Bisherige Rechtslage

Bei der technischen und auch optischen Gestaltung des Banners sind viele Anforderungen einzuhalten. Häufig stehen die Unternehmen vor so großen Hürden, dass eine datenschutzkonforme Umsetzung der gesetzlichen Regelung nicht möglich ist. Hierüber berichteten wir bereits in diesem Blogartikel.

Aber nicht nur für die Unternehmen sind die Cookie-Banner ein leidiges Thema, auch die Nutzenden sind genervt. Viele Cookie-Banner sind unübersichtlich gestaltet oder gar intransparent. Manches Mal muss man sich durch drei „Ebenen“ klicken, um nicht notwendige Cookies und Dienste abzulehnen, während eine Einwilligung mit einem Klick erteilt wäre. Dies führt häufig dazu, dass Nutzende eine Einwilligung erteilen, um den Aufwand zu sparen. Zudem müssen sie ihre Auswahl für jede Webseite, auf die sie gelangen, erneut treffen.

Einwilligungsverwaltungs-Verordnung

Diesem Chaos auf Seiten der Unternehmen und der Nutzenden soll ein Ende gesetzt und einheitliche Maßstäbe geschaffen werden. Zu diesem Zweck wurde in § 26 TTDSG ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung von Einwilligungen ermöglichen (PIMS). Die Bundesregierung hat nun von der Ermächtigung Gebrauch gemacht und einen Entwurf zur Einwilligungsverwaltungs-Verordnung vorgestellt. Mit dieser werden die tatsächlichen Anforderungen für diese Dienste nach § 26 TTDSG festgelegt. Hierdurch will man eine anwenderfreundliche Alternative schaffen und die Nutzenden von vielen Einzelentscheidungen entlasten.

Im Grunde sollen diese die Möglichkeit haben, entweder über eine cloudbasierte Plattform oder in einem lokal gespeicherten Programm ihre „Einwilligungen“ bzw. Präferenzen voreinzustellen und zu verwalten. Bei dem Besuch jeder Internetseite würden diese Einstellungen an die entsprechenden Webseitenbetreiber übermittelt, so dass diese die Einstellungen übernehmen müssen. Wenn Nutzende bspw. niemals Statistiken bzw. Analysen auf Webseiten zustimmen möchten, speichert das Tool diese Voreinstellung. Nach Übermittlung der dazugehörigen Vorlieben, können die Webseitenbetreiber dann keine entsprechenden Cookies setzen.

In diesen Fällen ist auch eine weitere Einwilligungsabfrage nicht erlaubt. Eine Ausnahme gibt es lediglich für werbefinanzierte Angebote, d. h. wenn man eine Webseite nur kostenfrei bei Cookiesetzung nutzen kann (Stichwort „Cookie Paywalls“), darf der Webseitenbeitreiber noch einmal nach der Einwilligung fragen. Machen die Nutzenden jedoch keinen Gebrauch von einem so genannten PIMS, dann muss der Webseitenbetreiber wie üblich einen Cookie-Banner vorhalten.

Schwierigkeiten mit PIMS und Cookie-Banner in der Praxis

Kritik an diesem Entwurf gibt es von vielen Seiten. Zunächst einmal beziehen sich die Dienste nach § 26 TTDSG nur auf die Einwilligungen nach § 25 TTDSG. Nach dem Willen der Regierung sollen jedoch auch die Anforderungen nach der DSGVO an die Einwilligung eingehalten werden. Hier wird es aber schon kompliziert, da die DSGVO eine transparente und informierte Einwilligung für den jeweiligen Einzelfall verlangt. Die kann man über ein PIMS schwerlich abdecken, da es sich ja nur um Voreinstellungen handelt. Man müsste dann über das Einwilligungsmanagement nicht nur die Kategorien, sondern alle Anbieter samt ihrer Verarbeitungszwecke und Datenschutzhinweise auflisten. Bei jeder Änderung eines dieser Dienste, müssten die Nutzenden hierüber informiert werden.

Das nächste Problem steckt zudem in der Einwilligung. Die Nutzenden könnten – so wie sie nur generell eine Einwilligung oder Ablehnung erteilen können – ihre Einwilligung für einen bestimmten Dienst entweder gar nicht oder nur für alle Webseiten widerrufen. Des Weiteren müssen die Nutzenden ja kein PIMS verwenden. Das führt also dazu, dass Unternehmen weiterhin einen Cookie-Banner auf Ihrer Webseite beibehalten müssen, auch wenn es in Zukunft anerkannte Dienste nach der Einwilligungsverordnung gibt.

Zudem gibt es auch für die Nutzenden noch weitere Schwierigkeiten. Wählen sie ein PIMS, welches auf ihren Endgeräten gespeichert ist und ausgeführt wird, müssen sie ihre Einwilligungseinstellungen auf jedem Endgerät neu hinterlegen und bei Änderungen anpassen. Hiervon werden sie nur befreit, wenn sie ein cloudbasiertes System nutzen. Insgesamt sind tatsächlich noch viele Fragen offen, die der Klärung bedürfen.

Bislang handelt es sich hierbei nur um einen Entwurf, dessen Verabschiedungszeitpunkt derzeit noch vollkommen unklar ist. Allerdings sieht dieser Entwurf keine „Übergangsfrist“ vor,. Daher empfehlen wir allen Unternehmen die weitere Entwicklung im Auge zu behalten, um vorbereitet zu sein. In der Zwischenzeit sollten Sie darauf achten, dass Sie die Vorgaben zur Gestaltung des Cookie-Banners und Einholung der Einwilligungen einhalten, um Bußgelder zu vermeiden.

Als erfahrene Datenschützer helfen wir Ihnen bei den notwendigen Schritten! Kontaktieren Sie uns unter: info@sidit.de

Der Beitrag Sagen wir dem Cookie-Banner bald ade? erschien zuerst auf SIDIT.

Bereits seit geraumer Zeit sind die Cookie-Banner von Webseiten in das Visier der Aufsichtsbehörden geraten. Doch die Gefahr von Bußgeldern wird immer größer! Es gibt nun eine neue Stellungnahme einer Aufsichtsbehörde zum Thema Cookies.

Urteil des BGH

Der Bundesgerichtshof hatte sich im Mai 2020 der Entscheidung des EUGH aus dem Jahr 2019 angeschlossen. In diesem Urteil stellte er fest, dass der Nutzer aktiv in die Verwendung von Cookies einwilligen muss. Die bis zu diesem Zeitpunkt gelebte Praxis des Opt-out wurde für rechtswidrig erklärt. Wir berichteten an dieser Stelle bereits ausführlich.

Fragebögen der Aufsichtsbehörden

Im Herbst 2020 begannen die deutschen Aufsichtsbehörden dann länderübergreifend damit, die Webseiten von verschiedenen Medienunternehmen insbesondere in Bezug auf den Einsatz von Cookies und des Trackings zu untersuchen. Hierbei kamen sie zu dem Ergebnis, dass die meisten Webseiten keinen datenschutzkonformen Cookie-Banner einsetzten.

Verschärfung durch Einführung des TTDSG

Im Dezember 2021 trat dann noch das TTDSG in Kraft, welches die Anforderungen aus der ePrivacy Richtlinie in nationales Recht umsetzte. In diesem Zusammenhang hatte die Deutsche Datenschutzkonferenz (DSK) auch eine Orientierungshilfe für Anbieter:innen von Telemedien herausgegeben: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/oh_telemedien.pdf.

Für Webseitenbetreiber ist vor allem der § 25 TTDSG wichtig, wonach Information in einem Endgerät eines Nutzers nur dann gespeichert oder ausgelesen werden dürfen, wenn dieser einwilligt. Eine Ausnahme für das Einwilligungserfordernis gilt nur bei technisch notwendigen Diensten. Näheres können Sie in unserem entsprechenden Blogbeitrag nachlesen.

Cookie-Banner und deren kreative Umsetzungen

Mit dieser Entwicklung war klar, dass für nahezu alle Webseiten ein datenschutzkonformer Cookie-Banner benötigt wurde. Aber wie kann man möglichst viele Einwilligungen der Nutzer einholen? Hier wurden die verschiedenen Anbieter von Cookie-Bannern und auch Marketingagenturen sehr kreativ. Sowohl in der textlichen als auch in der optischen Gestaltung gab es viele kreative Beispiele. Texte wie „Wir lieben Cookies“ oder „Wir respektieren Ihre Privatsphäre“ wurden immer beliebter. Darüber hinaus ist aufgrund der Bannergestaltung das Ablehnen aller Cookies in erster Linie gar nicht möglich. Standard war und ist auch die farbliche Gestaltung der Buttons. Dabei tritt der „Einwilligen“- Button farblich so hervor, dass man eher darauf klickt als auf den „Ablehnen“-Button, welcher häufig ausgegraut und damit kaum erkennbar ist.

Klare Absage durch die Aufsichtsbehörden

Dieser kreativen Gestaltung wird nun von den Aufsichtsbehörden und der Rechtsprechung ein Riegel vorgeschoben. Im März 2022 hat der Landesbeauftragte für Datenschutz und Informationsfreit Baden-Württemberg ein FAQ zu Cookies und Tracking herausgegeben.

Zunächst einmal rät die Aufsichtsbehörde dazu, Webseiten möglichst ohne Cookies und vergleichbare Techniken zu betreiben. Falls man jedoch welche einsetzen möchte, muss die Cookie-Bannergestaltung den Anforderungen an die informierte, freiwillige, aktive und vorherige Einwilligung berücksichtigen. Wichtig ist in diesem Zusammenhang, dass sowohl sprachlich als auch optisch keine Beeinflussung des Nutzers stattfinden darf. Das FAQ listet am Ende zahlreiche Negativ-Beispiele auf, die man unbedingt bei der Gestaltung der Cookie-Banner beachten sollte.

Im April 2022 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Einwilligungsbanner von Google kritisiert. Problematisch an diesen Bannern ist vor allem, dass dort zwar nach einem Klick auf „Ich stimme zu“ die Einwilligung in alle Verarbeitungen durch Google erteilt werden kann, für die Ablehnung aber mehr als ein Klick notwendig ist.

Jetzt tätig werden

Damit ist klar: die Aufsichtsbehörden werden immer aktiver, denn die Prüfung des Webseitenauftritts von Unternehmen ist für sie einfach. Zum einen gibt es Tools, mit denen die technische Seite des Cookie-Banners geprüft werden kann, zum anderen ist die Gestaltung des Cookie-Banners selbst direkt auf der Webseite sichtbar.

Alle Unternehmen sollten daher ihren Webseitenauftritt überprüfen und ggfs. anpassen, um hier Bußgelder durch die Aufsichtsbehörden zu vermeiden. Als erfahrene Datenschützer helfen wir Ihnen bei den notwendigen Schritten! Kontaktieren Sie uns unter: info@sidit.de

Der Beitrag <strong>Cookie-Banner im Visier der Aufsichtsbehörden</strong> erschien zuerst auf SIDIT.

Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ist zum 01.12.2021 in Kraft getreten und soll unter anderem dem Schutz von personenbezogenen Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien dienen. Das TTDSG stellt somit das nationale Umsetzungsgesetz zur ePrivacy Richtlinie dar und ersetzt die datenschutzrechtlichen Regelungen des TKG (Telekommunikationsgesetz) und des TMG (Telemediengesetz).

Wen betrifft das TTDSG?

Zunächst einmal ist festzustellen, dass unter Telemediendienste im Sinne des TTDSG Online-Angebote von Waren und Dienstleistungen, Internetsuchmaschinen, aber auch reine Informations-Homepages fallen. Mit anderen Worten: Jedes Unternehmen in Deutschland, welches eine Webseite unterhält, fällt also in den Anwendungsbereich des TTDSG und muss die dortigen Regelungen beachten.

Und was ist nun mit der DSGVO?

Die DSGVO gilt natürlich weiter und ist grundsätzlich vorrangig gegenüber nationalen Datenschutzbestimmungen zu beachten. Allerdings beinhaltet die DSGVO eine Öffnungsklausel in Art. 95 DSGVO. Danach besteht keine Geltung der DSGVO, soweit die Datenschutzrichtlinie für Elektronische Kommunikationsdienste 2002/58/EG (ePrivacy-Richtlinie) und deren nationale Umsetzung (TTDSG) natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union zusätzlichen Pflichten auferlegt.

Darüber hinaus gibt es aber im Bereich der Webseiten eine Regelung im TTDSG, die nicht in Konkurrenz zur DSGVO tritt, nämlich die Vorschrift zum „Schutz der Privatsphäre bei Endeinrichtungen“ (§ 25 TTDSG).

Was genau besagt aber nun der § 25 TTDSG?

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers (bspw. Computer, Handy) oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Diese Regelung gilt sowohl für personenbezogene als auch nicht personenbezogene Daten und setzt nunmehr die Anforderungen aus dem Planet49-Urteil in nationales Recht um.

Die Regelungenaus dem § 25 TTDSG erfasst neben Cookies auch sonstige Techniken, die ein Speichern und oder Auslesen von Informationen auf Endeinrichtungen erfordern (Werbe-Identifizierer, Kohorten-IDs, Webbrowser- Fingerprints, MAC-Adressen, IMEI-Nummern).

Und wie sieht die Einwilligung aus?

Die Information und die Einwilligung des Endnutzers soll nach den Grundsätzen der DSGVO erfolgen. Das bedeutet, dass der Endnutzer vor dem Einsatz dieser Technologien eine ausdrückliche und freiwillige Einwilligung für einen bestimmten Zweck erteilen muss. Diese Einwilligung kann aber wie für die Cookies auch über den Cookie-Banner eingeholt werden.

Ausnahmen von der Einwilligungspflicht

Nur wenn eine Ausnahme nach § 25 Abs. 2 Nr. 1 oder Nr. 2 TTDSG gegeben ist, kann von dieser Einwilligungspflicht abgesehen werden. 

Die Ausnahme greift, soweit der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist. Dies kommt im Bereich der Webseitentechnologien nicht in Betracht.

Es kann aber auch von der Einwilligung abgesehen werden, wenn die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Dies bringt daher keine sonderlichen Neuerungen, denn bereits jetzt dürfen Cookies, die nicht unbedingt technisch notwendig sind, nur mit vorheriger Einwilligung des Webseitenbesuchers gesetzt werden. Als technisch notwendige Cookies wurden bisher Warenkorb- und Session-Cookies sowie Cookies für Sprach- und Bildschirmeinstellungen oder zur Gewährleistung der technischen Sicherheit und Integrität der Website angesehen. Diese Auslegung wird daher auch für alle weiteren Technologien gelten.

Bußgelder

Damit die Unternehmen diese neuen Anforderungen auch umsetzen, sieht das TTDSG auch Bußgelder vor. Diese können bei einem Verstoß in einer Höhe von bis zu 300.000 € ausgesprochen werden.

Was ist also nun zu tun?

Sie sollten überprüfen, ob Sie auf Ihrer Webseite außer Cookies – für die Sie ja bereits in der Vergangenheit in der Regel die Einwilligung eingeholt haben – noch weitere Technologien einsetzen, die eine Einwilligung von Endnutzern notwendig machen. Hierunter fallen alle Technologien, die Informationen auf der Endeinrichtung eines Nutzers speichern oder dort hinterlegte Informationen auslesen, unabhängig davon ob diese personenbezogene oder anonyme Daten enthalten.

Sollte dies der Fall sein, dann müssen diese in den Cookie-Banner mit aufgenommen und die Einwilligung entsprechend vor Ausspielen dieser Tools eingeholt werden. Darüber hinaus sollte eine Information über die Technologie im Rahmen des Cookie-Banners oder in der Datenschutzerklärung erfolgen.

Noch keine Orientierungshilfe der DSK

Mit Spannung wird die von der DSK (Deutsche Datenschutzkonferenz) angekündigte Orientierungshilfe zum TTDSG erwartet. Die Datenschutz-Aufsichtsbehörden haben auch noch keine eigenen Guidelines veröffentlicht. Es bleibt also abzuwarten, wie die Aufsichtsbehörden die praktische Umsetzungsmöglichkeiten der neuen gesetzlichen Vorschriften einschätzen.

Sie haben Fragen hierzu oder suchen einen Datenschutzbeauftragten für Ihr Unternehmen. Rufen Sie an oder schreiben Sie uns eine E-Mail an info@sidit.de.

Der Beitrag Das TTDSG und seine Folgen – Schnittpunkte mit DSGVO erschien zuerst auf SIDIT.