Mängel bei Cookies, Pflichtinformationen auf Webseiten und Drittstaatentransfers
Es erreichen die dAtenschutzaufsicht kontinuierlich Kontrollanregungen und Beschwerden bezüglich der Verwendung von Cookies auf Webseiten sowie den Pflichtangaben nach Artikel 13 DSGVO. Häufig wird auch ein mangelhaftes Impressum moniert. Für Letzteres ist allerdings nicht die Datenschutzaufsicht, sondern (sofern das Impressum nicht als Teil der Pflichtinformationen aus Artikel 13 DSGVO anzusehen ist) die Medienanstalt Hamburg/Schleswig-Holstein (MA HSH) zuständig:
Die Beschwerden richten sich in einer Vielzahl der Fälle insbesondere dagegen, dass durch Webseiten Cookies gesetzt würden, ohne dass dies auf einer hinreichenden Rechtsgrundlage basieren würde, weil keine vorherige ausdrückliche und freiwillige Einwilligung eingeholt wird oder auch eine Übermittlung in einen Drittstaat stattfindet. Ein weiterer Großteil der Beschwerden richtet sich dagegen, dass die Informationspflichten nach Artikel 13 DSGVO nicht eingehalten würden, meistens weil sie unvollständig seien.
1. Zur Verwendung von Cookies
Bezüglich der Nutzung von Cookies und anderen Tracking-Technologien hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Jahr 2019 eine „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ veröffentlicht.
Zum damaligen Zeitpunkt hatte der deutsche Gesetzgeber es jahrelang versäumt, die ePrivacy-Richtlinie (Richtlinie 2009/136/EG) in nationales Recht umzusetzen, wonach die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, grundsätzlich nur nach einer vorherigen Einwilligung zulässig ist, wenn nicht eine der in der Richtlinie genannten Ausnahmen greift. Die in der – nach wie vor geltenden – Richtlinie genannten Ausnahmen sind:
- technische Speicherung oder Zugang zum alleinigen Zweck, die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen, sowie
- wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Das bedeutet: Nur in diesen Fällen bedarf es keiner vorherigen Einwilligung.
Weil der Gesetzgeber in Deutschland zum Zeitpunkt der Geltungserlangung der DSGVO nicht für klare gesetzliche Vorgaben gesorgt hatte, entschieden sich die Aufsichtsbehörden, die oben genannte Orientierungshilfe zu veröffentlichen. Wo keine Vereinbarkeit mit europäischem Recht gegeben war, konnten zwar die nationalen Vorgaben des Telemediengesetzes (TMG) keine Anwendung finden, jedoch galten nunmehr die Regelungen der DSGVO auch für den Bereich von Cookies. Eine direkte Anwendung der ePrivacy-Richtlinie schied aus rechtsstaatlichen Gründen aus. Eine Auslegung der nationalen Vorschriften im Sinne der ePrivacy-Richtlinie vermochten die Aufsichtsbehörden nicht vorzunehmen, da die Regelung im TMG und die Vorgaben in der ePrivacy-Richtlinie diametral verschieden waren.
Mit dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) und insbesondere dessen § 25 hat sich die Rechtslage zum 1. Dezember 2021 erneut geändert, wenn auch im Ergebnis nicht wesentlich: Der Gesetzgeber hat zehn Jahre nach der Umsetzungsfrist eine nahezu wortidentische Umsetzung der ePrivacy-Richtlinie und deren Art. 5 Abs. 3 vorgenommen. Daraus ergibt sich, dass die allgemeinen Regeln der DSGVO für die Prozesse des Setzens und Auslesens von Informationen aus Endgeräten nicht mehr greifen, da es spezielleres Recht, nämlich § 25 TTDSG, gibt, das als Umsetzung der ePrivacy-Richtlinie vorrangig anzuwenden ist. Die nachgelagerte Verarbeitung unterfällt jedoch nach wie vor den allgemeinen Regelungen der DSGVO.
Die Vorgaben an eine wirksame Einwilligung ergeben sich – weiterhin – aus der DSGVO. Die ePrivacy-Richtlinie verweist insofern auf das allgemeine Datenschutzrecht und damit nunmehr auf die DSGVO. Dazu gehört insbesondere, dass es für eine Einwilligung einer eindeutig bestätigenden Handlung bedarf, wie auch im Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C673/17 („Planet 49“) sowie der darauf aufbauenden Entscheidung des Bundesgerichtshofs vom 28.05.2020 unter dem Aktenzeichen I ZR 7/16 bestätigt wurde.
Weitere Informationen zur Einwilligung ergeben sich aus den Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, des Europäischen Datenschutzausschusses, angenommen am 4. Mai 2020:
Die Aufsichtsbehörden der Länder haben daher Ende 2021 die „Orientierungshilfe für Anbieter von Telemedien“ (Stand: Dezember 2021) überarbeitet, um Rechtsanwendern Klarheit über die Anwendung der neuen Vorgaben zu verschaffen. Die Orientierungshilfe kann hier abgerufen werden.
Im Grundsatz bleibt es bei der Konstellation, dass der Zugriff auf Endgeräte und damit – als prominentestes Beispiel – der Einsatz von Cookies grundsätzlich nur nach vorheriger wirksamer Einwilligung zulässig ist, wenn nicht eine der gesetzlichen Ausnahmen greift.
Das Merkmal „unbedingt erforderlich“, auf das es im Rahmen der Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG ankommt, ist eng zu verstehen. In der Gesetzesbegründung wird von einer technischen Erforderlichkeit ausgegangen. Eine Ausnahme von der Einwilligungsbedürftigkeit kann somit nicht dadurch begründet werden, dass das Speichern von oder der Zugriff auf Informationen im Endgerät wirtschaftlich für das Geschäftsmodell erforderlich ist, in das der Telemediendienst eingebunden ist.
Cookie-Banner sollten nur zum Einsatz kommen, wenn auch tatsächlich einwilligungsbedürftige Datenverarbeitungen stattfinden.
Werden Consent-Management-Plattformen verwendet, bedeutet dies nicht automatisch, dass damit rechtskonforme Einwilligungen eingeholt werden, da mitunter zahlreiche Konfigurationsmöglichkeiten gegeben sind. Die Verantwortlichkeit für die Rechtskonformität verbleibt zudem bei den Webseitenbetreibern. Diese haben sicherzustellen, dass einwilligungsbedürftige Datenverarbeitungen beim Besuch ihrer Webseiten erst nach einer wirksamen Einwilligung durchgeführt werden.
2. Zu den Pflichtinformationen nach Artikel 13 DSGVO
Gemäß Art. 13 Abs. 1 und 2 DSGVO müssen die Verantwortlichen im Falle der Erhebung personenbezogener Daten bei betroffenen Personen Informationen über die Datenverarbeitung bereitstellen. Diese Informationspflichten entstehen auch bei der Ansteuerung eines Webauftritts durch Webseitenbesucher. In Webauftritten werden diese Pflichtinformationen häufig in „Datenschutzhinweisen“ oder „Datenschutzerklärungen“ aufgeführt. Zu den Inhalten der Informationspflichten hat das ULD eine Informationsbroschüre veröffentlicht.
Immer wieder finden sich generische Datenschutzerklärungen, die die tatsächlich auf den Webseiten stattfindenden Verarbeitungen nicht wahrheitsgetreu abbilden. Wenn Webseitenbetreiber bei der Abfassung der Datenschutzerklärungen auf Dienstleister zurückgreifen, die vorformulierte Datenschutzerklärungen anbieten, muss sichergestellt sein, dass diese auch auf die konkrete Webseite und die damit im Zusammenhang stehenden Datenverarbeitungen passen. Weder dürfen Verarbeitungen fehlen noch sollten Verarbeitungen genannt werden, die gar nicht stattfinden.
3. Zur Übermittlung personenbezogener Daten in einen Drittstaat
Durch das Urteil des EuGH in der Rechtssache C311/18 (Schrems II), wurde der Privacy-Shield-Beschluss der Europäischen Kommission 2016/1250 für ungültig erklärt.
Nach Art. 46 DSGVO gilt, dass, falls kein derartiger Beschluss der Europäischen Kommission nach Art. 45 Abs. 3 DSGVO vorliegt, ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln darf, sofern der Verantwortliche bzw. der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Weitere Informationen dazu hat der Europäische Datenschutzausschuss bereitgestellt:
Sofern durch Webseitenbetreiber Drittstaatentransfers veranlasst werden, z. B. weil Dienste auf der Webseite eingebunden werden, die einen Datenfluss in einen Drittstaat zur direkten Folge haben, müssen Webseitenbetreiber die Vorgaben zu Drittstaatentransfers berücksichtigen und vorab prüfen, ob ein solcher Transfer zulässig ist.
Für die Prüfung etwa notwendiger ergänzender Maßnahmen können Verantwortliche und Auftragsverarbeiter die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ nutzen.
Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen (Tz. 2.2), die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weist – wie auch der Europäische Datenschutzausschuss – darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und der Notwendigkeit zusätzlicher ergänzender Maßnahmen erforderlich ist.
https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf
Was ist zu tun?
1. Einwilligungsbedürftige Datenverarbeitungsvorgänge dürfen nicht ohne vorherige wirksame Einwilligung der betroffenen Personen durchgeführt werden.
2. Wenn Maßnahmen zur Einholung von Einwilligungen eingesetzt werden, müssen diese auch wirksam funktionieren, d. h., erst nach einer wirksamen Einwilligung darf eine darauf gestützte Datenverarbeitung stattfinden und nicht vorher.
3. Die Übermittlung personenbezogener Daten in einen Drittstaat darf nur im Einklang mit den Art. 44 ff. DSGVO erfolgen.
Quelle: ULD Schleswig-Holstein
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks