Der §25 TTDSG, nationale Umsetzung der ePrivacy Directive der EU, ist verantwortlich für die oft als lästig empfundenen Cookie Banner oder Consent Managment Tools (CMT). Technisch-nicht erforderliche Zugriffe auf die Endreinrichtung des Endnutzers dürfen nach dem §25 TTDSG nur nach Einwilligung des Nutzers erfolgen.
Der §25 TTDSG wird oft als Cookie-Regelung bezeichnet. Unternehmen nehmen diese gerne beim Wort und legen die Regelung so aus, dass nur Cookies in den Anwendungsbereich fallen. Die Datenschutzkonferenz (DSK) hat in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien in Version 1.1 vom Dezember 2022 (OH Telemedien) versucht, die Technikoffenheit des §25 TTDSG zu betonen (s. Rn. 18). Später in dem gleichen Dokument fällt jedoch selbst die DSK darauf zurück, sich nur um Cookies zu kümmern.
Der Europäische Datenschutzausschuss (EDSA) hat am 16. November 2023 in dem Dokument "Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive" ausdrücklich ihre Auslegung des Begriffs 'Zugriff' definiert und es nun offiziell gemacht: es geht nicht um Cookies, sondern Zugriffe jeder Art. Explizit werden u.a. Tracking-Links und -Pixel genannt.
Am Beispiel einer Webseite lässt sich die Tragweite der Auslegung deutlich aufzeigen:
Ruft ein Nutzer eine Webseite auf, wird üblicherweise eine html-Datei übertragen. In dieser Datei ist der Inhalt der Webseite, aber auch Anweisungen an den Browser des Nutzers, bestimmte Ressourcen von anderen Quellen zu laden und eventuell JavaScript das ausgeführt werden soll.
Da diese html-Datei zumindest temporär auf dem Endgerät des Nutzers gespeichert wird, reiche dies bereits, um in den Anwendungsbereich des §25 TTDSG zu fallen. (EDPB Guidelines 2/2023 Rn. 50)
Die in der html-Datei enthaltenen Tracking-Links und -Pixel oder entsprechender JavaScript-Code seien Instruktionen an den Browser des Endnutzers, Verbindungen aufzubauen und dabei Informationen zu übermitteln. Dies erfüllt somit bereits den Tatbestand des §25 TTDSG und eine Einwilligung ist erforderlich. (EDPB Guidelines 2/2023 Rn. 51)
Beispiel einer Internetseite
Wenn ein Nutzer unsere Beispielseite besucht, dann schickt unser Server die folgende html-Datei an den Browser des Nutzers:
<html>
<head>
<script src="https://www.tracking-beispiel.de/tracker.js"></script>
</head>
<body>
<h1>Unsere Internetseite</h1>
<p>Dies ist unsere Internetseite. Besuchen Sie auch unseren
<a href="https://mutterkonzern.de?tracking_code=ghsjdfhsjdfhsd">Mutterkonzern</a>
!</p>
</body>
</html>
Tracking per JavaScript
Verarbeitet der Browser des Nutzers diese Datei, dann wird, ausgelöst durch das <script>-Element eine Verbindung zu www.tracking-beispiel.de aufgebaut und die Datei Tracker.js heruntergeladen. Ganz unabhängig davon, welche Instruktionen die Datei enthält, ist bereits die Instruktion, eine Verbindung zu dem Server aufzubauen, Einwilligungspflichtig.
Bei der Verbindung werden, wie bei jeder Verbindung zu einer Internetseite, Browser-Informationen des Nutzers übermittelt. Nach der uneindeutigen Formulierung der DSK in der OH Telemedien in Rn. 21 gehen einige von einer Ausnahme der Browser-Informationen aus:
Ein Zugriff setzt eine gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen voraus. Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als "Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind", zu werten. Beispiele dafür sind:
- die öffentliche IP-Adresse der Endeinrichtung,
- die Adresse der aufgerufenen Website (URL),
- der User-Agent-String mit Browser- und Betriebssystem-Version und
- die eingestellte Sprache.
Der erste Satz ist dabei nur die Negativformulierung der Ausnahme von der Einwilligungspflicht in §25 TTDSG, wenn ein Zugriff für die zur Verfügungstellung eines vom Nutzer "ausdrücklich gewünschten" Dienstes erforderlich ist. In unserem Beispiel hat der Nutzer die Verbindung zu www.tracking-beispiel.de nicht veranlasst. Auslöser für die Verbindung war die übermittelte html-Datei, welche von uns an den Nutzer übermittelt wurde und über dessen Inhalt nur wir verfügen — nicht der Nutzer.
Auch die Übermittlung der Browser-Informationen scheint nach EDSA und DSK unter Umständen eine Einwilligung zu erfordern.
Tracking per Link
Bei der Verarbeitung des Browsers von dem <a>-Element wird keine Verbindung ausgelöst. Trotzdem wird dies von der EDSA in ihrer neuen Leitlinie als Instruktion aufgefasst. Klickt ein Nutzer auf den Link, wird nicht nur die vom Nutzer gewünschte Verbindung aufgebaut, sondern es wird die Variable "tracking_code=ghsjdfhsjdfhsd" an mutterkonzern.de übertragen. Dies ist oftmals technisch nicht erforderlich für die Bereitstellung der vom Nutzer gewünschten Internetseite und ist somit nach der neuen Auslegung des EDSA in Guidelines 2/2023 einwilligungspflichtig.
Fazit
Sie sehen, es gibt viel zu beachten. Wir empfehlen die Internetseiten Ihres Unternehmens regelmäßig auf die Einhaltung der Vorgaben aus DSGVO und TTDSG zu überprüfen. Gerade wenn Marketing- und IT-Abteilung ohne vorherige Freigabe durch den Datenschutzbeauftragten Änderungen an der Internetseite vornehmen dürfen, schleichen sich schnell immer wieder die gleichen Muster ein.
Automatisierte Analysen der Internetseite können möglicherweise erste Hinweise bieten. Allerdings ist die Beurteilung insbesondere des ausdrücklichen Wunsches des Endnutzers komplex. Wir empfehlen deswegen immer eine Prüfung durch eine fachkundige Person vornehmen zu lassen. Gerne unterstützen wir Sie bei der Analyse und Berichterstellung.