Sind die Cookie-Banner auf Ihrer Webseite datenschutzkonform? Sollte die Antwort „Nein“ oder „Ich weiß es nicht lauten“ sollten Sie hier nachbessern. Das Bayrische Landesamt für Datenschutz führt teilautomatisierte Prüfungen durch. Es wurden bereits 350 Webseiten und 15 Apps beanstandet.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bekannt gegeben, dass es im Rahmen einer anlasslosen, teils automatisierten Prüfung bereits 15 Apps und mehr als 350 Webseiten von bayerischen Betreibern beanstandet hat. Bei den Apps wurde die datenschutzkonforme Einwilligung zur Einbindung von Diensten geprüft, bei den Webseiten die Rechtskonformität der Cookie-Banner. Es ist damit zu rechnen, dass weitere Landesdatenschutzbehörden die Prüfverfahren übernehmen.
BayLDA findet Datenschutzverstöße bei fast allen geprüften Apps
So gut wie alle Smartphone-Apps verarbeiten personenbezogene Daten, teilweise sogar besonders schutzwürdige Daten wie z. B. Gesundheitsdaten, und greifen dabei auf die Mobilgeräte zu, indem sie Gerätekennungen oder andere Merkmale auslesen und übertragen. Ebenso wie Webseiten unterliegen diese Zugriffe und Verarbeitungen personenbezogener Daten dem Telekommunikations-Telemedien- Datenschutzgesetz (TTDSG) und der Datenschutzgrundverordnung (DSGVO).
Einsatz von Drittdiensten bei Apps nur nach Einwilligung zulässig Seit dem 1.12.2021 wird die Rechtmäßigkeit des Schutzes der Privatsphäre bei Endeinrichtungen von § 25 des Telekommunikations-Telemedien-Datenschutzgesetzes (TTDSG) bestimmt. § 25 TTDSG setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie in Deutschland europarechtskonform um. Demnach ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugang zu Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gemäß den Vorgaben der Datenschutzgrundverordnung, insbesondere Art. 4 Nr. 11 und Art. 7 DSGVO zu erfolgen. |
Im Rahmen seiner aktuellen App-Prüfung hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nun die Prozesse untersucht, die direkt nach der Installation beim erstem Öffnen der App stattfinden. Geprüft wurde ein breites Spektrum von Apps, das von Kundenbindungssystemen, über Unterhaltungs- und Freizeitservices bis zu Versicherungsanwendungen reichte. Bei nahezu allen geprüften Apps hat das BayLDA einwilligungspflichtige Vorgänge festgestellt, bei denen die datenschutzrechtlich notwendige Einwilligung der Benutzer nicht eingeholt wurde. Das BayLDA hat die verantwortlichen App-Anbieter aufgefordert, dazu Stellung zu nehmen. Abschließende Ergebnisse der Prüfverfahren und eventuelle Bußgeldbescheide sind im weiteren Jahresverlauf zu erwarten.
Cookie-Banner werden automatisiert geprüft
Für die Prüfung von Einwilligungsbannern (Cookie-Banner) hat das BayLDA eine eigene Software entwickelt. Das Tool ist in der Lage, Webseiten automatisiert daraufhin zu überprüfen, ob neben der Option „Alle Akzeptieren“ auch eine gleichwertige Möglichkeit auf erster Ebene gegeben ist, das Banner ohne Erteilung einer Einwilligung zu schließen. Für Besucher der Webseiten soll es damit möglich sein, ebenso einfach einer Verarbeitung zuzustimmen wie diese abzulehnen.
Option „Keine Einwilligung“ muss auf erster Ebene angeboten werden Bei Einwilligungsbannern ist es zwingend erforderlich, bereits auf der Ebene, auf der die Einwilligung erteilt werden kann, auch eine Alternative anzubieten, mit der das Banner ohne Erteilung einer Einwilligung geschlossen werden kann. Sofern auf erster Ebene nur die Möglichkeiten „Akzeptieren“ und „Einstellungen“ angeboten werden, führt dies dazu, dass über die Schaltfläche „Akzeptieren“ keine rechtswirksame Einwilligung eingeholt wird. Die Voraussetzungen an eine rechtswirksame Einwilligung, sowohl nach § 25 Abs. 1 S. 2 TTDSG als auch Art. 6 Abs. 1 lit. a) DSGVO, ergeben sich insbesondere aus Art. 4 Nr. 11 und Art. 7 DSGVO. |
Die Prüfung des BayLDA knüpft zunächst am Einsatz einer sehr verbreiteten Consent-Management-Plattform (CMP) an, soll in weiteren Durchläufen aber auf weitere CMP-Anbieter und damit eine noch größere Zahl von Webseiten ausgedehnt werden. Im Rahmen des ersten Durchlaufs dieser anlasslosen Untersuchungen wurden bereits mehr als 350 Webseiten aufgegriffen, die den geprüften datenschutzrechtlichen Anforderungen nicht genügen. Deren Betreiber erhalten derzeit die Möglichkeit, sich zu den Feststellungen zu äußern und die Webseite anzupassen.
Details zu den Prüfverfahren Das BayLDA stellt Unterlagen der Prüfverfahren zur Verfügung, damit Verantwortliche und betriebliche Datenschutzbeauftragte diese als Anregung für interne Prüfungen von Apps und Webseiten nutzen können. Ein Informationsblatt zu den rechtlichen Grundlagen der App- und Webseiten-Prüfungen kann heruntergeladen werden. |
Prüfaktion läuft noch bis Ende Mai
Das Ende der Prüfung der Einhaltung der datenschutzrechtlichen Anforderungen auf Webseiten und Apps durch das BayLDA ist für den 22.05.2024 geplant. Es ist aber damit zu rechnen, dass weitere Landesdatenschutzbehörden dem bayerischen Beispiel folgen werden.