Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

7    Neue Medien

7.1          Gemeinsame Branchenprüfung im Bereich Medien

Die Datenschutzaufsichtsbehörden mehrerer deutscher Länder haben die Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten untersucht (39. TB, Tz. 7.3). Insgesamt wurden auf Basis eines gemeinsamen Prüfkatalogs 49 Webangebote in elf Ländern geprüft. Schwerpunkt dabei war das Nutzertracking zu Werbezwecken. Auch das ULD hat sich an dieser Prüfung beteiligt. Für die koordinierte Untersuchung verschickten die Behörden aus Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, dem Saarland, Sachsen und Schleswig-Holstein ab Mitte August 2020 einen gemeinsam erarbeiteten Fragebogen an Medienunternehmen in ihrer jeweiligen Zuständigkeit. Geprüft wurden nicht sämtliche Webseiten der Unternehmen, sondern deren reichweitenstärksten Angebote. Bereits vor Versendung der Fragebögen waren die ausgewählten Webseiten technisch gesichert und analysiert worden. So war ein Abgleich zwischen den Antworten der Medienunternehmen und der tatsächlichen technischen Ausgestaltung der Seiten möglich. Auf den meisten der geprüften Medienwebseiten wurde eine hohe Anzahl von Cookies und Drittdiensten verwendet, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen. Die Webseiten fragen zwar in der Regel differenzierte Einwilligungen der Nutzenden für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle waren diese Einwilligungen allerdings nicht wirksam.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

• Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt – also noch vor der Einwilligungsabfrage.
• Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
• Unzureichender Einwilligungsumfang: Selbst wenn Nutzende die Möglichkeit wahrnehmen, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen, bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
• Keine einfache Möglichkeit der Ablehnung: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
• Manipulation der Nutzenden: Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, dass Nutzende unterschwellig zur Abgabe einer Einwilligung gedrängt werden, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger als die Schaltfläche zum Ablehnen gestaltet ist oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird.

Cookie-Banner / Einwilligungsbanner
Für die Praxis, beim Besuch einer Webseite prominent durch ein vorgeschaltetes Element, häufig in Form einer Banderole oder eines Banners, Einwilligungen für die Verarbeitung von Cookies einzuholen, hat sich der Begriff Cookie-Banner, auch Consent-Banner oder Einwilligungsbanner genannt, etabliert.
Wichtig: Wer keine einwilligungsbedürftigen Datenverarbeitungen durchführen möchte, benötigt ein solches Banner nicht.

Im Rahmen der Zusammenarbeit wurden einheitliche Bewertungsmaßstäbe unter allen an der Prüfung beteiligten und weiteren Aufsichtsbehörden abgestimmt. Unter den beteiligten Aufsichtsbehörden besteht Einigkeit dahin gehend, dass Einwilligungen, die mittels Cookie-Banner eingeholt werden, nur dann als wirksam anzusehen sind, wenn die Möglichkeit zum Erteilen und zum Ablehnen einer Einwilligung gleichwertig gestaltet sind. Dies bedeutet, dass es aus Sicht der Nutzer nicht aufwendiger oder komplizierter sein darf, die Einwilligung abzulehnen, als sie zu erteilen. Schaltflächen, die z. B. mit „Einstellungen bearbeiten“ gekennzeichnet sind und dann in weitere (Unter-)Menüs führen, können zusätzlich durchaus sinnvoll sein, leisten aber allein nicht die erforderliche Gleichwertigkeit.

Die beteiligten Landesdatenschutzbehörden haben damit begonnen, auf die Unternehmen in ihrem jeweiligen Zuständigkeitsbereich einzuwirken, um datenschutzkonforme Zustände herzustellen. Mitunter wurden die Prozesse und insbesondere das Einwilligungsmanagement der geprüften Webseiten bereits angepasst. Falls nötig wurden und werden aufsichtsbehördliche Maßnahmen ergriffen.

Die dazugehörige Pressemitteilung ist unter dem folgenden Link abrufbar:

https://www.datenschutzzentrum.de/artikel/1377-.html

Kurzlink: https://uldsh.de/tb40-7-1

Was ist zu tun?
Betreiber von Webseiten, deren Angebot mit einer Verarbeitung personenbezogener Daten beispielsweise zum Nutzertracking verbunden ist, müssen vielfach nachbessern, um die Anforderungen des Datenschutzrechts zu erfüllen.
Wo es sich anbietet, werden die Aufsichtsbehörden weiterhin gemeinsame Prüfungen durchführen.

 

7.2          Immer wieder Mängel bei Cookies, Pflichtinformationen auf Webseiten und Drittstaatentransfers

Uns erreichen kontinuierlich Kontrollanregungen und Beschwerden bezüglich der Verwendung von Cookies auf Webseiten sowie den Pflichtangaben nach Artikel 13 DSGVO. Häufig wird auch ein mangelhaftes Impressum moniert. Für Letzteres sind allerdings nicht wir, sondern (sofern das Impressum nicht als Teil der Pflichtinformationen aus Artikel 13 DSGVO anzusehen ist) die Medienanstalt Hamburg/Schleswig-Holstein (MA HSH) zuständig:

https://www.ma-hsh.de/ _[Extern]

Die Beschwerden richten sich in einer Vielzahl der Fälle insbesondere dagegen, dass durch Webseiten Cookies gesetzt würden, ohne dass dies auf einer hinreichenden Rechtsgrundlage basieren würde, weil keine vorherige ausdrückliche und freiwillige Einwilligung eingeholt wird oder auch eine Übermittlung in einen Drittstaat stattfindet. Ein weiterer Großteil der Beschwerden richtet sich dagegen, dass die Informationspflichten nach Artikel 13 DSGVO nicht eingehalten würden, meistens weil sie unvollständig seien.

1.   Zur Verwendung von Cookies

Bezüglich der Nutzung von Cookies und anderen Tracking-Technologien hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Jahr 2019 eine „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ veröffentlicht.

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2a

Zum damaligen Zeitpunkt hatte der deutsche Gesetzgeber es jahrelang versäumt, die ePrivacy-Richtlinie (Richtlinie 2009/136/EG) in nationales Recht umzusetzen, wonach die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, grundsätzlich nur nach einer vorherigen Einwilligung zulässig ist, wenn nicht eine der in der Richtlinie genannten Ausnahmen greift. Die in der – nach wie vor geltenden – Richtlinie genannten Ausnahmen sind:

• technische Speicherung oder Zugang zum alleinigen Zweck, die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen, sowie
• wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Das bedeutet: Nur in diesen Fällen bedarf es keiner vorherigen Einwilligung.

Weil der Gesetzgeber in Deutschland zum Zeitpunkt der Geltungserlangung der DSGVO nicht für klare gesetzliche Vorgaben gesorgt hatte, entschieden sich die Aufsichtsbehörden, die oben genannte Orientierungshilfe zu veröffentlichen. Wo keine Vereinbarkeit mit europäischem Recht gegeben war, konnten zwar die nationalen Vorgaben des Telemediengesetzes (TMG) keine Anwendung finden, jedoch galten nunmehr die Regelungen der DSGVO auch für den Bereich von Cookies. Eine direkte Anwendung der ePrivacy-Richtlinie schied aus rechtsstaatlichen Gründen aus. Eine Auslegung der nationalen Vorschriften im Sinne der ePrivacy-Richtlinie vermochten die Aufsichtsbehörden nicht vorzunehmen, da die Regelung im TMG und die Vorgaben in der ePrivacy-Richtlinie diametral verschieden waren.

Mit dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) und insbesondere dessen § 25 hat sich die Rechtslage zum 1. Dezember 2021 erneut geändert, wenn auch im Ergebnis nicht wesentlich: Der Gesetzgeber hat zehn Jahre nach der Umsetzungsfrist eine nahezu wortidentische Umsetzung der ePrivacy-Richtlinie und deren Art. 5 Abs. 3 vorgenommen. Daraus ergibt sich, dass die allgemeinen Regeln der DSGVO für die Prozesse des Setzens und Auslesens von Informationen aus Endgeräten nicht mehr greifen, da es spezielleres Recht, nämlich § 25 TTDSG, gibt, das als Umsetzung der ePrivacy-Richtlinie vorrangig anzuwenden ist. Die nachgelagerte Verarbeitung unterfällt jedoch nach wie vor den allgemeinen Regelungen der DSGVO.

Die Vorgaben an eine wirksame Einwilligung ergeben sich – weiterhin – aus der DSGVO. Die ePrivacy-Richtlinie verweist insofern auf das allgemeine Datenschutzrecht und damit nunmehr auf die DSGVO. Dazu gehört insbesondere, dass es für eine Einwilligung einer eindeutig bestätigenden Handlung bedarf, wie auch im Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C673/17 („Planet 49“) sowie der darauf aufbauenden Entscheidung des Bundesgerichtshofs vom 28.05.2020 unter dem Aktenzeichen I ZR 7/16 bestätigt wurde.

Weitere Informationen zur Einwilligung ergeben sich aus den Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, des Europäischen Datenschutzausschusses, angenommen am 4. Mai 2020:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_de _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2b

Die Aufsichtsbehörden der Länder haben daher Ende 2021 die „Orientierungshilfe für Anbieter von Telemedien“ (Stand: Dezember 2021) überarbeitet, um Rechtsanwendern Klarheit über die Anwendung der neuen Vorgaben zu verschaffen. Die Orientierungshilfe kann hier abgerufen werden:

https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2c

Im Grundsatz bleibt es bei der Konstellation, dass der Zugriff auf Endgeräte und damit – als prominentestes Beispiel – der Einsatz von Cookies grundsätzlich nur nach vorheriger wirksamer Einwilligung zulässig ist, wenn nicht eine der gesetzlichen Ausnahmen greift.

Das Merkmal „unbedingt erforderlich“, auf das es im Rahmen der Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG ankommt, ist eng zu verstehen. In der Gesetzesbegründung wird von einer technischen Erforderlichkeit ausgegangen. Eine Ausnahme von der Einwilligungsbedürftigkeit kann somit nicht dadurch begründet werden, dass das Speichern von oder der Zugriff auf Informationen im Endgerät wirtschaftlich für das Geschäftsmodell erforderlich ist, in das der Telemediendienst eingebunden ist.

Consent-Management-Plattformen
Unter dem Begriff „Consent-Management- Plattform“ werden Dienste verstanden, die Webseiten-Betreiber auf ihren Webseiten einbinden und nutzen können, um damit Einwilligungen für einwilligungsbedürftige Datenverarbeitungsvorgänge, häufig mittels Cookies, einzuholen. Diese Plattformen sind weitestgehend ähnlich gestaltet, dennoch können sie von den Webseiten-Betreibern konfiguriert und auf ihre Bedürfnisse und Datenverarbeitungen angepasst werden.

Cookie-Banner sollten nur zum Einsatz kommen, wenn auch tatsächlich einwilligungsbedürftige Datenverarbeitungen stattfinden.

Werden Consent-Management-Plattformen verwendet, bedeutet dies nicht automatisch, dass damit rechtskonforme Einwilligungen eingeholt werden, da mitunter zahlreiche Konfigurationsmöglichkeiten gegeben sind. Die Verantwortlichkeit für die Rechtskonformität verbleibt zudem bei den Webseitenbetreibern. Diese haben sicherzustellen, dass einwilligungsbedürftige Datenverarbeitungen beim Besuch ihrer Webseiten erst nach einer wirksamen Einwilligung durchgeführt werden.

2. Zu den Pflichtinformationen nach Artikel 13 DSGVO

Gemäß Art. 13 Abs. 1 und 2 DSGVO müssen die Verantwortlichen im Falle der Erhebung personenbezogener Daten bei betroffenen Personen Informationen über die Datenverarbeitung bereitstellen. Diese Informationspflichten entstehen auch bei der Ansteuerung eines Webauftritts durch Webseitenbesucher. In Webauftritten werden diese Pflichtinformationen häufig in „Datenschutzhinweisen“ oder „Datenschutzerklärungen“ aufgeführt.

Zu den Inhalten der Informationspflichten hat das ULD eine Informationsbroschüre veröffentlicht:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-4-Informationspflichten.pdf _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2d

Immer wieder finden sich generische Datenschutzerklärungen, die die tatsächlich auf den Webseiten stattfindenden Verarbeitungen nicht wahrheitsgetreu abbilden. Wenn Webseitenbetreiber bei der Abfassung der Datenschutzerklärungen auf Dienstleister zurückgreifen, die vorformulierte Datenschutzerklärungen anbieten, muss sichergestellt sein, dass diese auch auf die konkrete Webseite und die damit im Zusammenhang stehenden Datenverarbeitungen passen. Weder dürfen Verarbeitungen fehlen noch sollten Verarbeitungen genannt werden, die gar nicht stattfinden.

3.  Zur Übermittlung personenbezogener Daten in einen Drittstaat

Durch das Urteil des EuGH in der Rechtssache C311/18 (Schrems II), wurde der Privacy-Shield-Beschluss der Europäischen Kommission 2016/1250 für ungültig erklärt (39. TB, Tz. 2.5).

Nach Art. 46 DSGVO gilt, dass, falls kein derartiger Beschluss der Europäischen Kommission nach Art. 45 Abs. 3 DSGVO vorliegt, ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln darf, sofern der Verantwortliche bzw. der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Weitere Informationen dazu hat der Europäische Datenschutzausschuss bereitgestellt:

https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_de _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2e

Sofern durch Webseitenbetreiber Drittstaatentransfers veranlasst werden, z. B. weil Dienste auf der Webseite eingebunden werden, die einen Datenfluss in einen Drittstaat zur direkten Folge haben, müssen Webseitenbetreiber die Vorgaben zu Drittstaatentransfers berücksichtigen und vorab prüfen, ob ein solcher Transfer zulässig ist.

Für die Prüfung etwa notwendiger ergänzender Maßnahmen können Verantwortliche und Auftragsverarbeiter die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ nutzen.

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2f

Mit Durchführungsbeschluss vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen (Tz. 2.2), die eine rechtskonforme Übermittlung personenbezogener Daten in Drittländer ermöglichen sollen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weist – wie auch der Europäische Datenschutzausschuss – darauf hin, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und der Notwendigkeit zusätzlicher ergänzender Maßnahmen erforderlich ist.

https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf _[Extern]
Kurzlink: https://uldsh.de/tb40-7-2g

Was ist zu tun?
1. Einwilligungsbedürftige Datenverarbeitungsvorgänge dürfen nicht ohne vorherige wirksame Einwilligung der betroffenen Personen durchgeführt werden.
2. Wenn Maßnahmen zur Einholung von Einwilligungen eingesetzt werden, müssen diese auch wirksam funktionieren, d. h., erst nach einer wirksamen Einwilligung darf eine darauf gestützte Datenverarbeitung stattfinden und nicht vorher.
3. Die Übermittlung personenbezogener Daten in einen Drittstaat darf nur im Einklang mit den Art. 44 ff. DSGVO erfolgen.

 

7.3          Facebook-Fanpages – Zehn Jahre Rechtsstreit

Mit Urteil vom 25.11.2021 hat ein zehn Jahre währender Rechtsstreit nunmehr ein (vorläufiges) Ende gefunden. Das Schleswig-Holsteinische Oberverwaltungsgericht (OVG Schleswig) hat entschieden, dass mit dem Betrieb einer Facebook-Fanpage durch die Wirtschaftsakademie Schleswig-Holstein GmbH zum maßgeblichen Zeitpunkt im Dezember 2011 ein schwerwiegender Verstoß gegen datenschutzrechtliche Vorschriften einherging.

Im Dezember 2011 hatte das ULD gegenüber der Wirtschaftsakademie angeordnet, die von ihr betriebene Facebook-Fanpage wegen datenschutzrechtlicher Verstöße zu deaktivieren. Nachdem der Rechtsweg bis zum Bundesverwaltungsgericht beschritten worden war, hatte dieses einige Vorlagefragen an den EuGH gestellt, die dieser mit Entscheidung vom 5. Juni 2018 dahin gehend beantwortet hatte, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook als Verantwortliche anzusehen sind. Damit war klar, dass Fanpage-Betreiber Adressaten einer aufsichtsbehördlichen Maßnahme bezüglich ihrer Fanpage sein können, eben weil sie dafür auch datenschutzrechtlich verantwortlich sind und nicht bloß ein Angebot von Facebook nutzen können, ohne dafür die Verantwortung zu tragen.

Ob die Maßnahme, die auf die Deaktivierung der Fanpage gerichtet war, in der Sache auch Bestand haben kann, war keine Frage, die vom EuGH entschieden werden konnte, weshalb das Verfahren dann zunächst zurück zum Bundesverwaltungsgericht und nun zum OVG Schleswig gegeben wurde, das nun entschieden hat, dass die Deaktivierungsanordnung rechtmäßig erfolgte. Das OVG Schleswig hat einen schwerwiegenden Verstoß in der Verwendung der personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen erkannt. Diese Datenverwendung sei weder gesetzlich erlaubt, noch hätten die Nutzenden in diese eingewilligt. Außerdem seien die betroffenen Personen nicht hinreichend über sämtliche Datenerhebungs- und -verwendungsvorgänge, die durch den Besuch einer Fanpage angestoßen würden, informiert worden.

https://uldsh.de/pmovg2021

Zum Zeitpunkt der Abfassung dieses Tätigkeitsberichts liegen die Urteilsgründe noch nicht vor.

Erste Informationen finden sich hier: https://www.datenschutzzentrum.de/artikel/1384-Urteil_OVG.html
Kurzlink: https://uldsh.de/tb40-7-3a

Wir werden die Urteilsgründe und weitere Informationen unter dem folgenden Link veröffentlichen:

https://www.datenschutzzentrum.de/facebook/
Kurzlink: https://uldsh.de/tb40-7-3b

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel