Die Datenschutzkonferenz (DSK) ist das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die DSK veröffentlicht in regelmäßigen Abständen Orientierungshilfen zu wichtigen datenschutzrechtlichen Themen. In diesem Rahmen hat sie am 20. Dezember 2021 eine aktualisierte Fassung ihrer „Orientierungshilfe für Anbieter:innen von Telemedien“ veröffentlicht.

Diese Aktualisierung ist spannend, weil sich die DSK bereits in der Vergangenheit an Anbieter und Anbieterinnen von Telemedien gewendet hat. Hierbei ging es u. a. um das Zusammenspiel zwischen der europäischen DSGVO und dem deutschen Telemediengesetz (TMG). Nun geht sie auf das am 1. Dezember 2021 in Deutschland in Kraft getretene neue Gesetz ein, das sogenannte Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), zu dem wir schon mehrfach berichtet haben.

Im Folgenden wollen wir nun kurz die Orientierungshilfe der Aufsichtsbehörde für Sie zusammenfassen. Wir haben dabei wirklich versucht, uns kurz und knapp zu halten, jedenfalls so gut es bei einem 32-seitigen Ausgangsdokument geht. Teilweise greifen wir daher auch nur einige „Highlights“ heraus und lassen anderes unter den Tisch fallen. Wer es genau wissen will, muss sich der tiefergehenden Lektüre des Dokuments zuwenden.

TTDSG vs. DSGVO

Zu Beginn stellt die DSK noch einmal das Zusammenspiel zwischen der DSGVO und dem neuen TTDSG dar:

  • Die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung von Nutzenden richtet sich ausschließlich nach dem TTDSG. Dabei kommt es nicht darauf an, ob die Informationen einen Personenbezug aufweisen oder nicht. § 25 TTDSG fordert insoweit die Einwilligung der Endnutzer. Es gibt auch Ausnahmen vom Einwilligungserfordernis, diese müssen aber genau geprüft werden. Die Regelung des TTDSG ist z. B. für das Auslesen und Setzen von Cookies relevant.
  • Die der Speicherung und dem Zugriff nachfolgende Verarbeitung richtet sich hingegen nach der DSGVO, sofern personenbezogene Daten betroffen sind.

Anforderungen an Einwilligungen

Anschließend stellt die DSK noch einmal die Anforderungen an wirksame Einwilligungen ausführlich dar. Neben vielen anderen Punkten wird dabei u. a. gefordert:

„Wenn im Rahmen des Telemedienangebotes Prozesse stattfinden, die sowohl unter das TTDSG als auch unter die DS-GVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren.“

Folgt man der Auffassung der DSK, werden Bannertexte und Datenschutzerklärungen in Zukunft wohl noch komplexer.

Die DSK stellt zudem klar, wie wirksame Einwilligungsbanner aufgebaut sein müssen bzw. was zu einem unzulässigen Banner führt. So führt es laut der Orientierungshilfe z. B. zur Unzulässigkeit des Banners, wenn nicht zwei Handlungsoptionen mit demselben Kommunikationseffekt zur Verfügung stehen. Was heißt das? Das heißt, dass man genau so einfach seine Einwilligung ablehnen können muss, wie man sie erteilen kann. Ein Banner, welches z. B. einerseits die Schaltflächen „Alles Akzeptieren“ anzeigt, andererseits aber nur eine Schaltfläche mit Bezeichnungen wie „Einstellungen“ oder „Weitere Informationen“ enthält, ist mangels desselben Kommunikationseffekts nach Ansicht der DSK unzulässig. Es brauche gleichwertige Handlungsmöglichkeiten. Also müsste im vorgenannten Fall bspw. noch die Schaltfläche „Alles ablehnen“ gleichberechtigt aufgenommen werden.

Im Hinblick auf die Möglichkeit zum Widerruf von Einwilligungen stellt die DSK fest:

„Wurde eine Einwilligung mittels Banner o. Ä. abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen. Ein solcher Suchvorgang als Zwischenschritt wäre eine Erschwerung, die mit den gesetzlichen Vorgaben nicht vereinbar ist.“

Sie scheint insofern

„einen stets sichtbaren Direktlink oder ein Icon […], das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt“

zu fordern.

Brauchen wir in Zukunft also neben den Links zu „Impressum“ und „Datenschutzerklärung“ nun stets auch noch verpflichtend einen weiteren, hinreichend erkenn- und erreichbaren Link „Datenschutzeinstellungen“? Liest man die Orientierungshilfe, dann scheint es so zu sein.

Die DSK weist dann noch darauf hin, dass auch

„mit der Einbindung von Drittinhalten auf Webseiten regelmäßig eine Offenlegung personenbezogener Daten an Betreiber:innen des jeweiligen Drittservers verbunden ist. Für diese Datenverarbeitung ist gemäß Art. 6 Abs. 1 DS-GVO eine Rechtsgrundlage erforderlich. Typische Beispiele für solche Drittinhalte sind Werbeanzeigen, Schriftarten, Skripte, Stadtpläne, Videos, Fotos oder Inhalte von Social-Media-Diensten.“

Außerdem sei zu beachten,

„dass sich die vorgenannte Rechtmäßigkeitsprüfung lediglich auf die Verarbeitung der Daten innerhalb des Europäischen Wirtschaftsraums bezieht. Stets muss daher zusätzlich geprüft werden, ob es bei der jeweiligen Datenverarbeitung zu einer Übermittlung personenbezogener Daten in Drittländer kommt.“

Drittlandsbezug und Einwilligung

Erfolgt im Zusammenhang mit den eingebundenen Inhalten der Website eine Übermittlung in ein Drittland, müsse daher auch geprüft werden, ob ein angemessenes Datenschutzniveau gewährleistet werden kann. Insbesondere im Hinblick auf die USA ist ein solches regelmäßig nicht gegeben und wird auch nicht ohne weiteres herzustellen sein. Wer nun denkt, dass man an dieser Stelle (neben einer Einwilligung nach § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO) nun noch eine dritte Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO einholen kann, dem würde die DSK wohl mit folgender Passage begegnen:

„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“

Zumindest hier könnte man aber den Wortlaut des Art. 49 Abs. 1 S. 2 DSGVO entgegenhalten und die Ansicht vertreten, dass über Art. 49 Abs. 1 lit. a DSGVO durchaus auch wiederholte Übermittlungen legitimiert werden können.

Fazit

Die Orientierungshilfe stellt sehr hohe Anforderungen an Telemedienanbietende. Vieles erscheint zum Schutz der Betroffenen durchaus sinnvoll. Manches lässt sich jedoch unseres Erachtens nur schwer aus den gesetzlichen Bestimmungen entnehmen.

Anbietende von Telemedien, die ein Consent-Banner nutzen, sollten dieses noch einmal auf den Prüfstand stellen. Wer bislang versuchte, die Nutzenden durch ein „spezielles“ Design des Consent-Banners zu einer Einwilligung zu bewegen, sollte dies ändern und gleichwertige Handlungsoptionen schaffen.

Zudem sollte darüber nachgedacht werden, einen dauerhaften Link, der zu den Bannereinstellungen führt, gleichberechtigt neben den Links zu Impressum und Datenschutzerklärung aufzunehmen. Viele Consent-Banner ermöglichen bereits eine entsprechende Konfiguration.

Schließlich sollten auch die Texte des Banners und die jeweils mit der Verarbeitung verfolgten Zwecke noch einmal hinsichtlich der notwendigen Transparenz und Wirksamkeit der Einwilligungserklärung überprüft werden.

Im Hinblick auf die Ansicht der DSK, dass Art. 49 Abs. 1 lit. a DSGVO nicht als regelmäßige Einwilligung für Übermittlungen in Drittländer geeignet ist, muss die weitere rechtliche Diskussion beobachtet werden.