Kurz vor Weihnachten hat die Datenschutzkonferenz noch ein besonderes Geschenk dagelassen: Die neue Orientierungshilfe zu Cookie-Bannern. Wir haben zusammengefasst, wie Cookie-Banner nach Ansicht der Aufsichtsbehörden zukünftig ausgestaltet sein sollen.
“Obwohl der Selbst-Check wohl auch für »ambitionierte Laien« einsetzbar ist, wird die Prüfung in der Praxis wohl kaum ohne die fachliche Unterstützung der IT-Sicherheitsfachkräfte und des Datenschutzbeauftragte durchführbar sein.” – Matthias Herkert
Genauer gesagt nennt sich das 33-seitige Werk der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder (= DSK oder Datenschutzkonferenz) Orientierungshilfe für Anbieter:innen von Telemedien (Hier geht’s zur OH). Die Bezugnahme erfolgt demnach auf das Telekommunikation-Telemedien-Datenschutz-Gesetz (= TTDSG), welches am 01.12.2021 in Kraft getreten ist und unter anderem Regelungen zum Umgang mit Cookies enthält. Wir haben darüber berichtet (Hier geht’s zum Artikel). Nun war bereits vor Inkrafttreten klar, dass keine andere Regelung solche Veränderungen mit sich bringen wird als § 25 TTDSG, der Regelung zur Einwilligungspflicht bei der Nutzung von Cookies und anderer ähnlicher Technologien. Diesem Thema widmet sich nun die OH und stellt Anforderungen an die zulässige Nutzung der Technologien zusammen.
Bündelung von Einwilligungen
Das TTDSG und die DSGVO haben unterschiedliche Schutzzwecke. Während das TTDSG den Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen bezweckt, unabhängig davon, ob ein Personenbezug vorliegt oder nicht, ist die DSGVO darauf gerichtet, das Recht auf informationelle Selbstbestimmung zu schützen, d.h. das Recht, selbst zu bestimmen welche personenbezogenen Informationen verarbeitet werden und welche nicht. Der Personenbezug ist immer Voraussetzung.
Nun ist es typisch für Cookies und ähnliche Technologien, dass sie auf Endeinrichtungen von Nutzenden Daten sammeln, die im Weiteren die Verarbeitung des Personenbezugs zum Zweck haben. Für das Speichern und Auslesen von Informationen auf dem Endgerät ist hierbei eine Einwilligung nach TTDSG erforderlich. Für die nachfolgenden Verarbeitungen der Personendaten, die erst durch das Auslesen möglich werden, bedarf es einer Einwilligung nach der DSGVO. Es sind somit zwei Einwilligungen vom Nutzenden einzuholen.
Müssen Cookie-Banner nun Einwilligungen nach der DSGVO und dem TTDSG abfragen?
Die DSK vertritt in Ihrer OH die Ansicht, dass diese beiden Einwilligungen gebündelt angefragt werden können. Sie können über eine bestätigende Handlung der betroffenen Person über das Cookie-Banner eingeholt werden. Voraussetzung für eine zulässige Bündelung ist, dass Nutzende bei Betätigung einer Handlung deutlich darüber informiert worden sind, dass tatsächlich zwei Einwilligungen eingeholt werden und für welche Zwecke die Einwilligungen jeweils stehen.
Keine gebündelte Einwilligung liegt vor, wenn darum gebeten wird, eine Einwilligung in den Einsatz von Cookies zu erteilen, ohne dass im Wortlaut der Einwilligung auch die Folgeverarbeitungen angesprochen werden.
Anforderungen an die Einwilligungen
Die Vorgaben für die Einwilligungen lassen sich direkt dem TTDSG entnehmen. § 25 Abs. 1 S. 2 TTDSG verweist sowohl bezüglich der Informationspflichten gegenüber der Endnutzenden als auch der formalen und inhaltlichen Anforderungen an eine Einwilligung auf die DSGVO. Maßgeblich ist somit die Definition nach Art. 4 Nr. 11 DSGVO.
Welche Anforderungen sind an eine Einwilligung nach TTDSG zu stellen?
Eine wirksame Einwilligung setzt u.a. voraus, dass sie den Nutzenden zuvor hinreichend informiert. Der Inhalt der Informationen ergibt sich – anders als in Art. 13 DSGVO geregelt — nicht aus dem TTDSG. § 25 Abs. 2 TTDSG ist daher im Kontext zum „Planet49“-Urteil des EuGH vom 01.10.2019 (C‑673/17) zu lesen. Daraus ergibt sich, dass eine Einwilligung in informierter Weise eingeholt wird, wenn Nutzende u. a. Kenntnis darüber erhalten, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Es ist über Folgeverarbeitungen nebst deren Zwecken zu informieren, als auch über die Tatsache, dass ein jederzeitiger Widerruf möglich ist.
Besonders interessant sind in der OH die Ausführungen zur unmissverständlichen und eindeutig bestätigenden Handlung der Nutzenden zur Abgabe einer Einwilligung. Allein an dieser Stelle sei allen Webseiten-Betreibern mit Cookie-Bannern angeraten, sich die Einstellungen des Banners noch einmal gut anzusehen. Erfahrungsgemäß erfüllt eine überwältigende Mehrheit aller Banner die Anforderungen nicht. Dabei sind die Anforderungen nicht einmal überraschend oder neu, sie haben sich in der Vergangenheit bereits angekündigt, u.a. auch über das oben erwähnte „Planet49“-Urteil.
Folgende Praxis erkennt die DSK nicht mehr als unmissverständliche und eindeutig bestätigende Handlung der Nutzenden und damit eine zulässige Einwilligung an:
- Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Nutzenden als Einwilligung werten.
- Handlungen der Nutzenden wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen als Einwilligung werten.
- Schaltflächen mit der Beschriftung „Okay“, „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein. Schaltflächen müssen ihren wahren Willen unmittelbar zum Ausdruck bringen oder eindeutig erkennen lassen, wie der wahre Wille zum Ausdruck gebracht werden kann.
- Eine im Einwilligungsbanner integrierte Detailansicht, um darüber zu sehen, welche Voreinstellungen im Falle eines Klicks auf „Akzeptieren“ gesetzt sind und daraus abzuleiten, worauf sich die Einwilligung letztlich bezieht.
- Die Ablehnung ist nur mit Mehraufwand an Klicks möglich, z.B. werden zwei Handlungsmöglichkeiten zur Auswahl gestellt, die nicht gleich schnell zu dem Ziel führen, wie z.B. zwei Schaltflächen mit den Beschriftungen „Alles Akzeptieren“ und „Einstellungen“, „Weitere Informationen“ oder „Details“.
Fazit
Die neue Orientierungshilfe der DSK hat die Regelungen des TTDSG aufgegriffen und damit die letzte Fassung aus 2019 aktualisiert. Insbesondere die Regelung des § 25 Abs. 2 TTDSG zur Einholung von Einwilligung bei Nutzung von Cookies und ähnlichen Technologien auf Nutzerendgeräten ist für Anbieter von Telemedien und insbesondere für Website-Betreiber von besonderem Interesse. Die DSK legt in ihrer Orientierungshilfe Grundsätze fest, unter welchen Umständen die Einholung von Einwilligungen zulässig und die Einwilligung damit wirksam ist. Letztendlich gilt bei Orientierungshilfen jedoch immer, dass diese nur die Meinung der DSK widerspiegeln. Diese Meinung steht unter dem Vorbehalt von Änderungen durch den Europäischen Datenschutzausschuss (= EDSA) sowie durch nationale oder europäische Rechtsprechung.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]