Welche rechtlichen Anforderungen Organisationen im Blick haben müssen

Ist eine Webseite einmal errichtet, kümmern sich Organisationen vor allem um die Aktualisierung ihrer Inhalte, selten haben sie aber die aktuellsten rechtlichen Anforderungen für ihren Web-Auftritt im Blick. Doch gerade in diesem Bereich ändern und konkretisieren sich laufend die Vorschriften, so dass ein jährlicher „Check-up“ der wichtigsten Bestimmungen angebracht ist – vor allem, um nicht kostenpflichtige Abmahnungen durch Konkurrenten oder Verbände zu riskieren.

Ein Beitrag von Rechtsanwältin Dr. Marietta Birner

Stiftungs-News Juni 2022 – Newsletter abonnieren

Einwilligungspflichten nach dem TTDSG

Das seit Dezember 2021 existierende Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) wurde mit Einführung des Digitale Dienste Gesetz zum 14.05.2024 in Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umbenannt. Inhaltlich geht es um die Verarbeitung von Daten – nicht nur personenbezogen – via Cookies oder vergleichbaren Technologien, die eine Einwilligungspflicht beim Nutzer begründen können. Betroffen von dem Gesetz sind alle Informationen, die über ein Endgerät erhoben, verarbeitet oder gespeichert werden.

Das TDDDG soll die Position der Webseiten-Nutzer bei der Kontrolle über die erteilten Einwilligungen, mithin über die Verarbeitung der eigenen personenbezogenen Daten stärken. Grundsätzlich soll gelten, dass Dritte auf Endeinrichtungen nur dann Informationen wie Cookies speichern dürfen, wenn der betroffene Endnutzer gem. § 25 TDDDG seine Einwilligung erteilt hat.

Die Zustimmung des Nutzers ist nur in zwei Situationen nicht erforderlich:

• Wenn der einzige Zweck des Cookies darin besteht, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übermitteln.
• Wenn das Cookie für den Anbieter eines Telemediendienstes unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst erbringen zu können.

Cookie-Banner und Anforderungen an die Einwilligung

Bei dem Einsatz von Cookies wird im TDDDG zwischen (technisch) notwendigen und optionalen (nicht notwendigen) Cookies unterschieden. Bei den notwendigen Cookies handelt es sich um solche, die eine Website erst nutzbar machen oder ausschließlich der IT-Sicherheit dienen. Zu solchen Cookies gehören beispielsweise die sog. „Session-Cookies“, die temporär Log-in-Daten oder die Spracheinstellung speichern. Diese werden mit Schließen des Browsers wieder automatisch gelöscht. Dagegen handelt es sich bei nicht notwendigen Cookies um solche, die das Verhalten von Nutzern im Internet zu Marketingzwecken dauerhaft verfolgen (sog. „Tracking-Cookies“). Ferner zählen dazu auch Cookies, die der statistischen Auswertung oder der Webseitenanalyse dienen. Selbst wenn Cookies für die Verbesserung der Webseitenangebote nützlich sein können, gelten sie als nicht notwendig. Nur für die technisch notwendigen Cookies entfällt die Einwilligungspflicht.

Inzwischen begegnen dem Nutzer von Webseiten sehr unterschiedliche Cookie-Banner – nicht alle entsprechen aber den gesetzlichen Anforderungen. Das TDDDG verweist auf die DSGVO, um die rechtlichen Anforderungen für die Einholung einer ordnungsgemäßen Einwilligung zu beschreiben. Demnach muss die Einwilligung „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ gegeben werden (Art. 4 Nr. 11 DSGVO).

Die Einwilligung gilt bis zum Widerruf (Art. 7 Abs. 3 Satz 1 und 2, Abs. 4 DSGVO). Bei der Anordnung des „Cookie-Banners“ ist zu beachten, dass der Ablehn-Button und der Zustimm-Button optisch gleichwertig zu gestalten sind. Beide müssen auf der obersten Ebene stehen genauso wie eine Übersicht über alle einwilligungsbedürftigen Verarbeitungsvorgänge. Die Erschwerung einer Ablehnung ist nicht gestattet.

Eine detaillierte Darstellung der Anforderungen an einen Einwilligungsbanner enthält die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (OH Telemedien 2021) der Datenschutzkonferenz, die unter datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf zu finden ist. Hier das wichtigste als Exzerpt:

• Das Einwilligungsbanner sollte eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge enthalten, die hinreichend erklärt sind und über ein Auswahlmenü aktiviert werden können.
• Ein Zugriff auf die Endgeräte der Nutzenden (TDDDG) oder eine Verarbeitung derer personenbezogenen Daten (DSGVO) darf während der Anzeige des Einwilligungsbanners nicht erfolgen. Der Zugriff auf Impressum und Datenschutzerklärung darf durch das Einwilligungsbanner nicht behindert werden.
• Die Speicherung von Informationen auf den Endgeräten oder die einwilligungsbedürftige Datenverarbeitung darf erst stattfinden, wenn der Nutzer seine Einwilligung aktiv selbst gegeben hat.
• Die Möglichkeit zur Verweigerung der Zustimmung muss dem Nutzer in gleichwertiger Form möglich sein wie die Einwilligung.
• Bei Speicherung der Einwilligung zu Nachweiszwecken gem. Art. 7 Abs. 1 DSGVO ist es ausreichend, den Nutzer nur indirekt zu identifizieren (vgl. Erwägungsgrund 26 der DSGVO).
• Der Widerruf der Einwilligung muss genauso einfach möglich sein wie die Erteilung der Einwilligung gem. Art. 7 ABS. 3 S. 4 DSGVO.

Datenschutzerklärung gem. DSGVO

Seit dem Jahr 2018 haben alle Organisation und Betreiber einer Internet-Seite gem. Art. 4 Nr. 7 DSGVO bei der Verarbeitung personenbezogener Daten die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Jeder Betreiber einer Webseite hat verpflichtend eine Datenschutzerklärung bereit zu stellen, in der er gem. Art. 13, 14 DSGVO über Art, Umfang und Zweck der Erhebung und Verwendung von Daten den Nutzer aufklären muss. Daneben sollte die Erklärung auch Hinweise über die Verwendung von personenbezogenen Daten außerhalb der Bearbeitung der Kontaktanfrage enthalten, die Verwendung von Cookies sowie Analyse- bzw. Tracking-Tools sollten benannt und auf die Nutzung von Social Media Buttons hingewiesen werden. Verwenden Organisationen Newsletter, so muss der Nutzer seine Einwilligung im Double-Opt-In-Verfahren für die Zusendung erteilt haben.

Die Erhebung und weitere Verarbeitung von Informationen wird meist als einheitlicher Lebenssachverhalt wahrgenommen. Tatsächlich geht es aber bei dem Speichern von und dem Zugriff auf Informationen (Anwendungsbereich des TDDDG) und sodann bei der Verarbeitung der dadurch gewonnenen personenbezogenen Daten (Anwendungsbereich der DSGVO) um zwei rechtliche Aspekte. Als Spezialregelung ist das TTDSG vorrangig vor der DSGVO anzuwenden (Kollisionsregel des Art 95 DSGVO), soweit beim Speichern und Auslesen von Informationen personenbezogene Daten verarbeitet werden. Werden diese personenbezogenen Daten aber dann weiterverarbeitet, so muss der Betreiber einer Webseite nach der DSGVO angeben, auf welcher Rechtsgrundlage die Datenverarbeitung gestützt wird. Die Einwilligungen nach TDDDG und die Einwilligung für die geplante weitere Verarbeitung nach der DSGVO können gebündelt in einem Cookie-Banner abgegeben werden. Nach den Anforderungen durch die DSGVO setzt dies aber eine umfassende Information über alle Zwecke der Datenverarbeitung voraus und es muss für den Nutzer erkennbar sein, dass er mehrere Einwilligungen erteilt.

Anforderungen an das Impressum

Solange eine Webseite nicht ausschließlich persönlichen oder familiären Zwecken gem. § 18 Medienstaatsvertrag dient, besteht für die Plattform eine Impressumspflicht nach § 5 DDG ( das Tele-Medien-Gesetz (TMG) ist zum 14.05.2024 durch das neue Digitale-Dienst-Gesetz außer Kraft getreten: Website-Betreiber sollten in ihrem Impressum die neue Rechtsvorschrift anpassen). Dort ist geregelt, welche Inhalte das Impressum haben muss. Für gemeinnützige Organisationen, die in der Regel nur informative Seiten und keine entgeltlichen Leistungen anbieten, sind dies vor allem folgende Angaben:

1. Name und Anschrift und die Rechtsform der Organisation sowie deren Vertretungsberechtigten.
2. Kapital: sofern Angaben zum Kapital gemacht werden, ist das Stamm- oder Grundkapital und der Gesamtbetrag der ausstehenden Einlagen anzugeben.
3. Angabe einer E-Mail-Adresse und Telefonnummer für unmittelbare Kommunikation
4. Handelsregisternummer oder Vereinsregister bzw. Stiftungsaufsicht
5. Umsatzsteuer-Identifikationsnummer

Betreiben Treuhandstiftungen eine eigene Internetseite, so muss als Vertretungsberechtigter der Treuhänder genannt werden. Die Haftung lässt sich grundsätzlich nicht pauschal durch einen sog. „Disclaimer“ ausschalten. Dieser ist auch kein verpflichtender Bestandteil des Impressums.

Fazit

Betreiber von Webseiten müssen bei der Verarbeitung aller personenbezogener Daten die Bestimmungen der DSGVO und des TDDDG beachten. Im Einzelnen geht es um die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software und Cookies sowie vergleichbare Technologien (z.B. Fingerprint).
Neu ist die Anpassung der obligatorischen Datenschutzerklärung sowie im Falle einer Einwilligungspflicht nach TDDDG der rechtskonformen Implementierung eines sog. Cookie-Banners.

Nur wer keine nicht notwendigen Cookies verwendet – und damit auch dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 Buchst. C DSGVO entspricht –, kann sicher sein, auf den Einwilligungsbanner verzichten zu können.

Auf der Webseite der Organisation müssen die Links zum Datenschutz und zum Impressum gut sichtbar und von jeder Seite aus abrufbar sein.

Bei Missachtung des TDDDG drohen Geldbußen von bis zu 300.000 Euro. Steht der Verstoß im Zusammenhang mit personenbezogenen Daten, z.B. wenn keine ordnungsgemäße Einwilligung eingeholt wurde, wird die Geldbuße nach der DSGVO erhoben und kann bis zu 4 % des Jahresumsatzes betragen. Bei einem fehlenden Impressum kann eine Geldbuße von bis zu 50.000 Euro verhängt werden.

---

Foto: song about summer, stock.adobe.com