Lesezeit: 3 Min
Orientierungshilfe der Datenschutzkonferenz gibt weitere Hilfestellungen
Ende 2021 trat das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in Kraft. Das hat die Datenschutzkonferenz (DSK) als Anlass genommen, eine entsprechende Orientierungshilfe zu veröffentlichen und stellt dabei klar, wie Cookie-Banner als konkretes Beispiel in Zukunft zu verwenden sind.
TTDSG und DS-GVO
Das deutsche Telemediengesetz (TMG) und die europäische Datenschutzgrundverordnung (DS-GVO) greifen in vielen Punkten ineinander bzw. stellen eine Ergänzung zueinander dar. Darauf geht auch die Datenschutzkonferenz (DSK) in ihrer aktuellen Orientierungshilfe ein. Diese zeigt außerdem, an welcher Stelle DS-GVO und/oder TTDSG greifen und wie diese sich ergänzen können. Wichtig ist dabei aber die Aussage der DSK, dass, sollten beide Rechtsgrundlagen für einen Prozess grundlegend sein, muss auch über beide separat informiert werden.
DSK stellt klar: Cookie-Banner müssen klar aufgebaut sein
Wenn man die Vorgaben entsprechend der gesetzlichen Regeln einhält, müssen laut DSK Cookie-Banner deutlich verständlicher gekennzeichnet sein. Dabei geht es zum Beispiel um die Auswahl bei der Ablehnung von Cookies. Die meist gängigen Auswahlmöglichkeiten müssen hierbei kritisch betrachtet werden. Wenn zum Beispiel die Nutzer die Auswahl haben zwischen „Cookies annehmen“ und auf der anderen Seite Buttons wie „Einstellungen“ o.ä., ist dies nicht mit der gleichen Klarheit zu beurteilen. Für den Nutzer ist hier also nicht klar erkennbar das und wenn ja, wo er die Einwilligung ablehnen kann.
Nach Aussage der DSK muss diese Klarheit bei der Auswahl deutlich erkennbar sein. Dabei geht es konkret um eine unmissverständliche Willensbekundung durch eine eindeutige bestätigende Handlung, mit dem Nutzende zu verstehen geben, dass sie mit dem Zugriff auf und dem Abruf von Informationen ausdrücklich einverstanden sind. Dies muss immer aktiv durch den Betroffenen geschehen.
Cookie-Banner – Einwilligung durch aktives Zustimmen
Was genau eine aktive Einwilligung des Nutzers sein kann, erklärt das Papier der DSK darüber hinaus:
„Dies kann beispielsweise durch Anklicken einer designierten Schaltfläche in einem Banner, durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung oder aktive Verhaltensweise geschehen, mit der die Endnutzer: innen eindeutig ihr Einverständnis hinsichtlich der Speicherung von oder den Zugriff auf Informationen in der Endeinrichtung ausdrücken. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Nutzenden können demgegenüber keine Einwilligung darstellen. […]Opt-Out-Verfahren sind daher stets ungeeignet, eine wirksame Einwilligung zu begründen. Der Umstand, dass der Browser der Endnutzer: innen Cookies oder Web-Storage, z. B. Local Shared Objects (LSO) zulässt, kann dementsprechend auch – ungeachtet weiterer Aspekte wie Informiertheit oder Bestimmtheit – keine Einwilligung darstellen.“ (Quelle Webauftritt der Datenschutzkonferenz (DSK)
Eine Einwilligung ist dabei nicht gegeben, wenn diese dadurch entsteht, wenn nicht widersprochen wird. Die Einwilligung muss also aktiv erfolgen und sollte nicht durch voreingestellte Häkchen vorgenommen werden. Lesen Sie mehr zum Thema Cookies auch in unserem Datenschutz-Blog.
Viele Cookie-Banner wohl unwirksam – Freiwilligkeit beachten
Durch die Aussagen der Datenschutzkonferenz werden nun vor allem die Einstellungen gängiger Cookie-Banner in Frage gestellt. Ist jedem Nutzer klar, welche Daten verarbeitet werden, wenn er seine Einwilligung gibt? Ist durch das akzeptieren der Cookies auch deutlich, was das für den Betroffenen bedeutet? Und auch sehr wichtig: Kann der Nutzer eindeutig erkennen, dass er die Nutzung der Cookies ablehnen kann? Das sind Fragen, die den Betreiber jeglicher Homepage nun beschäftigen sollte. Eine Kombination von Einwilligungen unterschiedlicher Bereiche muss immer auch geprüft werden.
Besonders kritisch sieht die DSK dabei jene Fälle, wo beispielsweise die Auswahl der Einwilligung nicht ganz deutlich ist (Vergleich „Alles akzeptieren“ vs. „Einstellungen). Diese bewertet die DSK als nicht rechtskonform, da der sogenannte „Kommunikationseffekt“ der beiden Schaltflächen nicht gleich zu bewerten ist.
Darüber hinaus darf die Nutzung der Homepage oder auch nur von Teilen davon nicht an die Einwilligung gebunden sein. In diesem Fall läge nach der Einschätzung der DSK keine Freiwilligkeit, sondern ein Zwang zur Einwilligung vor.
Anpassungen und Ausnahmen möglich
Doch auch hier stellt die DSK klar, dass sich gerade durch europäisches Recht immer wieder neue Änderungen ergeben können. Darüber hinaus sind die Vorgaben übertragbar auf verschiedene Anwendungen wie neben der Cookies auch automatische Update-Funktionen, Werbe-Identifikationsnummern, Seriennummern, SMS-Kommunikation, Anruflisten, um nur einige Beispiele zu nennen. Welche Anwendungen im Einzelnen eine Einwilligung benötigen, sollte immer ein entsprechender Fachmann beurteilen.
Ausnahmen sind nur nach fachlicher Prüfung und unter sehr strikt festgelegten Regeln möglich und müssten im Einzelfall beurteilt werden.
Die in diesem Zusammenhang zugrunde gelegte TTDSG bildet dabei nur den Rahmen zum Schutz der Privatsphäre und Vertraulichkeit bei der Nutzung. Werden personenbezogene Daten nach der erfolgten Einwilligung verarbeitet, gelten die gesetzlichen Vorgaben der DS-GVO ohne Einschränkungen.
Externer Datenschutzbeauftragte für Köln, Bonn, Düsseldorf und Umgebung
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.