• Neueste Einträge

  • Kategorien

  • Blog-Übersicht
    • 1

    Ein Weihnachtsgeschenk von den Aufsichtsbehörden – oder doch eine Rute?

    21. Dezember 2021
    Immer auf dem Laufenden bleiben
    und hier den Newsletter abonnieren.

    Die Konferenz der deutschen Aufsichtsbehörden für den Datenschutz (DSK) hat kurz vor Weihnachten eine Orientierungshilfe für die Anbieter von Telemedien (z. B. Webseiten, Onlineshops, Webportale) herausgegeben. Das 33 Seiten lange Dokument beinhaltet einige ungewöhnliche und für die Anbieter äußerst unangenehme Sichtweisen. Das Problem ist: Diese dürften nun aber Arbeitsgrundlage für Beschwerde- und Prüffälle der Aufsichtsbehörden werden. Hintergrund dieser Orientierungshilfe ist das neue TTDSG (Telekomunikations-Telemedien-Datenschutzgesetz), das seit dem 01.12.2021 in Kraft ist.

    Hier fasse ich meine persönlichen Highlights einmal zusammen:

    Inanspruchnahme von Diensten- und Funktionen

    Das Speichern von Cookies auf dem Endgerät des Webseitennutzers soll erst erfolgen dürfen, wenn der Webseitennutzer die jeweilige Funktion _explizit_ in Anspruch nimmt. Inanspruchnahme heißt “z. B. einen Chatbot anklicken, eine Merkliste anlegen oder ein Formular ausfüllen” (Seite 22 der Orientierungshilfe)

    Demnach müssen Anbieter das Speichern von Cookies technisch so steuern, dass erst zum Zeitpunkt der expliziten Inanspruchnahme eines Dienstes oder einer Funktion die benötigen Cookies gesetzt werden. Ein prophylaktisches Speichern von Cookies bereits ab der Startseite – so wie es heute häufig gehandhabt wird – wird damit als unzulässig angesehen.

    Einwilligung für Tracking & Co. mit Dienstleistern außerhalb der EU

    Einige verbreitete Webseitenfunktionen, speziell im Bereich Tracking und Nutzeranalyse, aber auch das Nachladen von Schriftarten oder Skripten, erfolgt mit Anbietern außerhalb von Europa oder ist technisch mit einer Datenübermittlung in Staaten außerhalb der EU verbunden.

    Die Aufsichtsbehörden schließen die Wirksamkeit von Einwilligungen (Art. 49 Abs. 1 lit. a) DS-GVO) aus, wenn personenbezogene Daten “im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden,” und dabei Daten in ein Drittland übermittelt werden. (Seite 32 der Orientierungshilfe)

    Damit wäre die Nutzung von Produkten wie z. B. Google Analytics auf Grundlage einer Einwilligung auf Webseiten nicht mehr rechtskonform möglich – sprich: verboten

    Akzeptieren-Buttons, Nudging & Co

    Inzwischen gibt es viele Verfahren um Webseitennutzern den aus Anbietersicht “richtigen Klick” abzuringen: Nur ein “OK”-Button, “Alle akzeptieren + Erweiterte Einstellungen” oder entsprechen farbliche Hervorhebung des “richtigen” Buttons.

    “Häufig müssen Nutzende zunächst eine im Einwilligungsbanner integrierte Detailansicht öffnen, um darüber zu sehen, welche Voreinstellungen im Falle eines Klicks auf „Akzeptieren“ gesetzt sind und daraus abzuleiten, worauf sich die Einwilligung letztlich bezieht. Derartige Gestaltungen stehen einer wirksamen Einwilligung regelmäßig ebenfalls entgegen.”

    Kurz: Die Aufsichtsbehörden erklären Einwilligungen auf dieser Basis für unwirksam. (Seite 13 der Orientierungshilfe)

    Auch wird umfangreich erläutert, dass Webseitennutzern für eine wirksame Einwilligung transparent und detailliert zu informieren sind. (Seite 12 Buchstabe c).

    Die Zeiten von wenige-und-kleingedruckte-Sätze-Einwilligungen sollen demnach vorbei sein.

    Was sollten Anbieter von Webseiten, Onlineshops, Apps jetzt machen?

    Zuerst Ruhe bewahren. Die Aufsichtsbehörden schreiben keine Gesetze – dennoch sollte diese Veröffentlichung als Weckruf betrachtet werden.

    1. Unternehmen, denen bewusst ist, dass sie bereits heute in der Grauzone agieren, sollten das zeitnah überdenken. Eventuell fallen manche vergangene Risikobewertungen nach Veröffentlichung dieser aufsichtsbehördlichen Arbeitsgrundlage nun deutlich schlechter aus.
    2. Wer sich damit noch nicht beschäftigt hat, sollte spätestens jetzt damit beginnen um über das Eingehen von zusätzlichen Risiken zumindest aktiv zu entscheiden:
    • Webseiten, Onlineshops, Apps in Bezug auf die Vorgaben des TTDSG analysieren (lassen)
    • Risiken abwägen und die eigene Risikoaffinität hinterfragen
    • und dann die notwenigen technischen und textlichen Anpassungen vornehmen (lassen)

    Link zur Orientierungshilfe.

    Newsletter

    Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

    Abonnieren Sie jetzt gleich unseren Newsletter.

    Zur Anmeldung