Ende November 2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK), eine Orientierungshilfe für Anbieter:innen von digitalen Diensten veröffentlicht. Tatsächlich handelt es sich hierbei – mit geringfügig geänderten Namen – lediglich um die Aktualisierung einer bereits im Jahr 2021 veröffentlichten Orientierungshilfe. Was es hiermit auf sich hat und welche wesentlichen Änderungen sich aus der Orientierungshilfe ergeben, erfahren Sie im nachfolgenden Beitrag.
Telemedien werden zu digitalen Diensten
Vor etwas mehr als drei Jahren – am 20. Dezember 2021 – veröffentlichte die Datenschutzkonferenz die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (wir berichteten). Hintergrund hierfür war insbesondere die geänderte Rechtslage durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) sowie durch Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Wesentliche Auswirkungen hatte dies zum damaligen Zeitpunkt insbesondere auf den Einsatz von Cookies und vergleichbaren Technologien. Die Orientierungshilfe thematisierte den rechtskonformen Einsatz, den Grundsatz der Einwilligungsbedürftigkeit sowie die diversen Anforderungen an Einwilligungen und die Gestaltung sogenannter Cookie-Banner.
Zwischenzeitlich ergaben sich aufgrund des europäischen Digital Services Act (DSA) im Mai 2024 wiederum Änderungen am TTDSG sowie am TMG – die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz wurde so das Digitale-Dienste-Gesetz (DDG) und aus dem Telekommunikation-Telemedien-Datenschutzgesetz das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Insofern überrascht es nicht, dass auch die Datenschutzkonferenz die Notwendigkeit sah, die bisherige Orientierungshilfe an die neuen Begrifflichkeiten anzupassen. Doch bei einer rein sprachlichen Anpassung blieb es nicht…
Weitere Anpassungen an die aktuelle Rechtslage
Auch weitere Entwicklungen der Rechtslage fanden in die jüngst überarbeitete Orientierungshilfe Eingang: So wird das seit Juli 2023 bestehende EU-U.S. Data Privacy Framework für Übermittlungen personenbezogener Daten in die USA nun zumindest in einer Fußnote berücksichtigt.
Weiterhin wurden die Ausführungen der Orientierungshilfe an die Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA) zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angelehnt. Änderungen ergeben sich hierdurch hauptsächlich im strengeren Verständnis des Begriffs Zugriff auf Endeinrichtungen. So liegt demnach ein Zugriff bereits dann vor, wenn bei der Nutzung eines digitalen Dienstes Informationen übermittelt werden, die Aufschluss über technische Konfigurationen liefern, sogenanntes Browser-Fingerprinting: „Auch ist es als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“
Einige inhaltliche Ergänzungen
Ergänzungen sieht die überarbeitete Orientierungshilfe hinsichtlich der Gestaltung von Einwilligungsbannern („Cookie-Bannern“) vor. So heißt es beispielsweise nun: „Eine Ablehnfunktion auf erster Ebene ist aus Sicht der Aufsichtsbehörden nicht generell erforderlich, sondern nur dann, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen.“
Auch zum Nudging führt die Datenschutzkonferenz nun differenzierter aus: „Eine Verhaltenssteuerung durch die Gestaltung, die allgemein als Nudging bezeichnet wird, ist daher nicht generell unzulässig. […] Zur Erfüllung des Merkmals der Freiwilligkeit ist es erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich ist. Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist.“ Jedoch: „Die Möglichkeit keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option „Einwilligung erteilen“ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button „Einwilligung erteilen“ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button „Weiter ohne Einwilligung“ finden lässt.“
Weiterhin führt die Orientierungshilfe nun ergänzend zu Informationspflichten und einigen Betroffenenrechten aus. In Bezug auf das Auskunftsrecht stellt die Datenschutzkonferenz beispielsweise dar, dass es Betreibern von Internetseiten oftmals nicht möglich ist, den Namen eines Betroffenen weiteren Daten zuzuordnen. In diesen Fällen sei es mit Verweis auf Art. 11 Abs. 2 Satz 2 DS-GVO möglich, weitere Identifikationsmerkmale anzufordern. Diese Vorschrift berechtige jedoch ausdrücklich nicht zu einer routinemäßigen Identitätsprüfung. Hinsichtlich des Rechts auf Löschung weist die Datenschutzkonferenz darauf hin, dass Cookies standardmäßig mit Laufzeiten zu versehen sind, die sich am Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DS-GVO zu orientieren haben. Eine automatisierte Löschung von Cookies muss demnach in jedem Fall gegeben sein.
Über die umrissenen Ergänzungen hinaus, blieben die wesentlichen Aussagen der bisherigen Orientierungshilfe jedoch von Änderungen verschont.
Fazit
Betreiber von digitalen Diensten sollten die überarbeiteten Ausführungen der Datenschutzkonferenz unbedingt bei der Ausgestaltung von Einwilligungsbannern und dem Einsatz von Cookies berücksichtigen, hilft diese doch rechtliche Unsicherheiten zu minimieren. Nichtsdestotrotz macht die Orientierungshilfe an einigen Stellen deutlich, dass es stets einer fundierten Einzelfallbetrachtung bedarf. Hierbei kann der Datenschutzbeauftragte eine entscheidende Rolle spielen – wir unterstützen Sie gern!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
