Benötigen auch Apps Datenschutzhinweise und einen Cookie-Banner – Teil 2


Datenschutz |

Im ersten Teil dieser kurzen Blogserie haben wir bereits die Frage beantwortet, ob auch Apps Datenschutzhinweise benötigen. Den ersten Teil finden Sie hier.

Im Folgenden zweiten Teil soll es nun um die Frage gehen, ob auch Apps einen Cookie-Banner, ähnlich wie sie bereits die meisten Webseiten verwenden, benötigen.


1.    Warum sind Cookie-Banner überhaupt notwendig?

a.    Was sind Cookies?

Um zu verstehen warum Cookie-Banner rechtlich notwendig sein können, muss zunächst erläutert werden, was unter dem Begriff „Cookies“ überhaupt zu verstehen ist.

Dabei handelt es sich grundsätzlich um kleine Dateien (oftmals nur Textdateien) die auf dem Endgerät des Nutzers abgelegt werden. In diesen Dateien können viele verschiedene Informationen abgelegt werden, z.B. die Login-Daten für einen Account, die gespeicherten Waren in einem Warenkorb, aber es können auch umfangreiche Daten über den Nutzer und die von ihm besuchten Seiten gespeichert werden, welche an den Cookie-Ersteller übermittelt werden können (insbesondere sog. „Tracking“).

 

b.    Wozu werden Cookie-Banner benötigt?

Cookie-Banner sind regelmäßig notwendig, um die Vorgaben aus der ePrivacy-Richtlinie - insbesondere umgesetzt in § 25 TTDSG - und der Datenschutzgrundverordnung (DSGVO) einzuhalten.
Beide Gesetze sind von App- und Webseitenbetreibern gleichermaßen zu beachten, obwohl sie unterschiedlichen Schutzrichtungen dienen.

Die ePrivacy-Richtlinie und § 25 TTDSG schützen in erster Linie die Integrität von Endgeräten (PC, Notebook, Smartphone, etc.). Durch das Gesetz soll ein unbefugter Zugriff auf die Geräte des Nutzers von Dritten verhindert werden.

Die DSGVO hingegen ist vor allem auf den Schutz personenbezogener Daten gerichtet. Dadurch soll die individuelle Freiheit des Menschen gewährleistet werden und eine unbefugte Überwachung verhindert werden.

Um diese gesetzlichen Vorgaben zu erfüllen, müssen die Nutzer über jeglichen Zugriff und alle Datenverarbeitungsvorgänge informiert werden und es müssen ggf. die notwendigen Einwilligungen des Nutzers eingeholt werden. In der Praxis erfolgt dies regelmäßig über einen Cookie-Banner.  

Die Gesetze unterscheiden dabei nicht zwischen Webseiten und Apps. Erfolgt ein Zugriff auf den Speicher eines Endgeräts oder eine Verarbeitung personenbezogener Daten, so sind die Vorgaben aus dem TTDSG und der DSGVO zu beachten.
Einen Appbetreiber treffen insoweit dieselben Pflichten wie einen Webseitenbetreiber.


2.    Werden Cookies auch innerhalb von Apps verwendet?

Cookies können auch innerhalb von Apps verwendet werden. Oftmals werden auch ähnliche Technologien verwendet, bei welchen ebenso auf dem Endgerät des Nutzers Daten mit und ohne Personenbezug lokal abgespeichert werden.
Ähnliche Technologien werden z.B. als „Web-Storage“, „Web-Beacons“ oder „Lokale Software“ bezeichnet.

Rechtlich zieht die Nutzung dieser Technologien dieselben Folgen nach sich. Denn es handelt sich jeweils um die Speicherung von Informationen oder den Zugriff auf Informationen auf dem Endgerät des Nutzers, weshalb die Vorgaben des § 25 TTDSG eingehalten werden müssen. Sind diese Daten auch personenbezogen, müssen ebenso die Vorgaben aus der DSGVO eingehalten werden und es muss ggf. auch eine datenschutzrechtliche Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO eingeholt werden.

 

3.    Wann ist ein Cookie-Banner nicht notwendig?

Im TTDSG sowie in der DSGVO sind Ausnahmen vorhanden, in welchen Fällen eine Datenverarbeitung ausnahmsweise auch ohne vorherige Einwilligung des Nutzers zulässig ist.

Gemäß § 25 Abs. 2 TTDSG ist eine Einwilligung nicht notwendig, wenn die Speicherung von Informationen oder der Zugriff auf solche „…unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Die Ausnahme ist vom Gesetzgeber bewusst sehr einschränkend formuliert worden.
Praktisch gibt es deshalb nur wenige Ausnahmen, in welchen bei der Speicherung von Informationen auf dem Endgerät des Nutzers oder beim Zugriff auf diese keine Einwilligung eingeholt werden muss.

Praktisch relevante Ausnahmen sind vor allem folgende:

⦁    Ein Warenkorb-Cookie – Speicherung der im Onlineshop ausgewählten Produkte
⦁    Login-Daten – z.B. wenn sich ein Nutzer online in seinem Kundenkonto einloggt
⦁    Sprachauswahl
⦁    Cookie-Einstellungen – Die Speicherung der Cookie-Präferenzen des Nutzers erfolgt in einem dafür notwendigen Cookie
⦁    Sicherheitscookie – Sofern ein Cookie allein zu Sicherheitszwecken eingesetzt wird (z.B. zur Verhinderung von sog. „Brute-Force-Angriffen“)


Da das TTDSG als das strengere Gesetz gegenüber der DSGVO im Hinblick auf Cookies gilt, entspricht die Ausnahme aus § 25 Abs. 2 TTDSG in der Praxis auch derjenigen der DSGVO. Die Verarbeitung unbedingt erforderlicher personenbezogener Daten (durch Cookies) kann insbesondere auf die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.


4.    Wie muss ein Cookie-Banner gestaltet sein und welche Informationen müssen bereitgestellt werden?

Grundsätzlich sollte der Cookie-Banner beim ersten Öffnen der App erscheinen. Denn die Information des Nutzers sowie das Einholen der notwendigen Informationen müssen noch vor der tatsächlichen Datenverarbeitung erfolgen. Das bedeutet auch, das Setzen der Cookies bzw. der Zugriff auf den Speicher des Endgeräts darf zu diesem Zeitpunkt noch nicht erfolgt sein und muss standardmäßig deaktiviert sein. Erst durch die Einwilligung des Nutzers wird dies aktiviert (sog. „Opt-In“-Lösung).


a.    Welche Informationen müssen bereitgestellt werden?

Der Nutzer muss über Umfang, Art und Dauer der Datenverarbeitung ausführlich informiert werden. Die notwendigen Informationen umfassen regelmäßig folgendes:

⦁    Name der Cookies
⦁    Art und Zweck der Cookies
⦁    Speicherdauer
⦁    Rechtsgrundlage
⦁    Ggf. Empfänger der Daten
⦁    Ggf. Informationen über Profilbildung

b.    Wie müssen die Button dargestellt werden?

Die Button sollten erst am Ende des Cookie-Banners dargestellt werden, damit sich der Nutzer erst informieren kann, bevor die Einwilligung erteilt oder verweigert wird.

Neben einem „Alles Akzeptieren“-Button sollte in gleicher Größe und Farbe auch ein Button mit „Alle Ablehnen“ vorhanden sein.

Regelmäßig empfiehlt sich zudem noch ein Button mit „Einstellungen“ oder „weitere Optionen“, über welche der Nutzer detaillierte Einstellungen vornehmen kann.


5.    Was hat das Fehlen eines Cookie-Banners zur Folge?

Fehlt ein Cookie-Banner wo dieser rechtlich notwendig ist, so werden nicht nur die gesetzlichen Informationspflichten verletzt, es ist sogar regelmäßig davon auszugehen, dass eine Datenverarbeitung oder der Zugriff auf das Endgerät ohne gültige Rechtsgrundlage erfolgt.

Dies stellt dann einen Gesetzesverstoß dar.
Ein solcher wird als wettbewerbsrechtlich relevant angesehen und kann dementsprechend von Mitbewerbern abgemahnt werden.

Zudem könnte eine Datenschutzaufsichtsbehörde ein Bußgeld gegen den App-Betreiber verhängen oder der Nutzer kann Schadensersatzansprüche geltend machen.