Orientierungshilfe der Datenschutzkonferenz (DSK) zum neuen TTDSG

Wie steht die DSK zu den Erfordernissen der Einwilligung nach §25 ABS. 1 TTDSG?

Mit Wirkung zum 01.12.2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Über die Neuerungen für Websiteanbieter, insbesondere in Bezug auf die Cookie-Nutzung, haben wir in unserem Blogbeitrag aus Januar 2022 berichtet.

Als Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder hat die Datenschutzkonferenz (DSK) in ihrer neuen Fassung der Orientierungshilfe für Anbieter:innen von Telemedien auf die veränderte Rechtslage reagiert. Die Leitlinie soll als praktische Hilfestellung insbesondere für Website- und Appanbieter bei der Umsetzung des neuen TTDSG verstanden werden. Im Rahmen eines Konsultationsverfahrens können Vertreter:innen aus Politik, Wirtschaft, Wissenschaft, Gesellschaft und Verwaltung bis zum 15.03.2022 zu den Inhalten der Orientierungshilfe Stellung nehmen. Laut DSK ist das Papier jedoch auch während des laufenden Konsultationsverfahrens zu beachten.

Welche Anforderungen stellt die DSK an eine wirksame Einwilligung nach § 25 Abs. 1 TTDSG?

Für eine wirksam Einwilligung sind die Vorschriften der Art. 7 und Art. 8 DSGVO zu beachten. Darauf verweist § 25 Abs. 1 TTDSG.

Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

1. Freiwilligkeit der Einwilligung

Eine Einwilligung ist dann freiwillig, wenn die betroffene Person eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 der DSGVO). Laut  DSK fehlt es regelmäßig an der Freiwilligkeit der Einwilligung, wenn die Erteilung der Ablehnung mit einem Mehraufwand, wie etwa Klicks und Aufmerksamkeit (Informationen und Einstellungsmöglichkeiten), verbunden ist. Die zur Auswahl gestellten Optionen sollten nach Auffassung der DSK daher gleichwertig gestaltet werden. 

2. Einwilligung bezogen auf den bestimmten Fall

Bevor die Einwilligung eingeholt wird, muss die betroffene Person umfangreich über den Zweck der Verarbeitung informiert werden. Eine Generaleinwilligung ist nicht möglich. Gemäß Erwägungsgrund 43 der DSGVO gilt die Einwilligung regelmäßig auch dann nicht als freiwillig erteilt, wenn zu verschiedenen Vorgängen nicht gesondert eine Einwilligung erteilt werden kann, obwohl diese in dem entsprechenden Fall angemessen wäre.

3. Informiertheit der Einwilligung

Endnutzer:innen müssen über den Gegenstand der Einwilligung umfangreich informiert werden, insbesondere darüber, welche personenbezogenen Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden, wer Zugriff auf die Daten erhält, inwieweit die personenbezogenen Daten mit weiteren Daten verknüpft werden, welche Funktionsdauer die Cookies haben und dass ein späterer Widerruf nur Auswirkung für die Zukunft hat.

Auch sollten Informationen, die innerhalb eines Telemedienangebotes an verschiedenen Stellen zur Verfügung gestellt werden, kongruent sein, so die DSK. Das heißt, Cookie-Banner und Datenschutzerklärung sollten die gleichen Informationen enthalten. 

4. Unmissverständliche und eindeutig bestätigende Handlung – Zeitpunkt der Einwilligung

Die Einwilligung darf nicht voreingestellt sein. Sie muss durch ein aktives Handeln bestätigt werden, wie etwa durch Anklicken einer Schaltfläche in einem Cookie-Banner. Solange der Nutzer keine Einwilligung in den Einsatz von Cookies und vergleichbare Verfahren abgegeben hat, dürfen auch keine Cookies ausgeführt, bzw. gesetzt werden.

Inwieweit eine Willenserklärung unmissverständlich ist, hängt laut DSK auch davon ab, ob Endnutzer:innen „ihren wahren Willen unmittelbar zum Ausdruck bringen konnten oder eindeutig erkennen konnten, wie der wahre Wille zum Ausdruck gebracht werden kann.“

Die DSK hält die Nutzung eines Cookie-Banners mit einem Button, der die Einstellungen für Cookies „konfiguriert“ oder „einstellt“ für rechtswidrig. Mit dieser Schaltfläche könnten „die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten. Es bedarf dann weiterer Entscheidungen oder Einstellungen, bis das gewünschte Angebot genutzt werden kann. „Laut DSK haben die beiden Handlungsoptionen „Alles Akzeptieren“ und „Einstellungen“ bzw. „Weitere Informationen“ nicht denselben Kommunikationseffekt. Eine Einwilligung sei somit regelmäßig nicht wirksam, wenn „keine gleichwertigen Handlungsmöglichkeiten“ angeboten werden. 

5. Widerruf der Einwilligung

Der Widerruf einer Einwilligung muss jederzeit so einfach sein wie die Einwilligungserklärung selbst (Art. 7 Abs. 3 S. 4 DSGVO). Wird die Einwilligung bei der Nutzung der Website erteilt, muss auch der Widerruf auf diesem Wege möglich sein. Es darf nicht auf Widerrufsmöglichkeiten wie etwa E-Mail, Fax oder Brief hingewiesen werden.

Die DSK sieht es auch als unzulässig, wenn eine Einwilligung mittels eines Cookie-Banners abgefragt wird und für den Widerruf „zunächst die Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss.“ 

6. Bündelung von Einwilligungen

Es stellt sich die Frage, inwieweit die Einwilligung nach § 25 Abs. 1 TTDSG und die Einwilligung, die als Rechtsgrundlage für eine weitere Verarbeitung der ausgelesenen Daten gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich ist, durch dieselbe Handlung erteilt werden kann. Die DSK bejaht dies. Allerdings müsse bei der Abfrage eindeutig erkennbar sein, dass mit einer einzigen Handlung, wie etwa dem Betätigen einer Schaltfläche, mehrere Einwilligungen erteilt werden. „Werden Nutzende, z.B. mittels eines Banners, auf einer Webseite darum gebeten, eine Einwilligung in den Einsatz von Cookies zu erteilen, ohne dass im Wortlaut der Einwilligung auch die Folgeverarbeitungen angesprochen werden, so handelt es sich nicht um eine gebündelte Einwilligung nach TTDSG und DSGVO, sondern lediglich um eine Einwilligung nach dem TTDSG.“

Übermittlung personenbezogener Daten an Drittländer

Eine Übermittlung von personenbezogenen Daten in ein Drittland, wie etwa die USA, für die kein Angemessenheitsbeschluss der EU-Kommission besteht, darf nur vorbehaltlich geeigneter Garantien, wie z. B. Standarddatenschutzklauseln, oder bei Vorliegen eines Ausnahmetatbestandes für bestimmte Fälle gem. Art. 49 DSGVO erfolgen. 

Die DSK ist der Ansicht, dass Art. 49 Abs. 1 lit. a DSGVO nicht als regelmäßige Einwilligung für Übermittlungen in Drittländer geeignet ist. Dies widerspreche dem Charakter des Art. 49 DSGVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO.

Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO

Die Verarbeitung ist nach Art. 6 Abs. 1 S. 1 lit. f DSGVO rechtmäßig, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Nach Auffassung der DSK, kann Art. 6 Abs. 1 S. 1 lit. f DSGVO in der Regel keine wirksame Rechtsgrundlage bilden, wenn bei der Übermittlung personenbezogener Daten, auch wenn es nur die IP-Adresse ist, Drittdienstleister, die beim Tracking als Auftragsverarbeiter eingebunden werden, Daten der betroffenen Person auch zu eigenen Zwecken verarbeiten oder sich dies auch nur abstrakt vorbehalten.

Fazit

Die DSK hält es für rechtswidrig, wenn ein Cookie-Banner einen Button vorsieht, mit dem die Verwendung von Cookies akzeptiert werden kann und einen anderen Button, mit dem die Einstellungen für Cookies „konfiguriert“ oder eingestellt“ werden können. In dieser Konstellation würde laut DSK regelmäßig keine wirksame Einwilligung vorliegen.

Ein Button „Ablehnen“ ist sicher nutzerfreundlich. Wenn wir jedoch dem Wortlaut von Art. 4 Nr. 11 DSGVO zum Begriff der Einwilligung folgen, ist unseres Erachtens darin die Pflicht, eine andere Option zum einfachen Ablehnen neben der Einwilligung anzubieten, so nicht geregelt.

Auch kann die Ansicht der DSK, dass Art. 49 Abs. 1 lit. a DSGVO als Einwilligung für Drittlandübermittlungen generell nicht geeignet sei, unserer Meinung nach nicht geteilt werden. Folgen wir dem Wortlaut des Art. 49 Abs. 1 S. 2 DSGVO, können über Art. 49 Abs. 1 lit. a DSGVO durchaus auch wiederholte Übermittlungen legitimiert werden, da die Einwilligung als Ausnahme im Sinne der Art. 49 Abs. 1 S. 1 eingestuft ist.

Es bleibt spannend. Wer auf Nummer sicher gehen will, wird die Meinungsäußerungen in der Orientierungshilfe der DSK berücksichtigen. Wer darauf verzichtet, geht das Risiko einer  Auseinandersetzung mit den Aufsichtsbehörden ein und hofft auf schnelle gerichtliche Entscheidungen.


Autorin: Rosemarie Popa (Senior Data Privacy Consultant)