Websitebetreiber und Anbieter von Online-Tools kennen das Dauerthema der letzten Monate (oder gar Jahre): Welche Tools dürfen ohne Einwilligung der Nutzer auf den eigenen Seiten eingesetzt werden und wann ist eine Einwilligung erforderlich? Wie werden Einwilligungen wirksam eingeholt? Das EU-Recht und auch das seit dem 1.12.2021 in Deutschland geltende Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) helfen da nur bedingt: Ohne Einwilligung darf genutzt werden, was unbedingt erforderlich ist. Was danach aber „unbedingt“ benötigt wird, bleibt unklar. Die deutschen Datenschutzaufsichtsbehörden haben jüngst eine Konkretisierung gewagt – mit durchaus streitbaren Ergebnissen.
Die neue Orientierungshilfe
Kurz vor Weihnachten hat die Datenschutzkonferenz (DSK) die neue „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, kurz die „OH Telemedien 2021“, veröffentlicht. In ihr formulieren die Aufsichtsbehörden, wie Online-Angebote nach ihrer Rechtsauffassung gestaltet sein müssen, um dem neuen Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, und der DSGVO zu genügen.
Dabei stellen sich zwei wesentliche Fragen:
- Welche Tools dürfen nur mit Einwilligung eingesetzt werden?
- Wie können wirksame Einwilligungen eingeholt werden?
Mit der zweiten Frage haben wir uns bereits hier beschäftigt und einen Überblick erstellt – dort ist aufgezeigt, wie Consent Management Tool und Datenschutzerklärung gestaltet werden sollen, um wirksame Einwilligungen einzuholen:
Die erste Frage – wann wird eine Einwilligung benötigt – ist Gegenstand dieses Beitrags.
Was ist schon „unbedingt erforderlich“?
Etliche Online-Tools greifen auf die Endgeräte der Nutzer – Tablet, Handy, Notebook oder das smarte Auto – zu oder fußen auf dort gespeicherten Informationen, um zu funktionieren. Beispiele dafür sind:
- Cookies, die auf den Endgeräte gespeichert werden
- auf Handy & Co. hinterlegte IDs die ausgelesen werden, um z.B. passgenaue Werbung auszuspielen,
- Spyware, Web-Bugs oder die Ablage von Informationen im Local Storage
- automatische Update-Funktionen, die Informationen zu den genutzten Versionen aus dem Endgerät auslesen
- Auslesen von markanten Informationen, etwa der MAC-Adresse, oder – im Wege des Browser-Fingerprinting – das Kombinieren von typischen Merkmalen des Browsers (Bildschirmauflösung, Versionen, installierte Schriftarten etc.), die den einen Nutzer (oder besser: das einzelne Endgerät) regelmäßig wiedererkennbar werden lassen, da genau diese eine Kombination nur selten ein zweites Mal zu finden ist
- Auslesen von Endgeräteinformationen mittels JavaScript-Code
Immer, wenn diese Endgerätezugriffe
- nicht alleine der Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz (für Websites und Apps etc. eher selten der Fall)
- oder nicht unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen,
ist eine Einwilligung für den Endgerätezugriff erforderlich (§ 25 TTDSG) – ganz unabhängig davon, ob es um personenbezogene Daten geht oder nicht (Anknüpfungspunkt ist alleine der Endgerätezugriff).
Was aber ist nun „unbedingt erforderlich“? Ist dies rein technisch zu verstehen? Dies führte zu einem sehr engen Verständnis, erlaubt wären dann ohne Einwilligung z.B. Warenkorb- oder Login-Cookies, wenn die Website eine Kauffunktion beinhaltet oder einen geschlossenen Benutzerbereich. Und auf wessen Perspektive kommt es an, bestimmt der Anbieter selbst, was erforderlich ist, um ein Angebot nach seinen Vorstellungen zu gestalten oder kommt es alleine auf die Perspektive des Nutzers an? Dies ist interessant etwa für Blogbeiträge oder Zeitungsartikel, die etwa Karten oder Umfragen einbinden, die auf die Endgeräte der Nutzer für die Darstellung zugreifen. Was, wenn der Anbieter dies für eine Optimierung seines Angebotes für erforderlich erachtet, der Nutzer aber nicht? Ist auch eine wirtschaftliche Erforderlichkeit zu berücksichtigen, weil ein Anbieter ohne ein Tool sein Angebot nicht refinanzieren könnte (und dann womöglich auch nicht anbieten würde)?
Die Perspektive der Aufsichtsbehörden
Die Aufsichtsbehörden konkretisieren in ihrer OH Telemedien 2021 wichtige Eckpunkte für die Konkretisierung, was aus ihrer Sicht unbedingt erforderlich ist und wo eine Einwilligung benötigt wird, um einzelne Tools einzusetzen. Einfach umzusetzen sind die Positionen der Aufsichtsbehörden nicht – und sie sind auch nicht unfehlbar oder „in Stein gemeißelt“ (die streitige Diskussion ist gerade hier wichtig und eine gerichtliche Überprüfung wird in dem ein oder anderen Fall sicher empfehlenswert sein).
Nach langer Vorrede hier die entscheidenden Positionen:
1. Es kommt auf die Nutzerperspektive an, nicht auf die Perspektive des Anbieters („wem dient die Funktion?“). Der Nutzer wählt aktiv aus, was er anklickt, verwendet, besucht. Dies kann die Eingabe einer URL oder das Aufrufen einer Chatbox sein.
2. Der Nutzer wählt dabei jeweils einzelne Funktionen, nicht etwa eine Website oder App insgesamt. Das heißt, was unbedingt erforderlich ist, ist granular für jede einzelne Funktion zu bestimmen.
Konkret bedeutet dies: Warenkorb-Cookies sind erst und nur dann erforderlich, wenn der Nutzer einen Artikel in den Warenkorb legt, das Kontaktformular nur bei Eintragung von Angaben. Dies sei erforderlich, um den Wunsch des Nutzers besser zu beachten – bei einer „globalen Interpretation“ bliebe er unbeachtet.
Zu differenzieren sein soll danach zwischen
- Basisdienst inkl. Funktionen zur Betrugsprävention und IT-Sicherheit und
- Zusatzdiensten (z.B. Spracheinstellungen, Chatboxen, Kontaktformulare, Push-Nachrichten, Kartendienste, Wetterdienste, Videos, Audios. Log-In-Bereiche, Werbung, …), die alle nur dann vom Nutzer gewünscht sind, wenn sie aktiv ausgewählt sind (bedeutete also wohl, dass nach Ansicht der Aufsichtsbehörden alle Karten, Wetteranzeigen etc. mit „Overlays“ zu versehen sind, bis sie aktiv angeklickt werden)
Für das Angebot von Zusatzdiensten erforderlich Tools dürfen also nur und erst dann aktiviert werden, wenn der Nutzer den entsprechenden Zusatzdienst aufruft bzw. abfragt und aktiv in Anspruch nehmen. Dafür müssen die Nutzer zunächst wissen, welche Zusatzdienste und -funktionen es überhaupt gibt.
3. Maßgeblich ist eine technische Erforderlichkeit.
4. Auf eine wirtschaftliche Erforderlichkeit kommt es nicht an.
5. Ob ein Tool „unbedingt erforderlich“ ist, ist in allen Dimensionen zu bejahen, um auf eine Einwilligung verzichten zu dürfen, nämlich hinsichtlich
- des Ob
- der zeitlichen Komponente
- den Inhalten und
- Personell, also an wen die Informationen gehen bzw. von wem sie erhoben werden.
Unbedingt erforderlich ist nur, was in all diesen Dimensionen am Minimum bleibt.
Ganz konkrete Beispiele finden sich in der Orientierungshilfe nicht, wohl aber einige für die Praxis wichtige Hinweise:
- Prozesse mit eindeutigen Identifikationskennungen („Cookie-UIDs“) sind regelmäßig nicht unbedingt erforderlich, sondern einwilligungsbedürftig. So könnten nämlich z.B. Spracheinstellungen auch ohne UID gespeichert werden, das gelte auch für den Einwilligungsnachweis (es reiche aus, nachweisen zu können, dass und welche Prozesse implementiert sind).
- Mehrzweck-Cookies sind nur dann nicht einwilligungsbedürftig, wenn jeder Zweck „unbedingt erforderlich“ ist.
- Bei der Reichweitenmessung bzw. -analyse kommt es auf die konkreten Umstände an, welche Informationen wofür und für wen erhoben werden; i.d.R. sei eine Einwilligung erforderlich.
Nicht erfasst sein sollen nach der OH Telemedien 2021 von der Einwilligungspflicht solche Informationen, die zwangsläufig beim Aufbau einer Verbindung übermittelt werden, etwa die öffentliche IP-Adresse der Endeinrechnung, die URL der aufgerufenen Website oder die eingestellte Sprache.
AdOn: Datenschutzrecht
Und damit es nicht zu simpel bleibt: Das TTDSG gilt nur für den Endgerätezugriff selbst. Alles weitere regelt die DSGVO. Wenn aus dem Endgerät ausgelesene Daten weiter verarbeitet werden sollen, muss dies nach Datenschutzrecht geprüft werden. Besteht ein Personenbezug, was für ID-Informationen im Online-Sektor regelmäßig bejaht wird (der Streit, ob dies stimmt, steht aktuell in der Warteschleife), muss also für alle weiteren Verarbeitungsschritte eine DSGVO-Erlaubnis her.
Ausblick: Mehr Spielraum in Zukunft?
Mehr Spielraum zeichnet sich im aktuellen Entwurf der ePrivacy-Verordnung ab: Um diese wird seit nunmehr vielen Jahren gerungen. Dem aktuellen Entwurf wird Aussicht auf Erfolg (sprich: Einigungsfähigkeit) zugesprochen. Er sieht weitere Ausnahmen von der Einwilligungsbedürftigkeit vor. Für die Praxis wesentlich: Analysedienste, die der Reichweiten- und Erfolgsmessung dienen, dürfen danach auch ohne Einwilligung eingesetzt werden.
Eine die aktuelle Praxis und Technologien berücksichtigende Neuregelung ist denn auch überfällig. § 25 TTDSG beruht – beinahe 1:1 – auf der schon seit 2009 auf EU-Ebene geltenden Regelung in Art. 5 Abs. 3 der ePrivacy-Richtlinie (i.d.F. der Richtlinie 2009/136/EG).