DSK Orientierungshilfe Telemedien – Konkretisierung der deutschen Vorschriften für Cookies und Tracking-Methoden


Ihre Kontakte

Seit Dezember 2021 gelten in Deutschland die neuen Vorschriften für Cookies und Tracking-Methoden des «Telekommunikation-Telemedien-Datenschutz-Gesetz», kurz TTDSG. Das TTDSG ist aufgrund seines weiten und unklaren räumlichen Anwendungsbereiches auch für Schweizer Unternehmen ohne Niederlassung in Deutschland relevant. In einer neuen Orientierungshilfe gibt die Konferenz der deutschen Datenschutzbehörden (DSK) Aufschluss über die neue Rechtslage. Darin wird der aktuelle Stand der Behördenpraxis ausführlich und mit zahlreichen Beispielen veranschaulicht. Verdeutlicht wird dadurch zwar namentlich, wie hoch die Anforderungen an eine gültige «Cookie-Einwilligung» sind und wie eng die technische Erforderlichkeit als Ausnahme vom Opt-In-Prinzip verstanden wird. Gleichwohl ist die Orientierungshilfe für die Praxis aber wertvoll und verschafft weitere Klarheit über den (wenn auch strengen) Standpunkt der Aufsichtsbehörden.

Hintergrund: neue deutsche Sondervorschriften für Cookies

Während die Anforderungen an die Verarbeitung von personenbezogenen Daten in der Datenschutzgrundverordnung (DSGVO) enthalten sind, wird der Einsatz von Cookies europarechtlich durch eine spezielle e-Privacy-Richtlinie geregelt. Letztere reguliert unter anderem den technischen Prozess des Setzens und Auslesens von Cookies. Diese Sondervorschriften mussten von den EU-Mitgliedstaaten zunächst in nationales Recht übertragen werden. In der Vergangenheit bestanden aber erhebliche Bedenken, ob die e-Privacy-Richtlinie in Deutschland korrekt in nationales Recht umgesetzt wurde. Spätestens mit dem wegweisenden Urteil des EuGH in Sachen Planet49 wurde klargestellt, dass die Umsetzung unzulänglich war (vgl. dazu MLL-News vom 25.10.2019).

Deshalb musste die massgebliche Bestimmung der e-Privacy-Richtlinie (Art. 5 Abs. 3) durch eine neue Regelung in deutsches Recht umgesetzt werden. Zu diesem Zweck hat der deutsche Gesetzgeber im neuen Telekommunikation Telemedien Datenschutzgesetz (TTDSG) den § 25 geschaffen. Dieser gilt seit dem 1. Dezember 2021 und ist fortan bis auf weiteres beim Einsatz von jeglichen Technologien zu beachten, mittels derer Informationen auf Endeinrichtungen gespeichert oder aus diesen ausgelesen werden. Die neuen Vorschriften sind auch für Schweizer Anbieter ohne Niederlassung in Deutschland relevant, zumindest dann, wenn diese ihr Angebot an deutsche Nutzer ausrichten oder an solchen Angeboten mitwirken (s. unten).

Vor diesem Hintergrund hat die deutsche Konferenz der Datenschutzaufsichtsbehörden (DSK) ihre frühere Orientierungshilfe «Telemedien» (vgl. dazu MLL-News vom 27.4.2019) vollständig überarbeitet und ergänzt.

Verankerung des Opt-In-Prinzips

Im Fokus der Orientierungshilfe steht die Erläuterung des nun ausdrücklich auch in Deutschland verankerten Opt-In-Prinzips. Nach diesem Grundsatz ist «die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind«, nur mit Einwilligung der Endnutzer:innen zulässig. Ausgehend davon erläutert die DSK ausführlich, was unter den einzelnen Begrifflichkeiten zu verstehen ist und damit, welche Anbieter, unter welchen Voraussetzungen ein Opt-In benötigen.

Weit gefasste Begriffe der Endeinrichtung und der Information

Der Begriff der Endeinrichtung wird sehr weit definiert. Neben Gegenständen wie Laptops, Tablets, Mobiltelefonie wird auch der Bereich des Internets der Dinge (IoT)  vom Anwendungsbereich erfasst. Zu letzterem zählen gemäss DSK Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsysteme sowie Smart-TVs oder vernetzte Fahrzeuge, solange sie eine Kommunikationsfunktion aufweisen. Erst wenn die Einrichtung nicht mehr mit dem Internet als öffentlichem Telekommunikationsnetz verbunden ist, stellt es keine Endeinrichtung dar.

Die Einwilligung der Endnutzer:innen muss weiter nicht nur bei Cookies eingeholt werden, sondern auch bei „Spyware“, „Web-Bugs“, „Hidden Identifiers“, weiteren ähnlichen Technologien sowie im Webseitenkontext Web-Storage-Objekten (Local- und Session-Storage-Objekte). Automatische Update-Funktionen von Hard- oder Software können ebenfalls zu einem Einwilligungserfordernis führen. Bei mobilen Endgeräten löst der Zugriff auf Hardware-Geräteerkennungen, Werbe-Identifikationsnummern, Telefonnummern oder SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation ein Einwilligungserfordernis aus.

In Bezug auf die in den Endeinrichtungen enthaltenen Informationen bekräftigt die DSK weiter, dass es irrelevant ist, ob diese einen Personenbezug aufweisen oder nicht. Vielmehr gilt die Einwilligungserfordernis im Rahmen des TTDSG unabhängig davon. Dies verdeutlichte zuletzt die BGH-Entscheidung Planet49 vom 28.05.2020, worin klargestellt wurde, dass die e-Privacy-Richtlinie, anders als die DSGVO, die Verarbeitung jeglicher Daten erfasst, ohne einen Personenbezug zu fordern. Im Übrigen liegt aber beim Tracking von Nutzer:innen sehr häufig auch ohnehin ein Personenbezug vor, weswegen in einem solchen Fall die Anforderungen der DSGVO zusätzlich gelten (vgl. zum Ganzen auch MLL-News vom 25.10.2019).

Einwilligung bei Browser-Fingerprinting?

Beim Einsatz von sog. Browser-Fingerprinting muss unterschieden werden. Hierunter versteht die DSK «den Prozess der serverseitigen Bildung eines möglichst eindeutigen und langlebigen (Hash-)Werts oder Abbildes als Ergebnis einer mathematischen Berechnung von Browser-Informationen, wie beispielsweise Bildschirmauflösungen, Betriebssystemversionen oder installierte Schriften

Keiner Einwilligung bedarf es nach Ansicht der DSK, wenn ausschliesslich Informationen verarbeitet werden, die entweder zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgeräts beim Aufruf eines Telemediendienstes übermittelt werden. Beispiele dafür sind:

  • die öffentliche IP-Adresse der Endeinrichtung,
  • die Adresse der aufgerufenen Website (URL),
  • der User-Agent-String mit Browser- und Betriebssystem-Version und
  • die eingestellte Sprache.

Demgegenüber wertet es die DSK bereits als grundsätzlich einwilligungspflichtigen Zugriff, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.

Anforderungen an gültige Einwilligung

Für den Einsatz von Cookies gelten die hohen Anforderungen der DSGVO, welche eine aktive Einwilligung des Endnutzers voraussetzen, wie bereits der EuGH in Planet49 klargestellt hat. Die DSK bekräftigt anschaulich, dass blosses Scrollen oder Weitersurfen ungenügend sind für eine Einwilligung. Die Orientierungshilfe veranschaulicht zudem, dass die Umsetzung in der Praxis mittels Cookie-Bannern erfolgen kann und diese aber strengen Vorgaben an die Ausgestaltung genügen muss. Die Orientierungshilfe bekräftigt die hierzu bereits bekannten Standpunkte der Behörden in gut strukturierter und aktualisierter Form.

Die DSK stellt ferner klar, worüber informiert werden muss (insb. «Wer» auf die Endeinrichtung zugreift, inkl. Dritter, und zu welchem Zweck). Weiter muss über die Funktionsdauer der Cookies, die Folgebearbeitungen und deren Zweck aufgeklärt werden. Ferner muss über die Widerrufbarkeit und dessen Auswirkungen informiert werden, namentlich, dass ein späterer Widerruf keinen Einfluss auf die Rechtmässigkeit bisheriger Bearbeitungen hat. Bereits auf den Bannern selbst müssen laut DSK die Zwecke hinreichend präzis beschrieben werden, da vage Angaben wie «Verbesserung der Nutzererfahrung» nicht genügen. Die Buttons der Cookie-Banner dürfen nicht irreführend sein und es muss klar werden, was Nutzende mit einem Klick zum Ausdruck bringen («Zustimmen» statt bloss «Okay»). Müssen Nutzende erst eine im Banner integrierte Detailansicht öffnen, um zu erfahren, welche Einstellungen mittels Cookies akzeptiert werden, ist dies gemäss DSK nicht ausreichend für eine gültige Einwilligung.

Betont wird ferner, dass die Ablehnung im Vergleich zur Zustimmung ohne Mehraufwand an Klicks möglich sein muss. So darf diese also nicht erst auf einer zweiten Ebene via Klick auf einer Schaltfläche wie «Einstellungen» aufgeführt werden. Die DSK äussert sich sodann leider nur relativ vage zur strittigen Frage, inwieweit der Zugang zu einem Angebot von der Zustimmung zu Cookies abhängig gemacht werden darf (sog. Cookie-Walls; vgl. bereits MLL-News vom 15.06.2020). Folgt man der DSK, reicht es für eine freiwillige Einwilligung nicht, wenn der Nutzende auch auf eine vergleichbare Dienstleistung ausweichen kann und insoweit eine Auswahlmöglichkeit hat. Nicht berücksichtigt wird dabei aber, dass eigentlich die Frage der Zumutbarkeit des Verzichts relevant sein müsste, also ob dem Nutzenden der Verzicht auf das jeweilige durch Cookie-Walls versperrte Angebot zumutbar ist, was bei der Mehrheit der Webseiten der Fall ist. Nach richtiger Ansicht ist der Umstand, inwieweit andere Angebote vorhanden sind, bei der Prüfung der Zumutbarkeit des Verzichts zwar zu berücksichtigen, aber nicht allein entscheidend (vgl. dazu insb. zum Schweizer DSG den Aufsatz von Lukas Bühlmann und Michael Schüepp, Rz. 35).

Verdeutlichung der strengen Ausnahme vom Opt-In-Prinzip bei „technischer Erforderlichkeit“

Schliesslich verdeutlicht die DSK in ihrer Orientierungshilfe, dass hohe Anforderungen für eine Ausnahme vom Opt-In-Prinzip bestehen. Diese Ausnahme der «technischen Erforderlichkeit» greift, wenn das Setzen oder Auslesen von Cookies und ähnlichen Mitteln für die Zurverfügungstellung eines von den Nutzenden gewünschten Dienstes erforderlich ist. Die DSK veranschaulicht, dass bei Webseiten zwischen Basisfunktionen und Zusatzfunktionen zu unterscheiden ist. Nur weil ein Nutzer eine Webseite aufrufe, wünsche er noch nicht, alle darauf vorhandenen Zusatzfunktionen wie die Warenkorb- oder Chatfunktion auch tatsächlich zu nutzen. Cookies, die für die Bereitstellung dieser Zusatzfunktionen erforderlich sind, dürfen demnach erst gesetzt werden, wenn die Funktionen tatsächlich in Anspruch genommen werden – beispielsweise, wenn ein Produkt in den Warenkorb gelegt wird.

Die unbedingte Erforderlichkeit ist ferner durch eine zeitliche, inhaltliche und personelle Dimension geprägt. Beim Zugriff auf Informationen sind der Zeitpunkt der Speicherung (Wann?), die Laufzeit des Cookies (Wie lange?), der Inhalt des Cookies (Was?) sowie die setzende Domäne eines Cookies, die darüber entscheidet, wer die Informationen auslesen kann (Für wen?), wichtige zu berücksichtigende Aspekte. In diesem Sinne genügten gemäss DSK häufig auch blosse Session-Cookies, die nur während der Nutzungsdauer bzw. einer Session eingesetzt werden.

Bei der inhaltlichen Dimension seien vor allem Prozesse zu hinterfragen, bei denen eindeutige Identifikations-Kennzeichnungen (Cookie-UIDs) vergeben werden. Die DSK veranschaulicht dies wie folgt:

«So ist es beispielsweise nicht als erforderlich zu betrachten, dass für die Speicherung einer Einwilligung oder für Load-Balancing ein Cookie mit einer eindeutigen ID langfristig gespeichert wird und abgerufen werden kann. Gleiches gilt für das Speichern von Einstellungen zur Sprache oder Hintergrund-Farbe. Hierfür ist kein eindeutiges Identifizierungsmerkmal wie eine eindeutige User-ID erforderlich, sondern es reicht die Speicherung einer jeweils nicht identifizierenden Angabe wie z. B. „background-color: black“ oder „language: de“.“.

Auch zum Nachweis einer Einwilligung ist es nach Ansicht der DSK nicht erforderlich, langlebige UID-Cookies zu setzen. «In der Regel genügt es, nachzuweisen zu können, dass und welche Prozesse implementiert wurden, um eine Einwilligung einzuholen und das Ergebnis in einem Cookie ohne UID oder sonstige überschießende Informationen abzulegen

Fazit und Ausblick

Die neue Orientierungshilfe ist für die Praxis wertvoll und dies auch in Bezug auf andere EU-Mitgliedstaaten als Deutschland. Werden darin doch die bereits bekannten Standpunkte der Behörden in gut strukturierter und aktualisierter Form dargestellt. Insofern ist die Orientierungshilfe sehr aufschlussreich, enthält gleichzeitig jedoch kaum überraschende oder gar neue Standpunkte. Zu bedauern ist, dass der Einsatz von Consent-Management-Plattformen nur äusserst kurz thematisiert wird und letztlich auf die Prüfung im Einzelfall verwiesen wird.

In gewissen Punkten ist die DSK sodann relativ streng, namentlich in Bezug auf die Freiwilligkeit der Einwilligung, wobei insbesondere auf ein wichtiges Szenario nicht eingegangen wird. So wird nur in einer Fussnote darauf hingewiesen, dass einige Anbieter:innen von Telemedien Nutzende vor die Wahl stellen, alternativ zur Erteilung einer Einwilligung ein kostenpflichtiges Abonnement abzuschliessen. Genau bei dieser wichtigen Konstellation belässt es die DSK beim Hinweis und der Anmerkung, dass diese nicht «Gegenstand der vorangehenden Ausführungen und Bewertung» seien.

Zusammengefasst lässt sich hoffen, dass von den zu strengen Standpunkten abgewichen wird und sich diese zukünftig nicht durchsetzen. Hinzuweisen ist dabei auf das nach wie vor laufende Gesetzgebungsverfahren der EU: Perspektivisch soll eine e-Privacy-Verordnung die e-Privacy-Richtlinie ablösen (vgl. MLL-News vom 17.06.2021). Dort sind nach dem Entwurf des EU-Rats gewisse Lockerung in Bezug auf solche «Cookie-Walls» vorgesehen. Die Beratungen dazu dauern jedoch weiterhin an.

Aus Schweizer Sicht ist sodann anzumerken, dass dem neuen TTDSG alle Unternehmen und Personen unterliegen, die in Deutschland eine Niederlassung haben oder Dienstleistung erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Der räumliche Geltungsbereich ist somit sehr weit gefasst. Ausweislich der Gesetzesbegründung des Deutschen Bundestags soll – nach dem Vorbild der DSGVO – das Marktortprinzip angewendet werden (Gesetzesbegründung des Deutschen Bundestags vom 09.03.2021, S. 34). Da im TTDSG jedoch auf andere Begriffe abgestellt wird, als in der Bestimmung der DSGVO zu deren räumlichen Anwendungsbereich, hilft dieser Verweis kaum weiter und die Klärung ist der Praxis überlassen.

 

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.