Orientierungshilfe der DSK für Telemedienanbieter ab dem 01.12.2021 (OH Telemedien 2021)

Knowledge Base der Datenbeschützerin

Die DSK hat Ende Dezember 2021 die Orientierungshilfe für Telemedienanbieter veröffentlicht.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die Orientierungshilfe, im folgenden mit OH abgekürzt, wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Abschnitte vorgestellt.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Inhaltsverzeichnis

Auf den Punkt gebracht: Orientierungshilfe der DSK für Telemedienanbieter ab dem 01.12.2021 (OH Telemedien 2021)

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die OH wirft bei der ersten Lektüre eher Fragen auf
  • Die DSK nimmt jedoch insbesondere zur Ausgestaltung der Cookie-Banner eine ganz klare Haltung ein: Zukünftig ist darauf zu achten, dass auch ein Ablehnen-Button für Cookies im Banner mit integriert ist.
  • Da es sich lediglich um eine OH der Behörden handelt, ist eine letztendliche Entscheidung über die Zulässigkeit von Bannern, Cookies und das Speichern von Informationen immer im Einzelfall und meist vor Gericht zu klären.

Neue Rechtsgrundlage ab dem 01.12.2021

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Mit dem Inkrafttreten des TTDSG zum 1. Dezember 2021 traten zeitgleich ein neues Telekommunikationsgesetz (TKG) und Änderungen des TMG in Kraft. Im TTDSG wurden die wesentlichen Datenschutzvorschriften für Telekommunikations- und Telemediendienste gebündelt. Weder im TKG noch im TMG sind noch Datenschutzvorschriften enthalten. Das TTDSG hat u. a. Auswirkungen auf den sehr praxisrelevanten Einsatz von Cookies und ähnlichen Technologien.

Für wen gilt das TTDSG (Adressaten)?

  • Anbieter von Telekommunikationsdiensten
  • Anbieter von Telemedien (§ 2 Abs. 2 Nr. 1 TTDSG)
    • Jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigene oder fremden Telemedien vermittelt.
Problematik: Rechtsunsicherheit wegen Begrifflichkeiten

Im TMG existiert noch der Begriff „Diensteanbieter“. Bei Diensteanbietern handelt es sich um natürliche oder juristische Personen, die die eigenen oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.

Warum der Gesetzgeber hier unterschiedliche Definitionen vorgesehen hat, ist leider unklar.

Wo gilt das TTDSG (räumlicher Anwendungsbereich)?

  • Für alle, die eine Niederlassung in Deutschland haben oder
  • Dienstleistung erbringen, daran mitwirken oder
  • Waren auf dem Markt bereitstellen

Beim TTDSG gilt wie bereits bei der DSGVO das sog. Marktortprinzip.

Wann gilt die DSGVO und wann das TTDSG?

  • Das TTDSG ergänzt die Vorgaben der DSGVO im Bereich der elektronischen Kommunikation
  • Beispiel: Werden keine personenbezogene Daten durch Technologien verarbeitet, sind nur die Vorgaben des TTDSG zu berücksichtigen, nicht jedoch die DSGVO.
  • § 25 TTDSG gilt vorrangig vor der DSGVO, sofern personenbezogene Daten beim Speichern und Auslesen von Informationen verarbeitet werden.

Schutz der Privatsphäre in Endeinrichtungen gemäß § 25 TTDSG

Was sind Endeinrichtungen?

Gemäß § 2 Abs. 2 Nr. 6 TTDSG handelt es sich bei Endeinrichtungen um direkte oder indirekte angeschlossene Schnittstellen an ein öffentliches Telekommunikationsnetz, um Nachrichten zu senden und zu empfangen.

Beispiele für Endeinrichtungen

  • klassische Telefonie und Internet
  • Laptops, Tablets, Mobiltelefone
  • Internet of Things (IoT): Smarthome-Anwendungen, SmartTVs, vernetzte Fahrzeuge

Welche Informationen werden gespeichert bzw. auf welche können zugriffen werden?

Mobile Endgeräte

Bei automatischen Updates von Hard- oder Software kann es zu einer Speicherung oder dem Auslesen von Informationen kommen. Bei mobilen Endgeräten sind besonders folgende Daten dann davon betroffen:

  • Hardware-Gerätekennung,
  • Werbe-ID,
  • Telefonnummer,
  • Seriennummer SIM Karte (IMSI),
  • Kontakte,
  • Anruflisten,
  • Bluetooth-Beacons,
  • SMS-Kommunikation,
  • MAC-Adresse

Browser-Fingerprinting

Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig
oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als „Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, zu werten. Beispiele dafür sind:
– die öffentliche IP-Adresse der Endeinrichtung,
– die Adresse der aufgerufenen Website (URL),
– der User-Agent-String mit Browser- und Betriebssystem-Version und
– die eingestellte Sprache.

OH für Telemedien; Seite 8

Wenn kein Personenbezug vorhanden ist, dann gilt auch § 25 TTDSG nicht, oder?

Nein. Auch wenn kein Personenbezug beim Speichern oder Auslesen von Informationen gegeben sind, so ist eine Einwilligung nach § 25 TTDSG erforderlich. Damit geht der Anwendungsbereich des TTDSG über die DSGVO hinaus.

Kann man zumindest mehrere Einwilligungen gebündelt einholen?

Unter folgenden Bedingungen kann die Einwilligung seitens des Nutzers gebündelt eingeholt werden:

  • Der Anbieter des Dienstes hat den Nutzer bereits im Vorfeld über alle Zwecke informiert, die im Anschluss nach dem Zugriff auf das Endgerät erfolgen.
  • Es muss für den Nutzer klar erkennbar sein, dass er z.B. mit Betätigen einer Schaltfläche mehrere Einwilligungen erteilt.

Anforderung an die Einwilligung

Folgende Prüfungspunkte sind nach § 25 Abs. 1 TTDSG für die Wirksamkeit der Einwilligung zu berücksichtigen:

  • Einwilligung des Nutzers des Endgeräts,
  • Zeitpunkt der Einwilligung,
  • Informiertheit der Einwilligung,
  • unmissverständliche und eindeutig besttätigende Handlung,
  • bezogen auf den bestimmen Fall,
  • Freiwilligkeit der Einwilligung,
  • Möglichkeit zum Widerruf muss ebenfalls so einfach wie die Erteilung sein

Was bedeutet Endnutzer?

Der Begriff stammt aus dem Telekommunikationsrecht. Endnutzer betreiben weder öffentliche Telekommunikationsnetze noch öffentlich zugängliche Telekommunikationsdienste.

Es ist auch unrelevant, wer der Eigentümer des Endgerätes ist oder Vertragspartner der Telekommunikationsdienstleistung.

Zu welchem Zeitpunkt muss man die Einwilligung einholen?

Die Einwilligung hat vor der dem Zugriff auf die Endeinrichtung zu erfolgen! Werden Cookies bereits beim Aufrufen der Seite ohne entsprechende Einwilligung gesetzt, ist dies nicht zulässig.

Was heißt Informiertheit der Einwilligung?

Der Nutzer muss über sämtliche Informationen nach Art. 13 DSGVO aufgeklärt werden. Zumindest müssen die Speicher- und Auslesezwecke transparent und nachvollziehbar erkennbar sein.

Über folgende Informationen ist der Nutzer aufzuklären:

  • Wer greift auf die Informationen zu?
  • In welcher Form greift dieser auf die Informationen zu?
  • Zu welchem Zweck werden die Daten verarbeitet?
  • Welche Funktionsdauer besitzen die Cookies?
  • Haben Dritte Zugriff auf die Informationen?
  • Wozu dient der Zugriff auf das Endgerät?
  • Welche Folgeverarbeitungen ergeben sich ggf. aus dem Zugriff?

Zudem muss der Nutzer über die Folgen des Widerrufs aufgeklärt werden bzw. was mit den bisherigen gespeicherten Daten passiert.

Wann handelt es sich um eine eindeutige und bestätigende Handlung?

Der Nutzer hat aktiv zu werden und seine Einwilligung z.B. durch Anklicken einer Schaltfläche in einem Banner, Auswahl technischer Einstellungen oder durch eine andere Erklärung oder andere Verhaltensweise abzugeben.

Was ist nicht eindeutig bzw. zulässig?

  • Stillschweigen,
  • bereits angekreuzte Kästchen,
  • Untätigkeit des Nutzers,
  • Herunterscrollen / Weiterscrollen auf der Webseite,
  • Anklicken von Inhalten auf der Webseite

stellen keine eindeutige Einwilligungshandlung dar.

Ausgestaltung des Einwilligungsbanners

In die Bewertung fließt daher mit ein, wie die Schaltflächen für die Abgabe der Einwilligung und weitere Handlungsoptionen beschriftet und gestaltet sind und welche Zusatzinformationen zur Verfügung gestellt werden.

  • „Okay“; „Zustimmen“; „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht hervorgeht, zu welchem Zweck die Einwilligung erfolgt.
  • Müssen die Nutzer sich über die Detailansicht erst einen Überblick über die Zwecke verschaffen und können erst daraus die Tragweitere ihrer Entscheidung einschätzen, ist dies ebenfalls keine wirksame Einwilligung.
  • Dem Nutzer muss die Möglichkeit der Ablehnung ohne Mehraufwand zur Verfügung gestellt werden.
  • Werden dem Nutzer nur zwei Handlungsmöglichkeiten zur Auswahl gestellt, die nicht gleich schnell zum Ziel führen, ist dies ebenfalls keine gültige Einwilligung.
    • Hier geht es insbesondere um die Schaltflächen „Alles akzeptieren“, „Einstellungen“, „weitere Informationen“ oder „Details“.
    • Klickt der Nutzer „Alles akzeptieren“ an, so kann er das Angebot ohne große Umschweife nutzen.
    • Mit den anderen Schaltflächen ist dem Nutzer keine direkte Ablehnung möglich. Er kann dadurch nur weitere Handlungen vornehmen.

Dürfen Cookie-Banner-Anbieter (CMP) eingesetzt werden?

Zur Implementierung einer umfassenden Einwilligungslösung werden zunehmend Consent-Management-Plattformen (CMP) eingesetzt, die von zahlreichen Unternehmen angeboten werden. Diese werben häufig damit, dass mit dem Einsatz ihres Tools rechtskonforme Einwilligungen auf der Webseite eingeholt würden. Ob dies tatsächlich der Fall ist, hängt jedoch maßgeblich vom konkreten Einsatz der CMP und den genauen Vorgängen auf dem jeweiligen Telemedienangebot ab. Die Betreiber:innen von Webseiten haben zahlreiche Konfigurationsmöglichkeiten, so
dass allein durch den Einsatz der CMP keineswegs automatisch rechtskonforme Einwilligungen eingeholt werden. Die Verantwortlichkeit für die Wirksamkeit der eingeholten Einwilligungen verbleibt bei den jeweiligen Anbieter:innen des Telemedienangebotes.

OH für Telemedien; Seite 18

Wann benötige ich keine Einwilligung?

Übertragung einer Nachricht

Erfolgt die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen lediglich zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz, ist keine Einwilligung nötig.

Telemediendienst wird zur Verfügung gestellt

Hier ist zu unterscheiden, ob der der Nutzer den Dienst ausdrücklich wünscht oder die Bereitstellung der Informationen unbedingt erforderlich ist.

Wann ist der Dienst seitens des Nutzers ausdrücklich erwünscht?

  • Durch aktive Handlungen durch den Nutzer z.B. durch Eingabe der URL, Anklicken eines Links oder Installation einer App.
  • Das bedeutet aber nicht, dass durch diese aktive Handlung die Inanspruchnahme des gesamten Webseitenangebots mit seinen Zusatzfunktionen (z.B. Onlineshop, Kontaktformular, Chatbot etc.) gewünscht wird.
Was heißt Basisdienst?
  • Onlineshop
    • Der Basisdienst eines Onlineshops besteht im Verkauf von Waren.
  • Suchmaschinen
    • Der Basisdienst einer Suchmaschine ist die Auflistung passender Webseiten zu einem bestimmten, eingegebenen Begriff.
  • Blogs
  • soziale Netzwerke
  • Übersetzungsdienst

Weitere Zusatzfunktionen wie z.B. der Einkaufskorb beim Onlineshop unterstützen den Basisdienst und werden daher diesem zugerechnet.

Was sind Zusatzfunktionen unabhängig vom Basisdienst?
  • Chatboxen,
  • Kontaktformulare,
  • Push-Nachrichten,
  • Kartendienste,
  • Wetterdienste,
  • Videos,
  • Login-Bereiche,
  • Werbung,
  • Verwaltung von Einwilligungen,
  • Merklisten,
  • Favoriten
  • etc.

Die Zusatzfunktionen werden durch den Nutzer ausdrücklich „gewünscht“, wenn z.B. der Chatbot angeklickt, die Merkliste angelegt oder das Kontaktformular ausgefüllt wird.

„Der ausdrückliche Wunsch der Nutzenden in Bezug auf diese Zusatzdienste und -funktionen muss sich daher in weiteren Handlungen ausdrücken. Dies bedeutet im Webseitenkontext, dass Nutzer:innen nicht jeden Zugriff auf ihre Endeinrichtung, insbesondere das Setzen von Cookies hinnehmen müssen, nur weil eine Webseite oder eine App aktiv aufgerufen wurde. Nutzer:innen müssen zunächst Kenntnis darüber erlangen (können), dass es Zusatzdienste und -funktionen gibt, zu deren Bereitstellung ein Zugriff auf die Endeinrichtung erforderlich ist, und eine Zusatzfunktion bewusst nutzen.“

OH für Telemedien; Seite 22

Was bedeutet unbedingt erforderlich?

Für den Begriff gibt es keine gesetzliche Definition. Allerdings ist der Gesetzesbegründung des TTDSG folgendes zu entnehmen:

„Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.“

OH für Telemedien; Seite 22

Diese Aussage bezieht sich jedoch NUR auf die Funktionalität des Telemediendienstes. Sofern wirtschaftliche Interessen bei der Speicherung von Informationen vorliegen, ist dies nicht unbedingt erforderlich und bedarf einer Einwilligung.

Folgende weitere Fragen sind noch zu klären in Bezug darauf, ob eine Speicherung unbedingt erforderlich ist:

  • Wann werden die Informationen gespeichert?
  • Wie lange werden die Cookies gespeichert?
  • Was ist der Inhalt der Cookies?
  • Wer liest die Informationen aus?
Beispiel

Das reine Durchstöbern eines Onlineshops erfordert nicht die automatische Aktivierung der Warenkorb- und Zahlungsfunktion.

Erst wenn der Nutzer ein Produkt in den Warenkorb legt und anschließend die Ware bezahlt, ist das Setzten des Warenkorb-Cookies erforderlich.

Prüfkriterien

Nachstehend hat die DSK einige Prüfkriterien zusammengefasst, die von Telemedienanbietern bei der Bewertung helfen sollen, ob eine Einwilligung erforderlich ist oder nicht:

Maßgebliche Kriterien für die Bestimmung des von Endnutzer:innen ausdrücklich gewünschten Telemediendienstes:
– Granulare Festlegung, für welche Funktion des Telemediendienstes welcher konkrete Speicher- und Auslesevorgang von Informationen auf dem Endgerät erfolgt.
– Bestimmung, wessen primären Interessen diese Funktion dient: den eigenen Interessen der Anbieter:innen, den Interessen der Nutzenden der Webseite, den Interessen des eingebundenen Drittdienstleisters oder den Interessen von
Dritten.

Maßgebliche Kriterien für die Bestimmung der unbedingten Erforderlichkeit:
– Zeitpunkt der Speicherung – Wann darf der Auslese- und Speichervorgang stattfinden? Der Speicher- und Auslesevorgang von Informationen auf dem Endgerät darf erst dann beginnen, wenn die konkrete Funktion des Telemediendienstes von Nutzenden tatsächlich in Anspruch genommen wird.
– Inhalt der Informationen – Welche Informationen werden gespeichert und ausgelesen? Die gespeicherten und ausgelesenen Informationen müssen bezogen auf die granular festgelegte Funktion des Telemediendienstes unbedingt erforderlich sein. Insbesondere beim Einsatz von Cookies ist nicht allgemein darauf abzustellen, dass ein Cookie gesetzt oder ausgelesen wird, sondern die im Cookie gespeicherte Informationen ist maßgeblich.
– Dauer der Speicherung der Informationen – Wie lange werden Informationen auf den Endgeräten gespeichert und für welchen Zeitraum können sie ausgelesen werden? Der Zeitraum der Speicherung darf nur so lang gewählt werden wie für die Umsetzung der granularen Funktion des Telemediendienstes erforderlich. In Bezug auf den Einsatz von Cookies ist dieser Zeitraum durch deren Laufzeit von vornherein festzulegen. Grundsätzlich sind Session-Cookies eher erforderlich als langlebige Cookies.
– Auslesbarkeit der Informationen – Für wen sind Informationen vom Endgerät auslesbar und verwertbar?

Werden Informationen auf dem Endgerät der Nutzenden bei der Inanspruchnahme eines Telemediums gespeichert, muss technisch sichergestellt werden, dass diese nachfolgend grundsätzlich nur von den Betreiber:innen der jeweiligen Webseite ausgelesen werden können. Bei Third-Party-Cookies ist dies gerade nicht der Fall, so dass sichergestellt sein muss, dass Drittdienstleister die ausgelesenen Informationen grundsätzlich ausschließlich für die von Nutzenden aufgerufenen Webseite verwenden.

OH für Telemedien, Seite 26 f.

Quelle

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
2 Comments on “Orientierungshilfe der DSK für Telemedienanbieter ab dem 01.12.2021 (OH Telemedien 2021)
  • Martin Weber says:

    Hallo Frau Stoiber, ich sehe gerade, dass Sie Google Fonts als technisch-notwendige Datenverarbeitung eingebunden haben und meine Daten nun an Google übermittelt haben. Aufgrund welcher Garantie erfolgt das eigentlich gem. Art. 13.1.f DSGVO. Facebook heisst auch nicht mehr Facebook, Angaben zum PrivacyShield sind auch nicht mehr angebracht. Die Terminbuchung findet über Microsoft statt. Dank Provenexpert gehen meine Daten jetzt auch in die Google Cloud in 34.102.224.29. Die beschríebene Einwilligung habe ich auch nicht gegeben. Ist das denn alles gesetzeskonform und korrekt bei Ihnen und gehen Sie mit einem guten Beispiel voran? Gruß Martin Weber

    Antworten
    • Regina Stoiber says:

      Hallo Herr Weber,
      danke für Ihr Feedback. Da waren wir wohl nicht aktuell, da haben Sie recht. Entschuldigen Sie.
      Die DSE haben wir nun angepasst. Google Fonts werden wir lokal einbinden, da sind wir noch dran.

      Viele Grüße
      Regina Stoiber

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht.