planet49“-Urteil des EuGH vom 01.10.2019 (C‑673/17) zu lesen. Dar­aus ergibt sich, dass eine Ein­wil­li­gung in infor­mier­ter Wei­se ein­ge­holt wird, wenn Nut­zen­de u. a. Kennt­nis dar­über erhal­ten, wer auf die jewei­li­ge End­ein­rich­tung zugreift, in wel­cher Form und zu wel­chem Zweck, wel­che Funk­ti­ons­dau­er die Coo­kies haben und ob Drit­te Zugriff dar­auf erlan­gen kön­nen. Es ist über Fol­ge­ver­ar­bei­tun­gen nebst deren Zwe­cken zu infor­mie­ren, als auch über die Tat­sa­che, dass ein jeder­zei­ti­ger Wider­ruf mög­lich ist.

Beson­ders inter­es­sant sind in der OH die Aus­füh­run­gen zur unmiss­ver­ständ­li­chen und ein­deu­tig bestä­ti­gen­den Hand­lung der Nut­zen­den zur Abga­be einer Ein­wil­li­gung. Allein an die­ser Stel­le sei allen Webseiten-Betreibern mit Cookie-Bannern ange­ra­ten, sich die Ein­stel­lun­gen des Ban­ners noch ein­mal gut anzu­se­hen. Erfah­rungs­ge­mäß erfüllt eine über­wäl­ti­gen­de Mehr­heit aller Ban­ner die Anfor­de­run­gen nicht. Dabei sind die Anfor­de­run­gen nicht ein­mal über­ra­schend oder neu, sie haben sich in der Ver­gan­gen­heit bereits ange­kün­digt, u.a. auch über das oben erwähn­te „Planet49“-Urteil.

Fol­gen­de Pra­xis erkennt die DSK nicht mehr als unmiss­ver­ständ­li­che und ein­deu­tig bestä­ti­gen­de Hand­lung der Nut­zen­den und damit eine zuläs­si­ge Ein­wil­li­gung an:

  • Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der Nut­zen­den als Ein­wil­li­gung wer­ten.
  • Hand­lun­gen der Nut­zen­den wie das Her­un­ter­scrol­len, das Sur­fen durch Web­sei­ten­in­hal­te, das Ankli­cken von Inhal­ten oder ähn­li­che Aktio­nen als Ein­wil­li­gung wer­ten.
  • Schalt­flä­chen mit der Beschrif­tung „Okay“, „Zustim­men“, „Ich wil­li­ge ein“ oder „Akzep­tie­ren“ kön­nen im Ein­zel­fall nicht aus­rei­chend sein. Schalt­flä­chen müs­sen ihren wah­ren Wil­len unmit­tel­bar zum Aus­druck brin­gen oder ein­deu­tig erken­nen las­sen, wie der wah­re Wil­le zum Aus­druck gebracht wer­den kann.
  • Eine im Ein­wil­li­gungs­ban­ner inte­grier­te Detail­an­sicht, um dar­über zu sehen, wel­che Vor­ein­stel­lun­gen im Fal­le eines Klicks auf „Akzep­tie­ren“ gesetzt sind und dar­aus abzu­lei­ten, wor­auf sich die Ein­wil­li­gung letzt­lich bezieht.
  • Die Ableh­nung ist nur mit Mehr­auf­wand an Klicks mög­lich, z.B. wer­den zwei Hand­lungs­mög­lich­kei­ten zur Aus­wahl gestellt, die nicht gleich schnell zu dem Ziel füh­ren, wie z.B. zwei Schalt­flä­chen mit den Beschrif­tun­gen „Alles Akzep­tie­ren“ und „Ein­stel­lun­gen“, „Wei­te­re Infor­ma­tio­nen“ oder „Details“.

Fazit
Die neue Ori­en­tie­rungs­hil­fe der DSK hat die Rege­lun­gen des TTDSG auf­ge­grif­fen und damit die letz­te Fas­sung aus 2019 aktua­li­siert. Ins­be­son­de­re die Rege­lung des § 25 Abs. 2 TTDSG zur Ein­ho­lung von Ein­wil­li­gung bei Nut­zung von Coo­kies und ähn­li­chen Tech­no­lo­gien auf Nut­zer­end­ge­rä­ten ist für Anbie­ter von Tele­me­di­en und ins­be­son­de­re für Website-Betreiber von beson­de­rem Inter­es­se. Die DSK legt in ihrer Ori­en­tie­rungs­hil­fe Grund­sät­ze fest, unter wel­chen Umstän­den die Ein­ho­lung von Ein­wil­li­gun­gen zuläs­sig und die Ein­wil­li­gung damit wirk­sam ist. Letzt­end­lich gilt bei Ori­en­tie­rungs­hil­fen jedoch immer, dass die­se nur die Mei­nung der DSK wider­spie­geln. Die­se Mei­nung steht unter dem Vor­be­halt von Ände­run­gen durch den Euro­päi­schen Daten­schutz­aus­schuss (= EDSA) sowie durch natio­na­le oder euro­päi­sche Recht­spre­chung.

Was Sie noch interessieren könnte:

Microsoft 365 und der kirchliche Datenschutz

27. Juni 2022|

Nach­dem das Katho­li­sche­Da­ten­schutz­zen­trum Frank­furt (KDSZ-FFM) sich bereits im Febru­ar 2019 mit einer „Daten­schutz­recht­li­chen Bewer­tung eines Ein­sat­zes von Office 365 […]

Neue Orientierungshilfe zu Cookie-Bannern

4. Janu­ar 2022|

Kurz vor Weih­nach­ten hat die Daten­schutz­kon­fe­renz noch ein beson­de­res Geschenk dage­las­sen: Die neue Ori­en­tie­rungs­hil­fe zu Cookie-Bannern. Wir haben zusam­men­ge­fasst, […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN