Während hierzulande die sog. Cookie-Banner zur Einholung von Einwilligungen mittlerweile zum festen Bestandteil von Websites zählen, sind entsprechende Schaltflächen innerhalb von Apps eher selten. Dabei werden gerade in diesen Anwendungen für das Smartphone oder den Tablet-PC oftmals diverse Analyse-, Marketing- oder sonstige Trackingdienste eingesetzt. Zudem (und anders als bei Websites) sind die Apps zumeist im „Dauereinsatz“ – die Nutzenden sind i. d. R. eingeloggt und bewegen sich mit dem Handy durch die Welt.

Für Aufsehen sorgte vor Kurzem eine kritische Betrachtung der Navigator-App der Deutschen Bahn von Netzaktivist*innen und Datenschützer*innen. Ein IT-Experte hatte im April 2022 in einer umfangreichen Analyse und Berichterstattung u. a. das (vorhandene) Cookie-Banner innerhalb der bekannten App „DB Navigator“ geprüft und darauf hingewiesen, dass die Deutsche Bahn im Hintergrund der von vielen Menschen für Zugreisen zwangsläufig genutzten Anwendung diverse Dienste ohne Zustimmung einsetzt: Es werden bei Nutzung der App also fortlaufend personenbezogene Daten an mehrere externe Unternehmen für die Messung und Analyse von Aktivitäten mit dem Zweck der Verhaltensverfolgung übermittelt.

Da die Deutsche Bahn hierauf bislang nicht nachweislich reagiert habe bzw. laut Berichten der beteiligten Akteure nichts an dieser Praxis ändern wollen würde (mehr lesen Sie hier und hier), reichte der Bielefelder Verein Digitalcourage e. V. vor wenigen Tagen wegen dieser Datenschutzverstöße Klage gegen die Deutsche Bahn ein. Konkret wird die Unterlassung der Verletzung der allgemeinen Persönlichkeitsrechte der betroffenen Personen – also der Nutzenden der App – gefordert.

Das Problem

Auslöser und Grund dieser Diskussion ist das Cookie-Banner innerhalb der App „DB Navigator“, welches sich bei Installation und beim Start einmalig öffnet und mehrere Auswahlmöglichkeiten vorsieht.

Offenkundig wurden jedoch diverse Cookies der externen Tracking-Dienste seitens der Betreiberin als „erforderlich“ definiert und somit von der Zustimmungspflicht ausgenommen. Doch gerade die höchstrichterliche Rechtsprechung zum Einwilligungserfordernis bei Werbe- und Analyse-Diensten sowie die Aufsichtsbehörden im Datenschutz fordern grundsätzlich die Zustimmung für diese Verarbeitungsvorgänge. Dadurch wird eine Datenverarbeitung vorgenommen, die nach der hierzulande geltenden Rechtslage nur mit aktiver und freiwilliger Zustimmung der Person erlaubt ist, woran es aber hier fehlt. Konsequenterweise wäre die Datenverarbeitung daher als rechtswidrig zu betrachten.

Auch das am 01.12.2021 in Kraft getretene neue TTDSG, das den Rechtsraum für das Speichern von Informationen in der Endeinrichtung des Endnutzers oder den Zugriff auf darin gespeicherte Informationen schafft, bestätigte diese Anforderung.

Auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) findet sich mittlerweile eine umfangreiche und verständliche FAQ zu Cookies und Tracking für Websites und Anwendungen, die zu diesem Thema weitergehende Hinweise gibt.

Gleichwohl lässt sich in der tagtäglichen Beobachtung feststellen, dass viele Websites und Apps nicht diesen strengen datenschutzrechtlichen Anforderungen entsprechen, sondern z. B. zur Methode des Nudging bei Cookie-Bannern greifen, dass das Consent-Management-Tool fehlerhaft konfiguriert wurde oder der Einwilligungstext und die Datenschutzerklärung intransparent gestaltet wurden. Mithin besteht bei dieser Praxis das zusätzliche Problem, dass viele Tracking-Dienste, wie bspw. Google Analytics, von Betreibern aus einem unsicheren Drittland, zumeist den USA, angeboten werden und daher die Übermittlung personenbezogener Daten in Länder ohne hinreichendes Datenschutzniveau vorsehen, was letztlich eine doppelte Datenschutzverletzung begründen könnte.

Die Lösung?

Eine Lösung könnte darin liegen, auf derartige externe Dienste zukünftig zu verzichten.

Mithin wäre es denkbar, diese Dienste zumindest auf eine freiwillige, aktiv einzuholende Zustimmung durch einen transparenten und korrekt konfigurierten Cookie-Banner zu stützen – und sie nicht fälschlicherweise als „technisch erforderliche“ Maßnahmen einzustufen. Hierzu sollten die strengen Maßstäbe der Aufsichtsbehörden herangezogen werden, die mittlerweile auch einen „Alles ablehnen“-Button in gleichartiger Aufmachung wie den „Alles annehmen“-Button fordern. Idealerweise sollte diese Schaltfläche zur Steuerung der Zustimmung auch leicht erreichbar sein – und nicht unter den „Einstellungen“ auf einer Unterseite weniger präsent sichtbar sein.

Dann sollte auch der Umfang der Daten, bspw. durch die Anonymisierung oder Pseudonymisierung, und deren Speicherdauer reduziert werden. Überdies sollten europäische Anbieter ohne einen Datentransfer in ein unsicheres Drittland bevorzugt werden.

Im Übrigen wurden und werden unterschiedliche Konzepte und Lösungsmodelle diskutiert, die ggf. die Zustimmung oder Ablehnung der Nutzenden durch technische Einstellungen im Browser oder im Hintergrund laufender Systeme zu vereinfachen – dann müssten sich die Websitebetreiber und App-Anbieter, sofern die technische Verknüpfung möglich ist, an diese voreingestellte Antwort der Nutzenden halten.

Im Hinblick auf die technische Sichtweise könnten in den nächsten Jahren die sog. „PIMs“ (Personal Information Management Systems) Modelle nach § 26 TTDSG hier eine derartige Abhilfe schaffen und den Zustimmungs- oder Ablehnungsprozess beschleunigen. Diesbezüglich ist aktuell der deutsche Gesetzgeber gefordert, solche Möglichkeiten zu schaffen und zukünftige Systeme offiziell zu legitimieren.

Und im vorliegenden Fall?

Die datenschutzrechtliche Kritik an der derzeitigen Ausgestaltung des „DB Navigator“ erscheint berechtigt. Auch wenn hier ein mutmaßlich praxisüblicher Datenschutzverstoß durch ein rechtswidriges Tracking der Nutzenden im Raum steht, sind Gerichtsentscheidungen in dieser Angelegenheit zu begrüßen, selbst wenn diese lediglich abstrakt die Vorgaben des EuGH und der Aufsichtsbehörden wiedergeben sollten.

Sanktionen der Aufsichtsbehörden, auch in Nachbarländern der EU, z. B. Bußgelder wegen fehlerhafter Cookie-Banner und somit einer rechtswidrigen Datenverarbeitung, nehmen zu und sollten auch in naher Zukunft noch den Markt beeinflussen, insbesondere bei Verstößen durch namhafte Akteure und Unternehmen. Zudem könnten die betroffenen Personen auch versuchen, Schadensersatzansprüche aufgrund des rechtswidrigen Trackings nach Art. 82 DSGVO geltend zu machen, indem sie durch diese Datenverarbeitung einen Schaden begründen. Insbesondere im Falle der Deutschen Bahn dürfte dabei die Monopolstellung des Unternehmens und die Tatsache, dass die App ggf. ohne Tracking nicht genutzt werden kann, schwer wiegen.