Wann ist keine Einwilligung erforderlich?

Dies gilt beispielsweise im Falle von Telekommunikationsdiensten, wenn der alleinige Zweck des Vorgangs die "Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist".

Stellenmarkt

1. Specialist Business Intelligence & Reporting (m/w/d)
   ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr
2. Business Controlling Analyst (m/w/d)
   PHOENIX Pharmahandel GmbH & Co KG, Mannheim

Detailsuche

Viel komplizierter ist es hingegen bei Telemediendiensten. Bei diesen ist keine Einwilligung erforderlich, wenn die Speicherung von Informationen oder der Zugriff auf die Daten "unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann". Hierbei wollen die Datenschützer nur die Basisfunktionen eines Dienstes gelten lassen, der beim Aufruf eines Links oder der Installation einer App genutzt werde.

Cookies erst bei Aufruf von Funktionen setzen

"Würde man auf eine Webseite oder App als Ganzes abstellen, hätten es Anbieter von Telemedien in der Hand, durch umfassende Einbettung diverser in der Praxis nicht genutzter, aber mit unter Umständen sehr invasiven Datenverarbeitungen verbundener Funktionen den Umfang des Telemediendienstes beliebig zu bestimmen", schreiben die Datenschützer. Die Dienste sollten daher möglichst "granular" betrachtet werden.

Selbst bei den Basisdiensten sollen die Anbieter die erforderlichen Cookies erst dann setzen, wenn der Nutzer die konkrete Funktion in Anspruch nehme. "Der Basisdienst von Webshops weist z. B. eine Warenkorbfunktion und integrierte Zahlfunktionen auf. Diese sind allerdings erst dann von Nutzenden gewünscht, wenn tatsächlich ein Produkt in den Warenkorb gelegt oder eine Zahlfunktion ausgewählt wird", schreibt die DSK. Nutzer müssten daher "nicht jeden Zugriff auf ihre Endeinrichtung, insbesondere das Setzen von Cookies hinnehmen (...), nur weil eine Webseite oder eine App aktiv aufgerufen wurde".

Keine generelle Entscheidung zu Reichweitenmessung

Golem Akademie

1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
   03.–04. Februar 2022, Virtuell
2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
   7.–8. März 2022, Virtuell

Weitere IT-Trainings

Das Merkmal der "unbedingten Erforderlichkeit" solle rein technisch ausgelegt werden. Wirtschaftliche Gründe für das Geschäftsmodell des Dienstes dürften daher nicht geltend gemacht werden. Für die Speicherung von Cookie-UIDs bestehe nur "in wenigen Fällen eine unbedingte Erforderlichkeit, da viele Funktionen, die mittels der Speicherung von Informationen auf und dem Auslesen dieser von Endgeräten der Nutzenden umgesetzt werden sollen, ohne Individualisierung erfolgen können".

Mit konkreten Anwendungsbeispielen, wie zur Reichweitenmessung, Webseitenoptimierung oder Betrugssicherheit, halten sich die Datenschützer zurück. So will die DSK nicht darüber entscheiden, ob beispielsweise eine Reichweitenmessung grundsätzlich ohne Einwilligung der Endnutzer eingesetzt werden darf. Stattdessen geben die Datenschützer den Seitenbetreibern die beschriebenen Prüfkriterien an die Hand, um über das Speichern von Cookies ohne Nutzereinwilligung zu entscheiden.

Konsultation geplant

Zu guter Letzt rekapituliert die Orientierungshilfe noch einmal die Vorgaben der DSGVO zur Verarbeitung der erhobenen Tracking-Daten. Daran hat sich durch das Inkrafttreten des TTDSG jedoch nichts geändert.

Die DSK plant ein öffentliches Konsultationsverfahren zur neuen Fassung der Orientierungshilfe. Details zur zeitlichen Planung und dem Ablauf will sie im Januar 2022 bekanntgeben.