Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Das neue TTDSG: Das Einwilligungserfordernis für Webseiten und Apps

0

Einleitung

Das TTDSG mit Fassung vom 21. Mai 2021 setzt die ePrivacy Richtlinie in nationales Recht um.

Die ePrivacy Richtlinie wurde in Deutschland zuvor bereits indirekt eingeführt, weil der Gesetzgeber zu langsam war. Der BGH entschied im Planet 49-Urteil, dass § 15 Abs. 3 TMG konform zur ePrivacy Richtlinie umzusetzen ist. Gemeint war damit der Art. 5 Abs. 3 ePrivacy Richtline.

Statt einer reinen Widerspruchsmöglichkeit bei der Erhebung von Daten zur Nutzerprofilbildung trat damit die Einwilligungspflicht, sofern bei der Datenerhebung Cookies oder ähnliche Technologien verwendet werden.

In § 25 TTDSG ist diese Vorgabe der ePrivacy-Richtlinie nun nahezu wortgleich geregelt.

Das TTDSG bezieht sich dabei ausdrücklich auf die DSGVO (Verordnung (EU) 2016/679) und setzt die Einwilligungserfordernisse gemäß DSGVO an. Diese sind insbesondere in Art. 7 DSGVO sowie Art. 12 DSGVO geregelt.

Der § 25 TTDSG bezieht sich auf Endeinrichtungen, also jegliche Art von Computern, die an einem Netzwerk angeschlossen sind. Statt Computern könnte man auch allgemeiner von Servern oder Endgeräten sprechen.

Das TTDSG bezieht sich im genannten Punkt auf Cookies und ähnliche Technologien, etwa Werbe-Identifizierer, wie sie auf Smartphones von Apple und Google wahrscheinlich in rechtswidriger Weise verwendet werden. Auch sind Kohorten-IDs, wie sie durch Google FloC ins Gespräch haben, mit Cookies gleichzusetzen und fallen demnach unter die Maßgabe des TTDSG. Ich beziehe mich im Folgenden der Einfachheit halber nur auf Cookies.

Wofür ist eine Einwilligung nach TTDSG einzuholen?

Zunächst ist in § 25 Abs. 1 TTDSG gesagt, dass grundsätzlich eine Einwilligung erforderlich ist, wenn Informationen im Endgerät des Nutzers gespeichert werden oder darauf zugegriffen wird.

Eine Ausnahme hiervon ist lediglich gegeben, wenn die Zwecke zur Speicherung oder zum Zugriff auf diese Informationen unbedingt notwendig sind. Es handelt sich konkret um folgende zwei Ausnahmetatbestände:

  1. Der alleinige Zweck ist die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
  2. Der Zweck ist, dass der Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Die erste Ausnahme ist quasi nie gegeben, wenn es um Webseiten und Cookies geht. Lediglich die für die Darstellung der Webseite technisch unbedingt notwendigen Dateien dürfen übertragen werden.

Die Sitzungsverwaltung durch Cookies würde ich dem zweiten Ausnahmetatbestand zurechnen. Denn sobald eine (eigentlich nicht für die Öffentlichkeit bestimmte) Anmeldeseite aufgerufen wird, dürfen dort meiner Einschätzung nach Cookies verwendet werden, um den Anmeldezustand zu verwalten.

Dies bedeutet allerdings auch, dass Cookies nicht gesetzt werden dürfen, wenn ein Nutzer keine Anmeldeseite und keine durch eine Anmeldung geschützte Seite aufruft.

Was ist ein ausdrücklich gewünschter Telemediendienst?

Diese Frage ist entscheidend, um zu klären, ob bestimmte Datenverarbeitungen auf einer Webseite auf Grundlage des Ausnahmetatbestands des § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung erlaubt sind.

Zunächst ist der Aufruf einer Webseite lediglich die Bekundung, den primären Inhalt einer Seite abzurufen. Alles weitere, etwa eingeblendete Werbung, ist nicht ausdrücklich gewünscht. Möglicherweise kann eine Webseite aber nur betrieben werden, indem sie durch Werbung unterfüttert ist. Deshalb betrachte ich diese Fälle genauer.

Werbeeinblendungen

Ein häufiger Fall sind Webseiten, auf denen Werbung von Dritten eingeblendet wird. Für diese Werbeeinblendung erhält der Webseitenbetreiber als sogenannter Publisher eine Vergütung. Die Vergütung richtet sich oft nach der Anzahl der Impressionen, also der Anzahl der Werbeeinblendungen, oder der Anzahl der Klicks auf eingeblendete Anzeigen.

Ohne Auftragsverarbeitungsvertrag (AVV) ist dies meiner Einschätzung nach ohne Einwilligung nicht erlaubt, denn die Einblendung von Werbung findet über einen Dienst einen Dritten statt. Die vom Werbedienst verwendeten Cookies können verschiedene Ausprägungen haben. Ich habe hier die kategorischen Fälle aufgestellt:

LebensdauerWertausprägung
SitzungMinimal
SitzungIdentifizierer (egal, ob pseudonymisiert oder nicht)
Länger als SitzungMinimal
Länger als Sitzungidentifizierer
Kategorien von Cookies nach Lebensdauer und Wertausprägung

Die Frage, ob ein Cookie, welches nur wenig länger als eine Sitzung existiert, wie ein Sitzungs-Cookie zu betrachten ist, kann hier nicht näher betrachtet werden.

Ein Sitzungs-Cookie ist immer unkritischer als eines, welches über eine Sitzung hinausgeht. Eine minimale Wertausprägung ist gegeben, wenn der Wert quasi nur ein Kennzeichen darstellt. Die Logik dahinter ist, einen Nutzer nur einmal pro Sitzung zu zählen. Liegt beim Nutzer ein Cookie vor, welches zuvor in der selben Sitzung gesetzt wurde, handelt es sich um denselben Nutzer. Der Wert des Cookies spielt hierfür keine Rolle, also kann der Wert aus einem einzigen Zeichen bestehen (oder das Cookie den leeren Wert haben).

Ein Identifizierer ist eine Zeichenfolge, die erkennen lässt, dass damit potentiell jeder Nutzer eindeutig von anderen Nutzern unterschieden werden kann. Ein fitkives Beispiel für einen Identifizierer ist der Wert ab98-2375-caf0-111d-e394. Dieser Wert in Hexadezimalschreiben erlaubt 16^20 (16 hoch 20) Wertausprägungen, also mehr als genug, um jedem der zig Milliarden Weltbürger eine eindeutige Identifikation zu verpassen.

Meine Einschätzung zu den einzelnen Cookie-Kategorien und dem Ausnahmetatbestand, wonach keine Einwilligung erforderlich wäre, ist folgende:

Cookie-TypEinwilligung erforderlich?
Sitzung/MinimalwertEher nicht
Sitzung/IdentifikatorEher Ja
Länger als Sitzung/MinimalwertJa
Länger als Sitzung/IdentifikatorJa
Einwilligungserfordernis für bestimmte Cookie-Typen nach meiner Einschätzung

Höchstens für das Sitzungs-Cookie mit minimaler Wertausprägung würde ich mir den Ausnahmetatbestand gemäß § 25 Abs. 2 Nr. 2 TTDSG vorstellen können. Alles darüber hinaus muss einfach nicht sein und kann m.E. nicht begründet werden. Warum soll ein Nutzer nicht nur als wiederkehrend erkannt werden dürfen, sondern auch noch von anderen Nutzern als Person eindeutig unterschieden werden können? Ich sehe hier keine Rechtsgrundlage.

Erfolgsmessung

Zur Ermittlung des Erfolgs einer Werbemaßnahme werden gelegentlich Konvertierungen nachgehalten. So wird beispielsweise ermittelt, wie erfolgreich eine Werbeanzeige insgesamt war, indem die Anzahl der Einblendungen (Impressions) in Verhältnis zur Klickzahl gesetzt wird. Die Klickrate wiederum kann mit einem höheren Ziel, wie etwa einem Kauf, abgeglichen werden.

Um herauszufinden, wie oft eine Werbeanzeige angezeigt wurde, bedient man sich der Mittel der Werbeplattform. Hierbei entstehen beim Werbetreibenden für gewöhnlich keine Datenschutzfragen, denn die Werbung wird durch einen anderen auf dessen Plattform angezeigt. Ein Beispiel sind die Google Suchergebnisse oder Werbung im News Feed von Facebook.

Die Konvertierung von Google Anzeigen wird oft mit Hilfe des Google Ads Conversion Tracking gemessen. Dadurch kann herausgefunden werden, nach welchem Schlüsselwort jemand gesucht hat, bevor die Anzeige erschien und angeklickt wurde. Vor allem kann aber herausgefunden werden, welche Suchbegriffe letztendlich dazu führten, dass ein Nutzer einen Kauf o.ä. ausgeführt hat.

Für diese Konvertierungsmessung stellt Google ein Script zur Verfügung, welches auf der Webseite einzubinden ist, die Ziel einer Werbeanzeige ist. Ist dies ein Ausnahmetatbestand? Ohne AVV sicher nicht, sage ich. Ein gültiger AVV kann meines Erachtens mit Google nicht angeschlossen werden.

Dem Webseitenbetreiber ist folgendes zuzumuten, um selbst möglichst keine Datenschutzprobleme zu produzieren. Das Google Script zur Konvertierungsmessung wird nicht auf der Webseite eingebunden. Statt dessen ruft die Webseite ein internes Script auf, welches im Hintergrund den Google Endpunkt zur Konvertierungsmessung aufruft.

Warum ist dies ein Unterschied? Weil der Hintergrundaufruf nicht im Browser, sondern auf dem eigenen Server stattfindet. Dabei wird die IP-Adresse des Nutzers nicht an Google übertragen, sondern nur die IP-Adresse des Servers, auf dem die Webseite betrieben wird. Ebenso werden von Google möglicherweise genutzte Cookies so nicht übertragen, was an sich auch nicht erforderlich ist.

Das ist Ihnen zu viel Arbeit? Pech gehabt, würde ich sagen. Suchen Sie sich eine andere Einnahmequelle oder warten Sie auf die nächste (erste?) Abmahnung. Mit etwas Unglück kommt eine Prüfung durch eine Datenschutzbehörde allem anderen Unheil zuvor. Da müssten Sie aber schon sehr viel Pech haben.

Ich möchte nur daran erinnern, dass es viele Jahrzehnte lang wie durch ein Wunder gelang, ganz ohne Google Umsätze zu generieren. Meine Behauptung ist, dass Google Werbeanzeigen in ihrer Wirksamkeit oft erheblich überschätzt werden. Ich habe hierfür sogar einige belastbare Fälle aus der Praxis. Man muss sich die Branche, den Markt und das Werbe-Budget ganz genau anschauen um zu sehen, ob online Werbung wirklich sinnvoll sein kann. Einige argumentieren, dass der Erfolg oder Misserfolg einer online Werbung viel besser ermittelt werden kann als bei klassischer Werbung. Das stimmt, geht aber auch ohne Google Tools und lässt die gleiche Frage wie sonst auch, was zu tun ist, wenn sich der Werbeerfolg nicht eingestellt hat.

Finanzierung durch Klickzahlen

Die Argumentation, dass eine Webseite maßgeblich durch Werbung finanziert wird und somit eine Einwilligung nicht erforderlich sei, halte ich nur in Einzelfällen für diskussionswürdig. Hierbei denke ich insbesondere an Webseiten mit sehr geringem Umsatz durch Display-Werbung. Dieser Umsatz liegt unter 100 Euro pro Monat. Der Geschäftszweck, Inhalte zu produzieren, um daraufhin Werbeplätze verkaufen zu können, erscheint mir suspekt. Mir stellt sich die Frage nach der Wertschöpfung, welche sicher keine reine Datenschutzfrage ist. Wer eine Seite aufruft, um dort etwa interessante Zitate vorzufinden erhofft, möchte wohl eher nicht von übermäßig viel Werbung belästigt werden. Ist eine Finanzierung der Webseite nur durch ein Zupflastern mit Werbung möglich, stellt sich mir die Frage, ob der Nutzer diesen Dienst ausdrücklich gewünscht haben kann. Denn nur dann wäre eine Einwilligung im Ausnahmefall möglicherweise entbehrlich.

Webseiten mit hohem Nutzeraufkommen verkaufen oft Produkte über deren Webseite. Ein Beispiel ist Spiegel online. Dort wird nicht nur ein Abonnement des Spiegel angeboten, sondern auch kostenpflichtige Spiegel+ Artikel. Die Webseite lebt also (alleine?) schon von der großen Aufmerksamkeit, die sich durch entsprechend viele Webseiten-Besucher darstellt. Werbeeinblendungen hier als ausdrücklich erwünscht anzusehen, ist gewagt. Ein gesundes Maß an Einblendungen mag vertretbar sein, dann aber auch nur ohne Cookies oder nur mit Sitzungs-Cookies und minimaler Wertausprägung. Das Spiegel-Bespiel ist willkürlich. Dass Spiegel eine Vorabfrage integriert hat und die Wahl nach werbefinanzierter oder bezahlter Ansicht lässt, sei hier kurz betrachtet. Gibt es eine solche Vorabfrage, dann kann schon viel eher von einem ausdrücklich gewünschten Dienst gesprochen werden. Allerdings muss der Nutzer bei der Vorabfrage klare und umfassende Informationen erhalten haben! Die Spiegel-Einwilligungsabfrage enthält zumindest wesentliche Punkte:

  • Hinweis auf Widerrufsrecht
  • Hinweis auf Datentransfer in unsichere Drittländer (hier: USA)
  • Hinweis auf das Tracking
  • Link auf Drittanbieter (100+ ?) mit der Möglichkeit, alle zu akzeptieren, aber nicht abzulehnen

Allerdings fehlt auch einiges oder ist auf andere Seiten verlagert, wo man lange suchen muss, um die gewünschte Information zu finden. Die Benennung von Risiken fehlt auf der Einwilligungsabfrage. Ebenso fehlt eine Möglichkeit zum Ablehnen, und zwar gänzlich. Insofern ist die Einwilligungsabfrage bereits als Ganzes ungültig, behaupte ich. Ich verstehe an sich, dass der Spiegel nicht möchte, dass jemand ablehnt und die Spiegel-Webseite somit nicht anschauen kann. Das ist allerdings irrelevant für die Beurteilung der Rechtmäßigkeit der Einwilligungsabfrage.

Sonderfall: Nutzerprofilbildung ohne Cookies

Im Telemediengesetz ist in Art. 15 Abs. 3 TMG geregelt, dass bei Nutzerprofilbildung mit Hilfe von Nutzerdaten dem Nutzer einer Abwahlmöglichkeit gegeben werden muss. Der BGH ergänzte dies, indem er das Einwilligungserfordernis aus der ePrivacy-Richtlinie hinzufügte (Urteil Planet49). Hierbei geht es um die Nutzerprofilbildung auch ohne Cookies.

Dieser Passus ist im TTDSG weggefallen. Allerdings regelt die DSGVO allgemeiner, dass diese Nutzerproflilbildung an sich erst einmal nicht erlaubt ist. Sie kann höchstens durch das berechtigte Interesse gerechtfertigt werden, falls keine Einwilligung durch die betroffene Person vorliegt. Relevante Rechtsvorschriften sind Art. 5 Abs. 1 c DSGVO (Datenminimierung) und Art. 25 DSGVO (Datenschutz durch Technikgestaltung). Ebenso kommt des öfteren der Art 44. DSGVO hinzu, der risikobehaftete Datentransfer in unsichere Drittländer.

Insofern ändert sich diesbezüglich wenig bis gar nichts. Juristisch mag es en Unterschied in der Argumentation sein. Technisch war und ist die Nutzerprofilbildung, vor allem bei Einsatz von Dritt-Diensten, leicht nachweisbar und kann aus welcher Rechtsgrundlage auch immer nach meiner Erfahrung meist auf ein Einwilligungserfordernis zurückgeführt werden.

Fazit

Jegliche Nutzung von Cookies oder ähnlicher Technologien bedarf einer vorigen Einwilligung durch den Nutzer. Ausgenommen hiervon sind höchstens Sitzungs-Cookies mit einer minimalen Wertauprägung. Mehr Spielraum sehe ich nicht. Im Graubereich mögen sich Cookies mit einer Funktionsdauer bewegen, die nur etwas über eine Sitzung hinausgeht. Als Beispiel seien hier 24 Stunden genannt. Aber auch hier bin ich der Auffassung, dass niemand sich das Recht herausnehmen kann, einen Nutzer auch am nächsten Tag als selbigen wiederzuerkennen.

Das TTDSG setzt den Art. 5 Abs. 3 der ePrivacy-Richtlinie mit dem § 25 TTDSG nahezu wortgleich und sinngleich um. Überraschungen gibt es hier nicht, was zu begrüßen ist. Immerhin kann daran gezweifelt werden, dass der deutsche Gesetzgeber mehr Datenschutzkompetenz vorweist als die europäischen Gremien.

Zum Glück bleiben die genannten Überraschungen erspart. So wird eine Einarbeitung in neue Sachlagen überflüssig. Ich hätte allerdings kein Problem damit gehabt, die ursprünglich angedachte Reichweitenmessung ohne Einwilligung gesetzlich zu erlauben.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit-Rückblick Mai und Vorschau