Herausforderung Internet
Welche rechtlichen Anforderungen Organisationen im Blick haben müssen
Ist eine Webseite einmal errichtet, kümmern sich Organisationen vor allem um die Aktualisierung ihrer Inhalte, selten haben sie aber die aktuellsten rechtlichen Anforderungen für ihren Web-Auftritt im Blick. Doch gerade in diesem Bereich ändern und konkretisieren sich laufend die Vorschriften, so dass ein jährlicher „Check-up“ der wichtigsten Bestimmungen angebracht ist – vor allem, um nicht kostenpflichtige Abmahnungen durch Konkurrenten oder Verbände zu riskieren.
Ein Beitrag von Rechtsanwältin Dr. Marietta Birner
Stiftungs-News Juni 2022 – Newsletter abonnieren
Einwilligungspflichten nach dem TTDSG
In dem am 1. Dezember 2021 neu in Kraft getretenen Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) geht es um die Verarbeitung von Daten – nicht nur personenbezogen – via Cookies oder vergleichbaren Technologien, die eine Einwilligungspflicht beim Nutzer begründen können. Mit dem TTDSG soll die EU ePrivacy-Richtlinie in das deutsche Gesetzessystem integriert und enger an die DSGVO angeglichen werden. Es geht um alle Informationen, die über ein Endgerät erhoben, verarbeitet oder gespeichert werden. Ziel des Gesetzes ist es, Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt zu schaffen, indem die Datenschutzbestimmungen aus dem Telekommunikations-Gesetz (TKG) und dem Telemedien-Gesetz (TMG) zusammengeführt werden. Damit werden die in Deutschland fragmentierten Cookie-Regeln in einem Gesetz zusammengefasst.
Das TTDSG soll die Position der Webseiten-Nutzer bei der Kontrolle über die erteilten Einwilligungen, mithin über die Verarbeitung der eigenen personenbezogenen Daten stärken. Grundsätzlich soll gelten, dass Dritte auf Endeinrichtungen nur dann Informationen wie Cookies speichern dürfen, wenn der betroffene Endnutzer seine Einwilligung erteilt hat.
Absatz 1 des § 25 TTDSG regelt die Verwendung von Cookies:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Gemäß Absatz 2 ist die Zustimmung des Nutzers in zwei Situationen nicht erforderlich:
- Wenn der einzige Zweck des Cookies darin besteht, eine Nachricht über ein öffentliches Tele-kommunikationsnetz zu übermitteln.
- Wenn das Cookie für den Anbieter eines Telemediendienstes unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst erbringen zu können.
Cookie-Banner und Anforderungen an die Einwilligung
Bei dem Einsatz von Cookies wird im TTDSG zwischen (technisch) notwendigen und optionalen (nicht notwendigen) Cookies unterschieden. Bei den notwendigen Cookies handelt es sich um solche, die eine Website erst nutzbar machen oder ausschließlich der IT-Sicherheit dienen. Zu solchen Cookies gehören beispielsweise die sog. „Session-Cookies“, die temporär Log-in-Daten oder die Spracheinstellung speichern. Diese werden mit Schließen des Browsers wieder automatisch gelöscht. Dagegen handelt es sich bei nicht notwendigen Cookies um solche, die das Verhalten von Nutzern im Internet zu Marketingzwecken dauerhaft verfolgen (sog. „Tracking-Cookies“). Ferner zählen dazu auch Cookies, die der statistischen Auswertung oder der Webseitenanalyse dienen. Selbst wenn Cookies für die Verbesserung der Webseitenangebote nützlich sein können, gelten sie als nicht notwendig. Nur für die technisch notwendigen Cookies entfällt die Einwilligungspflicht.
Inzwischen begegnen dem Nutzer von Webseiten sehr unterschiedliche Cookie-Banner – nicht alle entsprechen aber den gesetzlichen Anforderungen. Das TTDSG verweist auf die DSGVO, um die rechtlichen Anforderungen für die Einholung einer ordnungsgemäßen Einwilligung zu beschreiben. Demnach muss die Einwilligung „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“ gegeben werden (Art. 4 Nr. 11 DSGVO).
Die Einwilligung gilt bis zum Widerruf (Art. 7 Abs. 3 Satz 1 und 2, Abs. 4 DSGVO). Bei der Anordnung des „Cookie-Banners“ ist zu beachten, dass der Ablehn-Button und der Zustimm-Button optisch gleichwertig zu gestalten sind. Beide müssen auf der obersten Ebene stehen genauso wie eine Übersicht über alle einwilligungsbedürftigen Verarbeitungsvorgänge. Die Erschwerung einer Ablehnung ist nicht gestattet.
Eine detaillierte Darstellung der Anforderungen an einen Einwilligungsbanner enthält die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (OH Telemedien 2021) der Datenschutzkonferenz, die unter datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf zu finden ist. Hier das wichtigste als Exzerpt:
- Das Einwilligungsbanner sollte eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge enthalten, die hinreichend erklärt sind und über ein Auswahlmenü aktiviert werden können.
- Ein Zugriff auf die Endgeräte der Nutzenden (TTDSG) oder eine Verarbeitung derer personenbezogenen Daten (DSGVO) darf während der Anzeige des Einwilligungsbanners nicht erfolgen. Der Zugriff auf Impressum und Datenschutzerklärung darf durch das Einwilligungsbanner nicht behindert werden.
- Die Speicherung von Informationen auf den Endgeräten oder die einwilligungsbedürftige Datenverarbeitung darf erst stattfinden, wenn der Nutzer seine Einwilligung aktiv selbst gegeben hat.
- Die Möglichkeit zur Verweigerung der Zustimmung muss dem Nutzer in gleichwertiger Form möglich sein wie die Einwilligung.
- Bei Speicherung der Einwilligung zu Nachweiszwecken gem. Art. 7 Abs. 1 DSGVO ist es ausreichend, den Nutzer nur indirekt zu identifizieren (vgl. Erwägungsgrund 26 der DSGVO).
- Der Widerruf der Einwilligung muss genauso einfach möglich sein wie die Erteilung der Einwilligung gem. Art. 7 ABS. 3 S. 4 DSGVO.
Etablierung eines Einwilligungsmanagement-Systems, § 26 TTDSG
§ 26 Abs. 2 TTDSG schafft eine Verordnungsermächtigung für Regelungen zur Einführung zentraler Dienste des Einwilligungsmanagements. Gegenstand sollen Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligungen sein (sog. PIMS-Dienste – Personal Management Systems), sofern sie kein eigenes wirtschaftliches Interesse an der Erteilung der Einwilligung und an den verwalteten Daten haben. Ob sich solche Lösungen durchsetzen und als Mehrwert für die Nutzerinnen und Nutzer erweisen werden, bleibt abzuwarten.
Datenschutzerklärung gem. DSGVO
Seit dem Jahr 2018 haben alle Organisation und Betreiber einer Internet-Seite gem. Art. 4 Nr. 7 DSGVO bei der Verarbeitung personenbezogener Daten die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Jeder Betreiber einer Webseite hat verpflichtend eine Datenschutzerklärung bereit zu stellen, in der er gem. Art. 13, 14 DSGVO über Art, Umfang und Zweck der Erhebung und Verwendung von Daten den Nutzer aufklären muss. Daneben sollte die Erklärung auch Hinweise über die Verwendung von personenbezogenen Daten außerhalb der Bearbeitung der Kontaktanfrage enthalten, die Verwendung von Cookies sowie Analyse- bzw. Tracking-Tools sollten benannt und auf die Nutzung von Social Media Buttons hingewiesen werden. Verwenden Organisationen Newsletter, so muss der Nutzer seine Einwilligung im Double-Opt-In-Verfahren für die Zusendung erteilt haben.
Die Erhebung und weitere Verarbeitung von Informationen wird meist als einheitlicher Lebenssachverhalt wahrgenommen. Tatsächlich geht es aber bei dem Speichern von und dem Zugriff auf Informationen (Anwendungsbereich des TTDSG) und sodann bei der Verarbeitung der dadurch gewonnenen personenbezogenen Daten (Anwendungsbereich der DSGVO) um zwei rechtliche Aspekte. Als Spezialregelung ist das TTDSG vorrangig vor der DSGVO anzuwenden (Kollisionsregel des Art 95 DSGVO), soweit beim Speichern und Auslesen von Informationen personenbezogene Daten verarbeitet werden. Werden diese personenbezogenen Daten aber dann weiterverarbeitet, so muss der Betreiber einer Webseite nach der DSGVO angeben, auf welcher Rechtsgrundlage die Datenverarbeitung gestützt wird. Die Einwilligungen nach TTDSG und die Einwilligung für die geplante weitere Verarbeitung nach der DSGVO können gebündelt in einem Cookie-Banner abgegeben werden. Nach den Anforderungen durch die DSGVO setzt dies aber eine umfassende Information über alle Zwecke der Datenverarbeitung voraus und es muss für den Nutzer erkennbar sein, dass er mehrere Einwilligungen erteilt.
Übertragung von personenbezogenen Daten in Drittstaaten
Nicht unerwähnt darf an dieser Stelle bleiben, dass sich die Einwilligungen in die Datenverarbeitung nur auf den Europäischen Wirtschaftsraum beziehen. Der EuGH hat mit seinem „Schrems II“ -Urteil (16.7.2020) den Datenpakt „Privacy Shield“ zwischen den USA und Europa für ungültig erklärt. Der konkrete Übertragungsweg und die Datenverarbeitung beim Empfänger müssen einem angemessenen Datenschutzniveau entsprechen. Inzwischen haben bereits einige europäische Datenschutzbehörden aufgrund von Musterklagen das US Tracking-Tool Google Analytics als nicht EU-datenschutzkonform eingestuft. Damit wären auch viele Einwilligungen zum Tracking, die auf den meisten Webseiten über das Cookie-Banner für Google Analystics erteilt werden, unwirksam. In Deutschland hat die DSK mit Beschluss vom 12.05.2020 festgestellt, dass ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DSGVO möglich ist. Diese Auffassung steht jedoch ausdrücklich unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung durch den EuGH.
Anforderungen an das Impressum
Solange eine Webseite nicht ausschließlich persönlichen oder familiären Zwecken gem. § 18 Medienstaatsvertrag dient, besteht für die Plattform eine Impressumspflicht nach § 5 TMG. Dort ist geregelt, welche Inhalte das Impressum haben muss. Für gemeinnützige Organisationen, die in der Regel nur informative Seiten und keine entgeltlichen Leistungen anbieten, sind dies vor allem folgende Informationen:
- Name und Anschrift und die Rechtsform der Organisation sowie deren Vertretungsberechtigten.
- Kapital: sofern Angaben zum Kapital gemacht werden, ist das Stamm- oder Grundkapital und der Gesamtbetrag der ausstehenden Einlagen anzugeben.
- Angabe einer E-Mail-Adresse und Telefonnummer für unmittelbare Kommunikation
- Handelsregisternummer oder Vereinsregister bzw. Stiftungsaufsicht
- Umsatzsteuer-Identifikationsnummer
Betreiben Treuhandstiftungen eine eigene Internetseite, so muss als Vertretungsberechtigter der Treuhänder genannt werden. Die Haftung lässt sich grundsätzlich nicht pauschal durch einen sog. „Disclaimer“ ausschalten. Dieser ist auch kein verpflichtender Bestandteil des Impressums.
Fazit
Betreiber von Webseiten müssen bei der Verarbeitung aller personenbezogener Daten die Bestimmungen der DSGVO und seit dem 1.12.2021 auch die des TTDSG beachten. Im Einzelnen geht es um die Zusammenarbeit mit einem Hosting-Anbieter, die Notwendigkeit der verschlüsselten Datenübertragung, den richtigen Umgang unter anderem mit Log-Dateien, Kontaktformularen, Tracking-Software und Cookies sowie vergleichbare Technologien (z.B. Fingerprint).
Neu ist die Anpassung der obligatorischen Datenschutzerklärung sowie im Falle einer Einwilligungs-pflichtnach TTDSG der rechtskonformen Implementierung eines sog. Cookie-Banners.
Nur wer keine nicht notwendigen Cookies verwendet – und damit auch dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 Buchst. C DSGVO entspricht –, kann sicher sein, auf den Einwilligungsbanner verzichten zu können.
Auf der Webseite der Organisation müssen die Links zum Datenschutz und zum Impressum gut sichtbar und von jeder Seite aus abrufbar sein.
Bei Missachtung des TTDSG drohen Geldbußen von bis zu 300.000 Euro. Steht der Verstoß im Zusammenhang mit personenbezogenen Daten, z.B. wenn keine ordnungsgemäße Einwilligung eingeholt wurde, wird die Geldbuße nach der DSGVO erhoben und kann bis zu 4 % des Jahresumsatzes betragen. Bei einem fehlenden Impressum kann eine Geldbuße von bis zu 50.000 Euro verhängt werden.
Foto: peterschreiber.media, stock.adobe.com
Autorin dieses Fachbeitrags
Dr. Marietta Birner ist Rechtsanwältin in der Stiftungszentrum.law Rechtsanwaltsgesellschaft mbH. Sie berät umfassend bei der Realisierung von gemeinnützigem Engagement.
Viel mehr lesen
Praxistipps und Fachbeiträge rund ums Stiften, Spenden und Fördern – für alle, die sich gemeinnützig engagieren.