Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:

Verhältnis zwischen TTDSG und DSGVO

Die DSK stellt einleitend klar, dass rechtlich beim Einsatz von Cookies und ähnlichen Technologien zwei Schritte unterschieden werden müssen:

1. Die Speicherung von und Zugriff auf Endeinrichtungen und
2. die nachfolgende Verarbeitung personenbezogener Daten.

Während Schritt 1 allein nach den Anforderungen des TTDSG geprüft werden muss, gelten für Schritt 2 ausschließlich die Anforderungen der DSGVO. Praktisch bedeutet das, dass die Behörden in der Zukunft, im Fall eines Verstoßes, sowohl Maßnahmen wie Bußgelder nach dem TTDSG und der DSGVO ergreifen können und voraussichtlich auch werden.

Kein Einwilligungsbedürfnis bei zwangsläufiger Übermittlung

Interessanterweise geht die DSK nicht von einem Zugriff auf die Daten eines Endgerätes aus, wenn die Daten zwangsläufig oder aufgrund von Browsereinstellungen bei Abruf eines Dienstes übermittelt werden. Werden z.B. die öffentliche IP-Adresse, die Adresse der aufgerufenen Website, der User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache automatisch an den Betreiber einer Website übermittelt, soll § 25 TTDSG daher mangels Zugriff auf das Endgerät keine Anwendung finden.

Einheitliche Einwilligungserklärung

In der OH Telemedien 2021 geht die DSK davon aus, dass die Einwilligung nach § 25 Abs. 1 TTDSG zusammen mit der Einwilligung nach Art. 6 Abs. 1 a) DSGVO erklärt werden kann, solange der Telemedienanbieter / Verantwortlicher ausreichend klarstellt, dass die Einwilligung den gesamten Lebenssachverhalt umfasst. Das bedeutet z.B., dass nach Ansicht der DSK im Banner die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) mit angesprochen werden muss.

Eindeutig bestimmbare Zwecke

Bezüglich der Informationen, die vor Abgabe der Einwilligung erteilt werden müssen, bleibt die DSK relativ vage. Hervorzuheben ist allerdings, dass die DSK eine konkrete Beschreibung der Zwecke der Folgeverarbeitung fordert. Die Ausführungen hierzu werden im Kontext des Bestimmtheitserfordernisses konkretisiert. So soll es ausdrücklich nicht ausreichen, wenn als Zwecke z.B. nur

• Verbesserung der Erfahrung des Nutzers,
• Werbezwecke,
• IT-Sicherheitszwecke oder
• zukünftige Forschung

genannt werden. Ferner müssen laut DSK auf erster Ebene des Banners konkrete Informationen zu allen Zwecken enthalten sein, allgemeine und vage Informationen sollen nicht ausreichen.

Gleichwertige Ablehnungsmöglichkeit

An mehreren Stellen der OH Telemedien 21 positioniert sich die DSK zum Erfordernis einer gleichwertigen Ablehnungsmöglichkeit. Zusammengefasst lässt sich sagen, dass nach Ansicht der DSK eine Funktion zum Ablehnen in den meisten Fällen erforderlich sein wird. In diesen Fällen dürfe das Ablehnen auch nicht mit einem messbaren Mehraufwand verbunden sein.

Einfacher Widerruf der Einwilligung

Einwilligungen, die über Banner eingeholt werden, müssen laut DSK mithilfe eines Direktlinks oder Icons widerrufen werden können. Es reiche nicht aus, in der Datenschutzerklärung auf eine Widerrufsmöglichkeit zu verweisen. Nur so werde gewährleistet, dass entsprechend Art. 7 Abs. 3 S. 4 DSGVO der Widerruf so einfach wie die Einwilligung ist.

Ausnahmen vom Einwilligungserfordernis

Nach der DSK ist Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Sie gelte nur dann, wenn der Zugriff oder die Speicherung von Informationen auf einem Endgerät unbedingt erforderlich ist, um einen aus Perspektive eines durchschnittlich verständigen Nutzers gewünschten Dienst bereitzustellen. Dabei müsse zwischen Bereitstellung des Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Die DSK hat in diesem Rahmen klargestellt, dass die Ausnahme nicht anwendbar ist, wenn für den Einsatz eines Cookies eine rein wirtschaftliche Erforderlichkeit im Hinblick auf das gewählte Geschäftsmodell besteht.

Die DSK hat ausdrücklich darauf verzichtet, konkrete Beispiele für die Ausnahme aus Art. 25 Abs. 2 Nr. 2 TTDSG zu nennen.

Einwilligung in die Drittlandübermittlung

Innerhalb der OH Telemedien 21 bezieht die DSK außerdem Stellung zu der seit Längerem umstrittenen Frage, ob bei der Nachverfolgung von Nutzerverhalten auf Websites und Apps auf Grundlage eine Drittlandübermittlung auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO möglich ist. Die DSK lehnt dies grundsätzlich mit der Begründung ab, dass Umfang und Regelmäßigkeit der Transfers dem Ausnahmecharakter der Vorschrift widersprechen. Für die Übermittlung in Drittstaaten kommen daher in der Regel nach Ansicht der DSK nur ein Angemessenheitsbeschluss der Kommission oder geeignete Garantien nach Art. 46 Abs. 2 DSGVO in Betracht.

Erstes Fazit

Das Papier enthält umfassende Angaben und Erläuterungen dazu, wie Verantwortliche in Zukunft Cookies und ähnliche Technologien in Übereinstimmung mit DSGVO und TTDSG einsetzen können. Die Positionierung stellt in jedem Fall auch ein gutes Hilfsmittel für die Auslegung der einschlägigen Vorgaben aus DSGVO und TTDSG dar. Die Orientierungshilfe lässt zugleich viel Raum für Diskussionen und klammert einige der spannendsten Fragen aus. So befasst sich die OH z.B. nicht mit der Zulässigkeit von Paywalls oder der Zuständigkeit der Landesdatenschutzbehörden für Maßnahmen nach dem TTDSG.

Wir raten dringend dazu, existierende Banner mit den Anforderungen aus dem Papier abzugleichen. Es erscheint absehbar, dass hier in naher Zukunft Kontrollen und Maßnahmen durch die Behörden erfolgen werden.