Für Betreiber von Online-Angeboten wie Websites, Plattformen und Apps wird es nicht langweilig: Wieder sind neue Anforderungen zu beachten und umzusetzen. Anlass hierfür ist zum einen die Umbenennung des Facebook-Konzerns. Zum anderen bringt eine neue Orientierungshilfe der Datenschutzaufsichtsbehörden „Schwung“ in die Diskussion um die Anwendung des seit dem 1.12.2021 geltenden TTDSG.
Facebook wird Meta: Neuer Name, neue Datenschutzerklärung
Der Facebook-Konzern heißt nun Meta. Konkret hat die in der EU aktive Einheit „Facebook Ireland Limited“ ihren Namen in „Meta Platforms Ireland Limited“ geändert, dies gilt seit dem 4. Januar 2022. Für Unternehmen, die Präsenzen auf Facebook unterhalten oder Facebook-Angebote in ihren eigenen Online-Angeboten eingebunden haben, besteht nun Handlungsbedarf:
In den Datenschutzerklärungen und im CMP bzw. Cookie-Banner muss der den Anbieter ausweisende Unternehmensname jetzt geändert werden. Die Erklärungen sind sonst falsch, es droht ein Verstoß gegen die Informationspflichten.
Zu ändern ist nur der Unternehmensname. Die Plattformen selber firmieren weiterhin unter „Facebook“, „Instagram“ oder „Whats App“. Dies gilt ganz ungeachtet dessen, zu welchen Neuerungen das Metaversum wohl führen mag.
Noch mehr zu tun: Was die Aufsichtsbehörden fordern
Deutlich herausfordernder ist die Umsetzung der neuen „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, die von der Datenschutzkonferenz (DSK) kurz vor Weihnachten veröffentlicht wurde, kurz die „OH Telemedien 2021“. In ihr formulieren die Aufsichtsbehörden, wie Online-Angebote nach ihrer Rechtsauffassung gestaltet sein müssen, um dem neuen Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, und der DSGVO zu genügen.
Die Pointe vorab: Einiges ist überzeugend, vieles aber auch durchaus streitbar. Unternehmen sind gut beraten, die Punkte nun genau zu prüfen und ihre bestehenden Risikoabwägungen zu überdenken. Keinesfalls sollte die OH Telemedien 2021 unbeachtet bleiben.
Relevant ist die Orientierungshilfe für alle Unternehmen, die Websites und andere Online-Angebote betreiben und über diese Angebote auf Endnutzergeräte zugreifen und / oder personenbezogene Daten verarbeiten. Dies ist etwa dann der Fall, wenn (über eingebundene Dienste) Cookies gesetzt werden, Einträge im Local Storage erfolgen oder auch wenn Geräteinformationen wie IDs, MAC Adressen oder andere Informationen etwa über einen JavaScriptCode ausgelesen werden.
All diese Unternehmen sollten sich nun mit folgenden Punkten beschäftigen:
1. Weitere Anpassungen von Datenschutzerklärung und Cookie Banner
Überall dort, wo Tools auf Endgeräte zugreifen, ist § 25 TTDSG als Rechtsgrundlage neu anzugeben. Dies betrifft die Datenschutzerklärung und ggf. auch die verwendete Consent Management Plattform („Cookie Banner“ – „CMP“), wenn dort Normen angegeben sein sollten. Für alle weiteren Verarbeitungsschritte bleibt eine DSGVO-Erlaubnis erforderlich, wenn personenbezogene Daten verarbeitet werden.
Denn: das TTDSG regelt speziell und vorrangig seit dem 1.12.2021 (nur) das Auslesen von Informationen aus Endgeräten der Nutzer und den Zugriff auf diese, z.B. durch das Setzen von Cookies. Alle weiteren Verarbeitungsschritte unterfallen weiter der DSGVO, also z.B. die Auswertung erhobener Nutzungsdaten oder die Zielgruppenbildung und -verwendung ausgelesener Advertising IDs.
Bei dieser Überprüfung sollte auch abgesichert werden, dass keine Widersprüche zwischen den Angaben in Datenschutzerklärung und CMP bestehen. Laut Aufsichtsbehörden ist dies oftmals der Fall (und begründet einen möglichen Verstoß wegen unzureichender – verwirrender – Information der Nutzer). Um dies zu vermeiden bietet sich in der Praxis oft ein Verweis auf die Informationen im CMP an (wobei noch ungeklärt ist, ob der dafür notwendige „extra-Klick“ zulässig ist – aus unserer Sicht spricht viel dafür, wenn die Gesamtinformation so transparenter und übersichtlicher wird).
2. Wirksamkeit der benötigten Einwilligungen checken
Für eine Vielzahl von Tools wird eine Einwilligung benötigt – nach den Regelungen in § 25 TTDSG immer dann, wenn der Endgerätezugriff oder das Auslesen von Informationen aus dem Endgerät nicht unbedingt erforderlich ist, um den vom Nutzer angefragten Dienst zu erbringen.
Die OH TMG 2021 bringt zu diesem Thema eine Reihe von Rechtsansichten, die von Unternehmen zu beachten sind (die OH TMG 2021 ist nicht verbindlich – Behörden können abweichen, Gerichte müssen das Rechtsverständnis vollumfassend und eigenständig, eine Pflicht zur Umsetzung besteht angesichts dessen nicht, für die Risikoabwägung ist die OH TMG 2021 aber höchst relevant, da in ihr vorgezeichnet wird, wie sich Aufsichtsbehörden positionieren dürften):
- Einwilligung auch für Analysedienste?
Ob auch Analysedienste einer Einwilligung bedürfen oder aber unbedingt erforderlich ist, ist umstritten. Aufsichtsbehörden anderer EU-Mitgliedstaaten billigen den Einsatz auch ohne Einwilligung, die deutschen Aufsichtsbehörden sind hier zurückhaltender und haben insbesondere für Google Analytics bereits ausdrücklich Einwilligungen gefordert. Die OH TMG 2021 bestätigt hierzu: Wer Analysedienste ohne Einwilligung nutzen will, sollte dies sehr genau prüfen. Im Einzelfall kann dies aber nach wie vor zulässig sein. Abhängig ist dies von dem konkreten Zuschnitt des Tools, welche Daten wofür verwendet werden und wo der Einsatz erfolgt.
Jedenfalls finden sich im OH Telemedien 2021 hinreichend Anhaltspunkte für ein enges, strenges Verständnis der „unbedingten Erforderlichkeit“. Die Aufsichtsbehörden werden mithin bei einer Vielzahl von Tools von einer Einwilligungsbedürftigkeit ausgehen. Dabei ist stets nicht nur auf die Grundfunktion eines Tools abzustellen, sondern auch auf etwaige Zusatzfunktionen, zudem ist die genaue Gestaltung zu betrachten. Manche Cookies etwa können für eine Session unbedingt erforderlich sein, nicht aber für einen längeren Zeitraum (z.B. Cookies für eine Warenkorbfunktion oder die Durchführung einer Zahlung während des Besuchs eines Online-Shops).
Eine wirtschaftliche Erforderlichkeit jedenfalls sei, so die ausdrückliche Aussage, unerheblich – wirtschaftliche Erwägungen könnten keinen Verzicht auf eine Einwilligung tragen. Ob dies auch vor einem Gericht so bestätigt würde, ist diskussionswürdig, insbesondere, wenn der entsprechende Dienst ansonsten nicht angeboten würde.
All dies wird Gegenstand eines eigenen Beitrags sein.
- Ein Klick für alle Tools?
Eine Bündelung von Einwilligungen ist zulässig. Die weit verbreitete Grundstruktur der CMPs, die auf 1. Ebene ein „alle akzeptieren“ vorsehen, ist damit auch nach Ansicht der Aufsichtsbehörden möglich. Das setzt aber voraus, dass schon vor dem Klick ein Überblick gegeben wird, was die abgefragte Einwilligung alles umfasst. In der Praxis bedeutet dies, dass der Text auf 1. Ebene sehr genau gefasst sein muss, um in kurzer Form einen vollständigen und klaren Überblick übermitteln zu können.
Bei alledem bleibt es dabei: Nur ein aktiver, freiwilliger Klick kann zu einer Einwilligung führen. Vorangekreuzte Kästchen oder eingestellte Toggler oder auch die Angaben „mit dem Besuch unserer Website willigen Sie ein …“ genügen dem nicht. All dies führt nicht zu wirksamen Einwilligungen.
- „Alle ablehnen“ Button auf 1. Ebene des CMP?
Nach den bisherigen Verlautbarungen nicht überraschend fordern die Aufsichtsbehörden, dass die Einwilligung nicht einfacher sein darf als ihre Ablehnung. Nutzer müssten die Online-Angebote daher auch ohne eine Aktion (ohne „Klick“) besuchen können oder aber der Klick auf „alle ablehnen“ müsste genauso einfach sein, wie der Klick auf „alle akzeptieren“. Diskutiert wurde dies zuletzt etwa auch unter dem Schlagwort „Nudging“: Die Aufsichtsbehörden kritisierten auch die farblich ansprechendere Gestaltung eines Buttons „Alle akzeptieren“, der Nutzer dazu verleite, diesen – und nicht den „Ablehnen-Button“ – zu klicken.
Begründet wird die Position u.a. durch Verweis auf Erwägungsgrund 32 Satz 6 DSGVO, nach dem Einwilligungen auf elektronischem Weg in klarer, knapper Form und ohne unnötige Unterbrechung des Dienstes eingeholt werden müssen. Die Entscheidung für oder gegen eine Einwilligung müsse jeweils gleich schnell zum gewünschten Ziel führen, das Online-Angebot zu nutzen. Nur dann wäre eine abgegebene Einwilligung auch wirksam.
In der Praxis sind verbreitet CMPs und Cookie-Banner, die auf 1. Ebene keine gleichgewichtete Option „alle ablehnen“ anbieten. Ob dies wirklich zwingend erforderlich ist, um wirksame Einwilligungen einzuholen, ist zudem Gegenstand verschiedener aufsichtsbehördlicher Verfahren in diversen Bundesländern. Ob mithin die Ansicht der Aufsichtsbehörden im OH Telemedien 2021 umgesetzt wird, unterliegt einer umfassenden Risikoanalyse eines jeden einzelnen Unternehmens.
- Vollständige Informationen im CMP?
Eine Einwilligung kann nur dann wirksam eingeholt werden, wenn der Nutzer zuvor über alle relevanten Umstände informiert wird und seine Entscheidung damit auch tatsächlich freiwillig treffen kann. Ein besonderes Augenmerk richten die Aufsichtsbehörden hier auf die Information, wer Daten erhebt und an wen Informationen weitergegeben werden sowie die Angabe der Dauer. Für Nutzer des IAB TCF-Standards, einem in der Werbewirtschaft weit verbreiteten Tools, ist dies durchaus herausfordernd. Denn nach den TCF Policies und deren Durchsetzung ist es nach wie vor nicht flächendeckend gesichert, dass Anbieter diese Informationen automatisiert hinterlegen. Ob dies denn auch wirklich erforderlich ist, um wirksame Einwilligungen einzuholen, oder aber nur zur Erfüllung von Informationspflichten etwa nach Art. 13, 14 DSGVO bei Verarbeitung personenbezogener Daten, wird wohl erst in künftigen Verfahren geklärt werden. Auch hier ist die Positionierung der Aufsichtsbehörden durchaus diskutabel.
Explizit gebilligt wird die stufenweise Information, die auf mehreren Ebenen immer detaillierter wird. Eine Information „für ein besseres Nutzungserlebnis verwenden wir Cookies“ reicht hingegen nicht. Es müsste dann auf einer zweiten und ggf. dritten Ebene beschrieben werden, welche Cookies verwendet werden, ihre Lebensdauer, wer Anbieter ist, welche Angaben erhoben werden etc.
- Keine Blanko-Einwilligung und Neuabfrage bei Änderungen
Sichergestellt sein muss auch, dass die abgegebene Einwilligung stets die tatsächlichen Verarbeitungsprozesse abbildet. Ändern sich diese, muss von allen Nutzern eine neue Einwilligung eingeholt werden.
- Einfacher Widerruf
Der Widerruf der Einwilligung muss genau so einfach möglich sein, wie ihre Erteilung. Wird die Einwilligung durch einen Klick im CMP abgefragt, muss auch der Widerruf mit einem Klick möglich sein (und nicht etwa eine E-Mail erfordern). In der Praxis ist dies regelmäßig durch entsprechende „Klick-Optionen“ im CMP abbildbar, auf die etwa in der Datenschutzerklärung im Rahmen der Erläuterung der Widerrufsmöglichkeiten ergänzend verlinkt werden kann.
Die Gestaltung der Online-Angebote sollte nach alledem sorgfältig erfolgen. Überzeugend weisen die Aufsichtsbehörden darauf hin, dass die verwendeten CMPs und Tools sorgfältig und individuell zu konfigurieren sind. Eine 1:1-Umsetzung der Positionen der Aufsichtsbehörden kann dabei begründet abgelehnt werden. Dies sollte aber stets auf Grundlage einer bewussten Entscheidung nach rechtlicher Prüfung geschehen.