News
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:
Verhältnis zwischen TTDSG und DSGVO
Die DSK stellt einleitend klar, dass rechtlich beim Einsatz von Cookies und ähnlichen Technologien zwei Schritte unterschieden werden müssen:
- Die Speicherung von und Zugriff auf Endeinrichtungen und
- die nachfolgende Verarbeitung personenbezogener Daten.
Während Schritt 1 allein nach den Anforderungen des TTDSG geprüft werden muss, gelten für Schritt 2 ausschließlich die Anforderungen der DSGVO. Praktisch bedeutet das, dass die Behörden in der Zukunft, im Fall eines Verstoßes, sowohl Maßnahmen wie Bußgelder nach dem TTDSG und der DSGVO ergreifen können und voraussichtlich auch werden.
Kein Einwilligungsbedürfnis bei zwangsläufiger Übermittlung
Interessanterweise geht die DSK nicht von einem Zugriff auf die Daten eines Endgerätes aus, wenn die Daten zwangsläufig oder aufgrund von Browsereinstellungen bei Abruf eines Dienstes übermittelt werden. Werden z.B. die öffentliche IP-Adresse, die Adresse der aufgerufenen Website, der User-Agent-String mit Browser- und Betriebssystem-Version und die eingestellte Sprache automatisch an den Betreiber einer Website übermittelt, soll § 25 TTDSG daher mangels Zugriff auf das Endgerät keine Anwendung finden.
Einheitliche Einwilligungserklärung
In der OH Telemedien 2021 geht die DSK davon aus, dass die Einwilligung nach § 25 Abs. 1 TTDSG zusammen mit der Einwilligung nach Art. 6 Abs. 1 a) DSGVO erklärt werden kann, solange der Telemedienanbieter / Verantwortlicher ausreichend klarstellt, dass die Einwilligung den gesamten Lebenssachverhalt umfasst. Das bedeutet z.B., dass nach Ansicht der DSK im Banner die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) mit angesprochen werden muss.
Eindeutig bestimmbare Zwecke
Bezüglich der Informationen, die vor Abgabe der Einwilligung erteilt werden müssen, bleibt die DSK relativ vage. Hervorzuheben ist allerdings, dass die DSK eine konkrete Beschreibung der Zwecke der Folgeverarbeitung fordert. Die Ausführungen hierzu werden im Kontext des Bestimmtheitserfordernisses konkretisiert. So soll es ausdrücklich nicht ausreichen, wenn als Zwecke z.B. nur
- Verbesserung der Erfahrung des Nutzers,
- Werbezwecke,
- IT-Sicherheitszwecke oder
- zukünftige Forschung
genannt werden. Ferner müssen laut DSK auf erster Ebene des Banners konkrete Informationen zu allen Zwecken enthalten sein, allgemeine und vage Informationen sollen nicht ausreichen.
Gleichwertige Ablehnungsmöglichkeit
An mehreren Stellen der OH Telemedien 21 positioniert sich die DSK zum Erfordernis einer gleichwertigen Ablehnungsmöglichkeit. Zusammengefasst lässt sich sagen, dass nach Ansicht der DSK eine Funktion zum Ablehnen in den meisten Fällen erforderlich sein wird. In diesen Fällen dürfe das Ablehnen auch nicht mit einem messbaren Mehraufwand verbunden sein.
Einfacher Widerruf der Einwilligung
Einwilligungen, die über Banner eingeholt werden, müssen laut DSK mithilfe eines Direktlinks oder Icons widerrufen werden können. Es reiche nicht aus, in der Datenschutzerklärung auf eine Widerrufsmöglichkeit zu verweisen. Nur so werde gewährleistet, dass entsprechend Art. 7 Abs. 3 S. 4 DSGVO der Widerruf so einfach wie die Einwilligung ist.
Ausnahmen vom Einwilligungserfordernis
Nach der DSK ist Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG eng auszulegen. Sie gelte nur dann, wenn der Zugriff oder die Speicherung von Informationen auf einem Endgerät unbedingt erforderlich ist, um einen aus Perspektive eines durchschnittlich verständigen Nutzers gewünschten Dienst bereitzustellen. Dabei müsse zwischen Bereitstellung des Basisdienstes, zusätzlichen Funktionen und allgemeinen Funktionen unterschieden werden. Die DSK hat in diesem Rahmen klargestellt, dass die Ausnahme nicht anwendbar ist, wenn für den Einsatz eines Cookies eine rein wirtschaftliche Erforderlichkeit im Hinblick auf das gewählte Geschäftsmodell besteht.
Die DSK hat ausdrücklich darauf verzichtet, konkrete Beispiele für die Ausnahme aus Art. 25 Abs. 2 Nr. 2 TTDSG zu nennen.
Einwilligung in die Drittlandübermittlung
Innerhalb der OH Telemedien 21 bezieht die DSK außerdem Stellung zu der seit Längerem umstrittenen Frage, ob bei der Nachverfolgung von Nutzerverhalten auf Websites und Apps auf Grundlage eine Drittlandübermittlung auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO möglich ist. Die DSK lehnt dies grundsätzlich mit der Begründung ab, dass Umfang und Regelmäßigkeit der Transfers dem Ausnahmecharakter der Vorschrift widersprechen. Für die Übermittlung in Drittstaaten kommen daher in der Regel nach Ansicht der DSK nur ein Angemessenheitsbeschluss der Kommission oder geeignete Garantien nach Art. 46 Abs. 2 DSGVO in Betracht.
Erstes Fazit
Das Papier enthält umfassende Angaben und Erläuterungen dazu, wie Verantwortliche in Zukunft Cookies und ähnliche Technologien in Übereinstimmung mit DSGVO und TTDSG einsetzen können. Die Positionierung stellt in jedem Fall auch ein gutes Hilfsmittel für die Auslegung der einschlägigen Vorgaben aus DSGVO und TTDSG dar. Die Orientierungshilfe lässt zugleich viel Raum für Diskussionen und klammert einige der spannendsten Fragen aus. So befasst sich die OH z.B. nicht mit der Zulässigkeit von Paywalls oder der Zuständigkeit der Landesdatenschutzbehörden für Maßnahmen nach dem TTDSG.
Wir raten dringend dazu, existierende Banner mit den Anforderungen aus dem Papier abzugleichen. Es erscheint absehbar, dass hier in naher Zukunft Kontrollen und Maßnahmen durch die Behörden erfolgen werden.
News
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.
Kontaktformular nur mit Einwilligung?
Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).