Orientierungshilfe zum TTDSG – Was gibt uns die Datenschutzkonferenz mit auf den Weg?

Am 01.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Es regelt unter anderem den Schutz der Privatsphäre in der Telekommunikation und bei der Nutzung von Telemedien. Mit dem TTDSG wurde Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG) als einschlägige Regelung zum Schutz der Privatsphäre in Endeinrichtungen in deutsches Recht umgesetzt. Dafür wurde § 25 TTDSG geschaffen, der den Zugriff auf und die Speicherung von Informationen in Endeinrichtungen, wie etwa durch Cookies oder ähnliche Technologien regelt. Auch mit dieser neuen Regelung im TTDSG bleiben allerdings viele Unklarheiten hinsichtlich der Rechtslage in Bezug auf Cookies und Co. bestehen und es ergeben sich auch etliche neue rechtliche Fragestellungen. Insbesondere die Frage, wie ein Einwilligungsbanner rechtssicher auf einer Webseite zu implementieren ist, bleibt weiterhin mit vielen Unsicherheiten verbunden. In einer Orientierungshilfe (OH) für Anbieter:innen von Telemedien veröffentlichte daher die Datenschutzkonferenz (DSK) am 20.12.2021 Auslegungshinweise zum Gesetzestext, die unterstützend von Unternehmen herangezogen werden können. Im Folgenden möchten wir Ihnen einen Überblick über den Regelungsgegenstand des § 25 TTDSG geben und die Ansichten der DSK dazu darlegen.

Rechtliche Grundlage

§ 25 Abs. 1 TTDSG regelt die grundsätzliche Einwilligungspflicht für das Speichern von Informationen oder den Zugriff auf bereits gespeicherte Informationen auf Endgeräten. Das Speichern von Informationen auf dem Endgerät betrifft vornehmlich Cookies und ähnliche Technologien wie Local Storage oder Session Storage, bei denen Datenpakete bei der Nutzung einer Webseite auf dem jeweiligen Endgerät zwischengespeichert werden, um zum Beispiel das individuelle Nutzer:innenverhalten zu analysieren und andere Funktionen bereitzustellen. Technologien, die auf bereits auf dem Endgerät gespeicherte Informationen zugreifen, sind beispielsweise Programmierskripte wie JavaScript oder Pixel (winzige, unsichtbare Grafiken). Laut Gesetz darf die Einwilligung nur auf Grundlage von klaren und umfassenden Informationen abgegeben werden. Die Einwilligung sowie die Informationen müssen dabei den Grundsätzen der DSGVO gerecht werden. Die Einwilligung muss daher gem. Art. 4 Nr. 11, 7 DSGVO

  • freiwillig,
  • für einen bestimmten Fall,
  • in informierter Weise,
  • durch eine unmissverständliche Willensbekundung und
  • als eindeutige bestätigende Handlung (Opt-In),
  • mit Hinweis auf eine Widerrufsmöglichkeit

ausgestaltet sein. Diese Einwilligung wird in der Regel über ein entsprechendes Banner auf der Webseite eingeholt. § 25 TTDSG ist damit rechtlicher Ausgangspunkt für die Gestaltung eines Einwilligungsbanners bezüglich der Speicherung von und den Zugriff auf bereits gespeicherte Informationen im Endgerät.

In Abs. 2 der Vorschrift sind Ausnahmen von der Einwilligungspflicht vorgesehen. Demnach ist eine Einwilligung nicht erforderlich, wenn die Speicherung der Informationen oder der Zugriff auf sie ausschließlich für die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz genutzt wird. Daneben gilt noch eine weitere und für die meisten Unternehmen wohl praxisrelevantere Ausnahme für die Speicherung und den Zugriff auf Informationen, die unbedingt erforderlich sind, um einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Unter unbedingter Erforderlichkeit ist laut Gesetzesbegründung vor allem eine technische Erforderlichkeit zu verstehen. Wobei auch mit dieser Definition eine klare Abgrenzung häufig schwierig sein kann. Die Artikel-29-Datenschutzgruppe hat die Erforderlichkeit jedenfalls in folgenden Fällen bejaht:

  • der Verbindungsaufbau,
  • die Authentifizierung,
  • die Missbrauchsprävention,
  • das Load Balancing,
  • eine Zwischenspeicherung von User-Eingaben, z.B. Warenkorb und Formulardaten und
  • die Präferenzen (von User-Oberflächen) und Realisierung von Multimedia.

Weitere Ausführungen zum Anwendungsbereich und zu den Gesetzesentwicklungen finden Sie auf unserem Blog.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Orientierungshilfe Telemedien der DSK

Die OH Telemedien soll als Leitlinie dazu dienen, die Regelungen aus dem TTDSG rechtssicher umzusetzen. Die DSK legt darin die Ansichten der Behörden zur Auslegung des Gesetzes dar. Zwar ist die OH nicht rechtsverbindlich, dennoch ist sie für Unternehmen eine wertvolle Orientierungshilfe, da Gerichte sie für Entscheidungen heranziehen können.

Bannerinhalt

Der Text des Einwilligungsbanners dient in erster Linie dazu, dem Nutzenden die entsprechenden Informationen, die als Grundlage für die Einwilligung dienen, zu liefern. Die DSK erklärt dazu, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar darzustellen seien. Nutzende müssten unter anderem Kenntnis darüber erhalten, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies und andere Technologien haben und ob Dritte Zugriff darauf erlangen können. Außerdem müsse der Nutzende durch das Banner darüber aufgeklärt werden, ob und gegebenenfalls, inwieweit der Zugriff der Verarbeitung personenbezogener Daten dient, die den Anforderungen der DSGVO unterliegt. Konkrete Angaben zum genauen Umfang des Informationsgehalts und ob diese Informationen direkt auf der ersten Ebene des Banners oder durch ein Weiterklicken im Banner aufgerufen werden müssen, macht die DSK nicht. Jedenfalls erkennt die DSK aber mehrschichtige Einwilligungsbanner als möglich an. Sollte auf der ersten Ebene des Banners bereits eine Einwilligung möglich sein, müssten aber, so die DSK, auch dort umfassende Informationen zu finden sein, die den Umfang der Einwilligung plastisch machen. Die Zwecke der Verarbeitung sollten ausführlich beschrieben werden. Praxistaugliche Beispiele nennt die DSK hierzu nicht, jedoch erscheint es empfehlenswert, die Zwecke zu präzisieren. So könnten allgemeine Umschreibungen wie etwa „Marketing“ durch spezifischere Aussagen, wie „Nutzungsanalysen und Personalisierung unserer Angebote“, ersetzt werden. Abweichende Informationen in Einwilligungsbanner und Datenschutzerklärung, so die DSK, sollten dagegen vermieden werden. Soweit Consent-Management-Systeme eingesetzt werden, bietet es sich an, die Informationen im Banner nach Möglichkeit dynamisch in die Datenschutzerklärung einzubinden.

Widerruf der Einwilligung

Auch die Möglichkeit des Widerrufs der Einwilligung ist in diesem Zusammenhang zu berücksichtigen. Dieser muss gem. Art. 7 Abs. 3 Satz 4 DSGVO so leicht auszuüben sein, wie die Erteilung der Einwilligung. Dabei führt die DSK aus, dass der Verweis auf ein Kontaktformular oder andere Kommunikationswege wie E-Mail oder Fax nicht ausreichen. Sie empfiehlt vielmehr einen Direktlink oder ein entsprechendes Icon auf der Webseite, das zu den jeweiligen Einstellungsmöglichkeiten führen soll, zu implementieren.

Datenverarbeitung nach der DSGVO

Sollte gleichzeitig auch eine Datenverarbeitung beabsichtigt werden, wodurch die Vorschriften der DSGVO Anwendung finden, müssten beide Vorgänge eindeutig beschrieben werden. Die DSK legt hier besonderen Wert auf die separate Nennung der maßgeblichen Vorgänge aus dem TTDSG (Auslesen und Speichern von Informationen auf dem Endgerät) und der DSGVO (Verarbeitung personenbezogener Daten) sowie den zugehörigen Rechtsgrundlagen. In diesem Zusammenhang sieht die DSK es als möglich an, in beide Vorgänge mittels einer einzigen Schaltfläche einzuwilligen, soweit es für den Nutzenden eindeutig erkennbar ist, dass er mehrere Einwilligungen erteilt.

Bannergestaltung: Zustimmen

Bei der Benennung der Buttons könnten nach Ansicht der DSK Bezeichnungen wie „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ im Einzelfall nicht ausreichen, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgehe, wozu konkret eingewilligt werde. Die Benennung „Alles akzeptieren“ solle wohl den Anforderungen jedoch genügen.

Ablehnen auf erster Ebene

Hinsichtlich des Banner-Layouts fordert die DSK, dass dem Nutzenden eine gleichwertige Ablehnenmöglichkeit im Verhältnis zur Erteilung der Einwilligung gewährt werden müsse. Einerseits müsse der Kommunikationseffekt der verschiedenen Auswahloptionen gleichwertig sein, so die DSK. Andererseits sollten die Nutzenden ihre Ablehnung ohne zusätzlichen Mehraufwand, etwa an Klicks, ausdrücken können. Hierfür müsse die Ablehnung bereits auf der ersten Ebene des Einwilligungsbanners erklärt werden können.

Ausnahmen nach Ansicht in der OH

Zu den Ausnahmen der Einwilligungspflicht gem. § 25 Abs. 2 TTDSG führt die DSK aus, dass eine Interessensabwägung als Rechtsgrundlage der Verarbeitung aus Art. 6 Abs. 1 lit. f DSGVO keinesfalls automatisch geeignet sei, die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG zu erfüllen. Das bedeute, dass eine unbedingte Erforderlichkeit, so die DSK, nicht schon durch das Vorliegen von berechtigten Interessen begründet werden könne. Dies kann aber vor dem Hintergrund, dass die „Erforderlichkeit“ der zur Verfügungstellung des Telemediendienstes mit der nach der DSGVO häufig parallel läuft, soweit es um die Nutzung der damit verbundenen Tools geht, durchaus auch abweichend gesehen werden.
Eine weitere Voraussetzung von § 25 Abs. 2 Nr. 2 TTDSG ist, dass der jeweilige Dienst vom Nutzer ausdrücklich gewünscht ist. Dieser Wunsch könne nach dem Verständnis der DSK nur aus objektiven Kriterien, etwa den Handlungen des Nutzenden, abgeleitet werden. Dabei sei die Perspektive des Nutzenden ausschlaggebend. Außerdem seien Zugriffe auf im Endgerät gespeicherte Informationen häufig erst bei aktiver Inanspruchnahme als gewünscht anzusehen. Die DSK verweist in der OH zum Beispiel darauf, dass die Speicherung leerer Warenkorb-Cookies vor der Inanspruchnahme des Warenkorbs nicht zulässig sei, da hier noch keine aktive Handlung diesbezüglich stattgefunden habe.

Reichweitenmessung

Hinsichtlich der Reichweitenmessung hält die DSK die reine Zählung, wie häufig eine Webseite aufgerufen wird (page impression), für grundsätzlich zulässig. Dafür solle bei jedem Aufruf der Zähler um eins erhöht werden. Darüber hinaus gehende Nutzungsdaten dürften, so die DSK, nicht erfasst werden. Zur Erhebung meint die DSK, dass dies per Logfiles oder über einfache Zählpixel erfolgen könne. Fraglich erscheint der Verweis auf Logfiles in diesem Zusammenhang, da diese gerade durch zwangsweise übermittelte Verbindungsdaten erstellt werden. Die automatische Übermittlung dieser Daten, etwa beim reinen Verbindungsaufbau, wurde jedoch zuvor von der DSK aus dem Anwendungsbereich des TTDSG ausgenommen. Nach der DSK müsse der Zugriff gezielt und nicht vom Endnutzenden veranlasst sein. Insofern ist hier unklar, welche Position die DSK hinsichtlich der Erstellung und der Auswertung von Logfiles vertritt.

Drittlandübermittlungen nach der DSGVO

Hinsichtlich Drittlandübermittlungen, die durch den Abschluss von Standardvertragsklauseln (SCC), vorgenommen werden, meint die DSK, dass häufig keine ausreichenden ergänzenden Maßnahmen zur Einhaltung des Schutzniveaus der Europäischen Union möglich seien.

Zu den neuen SCC und dem TIA finden Sie weitere Ausführungen auf unserem Blog.

Des Weiteren meint die DSK, dass Drittlandübermittlungen personenbezogener Daten insbesondere im Rahmen des Nachverfolgens von Nutzungsverhalten nicht ohne Weiteres auf Art. 49 Abs. 1 lit. a DSGVO gestützt werden könnten. Der Umfang und die Regelmäßigkeit eines Drittlandtransfers würde in den häufigsten Anwendungsfällen den Charakter des Art. 49 DSGVO als Ausnahmevorschrift untergraben, so die DSK in der OH Telemedien. Dies kann im Sinne der Privatautonomie auch anders gesehen werden. Zudem kann der Ansicht der DSK entgegengehalten werden, dass weder gesetzlich noch in den Erwägungsgründen festgelegt ist, dass die Einwilligung nicht für regelmäßige Transfers abgegeben werden darf.

Fazit

Unternehmen sollten die OH Telemedien kennen, da sie die Rechtsauslegung der Datenschutzbehörden mit Blick auf den § 25 TTDSG widerspiegelt. Vor allem vor dem Hintergrund möglicher Sanktionen, sollte der Meinungsstand der DSK bekannt sein. Gem. § 28 TTDSG können Bußgelder bis zu 300.000 € verhängt werden. Darüber hinaus können auch Sanktionen aus der DSGVO folgen, sofern der Anwendungsbereich eröffnet ist. Unternehmen sollten nun insbesondere verwendete Texte in Einwilligungsbannern und die Ausgestaltung des Banners überprüfen sowie eventuelle Anpassungen vornehmen.

Unsere erfahrenen Expertinnen und Experten stehen Ihnen bei Fragen zum Datenschutz zur Seite. Kontaktieren Sie uns gerne!

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.