Neue Regeln zum Datenschutz bei Webseiten

Seit dem 01. Dezember 2021 gilt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Wir informieren Sie über die wichtigsten Neuerungen zum Cookie-Tracking und zur Datenübermittlung in die USA:

Das Risiko bei Nichtbeachtung

Jeder Webseitenbetreiber sollte sich mit diesem Thema beschäftigen, um unliebsame und teure Konsequenzen zu vermeiden. Einerseits drohen Abmahnungen, z. B. von Verbraucherschutzvereinen, andererseits können Datenschutzaufsichtsbehörden einschreiten, sei es mit Prüfungen, Untersagungen oder gar mit Bußgeldforderungen.

Cookies speichern und auslesen

Nach den neuen Regeln darf der Webseitenbetreiber Informationen, z. B. in Form von Cookies, in Endeinrichtungen des Endnutzers (z. B. via Browser im Speicher des PC, Tablet oder Smartphone) nur dann speichern oder auslesen, wenn der Endnutzer (User) nach einer klaren und umfassenden Information freiwillig eingewilligt hat.

Daten des Users: personenbezogen und nicht-personenbezogen

Dies gilt für jede Art von Information, auch für nicht personenbezogene, anonymisierte IP-Adressen. Entscheidend ist also (nach § 25 TTDSG) die Entscheidungshoheit des Users über jegliche Daten, die auf seinen Geräten gespeichert und ausgelesen werden und nicht mehr nur wie bislang der Schutz der personenbezogenen Daten.

Einwilligung zur Verwendung von Cookies

Einwilligung ist zu verstehen als vorherige Zustimmung, also dürfen entsprechende Infos in Form von Cookies erst gesetzt und ausgelesen werden, wenn zuvor die Einwilligung rechtswirksam eingeholt wurde. Dabei muss der Webseitenbetreiber zwei verschiedene Arten von Einwilligungen einholen: 1. Einwilligung nach TTDSG, dass der Webseitenbetreiber überhaupt Informationen (Cookies) auf dem Endgerät speichern und auslesen darf und 2. Einwilligung nach DSGVO (Datenschutz-Grundverordnung), dass der Webseitenbetreiber die ausgelesenen Daten verarbeiten darf. Zum Verarbeiten gehört explizit auch die Übermittlung in die USA, was bei Funktionen von US-Anbietern regelmäßig der Fall ist.

Übermittlung von Daten in die USA

Daher muss also ein Webseitenbetreiber prüfen, welche Technologien von welchen Dienstleistern er auf seiner Webseite einsetzt, welche Daten diese verarbeiten und wo und ob er überhaupt einwilligungsbedürftige Technologien einsetzen muss. Nutzt er z. B. keine Google-Analytics-Daten, kann er die Funktion auch aus der Webseite nehmen und muss sich dann nicht mehr mit den Anforderungen an eine wirksame Einwilligung befassen.

Wenn der Webseitenbetreiber doch eine einwilligungsbedürftige Technologie einsetzt, muss er darüber informieren, inklusive der damit verbundenen Risiken und dem Erfordernis die Einwilligung beim User einzuholen. Dabei müssen wichtige Informationen direkt ersichtlich sein und dürfen nicht im Kleingedruckten versteckt sein, und es muss eine gleichgewichtige Ablehnungsmöglichkeit auf der gleichen Ebene und nicht in einem Untermenü für weitere Einstellungen geben. Zudem ist eine einfache Widerrufsmöglichkeit vorzusehen. Unwirksam ist demnach die häufig zu sehende Gestaltung der „Allem zustimmen“-Einstellungen. Wobei Einstellungen hierbei optisch oftmals im Hintergrund liegen und man erst nach einem weiteren Klick und Scrollen durch eine ellenlange Optionsliste zum unauffällig gestalteten „Ablehnen“-Button kommt.

Fazit

Es ist also jeder Webseitenbetreiber im eigenen Interesse gut beraten, seine Webseite auf den Prüfstand zu stellen, ggf. Tools zu entfernen, bei US-Tools nach europäischen Alternativen zu suchen oder sowohl die Gestaltung der Prozesse zur Einholung von Einwilligung rechtskonform zu überarbeiten als auch die Datenschutzinformationen den eingesetzten Tools und der neuen Rechtslage anzupassen – Stichwort: § 25 TTDSG: Einwilligung explizit zusätzlich einholen.

Für weitere Fragen steht Ihnen die Redaktion gerne zur Verfügung.

Freundliche Grüße
David Seiler, Rechtsanwalt

Redaktion Datenschutz in Arztpraxen