Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Webseite der Tagesschau: Gilt das TTDSG nicht für den öffentlich-rechtlichen Bereich?

Veröffentlicht am 31. Januar 2022 von Dr. DSGVO · Zuletzt aktualisiert am 9. März 2022
1

Kategorien: Datenschutz und Tracking

Die Tagesschau-Webseite wird vom Norddeutschen Rundfunk betrieben, einer Anstalt des öffentlichen Rechts. Gelten deswegen die Datenschutzregelungen des TTDSG zu Cookies nicht? Nein, sagt der NDR. Doch, sage ich. Zur Argumentation reicht eine rein technische Betrachtung.

Das TTDSG gilt seit dem 01.12.2021. Soweit ich es nachvollziehen konnte und es die Antwort der Tagesschau-Verantwortlichen verkündet, gilt das TTDSG auch für den öffentlich-rechtlichen Bereich. Falls das TTDSG hier nicht gilt, bin ich für eine Rückmeldung dankbar.

Der § 25 TTDSG ist die Umsetzung der ePrivacy-Richtlinie. Konkret regelt diese Rechtsvorschrift den Zugriff auf Endeinrichtungen von Nutzern, also etwa auf Smartphones oder Desktop PCs. Dieser Zugriff kann insbesondere in Form von Cookies erfolgen. Auch, wenn Cookies oft überhöht und als einziger kritischer Punkt gesehen werden, gehe ich hier nur auf Cookies ein.

Insgesamt könnte man der Tagesschau-Webseite aus meiner Sicht weitere Dinge vorwerfen, wie etwa die Nutzung eines CDN, welches der Problematik des Schrems II Urteils unterworfen ist und demnach nicht verwendet werden dürfte.

Update: Bisher hatte ich die drei folgenden Cookies nur INFOnline zugeordnet, nun auch AT-Internet, nachdem der NDR mir antwortete.

Die Tagesschau verwendet die Dienste INFOnline und AT-Internet zur Nutzermessung. Dabei kommen folgende Cookies zum Einsatz:

  • atidvisitor: Funktionsdauer ca. 6 Monate. Wert: %7B%22name%22%3A%22atidvisitor%22%2C%22val%22%3A%7B%22vrn%22%3A%22-595936-%22%7D%2C%22options%22%3A%7B%22path%22%3A%22%2F%22%2C%22session%22%3A15724800%2C%22end%22%3A15724800%7D%7D
  • atuserid: Funktionsdauer 13 Monate. Wert: %7B%22name%22%3A%22atuserid%22%2C%22val%22%3A%221654aadb-9bae-44bf-8e82-c5415077cd80%22%2C%22options%22%3A%7B%22end%22%3A%222023-02-14T17%3A47%3A55.759Z%22%2C%22path%22%3A%22%2F%22%7D%7D
  • breakingNewsId: Funktionsdauer: Sitzung. Wert: 51fa5bcc-042f-4e20-ba90-68a9aaa1a24c

Ich schrieb die Tagesschau unter anderem deswegen an, um zu erfahren, warum diese Cookie-Nutzung angeblich einwilligungsfrei sei. Die Tagesschau antwortete mir. Die Antwort erfolgte wenige Tage nach meiner Anfrage. Da Mike Kuketz eine ähnliche Antwort auf eine womöglich andere Anfrage hin erhielt und die Antwort analysierte, gehe ich folgend nur auf die INFOnline und AT-Internet Cookies ein.

Cookies sind dann einwilligungsfrei, wenn sie unbedingt erforderlich sind, um "einen vom Nutzer ausdrücklich gewünschten Telemediendienst" zur Verfügung zu stellen, so das TTDSG.

Die Tagesschau argumentiert, dass es zur Ausübung des öffentlich-rechtlichen Auftrags unbedingt notwendig ist, Cookies zu verwenden. Die Argumentation wird also rein rechtlich geführt.

Wie ich nachfolgend zeigen möchte, sind Cookies in der oben genannten Ausprägung bereits aus technischen Gründen nicht erforderlich, um Besucher zu zählen, um die Nutzermessung mal etwas landläufiger zu beschreiben.

Untersuchung

Vorab möchte ich noch mitteilen, welche Zwecke für die oben genannten Cookies mir von der Tagesschau genannt wurden:

Zitat: "Hinsichtlich breakingNewsId gilt, dass diese Technik der Darstellung von Eilmeldungen dient." Angemerkt wurde direkt danach, dass dabei "keine personenbezogenen Daten erhoben und an Dritte weitergegeben" würden. Dies ist irrelevant, wie ein Blick in § 25 TTDSG verrät. Das TTDSG kennt hier keine Kategorie des Personenbezugs. Den kennt nur die DSGVO, die hier nicht zur Diskussion steht.

Für die Cookies atidvisitor und atuserid wurden mir gar keine Auskünfte zum Zweck gegeben, außer, dass es sich nicht um personenbezogene Daten handeln würde. Später erfuhr ich auf Nachfrage, dass es Cookies von AT-Internet seien. Ich würde diese Auskünfte bereits in der Datenschutzerklärung der Tagesschau-Webseite erwarten und nicht erst erfragen müssen. Dann aber auch auf meine Frage hin keine ordentliche Antwort zu erhalten, würde ich noch weniger erwarten. Dass Cookies keine personenbezogenen Daten speichern, ist bezüglich des TTDSG irrelevant. Zudem sind Cookies immer als personenbezogen anzusehen.

Meine Betrachtung wird zeigen, dass die genutzte Ausprägung des INFOnline Analysedienstes auf der Webseite tagesschau.de technisch in keinster Weise notwendig und somit nicht einwilligungsfrei ist. Somit läge eine rechtswidrige Nutzung auf tagesschau.de vor, da die Rechtsgrundlage, nämlich die Einwilligung, fehlt.

Die genannten Cookies betrachte ich dazu einfach nach den Kriterien Lebensdauer, Werteausprägung und Anzahl. Anschließend betrachte ich noch den Fall, dass Cookies gar nicht verwendet werden können oder die Lebensdauer der Cookies aus Gründen, die im Rechner des Nutzers zu finden sind, auf eine Sitzung beschränkt sind.

Update: Es gibt zusätzlich ein Cookie in der Domäne tagesschau.de, welches iom_consent heißt. Die Lebensdauer beträgt ca. 28 Tage. Wenn man dieses Cookie manuell löscht, wird es sofort wieder angelegt. Es ist also unmöglich, das Cookie durch Löschen zu entfernen. Man müsste schon sämtliche Cookies über den Browser blockieren, um dieses Cookie nicht mehr zu erhalten. Das geht im Firefox anscheinend nur über folgende Einstellung:

Blockieren sämtlicher Cookies im Firefox.

Diese Einstellung sorgt vielleicht für Ruhe wegen Cookies, sorgt aber für Webseiten, die nicht mehr funktionieren.

Lebensdauer der Cookies

Das INFOnline-Cookie auf tagesschau.de hat eine kurze Lebensdauer, die Cookies von AT-Internet haben eine maximale Lebensdauer von 13 Monaten. Somit kann ein Nutzer 13 Monate lang mithilfe eines Cookies wiedererkannt und nachverfolgt werden.

Zur Erinnerung: Die Tagesschau beruft sich darauf, zum Zweck der Nutzermessung Cookies einwilligungsfrei nutzen zu wollen. Zur Nutzermessung ist ein Betrachtungszeitraum von 13 Monaten nicht erforderlich. Mir liegen jedenfalls keinerlei Argumente des NDR vor, warum auf der Tagesschau-Webseite Nutzer 13 Monate lang nachverfolgt werden müssen. Warum reichen nicht 2 Wochen oder gar nur ein Tag oder eine Sitzung?

Unter Nutzermessung versteht die Verantwortliche „statistische Zwecke“ und nennt „Optimierungszwecke“ als Vorhaben (vgl. die Datenschutzhinweise auf tagesschau.de).

Ich habe den Verantwortlichen des NDR am 25.01.2022 gefragt, warum die Cookies derart lange Laufzeiten haben und warte auf eine Antwort. Mir als Informatiker ist völlig unklar, warum zum statistischen Nutzerzählen überhaupt Cookies verwendet werden müssen, geschweige denn welche mit einer Lebensdauer von 13 Monaten.

Die Antwort kam, aber ohne Begründung der Lebensdauer. Folgendes wurde mir mitgeteilt: „Die Funktionsdauer des Cookies von INFOnline ermittelt über den genannten Zeitraum etwaig wiederkehrende Visits ermittelt, die für die IVW-Messung notwendig sind.“ (Zitat unverändert, inklusive Rechtschreibfehler, widergegeben).

Die IVW schreibt übrigens selbst, dass die Messung auf die Anforderungen des TTDSG umgestellt werden muss und dass Zählungen, die dem nicht entsprechen, nicht gewertet werden. Dies gilt für INFOnline. Was mit AT-Internet ist, ist eine andere, noch kritischere Frage, da dort zwei Cookies zum Einsatz kommen.

Wozu zwei Dienste notwendig sein sollen, um Nutzer zu messen, erschließt sich mir nicht. Die Tagesschau-Datenschutzerklärung schreibt: "Auf dieser Webseite werden Informationen über die Nutzung auch mit einem Verfahren von AT Internet in anonymisierter Form gesammelt und gespeichert." Der Fettdruck ist von mir und deutet auf eine Doppelmessung hin, die erst recht nicht als notwendig angesehen werden kann.

Anzahl der Cookies

Insgesamt werden mindestens drei Cookies für die Dienste INFOnline und AT-Internet auf tagesschau.de eingesetzt. Warum reicht nicht ein Cookie?

Aus technischer Sicht reicht generell immer ein Cookie (pro Dienst) aus, wenn der gespeicherte Wert nicht zu groß wird (das sind wohl 4096 Bytes, also ziemlich viel. Bei LocalStorage ist es noch viel, viel mehr). Man könnte mehrere Werte aneinanderhängen und hätte dann nur ein Cookie.

Warum zwei Dienste statt nur einem nötig sind, konnte mir nicht beantwortet werden.

Wozu überhaupt mehrere Werte pro Nutzer gespeichert werden müssen, ist mir zusätzlich unklar. Ich erhielt auf meine Frage nach den Cookie-Zwecken keine zufriedenstellende Antwort. Die Zwecke von zwei der drei Cookies blieben unklar.

Werte der Cookies

Die Werteausprägung der Cookies würde ein Jurist wohl als überschießend bezeichnen. Ich bezeichne die Werte als extensiv und in diesem Umfang nicht zu rechtfertigen. Offenbar werden Online-Kennungen in den Cookies gespeichert, die als personenbezogene Daten anzusehen sind (vgl. Art. 4 Nr. 1 DSGVO).

Warum reicht nicht ein kurzer Wert? Immerhin sollen angeblich nur statistische Erhebungen durchgeführt werden.

Eine vernünftige Nutzermessung ist generell ohne Cookies möglich.

Begründung: Siehe Beitrag. Vgl. etwa auch das Tool Trackboxx, welches gänzlich ohne Cookies auskommt.

Übrigens können Statistik-Dienste wie Matomo oder Trackboxx ganz ohne Cookies arbeiten und Nutzer ausreichend gut analysieren. Sogar Google Analytics kann ganz ohne Cookies genutzt werden.

Milderes Mittel: Weniger invasive Cookies

Für mich steht fest, dass das Nutzerzählen selbst mit Cookies auf der Tagesschau-Webseite in einer Form hätte stattfinden können, die deutlich unkritischer ist als die aktuell vorgefundene Situation.

Die Verantwortliche hätte folgende Maßnahmen umsetzen können:

  • Weniger Cookies verwenden, also nur eines oder zwei statt dreien bzw. nur ein Dienst statt zwei Diensten.
  • Eine kürzere Cookie-Lebensdauer als 13 Monate verwenden.
  • Gekürzte Cookie-Werte statt langer Werte mit dem Charakter einer Identifikators verwenden.

All dies wäre möglich, ohne dass erkennbare Nachteile bei der Nutzermessung entstünden. Alleine deshalb halte ich die aktuelle Ausprägung auf der Tagesschau-Webseite für nicht mit dem TTDSG vereinbar. Zudem scheint die Datenverarbeitung der Cookie-Werte wegen der möglichen milderen Mittel nicht mit der DSGVO vereinbar. Vgl. etwa die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO.

Was passiert ohne Vorliegen von Cookies?

Wenn angeblich die INFOnline Messung der Nutzer der Tagesschau-Webseite (aus technischer Sicht) unbedingt auf Cookies angewiesen ist, was passiert dann, wenn diese Cookies nicht in Ansatz gebracht werden können?

Hierzu sind mehrere Szenarien möglich:

  1. Ein Nutzer blockiert Cookies in seinem Browser. Immerhin besagt die Tagesschau-Datenschutzerklärung, dass die Webseite auch ohne Cookies genutzt werden kann. Dort wird auch beschrieben, dass Cookies im Browser durchaus blockiert werden können.
  2. Ein Nutzer löscht Cookies nach einer Browser-Sitzung manuell. Das ist in Browsern wie dem Firefox von Mozilla einfach möglich.
  3. Ein Nutzer löscht Cookies nach jeder Browser-Sitzung automatisch. Hierfür gibt es Hilfsprogramme wie CCCleaner. Aber sogar der Browser bietet derartige Funktionen von Hause aus.

Hierzu habe ich am 25.01.2022 den NDR-Verantwortlichen gefragt, wie die Tagesschau-Webseite diesem Problem begegnet, wenn die auf Cookies angewiesene Nutzermessung ganz ohne Cookies arbeiten oder mit einer Laufzeit von einem Tag statt 13 Monaten auskommen muss. Ich bin auf die Antwort gespannt.

Die Antwort kam wie folgt: "Das Löschen von Cookies nach einer Sitzung oder auch die Deaktivierung der Nutzungsmessung durch die Nutzer*innen führt dazu, dass die Messung nicht stattfinden kann, wodurch das Gesamtergebnis der Messung unscharf wird.". Das bestreite ich zunächst und gebe hierzu wie folgt Argumente.

Nutzermessung ohne Cookies

Die Messung ohne Cookies bringt laut IVW sogar bessere Ergebnisse als mit Cookies.

Anscheinend wissen die Verantwortlichen für die Tagesschau-Webseite doch, dass eine Nutzermessung auch ohne Cookies möglich ist. Denn in den Datenschutzhinweisen der Webseite steht:

„Die Nutzungsmessungen erfolgen mit und ohne Cookies unter Beachtung der gesetzlichen Vorgaben, insbesondere der DSGVO und der ePrivacy-Richtlinie.“

Für den von der Tagesschau-Webseite auch eingesetzten AGF-Zählpixel der Firma Nielsen schreiben die Verantwortlichen weiterhin: „Dabei wird – wie bei dem SZMnG-Verfahren – eine kleine Bilddatei bzw. ein JavaScript in abrufbare Internetseiten eingebaut, um die Messung der Videonutzung ohne Verwendung von Cookies zu ermöglichen.“

Anscheinend geht es also auch ohne Cookies. Ob es mit Cookies besser funktioniert, spielt an sich zunächst keine Rolle. Denn Nützlichkeit ist keine juristische Kategorie im Datenschutzrecht, wenn man das Prinzip des milderen Mittels zugrunde legt.

Rein technisch können Nutzer von anderen Nutzern durch deren IP-Adresse und den Browser User-Agent sehr gut unterschieden werden. Pseudonymisiert man diese Daten entsprechend und hält sie am besten nur für wenige Stunden, dann ist keine Einwilligung nach DSGVO erforderlich. Das TTDSG wäre in diesem Fall sowieso außen vor, da kein Zugriff auf die Endeinrichtung des Nutzers vorliegt. Sowohl IP-Adresse als auch User-Agent werden sowieso beim Abruf einer Webseite übertragen. Ein expliziter Zugriff auf diese Nutzerdaten erübrigt sich somit. Für Firmennetzwerke kann eine Unschärfe entstehen, wenn alle Mitarbeiter-Rechner synchron aktualisiert werden. Ob ein Mitarbeiter die Tagesschau-Webseite während der Arbeitszeit aufrufen darf, sei dahingestellt. Nur ein geringer Anteil aller Zugriffe auf die Tagesschau-Webseite dürfte über solche nach außen einheitlich wirkenden Firmennetzwerke erfolgen. Zudem können auch Einzelpersonen über die oben genannten Möglichkeiten Cookies eliminieren.

Nur eine von vielen Statistiken, ganz ohne Cookies. Besucher (Visitors und Visits) können von Aufrufen (Views oder Impressionen) unterschieden werden.

So oder so, die Nutzermessung wird nie ganz exakt sein, und sie muss es auch nicht sein. Wer wissen will, welche journalistischen Beiträge gut ankommen und welche nicht, kann und muss mit aussagekräftigen Tendenzen arbeiten. Ob 95% aller Besucher einen Artikel gelesen haben oder 87 %, dürfte nicht entscheidend sein. Zudem kann die Messung mit Cookies die Genauigkeit der Messung nicht erhöhen, wenn Nutzer Cookies deaktivieren.

Übrigens hat die öffentlich-rechtliche Niederländische Rundfunkanstalt NPO nach Umstellung auf eine Werbung ohne Cookies die Werbeeinnahmen um mehr als 60 % steigern können. Das berichtete zumindest der Deutschlandfunk. Dort wird allerdings auch berichtet, dass Nutzer ohne Cookies nicht mehr hätten erkannt werden können. Dass die letzte Aussage falsch ist, kann man technisch zeigen (siehe oben). Wahrscheinlich wusste es nur niemand bei den NPO-Verantwortlichen.

Nutzermessung innerhalb einer Sitzung

Wie dargestellt, können Cookies vom Nutzer entweder komplett blockiert werden oder (durch Browser-Konfiguration oder eingesetzte Hilfsprogramme) auf eine Sitzung begrenzt sein.

Ohne Cookies kann jedenfalls ohne Weiteres eine Nutzermessung innerhalb einer Sitzung stattfinden. Dazu kann einmal die Kombination aus IP-Adresse und Browser Fingerprint verwendet werden (aus Datenschutzgründen als zeitlich begrenzt rückführbarer Hashwert abgespeichert). Oder es können URL-Parameter verwendet werden, um eine Sitzung nachzuverfolgen. Der Webseitenbetreiber kann also ohne Cookies, mit milderen Mitteln, Nutzer zählen.

Das Zählen ohne Cookies ist sogar mit dem Vorteil behaftet, dass es nicht ausgeschaltet werden kann durch Mittel, die der Nutzer in der Hand hält.

Fazit

Ganz offensichtlich ist der konkret vorliegende Einsatz von INFOnline und AT-Internet auf tagesschau.de ohne Einwilligung nicht mit dem § 25 TTDSG vereinbar. Dies ist jedenfalls für jeden offensichtlich, der bereit ist, einzusehen, dass technische Gegebenheiten eine Rolle spielen, wenn Technik eingesetzt wird.

Die Anzahl, Lebensdauer und Wertausprägung der in der Verantwortlichkeit des NDR eingesetzten Cookies sind in keinster Weise technisch notwendig, um die vom NDR ins Feld geführten Zwecke zu erfüllen.

Zur rein statistischen Nutzermessung drei Cookies mit einer maximalen Lebensdauer von 13 Monaten und mehreren Online-Kennungen einzusetzen, ist ganz sicher technisch nicht notwendig.

Meine Einschätzung.

Unabhängig davon halte ich die vom NDR genannten Zwecke für irrelevant, weil das TTDSG diese Zwecke nicht berücksichtigt.

Dies erscheint mir ein klarer Fall für eine Untersuchung durch eine Datenschutzbehörde zu sein. Die Tagesschau-Verantwortlichen jedenfalls werden von sich aus wohl keine datenschutzfreundliche Ausgestaltung vornehmen. Vielleicht möchte jemand stattdessen lieber selber die Tagesschau in die Pflicht nehmen und zivilrechtlich dagegen vorgehen. Bei Behörden weiß man ja nie, was am Ende als Ergebnis herauskommt. Während manche Behörden engagiert sind, verstehen andere unter „Bearbeiten von Beschwerden“ auch den Erhalt mit daran anschließender Ablage.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/webseite-der-tagesschau-gilt-das-ttdsg-nicht-fuer-den-oeffentlich-rechtlichen-bereich
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. FairBert

    Sehr guter Artikel,
    ich würde mir wünschen, es ginge endlich ohne personifizierte Nachverfolgung und Werbung.
    Warum fangen die ÖRR nicht endlich damit an, sie werden doch vom Gebührenzahler (mit)finanziert.
    Der ÖRR ist gedacht als finanziell unabhängiges Medienunternehmen für uns Bürger.
    Das gilt eigentlich auch für alle Behördenauftritte.

    Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Topics statt Google Floc statt Cookies statt Datenschutz