Was du über die neue Orientierungshilfe der Aufsichtsbehörden für Websites und Apps wissen solltest

von Olaf Brandt

Am 15. November 2024 wurde die Neufassung der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verabschiedet.

Das Erste, was auffällt, ist dass der antiquierte Begriff „Telemedien“ endlich verschwunden ist.

Die Überarbeitung berücksichtigt die zwischenzeitlich neuen Regelungen des Digitale Dienste Gesetzes (DDG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie das neue EU-U.S. Data Privacy Framework.

Damit ist die Orientierungshilfe für Anbieter von digitalen Diensten, also von Websites und Apps, auf dem neuesten rechtlichen Stand.

Aber sorgt sie auch für Klarheit bei den wichtigsten Fragen zum rechtskonformen Tracking? Leider nur teilweise.

Das sagt die neue Orientierungshilfe zu den zentralen Fragestellungen beim Tracking:

1. Wie müssen Einwilligungs-Dialoge gestaltet sein im Hinblick auf die Einwilligungs- und Ablehnfunktion?

Auch wenn es die meisten Websites noch falsch machen, sind die Anforderungen mittlerweile sehr klar:

• Die Möglichkeit zur Ablehnung der Einwilligung muss
  • klar und eindeutig erkennbar,
  • leicht wahrnehmbar und unmissverständlich,in Größe, Farbe, Kontrast und Schriftbild der Schaltflächen vergleichbar mit der Einwilligung  und
  • auf gleicher Ebene wie die Einwilligung möglich sein.
• Die granulare Einwilligung in bestimmte Zwecke bzw. deren Ablehnung muss möglich sein.
• Die Möglichkeit zum Widerruf der Einwilligung muss ebenso einfach sein wie die Erteilung.

Eine wirksame Umsetzung der Einwilligungs-Anforderungen (gleichwertige Buttons und Zweck-Auswahl) kann entweder über eine oder zwei Ebenen geschehen.

Beispiel für konforme Gestaltung über zwei Ebenen

Beispiel für konforme Gestaltung auf einer Ebene

Für die gleichermaßen einfache Widerrufsmöglichkeit gibt es ebenfalls zwei Optionen für die praktische Umsetzung:

• schwebender Button, der auf allen Seiten eingeblendet ist oder
• Link im Footer auf allen Seiten,

worüber der Einwilligungs-Dialog erneut aufgerufen werden kann.

2. Welche Informationen müssen Einwilligungs-Dialoge enthalten?

Werden einwilligungspflichtige Cookies eingesetzt, erfolgt darüber zumeist auch eine einwilligungspflichtige Datenverarbeitung. Eine Ausnahme bildet etracker analytics: hierbei ist im Regelfall nur der Einsatz von statistischen Cookies einwilligungspflichtig, nicht aber die anschließende datenschutzfreundliche Verarbeitung. Für Cookies von Google, Meta, TikTok & Co. gilt hingegen, dass sowohl die Cookies als auch die Datenverarbeitung einwilligungspflichtig sind. Demnach muss bei Einsatz von Google, Meta, TikTok & Co. im Einwilligungs-Dialog erkennbar sein, dass zwei Einwilligungen erteilt werden: für den Zugriff auf die Endeinrichtung und der Verarbeitung personenbezogener Daten.

Auf oberster Ebene muss im Hinblick auf einwilligungspflichtige Verarbeitungsvorgänge informiert werden:

• „konkrete Zwecke der Verarbeitung,
• wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden,
• wenn Daten auch außerhalb des EWR verarbeitet werden und
• an wie viele Verantwortliche die Daten offengelegt werden.“

Unklar ist, welche Grundinformationen bezüglich Endgerätezugriffen (Cookies) auf oberster Ebene enthalten sein müssen. Es soll mindestens „in klarer und knapper Form“, aber dennoch präzise und konkret über alle einzelnen Zwecke in einfacher Sprache informiert werden. Sehr allgemeine und vage Formulierungen sind zu vermeiden, genauso wie die Erwähnung von nur ausgewählten Zwecken.

Auf zweiter Ebene bzw. in verlinkten Detailinformationen muss zudem aufgeklärt werden über:

• die Datenempfänger und Auftragsverarbeiter
• Form des Zugriffs auf das Endgerät sowie Funktionsdauer der Cookies
• dass ein späterer Widerruf sich nicht mehr auf die Rechtmäßigkeit des bis zum Widerruf erfolgten Zugriffs bzw. der bis dahin erfolgten Speicherung auswirkt

Beispiel für Informationen auf oberster Ebene:

Wir verwenden Cookies, die für den Betrieb unserer Website erforderlich sind. Wenn Sie Ihre Zustimmung erteilen, verwenden wir und 10 Partner zusätzliche Cookies und verarbeiten personenbezogene Daten, um Fremdinhalte einzubinden, datenbasierte Tests durchzuführen sowie erweiterte Funktionalität und Personalisierung bereitzustellen (Funktionell), die Anzahl der eindeutigen Besuche und den Erfolg von Werbeanzeigen über mehrere Kontaktpunkte hinweg zu ermitteln (Statistik) sowie Ihnen anhand Ihrer Aktivitäten auf dieser oder anderen Websites Anzeigen anzuzeigen (Marketing). Unsere Werbepartner verarbeiten hierzu Daten außerhalb des Europäischen Wirtschaftsraums und erstellen hierfür ein Profil Ihrer Interessen. Sie können Ihre Einwilligung jederzeit für die Zukunft über das schwebende Icon auf jeder Seite widerrufen. Detaillierte Informationen zu diesen Cookies und der Datenverarbeitung finden Sie über die Links unten.

Beispiel für Detailinformationen zu einem Akteur, der auf zweiter Ebene oder per Link erreichbar ist:

YouTube

Beschreibung des Services

YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos ansehen, teilen, kommentieren und hochladen können.

Zweck

Funktionell: Wir nutzen den Dienst, um Videos anzuzeigen.

Verarbeitendes Unternehmen

Google Ireland Limited

Verarbeitete Daten

• Geräteinformationen
• IP-Adresse
• Referrer URL
• Angesehene Videos

Höchstgrenze für die Speicherung von nicht-erforderlichen Cookies

179 Tage

Datenempfänger

• Alphabet Inc.
• Google LLC
• Google Ireland Limited

Weitergabe an Drittländer

Für Datenübermittlungen in die USA hat sich die Muttergesellschaft des Anbieters dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) angeschlossen, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt.

Datenschutzbestimmungen des Datenverarbeiters https://www.google.de/policies/privacy/

3. Wann kann auf eine Einwilligung bei der Web-Analyse verzichtet werden?

Für die Web-Analyse kommen neben der Einwilligung zwei Rechtsgrundlagen in Frage: die unbedingte Erforderlichkeit und das berechtigte Interesse. Wobei für Cookies zu analytischen Zwecken das berechtigte Interesse nicht herangezogen werden kann.

Die Orientierungshilfe eröffnet die Möglichkeit, Web-Analyse im Sinne der Reichweitenmessung mit Cookies als notwendigen Basisdienst zu verstehen. Allerdings ist die Formulierung sehr schwammig: “Selbst die einfache Messung von Besucherzahlen ist daher nicht per se als Bestandteil des Basisdienstes einzustufen, sondern abhängig vom jeweils konkret verfolgten Zweck. Die fehlerfreie Auslieferung der Webseite kann beispielsweise vom Nutzerwunsch umfasst sein, während die Wirtschaftlichkeit von Werbeanzeigen im Regelfall nur den primären Interessen des Webseitenbetreibers dient.” Dient die Web-Analyse also ausschließlich dazu, die bedarfsgerechte und fehlerfreie Webseiten-Gestaltung zu gewährleisten, könnte sogar ein Tracking mit Cookies ohne Einwilligung gerechtfertigt werden.

Bei Einsatz der Web-Analyse auch zum Kampagnen- und Conversion-Tracking kann dies ohne Cookies auf der Rechtsgrundlage des berechtigten Interesses erfolgen. Hierzu muss gemäß Orientierungshilfe aber sichergestellt werden, dass

• keine Eigenschaften eines Endgerätes aktiv – beispielsweise mittels JavaScript-Code –ausgelesen werden, wie dies bei der Bildschirmauflösung der Fall wäre (siehe Rn. 24).
• die einwilligungsfrei erfassbaren übermittelten Browser-Informationen nicht für Fingerprinting genutzt werden (siehe Rn.25).
• eingebundene Auftragsverarbeiter Daten nicht auch zu eigenen Zwecken verarbeiten (wie Google sich dieses bei Einsatz von Google Analytics vorbehält; siehe Rn. 111).
• nur die für den Zweck notwendigen Daten verarbeitet werden (Datenminimierung bzw. mildeste Mittel für den Zweck; siehe Rn. 108).
• Dienstleister unabhängige Prüfungen belegen können und nicht nur pauschale Feststellungen vorweisen können (siehe Rn. 110).
• eine Interessenabwägung belegt, dass die Interessen wirklich überwiegen (siehe Rn. 112).

Dass mit etracker analytics alle genannten Anforderungen erfüllt werden, ist im Bereich des Trackings eine absolute Ausnahme, insbesondere hinsichtlich des überwiegenden Einsatzes von Tools „hungriger Datenkraken“ wie Meta und Google oder US-Software-Unternehmen wie Oracle. Insofern ist es verständlich, dass die Aufsichtsbehörden dies nur in seltenen Fällen erfüllt sehen (siehe Rn. 109).

Mehr Informationen zum Einwilligungs-unabhängigen Einsatz von etracker analytics findest du hier.

Fazit

Die neue Orientierungshilfe (OH Digitale Dienste) macht die Anforderungen an die Gestaltung von Einwilligungs-Dialogen sehr deutlich. Die textlichen und inhaltlichen Anforderungen muss man sich hingegen aus diversen Absätzen zusammensuchen. Die Abgrenzungen, unter welchen Bedingungen Web-Analyse als erforderlicher Basisdienst, unter dem berechtigten Interesse oder nur mit Einwilligung betrieben werden kann, bleiben hingegen schwammig. Da sich substanziell nichts an den jeweiligen rechtlichen Anforderungen geändert hat, sorgen weiterhin das unabhängige Gutachten der ePrivacy-Auszeichnung  sowie die vielen aufsichtsbehördlichen Prüfungen von Websites, die etracker im Einsatz haben und diesbezüglich keine Beanstandungen mit sich bringen, für Rechtssicherheit. Weiterhin gilt, dass datenschutzfreundliche Web-Analyse sowohl die Privatsphäre von Nutzern schützt als auch die Datenbasis von Website- und App-Betreibern.