Orientierungshilfe zu TTDSG: Nutzer müssen Cookies direkt ablehnen können
Internetnutzern darf die Ablehnung von Cookies nicht durch unnötige Klicks erschwert werden. Das geht aus einer neuen Orientierungshilfe hervor, die die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) veröffentlicht hat.
Das bedeutet unter anderem, dass Nutzer nicht zuerst eine Seite mit "Einstellungen" oder "Details" aufrufen müssen, um das Speichern von Trackingdaten auf ihren Endgeräten abzulehnen, wenn die Zustimmung gleichzeitig mit einem Klick möglich ist. Anbieter von Telemedien müssen nach Ansicht der Datenschutzkonferenz (DSK) "daher dringend darauf achten, die zur Auswahl gestellten Optionen gleichwertig zu gestalten" .
Frühere Orientierungshilfe wird ersetzt
Die 33-seitige Orientierungshilfe vom 20. Dezember 2021 (PDF)(öffnet im neuen Fenster) ersetzt laut Pressemitteilung (PDF)(öffnet im neuen Fenster) "in weiten Teilen" die 2019 veröffentlichte Version . Da das TTDSG in manchen Punkten über die EU-Datenschutz-Grundverordnung hinausgehe, sollten Betreiber von Webseiten, Apps und anderen Telemedien "die Verwendung von Cookies und anderen Technologien dringend überprüfen" .
Das betreffe vor allem die Frage, wann die Cookies ohne Einwilligung der Nutzer gesetzt oder abgerufen werden könnten. So erfülle eine bisherige Interessenabwägung nach der DSGVO nicht automatisch die engen Voraussetzungen des TTDSG.
Prüfkriterien für Nutzerwünsche
In Paragraf 25 des TTDSG(öffnet im neuen Fenster) heißt es unter anderem: "Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat." Ausnahmen sind in eng begrenzten Fällen möglich, damit der vom Nutzer gewünschte Dienst bereitgestellt werden kann. "In der Orientierungshilfe finden sich maßgebliche Kriterien, wie der entsprechende Nutzerwunsch festgestellt und sodann realisiert werden kann" , schreibt die DSK.
Doch zunächst befasst sich das Papier mit der Gestaltung von Cookie-Bannern: "Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Nutzenden können (...) keine Einwilligung darstellen. Opt-Out-Verfahren sind daher stets ungeeignet, eine wirksame Einwilligung zu begründen." Bei einer aktiven Zustimmung durch Anklicken sei wichtig, "wie die Schaltflächen für die Abgabe der Einwilligung und weitere Handlungsoptionen beschriftet und gestaltet sind und welche Zusatzinformationen zur Verfügung gestellt werden" .
In Fällen, in denen beispielsweise ein Einwilligungsbanner den Zugriff auf einige oder alle Inhalte des Angebots versperre, müssten Endnutzer ihre Ablehnung ohne Mehraufwand an Klicks im Vergleich zur Zustimmung äußern können.
Nutzer sollen nicht nur zustimmen, weil sie genervt sind
Eine wirksame Einwilligung liegt nach Einschätzung der Datenschützer daher nicht vor, wenn Nutzern zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen. "Hierbei wird ihnen einerseits eine Schaltfläche zum 'Alles Akzeptieren' angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie 'Einstellungen', 'Weitere Informationen' oder 'Details'" , heißt es.
Zur Begründung schreibt die DSK: "Wenn Nutzende in dieser Konstellation die einzig vorhandene Schaltfläche wählen, mit der unmittelbar eine – den Entscheidungsprozess beendende – Willenserklärung abgeben werden kann, so kann dieser Handlung auch der Wille innewohnen, sich mit der Angelegenheit einfach nicht mehr beschäftigen zu müssen. Dies gilt umso mehr, wenn aufgrund der konkreten Beschriftung der Schaltflächen nicht einmal eindeutig zu erkennen ist, wie viel Mehraufwand erforderlich ist, um eine Ablehnung mitzuteilen."
Mehrschichtige Banner grundsätzlich möglich
Die DSK hält in ihrer Orientierungshilfe zudem eine Generaleinwilligung oder Blankoeinwilligung für den generellen Einsatz bestimmter Techniken wie Cookies für unzulässig. "Bevor eine Einwilligung abgefragt wird, muss ein eindeutiger und legitimer Zweck für die beabsichtigten Prozesse festgelegt werden, um die Endnutzer sodann ausreichend hierüber informieren zu können" , heißt es zur Begründung.
Für die Gestaltung der Cookie-Banner bedeutet dies: "Grundsätzlich ist es möglich, Einwilligungsbannner mehrschichtig zu gestalten, also detailliertere Informationen erst auf einer zweiten Ebene des Banners mitzuteilen, zu der die Nutzenden über einen Button oder Link gelangen." Wenn jedoch bereits auf der ersten Ebene des Banners ein Button existiere, mit dem eine Einwilligung für verschiedene Zwecke erteilt werden könne, "müssen auch auf dieser ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein" .
Messbarer Mehraufwand beeinflusst Entscheidung
Die Freiwilligkeit der Zustimmung wird nach Ansicht der Datenschützer "spürbar beeinflusst" , wenn die Ablehnung aller einwilligungsbedürftigen Zugriffe einen messbaren Mehraufwand bedeute, beispielsweise durch zusätzliche Klicks auf einer zweiten Banner-Ebene. Dieser Mehraufwand durch zusätzliche Auswahloptionen lasse sich nicht sachlich begründen, sondern werde "künstlich konstruiert" . Das könne auch daraus geschlossen werden, dass Nutzern "mittlerweile auf einer Vielzahl an Webseiten durchaus eine gleich einfache Ablehnungsmöglichkeit zur Auswahl gestellt wird" .
Ebenfalls fordert die DSK, "dass der Widerruf einer Einwilligung ebenso einfach möglich sein muss wie die Erteilung" . Falls die Einwilligung unmittelbar bei der Nutzung einer Webseite erteilt werde, müsse auch deren Widerruf auf diesem Weg möglich sein. "Wurde eine Einwilligung mittels Banner oder Ähnlichem abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen" , heißt es weiter.
Allerdings sind laut TTDSG nicht alle Cookies zustimmungspflichtig.
Wann ist keine Einwilligung erforderlich?
Dies gilt beispielsweise im Falle von Telekommunikationsdiensten, wenn der alleinige Zweck des Vorgangs die "Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist" .
Viel komplizierter ist es hingegen bei Telemediendiensten. Bei diesen ist keine Einwilligung erforderlich, wenn die Speicherung von Informationen oder der Zugriff auf die Daten "unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann" . Hierbei wollen die Datenschützer nur die Basisfunktionen eines Dienstes gelten lassen, der beim Aufruf eines Links oder der Installation einer App genutzt werde.
Cookies erst bei Aufruf von Funktionen setzen
"Würde man auf eine Webseite oder App als Ganzes abstellen, hätten es Anbieter von Telemedien in der Hand, durch umfassende Einbettung diverser in der Praxis nicht genutzter, aber mit unter Umständen sehr invasiven Datenverarbeitungen verbundener Funktionen den Umfang des Telemediendienstes beliebig zu bestimmen" , schreiben die Datenschützer. Die Dienste sollten daher möglichst "granular" betrachtet werden.
Selbst bei den Basisdiensten sollen die Anbieter die erforderlichen Cookies erst dann setzen, wenn der Nutzer die konkrete Funktion in Anspruch nehme. "Der Basisdienst von Webshops weist z. B. eine Warenkorbfunktion und integrierte Zahlfunktionen auf. Diese sind allerdings erst dann von Nutzenden gewünscht, wenn tatsächlich ein Produkt in den Warenkorb gelegt oder eine Zahlfunktion ausgewählt wird" , schreibt die DSK. Nutzer müssten daher "nicht jeden Zugriff auf ihre Endeinrichtung, insbesondere das Setzen von Cookies hinnehmen (...), nur weil eine Webseite oder eine App aktiv aufgerufen wurde" .
Keine generelle Entscheidung zu Reichweitenmessung
Das Merkmal der "unbedingten Erforderlichkeit" solle rein technisch ausgelegt werden. Wirtschaftliche Gründe für das Geschäftsmodell des Dienstes dürften daher nicht geltend gemacht werden. Für die Speicherung von Cookie-UIDs bestehe nur "in wenigen Fällen eine unbedingte Erforderlichkeit, da viele Funktionen, die mittels der Speicherung von Informationen auf und dem Auslesen dieser von Endgeräten der Nutzenden umgesetzt werden sollen, ohne Individualisierung erfolgen können" .
Mit konkreten Anwendungsbeispielen, wie zur Reichweitenmessung, Webseitenoptimierung oder Betrugssicherheit, halten sich die Datenschützer zurück. So will die DSK nicht darüber entscheiden, ob beispielsweise eine Reichweitenmessung grundsätzlich ohne Einwilligung der Endnutzer eingesetzt werden darf. Stattdessen geben die Datenschützer den Seitenbetreibern die beschriebenen Prüfkriterien an die Hand, um über das Speichern von Cookies ohne Nutzereinwilligung zu entscheiden.
Konsultation geplant
Zu guter Letzt rekapituliert die Orientierungshilfe noch einmal die Vorgaben der DSGVO zur Verarbeitung der erhobenen Tracking-Daten. Daran hat sich durch das Inkrafttreten des TTDSG jedoch nichts geändert.
Die DSK plant ein öffentliches Konsultationsverfahren zur neuen Fassung der Orientierungshilfe. Details zur zeitlichen Planung und dem Ablauf will sie im Januar 2022 bekanntgeben.