Cookies & Tools: Was gilt für ihren Einsatz?
Update Dezember 2021 – Neue Orientierungshilfe der Aufsichtsbehörden (DSK) zu Telemedien
In nahezu jedem internetbasierten Dienst sind heute verschiedene kleine Dienste und Tools eingebunden, die nicht vom Betreiber des Dienstes selbst, sondern von anderen Unternehmen angeboten und betrieben werden. Sehr häufig werden insbesondere Dienste zur Webanalyse, Werbenetzwerke und Plugins zur Einbindung externer Inhalte eingesetzt. Viele dieser Dienste sind allerdings datenschutzrechtlich problematisch.
Es gibt eine Vielzahl von verschiedenen Tools, die die Betreiber von internetbasierten Diensten (z.B. Webseiten, Mobil-Apps, Smarte Geräte etc.) in ihre Angebote einbinden können, um verschiedene zusätzliche Funktionen für sich und/oder ihre Nutzer zu erhalten. So werden beispielsweise oft Dienste zur Webanalyse genutzt, mittels derer die Diensteanbieter genauere Informationen über die tatsächliche Nutzung ihrer Angebote erlangen, um diese optimieren und anpassen zu können. Viele Betreiber setzen zudem Werbenetzwerke ein, um das eigene Angebot auch auf anderen Webseiten bzw. Portalen bewerben zu können. Häufig werden auch externe Inhalte (z.B. Videos, Karten, interaktive Elemente), Dienste (z.B. Zahlungsdienste) oder Social Plugins (z.B. Like Button) eingebunden. Solche Dienste und Tools werden in aller Regel nicht vom Anbieter eines Internetdienstes selbst, sondern von spezialisierten Unternehmen angeboten und betrieben und sind heute in einem Großteil aller internetbasierter Dienste eingebunden.
Verantwortlichkeit
Grundsätzlich ist jeder Anbieter eines Internetdienstes für die darüber anfallenden Nutzerdaten selbst verantwortlich. Die meisten der o.g. Dienste von Drittanbietern erheben und verarbeiten jedoch ebenfalls personenbezogene Daten der Nutzer bzw. setzen die Übermittlung dieser Daten durch den Diensteanbieter voraus. Insbesondere ist für die Funktion vieler dieser Drittanbieter-Dienste die (häufig diensteübergreifende) Wiedererkennbarkeit eines bestimmten Nutzers entscheidend (sog. Tracking). Für den Anbieter eines Dienstes, der Tools von Dritten einsetzt, spielt der Umfang der Datenverarbeitung bei diesen häufig nur eine untergeordnete Rolle, da es ihm im Wesentlichen auf die Erreichung des Zwecks des jeweils eingesetzten Tools (z.B. Einbindung eines Videos, bessere Vermarktung, Webanalyse usw.) ankommt. Dennoch wird der Anbieter durch die Einbindung solcher Drittanbieter-Dienste regelmäßig datenschutzrechtlich mitverantwortlich für die von diesen vorgenommenen Datenverarbeitungen, da auf seine Veranlassung Daten seiner Nutzer automatisch an die Anbieter übermittelt werden.
Hintergrund
Schon nach der alten Rechtslage vor Inkrafttreten der DSGVO waren die rechtlichen Voraussetzungen für die Einbindung solcher Dienste keineswegs eindeutig. Mit Gültigkeit der DSGVO seit Mai 2018 ist die Rechtslage allerdings noch unklarer geworden. Ursprünglich sollte zeitgleich mit der DSGVO die europäische ePrivacy-Verordnung in Kraft treten, mit der der europäische Gesetzgeber spezielle Regeln zur Datenverarbeitung in der elektronischen Kommunikation festlegen wollte. Aus politischen Gründen hat sich das Gesetzgebungsverfahren jedoch über Jahre hingezogen und scheint inzwischen sogar, zumindest vorerst, gescheitert zu sein. Dadurch sind derzeit viele Fragen des Datenschutzes in der elektronischen Kommunikation ungeregelt bzw. ungeklärt. Die daraus resultierende Unsicherheit bei den Verantwortlichen und den Betroffenen zeigt sich eindrücklich auch in der großen Anzahl an Beschwerden und Beratungsanfragen, die mich im Berichtszeitraum diesbezüglich erreicht haben.
Rechtslage / Orientierungshilfe für Anbieter von Telemedien (Update Dezember 2021)
Zur Erläuterung der geltenden Rechtslage und um die Ansichten der Aufsichtsbehörden zu diesem Thema darzulegen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im März 2019 die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ verabschiedet. Diese enthält ausführliche Erläuterungen dazu, welche datenschutzrechtlichen Regeln nach Ansicht der Aufsichtsbehörden bei der Verarbeitung von Nutzungsdaten in der elektronischen Kommunikation derzeit anwendbar sind und welche Voraussetzungen für den Einsatz der o.g. Dienste gelten. Da die bisherigen Regeln zur Verarbeitung von Nutzerdaten aus dem Telemediengesetz (TMG) aufgrund des Vorrangs der DS-GVO nicht mehr angewendet werden können und es keine sonstigen, spezielleren Vorschriften gibt, ist derzeit ausschließlich die DS-GVO für die Verarbeitung von Nutzerdaten heranzuziehen.
Danach kann die Nutzung von Drittanbieter-Tools in bestimmten Fällen auf die Rechtsgrundlage des Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden und somit auch ohne Zustimmung des Nutzers zulässig sein. Dies ist jedoch nur möglich, wenn die Verarbeitung der Nutzerdaten durch den jeweiligen Dienst in relativ geringem Maße in die Rechte des Nutzers eingreift und dessen Interessen die des Diensteanbieters nicht deutlich überwiegen. Im Rahmen der dabei vorzunehmenden Interessenabwägung sind verschiedene Faktoren wie z.B. Transparenz, Widerspruchsmöglichkeit des Nutzers, Umfang der Datenverarbeitung, Zahl der Beteiligten etc. zu berücksichtigen. Somit können bei entsprechend datenschutzfreundlichen Einstellungen auf dieser Rechtsgrundlage beispielsweise Dienste zur Webanalyse, die ohne angebotsübergreifendes Tracking auskommen, genutzt oder externe Inhalte Dritter eingebunden werden, wenn dies ohne Verfolgung der Nutzeraktivitäten durch den Dritten einhergeht.
Bei Internetdiensten, die von öffentlichen Stellen angeboten werden (z.B. Webseiten von Behörden), ist die Verarbeitung von Nutzerdaten nur dann zulässig, wenn sie gem. Art. 6 Abs. 1 S.1 lit. e DSGVO für die Wahrnehmung der öffentlichen Aufgabe der Stelle erforderlich ist. Während Internetauftritte für die Öffentlichkeitsarbeit sowie bestimmte inhaltliche Online-Angebote (z.B. E-Government) von Behörden regelmäßig erforderlich sind, ist dies beim Einsatz von Drittanbieter-Tools jedoch in der Regel nicht der Fall.
Viele Tools von Drittanbietern verarbeiten Nutzerdaten allerdings in einer Weise bzw. in einem Umfang, die mit Art. 6 Abs. 1 S.1 lit. f DSGVO nicht in Einklang zu bringen ist. Dies betrifft insbesondere viele Tools zur Webanalyse, Social-Plugins sowie nahezu alle Anbieter von nutzungsbasierter Werbung. Der Einsatz dieser Dienste ist nur zulässig, wenn der jeweilige Nutzer darin ausdrücklich eingewilligt hat. Das Einholen einer datenschutzrechtlich wirksamen Einwilligung erweist sich in der Praxis allerdings als schwierig. Dazu ist es u.a. erforderlich, dass die Nutzer ausreichend über die Datenverarbeitung informiert werden und dass die Einwilligung freiwillig und ohne Zwang abgegeben sowie durch eine aktive Handlung des Nutzers erklärt wird. Das reine Weiternutzen eines Angebots, das Wegklicken von Bannern mit der „Schließen“-Schaltfläche oder vorausgewählte Kästchen mit Einwilligungserklärungen genügen insoweit nicht. Zudem dürfen die Dienste und Tools, in deren Nutzung eingewilligt werden soll, erst nach der erfolgten Einwilligung geladen bzw. in den Internetdienst eingebunden werden.
Fazit
Derzeit fallen Rechtslage und Wirklichkeit bei solchen erforderlichen Einwilligungen häufig noch auseinander. Seit Inkrafttreten der DSGVO setzen zwar immer mehr Internetdienste sog. Cookie-Banner und/oder Consent-Management-Tools ein, deren Inhalt und technische Funktion sind aber häufig sehr zweifelhaft und nicht ausreichend. Es bleibt zu hoffen, dass der Gesetzgeber doch noch klare Regeln für den Datenschutz in der elektronischen Kommunikation aufstellt oder zumindest durch höchstrichterliche Urteile einige der offenen Fragen geklärt werden und so mehr Rechtssicherheit geschaffen wird.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks