Im November hatte ich die KiKA-Player-App für Android analysiert und aufgezeigt, weshalb diese gegen das TTDSG und auch die DSGVO verstößt. An dieser Einschätzung halte ich auch weiterhin fest.

Anbei die Stellungnahme des zuständigen Datenschutzbeauftragten:

Sehr geehrter Herr Kuketz,

vielen Dank für Ihre Mail vom 21.November 2022 sowie Ihre Hinweise zur KiKa-Player-App auf kuketz-blog.de.

Sie beanstanden unter Hinweis auf § 25 TTDSG, dass unmittelbar nach dem Start und ohne Nutzeraktion Gerätedaten an das Microsoft Visual Studio App Center übermittelt werden, ohne dass ein (Cookie-)Consent-Banner eingeblendet noch auf eine andere Art über die Datenverarbeitungen informiert werde.

Es ist richtig, dass Informationen über Gerät und Betriebssystem an das App Center von Microsoft gelangen. Diese sind Grundvoraussetzung, um ein Crashreporting sowie ein Analysetool (das bspw. auch Fehler beim Videodownload anzeigt) überhaupt erst anbieten zu können. Die unmittelbare Erhebung technischer Informationen, wie etwa Gerätehersteller und Softwareversion, wird vorgenommen, um technische Fehler durch die genannten Tools zu analysieren und die Stabilität des Angebots zu gewährleisten. Da bestimmte technische Probleme u.a. nur bei einzelnen Gerätetypen und/oder bestimmten Displaygrößen auftreten, werden die Daten zur Sicherheit und Fehlerbehebung verarbeitet. Nach Maßgabe des TTDSG sehen wir kein Erfordernis der Einholung von Einwilligungen, denn der KiKA-Player soll im Interesse der Nutzenden sicher, schnell und stabil zur Verfügung gestellt werden. Solche flankierenden Komponenten zum fehlerfreien und sicheren Aufruf des Angebots unterfallen § 25 Abs. 2 TTDSG und können daher insgesamt ohne Einwilligung vorgenommen werden. So werden Cookies zur Fehleranalyse und zu Sicherheitszwecken auch in der Kommentierung (Assion, TTDSG, § 25 Rn. 37 m.w.N.) als „unbedingt erforderlich“ genannt.

Sie bemängeln auch hinsichtlich der Nutzungsmessungen von Nielsen, INFOnline GmbH und XiTi I AT Internet, dass unmittelbar nach dem Start Gerätedaten übermittelt werden.

Wie Ihnen aus den bereits vorliegenden Stellungnahmen des öffentlich-rechtlichen Rundfunks bekannt ist, werden unterschiedliche Verfahren und Dienstleister eingesetzt, um die Nutzung der Telemedienangebote zu erfassen und auszuwerten.

Die Rundfunkanstalten und damit auch KiKA haben einen verfassungsrechtlich verankerten, in § 30 Medienstaatsvertrag konkretisierten Funktionsauftrag, wonach sie u.a. verpflichtet sind, zeitgemäße Telemedienangebote zu gestalten, was allein den Hintergrund für die Beteiligung am publizistischen Wettbewerb der elektronischen Medien bildet. Dies setzt die Kenntnis des jeweiligen Rezeptionsverhaltens und damit die Möglichkeit voraus, auf veränderte publizistische Anforderungen rasch und effektiv reagieren zu können.

Die Nutzungsmessung der genannten Dienstleister, mit denen jeweils ein Auftragsverarbeitungsvertrag besteht, stellt sich wie folgt dar:

a) Nielsen
Ziel: Erfassen der Videosichtungen
Die Messsoftware von Nielsen verwendet Tags (einschließlich Pixel Tags) oder Wasserzeichen, um Daten zu erheben, die Rückschlüsse auf die konkrete Nutzung einzelner Videos zulassen (Identifikation des Beitrags, Nutzung über Website oder App, gerätebezogene Merkmale u.a.). Nielsen setzt dafür keine Cookies ein. Die jeweilige IP-Adresse wird unmittelbar nach Erfassung genutzt, um festzustellen, aus welchem Land der Abruf stammt, und anschließend noch auf dem Collection Server in Deutschland gehasht. Nielsen verarbeitet anschließend ohne Vergabe einer Zufalls-ID ausschließlich die anonymisierten Nutzungsdaten.

b) INFOnline
Ziel: Erfassen anderer Mediendiensteanbieter und vergleichbarer Visits und Page-Impressions und Abgleich über Portal onlinereichweiten.de (https://ivw.de/ivw/ziele-aufgaben).
INFOnline setzt Cookies ein. Die jeweilige IP-Adresse wird unmittelbar nach Erfassung auf dem
Collection-Server um das letzte Oktett gekürzt (bzw. genullt). Weitere (personenbezogene) Daten werden nicht verarbeitet. Diese Nutzungsmessung wird im Übrigen zum 31.12.2022 eingestellt.

c) XiTi I AT-Internet
Ziel: redaktionelle Konfiguration des Angebots.
AT Internet setzt Cookies ein. Die jeweilige IP-Adresse wird unmittelbar nach Erfassung um die
letzten drei Stellen gekürzt. Weitere (personenbezogene) Daten werden nicht verarbeitet.

Insoweit gelangen Local Storage-Elemente zum Einsatz, wofür es grundsätzlich gemäß § 25 Abs. 1 TTDSG in informierter Weise einer Einwilligung bedarf. Dies ist jedoch nach Abs. 2 Nr. 2 entbehrlich „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“.

Dem Wortlaut nach bezieht sich die Erforderlichkeit auf den individuellen Wunsch des Nutzers, dem KiKA nicht anders als mithilfe der konkret – hier die anonymisierte Nutzungsmessung – eingesetzten Verarbeitungsvorgänge Rechnung tragen kann, ohne diesen ausdrücklich erklären zu müssen. Der KiKA-Player wird aus dem Rundfunkbeitrag finanziert. Die Beitragszahler haben zwar keinen individualisierbaren Anspruch auf ein Angebot, das ihre Interessen und Präferenzen vollständig berücksichtigt und bedient, aber darauf, dass KiKA mit den ihm zur Verfügung stehenden Beitragseinnahmen ein im publizistischen Wettbewerb bestmöglich konkurrenzfähiges Angebot zur Verfügung stellt. Damit ist die zu Zwecken der Nutzungsmessung durchgeführte Datenverarbeitung für KiKA auch unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Auch die Datenschutzkonferenz (OH Telemedien 2021, Version 1.1, Rn. 87) hält eine „Reichweitenmessung“ ohne Einwilligung zumindest nicht für ausgeschlossen, sobald eine genau definierte Konfiguration und Zweckbestimmung getroffen wird. Die „unbedingte Erforderlichkeit“ gemäß § 25 Abs. 2 Nr. 2 TTDSG ist demgemäß nicht ausschließlich im technischen Sinne zu verstehen.

Hierzu zählt auch die beanstandete Altersangabe, da hierdurch festgestellt werden kann, ob in der App ein Altersfilter für die Darreichung entsprechender Inhalte gesetzt wurde oder ob der Nutzer in der App für dieses Profil die dort angebotene, zeitliche Nutzungsbegrenzung für Kinder (sog. App-Wecker) eingeschaltet hat. XiTi I AT-Internet erhält im Übrigen keine Altersangabe (und auch nicht den Avatar). Client- und Session IDs sind Voraussetzung um (einzelne) Page Impressions zu Visits aggregieren zu können. Kern der Nutzungmessung ist die Information, welche Inhalte von Nutzern in welchem Umfang konsumiert werden, um die angebotenen inhalte anpassen und verbessern zu können.

Dass dafür spezialisierte IT-Dienstleister beauftragt werden, liegt an der Komplexität und dem erheblichen Aufwand der Messungen und Analysen. Dazu zählen u.a. ein extrem breites Spektrum unterschiedlichster inhaltlicher Daten, die Anonymisierung der Daten, Aggregation und Clusterung, IT-Sicherheits-Anforderungen und Anpassungen an die sich kontinuierlich ändernden Voraussetzungen der Endgeräte, Betriebssysteme und Applikationen.

Da die beanstandeten Nutzungsmessungen wie ausgeführt aus unserer Sicht im Einklang mit § 25 Abs. 2 TTDSG stehen, besteht m.E. auch kein Widerspruch in der Datenschutzerklärung. Auch bedurfte es hinsichtlich der Datenübermittlung an die Absturz- und Analysedienste unmittelbar nach dem Start (und laut Kommentierung auch darüber hinaus) keiner Einwilligung, so dass dies nicht in der Datenschutzerklärung erforderlich war.

Beste Grüße

Nein. Einfach nein. Es ist einfach unfassbar. Da werden Absturz- und Analysedienste kurzerhand nach Artikel 25 Abs. 2 Nr. 2 TTDSG als »unbedingt erforderlich« charakterisiert. Nach dieser Logik ist eine Einwilligung nicht erforderlich.

Schauen wir uns Artikel 25. Abs. 2 Nr. 2 nochmal in Ruhe an:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Die alles entscheidende Frage lautet nun: Ist ein Absturz- und Analysedienst für die Funktionserbringung der App/des gewünschten Telemediendienstes unbedingt erforderlich?

Nein!

Die Langfassung: Bei einem komplex gestalteten Telemedien-Angebot mit einer Vielzahl an Funktionen kann man dem Nutzer nicht zumuten, dass er sich das gesamte Angebot an Diensten gewünscht hat. Abzustellen ist vielmehr auf »einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft«. Diese enge Auslegung versucht zu verhindern, dass Anbieter von Telemedien eine Vielzahl an zusätzlichen Diensten, die der Nutzer nicht nutzt/benötigt, einbauen und so durch die breit ausgelegte Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG einen invasiven Eingriff in die Integrität der Endeinrichtung des Nutzers vornehmen kann.

Relevant wird dieser Punkt, wenn bspw. unklar ist, ob der Dienst lediglich eine Erweiterung des Basisdienstes ist, oder ob er eine derart große Bedeutung hat, dass die App ohne ihn dem Nutzer nicht die Funktionen im gewünschten Umfang liefern kann. Dies trifft vor allem bei Zusatzdiensten zu, bspw. bei Absturz- und Analysedienste wie Crashlytics. Sind die verwendeten Absturz- und Analysedienste

Microsoft Visual Studio App Center
Nielsen
INFOnline
XiTi I AT-Internet

als unerlässlich für die Funktionsfähigkeit der KiKa-Player-App zu bewerten? Nein, denn grundsätzlich ist das Funktionieren einer Software/App nicht von der Erstellung und Übermittlung eines Absturzberichtes/Analysedaten abhängig. Somit bedürfen die Speicherung und das Auslesen der Gerätedaten einer Einwilligung des App-Nutzers. Microsoft Visual Studio App Center und Co. als Absturz- und Analysedienst sind nicht unbedingt notwendig i.S.d § 25 Abs. 2 Nr. 2 TTDSG und werden daher nicht vom entsprechenden Ausnahmetatbestand erfasst.

Bottomline: Das war mein letzter Versuch, dem öffentlich-rechtlichen Rundfunk zu vermitteln, dass ich ihre Rechtsauffassung nicht teile. Letzter Ausweg: Gerichte müssen in baldigen Verfahren zu diesem Thema ein Urteil sprechen.

Update 15.12.2022

Nun liegt auch die Stellungnahme des Rundfunkdatenschutzbeauftragten vor. Diese schlägt in dieselbe Kerbe, wie der Datenschutzbeauftragte. Ich sehe daher keine Notwendigkeit, diese erneut zu kommentieren.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡