24.06.2022

Einwilligung nach TTDSG auf Webseiten

I. Überblick

Das TTDSG bündelt die wesentlichen Datenschutzvorschriften für Telekommunikations- und Telemediendienste einschließlich Nutzertracking. Das TTDSG richtet sich an Diensteanbieter. Dabei erfasst es in einem technologieneutralen Ansatz alle Techniken und Verfahren aus dem Bereich des Speicherns und Auslesens von Informationen (z. B. „Hidden Identifiers“, „Cookies“, „Browser Fingerprinting“ und „Spyware“). Ausreichend ist es, das die Technologie die informationelle Integrität des Endgeräts berührt, wobei es sowohl für Daten mit als auch ohne Personenbezug gilt.

II. Einwilligung

Ein Nutzertracking ist nur mit Einwilligung möglich. Für Webseiten-Betreiber ist eine Ausnahme in § 25 Abs. 2 Nr. 2 TTDSG geregelt: Wenn das Auslesen von Daten aus einer Endeinrichtung bzw. beim Speichern von Daten auf der Endeinrichtung des Nutzers technisch unbedingt für die Nutzung der Webseite erforderlich ist (z. B. bei Warenkorb-Funktion, Chat-Bots oder zur Authentifizierung), entfällt die Pflicht zur vorgeschalteten Einwilligung.

III. Vorgaben an die Einwilligung

Wichtig ist, dass der Nutzer der Endeinrichtung die Einwilligung vor dem einwilligungsbedürftigen Zugriff auf das Endgerät erteilt. Er muss bereits bei Zugriff die Kenntnis über Zugriffsform, Zugriffsperson und Zugriffszweck, konkrete Speicherdauer und daran anknüpfende Datenverarbeitungsprozesse haben.

Die Erklärung muss der Nutzer durch ein aktives Handeln in eindeutiger Weise (z. B. durch das Anklicken einer Schaltfläche) für den konkreten Fall vornehmen. Ob eine Erklärung eindeutig ist, entscheidet sich nach der konkreten Gestaltung. Unzureichend ist insbesondere,

  • dass eine Wahlmöglichkeit stets eine höhere Anzahl an Klicks erfordert,
  • das Verwenden einer Generaleinwilligung oder Blankoeinwilligung für jeglichen Einsatz einer Technologie,
  • dass der Nutzer untätig bleibt, auf der Webseite verbleibt, oder bereits Kästchen angekreuzt sind (Opt-Out-Verfahren).

Schließlich müssen die Möglichkeit zum Widerruf und die Freiwilligkeit der Einwilligung gewährleistet sein. Bedenken bestehen mit Blick auf die Freiwilligkeit insbesondere bei

  • Dark Patterns,
  • der vollständigen Sperrung einer Webseite durch Cookie-Walls.
IV. Bündelung der Einwilligungserklärungen

Eine Bündelung der Einwilligung nach DSGVO und nach TTDSG ist zulässig nach jüngsten Ausführungen der DSK. Entscheidend ist, dass die Texte sowohl auf das Auslesen und Speichern nach TTDSG als auch die weiteren Verarbeitungen nach DSGVO als getrennte Vorgänge mit divergierenden Rechtsgrundlagen hinweisen.

V. Einwilligungsbanner

Die Erkennbarkeit und Nachvollziehbarkeit sind die entscheidenden Faktoren für ein zulässiges Einwilligungsbanner. Zwecke und beteiligte Akteure müssen erkennbar sein. Auch die Benutzeroberfläche (etwa der Effekt einer Schaltfläche oder die Kennzeichnung der unterschiedlichen Buttons) ist relevant. Ist das Banner verständlich, so muss es sich auch mit den Informationen der Datenschutzerklärung decken, da sonst deren übergeordnetes Zusammenspiel die Intransparenz erzeugt. Insbesondere sollten widersprüchliche Informationen vermieden werden.

VI. Einsatz einer Consent-Management-Plattform

Neben Cookie-Bannern greifen Unternehmen immer häufiger auf Consent-Management-Plattformen (CMP) zurück, die eine umfassende und rechtskonforme Einwilligungslösung versprechen. Letztgenannte Konformität steht und fällt mit dem konkreten Einsatz der CMP und den betroffenen Vorgängen. Nicht jede Konfiguration auf einer Webseite ist von der CMP abgedeckt. Da die Verantwortlichkeit für die Webseite beim Anbieter verbleibt, sollte ein CMP erst im Anschluss an eine am Einzelfall ausgerichtete Prüfung eingesetzt werden.

VII. Anwendung auf andere Technologien

Immer häufiger verwenden Unternehmen Messungen ohne Verwendung von Cookies an, um so den Vorgaben an die Einwilligung zu entgehen. Ein aktuelles Beispiel mit Praxisrelevanz bietet das Tool Matomo. Es bietet vereinzelt Konfigurationsmöglichkeiten, die eine Einwilligung entbehrlich machen können. Allerdings kann auch hier ein einwilligungsbedürftiges Nutzertracking vorliegen. Denn das TTDSG ist grundsätzlich technologieneutral. Exemplarisch ist das Aufspielen eines Java-Script-Code. Findet über dessen Einsatz ein zusätzliches Auslesen von Informationen des jeweiligen Endgeräts statt, kann nur eine wirksame Einwilligung einen Verstoß gegen das TTDSG sicher ausschließen.