Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Das neue TTDSG mit Regelungen zum Datenschutz im Internet
Dienstag, 07. Dezember 2021
Am 1. Dezember 2021 ist mit dem Telekommunikation-Telemedien-Datenschutzgesetz („TTDSG“) ein neues Gesetz in Kraft getreten, mit dem neben dem zuvor im Telekommunikationsgesetz verorteten Fernmeldegeheimnis im Wesentlichen auch der Datenschutz im Internet geregelt werden soll. Wer sich hiervon aber Rechtssicherheit beim Einsatz von Cookies erhofft hat, wird enttäuscht. Zwar regelt das TTDSG auch den Schutz der Privatsphäre von Endgeräten, es verbleibt jedoch weiterhin bei einer erheblichen Rechtsunsicherheit.
Nach § 25 TTDSG bedarf die Speicherung von Informationen in der Endeinrichtung des Endnutzers (zum Beispiel Cookies) oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind (zum Beispiel User Agent: Browserversion, installierte Plugins etc.), der Einwilligung des Endnutzers. Nach § 25 Absatz 2 TTDSG ist eine Einwilligung unter anderem dann nicht erforderlich, wenn die Cookies unbedingt erforderlich sind, um den jeweiligen Telemediendienst erbringen zu können. Wie genau das Merkmal der Erforderlichkeit zu verstehen ist, wird allerdings nicht näher definiert. Außerdem sind weitere Aspekte noch nicht hinreichend geklärt, zum Beispiel:
- Wie ist das Verhältnis des TTDSG zur Datenschutzgrundverordnung („DSGVO“)?
- Was ist eine Endeinrichtung im Sinne des TTDSG? Sind vom Anwendungsbereich sämtliche Geräte des Internet of Things umfasst?
- Ist ein Zugriff auf Informationen auch dann gegeben, wenn die die Webseite aufrufende Person die Angaben zu dem genutzten Browser und dem Betriebssystem selbst übermittelt?
Diese und weitere Fragen dürften sich spätestens seit dem 1. Dezember 2021 alle Anbieter von Telemedien, die in Deutschland eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken (§ 1 Absatz 3 TTDSG), stellen - also auch alle Webseitenbetreibenden.
Für mehr Rechtsklarheit könnte in Kürze der Düsseldorfer Kreis, ein Arbeitskreis der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, sorgen. Dieser hat angekündigt, voraussichtlich im Januar 2022 eine neue Orientierungshilfe zu veröffentlichen, die sich schwerpunktmäßig mit den Anforderungen an eine wirksame Einwilligung befassen soll.
Bis dahin empfiehlt es sich, die eigene Webseite unter die Lupe zu nehmen und zu prüfen, bei welchen Funktionen personenbezogene oder auch nicht personenbezogene Informationen gespeichert werden oder auf diese zugegriffen wird sowie mindestens zu dokumentieren, weshalb dies (nach eigener Ansicht) unbedingt erforderlich ist. In dem Zuge dürfte sich auch ein Update der Datenschutzhinweise auf der Webseite lohnen. Denn auch wenn sich die der Speicherung oder dem Zugriff personenbezogener Informationen nachfolgenden Datenverarbeitungen weiterhin nach der DSGVO richten, dürfte sich jede Aufsichtsbehörde über ein paar Worte zum TTDSG freuen.
Update (vom 22.12.2021):
Am 20. Dezember 2021 ist die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erschienen. Sie sehen diese unter folgendem Link ein:
Update (vom 21.03.2022):
Vom Landesbeauftragten für den Datenschutz und die Informationssicherheit Baden-Württemberg wurde ein FAQ mit dem Titel „Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps“ veröffentlicht. Das FAQ ergänzt die im Dezember 2021 von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden veröffentlichte Orientierungshilfe und liefert Praxisbeispiele. Es findet sich unter anderem ein Hinweis, wie bei richtiger Gestaltung einer Logfile-Analyse eine Reichweitenmessung auch ohne Einwilligung der Webseitenbesuchenden möglich ist. Am Ende der FAQ sind außerdem Standardfehler bei der Gestaltung von Cookie-Bannern aufgelistet. Sie finden die FAQ (Version 2.0.1, Stand März 2022) unter folgendem Link:
FAQ Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps
Update (vom 27.04.2023):
Ein gutes Jahr nach dem FAQ der Aufsichtsbehörde von Baden-Württemberg komplementiert nunmehr eine Handreichung der Hamburgischen Aufsichtsbehörde das von den deutschen Aufsichtsbehörden in Sachen „Cookies“ herausgegebene Informationsmaterial. Großartig Neues findet sich in dem Dokument nicht. Es ist aber kurz und knapp und damit nicht nur für Webseitenbetreiber/innen in der Zuständigkeit der Hamburgischen Aufsichtsbehörde eine griffige Hilfestellung. Neben Informationen zur richtigen Gestaltung eines Cookie-Banners findet sich zum Beispiel auch der Richtwert für die Speicherung von Webserver-Logfiles: sieben Tage.
Link zur Handreichung vom 21. April 2023: Wie geht ein datenschutzkonformer Internetauftritt?
