Mike Kuketz
13. Januar 2022 | 17:15 Uhr

TTDSG: Stellungnahme vom ZDF bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft:

Mein Fazit von damals kurz zusammengefasst:

Die Ergebnisse lassen den Schluss zu: Die Verantwortlichen waren die letzten Monate offenbar im Tiefschlaf und haben sich nicht mit dem TTDSG beschäftigt. Anders lässt sich nicht erklären, weshalb alle Apps gegen § 25 TTDSG verstoßen.

Nach der Analyse habe ich sowohl ARD und ZDF um eine Stellungnahme gebeten. Diese vom ZDF liegt nun vor (12.01.2022, 15:11 Uhr):

Sehr geehrter Herr Kuketz,

wie angekündigt kommen wir zurück auf Ihre E-Mail vom 16.12.2021, mit der Sie um Stellungnahme gebeten haben zu den von Ihnen identifizierten Datenverarbeitungen im Rahmen unserer Apps, die sie als Verstoß gegen das TTDSG einstufen.

Zu den von Ihnen aufgeführten Sachverhalten und Ihren Ausführungen in Ihrem Blog kann ich Ihnen die nachfolgenden Erläuterungen geben sowie die rechtlichen Bewertungen darlegen:

Zur Nutzungsmessung des ZDF
Das ZDF führt, wie in unserer Datenschutzerklärung dargestellt, mit unterschiedlichen Instrumenten und Dienstleistern Nutzungsmessungen durch. Dabei dienen die einzelnen eingesetzten Instrumente der Erfassung unterschiedlicher erforderlicher Informationen. Folgende von Ihnen identifizierten Kontaktaufnahmen werden zur Ermöglichung der Nutzungsmessung hergestellt:

config.ioam.de
Dies ist der Aufruf durch die Softwarebibliothek der INFOnline, die das ZDF zur Messung von Page Impressions und Visits im Wettbewerbsvergleich nutzt.

cdn-gl.imrworldwide.com
Dies ist der Aufruf durch die Softwarebibliothek der Firma Nielsen, die das ZDF zur Messung der Video-Streaming-Nutzung im Wettbewerbsvergleich einsetzt.

secure-eu.nmrodam.com
Auch dieser Aufruf erfolgt durch die Softwarebibliothek der Firma Nielsen. Damit wird der Kontakt zum Streaming-Server erstellt, damit man die Video-Abrufe korrekt zuordnen kann.

logs1407.xiti.com
Dies ist der Aufruf durch die Softwarebibliothek der Firma AT Internet, die das ZDF zur tagesaktuellen Webanalyse nutzt, um die Onlineredaktion bei der kurzfristigen Programmierung von Indexseiten zu unterstützen.

Die Nutzungsmessungen sind erforderlich im Sinne von § 25 Abs. 1 TTDSG für ein dem Auftrag des ZDF entsprechendes Angebot. Nach § 30 Abs. 3 MStV hat das ZDF ein zeitgemäß gestaltetes Telemedienangebot anzubieten. Um diesem Auftrag gerecht werden zu können und eine relevantes Angebot gestalten und anbieten zu können, muss das ZDF die Akzeptanz und Nutzung seiner Angebote kennen. Es muss wissen, wie seine digitalen Angebote genutzt werden und was Nutzer*innen interessiert. Darüber hinaus ist das ZDF nach § 31 MStV verpflichtet, über die Erfüllung seines Auftrages zu berichten. Auch dafür ist eine Reichweitenmessung unbedingt erforderlich. Dabei dürfen unsere Dienstleister die Nutzungsdaten nicht zu eigenen Zwecken verwenden oder sie mit anderen Daten zusammenführen. Durch technische und organisatorische Maßnahmen wird in den eingesetzten Verfahren sichergestellt, dass einzelne Nutzer*innen nicht identifiziert werden. Daten, die möglicherweise einen Bezug zu einer bestimmten, identifizierbaren Person haben, werden zum frühestmöglichen Zeitpunkt anonymisiert. Rechtsgrundlage für unsere Nutzungsmessung nach DSGVO ist Art. 6 Abs. 1 lit. e) DSGVO.

Eine Einwilligung in die Nutzungsmessung ist daher entgegen Ihrer Auffassung nicht erforderlich. Das ZDF hat sich aber ungeachtet dessen dazu entschieden, dennoch eine Opt-Out-Möglichkeit anzubieten. Diese wird im Rahmen des Consent-Management-Dialogs, wie Sie festgestellt haben, auf der zweiten Seite einfach auswählbar, zur Verfügung gestellt.

Ungeachtet dessen können wir Ihnen zur Nutzungsmessung durch AT Internet mitteilen, dass wir die Verwendung der AD ID kurzfristig unterbinden werden.

Zur Kontaktaufnahme zu mobile-data.onetrust.io
Das ZDF hat zur Abfrage von Nutzer*innen-Zustimmungen die Consent-Management-Plattform der Firma One-Trust implementiert. Die von Ihnen identifizierte Kontaktaufnahme ist erforderlich, um den Nutzer*innen die Auswahlmöglichkeiten anbieten zu können, die mit dem TTDSG erforderlich gewordenen Zustimmungen einholen zu können. Die Informationen zu Zustimmung und Ablehnung werden jeweils auf dem Endgerät abgelegt. Die entsprechende Datenverarbeitung ist somit erforderlich im Sinne des TTDSG und bedarf daher keiner Zustimmung der Nutzer*innen. Das ZDF hat mit dem Anbieter einen Auftragsverarbeitungsvertrag abgeschlossen, wonach dieser die Daten ausschließlich für die dargelegten und nicht zu eigenen Zwecke verarbeiten darf.

Zur Kontaktaufnahme mit Google-Severn (firebaseinstallations.googleapis.com und android.clients.google.com)
Sowohl firebaseinstallations.googleapis.com als auch android.clients.google.com sind Elemente der Google Push Services. Da wir diesen Service als Distributionsweg der Push-Nachrichten in Anspruch nehmen, werden neue App-Installationen automatisch 1x bei Google registriert. Dabei werden in einem 2-stufigen Verfahren (daher die 2 genannten Domains) IDs und Tokens ausgetauscht und führen zur Speicherung des Push-Tokens auf dem Gerät. Dieses Token wird erst auf Nutzeraktion beim „Abschließen“ eines Push-Abos durch unsere Backends weiterverarbeitet und im Falle einer Push-Nachricht zusammen mit der jeweiligen Pushmeldung an Google geschickt, die wiederum die Push-Nachrichten auslösen. Weitergehende personenbezogene Nutzer*innen-Daten werden nicht mitgesendet.

Da es Auftrag des ZDF ist, ein möglichst breites Publikum bzw. eine entsprechende Nutzerschaft zu erreichen, ist es erforderlich, mit dem App-Angebot in den großen Stores präsent zu sein. Um hier jedoch ein technisch stabiles Angebot präsentieren zu können, sind wir dabei auf die dort vorherrschenden Technologien angewiesen. Es besteht somit im Rahmen der über die Stores angebotenen Apps eine technische Notwendigkeit für die Verarbeitung der entsprechenden Daten.

Um dennoch auch im mobilen Bereich ein attraktives Angebot machen zu können,
bieten wir gerne und aus Überzeugung unsere PWA, d. h. unsere Progressive Web-App als Alternative vor allem für Android-Geräte an. Die PWA ist nach Installation („zum Startbildschirm hinzufügen“) tatsächlich fast ebenbürtig zu einer App und basiert auf reiner Web-Technologie. Gerne werden wir unsere Informationen zu diesem Thema noch einmal ausbauen.

Kontaktaufnahmen zur technischen Zurverfügungstellung der App
Die darüber hinaus von Ihnen identifizierten Kontaktaufnahmen dienen ausschließlich der technischen Zurverfügungstellung der Apps und sind somit ebenfalls im Sinne des TTDSG erforderlich, um die von den Nutzer*innen gewünschten Apps anbieten zu können. Über die Domains api.zdf.de (ZDF), api-settings.zdf.de (ZDF), abgroup.zdf.de (ZDF), zdf-cdn.live.cellular.de erfolgt der Abruf der Inhalte in der ZDFmediathek-App.
Die Schnittstellen liegen dabei auf CDNs des ZDF und/oder unseres Dienstleisters FFW, der im Auftrag des ZDF die App der ZDFmediathek entwickelt. Es werden dabei keine Trackings ausgelöst.

Wir hoffen, dass wir Ihnen damit unsere Datenverarbeitungen sowie deren rechtliche Bewertung erläutern konnten.

Mit freundlichem Gruß

XY

Die Stellungnahme ist umfangreich und keine Standardantwort – das ZDF hat sich also Mühe gemacht, ausführlich zu antworten. Auf ein paar Punkte der Stellungnahme möchte ich nachfolgend eingehen:

Die Nutzungsmessungen sind erforderlich im Sinne von § 25 Abs. 1 TTDSG für ein dem Auftrag des ZDF entsprechendes Angebot. Nach § 30 Abs. 3 MStV hat das ZDF ein zeitgemäß gestaltetes Telemedienangebot anzubieten. Um diesem Auftrag gerecht werden zu können und eine relevantes Angebot gestalten und anbieten zu können, muss das ZDF die Akzeptanz und Nutzung seiner Angebote kennen. Es muss wissen, wie seine digitalen Angebote genutzt werden und was Nutzer*innen interessiert. Darüber hinaus ist das ZDF nach § 31 MStV verpflichtet, über die Erfüllung seines Auftrages zu berichten. Auch dafür ist eine Reichweitenmessung unbedingt erforderlich. Dabei dürfen unsere Dienstleister die Nutzungsdaten nicht zu eigenen Zwecken verwenden oder sie mit anderen Daten zusammenführen. Durch technische und organisatorische Maßnahmen wird in den eingesetzten Verfahren sichergestellt, dass einzelne Nutzer*innen nicht identifiziert werden. Daten, die möglicherweise einen Bezug zu einer bestimmten, identifizierbaren Person haben, werden zum frühestmöglichen Zeitpunkt anonymisiert. Rechtsgrundlage für unsere Nutzungsmessung nach DSGVO ist Art. 6 Abs. 1 lit. e) DSGVO.

Das ZDF stellt sich hier auf den Standpunkt, dass die Nutzungsmessungen »unbedingt erforderlich« sind und daher nach § 25 TTDSG nicht einwilligungsbedürftig sind. In ihrer Orientierungshilfe (OH Telemedien 2021) schreibt die DSK zum Thema Erforderlichkeit auf Seite 25:

Das Merkmal „unbedingt erforderlich“ wird weder im TTDSG noch in der ePrivacy-RL näher definiert. In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen. Denn das Kriterium der Erforderlichkeit im Sinne der Vorschrift bezieht sich ausschließlich auf die Funktionalität des Telemediendienstes als solchen. Eine Ausnahme von der Einwilligungsbedürftigkeit kann daher nicht dadurch begründet werden, dass das Speichern von oder der Zugriff auf Informationen im Endgerät wirtschaftlich für das Geschäftsmodell erforderlich ist, in das der Telemediendienst eingebunden ist.

Die DSK macht in ihrer Orientierungshilfe deutlich, dass es sich um eine technische Erforderlichkeit handeln muss, um den gewünschten Dienst bereitzustellen. Diese technische Erforderlichkeit ist bei Nutzungsmessungen nicht gegeben. Für die technische Funktionserbringung bzw. die App-Nutzung sind diese (aus Nutzerperspektive) schlichtweg nicht erforderlich. Das ZDF begründet die Nutzungsmessungen mit § 30 Abs. 3 MStV – das kann man machen, spielt in diesem Zusammenhang allerdings keine Rolle. Denn beim TTDSG spielt einzig und allein die technische Erforderlichkeit eine Rolle. Oder anders formuliert: Die Website/App-Nutzung ist auch dann noch möglich, wenn alle Nutzungsmessungen/Tracker verschwinden. Insgesamt ist die Nutzungsmessungen kein Dienst, die der Nutzer fordert und/oder erwartet.

Und auch der Bayerische Landesbeauftragte für den Datenschutz sagt in seiner Orientierungshilfe zum TTDSG auf Seite 23:

Cookies, die dem → Tracking zu Marketingzwecken dienen, sind generell als nicht technisch erforderlich anzusehen. Das Gleiche gilt auch für die eingebundenen → Drittdienste beziehungsweise Drittinhalte, welche → Third-Party-Cookies oder andere ähnliche Technologien verwenden. Sie stehen gewöhnlich mit einem Dienst im Zusammenhang, der sich von dem seitens der Nutzerin oder des Nutzers ausdrücklich gewünschten Dienst unterscheidet.

  • Bei der Prüfung der Erforderlichkeit ist auf die Sichtweise der Nutzerin oder des Nutzers abzustellen, nicht auf die der Telemedienanbieterin oder des Telemedienanbieters. Daher sind auch Cookies, die der statistischen Auswertung oder der Webseitenanalyse dienen – selbst wenn sie für die Verbesserung der Webseitenangebote nützlich sein können – als nicht erforderlich anzusehen. Denn sie wirken sich nicht (unmittelbar) auf die Funktionali-tät des durch die Nutzerin oder den Nutzer gewünschten Telemediendienstes aus.
  • Die wirtschaftliche Erforderlichkeit von Cookies (häufig bei nichtöffentlichen Stellen: statistische Datenerhebung zur Abrechnung von Provisionen gegenüber Werbetreibenden) vermag die technische Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG nicht zu begründen.

Weiter schreibt das ZDF:

Eine Einwilligung in die Nutzungsmessung ist daher entgegen Ihrer Auffassung nicht erforderlich. Das ZDF hat sich aber ungeachtet dessen dazu entschieden, dennoch eine Opt-Out-Möglichkeit anzubieten. Diese wird im Rahmen des Consent-Management-Dialogs, wie Sie festgestellt haben, auf der zweiten Seite einfach auswählbar, zur Verfügung gestellt.

Wie eben aufgezeigt ist eine Einwilligung nach § 25 TTDSG erforderlich. Der Einwilligungsbanner (Consent-Management-Dialog) erfüllt überdies nicht die Anforderungen nach DSGVO Ar. 4 Nr. 11, DSGVO Art. 7 und DSGVO Art. 8. Dazu schreibt die DSK in der Orientierungshilfe auf Seite 12 (Unmissverständliche und eindeutig bestätigende Handlung) unter anderem:

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der Nutzenden können demgegenüber keine Einwilligung darstellen. Opt-Out-Verfahren sind daher stets ungeeignet, eine wirksame Einwilligung zu begründen.

Und auf Seite 13 weiter:

Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mittels der ersten Schaltfläche können die Endnutzer:innen unmittelbar und ohne weiteren Aufwand eine zustimmende Willenserklärung abgeben und das Angebot sofort nutzen. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten. Es bedarf dann weiterer Entscheidungen oder Einstellungen, bis das gewünschte Angebot genutzt werden kann. Diese beiden Handlungsoptionen haben somit nicht denselben Kommunikationseffekt.

Ich könnte noch weitere Defizite des Consent-Management-Dialogs nennen – aber ich muss nun wirklich nicht alle Hausaufgaben für das ZDF machen. ;-)

Weiter schreibt das ZDF:

Die darüber hinaus von Ihnen identifizierten Kontaktaufnahmen dienen ausschließlich der technischen Zurverfügungstellung der Apps und sind somit ebenfalls im Sinne des TTDSG erforderlich, um die von den Nutzer*innen gewünschten Apps anbieten zu können. Über die Domains api.zdf.de (ZDF), api-settings.zdf.de (ZDF), abgroup.zdf.de (ZDF), zdf-cdn.live.cellular.de erfolgt der Abruf der Inhalte in der ZDFmediathek-App. Die Schnittstellen liegen dabei auf CDNs des ZDF und/oder unseres Dienstleisters FFW, der im Auftrag des ZDF die App der ZDFmediathek entwickelt. Es werden dabei keine Trackings ausgelöst.

Das habe ich nie angezweifelt und hier bin ich auch absolut einverstanden. Sofern diese Aufrufe technisch erforderlich sind, um den angebotenen Dienst anzubieten, dann ist eine Einwilligung nach § 25 TTDSG nicht erforderlich – überhaupt kommt das TTDSG hier gar nicht zum Tragen, da bei diesem Vorgang auf keine Informationen zugegriffen wird, die auf dem Endgerät gespeichert sind. Die systembedingte Übermittlung der IP-Adresse fällt nicht unter das TTDSG.

Die Fragen, die sich das ZDF nun stellen sollte, sind:

  • Erforderlichkeit Nutzungsmessung: Wie viele Anbieter zur Nutzungsmessung sind tatsächlich erforderlich, um § 30 Abs. 3 MStV zu erfüllen? Sind diese überhaupt erforderlich bzw. würde es nicht ausreichen eine Reichweitenmessung mit einem Tool wie Matomo durchzuführen und so dem Gesetz Genüge zu tun?
  • Beachtung TTDSG: Die Nutzungsmessung ist technisch nicht erforderlich, um die App/den Dienst anzubieten. Eine Einwilligung nach § 25 TTDSG ist demnach erforderlich. Will das ZDF hier nachbessern?
  • Consent-Management-Dialog: Der Einwilligungsbanner (Consent-Management-Dialog) erfüllt diverse Anforderungen nach DSGVO Ar. 4 Nr. 11, DSGVO Art. 7 und DSGVO Art. 8 nicht oder nur unzureichend. Auch hier stellt sich die Frage, ob das ZDF hier nachbessern möchte?

Auch wenn die Rechtsauffassung auseinandergeht, bedanke ich mich beim ZDF für die ausführliche Stellungnahme. Das sollte sich die Deutsche Bahn oder Deutsche Post zum Vorbild nehmen.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Microblog
14. Januar 2022

TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft: ARD Mediathek (Version 9.3.0):…
TTDSG
12. März 2023

Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4

Beim Analysetracking hält sich fast kein Öffentlich-Rechtlicher Sender in Deutschland an die Gesetze für den Daten- und Privatsphäreschutz.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Microblog
8. Dezember 2022

Datenschutzbeauftragter: Rückmeldung bezüglich der KiKa-Player-App

Im November hatte ich die KiKA-Player-App für Android analysiert und aufgezeigt, weshalb diese gegen das TTDSG und auch die DSGVO…
Microblog
15. Dezember 2017

ZDF: Reaktion auf Datenschutzproblem ZDFmediathek-App

Das ZDF missachtet seit geraumer Zeit die eigene Datenschutzerklärung – soweit bekannt. Einige Leser des Kuketz-Blogs haben das ZDF nun mit…
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.