Im Rahmen einer länderübergreifenden Kontrolle durch die Datenschutzaufsichtsbehörden werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) überprüft. Ziel dieser speziell eingerichteten Task-Force ist die breite Durchsetzung des vom Europäischen Gerichtshof (EuGH) am 16. Juli 2020 beschiedenen Schrems-II Urteils (C-311/18). In diesem Rahmen schreiben Behörden strichprobenartig Unternehmen auf der Basis eines Fragenkatalogs an. Dabei geht es unter anderem um den Einsatz von Dienstleister:innen zum E-Mail-Versand, zum Hosting von Internetseiten, um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten oder zum Webtracking. Gerade das Webtracking und die damit verbundene Cookie-Problematik sind stets ein wichtiges Thema. Dies zeigt sich auch darin, dass der Europäische Datenschutzausschuss (EDSA) im September 2021 eine „Cookie-Banner“ Task Force eingerichtet hat. Ziel ist nach eigenen Angaben, die Zusammenarbeit, den Informationsaustausch und die bewährten Verfahren zwischen den Aufsichtsbehörden zu fördern.
In Sachen Cookies bestehen aufgrund der dynamischen Rechtslage viele Unsicherheiten bezüglich der rechtskonformen Umsetzung; dieser Beitrag soll deshalb einen Leitfaden bilden und Handlungsempfehlungen bezüglich Cookies & Co. geben.
Kurzdarstellung Cookie-Banner
Webtracking bedeutet allgemein, dass die Bewegung von Nutzer:innen im Internet beobachtet und ausgewertet wird. Die klassische Technik dafür ist das Abspeichern eines sogenannten Cookies im Browser beim Aufruf einer Website. Eine solche Datei enthält unter anderem eine Nummer, welche die Besucher:innen der Website identifiziert und anschließend das unbemerkte Sammeln von Informationen über diese ermöglicht.
Über die Verwendung von Cookies wird durch Cookie-Banner informiert. Dies geschieht in Form eines schriftlichen Hinweises, der auf einer Website eingeblendet wird. Die rechtlichen Vorgaben in diesem Bereich ergeben sich aus der Datenschutzgrundverordnung (DSGVO), Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), welches die europäische E-Privacy Richtlinie in nationales Recht umsetzt und – möglicherweise zum Ende des Jahres – aus der ePrivacy-Verordnung. Relevante höchstrichterliche Urteile sind die EuGH- (Oktober 2019) und BGH-Urteile (Mai 2020) zu „Planet49“ sowie das EuGH-Urteil zu Schrems-II, welche neue Anforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Nutzertracking und Cookies formuliert. Die Rechtslage ist somit stetig in Bewegung. Erschwerend kommt hinzu, dass es bezüglich der Ausgestaltung auch keine umfassende, immer passende Lösung gibt: vielmehr müssen Cookie-Lösungen aufgrund einer auf den konkreten Einzelfall und des jeweiligen Geschäftsmodells angepassten Strategie entwickelt und angepasst werden.
Generell lässt sich aber festhalten, dass bei der Verarbeitung personenbezogener Daten diese Datenverarbeitung den Anforderungen der DSGVO genügen und eine Rechtsgrundlage nach Art. 6 DSGVO haben muss.
Art. 5 Abs. 3 ePrivacy-RL erfordert eine Einwilligungspflicht für die Speicherung von oder den Zugriff auf Informationen im Endgerät. Eine Ausnahme besteht, wenn die zur Verfügungstellung des Dienstes unbedingt erforderlich ist.
Seit Dezember 2021 gilt das TTDSG, welches auf zwei höchstrichterliche Entscheidungen reagiert: zum einen auf das Urteil zu Planet49 (EuGH, Urt. v. 1.10.2019 – C-673/17) und zum anderen auf das sogenannte Cookie-II-Urteil (BGH, Urt. v. 28.05.2020 – I ZR 7/16). Der seit dem 01.12.2021 geltende § 25 TTDSG enthält ein explizites Einwilligungserfordernis bei Speicherung von Informationen in der Endeinrichtung oder bei Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind. Eine (DSGVO-konforme) Einwilligung ist nur nicht erforderlich, wenn (1) die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz alleiniger Zweck der Speicherung oder des Zugriffs ist oder (2) die Speicherung oder der Zugriff unbedingt erforderlich ist, um den gewünschten Telemediendienst zur Verfügung stellen zu können.
Noch ist unklar, wann genau die ePrivacy-VO kommen wird, jedoch ist mit einem Inkrafttreten vor 2022 nicht zu rechnen. Allerdings hält der aktuelle Entwurf viele Ausnahmen gegenüber der aktuellen Rechtslage bereit. Der deutsche Gesetzgeber ist mit dem TTDSG der ePrivacy-Verordnung zuvorgekommen und ist damit ein gewisses Risiko eingegangen, dass mit Inkrafttreten der neuen Verordnung die Regelungen des TTDSG schnell wieder obsolet sein könnten. Die Rechtslage bleibt also weiter dynamisch, sodass aktuelle Entwicklungen im Blick behalten werden sollten.
Behördenverfahren
Die neuen Anforderungen, die das EuGH-Urteil zu Schrems-II formuliert hat, werden seit Juni 2021 durch Datenschutzbehörden kontrolliert. Der erste Schritt war die Versendung von Fragebögen an ausgewählte Unternehmen. Die Entscheidung darüber, welche Themenfelder in den Fokus genommen werden, obliegt jeder Datenschutzbehörde selbst. Im Fokus dieses Beitrages stehen jedoch die Anforderungen bei der Nutzung von Webtracking und Cookies.
Wie reagiert man auf ein solches Anschreiben? Innerhalb einer festgelegten Frist müssen angeschriebene Unternehmen die von der Aufsichtsbehörde vorgegebenen Fragen beantworten. Dennoch hat der EuGH in seiner Schrems-II Entscheidung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ sollen. Auch ist die Verhängung von Bußgeldern möglich.
Unternehmen sollten deshalb entsprechende Vorgaben deshalb bereits vor Anschreiben durch eine Behörde bestmöglich umsetzen. Im Hinblick auf Cookie-Banner empfehlen sich folgende Schritte:
Bezüglich Informationen im Banner oder Overlay:
- Art der Verarbeitung (= Cookies oder ähnliche Technologien)
- Zwecke der Datenverarbeitung der verwendeten Tools (Kategorisierung)
- Möglichkeit der Ablehnung der Tools
- Nennung der Weitergabe an Dritte
- Informationen über Drittlandsübermittlung und Risiken im Drittland
- Klarstellung der Freiwilligkeit und Widerrufbarkeit der Einwilligung
- Links zu weiteren Informationen, insbesondere zur Speicherdauer (z.B. Datenschutzerklärung oder Cookie-Richtlinie).
Bezüglich technischer Voraussetzungen und Buttons:
- Banner darf nicht Links zu Impressum und Datenschutzerklärung überdecken
- Erst nach Einwilligung dürfen Tools aktiviert bzw. Cookies gesetzt oder Infos im Local/Session Storage ausgelesen/geschrieben werden
- Speicherung der Einwilligung für mindestens ein Jahr
- Empfehlung: 3-Button-Lösung
• Allen Tools zustimmen
• Tools individuell auswählen
• Optionale Tools ablehnen.
Weiterhin sollte ein Ablehnen bereits auf erster Ebene möglich sein. Im Footer und in der Datenschutzerklärung sollte ein Button/Link zum erneuten Aufrufen des Banners und zum Widerruf existieren. Essenziell ist auch, dass alle relevanten Abteilungen eines Unternehmens (IT, Marketing, Legal) kooperativ zusammenarbeiten. Zuletzt gilt nochmal zu betonen, dass stets eine Prüfung des Tools im Einzelfall sowie eine individuelle Risikoabwägung nötig ist.
Fazit
Abschließend lässt sich festhalten, dass die Rechtslage bezüglich Cookie-Banner sehr komplex und immer noch im Fluss ist. Erschwerend kommt hinzu, dass Datenschutzbehörden mit ihrer Fragebogenaktion koordiniert auch den Einsatz von Webtracking überprüfen. Dies kann jedoch als Chance begriffen werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Nach eigenen Angaben sind sich die Aufsichtsbehörden der besonderen Herausforderungen, die das EuGH-Urteil zu Schrems-II für die Unternehmen in Deutschland und Europa mit sich bringt, bewusst. Sie stehen für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist. Trotzdem sollten Unternehmen nicht abwarten, sondern aktiv Maßnahmen ergreifen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.