ORIENTIERUNGSHILFE DER AUFSICHTSBEHÖRDEN FÜR ANBIETER:INNEN VON TELEMEDIEN

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  


WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“


WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.


WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“
Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.


WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.


FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Orientierungshilfe
  • Telemedien
  • TTDSG
Lesen

ORIENTIERUNGSHILFE DER DSK: ORIENTIERUNG? HILFE?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen