DSK Orientierungshilfe Telemedien – Konkretisierung der deutschen Vorschriften für Cookies und Tracking-Methoden

Hintergrund: neue deutsche Sondervorschriften für Cookies

Während die Anforderungen an die Verarbeitung von personenbezogenen Daten in der Datenschutzgrundverordnung (DSGVO) enthalten sind, wird der Einsatz von Cookies europarechtlich durch eine spezielle e-Privacy-Richtlinie geregelt. Letztere reguliert unter anderem den technischen Prozess des Setzens und Auslesens von Cookies. Diese Sondervorschriften mussten von den EU-Mitgliedstaaten zunächst in nationales Recht übertragen werden. In der Vergangenheit bestanden aber erhebliche Bedenken, ob die e-Privacy-Richtlinie in Deutschland korrekt in nationales Recht umgesetzt wurde. Spätestens mit dem wegweisenden Urteil des EuGH in Sachen Planet49 wurde klargestellt, dass die Umsetzung unzulänglich war (vgl. dazu MLL-News vom 25.10.2019).

Deshalb musste die massgebliche Bestimmung der e-Privacy-Richtlinie (Art. 5 Abs. 3) durch eine neue Regelung in deutsches Recht umgesetzt werden. Zu diesem Zweck hat der deutsche Gesetzgeber im neuen Telekommunikation Telemedien Datenschutzgesetz (TTDSG) den § 25 geschaffen. Dieser gilt seit dem 1. Dezember 2021 und ist fortan bis auf weiteres beim Einsatz von jeglichen Technologien zu beachten, mittels derer Informationen auf Endeinrichtungen gespeichert oder aus diesen ausgelesen werden. Die neuen Vorschriften sind auch für Schweizer Anbieter ohne Niederlassung in Deutschland relevant, zumindest dann, wenn diese ihr Angebot an deutsche Nutzer ausrichten oder an solchen Angeboten mitwirken (s. unten).

Vor diesem Hintergrund hat die deutsche Konferenz der Datenschutzaufsichtsbehörden (DSK) ihre frühere Orientierungshilfe «Telemedien» (vgl. dazu MLL-News vom 27.4.2019) vollständig überarbeitet und ergänzt.

Verankerung des Opt-In-Prinzips

Im Fokus der Orientierungshilfe steht die Erläuterung des nun ausdrücklich auch in Deutschland verankerten Opt-In-Prinzips. Nach diesem Grundsatz ist «die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind«, nur mit Einwilligung der Endnutzer:innen zulässig. Ausgehend davon erläutert die DSK ausführlich, was unter den einzelnen Begrifflichkeiten zu verstehen ist und damit, welche Anbieter, unter welchen Voraussetzungen ein Opt-In benötigen.

Weit gefasste Begriffe der Endeinrichtung und der Information

Der Begriff der Endeinrichtung wird sehr weit definiert. Neben Gegenständen wie Laptops, Tablets, Mobiltelefonie wird auch der Bereich des Internets der Dinge (IoT)  vom Anwendungsbereich erfasst. Zu letzterem zählen gemäss DSK Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsysteme sowie Smart-TVs oder vernetzte Fahrzeuge, solange sie eine Kommunikationsfunktion aufweisen. Erst wenn die Einrichtung nicht mehr mit dem Internet als öffentlichem Telekommunikationsnetz verbunden ist, stellt es keine Endeinrichtung dar.

Die Einwilligung der Endnutzer:innen muss weiter nicht nur bei Cookies eingeholt werden, sondern auch bei „Spyware“, „Web-Bugs“, „Hidden Identifiers“, weiteren ähnlichen Technologien sowie im Webseitenkontext Web-Storage-Objekten (Local- und Session-Storage-Objekte). Automatische Update-Funktionen von Hard- oder Software können ebenfalls zu einem Einwilligungserfordernis führen. Bei mobilen Endgeräten löst der Zugriff auf Hardware-Geräteerkennungen, Werbe-Identifikationsnummern, Telefonnummern oder SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation ein Einwilligungserfordernis aus.

In Bezug auf die in den Endeinrichtungen enthaltenen Informationen bekräftigt die DSK weiter, dass es irrelevant ist, ob diese einen Personenbezug aufweisen oder nicht. Vielmehr gilt die Einwilligungserfordernis im Rahmen des TTDSG unabhängig davon. Dies verdeutlichte zuletzt die BGH-Entscheidung Planet49 vom 28.05.2020, worin klargestellt wurde, dass die e-Privacy-Richtlinie, anders als die DSGVO, die Verarbeitung jeglicher Daten erfasst, ohne einen Personenbezug zu fordern. Im Übrigen liegt aber beim Tracking von Nutzer:innen sehr häufig auch ohnehin ein Personenbezug vor, weswegen in einem solchen Fall die Anforderungen der DSGVO zusätzlich gelten (vgl. zum Ganzen auch MLL-News vom 25.10.2019).

Einwilligung bei Browser-Fingerprinting?

Beim Einsatz von sog. Browser-Fingerprinting muss unterschieden werden. Hierunter versteht die DSK «den Prozess der serverseitigen Bildung eines möglichst eindeutigen und langlebigen (Hash-)Werts oder Abbildes als Ergebnis einer mathematischen Berechnung von Browser-Informationen, wie beispielsweise Bildschirmauflösungen, Betriebssystemversionen oder installierte Schriften.»

Keiner Einwilligung bedarf es nach Ansicht der DSK, wenn ausschliesslich Informationen verarbeitet werden, die entweder zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgeräts beim Aufruf eines Telemediendienstes übermittelt werden. Beispiele dafür sind:

• die öffentliche IP-Adresse der Endeinrichtung,
• die Adresse der aufgerufenen Website (URL),
• der User-Agent-String mit Browser- und Betriebssystem-Version und
• die eingestellte Sprache.

Demgegenüber wertet es die DSK bereits als grundsätzlich einwilligungspflichtigen Zugriff, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.

Anforderungen an gültige Einwilligung

Für den Einsatz von Cookies gelten die hohen Anforderungen der DSGVO, welche eine aktive Einwilligung des Endnutzers voraussetzen, wie bereits der EuGH in Planet49 klargestellt hat. Die DSK bekräftigt anschaulich, dass blosses Scrollen oder Weitersurfen ungenügend sind für eine Einwilligung. Die Orientierungshilfe veranschaulicht zudem, dass die Umsetzung in der Praxis mittels Cookie-Bannern erfolgen kann und diese aber strengen Vorgaben an die Ausgestaltung genügen muss. Die Orientierungshilfe bekräftigt die hierzu bereits bekannten Standpunkte der Behörden in gut strukturierter und aktualisierter Form.

Die DSK stellt ferner klar, worüber informiert werden muss (insb. «Wer» auf die Endeinrichtung zugreift, inkl. Dritter, und zu welchem Zweck). Weiter muss über die Funktionsdauer der Cookies, die Folgebearbeitungen und deren Zweck aufgeklärt werden. Ferner muss über die Widerrufbarkeit und dessen Auswirkungen informiert werden, namentlich, dass ein späterer Widerruf keinen Einfluss auf die Rechtmässigkeit bisheriger Bearbeitungen hat. Bereits auf den Bannern selbst müssen laut DSK die Zwecke hinreichend präzis beschrieben werden, da vage Angaben wie «Verbesserung der Nutzererfahrung» nicht genügen. Die Buttons der Cookie-Banner dürfen nicht irreführend sein und es muss klar werden, was Nutzende mit einem Klick zum Ausdruck bringen («Zustimmen» statt bloss «Okay»). Müssen Nutzende erst eine im Banner integrierte Detailansicht öffnen, um zu erfahren, welche Einstellungen mittels Cookies akzeptiert werden, ist dies gemäss DSK nicht ausreichend für eine gültige Einwilligung.

Betont wird ferner, dass die Ablehnung im Vergleich zur Zustimmung ohne Mehraufwand an Klicks möglich sein muss. So darf diese also nicht erst auf einer zweiten Ebene via Klick auf einer Schaltfläche wie «Einstellungen» aufgeführt werden. Die DSK äussert sich sodann leider nur relativ vage zur strittigen Frage, inwieweit der Zugang zu einem Angebot von der Zustimmung zu Cookies abhängig gemacht werden darf (sog. Cookie-Walls; vgl. bereits MLL-News vom 15.06.2020). Folgt man der DSK, reicht es für eine freiwillige Einwilligung nicht, wenn der Nutzende auch auf eine vergleichbare Dienstleistung ausweichen kann und insoweit eine Auswahlmöglichkeit hat. Nicht berücksichtigt wird dabei aber, dass eigentlich die Frage der Zumutbarkeit des Verzichts relevant sein müsste, also ob dem Nutzenden der Verzicht auf das jeweilige durch Cookie-Walls versperrte Angebot zumutbar ist, was bei der Mehrheit der Webseiten der Fall ist. Nach richtiger Ansicht ist der Umstand, inwieweit andere Angebote vorhanden sind, bei der Prüfung der Zumutbarkeit des Verzichts zwar zu berücksichtigen, aber nicht allein entscheidend (vgl. dazu insb. zum Schweizer DSG den Aufsatz von Lukas Bühlmann und Michael Schüepp, Rz. 35).

Verdeutlichung der strengen Ausnahme vom Opt-In-Prinzip bei „technischer Erforderlichkeit“

Schliesslich verdeutlicht die DSK in ihrer Orientierungshilfe, dass hohe Anforderungen für eine Ausnahme vom Opt-In-Prinzip bestehen. Diese Ausnahme der «technischen Erforderlichkeit» greift, wenn das Setzen oder Auslesen von Cookies und ähnlichen Mitteln für die Zurverfügungstellung eines von den Nutzenden gewünschten Dienstes erforderlich ist. Die DSK veranschaulicht, dass bei Webseiten zwischen Basisfunktionen und Zusatzfunktionen zu unterscheiden ist. Nur weil ein Nutzer eine Webseite aufrufe, wünsche er noch nicht, alle darauf vorhandenen Zusatzfunktionen wie die Warenkorb- oder Chatfunktion auch tatsächlich zu nutzen. Cookies, die für die Bereitstellung dieser Zusatzfunktionen erforderlich sind, dürfen demnach erst gesetzt werden, wenn die Funktionen tatsächlich in Anspruch genommen werden – beispielsweise, wenn ein Produkt in den Warenkorb gelegt wird.

Die unbedingte Erforderlichkeit ist ferner durch eine zeitliche, inhaltliche und personelle Dimension geprägt. Beim Zugriff auf Informationen sind der Zeitpunkt der Speicherung (Wann?), die Laufzeit des Cookies (Wie lange?), der Inhalt des Cookies (Was?) sowie die setzende Domäne eines Cookies, die darüber entscheidet, wer die Informationen auslesen kann (Für wen?), wichtige zu berücksichtigende Aspekte. In diesem Sinne genügten gemäss DSK häufig auch blosse Session-Cookies, die nur während der Nutzungsdauer bzw. einer Session eingesetzt werden.

Bei der inhaltlichen Dimension seien vor allem Prozesse zu hinterfragen, bei denen eindeutige Identifikations-Kennzeichnungen (Cookie-UIDs) vergeben werden. Die DSK veranschaulicht dies wie folgt:

«So ist es beispielsweise nicht als erforderlich zu betrachten, dass für die Speicherung einer Einwilligung oder für Load-Balancing ein Cookie mit einer eindeutigen ID langfristig gespeichert wird und abgerufen werden kann. Gleiches gilt für das Speichern von Einstellungen zur Sprache oder Hintergrund-Farbe. Hierfür ist kein eindeutiges Identifizierungsmerkmal wie eine eindeutige User-ID erforderlich, sondern es reicht die Speicherung einer jeweils nicht identifizierenden Angabe wie z. B. „background-color: black“ oder „language: de“.“.

Auch zum Nachweis einer Einwilligung ist es nach Ansicht der DSK nicht erforderlich, langlebige UID-Cookies zu setzen. «In der Regel genügt es, nachzuweisen zu können, dass und welche Prozesse implementiert wurden, um eine Einwilligung einzuholen und das Ergebnis in einem Cookie ohne UID oder sonstige überschießende Informationen abzulegen.»

Fazit und Ausblick

Die neue Orientierungshilfe ist für die Praxis wertvoll und dies auch in Bezug auf andere EU-Mitgliedstaaten als Deutschland. Werden darin doch die bereits bekannten Standpunkte der Behörden in gut strukturierter und aktualisierter Form dargestellt. Insofern ist die Orientierungshilfe sehr aufschlussreich, enthält gleichzeitig jedoch kaum überraschende oder gar neue Standpunkte. Zu bedauern ist, dass der Einsatz von Consent-Management-Plattformen nur äusserst kurz thematisiert wird und letztlich auf die Prüfung im Einzelfall verwiesen wird.

In gewissen Punkten ist die DSK sodann relativ streng, namentlich in Bezug auf die Freiwilligkeit der Einwilligung, wobei insbesondere auf ein wichtiges Szenario nicht eingegangen wird. So wird nur in einer Fussnote darauf hingewiesen, dass einige Anbieter:innen von Telemedien Nutzende vor die Wahl stellen, alternativ zur Erteilung einer Einwilligung ein kostenpflichtiges Abonnement abzuschliessen. Genau bei dieser wichtigen Konstellation belässt es die DSK beim Hinweis und der Anmerkung, dass diese nicht «Gegenstand der vorangehenden Ausführungen und Bewertung» seien.

Zusammengefasst lässt sich hoffen, dass von den zu strengen Standpunkten abgewichen wird und sich diese zukünftig nicht durchsetzen. Hinzuweisen ist dabei auf das nach wie vor laufende Gesetzgebungsverfahren der EU: Perspektivisch soll eine e-Privacy-Verordnung die e-Privacy-Richtlinie ablösen (vgl. MLL-News vom 17.06.2021). Dort sind nach dem Entwurf des EU-Rats gewisse Lockerung in Bezug auf solche «Cookie-Walls» vorgesehen. Die Beratungen dazu dauern jedoch weiterhin an.

Aus Schweizer Sicht ist sodann anzumerken, dass dem neuen TTDSG alle Unternehmen und Personen unterliegen, die in Deutschland eine Niederlassung haben oder Dienstleistung erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Der räumliche Geltungsbereich ist somit sehr weit gefasst. Ausweislich der Gesetzesbegründung des Deutschen Bundestags soll – nach dem Vorbild der DSGVO – das Marktortprinzip angewendet werden (Gesetzesbegründung des Deutschen Bundestags vom 09.03.2021, S. 34). Da im TTDSG jedoch auf andere Begriffe abgestellt wird, als in der Bestimmung der DSGVO zu deren räumlichen Anwendungsbereich, hilft dieser Verweis kaum weiter und die Klärung ist der Praxis überlassen.

Weitere Informationen:

• DSK Orientierungshilfe Telemedien 2021
• Aufsatz von Lukas Bühlmann und Michael Schüepp – Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht
• e-Privacy-Richtlinie
• BGH-Entscheidung Planet49 vom 28.05.2020
• EuGH Urteil in der Rechtssache C‑673/17 (Planet49)
• Gesetzesbegründung des Deutschen Bundestags zum TTDSG
• MLL-News vom 17.06.2021: «E-Privacy-Verordnung: EU-Rat einigt sich auf eine Regelung für die Nutzung von Kommunikationsdaten und Cookies»
• MLL-News vom 15.06.2020: «EDSA Leitlinien zur Einwilligung nach der DSGVO – Cookie-Walls unzulässig»
• MLL-News vom 25.10.2019: «EuGH-Urteil: aktive Einwilligung in Werbe-Cookies erforderlich – auch bei fehlendem Personenbezug» 
• MLL-News vom 27.4.2019: «EU-Datenschützer nehmen Stellung zu Verhältnis zwischen ePrivacy-Richtlinie und DSGVO sowie zum Einsatz von Tracking-Tools»