INSTAGRAM BUSINESS

Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.

Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.


WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?

Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.

Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.

Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.

Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.


WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN

Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.


WOHIN MIT DEN PFLICHTANGABEN?

Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.

Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.

Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.


FAZIT

Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage –  nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.

Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen die international in der klinischen Forschung tätig sind. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzkonferenz
  • Facebook
  • Instagram
  • Soziale Netzwerke
  • TTDSG
Lesen

DSK: KURZGUTACHTEN ZU FACEBOOK-FANPAGES

Zum 18. März 2022 hat die „Taskforce Facebook-Fanpages“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) ein 40-seitiges Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vorgelegt. Darin finden insbesondere die seit dem 01. Dezember 2021 geltenden Regelungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und dessen Auswirkungen auf die rechtliche Beurteilung der Zulässigkeit des Betriebs einer Facebook-Fanpage Berücksichtigung. Die Taskforce nimmt dabei ebenfalls Bezug auf ein aktuelles Urteil des OVG Schleswig vom 25. November 2021. Die Inhalte und Auswirkungen des Kurzgutachtens für verantwortliche Stellen soll der nachfolgende Beitrag näher beleuchten.


WOMIT BEFASST SICH DAS KURZGUTACHTEN UND WOMIT NICHT?

Das Kurzgutachten befasst sich unter Berücksichtigung des seit 01. Dezember 2021 anzuwendenden TTDSG hauptsächlich mit der Speicherung von und dem Zugriff auf Informationen (Cookies) in den Endeinrichtungen von Nutzenden. Weiterhin wird die sich daran anschließende Verarbeitung und Verknüpfung mit Nutzungsdaten zu Statistikzwecken sowie zur Profilbildung und zu Werbezwecken thematisiert.

Lediglich umrissen wird hingegen die generellen datenschutzrechtlichen Anforderungen für Betreibende von Facebook-Fanpages sowie eine weitere Positionierung zur datenschutzrechtlichen Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages. Hierzu hatte die DSK bereits im September 2018 sowie April 2019 entsprechende Stellungnahmen veröffentlicht. Bereits aus diesen ging hervor, dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann.


VEREINBARKEIT MIT DEM TTDSG

Im Rahmen des Kurzgutachtens wird zunächst eine Darstellung der beim Aufruf von Facebook-Fanpages gesetzten Cookies vorgenommen. Hierbei sind grundsätzlich Cookies zu unterscheiden, die bei nicht-registrierten Nutzenden sowie bei registrierten Nutzenden gesetzt werden.

Unstreitig ist eine Facebook-Fanpage als Telemediendienst einzustufen, an deren Bereitstellung der jeweilige Betreiber der Facebook-Fanpage mitwirkt. Dementsprechend handelt es sich bei dem Betreiber um einen „Anbieter von Telemedien“ im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Somit obliegt diesem ebenfalls die Verpflichtung zur Einhaltung der Regelungen des § 25 TTDSG. Entsprechend des § 25 TTDSG bedürfen Cookies, welche nicht zur Erbringung des jeweiligen Dienstes technisch zwingend benötigt werden, einer Einwilligung. Im Ergebnis ist somit der Betreiber einer Facebook-Fanpage neben Facebook für das Einholen einer gegebenenfalls erforderlichen wirksamen Einwilligung (mit-)verantwortlich.

Das Kurzgutachten widmet sich unter Berücksichtigung dieser Grundvoraussetzungen der Frage, ob die Bereitstellung einer Facebook-Fanpage den Anforderungen aus § 25 TTDSG nachkommen kann. In diesem Zusammenhang wird sich ausführlich mit der Frage auseinandergesetzt, ob die im Rahmen einer Facebook-Fanpage gesetzten Cookies zur Erbringung des Telemediendienstes als technisch zwingend erforderlich bezeichnet werden können. Aufgrund der untrennbaren Verknüpfung mit Verarbeitungen zu Analyse- und Werbezwecken kommt die Taskforce unter Bezugnahme auf die Ausführungen des OVG Schleswig jedoch zu dem Ergebnis, dass die gesetzten Cookies nicht (ausschließlich) zur Erbringung des Telemediendienstes erforderlich und mithin einwilligungsbedürftig sind.

Das seitens Facebook bereitgestellte Einwilligungs-Banner bietet unter Berücksichtigung der Ausführungen der Taskforce sowie des OVG Schleswig zwar grundsätzlich die Möglichkeit Cookies zu akzeptieren bzw. weiterführende Einstellungen vorzunehmen, es erfüllt inhaltlich jedoch nicht die Anforderungen, welche an eine rechtskonforme Einwilligungserklärung zu stellen sind. Das Kurzgutachten kommt dementsprechend zu dem Ergebnis, dass für das Setzen der Cookies keine wirksame Einwilligung eingeholt wird. Die im Rahmen eines Aufrufes einer Facebook-Fanpage gesetzten Cookies werden somit ohne einschlägige Rechtsgrundlage gesetzt. Der Betrieb einer Facebook-Fanpage ist demnach unter Berücksichtigung der Anforderungen des § 25 TTDSG nicht mit dem TTDSG vereinbar.


VEREINBARKEIT MIT DER DS-GVO

Zur Vereinbarkeit der Verarbeitung personenbezogenen Daten im Rahmen von Facebook-Fanpages, insbesondere bezüglich der jeweiligen Insight-Statistiken, führt das Kurzgutachten zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit von Facebook und dem jeweiligen Betreiber der Facebook-Fanpage aus. Die Einstufung als gemeinsame Verantwortliche im Sinne des Art. 26 DS-GVO entstammt der Rechtsprechung des Europäischen Gerichtshofes und wurde sowohl durch das Bundesverwaltungsgericht als auch das OVG Schleswig aufgegriffen.

An dieser Stelle positiv hervorzuheben ist, dass das OVG Schleswig in der Datenverarbeitung zu Werbezwecken durch Facebook keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sieht. Hierbei fehle es „insoweit jedenfalls an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung.“ Dieser Ansicht folgt die Taskforce jedoch nicht. Sie sieht in der Nutzung eines werbefinanzierten Dienstes durch den Betreiber der Facebook-Fanpage durchaus ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten von Facebook. Auch wenn die Taskforce die Argumentation unter Nennung des sogenannten „Netzwerkeffektes“ stützt, kann diese im Ergebnis nicht überzeugen.

Übereinstimmend kann jedoch eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten zu Insight-Statistiken angenommen werden. Das Kurzgutachten weist in diesem Zusammenhang darauf hin, dass eine jede Verarbeitung personenbezogener Daten einer einschlägigen Rechtsgrundlage bedarf. Eine solche liege jedoch für die Anfertigung von Statistiken ausdrücklich nicht vor. Die Annahme einer Einwilligung scheitere bereits aufgrund der Ausführungen zur Einwilligung hinsichtlich des Setzens von Cookies, die Durchführung einer Interessenabwägung sei bereits wegen einer unmöglich vorzunehmenden Prüfung der Rechtskonformität nicht möglich.

Abschließend verweist das Kurzgutachten auf die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DS-GVO sowie die Verpflichtung zur Bereitstellung transparenter Informationen nach Art. 26 DS-GVO hinsichtlich der gemeinsamen Verarbeitung personenbezogener Daten durch Facebook und dem jeweiligen Betreiber der Facebook-Fanpage sowie nach Art. 13 DS-GVO hinsichtlich der jeweils eigenverantwortlichen Verarbeitung personenbezogener Daten. Beide Informationspflichten lassen sich nach Auffassung der Taskforce aufgrund unzureichender Informationsbereitstellung durch Facebook nicht im erforderlichen Rahmen bereitstellen. Im Ergebnis ist dem Kurzgutachten eine deutliche Verneinung der Vereinbarkeit mit der DS-GVO zu entnehmen.


ERGEBNIS DES KURZGUTACHTENS

Auch wenn einige Ausführungen des Kurzgutachtens äußerst komplex dargestellt werden, erfreut sich das Ergebnis einer besonders klaren Formulierung: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.“ Facebook-Fanpages lassen sich somit nicht datenschutzkonform betreiben.


FAZIT

Die Inhalte des Kurzgutachtens sind inhaltlich (weitestgehend) nicht zu beanstanden, überraschen darüber hinaus jedoch auch wenig. Im Ergebnis ist festzuhalten, dass das vorliegende Kurzgutachten durch die betreffenden verantwortlichen Stellen – wenn überhaupt – nur schulterzuckend zur Kenntnis genommen werden wird. Dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann, ist bereits seit einigen Jahren Gegenstand der datenschutzrechtlichen Beratungspraxis. Eine entsprechende Sanktionierung seitens der Aufsichtsbehörden blieb bislang weitestgehend aus, sodass sich verantwortliche Stellen auch weiterhin in der Breite dieses Marketinginstrumentes bedienen werden. Daran wird auch das Veröffentlichen eines weiteren Gutachtens nichts ändern können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenschutzkonferenz
  • Facebook
  • Gemeinsame Verantwortlichkeit
  • Gutachten
  • TTDSG
Lesen

LG MÜNCHEN I ZUR NUTZUNG VON GOOGLE FONTS

In unserem Blog-Beitrag „Analyse, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten“ haben wir bereits im Februar des vergangenen Jahres auf die datenschutzrechtlichen Besonderheiten bei der Implementierung von Drittinhalten auf der Internetseite betrachtet. In diesem Zusammenhang empfahlen wir die Installation von Webschriftarten auf den Servern der verantwortlichen Stelle. Mit Urteil vom 20. Januar 2022 hat das LG München I (Az. 3 O 17493/20) nun entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann.


WAS SIND WEBSCHRIFTARTEN UND GOOGLE FONTS?

Internetseiten stellen neben Präsenzen in sozialen Netzwerken zunehmend eines der wichtigsten Kommunikationskanäle von Unternehmen und Behörden dar. Dementsprechend ist das Bedürfnis groß, die Elemente der Internetseite an die Corporate Identity des Unternehmens anzupassen sowie durch die Nutzung besonderer Schriftarten den Wiedererkennungswert zu erhöhen. Verschiedene Anbieter stellen hierfür umfangreiche Bibliotheken an Webschriftarten, meist zur kostenfreien Nutzung, zur Verfügung. Einer der am meist verbreitetsten Anbieter in diesem Bereich ist Google mit dem Produkt „Google Fonts“.


WIESO IST DAS DATENSCHUTZRECHTLICH RELEVANT?

In der Regel können derartige Schriftarten über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).


WAS HAT DAS GERICHT ENTSCHIEDEN?

Im Rahmen des benannten Verfahrens beanstandete der Kläger die dynamische Nutzung von Google Fonts sowie die hierbei stattfindende Übermittlung personenbezogener Daten ohne Einwilligung der jeweiligen Nutzenden. Die beklagte verantwortliche Stelle stützte die Einbindung von Google Fonts und die diesbezügliche Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Das Gericht stellte diesbezüglich eine unerlaubte Weitergabe der IP-Adresse des Klägers und mithin eine Verletzung des Rechts auf informationelle Selbstbestimmung fest. Nach Ansicht des Gerichtes könne die dargestellte Datenverarbeitung nicht auf die Rechtsgrundlage des berechtigten Interesses gestützt werden, da eine Nutzung von Webschriftarten auch ohne Übermittlung personenbezogener Daten möglich sei.

Weiterhin steht dem Kläger ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Dies gilt insbesondere vor dem Hintergrund des Kontrollverlustes des Klägers über seine personenbezogenen Daten sowie die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Für das Gericht erscheint der geltend gemachte Schadensersatz von 100 € für angemessen. Die beklagte verantwortliche Stelle hat darüber hinaus  zukünftig vergleichbare Datenverarbeitungen zu unterlassen. Zuwiderhandlungen können mit einem Ordnungsgeld von bis zu 250.000 €, ersatzweise mit Ordnungshaft bis zu sechs Monaten geahndet werden.


EMPFEHLUNGEN FÜR DIE PRAXIS

Verantwortlichen Stellen ist anzuraten sämtliche Internetseiten auf den Einsatz von Webschriftarten und vergleichbaren Diensten von Drittanbietern (z.B. Content Delivery Networks, kurz: CDN) zu untersuchen. Zu empfehlen ist dabei grundsätzlich die Implementierung dieser Dienste und Elemente auf den Servern der verantwortlichen Stelle.

Die Nutzung der Rechtsgrundlage der Einwilligung kann für die benannten Datenverarbeitungen nicht empfohlen werden: Findet bei der jeweiligen Verarbeitungstätigkeit eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, richtet sich diese Verarbeitung nach Kapitel V der DS-GVO. Dabei kann zwar ebenfalls eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO herangezogen werden, jedoch ausschließlich im Ausnahmefall. Ein solcher Ausnahmefall ist im Rahmen regelmäßig wiederkehrender Datenverarbeitungen für eine Vielzahl von Nutzenden jedoch nach Auffassung der Aufsichtsbehörden grundsätzlich zu verneinen.

Sofern Unsicherheiten in der Anwendung des Gerichtsurteils oder in der weiteren Handhabung der datenschutzrechtlichen Vorschriften im Zusammenhang mit der Internetseite bestehen, empfehlen wir die Kontaktaufnahme mit Ihrem Datenschutzbeauftragten. Gern hilft Ihnen in diesen Fällen auch das DID Dresdner Institut für Datenschutz weiter.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Drittlandübermittlung
  • Internetseite
  • Schadenersatz
  • Urteil
  • Webschriftarten
Lesen

ORIENTIERUNGSHILFE DER AUFSICHTSBEHÖRDEN FÜR ANBIETER:INNEN VON TELEMEDIEN

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  


WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“


WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.


WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“
Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.


WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.


FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Orientierungshilfe
  • Telemedien
  • TTDSG
Lesen

VERÖFFENTLICHUNG VON GRUPPENFOTOS IN SOZIALEN NETZWERKEN

Die Veröffentlichung von Fotoaufnahmen einer oder mehrerer Personen im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen stellt eine Verarbeitung personenbezogener Daten dar, welcher einer einschlägigen Rechtsgrundlage bedarf. Verantwortliche Stellen und Datenschutzbeauftragte stehen regelmäßig vor der Herausforderung der datenschutzrechtlichen Einschätzung, ob und in welchem Rahmen eine derartige Veröffentlichung vorgenommen werden kann. Anhaltspunkte liefert hierbei eine aktuelle Entscheidung des Oberverwaltungsgerichts Lüneburg (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20).


SACHVERHALT

Im Rahmen einer öffentlichen Veranstaltung eines Ortsvereins einer politischen Partei mit insgesamt rund 70 Teilnehmenden nahm einer der Veranstaltungsteilnehmer ein Foto auf, auf welchem ein Großteil der Teilnehmenden abgebildet war. Hierunter auch der Vorsitzende des Ortsvereins sowie das Ehepaar F. Dieses Foto wurde durch denselben Ortsverein vier Jahr später in einem sozialen Netzwerk veröffentlicht. Herr F. wandte sich hierauf mit Verweis auf das für die Veröffentlichung fehlende erforderliche Einverständnis an den Ortsverein und forderte diesen zur Stellungnahme und Löschung auf. Zudem legte Herr F. bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde ein, welche umgehend ein aufsichtsbehördliches Prüfverfahren einleitete. Der Ortsverein führte aus, dass die Veröffentlichung weder gegen die Datenschutz-Grundverordnung (DS-GVO) noch gegen das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) verstoße. Gegen die daraufhin ergangene aufsichtsbehördliche Verwarnung erhob der Ortsverein Klage. Das Verwaltungsgericht Hannover bestätigte erstinstanzlich den Bescheid (VG Hannover, Urt. v. 27.11.19 – 10 A 820/19), das OVG lehnte nunmehr den Antrag auf Berufungszulassung ab.


ENTSCHEIDUNGSGRÜNDE UND AUSWIRKUNGEN AUF DIE PRAXIS

Die Veröffentlichung von Fotografien innerhalb eines sozialen Netzwerkes stellt nach Ansicht des OVG unstreitig eine Verarbeitung personenbezogener Daten unter gemeinsamer Verantwortlichkeit des Betreibers der jeweiligen Seite mit dem Betreiber des sozialen Netzwerkes dar. Die streitgegenständliche Datenverarbeitung sei nach Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DS-GVO nicht gerechtfertigt und mithin als Verstoß gegen die DS-GVO zu werten. Die Veröffentlichung der Fotografien könne unter anderem weder auf die Rechtsgrundlagen des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO noch auf die spezialgesetzlichen Regelungen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO gestützt werden.

Das OVG legte dar, dass es im vorliegenden Fall grundsätzlich an der Erforderlichkeit der konkreten Datenverarbeitung fehlte. Darüber hinaus haben im Rahmen einer Interessenabwägung des Ortsvereins die entgegenstehenden Rechte und Interessen der betroffenen Personen lediglich in unzureichendem Umfang Eingang gefunden. Weiterhin entspricht die konkrete Datenverarbeitung auch nicht den vernünftigen Erwartungen der betroffenen Personen. Die Anwendung der spezialgesetzlichen Normen der §§ 22, 23 KUG i.V.m. Art. 85 Abs. 2 DS-GVO scheidet zudem aufgrund eines fehlenden journalistischen Verarbeitungszweckes aus.

Für die Praxis ergeben sich aus dem Urteil für die Veröffentlichung von Fotografien wichtige Hinweise, insbesondere welche Kriterien im Rahmen einer Interessenabwägung einbezogen werden sollten. Hierzu zählen unter anderem der Aspekt der Erforderlichkeit, die näheren Umstände der Anfertigung sowie das Veröffentlichungsmedium und der Zeitpunkt der Veröffentlichung.

Eine umfassende Darstellung der Entscheidungsgründe sowie der Auswirkungen und Handlungsempfehlungen für die Praxis können Sie unserem Beitrag „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“ entnehmen, welcher in der Ausgabe Nr. 04/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Erforderlichkeit
  • Fotoveröffentlichung
  • Interessenabwägung
  • Soziale Netzwerke
Lesen

GOOGLE GOES DATENSCHUTZ…

… ODER GOOGLES NEUE PLÄNE FÜR EFFEKTIVITÄT BEIM TRACKING

Wenn man diesem Gedanken das Google Geschäftsmodell zugrunde legt, klingt es ziemlich absurd. Googles Veröffentlichungen zu seiner neuesten Entwicklung klingen – zumindest aus Marketingsicht – wie ein Traum für jeden Webseitenverantwortlichen. Google verspricht die Möglichkeit interessenbasierter Werbung auf eine datenschutzfreundliche Art und Weise. Gezieltes Marketing durch Analyse von Nutzerverhalten soll ohne nerviges Cookiebanner möglich sein. Ist das datenschutzkonform umsetzbar?


DAS DRITTANBIETER-COOKIE SOLL STERBEN UND GOOGLE VERSUCHT ES ZU ERSETZEN

Cookies stoßen, nicht zuletzt wegen nerviger Cookiebanner, die auf das Überwachungsgeschäftsmodells aufmerksam machen, auf immer mehr Ablehnung bei Internetnutzern. Google ist führend bei der Entwicklung neuer Technologien, um Werbung im Web gezielt zu platzieren. Schon im Jahr 2019 stellte Google die Privacy-Sandbox vor, eine Vision für die Zukunft des Datenschutzes im Web. Es wurden einige technische Standards vorgeschlagen – mit Vogelnamen benannt: PIGIN, TURTLEDOVE, SWAN, PELICAN, PARROT, … All diese Vögel wollen zielgerichteten Werbung ermöglichen, ohne die Verwendung von Cookies.

Der neueste Clou ist das sogenannte Federated Learning of Cohorts (FLoC), vielleicht der ehrgeizigste und der potenziell gefährlichste Wolf im Schafspelz für den Datenschutz. FLoC soll einen Browser dazu bringen, eine Art Profiling zu übernehmen, das Herunterbrechen der kürzlichen Browsing-Aktivitäten in ein Verhaltenslabel. In Googles Whitepaper zu FloC heißt es dazu:

„… eine neue Methode, mit der Unternehmen Menschen mit relevanten Inhalten und Anzeigen erreichen können. Dabei werden große Gruppen mit ähnlichen Interessen zu Clustern zusammengefasst. Dieser Ansatz lässt Einzelpersonen effektiv „in der Menge“ verschwinden und nutzt die geräteinterne Verarbeitung, um deren Browserverlauf zu schützen.“


WIE FUNKTIONIEREN DIESE LABEL?

Eine sogenannte „Cohort“ (angelehnt an die römische Kohorte) entsteht, indem Google über den Browser die Surfaktivitäten des Nutzers in sogenannte „Sim-Hash“ zusammenführt. Diese werden zu Interessengruppen zusammengefasst, die Kohorte. Werbetreibenden werden Kohorten dann zur Aussendung von Werbung zur Verfügung gestellt.

Google sieht den datenschutzrechtlichen Vorteil darin, dass tausende Nutzer in einer Gruppe zusammengefasst werden und damit in der Masse verschwinden. Eine Unterscheidung und somit Identifizierung einzelner Nutzer sei dann nicht mehr möglich. So soll interessensgerechte Werbung an eine anonyme Masse ausgeliefert werden. Google selbst erwartet laut oben zitiertem Blogbeitrag eine Conversion von mindestens 95% pro ausgegebenen Dollar für die Werbetreibenden.


WO LIEGEN DIE DATENSCHUTZRECHTLICHEN PROBLEME?

Auf den ersten Blick vermeidet diese Technologie die Datenschutzrisiken von Drittanbieter-Cookies. Googles Argumentation ist, dass in einer Welt mit FLoC (und anderen Elementen der „Datenschutz-Sandbox“) Datenbroker und Werbetechnologieriesen keine Profile erstellen und verfolgen könnten.

Eines der größten Probleme sieht z.B. die Stiftung Electronic Frontier Foundation (EFF) im Browser Fingerprinting. Browser-Fingerprinting ist die Praxis, viele einzelne Informationen aus dem Browser eines Nutzers zu sammeln, um eine eindeutige, stabile Kennung für diesen Browser zu erstellen und die Aktivitäten im Internet zu verfolgen. Beim Browserfingerprinting folgt das Verhalten des Nutzers von Website zu Website wie ein Etikett, das auf den ersten Blick undurchschaubar ist, aber für Eingeweihte eine große Bedeutung hat. Fingerprinting ist schwer zu stoppen. Browser wie Safari und Tor haben einen jahrelangen Zermürbungskrieg gegen diese Tracker geführt, indem sie große Teile ihrer eigenen Funktionen geopfert haben, um die Angriffsfläche für Fingerabdrücke zu reduzieren.

Laut Google soll die überwiegende Mehrheit der FLoC-Kohorten jeweils Tausende von Nutzern umfassen, so dass anhand der Kohorten-ID allein keine Unterscheidung einzelner Personen möglich sein soll. Genau das könnte für das Fingerprinting jedoch ein Vorteil sein. Wenn ein Tracker mit Ihrer FLoC-Kohorte beginnt, muss er Ihren Browser nur von ein paar Tausend anderen unterscheiden (und nicht von ein paar hundert Millionen). Diese Informationen können noch aussagekräftiger sein, da sie wahrscheinlich mit anderen Informationen, die der Browser preisgibt, korreliert werden. Das macht es für Tracker viel einfacher, einen eindeutigen Fingerabdruck für FLoC-Nutzer zu erstellen. Das bedeutet letztlich, dass jede Website, die Sie besuchen, eine gute Vorstellung davon hat, was für eine Art von Person Sie beim ersten Kontakt sind, ohne dass Sie im gesamten Web verfolgt werden müssen. Ihre FLoC-Kohorte aktualisiert sich zudem im Laufe der Zeit, so können Websites, die Sie auf andere Weise identifizieren können, auch verfolgen, wie sich Ihr Surfverhalten ändert. Eine FLoC-Kohorte ist nicht mehr und nicht weniger, als eine Zusammenfassung Ihrer jüngsten Browsing-Aktivitäten.

Google hat dies zwar als Herausforderung erkannt und in Aussicht gestellt dies zu lösen und langfristig Fingerprinting zu umgehen. Aber laut der FAQ zu Google FloC ist dieser Plan „ein Vorschlag in einem frühen Stadium und hat noch keine Browser-Implementierung.“ In der Zwischenzeit wird Google mit dem Test von FLoC beginnen.

Ein weiteres datenschutzrechtliche Problem ergibt sich daraus, dass – wie Google selbst eingesteht – „Webseiten, die persönliche Daten einer Person kennen (zum Beispiel, wenn ein Login mit Google angeboten wird), ihre FloC aufzeichnen und offenbaren könnten. Das bedeutet, dass Informationen über die Interessen einer Person öffentlich werden können. Dies ist zwar nicht ideal, aber immer noch besser als die heutige Situation, in der persönliche Daten mit einer genauen Browservergangenheit verbunden werden können, die über Cookies von Drittanbietern erhalten wird“, heißt es dazu auf der offiziellen GitHub-Seite des Vorschlags. (Quelle: t3n.de)

In der Welt der Cookies können Nutzer in der Regel, zumindest wenn die Webseite eine datenschutzrechtlich korrekt implementiertes Cookie-Banner verfügt, entscheiden, welche Informationen mit jeder Website, mit der interagiert wird, geteilt werden. Bei gewissenhafter Anwendung der Wahlmöglichkeit – und Umsetzung durch Webseitenbetreiber – sollte es zumindest eine Wahlmöglichkeit in jedem spezifischen Fall geben.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Cohort
  • Fingerprinting
  • FloC
  • Google
  • Tracking
Lesen

ANALYSE, KARTEN, SCHRIFTARTEN & CO. – DATENSCHUTZ BEI INTERNETSEITEN

Seit den Urteilen des Europäischen Gerichtshofes (EuGH) im Oktober 2019 sowie des Bundesgerichtshofes (BGH) im Mai 2020 bezüglich der Verwendung von Cookies sind viele Internetseiten auf umfangreiche „Consent-Tools“ umgestiegen. Jedoch herrschen nach wie vor große Verunsicherungen und Fehlvorstellungen hinsichtlich eines datenschutzkonformen Einsatzes von Drittinhalten (z.B. Schriftarten, Formulare, Karten- oder Medieninhalte). Dieser Beitrag soll die rechtlichen Rahmenbedingungen umreißen und die wesentlichen Implementierungsmöglichkeiten kurz darstellen.


IST EINE EINWILLIGUNG ERFORDERLICH?

Zunächst sollte die Internetseite hinsichtlich eingebundener Drittinhalte, Cookies und Scripts überprüft werden. Unter Umständen ist hierbei die Einbindung Ihres Dienstleisters, welcher die Internetseite erstellt hat und / oder technisch betreut, erforderlich. Im ersten Schritt kann jedoch bereits eigenständig eine Überprüfung mit kostenfreien Anwendungen bei der Erstellung einer ersten Übersicht dienen. Hierfür geeignet scheinen insbesondere Webbkoll, BuiltWith, Ghostery und uBlock Origin. Darüber hinaus bieten auch einige Internetbrowser über integrierte Analysefunktionen.

Die Auflistung der eingesetzten Drittinhalte, Cookies und Scripts sollte kritisch hinterfragt werden: Welche dieser sind (technisch) zwingend erforderlich? Welche optionalen Technologien werden tatsächlich aktiv genutzt? Wurde die / der Datenschutzbeauftragte vor der Implementierung über die Verwendung in Kenntnis gesetzt? Bestehen datenschutzfreundlichere Alternativen?

Erfolgt ein Einsatz von Drittinhalten, Cookies und Scripts, die für einen Einsatz der Internetseite technisch zwingend erforderlich sind, das heißt ein fehlerfreier Aufruf der Internetseite ohne Implementierung und Nutzung dieser gänzlich unmöglich ist, bedarf es keiner Einwilligung der Personen, welche die Internetseite aufrufen. Das betrifft in der Regel zum Beispiel Cookies zur technischen Gewährleistung einer Anmeldung zu einem internen Bereich oder Warenkorbfunktionen zur Abwicklung einer Online-Bestellung.


WELCHE ANFORDERUNGEN WERDEN AN EINE WIRKSAME EINWILLIGUNG GESTELLT?

Grundsätzlich empfiehlt sich bei der Nutzung einwilligungsbedürftiger Drittinhalte, Cookies und Scripts die Verwendung eines sogenannten „Consent-Tools“ (auch: „Cookie-Banner“). Werden hingegen ausschließlich technisch erforderliche Inhalte verwendet, bedarf es eines solchen Banners nicht. In diesem Fall genügt eine Information über die verwendeten Inhalte im Rahmen der Datenschutzinformation (auch: „Datenschutzerklärung“).

Bei einem erstmaligen Aufruf der Internetseite muss gewährleistet sein, dass diese zunächst ausschließlich im technisch erforderlichen Umfang dargestellt wird. Sofern darüber hinaus die Nutzung von Cookies, Drittinhalten und Scripts gewünscht ist, dürfen diese erst nach erteilter Einwilligung der Nutzenden geladen werden. Das Einholen einer rein formalen Einwilligung, wobei eine Datenverarbeitung bereits vor oder gänzlich unabhängig von der konkreten Einwilligung stattfindet, ist unzulässig. Die konkrete Einwilligung der Nutzenden ist stets technisch exakt abzubilden.

Der Europäische Datenschutzausschuss (EDSA) setzt für eine wirksame Einwilligung bereits vor Abgabe der Einwilligung folgende Informationen voraus: Angaben zur verantwortlichen Stelle, Darstellung der konkreten Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Absicht einer automatisierten Entscheidungsfindung sowie der Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland. Weiterhin ist gemäß Art. 7 Abs. 3 DS-GVO ebenfalls vor Abgabe der Einwilligung auf das Bestehen des Widerrufrechts hinzuweisen.

Eine Einwilligung ist tatsächlich nur dann als wirksame Einwilligung zu klassifizieren, sofern die Nutzenden tatsächlich eine Wahl über Zustimmung oder Ablehnung erhalten. Die oftmals vorzufindende Formulierung, wonach die Internetseite Cookies verwendet und mit dem weiteren Besuch von einer Zustimmung ausgegangen wird, erfüllt diese Anforderung nicht. Derartige „Cookie-Banner“ sind schlichtweg nutzlos und aus datenschutzrechtlicher Sicht absolut unzureichend. Ebenfalls als unzulässig einzuordnen sind vorausgefüllte Auswahlfelder oder das sogenannte „Nudging“, also das Beeinflussen der Nutzenden, der Verwendung zuzustimmen, indem die weiteren Optionen (z.B. „Ablehnen“ oder „weitere Einstellungen“) kaum lesbar oder nur schwer auffindbar integriert werden.

Übrigens: Die getätigte Einwilligung darf und sollte aus Gründen der Nachweisbarkeit gespeichert werden. So kann auch vermieden werden, dass Nutzende bei erneutem Aufrufen der Internetseite wiederholt der Datenverarbeitung zustimmen oder diese ablehnen müssen. Das permanente Abfragen wird durch die datenschutzrechtlichen Vorschriften weder verlangt, noch trägt dies zu einem positiven Nutzungserlebnis bei.


WAS BEDEUTET DAS FÜR EINZELNE DATENVERARBEITUNGEN?

Im weiteren Verlauf soll nun kurz dargestellt werden, welchen Maßnahmen in der Regel bei der Implementierung der folgenden Kategorien von Drittinhalten, Cookies und Scripts beachtet werden sollte.

Analyse des Nutzungsverhaltens: Bei einem Einsatz von Analyse- und Trackingdiensten werden durch diese in der Regel Cookies gesetzt, die hinsichtlich der Darstellung der Internetseite als nicht technisch erforderlich zu klassifizieren sind, sodass es grundsätzlich einer Einwilligung der Nutzenden bedarf. Einige Anbieter solcher Dienste werben explizit damit, dass durch den Verzicht einer Cookie-Setzung und stattdessen der Verwendung einer Fingerprinting-Methode das Einwilligungserfordernis umgangen werden kann. Aufgrund der (datenschutzrechtlichen) Vergleichbarkeit beider Methoden sind solche Aussagen mit Vorsicht zu betrachten. Hier bedarf es zuvor einer grundlegenden Überprüfung im Einzelfall.

Darstellung von Karteninhalten: Je nach gewähltem Kartendienst erfolgt oder unterbleibt bei der Nutzung der Karteninhalte das Setzen von Cookies. Mit Blick auf den Grundsatz der Datenminimierung gemäß Art. 5 Abs 1. lit. c DS-GVO sowie auf die Anforderung eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO, sollte eine möglichst datensparsame Kartendarstellung gewählt werden. Sofern eine Cookie-Setzung unausweichlich ist, bedarf es für die Darstellung der Karteninhalte in der Regel der Einwilligung der Nutzenden.

Darstellung von Videoinhalten: Werden bei einem Abspielen eingebundener Videoinhalte keine Cookies gesetzt und findet darüber hinaus keine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, so kann eine Implementierung in der Regel ohne Einwilligung der Nutzenden erfolgen. Eine mögliche Rechtsgrundlage der Datenverarbeitung stellt dann das berechtigte Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar. Als Anforderung ist hierbei jedoch zu nennen, dass das Video nur durch einen extra Klick der Nutzenden und nicht automatisch starten darf. So zumindest führt es die FAQ des Bayrischen Landesamtes für Datenschutzaufsicht aus.

Einbindung von Webschriftarten oder Scripts: Beliebt – und oftmals mit einem Hinweis auf die Performance der Internetseite begründet – sind sogenannte Webschriftarten („Fonts“) oder Scripts, die bei einem Aufruf der Internetseite durch die Nutzenden von externen Servern geladen werden. Grundsätzlich lässt sich diese Datenverarbeitung auf das berechtigte Interesse der verantwortlichen Stelle stützen, jedoch sollte eine lokale Installation auf den Servern der verantwortlichen Stelle bevorzugt werden. Ein Drittstaatentransfer sollte grundsätzlich unterbleiben.

Hinweis: Erfolgt im Rahmen der Implementierung und Nutzung der oben aufgeführten Drittinhalte eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland, so bedarf es für die Übermittlung einer gesonderten Rechtsgrundlage.


WAS IST DARÜBER HINAUS DATENSCHUTZRECHTLICH ZU BEACHTEN?

Unabhängig von der Einwilligungsbedürftigkeit sind sämtliche Datenverarbeitungen in der Datenschutzinformation der Internetseite darzustellen. Die notwendigen Inhalte richten sich hierbei insbesondere nach Art. 13 DS-GVO. Da die Datenverarbeitungen auf jeder Internetseite unterschiedlich sind, gibt es nicht die „eine“ richtige Datenschutzinformation. Aus diesem Grund sollten auch die Ergebnisse sogenannter „Generatoren für Datenschutzerklärungen“ detailliert überprüft und gegebenenfalls angepasst werden.

Kommen im Zusammenhang mit der Internetseite Dienstleister zum Einsatz, die personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting, Wartung und Pflege, Analyse und Tracking), so sind mit diesen zwingend Verträge zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO zu schließen. Darüber hinaus muss die verantwortliche Stelle über die Datenverarbeitungen der Internetseite gemäß Art. 30 Abs. 1 DS-GVO ein Verzeichnis der Verarbeitungstätigkeiten führen.


FAZIT

Mit der Bereitstellung und dem Betrieb einer Internetseite gehen zahlreiche datenschutzrechtliche Verpflichtungen einher, die einer detaillierten Betrachtung bedürfen. Aus diesem Grund sollte der / die Datenschutzbeauftragte frühestmöglich bei der Erstellung oder Änderung der Internetseite einbezogen werden. Sollten Sie bei der datenschutzrechtlichen Überprüfung Ihrer Internetseite oder bei der Erstellung einer passgenauen Datenschutzinformation Unterstützung benötigen, können Sie hierfür gern das DID Dresdner Institut für Datenschutz kontaktieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Cookies
  • Datenschutzinformation
  • Drittstaaten
  • Einwilligung
  • Internetseite
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen

DAS DILEMMA MIT DEM COOKIE-BANNER

Im Mai dieses Jahres hat der Europäische Datenschutzausschuss einen Beschluss veröffentlicht, in dem klargestellt wurde, dass Cookies und alle anderen Trackingtools nur mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden dürfen. Fast gleichzeitig hat auch der Bundesgerichtshof (BGH) für Deutschland entschieden, dass es bei der Setzung von Cookies einer Einwilligung jedes Besuchers bedarf, wenn Cookies nicht funktionsnotwendig sind. Das gilt auch für die Nutzung anderer Technologien zu Tracking- und Analysezwecken.

WAS SOLLTEN SIE JETZT TUN?

(1) Machen Sie eine Bestandsaufnahme aller Cookies und sonstigen Scripte. Eine vollständige Auflistung der Datenverarbeitungen auf Ihrer Internetseite kann in der Regel nur in Zusammenarbeit mit dem jeweiligen Ersteller der Internetseite erfolgen. Sie können im ersten Schritt hierzu jedoch auch folgende kostenfreie Internetseiten und Anwendungen nutzen:
Webbkoll
BuiltWith
Überprüfung der Google-Analytics-Konfiguration
– Ghostery & uBlock Origin (Browsererweiterung für verschiedene gängige Browser)
– Überprüfung der eingesetzten Cookies über den Browser, z.B. über „Web-Speicher“ bei Firefox

(2) Überlegen Sie, zu welchem Zweck die eingesetzten Cookies und Scripte, bzw. die sich dahinter verbergenden Tools verwendet werden. Vor allem: Prüfen Sie, ob die Tools überhaupt aktiv genutzt werden und ob es vielleicht datenschutzfreundliche Alternativen gibt.

(3) Überprüfen Sie, ob die Elemente für das technische Funktionieren der Webseite zwingend nötig sind. Für alle anderen Cookies und Scripte wird eine Einwilligung des Nutzers benötigt. Einwilligungsbedürftig sind bspw. Cookies oder Dienste im Zusammenhang mit statistischer Analyse und Reichweitenmessung, verhaltens- oder standortbezogene Werbung, sozialen Netzwerken, Streaming-Inhalte, die bei Dritten gehostet werden, sonstigen Inhalten Dritter.

(4) Werden einwilligungsbedürftige Cookies oder Dienste eingesetzt, setzen Sie die Einwilligung nutzerfreundlich und rechtskonform um. Eine praktikable Lösung ist die Verwendung sogenannter „Cookie-Banner“ oder „Consent Management“-Dienste, die für alle gängigen Content Management Systeme als Plugins angeboten werden. Die Grundanforderungen an ein solches Banner sind, dass es sofort und gut sichtbar bei Besuch der Internetseite ist und die gesetzliche Pflichtinformationen (z.B. Impressum, AGB, Datenschutzerklärung) nicht überdeckt. Einwilligungsbedürftige Datenverarbeitungen dürfen erst nach aktiver Zustimmung des Nutzers vorgenommen werden. In der Regel muss ein Besuch der Internetseite auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt. Ausnahmen können sich im Zusammenhang mit kostenpflichtigen Alternativen ergeben; sie müssen im Einzelfall geprüft werden.

Der Hinweistext soll in klarer und verständlicher Sprache zur Art der Daten, der Verarbeitung, Übermittlung und Speicherdauer informieren. Verwenden Sie idealerweise für die Gestaltung drei gleichartige Auswahl-Schaltflächen, ohne vorausgewählte Optionen:
(a) alle Anbieter akzeptieren, (b) alle Anbieter ablehnen, (c) erweiterte Einstellungen.

Mit der Schaltfläche „erweiterte Einstellungen“ sollten Sie detaillierte Informationen zur Verfügung stellen. Das sind die Beschreibung sämtlicher Verarbeitungszwecke und die Nennung aller Drittanbieter als Datenempfänger mit Unternehmensbezeichnung und Anschrift (die Nennung des Namens oder der Cookie-Domain reicht nicht aus) sowie die Angabe der Speicherdauer der Cookies. Wichtig ist auch, dort Einwilligungen für verschiedene Zwecke oder unterschiedliche Drittanbieter gesondert abgeben zu können. Sie müssen auch die Möglichkeit des jederzeitigen Widerrufs, z.B. mittels eines Buttons „Alle deaktivieren“, anbieten.

(5) In einem letzten Schritt kann es notwendig sein, die Datenschutzinformationen Ihrer Internetseite anzupassen.

Das Dresdner Institut für Datenschutz oder Ihr Datenschutzbeauftragter unterstützt Sie gern, auch in Zusammenarbeit mit Ihrer Internet-Agentur.

Über die Autorin: Tanja Albert ist als externer Datenschutz- und IT-Sicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits- und sozialen Bereich auch Unternehmen im Ausland.

    Tags:
  • BGH
  • Cookie
  • Cookiebanner
  • EuGH
  • Internetseite
  • Planet49
Lesen