Das dacuro-Team betreut seine Kunden ganzheitlich in allen Bereichen des Datenschutzes. Unser Team deckt alle erforderlichen Themen der Datenschutzgrundverordnung (DSGVO) ab: den allgemeinen Datenschutz-Bereich, die juristischen Datenschutz-Themen, die beispielsweise für Einwilligungen oder Vertragsabschlüsse im Bereich der Auftragsverarbeitung erforderlich sind und das Spektrum der IT-Sicherheit, die sich u. a. in den technisch-organisatorischen Maßnahmen (TOM) wiederfinden.

Website Prüfung

Ein weiteres Steckenpferd der dacuro GmbH ist die Website Prüfung. Bei unseren Kunden führen wir diese in regelmäßigen Abständen durch, da hier die Vorgaben im stetigen Wandel sind und es seit Einführung der Datenschutzgrundverordnung (DSGVO) zu immer neuen Urteilen kommt. So kam es erst Ende letzten Jahres zu Herausforderungen mit dem Cookie-Consent-Tool Cookiebot, dessen Einsatz das Verwaltungsgericht Wiesbaden für unzulässig erklärte. Das Urteil wurde zwar im Januar 2022 aus formellen Gründen aufgehoben, kann aber durch das Verwaltungsgericht in einem Hauptsachverfahren nochmals entschieden werden. Zum 1. Dezember 2021 trat das TTDSG in Kraft. Aus diesem ergeben sich, neben allgemeinen Verpflichtungen für Website Betreiber, auf die wir noch genauer eingehen, ebenfalls Herausforderungen im Bereich des Affiliate Marketing. Selbst der falsche Einsatz von Google Web Fonts kann zwischenzeitlich zu Schadensersatzansprüchen führen. Bereits 2021 kündigte die europäische Datenschutzorganisation noyb an, gegen
rechtswidrige Cookie-Banner vorzugehen. Alle Fälle zeigen auf, wie wichtig eine datenschutzkonforme Website für Unternehmen ist.

Auch bietet die Website eines Unternehmens eine der größten datenschutzrechtlichen Angriffsflächen für Behörden, unzufriedene Kunden, Mitarbeiter oder gar die eigene Konkurrenz. Aus diesem Grund bietet die dacuro GmbH, unabhängig der Bestellung als externer Datenschutzbeauftragter, Website Prüfungen für öffentliche Stellen und Unternehmen an. In unserer jahrelangen Zusammenarbeit mit Webdienstleistern hat sich gezeigt, dass das Thema Datenschutz sowohl seitens der Dienstleister als auch der Kunden unterschiedlich ausgelegt wird. Die dacuro GmbH legt Wert darauf, sich bei den Website Prüfungen an die datenschutzrechtlichen Vorgaben zu halten, mit denen Webdienstleister oder Marketing-Agenturen teilweise nicht vertraut sind.

Einführung des TTDSG

Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz – kurz: TTDSG), hat die daten­schutzrechtlichen Bestimmungen des Tele­medien­gesetzt (TMG) und des Telekommuni­kations­gesetzes (TKG) abgelöst und dient vor allem dem Schutz von Privatpersonen unabhängig des Personenbezugs. Mit dem TTDSG sollen insbesondere die Vorgaben aus Art. 5 Abs. 3 der ePrivacy-Richtlinie rechtssicher in nationales Recht umgesetzt werden. Das TTDSG hat zudem Auswirkungen auf den Einsatz von Cookies, Drittanfragen, externe Skripte und ähnlichen Techniken, die auf Webseiten, Apps oder in ähnlichen Technologien zum Einsatz kommen.

Bereits mit dem EuGH Urteil zum „Fashion-ID“ Fall vom 29.07.2019 , dass wir in unserer Blog-Serie zu Cookies erläutert haben, war uns hinsichtlich der Website Prüfungen klar, dass ohne die Einholung der Einwilligung für Cookies, externe Skripte o. ä. auf Webseiten keine Datenschutzkonformität vorliegt. Die Bestätigung unserer streng ausgelegten Prüfweise wurde nicht nur durch die Orientierungshilfe der Datenschutzkonferenz bestätigt, sondern auch durch das „Planet49“ Urteil des BGH am 28.05.2020, dass viele deutsche Website Betreiber abwarten wollten. Seither ist ziemlich genau geregelt, wie der Onlineauftritt eines Unternehmens bzgl. Cookies & Co. datenschutzkonform auszusehen hat. Doch viele Unternehmen und Webdienstleister konzentrierten sich weiterhin ausschließlich auf die korrekte Einbindung von Cookies und ließen alle restlichen Technologien, wie z. B. externe Skripte, Drittanfragen oder den Local Storage, außer Acht. Mit der Einführung des TTDSG sind jetzt die rechtlichen Vorgaben eindeutig geregelt. Die relevanten Vorgaben sind in § 25 TTDSG zu finden.

Was regelt der § 25 TTDSG?

Im Absatz 1 des Paragrafen ist zu entnehmen:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679* zu erfolgen.“

Definiert wird der Begriff Endeinrichtung in § 2 Abs. 2 Nr. 6 TTDSG als „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet“.
Seitens des Gesetzgebers wurde diese Definition absichtlich gewählt, um nicht nur die Kommunikation mittels klassischer Telefonie und Internet zu erfassen, sondern, neben Laptops, Tablets oder Mobiltelefonen, betrifft die Vorgabe auch Anwendungen wie Smart-TVs, Alarmsysteme, Smart-Home-Anwendungen oder vernetzte Fahrzeuge. Ausschließlich bei internen Netzwerken, die nicht mit dem Internet verbunden sind, findet der Anwendungsbereich seine Grenzen.

Unter die Speicherung von Informationen fällt u. a. das Setzen von Cookies und die Nutzung des Session- und Local Storage, sowie die Einbindung von Drittanfragen oder externen Skripten, bei denen teilweise auch eine automatische Weitergabe von personenbezogenen Daten, wie z. B. die IP-Adresse, erfolgt.

Beim Zugriff auf Informationen ist beispielsweise der Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, die Kennungen der Netzwerk-Hardware (MAC-Adressen) gemeint. Aber auch Browser-Informationen, wie beispielsweise Bildschirmauflösungen, Betriebssystemversionen oder installierte Schriften, die mittels Browser-Fingerprinting ermittelt werden, fallen unter diese. Ebenfalls das Auslesen der Eigenschaften von Endgeräten (PCs, Notebooks, Smartphones, usw.) von Informationen mittels Java-Skript-Code wird als Zugriff auf Informationen gewertet.

DSGVO und TTDSG

Durch die Einführung des TTDSG ist zu beachten, dass die Rechtsvorschriften der Datenschutzgrundverordnung (DSGVO) für alle nachfolgenden Verarbeitungen personenbezogener Daten gilt. Also für Verarbeitungen von personenbezogenen Daten, die bereits mit Hilfe unterschiedlicher Technologien ausgelesen oder gespeichert wurden. Aus diesem Grund gehen die spezifischen Bestimmungen des § 25 TTDSG weit über die Vorgaben der DSGVO hinaus.

Dies wird auch dahingehend ersichtlich, dass das TTDSG ein Einwilligungserfordernis für das Speichern und/oder Auslesen von Informationen auf bzw. aus einem Endgerät unabhängig von einem Personenbezug der Informationen verlangt. Übertragen auf Webseiten- und App-Prüfungen bedeutet dies: egal, ob in Cookies & Co. personenbezogene Daten gespeichert sind oder auf diese zugegriffen werden soll, die Einholung einer Einwilligung ist immer verpflichtend.

Die in § 25 TTDSG unter Absatz 2 genannten Ausnahmen hinsichtlich des Einwilligungserfordernis stellen wir Ihnen ebenfalls noch kurz vor. Diese haben jedoch nahezu keine Auswirkungen im Hinblick auf Technologien, die standardmäßig bei Unternehmenswebseiten zum Einsatz kommen.

Was ist für Websites verpflichtend?

Sobald Sie auf Ihrer Website externe Tools einbinden, unabhängig davon ob diese Cookies setzen oder nicht, entstehen in den meisten Fällen Drittanfragen oder der Local Storage wird verwendet. Gleiches geschieht bei der Nutzung externer Skripte, die eine Verbindung mit dem externen Anbieter aufbauen, um den gewünschten Inhalt bereitzustellen. In diesem Fall erfolgt ebenfalls eine Weitergabe von (personenbezogenen) Daten an den Anbieter. Auch bei einer Analyse des Websitebesuchers anhand seiner Daten (z. B. über Benutzer-ID, Geolokation oder mittels Zählpixel, usw.) wird auf Nutzerdaten zugegriffen bzw. es werden Informationen beim Nutzer gespeichert, um Informationen auslesen zu können.

In allen Fällen ist die Einholung einer Einwilligung, unabhängig des Personenbezugs, verpflichtend.

Gibt es Ausnahmen?

Ja, doch diese betreffen weder Website Betreiber noch App-Anbieter oder ähnliche Dienstleistungen. Diese Ausnahmen sind spezifisch und belaufen sich ausschließlich auf folgende Bereiche:

• Durchführung der Übertragung einer Nachricht (§ 25 Abs. 2 Nr. 1 TTDSG)
  Die Einwilligung ist nicht erforderlich, wenn der alleinige Zweck des Zugriffs […] die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist.
  
  
• Zurverfügungstellen eines Telemediendienstes (§ 25 Abs. 2 Nr. 2 TTDSG)
  Die Einwilligung ist nicht erforderlich, wenn die Speicherung von Informationen […] unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Die in Nr. 2 genannte Ausnahme liegt nur in sehr spezifischen Fällen vor. Unter Umständen kann dies beispielsweise bei Online-Shops zum Tragen kommen. Jedoch ist hier eine sehr genaue Vorabprüfung erforderlich. Keinesfalls eröffnet diese Ausnahmeregelung einen erweiterten Spielraum für Tools, die ergänzend auf der Website implementiert werden.

Einwilligung über das Cookie-Banner

Bei der Einholung der Einwilligung ist somit ebenfalls zu differenzieren, ob diese ausschließlich gem. TTDSG oder in Verbindung mit der DSGVO datenschutzkonform eingeholt wird.

Einwilligungen lassen sich generell durchaus gebündelt einholen, jedoch muss bei einer DSGVO-konformen Einwilligung ebenfalls im Wortlaut auch über alle Zwecke einer Datenverarbeitung und die Folgeverarbeitungen informiert werden und es darf keine pauschale Allgemeinabfrage durchgeführt werden.

Im Gegensatz zum früheren TKG und TMG gibt das neue TTDSG keine Vorgaben für die Einwilligung, sondern verweist sowohl bzgl. der Informationspflichten als auch hinsichtlich des Formerfordernis auf die DSGVO (Art. 4 Nr. 11, Art. 7 und Art. 8 DSGVO).

In diesem Zusammenhang schreibt die Datenschutzkonferenz nachfolgende Prüfpunkte in Verbindung mit dem § 25 Abs. 1 TTDSG vor:

• Einwilligung der Endnutzer:innen des Endgeräts,
• Zeitpunkt der Einwilligung:
  bedeutet, sie muss eingeholt werden, bevor der einwilligungsbedürftige Zugriff erfolgt,
• Informiertheit der Einwilligung:
  bedeutet, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen – aufgrund dessen muss über nachfolgendes informiert werden: in welcher Form wird zu welchem Zweck über welche Funktionsdauer zugegriffen und erlangen Dritte Zugriff auf die Daten,
• unmissverständliche und eindeutig bestätigende Handlung:
  bedeutet, dass dem Nutzer eindeutig klar sein muss, für was er zustimmt und dass diese Zustimmung nur durch sein eigenes proaktives Handeln erfolgen kann [Opt-In Pflicht]
• bezogen auf den bestimmten Fall,
  bedeutet, dass keine Pauschaleinwilligungen mittels allgemeiner, oberflächlicher Angaben möglich sind,
• Freiwilligkeit der Willensbekundung,
  bedeutet, dass der Nutzer nicht unter Zwang seine Einwilligung abgeben bzw. diese an Bedingungen geknüpft werden darf
• Möglichkeit zum Widerruf der Einwilligung, der ebenso einfach sein muss wie die Erteilung,
  bedeutet, wird die Einwilligung unmittelbar bei der Nutzung einer Webseite erteilt, so muss auch deren Widerruf auf diesem Weg möglich sein [unkomplizierte Zugriffsmöglichkeit auf das Cookie-Banner]

Unterschiedliche Cookie-Consent-Banner

Cookie-Banner können unterschiedlich auf Websites implementiert werden. Es gibt Tools, die lokal auf der Website eingebunden werden können. Dies stellt einen großen Vorteil dar, da keine Verbindung zu externen Dienstleistern aufgebaut wird. Der Nachteil ist, dass sie der Rechtslage oder bei technischen Änderungen auf der Website nachjustiert und angepasst werden müssen.

Externe Dienstleister werben damit, dass ihre Tools eine rechtskonforme Einwilligung einholen. Dies ist jedoch keineswegs fortwährend der Fall, da es auch hier unterschiedliche Konfigurationsmöglichkeiten gibt, sodass allein der Einsatz eines Tools durch einen externen Anbieter keine Sicherheit bietet. Hinzu kommt, dass Sie bei der Inanspruchnahme eines externen Anbieters immer einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) gem. Art. 28 DSGVO abschließen sollten.

Als (Website-)Anbieter bleiben Sie beim Einsatz beider Varianten immer verantwortlich, dass die Einholung der Einwilligung rechtskonform erfolgt ist. Aus diesem Grund gilt es, die Website und Einbindung des Cookie-Banners regelmäßig auf Datenschutzkonformität zu prüfen. Dass die Prüfung von Cookie-Bannern vermehrt auf dem Prüfstand steht, zeigte noby bereits 2021.
Im Herbst wurden mehr als 422 formelle DSGVO-Beschwerden gegen Cookie-Banner eingereicht.

Datenübermittlung in die USA

Die Datenverarbeitung von personenbezogenen Daten orientiert sich hinsichtlich der Rechtsgrundlagen (Einwilligung, Vertrag sowie berechtigtes Interesse) am Art. 6 DSGVO. Die Rechtmäßigkeitsprüfung für die genannten Rechtsgrundlagen beziehen sich jedoch ausschließlich auf den Europäischen Wirtschaftsraum.  

So kommen jedoch auf Websites oftmals Tools und Dienste zum Einsatz, deren Sitz oder Hauptsitz außerhalb des EWR liegt. Liegt für die entsprechenden Länder ein sogenannter Angemessenheitsbeschluss vor, kann ein Datenaustausch wie mit Ländern aus der EU bzw. dem EWR erfolgen, da das Datenschutzniveau als gleichwertig zu betrachten ist.

Handelt es sich hingegen um Drittländer, bei denen das Datenschutzniveau seitens der Behörden nicht als gleichwertig betrachtet wird, darf eine Datenübermittlung ausschließlich mittels hinreichender Garantien erfolgen.

Auch die Datenübermittlung in die USA, welche früher durch das EU-US Privacy Shield geregelt wurde, ist ein Transfer in ein unsicheres Drittland. Durch das Schrems II Urteil im Sommer 2020 wurde die sichere Datenübermittlung gekippt und das Privacy Shield ist zerbrochen. Somit lässt sich der Datentransfer nicht mehr auf das Privacy Shield stützen, unabhängig davon, dass die US-Unternehmen weiterhin entsprechend zertifiziert sind. Seither muss ein Datentransfer in die USA durch zusätzliche Maßnahmen geregelt werden. Hierbei ist zu beachten, dass der Abschluss von EU-Standardvertragsklauseln, deren Abschluss bei anderen Drittstaaten oftmals genügen, nicht ausreichend ist, um das erforderliche Datenschutzniveau zu garantieren. Denn speziell in den USA hebelt der dort geltende USA PATRIOT Act, welcher im Zuge der Geschehnisse des 11. September 2001 beschlossen wurde, den Schutz von personenbezogenen Daten aus. Aufgrund des Gesetzes ist es US-Behörden möglich, ohne richterliche Anordnung Zugriff auf Server von US-Unternehmen zu erhalten. Diese US-Rechtsvorschrift gilt ebenfalls für ausländische Tochterunternehmen der Firmen, selbst dann, wenn lokale Gesetze den Zugriff untersagen. 2018 kam ergänzend der CLOUD Act hinzu, nach dem amerikanische Internet-Firmen und IT-Dienstleister verpflichtet sind, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Letztlich sind von dieser Praxis jegliche US-Unternehmen, wie beispielsweise Google, Meta (Facebook, Instagram, WhatsApp & Co.), Amazon, Microsoft, usw., betroffen unabhängig davon, dass die meisten Tochterunternehmen einen EU-Sitz in Irland aufweisen können. Eine elektronische Datenübermittlung oder -speicherung von personenbezogenen Daten ist nahezu nicht möglich.

Vor allem im Bereich von Nutzeranalysen bzw. bei Tracking-Dienstleistungen erachten die deutschen Behörden selbst eine durch den Nutzer erteilte Einwilligung für den Datentransfer in die USA als nicht ausreichend. Im Februar 2022 schloss sich zudem die französische Datenschutzaufsicht (CNIL) der österreichischen Behörde an und erklärte den Einsatz von Google Analytics wegen des US-Datentransfers für unzulässig. Diesbezüglich stellt sich die Frage, wann weitere europäische Staaten und auch Deutschland dieser Auffassung folgen werden und welche Auswirkungen diese Beurteilung für weitere US-Tools bei Websites, Apps und ähnlichem haben wird.

Zwischenzeitlich gibt es Informationen hinsichtlich eines EU-US Privacy Shield 2.0, dass künftig den Datentransfer in die USA regeln soll. In diesem Zusammenhang wurde bekannt, dass die USA jedoch keine Änderungen ihrer Überwachungsgesetze planen. Somit liegt ausschließlich eine theoretische Einigung vor, die keinerlei Rechtswirkung besitzt und noch einige Hürden zu nehmen hat. Eine tatsächlich datenschutzkonforme Übermittlung von personenbezogenen Daten wird weit mehr benötigen als politische Willensäußerungen.

Fazit

Mit Einführung des TTDSG wurden in Deutschland nicht nur verpflichtende Rechtsvorgaben umgesetzt, sondern auch der Schutz von Privatpersonen in den Vordergrund gestellt. Im Zusammenhang mit Websites, Apps oder ähnlichen Technologien gilt es seither genau zu prüfen, wie diese implementiert werden, da ein Einwilligungserfordernis vorliegt. So sollten Unternehmen bei der Planung einer neuen Website ihren Webdienstleister oder ihre Marketing-Agentur informieren, dass die Website nicht nur den Vorgaben der DSGVO entsprechen, sondern auch die rechtlichen Anforderungen des TTDSG berücksichtigen muss. Sofern Sie bereits über einen Datenschutzbeauftragten verfügen, lohnt sich hier die frühzeitige Einbindung, sodass spätere Anpassungen und Änderungen die Kosten nicht in die Höhe treiben. Vorsicht ist bei der Nutzung von US-Tools geboten, da hier eine datenschutzkonforme Einbindung in Kürze europaweit gekippt werden kann. Websites, die älter als 2 Jahre sind und seither nicht aktualisiert wurden, sollten auf Datenschutzkonformität geprüft werden. In den letzten Jahren gab es einige Vorgaben seitens der Behörden und mehrere Urteile, sodass es unwahrscheinlich ist, dass eine alte Website noch den rechtlichen Anforderungen entspricht. Dies beginnt nicht nur bei der Datenschutzerklärung und endet beim Cookie-Banner, es gibt einige Punkte, die zu beachten sind. Letztlich bleiben Sie als Unternehmen und Betreiber der Website rechtlich verantwortlich.