Aktuell tut sich viel im Webseitendatenschutz, die Einschläge kommen näher. Es ist daher dringend geboten, sich als Webseitenbetreiber mit der Thematik zu beschäftigen, um nicht unliebsame und teure Überraschungen zu erleben. Einerseits kann es zu Abmahnungen, z.B. von Verbraucherschutzvereinen kommen und andererseits zum Einschreiten von Datenschutzaufsichtsbehörden, angefangen von Prüfungen über Untersagungen bis hin zu Bußgeldern.
Gesetzliche Neuregelung, § 25 TTDSG
Ab dem 01.12.2021 gilt das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), welches die datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes und des Telemediengesetzes umsetzt und zugleich die aktuelle Rechtsprechung des EuGH-Urteils zum Cookie-Tracking und zur Datenübermittlung in die USA berücksichtig.
Für Webseitenbetreiber ist insbesondere § 25 TTDSG von Bedeutung. Darin ist der Grundsatz festgelegt, dass die Speicherung von Informationen, z.B. in Form von Cookies, in Endeinrichtungen des Endnutzers (z.B. via Browser im Speicher des PC, Tablet oder Smartphone) oder der Zugriff auf diese Informationen (Auslesen der Cookies) nur dann zulässig ist, wenn der Endnutzer (User) nach einer klaren und umfassenden Information freiwillig eingewilligt hat. Dies gilt für jede Art von Information, auch für nicht personenbezogene, anonymisierte IP-Adressen. Einwilligung ist zu verstehen als vorherige Zustimmung, also dürfen entsprechende Infos in Form von Cookies erst gesetzt und ausgelesen werden, wenn zuvor die Einwilligung rechtswirksam eingeholt wurde.
Von diesem grundsätzlichen Einwilligungserfordernis gibt es zwei Ausnahmen:
Entweder muss die Information allein dem Zweck der Nachrichtenübertragung dienen oder – und das dürfte die praktisch relevante Ausnahme sein – die Speicherung und der Zugriff auf die Information sind „unbedingt erforderlich“, um eine vom User ausdrücklich gewünschte Funktion (Telemediendienst) zur Verfügung zu stellen. Unbedingt erforderlich ist das was technisch notwendig ist, nicht das was wirtschaftlich gewünscht ist. Außerdem soll nicht pauschal beim „Betreten“ der Webseite für alle möglichen Funktionen eine Einwilligung eingeholt werden, sondern erst dann, wenn der User eine bestimmte Funktion nutzen will, z.B. ein von Youtube eingebettetes Video oder eine von Google Maps bereitgestellte Karte.
Der entscheidende Unterschied zur bisherigen Rechtslage ist, dass § 25 TTDSG nicht nur bei personenbezogenen Daten greift, sondern generell die Entscheidungshoheit des Users über jegliche Daten, die auf seinen Geräten gespeichert und ausgelesen werden.
Die Datenschutzaufsichtsbehörden haben hierzu in der Datenschutzkonferenz (DSK) eine Orientierungshilfe Telemedien 2021 am 20.12.2021 veröffentlicht:
https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
Zuvor hatten die Aufsichtsbehörden schon verschiedene Stellungnahmen zu den Folgen der Entscheidung des europäischen Gerichtshofs (EuGH) zum internationalen Datentransfer („Schrems II“-Entscheidung) und zu Cookie-Einwiligungen vom EuGH und vom Bundesgerichtshof (BGH) veröffentlicht (siehe Link).
In der Folge haben Aufsichtsbehörden die Prüfung per Fragebogen auf die Einhaltung der Datenschutzanforderungen bei der Wahl der Mailhoster, der Webhoster und beim Tracking begonnen (siehe Link).
Handlungsbedarf für Webseitenbetreiber
Konsequenz dessen ist, dass man prüfen muss, welche Technologien von welchen Dienstleistern man auf seiner Webseite einsetzt, welche Daten diese verarbeiten und wo und ob man überhaupt einwilligungsbedürftige Technologien einsetzen muss. Nutzt man z.B. keine Google-Analytics-Daten, kann man die Funktion auch aus der Webseite nehmen und muss sich dann nicht mehr mit den Anforderungen an eine wirksame Einwilligung befassen.
Wenn man doch eine einwilligungsbedürftige Technologie einsetzt, muss man darüber informieren, inklusive der damit verbundenen Risiken und dem Erfordernis die Einwilligung beim User einzuholen. Dabei müssen wichtige Informationen direkt ersichtlich sein und nicht im Kleingedruckten versteckt sein und es muss eine gleichgewichtige Ablehnungsmöglichkeit auf der gleichen Ebene und nicht in einem Untermenü für weitere Einstellungen geben. Zudem ist eine einfache Widerrufsmöglichkeit vorzusehen. Unwirksam ist demnach die häufig zu sehende Gestaltung der „Allem zustimmen“–Einstellungen. Wobei Einstellungen hierbei optisch oftmals im Hintergrund liegt und man erst nach einem weiteren Klick und Scrollen durch eine ellenlange Optionsliste zum unauffällig gestalteten „Ablehnen“-Button kommt.
Zudem bedarf es nun zwingend zweier Rechtsgrundlagen und Einwilligungen:
1. Einwilligung nach TTDSG, dass man überhaupt Informationen (Cookies) auf dem Endgerät speichern und auslesen darf und
2. Einwilligung nach DSGVO (Datenschutz-Grundverordnung), dass man die ausgelesenen Daten verarbeiten darf. Zum Verarbeiten gehört explizit auch die Übermittlung in die USA, was bei Funktionen von US-Anbietern regelmäßig der Fall ist.
Aktuelle Beispiele für Verstöße im Datenschutz
Dass es gar nicht so leicht ist, diese Anforderungen zu erfüllen, mussten Google und Facebook in Frankreich erleben, denen wegen intransparenter Cookie- und Einwilligungsgestaltung Bußgelder in zwei- bis dreistelliger Millionenhöhe auferlegt wurden. (siehe Link)
Eine Hochschule hatte ein Consent Management Tool von Cookie-Bot verwendet, und wurde wegen Datenschutzverstoß im Eilverfahren vom Verwaltungsgericht Wiesbaden verurteilt, die Nutzung des Cookie-Dienstes auf der Webseite zu unterlassen. (siehe Link)
Die Österreichische Datenschutzaufsicht hatte entschieden, dass die Nutzung von Google Analytics wegen der damit verbundenen Datenübermittlung in die USA nur auf der Grundlage der Standardvertragsklauseln (SCC) unzulässig ist, da durch die Vertragsklauseln ohne ergänzende Maßnahmen (Link) kein ausreichender Datenschutz gewährleistet wird, nachdem durch den EuGH das EU-US-Privacy-Shield für ungültig erklärt wurde. (Entscheidung vom 22.12.2021)
Ja sogar das Europäische Parlament ist am Datenschutz beim Betrieb einer Webseite, auf der Corona-Tests geordert werden konnten, nach Auffassung des Europäischen Datenschutzbeauftragten gescheitert (siehe Link). Die Nutzung von Goolge Analytics und des US-Zahlungsdienstleisters Stripes war datenschutzwidrig.
Auch aus Richtung von Verbraucherschutz- und Abmahnvereinen kann Ungemach drohen: So hat das Landgericht in Frankfurt a.M. entschieden, dass Tracking ohne vorherige Einwilligung nicht nur datenschutzwidrig, sondern auch wettbewerbswidrig ist. (siehe Link)
Ein Verbraucherschutzverein ging erfolgreich gegen einen Fitnessstudiobetreiber vor, der nicht notwendige Cookies gesetzt hatte, bevor eine Einwilligung eingeholt wurde. Dies betraf u.a. Tracking-Cookies von Criteo, Facebook, Google Analytics, Hotjar und Microsoft Ads.
Die Datenschutzorganisation von Herrn Schrems, NOYB, die erfolgreich gegen Facebook vor dem EuGH gegen den Datentransfer nach USA geklagt hatte, hatte mehrere hundert Beschwerden gegen verschiedene Webseitenbetreiber und deren Cookie-Banner eingereicht (siehe Link). Der Europäische Datenschutzausschuss (european data protection board - EDSB) hat vor kurzem deswegen eine Taskforce zu Cookie-Bannern eingerichtet, um die Reaktion auf Beschwerden von NOYB über Cookie-Banner zu koordinieren (siehe Link). Man darf also gespannt sein, was von dort noch an Anforderungen kommt und muss dann ggf. nochmals die Webseite auf Compliance prüfen (lassen).
Fazit
Es ist also jeder Webseitenbetreiber im eigenen Interesse gut beraten, seine Webseite auf den Prüfstand zu stellen, ggf. Tools runterzuschmeißen, bei US-Tools nach europäischen Alternativen zu suchen oder sowohl die Gestaltung der Prozesse zur Einholung von Einwilligung rechtskonform zu überarbeiten als auch die Datenschutzinformationen den eingesetzten Tools und der neuen Rechtslage anzupassen – Stichwort: § 25 TTDSG, Einwilligung explizit zusätzlich einholen.
Über den Autor
David Seiler (DS law) ist seit über 23 Jahren als Rechtsanwalt tätig und berät insbesondere Unternehmen aus dem dem Finanz- und Gesundheitssektor und der Content-Branche sowie Verbände und Datenschutzbeauftragte. Er berät schwerpunktmäßig zu Fragen des Fotorechts, Datenschutzrechts, IT- und Internetrecht sowie Zahlungsverkehrsrecht. Er ist als Autor und Lehrbeauftragter tätig, hält Vorträge und unterstützt den BVPA in rechtspolitischen Fragen in seinen Schwerpunktthemen.