GDD-Praxishilfe DS-GVO - ePrivacy und Datenschutz beim Onlineauftritt
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO ePrivacy und Datenschutz beim Onlineauftritt
INHALT
1. Einleitung ..................................................................... 3
2. TTDSG............................................................................ 3
2.1 Anwendungsbereich des TTDSG ........................................................... 3
2.2 Anforderungen an Cookies und Co. nach § 25 TTDSG ............................ 3
2.3 Cookie-/Consent-Banner.................................................................... 6
2.4 Anwendbarkeit von § 25 TTDSG auf Cookies vergleichbare
Verfahren, z.B. sog. Browser- oder Device-Fingerprinting ...................... 8
3. DS-GVO.......................................................................... 8
3.1 Anwendungsbereich der DS-GVO ......................................................... 8
3.2 Anforderungen der DS-GVO an (Online-)Datenverarbeitungen
und Verhältnis von DS-GVO und TTDSG ............................................... 10
3.3 Betroffenenrechte .......................................................................... 10
3.3.1 Allgemeines .............................................................................. 10
3.3.2 Auskunft ................................................................................... 11
3.3.3 Löschung .................................................................................. 11
3.4 Datenschutzerklärung ..................................................................... 12
4. Anbieterkennzeichnung („Impressum“)......................... 14
1. Einleitung vgl. § 1 Nr. 2 TTDSG. Anbieter von Telemedien ist
nach § 2 Abs. 2 Nr. 1 TTDSG jede natürliche oder
Betreiber von Websites, Apps und Co. haben die juristische Person, die eigene oder fremde Teleme-
Vorgaben des Telekommunikation-Telemedien-Da- dien erbringt, an der Erbringung mitwirkt oder den
tenschutz-Gesetz (TTDSG), insbes. § 25 TTDSG, so- Zugang zur Nutzung von eigenen oder fremden Te-
wie die Vorgaben der Datenschutz-Grundverordnung lemedien vermittelt.
(DS-GVO) zu beachten. § 25 TTDSG setzt europäi- Telemedien sind nach § 1 Abs. 1 S. 1 TMG alle
sche Vorgaben, konkret: Art. 5 Abs. 3 ePrivacy-RL elektronischen Informations- und Kommunika-
(RL 2002/58/EG), nahezu wortgleich in nationa- tionsdienste, soweit sie nicht Telekommunikati-
les Recht um. Die Interpretation der europäischen onsdienste, telekommunikationsgestützte Dienste
Norm kann insofern auch für die Auslegung und oder Rundfunk sind (Telemedien). Beispiele für
Anwendung der TTDSG-Bestimmung herangezogen Telemediendienste sind u.a. Online-Angebote von
werden. Ursprünglich war vorgesehen, dass zeit- Waren/Dienstleistungen mit unmittelbarer Bestell-
gleich mit der DS-GVO am 25.05.2018 auch eine möglichkeit (z.B. Angebot von Verkehrs-, Wetter-,
diese ergänzende und die ePrivacy-RL ersetzende oder Börsendaten, elektronische Presse, Fernseh-/
ePrivacy-VO als in allen EU-Mitgliedstaaten unmit- Radiotext, Teleshopping), Video on Demand, Inter-
telbar geltendes Recht in Kraft treten sollte. Dies netsuchmaschinen, Werbemails, aber auch bereits
ist nicht geschehen. Ob bzw. wann es noch zum „einfache“ Homepages zur Information über ein
Inkrafttreten der ePrivacy-VO kommen wird, ist un- Unternehmen bzw. eine öffentliche Stelle.
klar. Bis zur Geltung der ePrivacy-VO gilt das be-
stehende europäische ePrivacy-Recht fort, also die
ePrivacy-RL in Fassung der sog. „Cookie Richtlinie“ 2.2 Anforderungen an Cookies und
(Richtlinie 2009/136/EG). Co. nach § 25 TTDSG
Im Folgenden wird erläutert, auf welche Ver-
haltensweisen des Websitebetreibers § 25 TTDSG Beim Websitebetrieb kommen vielfach Cookies zum
bzw. die DS-GVO konkret Anwendung finden, also Einsatz, die auf den Endgeräten der Nutzer/-innen
ihr sachlicher Anwendungsbereich. Zudem wird der abgelegt und später wieder ausgelesen werden.
Rechtsrahmen dargestellt, der sich aus § 25 TTDSG
bzw. der DS-GVO ergibt, also was konkret mit den
personenbezogenen Daten der Websitenutzer/-in- Was sind Cookies?1
nen gemacht werden bzw. unter welchen Vorausset-
zungen beim Einsatz von Cookies und Co. auf deren Cookies sind kleine Textdateien, die
Endgeräte zugegriffen werden darf. der Webbrowser auf dem Computer
speichert. Anhand von Cookies er-
kennt eine Website, wer sie gerade
besucht, und kann dadurch Nutzer-
2. TTDSG präferenzen, wie z.B. Sprach- oder
Log-in-Informationen speichern,
2.1 Anwendungsbereich des TTDSG damit der Nutzer die Einstellungen
nicht immer wieder neu vornehmen
Das TTDSG enthält „besondere Vorschriften zum bzw. sich immer wieder neu anmel-
Schutz personenbezogener Daten bei der Nutzung den muss.
von Telekommunikationsdiensten und Telemedien“,
1 Die Erläuterungen zu den Cookies basieren auf den Ausfüh-
rungen bei Schwartmann/Benedikt/Reif, Sonderveröffentli-
chung RDV 5/2020.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 3Nutzers. Von diesem grundsätzlichen Einwilligungs-
Beim Onlineshopping verhindern
erfordernis sind nach § 25 Abs. 2 TTDSG lediglich
Cookies, dass sich mit jedem Aufruf
zwei Ausnahmen vorgesehen.
einer neuen Unterseite im Rahmen
des Webangebots der Warenkorb
leert. Beim Online-Marketing er- Praxisrelevant ist v.a. die zweite
möglicht der Einsatz von Cookies, in § 25 Abs. 2 TTDSG vorgesehene
die Nutzerinteressen auch sitzungs- Ausnahme, wonach der Einsatz von
übergreifend zu ermitteln und so Cookies & Co. keine Einwilligung
möglichst zielgenaue Onlinewer- des Nutzers erfordert, sofern
bung auszuspielen. Dabei handelt Cookies unbedingt erforderlich sind
es sich um sog. persistente Cookies, zur Erbringung eines vom Nutzer
die dauerhaft im System des Nut- ausdrücklich gewünschten Diens-
zers hinterlegt werden. Von diesen tes.
zu unterscheiden sind sog. Session
Cookies. Session Cookies werden
Als einwilligungsfrei möglich werden etwa nach-
gelöscht, sobald der User nach der
folgende Kategorien von Cookies angesehen, so-
Internetsitzung (englisch: Session)
fern die Cookies nicht für weitere Zwecke verwendet
den Browser schließt.
werden:2
Sofern Cookies von der Website
gesetzt werden, auf der sich der >> User-Input-Cookies (Session-ID) für die Dauer
Nutzer gerade befindet, spricht man einer Sitzung oder in bestimmten Fällen per-
von „First Party Cookies“. „Third sistente Cookies, deren Gültigkeitsdauer auf
Party Cookies“ sind demgegenüber wenige Stunden beschränkt ist
Cookies, die nicht vom Betreiber der Gemeint sind Cookies, die der einheitlichen Ver-
Website, sondern von einem Dritten folgung von Nutzereingaben bei einer Reihe
platziert werden, dessen Inhalte auf von Nachrichtenaustauschvorgängen mit einem
der besuchten Website eingebunden Dienstleister dienen. Beispiel: Warenkorbcoo-
sind. „Third Party Cookies“ liefern kies
ein deutlich klareres Bild der Nut- >> Authentifizierungscookies für Dienste, bei
zerpräferenzen, denn mit diesen denen eine Authentifizierung erforderlich ist
kann nicht mehr nur nachverfolgt
Authentifizierungscookies werden verwendet,
werden, wofür der Nutzer sich
um den Nutzer zu identifizieren, nachdem er
innerhalb des eigenen Webauftritts
sich angemeldet hat, z.B. zum Onlinebanking.
interessiert, sondern über verschie-
Sie werden benötigt, damit sich der Nutzer beim
dene Onlineangebote hinweg.
Aufruf von einzelnen Unterseiten innerhalb des
geschützten Bereichs nicht immer wieder erneut
authentifizieren muss. Authentifizierungscoo-
Zum Schutz der Privatsphäre des Nutzers bei Nut- kies sind in der Regel Sitzungscookies. Hat der
zung von z.B. PCs, Laptops, Tablets oder Smart- Nutzer aber auf Abfrage bestätigt, dass er an-
phones knüpft § 25 Abs. 1 TTDSG das Setzen und gemeldet bleiben möchte, dürfen die Cookies
Auslesen von Cookies bzw. vergleichbare Verfahren auch über die Sitzung hinaus als sog. persisten-
im Grundsatz an eine vorherige Einwilligung des te Cookies gespeichert werden.
2 Art.-29-Datenschutzgruppe, Stellungnahme 04/2012 zur
Ausnahme von Cookies von der Einwilligungspflicht, WP 194 v.
07.06.2012, S. 7 ff., dort finden sich auch noch weitere Bei-
spiele einwilligungsfrei möglicher Cookies.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 4>> Nutzerorientierte Sicherheitscookies (ob
Sind Endgerätzugriffe zur Reichwei-
auch Cookies, die Sicherheitsinteressen der An- tenmessung/Webanalyse einwilli-
bieter/-in dienen, z.B. der Vermeidung von Klick- gungsfrei möglich?
betrug, ist umstritten)
>> Cookies zur Anpassung der Benutzerober- Viele Webseitenbetreiber möchten
fläche analysieren, welche Inhalte des
Solche Cookies werden verwendet, um die nicht Internetangebots besonders häu-
mit einer anderen dauerhaften Kennung wie fig gelesen werden, welche Fehler
etwa einem Benutzernamen verknüpften Ein- auftreten oder an welcher Stelle die
stellungen, z.B. Einstellung zur Sprache, für Besucher die Seite verlassen usw.
einen mehrere Webseiten umfassenden Dienst (sog. Reichweitenmessung).
zu speichern. Inwieweit zu diesen Zwecken
durchgeführte Endgerätzugriffe
unbedingt erforderlich i.S.v. § 25
Soweit auf einer Website nur ein- Abs. 2 Nr. 2 TTDSG sind, ist nicht
willigungsfrei mögliche Cookies abschließend geklärt. Nach Auf-
eingesetzt werden, bedarf es keines fassung der französischen Daten-
Cookie-Banners. Es genügt über die schutzbehörde CNIL soll die Rege-
eingesetzten Cookies in der Daten- lung eine „einfache“ Webanalyse
schutzerklärung der Website zu rechtfertigen können, vorausge-
informieren. setzt, diese wird in anonymisier-
ter Form vom Website-Betreiber
selbst vorgenommen und dient
ausschließlich der Fehlerbehebung,
Regelmäßig als einwilligungsbedürftig anzuse- der Optimierung der technischen
hen ist insbesondere das Setzen bzw. Auslesen von Performance oder auch der Analyse
Werbecookies oder sonstige Endgerätzugriffe zum der konsultierten Inhalte.3
Zwecke der Informationsgewinnung zu Werbe-zwe- Unstreitig kommen Verfahren
zur Reichweitenmessung jedenfalls
cken. Die Generierung von Werbeeinnahmen durch
dann einwilligungsfrei in Betracht,
Ausspielen interessenbasierter Werbung steht in
sofern ein Endgerätzugriff ver-
keinem funktionalen Zusammenhang zur Erbrin-
mieden und die Analyse z.B. im
gung des Telemediendienstes. Zwar mag es aus
Wege der Logfile-Analyse oder des
Sicht des Diensteanbieters zur Finanzierung sei- Server-Side-Tracking ohne Cookies
nes Geschäftsmodells ggf. wirtschaftlich erforder- durchgeführt wird.4
lich sein, bestimmte – typischerweise werbliche –
Zugriffe und anschließende Datenverarbeitungen
durchzuführen. Eine bloß wirtschaftliche Erforder-
lichkeit ist i.R.v. § 25 Abs. 2 Nr. 2 TTDSG aber nicht
als ausreichend anzusehen.
3 CNIL, Lignes directrices « cookies et autres traceurs »
Rz. 50 f.; ähnlich auch die italienische Datenschutzaufsicht
Garante per la protezione dei dati personali, Linee guida coo-
kie e altri strumenti di tracciamento – 10.06.2021.
4 Vgl. hierzu LfDI BW FAQ „Cookies und Tracking durch Betreiber
von Webseiten und Hersteller von Smartphone-Apps“, Version
2.0.1 (März 2022), S. 13 ff.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 5Anders als durch die DS-GVO wer-
den durch § 25 TTDSG auch juris- Welche konkreten Anforderungen
tische Personen geschützt. Sofern an die Cookie-Banner-Gestaltung
mit dem Zugriff auf ein Endeinrich- zu stellen sind, ist bezogen auf
tung keine personenbezogenen diverse Aspekte strittig. Praxisrele-
Datenverarbeitungen einhergehen, vant im Hinblick auf die Einholung
ist allein das TTDSG maßgeblich. einer wirksamen Einwilligung sind
Gehen mit dem Endgerätezugriff insbesondere die im Folgenden
auch personenbezogene Datenver- aufgeführten Gesichtspunkte.
arbeitungen einher, kommen inso-
weit § 25 und die DS-GVO nebenein-
ander zur Anwendung. Unmissverständliche Erklärung oder sonstige
Ausschließlich nach der DS-GVO
eindeutige bestätigende Handlung
bestimmt sich die Weiterverarbei-
>> „Planet49“-Entscheidung6 des EuGH: Keine
tung personenbezogener Daten,
voreingestellten Ankreuzkästchen, aktive
welche beim Zugriff auf die Endein-
Handlung des Nutzers nötig
richtung angefallen sind.
>> Keine Einwilligung durch Weitersurfen (str.)
>> Nudging, d.h. Beeinflussung der Nutzerent-
scheidung durch optische Gestaltung der Schalt-
flächen, ist zulässig, solange es „maßvoll“
2.3 Cookie-/Consent-Banner erfolgt
>> Nach DSK regelmäßig „Reject All“-Button auf
Einwilligungen im Zusammenhang mit Cookies erster Ebene des Cookie-Banners nötig (str.)
– und ggf. verbundenen Onlinedatenverarbeitun- Freiwilligkeit
gen5 – werden üblicherweise mittels einer der Web- >> Sog. Kopplungsverbot (Art. 7 Abs. 4 DS-GVO)
sitenutzung vorgeschalteten Abfrage eingeholt, die
beim ersten Aufruf eingeblendet wird und in der Informiertheit
Praxis als sog. Cookie- oder auch Consent-Ban- >> Für wirksame Einwilligung nötige Mindest-
ner bezeichnet wird. Banner, mit denen eine Ein- informationen (allgemein):7
willigung nach TTDSG und/oder DS-GVO eingeholt Identität des Verantwortlichen; Zweck jedes
werden soll, müssen den Anforderungen genügen, Verarbeitungsvorgangs, für den die Einwilligung
welche die DS-GVO an das Vorliegen einer wirk- eingeholt wird; (Art der) Daten, die erhoben
samen Einwilligung stellt (Art. 7 DS-GVO, Art. 4 und verwendet werden; Hinweis auf Widerrufs-
Nr. 11 DS-GVO). Für die TTDSG-Einwilligung ergibt recht; ggf. Informationen über die Verwendung
sich dies über einen Verweis in § 25 Abs. 1 S. 2 der Daten für eine automatisierte Entschei-
TTDSG. dungsfindung; ggf. Angaben zu möglichen Risi-
ken von Datenübermittlungen ohne Vorliegen
eines Angemessenheitsbeschlusses und ohne
geeignete Garantien nach Art. 46 DS-GVO
5 Vgl. dazu den Abschnitt zur DS-GVO. 6 EuGH, Urt. v. 01.10.2019 – C-673/17.
7 EDSA, Leitlinien 05/2020 zur Einwilligung gem. Verordnung
2016/679, Version 1.1 (04.05.2020), Rn. 64.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 6>> Bei Einwilligungen in Cookies zu Werbezwecken Nachweis der Einwilligung: Es genügt, nachzuwei-
gehören zu den Mindestinformationen auch An- sen, dass/welche Prozesse implementiert wurden.
gaben zur Funktionsdauer der Cookies und dazu,
ob Dritte Zugriff auf die Cookies erhalten kön- Widerruf der Einwilligung
nen. 8
>> Widerruf muss so einfach wie die Erteilung der
>> Beachtung der weitergehenden Informations- Einwilligung sein (Art. 7 Abs. 3 S. 4 DS-GVO)
pflichten nach Art. 13 f. DS-GVO >> DSK: „stets sichtbarer“ Direktlink bzw. Icon
>> Prinzip der gestuften Informationsübermitt-
lung („layered privacy notice“) Nachfolgend finden sich Gestaltungsvorschläge
Für die Nutzerentscheidung wesentliche Infor- der französischen CNIL. Abhängig von der Risiko-
mationen gehören regelmäßig unmittelbar auf bereitschaft können auch andere Gestaltungen ge-
die erste Bannerebene (insbes. Verarbeitungs- wählt werden. Vertretbar erscheint z.B. eine leichte
zwecke und ob auch Dritte auf das Endgerät optische Betonung der Einwilligungs- im Verhältnis
zugreifen bzw. anfallende Informationen im Ei- zur Ablehnoption (sog. Nudging). Konkrete Gestal-
geninteresse verarbeiten); bezüglich weite- tungsvorschläge iS eines „Good Practice“ wurden
rer Informationen genügt es, dass diese deut- auch iR einer Initiative von ConPolicy entwickelt
lich sichtbar verlinkt sind bzw. sich auf der (https://www.conpolicy.de/data/user_upload/
nächsten Banner Ebene befinden. Pdf_von_Publikationen/2023_01_26_Cookie_Gui-
delines.pdf).
Fortfahren ohne
Einwilligung
Ihre Einwilligung
Alles
akzeptieren
Alles
ablehnen
Abbildung: Gestaltungsvorschläge für Cookie-Banner der französischen Datenschutzaufsicht CNIL
8 EuGH, Urt. v. 01.10.2019 – C-673/17 („Planet49“-Entschei- 9 Délibération n° 2020-092 du 17 septembre 2020 portant ad-
dung). option d’une recommandation proposant des modalités pra-
tiques de mise en conformité en cas de recours aux «cookies
et autres traceurs»
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 7sen die Nutzer – bzw. genauer: ihre Browser – später
Wichtig: Websitebetreiber bleiben wiedererkannt werden können. Zu den verwendeten
auch bei Einsatz sog. Consent- Merkmalen zählen etwa Bildschirmauflösungen, Be-
Management-Plattformen (CMP) triebssystemversionen, installierte Schriften oder
verantwortlich für die Wirksamkeit Spracheinstellungen.
der hierüber eingeholten Erklärun- Die nationale Datenschutzkonferenz (DSK) lehnt
gen bzw. die Rechtskonformität der eine umfassende Anwendung des § 25 TTDSG auf
Verarbeitungen im Zusammenhang derartige Verfahren ab. Sie differenziert zwischen
mit der Website. Zusicherungen dem Zugriff auf Daten, die beim Abruf eines Te-
des CMP-Anbieters, dass der Web- lemediendienstes aufgrund von Browsereinstellun-
sitebetreiber mit seinem Produkt gen automatisch übermittelt und insofern nur noch
auf der rechtssicheren Seite sei, „passiv“ entgegengenommen werden, und dem Zu-
vermögen allenfalls zu Regress- griff auf Daten, die vor Entgegennahme „aktiv“,
möglichkeiten im Verhältnis zu z.B. mittels JavaScript-Code, abgefragt wurden.
diesem zu führen, können den Nur im letztgenannten Fall liege, so die DSK, ein
Websitebetreiber aber im Verhält- „Zugriff“ i.S.v. § 25 TTDSG vor.10
nis zur betroffenen Person bzw. zur
Aufsichtsbehörde nicht entlasten.
3. DS-GVO
3.1 Anwendungsbereich der DS-GVO
2.4 Anwendbarkeit von § 25 TTDSG
auf Cookies vergleichbare Verfah- Gemäß Art. 2 Abs. 1 ist die DS-GVO sachlich an-
ren, z.B. sog. Browser- oder De- wendbar, sofern personenbezogene Daten ganz
vice-Fingerprinting oder teilweise automatisiert verarbeitet werden
(Alt. 1) oder zwar keine automatisierte Verarbei-
§ 25 TTDSG regelt nicht nur den Einsatz von Coo- tung erfolgt, aber Daten verarbeitet werden, die in
kies, sondern ist technikneutral. Erfasst werden einem „Dateisystem“ gespeichert sind oder gespei-
etwa auch Zugriffe auf Endgeräte durch Apps so- chert werden sollen (Alt. 2). Art. 2 Abs. 2 DS-GVO
wie Gegenstände im Internet der Dinge (Internet regelt Ausnahmen von dem durch Abs. 1 vorgege-
of Things – IoT), z.B. Küchen- oder Alarmgeräte. benen sachlichen Anwendungsbereich, wobei für
Ob auch alternative Onlinetrackingverfahren von den Bereich des Onlinedatenschutzes vor allem die
der Norm erfasst werden, wie z.B. das Browser-/ sog. „Haushaltsausnahme“ Bedeutung hat, nach
Device-Fingerprinting, hängt von deren konkreter welcher die DS-GVO keine Anwendung findet auf
Funktionsweise ab, konkret davon, ob hierzu ein die Verarbeitung personenbezogener Daten durch
„Zugriff“ i.S.v. § 25 TTDSG auf das Endgerät statt- natürliche Personen zur Ausübung ausschließlich
findet. persönlicher oder familiärer Tätigkeiten.
Beim sog. Fingerprinting erfassen die Webserver Bei den vorliegend relevanten Onlinesachver-
unterschiedliche Merkmale der Browser der Besu- halten, also Verarbeitungen im Zusammenhang mit
cher und ermitteln auf dieser Basis jeweils einen Websites und Apps, liegt stets auch eine ganz oder
individuellen digitalen Fingerabdruck, mittels des- teilweise automatisierte Datenverarbeitung vor.
10 DSK, Orientierungshilfe der Aufsichtsbehörden für
Anbieter/-innen von Telemedien ab dem 1. Dezember 2021
(OH Telemedien 2021), Version 1.1, Rn. 20 ff.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 8Soweit Websites und Apps für unternehmerische
Es gibt genügend Fälle, in denen
Zwecke eingesetzt werden, kommt auch ein Ein- die Zuordnung zu einer natürli-
greifen der Haushaltsausnahme nicht in Betracht. chen Person nicht möglich ist,
z.B. bei Nutzung von Internetcafes
oder offenen WLANS ohne Regis-
Entscheidend für die Einschlägigkeit trierungspflicht. Die theoretisch
der DS-GVO auf Onlinesachverhalte mögliche Unterscheidung zwischen
ist damit regelmäßig v.a., inwiefern personenbezogenen und nicht
im Zusammenhang mit Websites personenbezogenen IP-Adressen
und Apps personenbezogene Daten ist für die Praxis allerdings zumeist
von Nutzer/-innen verarbeitet wer- ohne Konsequenz. Wenn nämlich
den. Nach der Legaldefinition in im konkreten Anwendungsszenario
Art. 4 Nr. 1 DS-GVO sind personen- nicht sicher ausgeschlossen werden
bezogene Daten „alle Informatio- kann, dass ein Pool von IP-Adressen
nen, die sich auf eine identifizierte auch personenbeziehbare Adressen
oder identifizierbare natürliche enthält, sind im Ergebnis alle IP-
Person […] beziehen […]“. Adressen als personenbezogen zu
behandeln.
Cookies an sich bzw. über den
Einsatz von Cookies gesammelte
Informationen in diesem Sinne können etwa Name, Datensätze weisen für sich betrach-
Geschlecht, Kontoverbindung, Adresse oder Be- tet zunächst keinen Personenbezug
stellinformationen i.R.d. des Onlineshopping sein, auf. Denn selbst wenn Cookies eine
über Messengerdienste ausgetauschte Nachrichten eindeutige Kennung enthalten, was
(Kommunikations- und Inhaltsdaten) oder sonstige nicht der Fall sein muss, bedeutet
Spuren, die Nutzer im Netz hinterlassen. dies nicht ohne Weiteres, dass auch
eine Zuordnung der Kennungen zu
konkreten natürlichen Personen
Sind IP-Adressen und Cookies möglich ist.
personenbezogene Daten mit der Hat der Nutzer aber beim An-
Folge, dass bei deren Verarbeitung bieter zu einem früheren Zeitpunkt
die DS-GVO zu beachten ist? Identifikationsmerkmale hinterlas-
sen oder hinterlässt er solche zu
Auf der Grundlage von Vorgaben des einem späteren Zeitpunkt, z.B. im
EuGH11 hat der BGH12 entschieden, Rahmen eines Bestell- oder Regis-
dass die dynamische IP-Adresse für trierungsvorgangs, ist ein entspre-
den Webseitenbetreiber ein perso- chender Personenbezug der Infor-
nenbezogenes Datum darstellt. Aus mationen gegeben.13
dieser Rechtsprechung kann zwar
nicht der Schluss gezogen wer-
den, jede (dynamische) IP-Adresse
sei stets ein personenbezogenes
Datum.
11 EuGH, Urt. v. 19.10.2016 – C-582/14 (Rechtssache Breyer), 13 Kühling/Buchner/Klar/Kühling, DS-GVO Art. 4 Nr. 1 Rn. 36.
Rn. 38 ff.
12 BGH, Urt. v. 16.05.2017 – VI ZR 135/13.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 93.2 Anforderungen der DS-GVO an
(Online-)Datenverarbeitungen Art. 6 Abs. 1 Buchst. b (Vertrag)
und Verhältnis von DS-GVO und oder f (sog. Interessenabwägung).
TTDSG Bedarf es nach § 25 TTDSG der
Einwilligung, so kann diese die
Damit die Verarbeitung personenbezogener Daten personenbezogene Datenverarbei-
rechtmäßig ist, müssen diese entweder mit Ein- tung mit abdecken.
willigung der betroffenen Person oder auf Basis Wichtig ist, dass dies anders-
einer sonstigen zulässigen Rechtsgrundlage ver- herum nicht der Fall ist: Allein der
arbeitet werden (vgl. Erwägungsgrund 40 DS-GVO). Umstand, dass eine mit dem End-
Als sonstige Rechtsgrundlagen im vorgenann- gerätezugriff verbundene Daten-
ten Sinne kommen insbesondere Art. 6 Abs. 1 lit. b verarbeitung nach Art. 6 DS-GVO
und f DS-GVO in Betracht. Die erstgenannte Norm legitimierbar ist, bedeutet nicht,
ermöglicht erforderliche personenbezogene Da- dass auch eine Zulässigkeit nach
tenverarbeitungen im Zusammenhang mit Ver- § 25 anzunehmen ist.
trägen und bestimmten vorvertraglichen Konstel-
lationen. Die letztgenannte Bestimmung gestattet
Verarbeitungen zur Wahrung der berechtigten So darf nach Erwägungsgrund 47 S. 7 DS-GVO eine
Interessen des Verantwortlichen oder eines Drit- Verarbeitung personenbezogener Daten zum Zwe-
ten, sofern nicht die Interessen oder Grundrechte cke der Direktwerbung grundsätzlich als „eine ei-
und Grundfreiheiten der betroffenen Person das nem berechtigten Interesse dienende Verarbeitung“
Verarbeitungsinteresse überwiegen. betrachtet werden. Werbliche Datenverarbeitun-
Wie bereits ausgeführt, kommen § 25 TTDSG und gen können also im Grundsatz über eine Inter-
die DS-GVO-Bestimmungen nebeneinander zur An- essenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO
wendung, soweit mit dem Zugriff auf ein Endgerät legitimiert werden.15 Endgerätzugriffe zu Werbe-
eine personenbezogene Datenverarbeitung einher- zwecken, insbes. Werbecookies, sind jedoch nach
geht. § 25 TTDSG einwilligungsbedürftig (vgl. oben un-
ter 2.2). Der Endgeräteschutz nach TTDSG kennt
anders als die DS-GVO keine Interessenabwägung.
Im Hinblick auf das Zusammen-
spiel der beiden Regelungskom-
plexe können folgende Grundsätze 3.3 Betroffenenrechte
zusammengefasst werden: 14
Werden i.R. des Zugriffs auf die
3.3.1 Allgemeines
Endeinrichtung personenbezogene
Daten verarbeitet, wird regelmä- Betroffenenrechte sind Ansprüche und Gestaltungs-
ßig, wenn die Vorgaben von § 25 möglichkeiten, welche den von der personenbe-
Abs. 2 TTDSG eingehalten sind, auch zogenen Datenverarbeitung betroffenen Personen
ein DS-GVO-Zulässigkeitstatbestand zustehen. Diese können sich insbesondere, aber
einschlägig sein, regelmäßig nicht nur aus der DS-GVO (Kapitel III und Kapi-
tel VIII) ergeben. Innerhalb der Betroffenenrechte
kommt dem Auskunftsrecht (Art. 15 DS-GVO) zent-
14 Schwartmann/Reif/Burkhardt im Heidelberger Kommentar 15 Es besteht allerdings ein Widerspruchsrecht des Betroffenen,
zum TTDSG, § 25 Rn. 152 f. auf das dieser auch hinzuweisen ist (vgl. Art. 21 Abs. 2
und 4 DS-GVO).
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 10rale Bedeutung zu, ist doch die Information darüber, antwortlichen mitgeloggte IP-Adressen bezieht.
ob und ggf. welche Daten der Verantwortliche über Insofern ist zu differenzieren. Wird die IP-Adresse
die betroffene Person verarbeitet, Grundvorausset- in einem Zusammenhang mitgeloggt, in dem der
zung für die Geltendmachung weiterer Rechte, etwa zugehörige surfende Nutzende für den Websei-
auf Berichtigung, Löschung oder Schadensersatz. tenbetreiber nicht zu identifizieren ist, kann sich
Auskunftsansprüche können auch gegenüber Web- der/die Verantwortliche auf Art. 11 Abs. 1, Abs. 2
seitenbetreibern und sonstigen Onlineanbietern S. 2 DS-GVO berufen.17 Sofern IP-Adressen allein
geltend gemacht werden. Hierauf soll im Folgen- aus Gründen der Datensicherheit gespeichert wer-
den ebenso näher eingegangen werden wie auf das den, um die Stabilität und die Betriebssicherheit
Recht auf bzw. die Pflicht zur Datenlöschung (Art. des Internetauftritts zu gewährleisten,18 und sepa-
17 DS-GVO) im Zusammenhang mit Onlineangebo- rat verarbeitet werden, kann eine Ausnahme von
ten. der Auskunftspflicht im Übrigen ggf. über § 34
Abs. 1 Nr. 2 b) BDSG begründet werden. Wird die
IP-Adresse hingegen z.B. im Rahmen eines Bestell-
3.3.2 Auskunft
vorgangs durch einen angemeldeten Nutzer gespei-
Nach Art. 15 Abs. 1 DS-GVO hat die betroffene chert, greift keine Ausnahme von der Auskunfts-
Person das Recht, vom Verantwortlichen eine Be- pflicht.
stätigung darüber zu verlangen, ob sie betreffende
personenbezogene Daten verarbeitet werden. So-
fern dies der Fall ist, hat sie Anspruch auf Erteilung 3.3.3 Löschung
weiterer, gesetzlich definierter Einzelinformationen
zur Datenverarbeitung und den insoweit bestehen- Gemäß Art. 17 DS-GVO kann die betroffene Person
den Datenschutzrechten. vom Verantwortlichen die unverzügliche Löschung
Wird der Auskunftsanspruch gegenüber einem ihn betreffender personenbezogener Daten verlan-
Webseitenbetreiber geltend gemacht, so rich- gen und der Verantwortliche ist verpflichtet, per-
tet sich dieser u.a. auf die mit dem Nutzer aus- sonenbezogene Daten unverzüglich zu löschen, so-
getauschten Kommunikationsinhalte, also z.B. bei fern einer der in Abs. 1 der Vorschrift genannten
einem Onlineshop Informationen zu den bestellten Löschgründe vorliegt und im konkreten Fall kein
Produkten und zur Bezahlung und Lieferung der Ausnahmetatbestand nach Abs. 3 eingreift. Ein
gekauften Ware. Der Auskunftsanspruch bezieht Löschgrund besteht insbes., wenn personenbezoge-
sich also auf die im Onlineshop-System vorhan- ne Daten für die Zwecke, zu denen sie erhoben oder
denen (Inhalts-)Daten. Dem Auskunftsanspruch sonst verarbeitet wurden, nicht mehr notwendig
unterliegen aber auch vom Verantwortlichen zum sind (Zweckfortfall, Art. 17 Abs. 1 lit. a DS-GVO).
jeweiligen Nutzer gespeicherte Zugangsinformatio- Ausnahmen von der Löschpflicht können sich ins-
nen sowie, soweit vorhanden, Informationen zum bes. ergeben, sofern einer Datenlöschung handels-
jeweiligen Nutzerverhalten (Seitenbesuche, aufge- oder steuerrechtliche Aufbewahrungspflichten
rufene Informationen, Downloads etc.). entgegenstehen (Art. 17 Abs. 3 lit. b DS-GVO).
Da auch für IP-Adressen regelmäßig von einer
Personenbeziehbarkeit auszugehen ist,16 ist eine
praxisrelevante Frage, inwiefern sich ein geltend
gemachter Auskunftsanspruch auch auf vom Ver-
16 Vgl. hierzu oben unter 3.1. 17 Franck in: Gola/Heckmann, DS-GVO BDSG, Art. 12 Rn. 32.
18 In diesem Fall sind für die Logfiles angemessene Löschfristen
festzulegen, vgl. dazu auch den nachfolgenden Abschnitt zur
Datenlöschung.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 11vorzuhalten sind. Solange entsprechende Fristen
Da die Löschverpflichtung des Ver- laufen, dürfen personenbezogene Daten auch dann
antwortlichen unabhängig von ei- nicht gelöscht werden, wenn die betroffene Person
nem Antrag der betroffenen Person es verlangt.
besteht, sollte jede/r Verantwortli- Verlangt ein Kunde vom Onlineshop-Betreiber
che, der/die personenbezogene Da- die Löschung seines Kundenkontos, ist dieser
ten verarbeitet, über ein Konzept verpflichtet dem Löschwunsch des Kunden zu ent-
zur Datenlöschung verfügen. Die sprechen. Daten, die aus gesetzlichen Gründen ge-
Löschfristen sind dabei für jede speichert bleiben müssen, sind für den laufenden
verarbeitete Datenart individuell Betrieb zu sperren und separat aufzubewahren.21
zu bestimmen. Angesichts des Grundsatzes der Speicherbegrenzung
Webserver-Logfiles dürfen (Art. 5 Abs. 1 lit. e DS-GVO) sind Verantwortliche
zu eigenen Sicherheitszwecken im Übrigen verpflichtet Löschkonzepte zu erstellen,
gespeichert werden, um die Stabi- in denen festgelegt ist, wann inaktive („verwais-
lität und die Betriebssicherheit des te“) Kundenkonten gelöscht werden.22
Internetauftritts zu gewährleis-
ten, sind aber zeitnah wieder zu
löschen, soweit kein Zwischenfall 3.4 Datenschutzerklärung
aufgetreten ist.
Hinsichtlich der konkreten Ein zentraler Grundsatz der DS-GVO ist das Erfor-
Löschfrist orientiert sich die Praxis dernis der Transparenz der personenbezogenen
vielfach an einer BGH-Entschei- Datenverarbeitung (Art. 5 Abs. 1 lit. a DS-GVO).
dung aus 2014, wonach Internet- Die von der Verarbeitung betroffene Person, hier
serviceprovider IP-Adressen der der/die Internetnutzer/-in, soll nachvollziehen
Nutzer für maximal sieben Tage können, wer ihre/seine Daten zu welchen Zwecken
anlasslos speichern dürfen, um verarbeitet. Hinsichtlich der Datenverarbeitungen
Netzstörungen und Fehler zu ver- im Zusammenhang mit einer Webseite dies dadurch
hindern.19 Nach dem Bayerischen gewährleistet, dass der Anbieter auf seiner Seite
Landesamt für Datenschutzaufsicht Informationen zum Datenschutz zur Verfügung zu
soll auch eine Löschfrist von 30 stellen hat (sog. „Datenschutzerklärung“). Die
Tagen genügen.20 konkrete Verpflichtung, solche Informationen vor-
zuhalten, ergibt sich aus Art. 13 DS-GVO, der die
Informationspflichten bei Erhebung personenbezo-
Soweit Kundendaten im Zusammenhang mit ei- gener Daten bei der betroffenen Person regelt. Die
nem Onlineshop verarbeitet werden, sind die han- Datenschutzerklärung sollte von jeder Unterseite
dels- und steuerrechtlichen Aufbewahrungsfristen der Website aus mit einem Klick erreichbar sein.23
zu beachten, wonach etwa Rechnungen und Bu-
chungsbelege für einen Zeitraum von 10 Jahren
19 BGH, Urteil vom 3. Juli 2014 – III ZR 391/13. 21 BayLDA, 28. Tätigkeitsbericht 2018, S. 146.
20 https://www.lda.bayern.de/media/muster_1_verein_ver- 22 LfDI Berlin, Jahresbericht 2018, S. 125 und 132.
zeichnis.pdf. 23 Art.-29-Datenschutzgruppe WP 260 rev.01 Rn. 11; bei Apps
ist eine ausreichende Erreichbarkeit nach dem Papier auch
dann gegeben, wenn zum Aufruf der Erklärung zwei Klicks
getätigt werden müssen. Beim Impressum, vgl. dazu unter
4., sollen generell zwei Klicks ausreichend sein, BGH Urt. v.
20.03.2006 – I ZR 228/03.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 12Den Vorgaben an die Erreichbarkeit wird vielfach >> Datenempfänger bzw. Kategorien von Daten-
durch Aufnahme eines Links im Header oder Footer empfängern (soweit relevant)
neben dem Impressum nachgekommen. >> Beabsichtigter Drittlandtransfer von Daten (so-
weit relevant)
>> Dauer der Datenspeicherung bzw. Kriterien für
die Festlegung der Dauer, z.B. im Hinblick auf
die Webserver-Log-Files
>> Informationen zu den Datenschutzrechten der
Nutzer/-innen
Typischerweise werden folgende Themen in der Da-
tenschutzerklärung einer Website behandelt:
>> Bereitstellung der Website und Verarbeitung
von Log-Files
Abbildung: Footer der GDD-Website mit Link zu >> Registrierungs- und Log-in-Prozess
Impressum und Datenschutzerklärung (Beispiel) >> Verarbeitung von Informationen aus Online-
Bestellungen
Ein allgemein gültiges Muster für die Datenschutz- >> Bonitätsprüfung, z.B. bei Online-Shops
erklärung kann es nicht geben, denn Webseiten >> Datenverarbeitung im Zusammenhang mit ei-
weisen unterschiedliche Funktionalitäten auf und nem Kontaktformular
haben in der Folge über unterschiedliche Datenver- >> Einsatz von Tools zur Reichweitenmessung, d.h.
arbeitungen zu informieren. In der Praxis stellen zur statistischen Auswertung der Nutzung der
Webseitenbetreiber in der „Datenschutzerklärung“ Website (Tracking)
teilweise auch Informationen zu ihren sonstigen, >> Interessengerechte Anzeige von Werbung basie-
nicht im Zusammenhang mit dem Internetauftritt rend auf vorangegangenem Nutzerverhalten
stehenden Datenverarbeitungen zur Verfügung. (Targeting)
Hierbei handelt es sich um freiwillige Informatio- >> Einbindung von Social Plug-ins von Facebook,
nen. Twitter, Instagram und Co.
Notwendige Mindestinformationen im Rahmen der >> Einbindung von Kartendiensten, wie Google
Datenschutzerklärung sind: Maps
>> Name und Kontaktdaten des Verantwortlichen, >> Einsatz von Webfonts, wie z.B. Google Fonts
z.B. des die Webseite betreibenden Unterneh- >> Zahlungsabwicklung, ggf. unter Einsatz von ex-
men ternen Dienstleistern
>> Kontaktdaten des Datenschutzbeauftragten
(DSB) (soweit benannt) (Hinweis: Die Angabe Die Datenschutzerklärung ist ein
des Namens ist nicht notwendig.) reiner Informationstext. Sie ist
>> Zwecke, für die personenbezogene Daten verar- kein tauglicher Ort, um Einwilli-
beitet werden, sowie die jeweilige Rechtsgrund- gungserklärungen der Nutzenden
lage in Datenverarbeitungen im Zusam-
>> Sofern die Verarbeitung auf Grundlage von Art. menhang mit der Webseite ein-
6 Abs. 1 lit. f DS-GVO (Interessenabwägung) zuholen, und sollte von etwaigen
erfolgt: Angabe der verfolgten berechtigten In- Allgemeinen Geschäftsbedingungen
teressen (AGB) getrennt werden.23
23 Schwartmann/Benedikt/Reif, Datenschutz und ePrivacy,
2020, S. 65 f.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 134. Anbieterkennzeichnung Nähere Informationen zu den
(„Impressum“) notwendigen Inhalten der Anbieter-
kennzeichnung finden sich z.B. in
den diesbezüglichen Onlinepublika-
Praktisch jede Webseite benötigt tionen der IHKs.
eine sog. Anbieterkennzeichnung.
In der Praxis hat sich für die Anbie-
terkennzeichnung auch der Begriff Die Anbieterkennzeichnung muss nach dem TMG
„Impressum“ durchgesetzt. Der „leicht erkennbar, unmittelbar erreichbar und stän-
Umstand, dass man eine Anbieter- dig verfügbar“ sein. Unmittelbare Erreichbarkeit
kennzeichnung braucht, ergibt sich wird dabei in der Praxis angenommen, sofern die
aus § 5 Telemediengesetz (TMG), der
Anbieterkennzeichnung über max. zwei Klicks er-
auch die notwendigen Inhalte regelt.
reichbar ist.25 Für die Anbieterkennzeichnung und
Es handelt sich hierbei nicht um
die Datenschutzerklärung sollten jeweils eigene
eine datenschutzrechtliche Pflicht,
Bereiche innerhalb des Webauftritts vorgesehen
sondern eine allgemeine Vorgabe an
die Anbieter/in von Telemedien. Die werden.
Pflicht, eine Anbieterkennzeichnung
zu haben, besteht z.B. auch für pri-
vate Websites, Blogs oder Fanpages
bei Facebook.
Nutzer/-innen sind mit Hilfe der Anbieterkenn-
zeichnung in der Lage, Diensteanbieter auf ihre Se-
riosität zu überprüfen, bevor sie deren Dienste in
Anspruch nehmen. Aber auch Unternehmen haben
ein erhebliches Interesse daran, die erforderlichen
Informationen über andere Marktteilnehmer zu er-
langen, um ein wettbewerbsrechtlich einwandfreies
Verhalten durchsetzen zu können. Die Informatio-
nen, die im Rahmen der Anbieterkennzeichnung zur
Verfügung zu stellen sind, entsprechen im Wesent-
lichen denjenigen, die Handelsunternehmen im tra-
ditionellen Rechts- und Geschäftsverkehr beispiels-
weise auf Geschäftsbriefen ohnehin bereitstellen
müssen.
25 BGH Urt. v. 20.03.2006 – I ZR 228/03.
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 14Mehr als Cookies –
ein neuer Rechtsrahmen
für die Onlinewirtschaft!
• komp
etent
• ausge
wogen
• mit Pr
axis-
hinwei
sen
Schwartmann/Jaspers/Eckhardt
Schwartmann/Jaspers/E
TTDSG
2022. 498 Seiten. € 119,
119,–
ISBN 978-3-8114-5753-9
Versandkostenfrei bestellen bei: www.otto-schmidt.de
C.F. Müller GmbH, Waldhofer Str. 100, 69123 Heidelberg
Bestell-Tel. 06221/1859-599
kundenservice@cfmueller.de
GDD-Praxishilfe DS-GVO: ePrivacy und Onlinedatenschutz
Stand: Januar 2023 15Gesellschaft für Datenschutz und Datensicherheit e.V. Mitglied werden? Mehr Informationen? https://www.gdd.de/service/mitglied-werden oder eine E-Mail an: info@gdd.de Eine Mitgliedschaft bietet wesentliche Vorteile: >> Mitglieder-Nachrichten mit aktuellen Fachinformationen >> Bezug der Fachzeitschrift RDV (Recht der Datenverarbeitung) >> Beratung bei konkreten Einzelfragen >> Zugriff auf Rechtsprechungs- und Literaturarchiv >> Online-Service „DataAgenda Plus“ (Muster, Checklisten, RDV ONLINE Archiv, Arbeitspapiere etc.) >> Mitarbeit in Erfahrungsaustausch- und Arbeitskreisen >> Teilnahme an den kostenfreien GDD-Informationstagen sowie Vergünstigungen bei Seminaren u.v.m. Schließen Sie sich unseren mehr als 3.800 Mitgliedern an. Eine Mitgliedschaft erhalten Sie schon ab 150,- EUR/Jahr für Privatpersonen und ab 300,- EUR/Jahr für Firmen. Herausgeber: Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) Heinrich-Böll-Ring 10 53119 Bonn Tel.: +49 228 96 96 75-00 Fax: +49 228 96 96 75-25 www.gdd.de info@gdd.de Ansprechpartnerin: RAin Yvette Reif, LL.M. Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn Stand: Version 1.1 (Januar 2023)
Sie können auch lesen
