Die Orientierungshilfe der Datenschutzkonferenz (DSK) zu digitalen Diensten (Version 1.2, November 2024) bietet einen umfassenden Überblick über die rechtlichen Anforderungen für Anbieter dieser Dienste, insbesondere im Hinblick auf die Vorschriften des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und der Datenschutz-Grundverordnung (DSGVO). Wir geben einen Überblick über die Schwerpunkte der Orientierungshilfe.
Anwendungsbereich des TDDDG und Abgrenzung zur DSGVO
Das TDDDG regelt den Schutz der Privatsphäre bei der Nutzung von Endeinrichtungen und enthält besondere Vorschriften zu technischen und organisatorischen Maßnahmen sowie zu Informationspflichten. Im Gegensatz dazu adressiert die DSGVO die Verarbeitung personenbezogener Daten. Die Orientierungshilfe verdeutlicht die unterschiedlichen Schutzziele beider Regelungswerke und beschreibt, wie diese ineinandergreifen.
Ein zentraler Punkt der Orientierungshilfe ist die Regelung des § 25 TDDDG, die die Speicherung und den Zugriff auf Informationen in Endeinrichtungen regelt – unabhängig davon, ob ein Personenbezug vorliegt. Diese Vorschrift geht über die DSGVO hinaus, indem sie den Schutz der Integrität der Endeinrichtungen fokussiert.
Einwilligungsbedürftigkeit und Ausnahmen gemäß § 25 TDDDG
Der Grundsatz der Einwilligungsbedürftigkeit bildet das Herzstück des § 25 TDDDG. Demnach dürfen Informationen auf Endeinrichtungen nur mit ausdrücklicher Einwilligung der Endnutzer gespeichert oder abgerufen werden. Diese Einwilligung muss den strengen Anforderungen der DSGVO entsprechen: Sie muss freiwillig, informiert, eindeutig und widerruflich sein.
Es gibt jedoch Ausnahmen, wenn der Zugriff auf Informationen zwingend erforderlich ist, um:
- die Übertragung einer Nachricht durchzuführen (§ 25 Abs. 2 Nr. 1 TDDDG),
- einen ausdrücklich gewünschten digitalen Dienst bereitzustellen (§ 25 Abs. 2 Nr. 2 TDDDG).
Die Orientierungshilfe betont, dass diese Ausnahmen eng auszulegen sind, und gibt konkrete Beispiele, z. B. für Sicherheitscookies oder Warenkorbfunktionen.
Anforderungen an Einwilligungsbanner
Einwilligungsbanner sind ein zentrales Instrument zur Umsetzung der gesetzlichen Vorgaben. Die Orientierungshilfe fordert eine transparente Gestaltung, die den Nutzer eine echte Wahlmöglichkeit bietet. Insbesondere wird auf Folgendes hingewiesen:
- Transparenz: Alle Zwecke der Datenverarbeitung müssen klar und verständlich dargestellt werden.
- Freiwilligkeit: Die Option, keine Einwilligung zu erteilen, muss gleichwertig präsentiert werden.
- Nutzerfreundlichkeit: Ein Widerruf muss so einfach wie die Einwilligung möglich sein.
Gestaltungen, die Nutzer durch sogenannte „Dark Patterns“ zur Einwilligung drängen, sind unzulässig. Verantwortliche müssen sicherstellen, dass ihre Banner den Anforderungen der DSGVO und des TDDDG genügen.
Lese-Tipp: Unzulässiger Einsatz von Google Analytics – Webseitenbetreiber müssen nach Kontrolle nachbessern
Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten im Zusammenhang mit digitalen Diensten muss auf einer der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO beruhen, z. B. auf:
- Einwilligung (lit. a),
- Vertragserfüllung (lit. b) oder
- berechtigten Interessen (lit. f).
Die Orientierungshilfe zeigt jedoch auf, dass Art. 6 Abs. 1 lit. f) DSGVO in der Praxis oft nicht ausreicht, insbesondere beim Einsatz von Drittanbietern, die eigene Zwecke verfolgen. Anbieter müssen sicherstellen, dass eine wirksame Rechtsgrundlage für jede Datenverarbeitung vorliegt.
Empfehlungen für Unternehmen
Die Orientierungshilfe der DSK bietet Anbieter digitaler Dienste eine klare Richtschnur für den rechtssicheren Betrieb ihrer Angebote. Sie unterstreicht die Bedeutung eines hohen Datenschutzniveaus und mahnt zur Vorsicht bei der Einbindung von Drittanbietern und der Gestaltung von Einwilligungsprozessen. Unternehmen sollten daher folgende Empfehlungen beherzigen:
- Analyse und Überprüfung: Unternehmen sollten eine umfassende Analyse ihrer digitalen Dienste durchführen und prüfen, ob sie die Anforderungen des TDDDG und der DS-GVO erfüllen.
- Einwilligungsmanagement: Eine benutzerfreundliche, transparente und gesetzeskonforme Gestaltung der Einwilligungsbanner ist essenziell.
- Schulung und Sensibilisierung: Mitarbeitende, insbesondere im IT- und Marketingbereich, sollten über die neuen Anforderungen geschult werden.
- Datenschutzbeauftragte einbinden: Der betriebliche Datenschutzbeauftragte sollte in alle Prozesse eingebunden sein, um die Einhaltung der Vorgaben sicherzustellen.
- Regelmäßige Audits: Datenschutzmaßnahmen sollten regelmäßig überprüft und an neue rechtliche und technologische Entwicklungen angepasst werden.
Die Umsetzung der Vorgaben erfordert technische und organisatorische Maßnahmen, die über die bloße Einhaltung gesetzlicher Mindestanforderungen hinausgehen. In Anbetracht der wachsenden regulatorischen Anforderungen im digitalen Raum ist eine kontinuierliche Überprüfung und Anpassung der Datenschutzmaßnahmen unerlässlich.
Quelle: Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste) Version 1.2 (November 2024)