TTDSG and Device fingerprinting

German version below
attention

DISCLAIMER: any information or statements in this section should not be considered legal advice. In particular, you must independently review your contract terms in light of the law. Ratepay shall not be liable for any loss or damage which you have suffered or may suffer in connection with the following. Ratepay recommends that you always seek qualified legal advice in the event of any legal uncertainty.

The TTDSG regulates telecommunications secrecy and contains provisions for the protection of usage data, number suppression and -display, end-user directories, privacy protection for cookies, and supervisory authorities for data protection and privacy in telecommunications. The provisions on telemedia data protection supplement the GDPR (Gerneral Data Protection Regulation) by specifying certain technical and organizational precautions, regulating the processing of personal data of minors, and specifying requirements for the provision of information on inventory and usage data by service providers.

The TTDSG uses the terms of the TKG (Telecommunications Act), the TMG (Telemedia Act) and the GDPR. In addition, the six terms "telemedia provider," "inventory data," "usage data," "message," "value-added service" and "terminal equipment" are legally defined for the scope of application of the TTDSG.

  • Cookies, fingerprints, etc. (§ 25)

Cookies and other identifying data may only be stored or read if the end user has consented. The requirements of the GDPR apply to consent. Consent must be based on clear and comprehensive information and must be given with an unambiguous confirming action. However, consent is not required if the cookies serve solely to carry out the transmission of a message, or if they are absolutely necessary to provide an expressly requested telemedia service.

In our estimation:

Device fingerprinting is generally understood to be information retrieved from the user's terminal device and thus a case to which the new provision of § 25 TTDSG applies. This provision stipulates that consent would generally have to be obtained in advance for retrieving information stored on the user's terminal device - this could make it necessary to adapt Ratepay's processes.

An exception to the consent requirement as described is provided for if the retrieval of the information is absolutely necessary in order to provide a service expressly requested by the user. Specifically related to the situation at Ratepay, this means:

  • Service expressly requested by the user : In our case, this is undoubtedly the case, because the user actively chooses a payment method offered by Ratepay during the check-out process.
  • Retrieval of the information is absolutely necessary to provide the service : As we understand it, the device fingerprints are retrieved primarily to prevent fraud and abuse. Exactly which measures are considered absolutely necessary by the TTDSG has not yet really been specified by authorities and case law. In our understanding, it can certainly be argued that the retrieval of device fingerprints is absolutely necessary for Ratepay. On the one hand, this follows from regulatory requirements (e.g., § 53 of the ZAG), according to which payment service providers such as Ratepay are legally required to take measures to control risks (such as fraud). On the other hand, from

    WP 194 of the Article 29 Working Party ,

    which does not specifically address device fingerprinting for fraud prevention, but explicitly considers "user-facing security cookies" as strictly necessary and thus exempt from the obligation to obtain consent. The criteria found for "user-oriented security cookies" can also be applied to Ratepay's device fingerprinting: They also serve to improve the security of the service explicitly requested by the user (i.e., the Ratepay payment method). In our view, the above arguments support the view that device fingerprinting is absolutely necessary for Ratepay and therefore consent is not mandatory. Of course, it cannot be ruled out that the responsible supervisory authorities could take a different view in individual cases due to the legal situation, which has not yet been fully (judicially) clarified. It is therefore important to document precisely why device fingerprinting is necessary for fraud detection, in particular that there are no comparable other means with which fraud could be similarly effectively prevented.

It is important to note:

  • Narrow purpose limitation of data use: In order to ensure that the above-mentioned criterion of absolute necessity is met, it is necessary that the information from device fingerprinting is actually used exclusively for the purpose of fraud prevention. If the information is also used for other purposes, it is necessary to check in each individual case whether this is absolutely necessary for the provision of the Ratepay service.
  • Other legal issues, such as the transfer of data to US service providers, continue to exist and are not "resolved" by the new law.

IP addresses are also another data point. According to general understanding, § 25 TTDSG and the principles explained above also apply to this. In order to be able to answer whether the retrieval of the IP address is necessary for the provision of the service, it would be necessary to know for what purpose this data point is collected (i.e., also for fraud prevention or possibly also for other purposes).

DEUTSCHE FASSUNG

attention

HAFTUNGSAUSSCHLUSS: alle Informationen oder Erklärungen in diesem Abschnitt sind nicht als Rechtsberatung zu betrachten. Insbesondere müssen Sie Ihre Vertragsbedingungen im Hinblick auf das Gesetz selbständig überprüfen. Ratepay haftet nicht für Verluste oder Schäden, die im Zusammenhang mit den nachstehenden Ausführungen bei Ihnen entstanden sind oder entstehen können. Ratepay empfiehlt, im Falle von Rechtsunsicherheiten stets qualifizierten Rechtsrat einzuholen.

Das TTDSG regelt das Fernmeldegeheimnis und enthält Vorschriften für den Schutz von Nutzungsdaten, für die Rufnummernunterdrückung und -anzeige, für Endnutzerverzeichnisse, für den Schutz der Privatsphäre bei Cookies und für die Aufsichtsbehörden für Datenschutz und Schutz der Privatsphäre in der Telekommunikation. Die Bestimmungen zum Telemediendatenschutz ergänzen die DS-GVO (Datenschutz Grundverordnung) um die Vorgabe bestimmter technischer und organisatorischer Vorkehrungen, um die Regelung der Verarbeitung personenbezogener Daten von Minderjährigen sowie um Vorgaben zur Auskunftserteilung über Bestands- und Nutzungsdaten durch Diensteanbieter.

Das TTDSG verwendet die Begriffe des TKG (Telekommunikationsgesetz) des TMG (Telemediengesetz) und der DS-GVO. Zusätzlich werden die sechs Begriffe „Anbieter von Telemedien“, „Bestandsdaten“, „Nutzungsdaten“, „Nachricht“, „Dienst mit Zusatznutzen“ sowie „Endeinrichtung“ für den Anwendungsbereich des TTDSG legaldefiniert.

  • Cookies, Fingerprints etc. (§ 25)

Cookies und andere identifizierende Daten dürfen nur gespeichert oder ausgelesen werden, wenn der Endnutzer eingewilligt hat. Für die Einwilligung gelten die Voraussetzungen der DS-GVO. Die Einwilligung muss auf der Grundlage von klaren und umfassenden Informationen beruhen und mit einer eindeutigen bestätigenden Handlung erfolgen. Eine Einwilligung ist aber nicht erforderlich, wenn die Cookies allein der Durchführung der Übertragung einer Nachricht dienen, oder wenn sie unbedingt erforderlich sind, um einen ausdrücklich gewünschten Telemediendienst zu erbringen.

Nach unserer Einschätzung:

Beim Device Fingerprinting handelt es sich nach allgemeinem Verständnis um Informationen, die aus dem Endgerät des Nutzers abgerufen werden und damit auf einen Fall, auf den die Neuregelung des § 25 TTDSG anwendbar ist. Diese Vorschrift sieht vor, dass für den Abruf von Informationen, die auf dem Endgerät des Nutzers gespeichert sind, grundsätzlich im Vorfeld eine Einwilligung eingeholt werden müsste – dies könnte eine Anpassung der Prozesse bei Ratepay notwendig machen.

Eine Ausnahme vom beschriebenen Einwilligungserfordernis ist dann vorgesehen, wenn der Abruf der Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. Konkret auf die Situation bei Ratepay bezogen heißt das:

  • Vom Nutzer ausdrücklich gewünschter Dienst : Dies liegt in unserem Fall unzweifelhaft vor, denn der Nutzer entscheidet sich ja aktiv im Rahmen des Check-Outs für eine von Ratepay angebotene Zahlart.
  • Abruf der Information unbedingt erforderlich, um den Dienst zur Verfügung zu stellen : Nach unserem Verständnis werden die Device Fingerprints vor allem abgerufen, um Betrugsfälle zu vermeiden und Missbrauch vorzubeugen. Welche Maßnahmen genau vom TTDSG als unbedingt erforderlich angesehen werden, ist durch Behörden und Rechtsprechung noch nicht wirklich konkretisiert worden. Nach unserem Verständnis lässt es sich allerdings durchaus vertreten, dass der Abruf von Device Fingerprints für Ratepay unbedingt erforderlich ist. Das ergibt sich zum einen aus den regulatorischen Vorgaben (z.B. § 53 ZAG), nach denen Zahlungsdienstleister wie Ratepay gesetzlich verpflichtet sind, Maßnahmen zur Beherrschung von Risiken (wie z.B. Betrug) zu treffen. Andererseits aus dem

    WP 194 der Artikel-29-Datenschutzgruppe ,

    das zwar nicht konkret auf das Device Fingerprinting zur Betrugsprävention eingeht, aber „nutzerorientierte Sicherheitscookies“ ausdrücklich als unbedingt erforderlich und damit von der Pflicht zur Einholung einer Einwilligung ausgenommen ansieht. Auch auf das Device Fingerprinting von Ratepay lassen sich die für die „nutzerorientierten Sicherheitscookies“ gefundenen Kriterien anwenden: Sie dienen ebenfalls der besseren Sicherheit des vom Nutzer ausdrücklich angeforderten Dienstes (also der Ratepay Zahlart). Die genannten Argumente sprechen aus unserer Sicht dafür, dass das Device Fingerpringting bei Ratepay unbedingt erforderlich ist und eine Einwilligung daher nicht zwingend eingeholt werden muss. Natürlich ist nicht ausgeschlossen, dass die zuständigen Aufsichtsbehörden aufgrund der noch nicht vollständig (gerichtlich) geklärten Rechtslage hier im Einzelfall anderer Ansicht sein könnten. Wichtig ist es deshalb genau zu dokumentieren, warum das Device Fingerprinting zur Betrugserkennung erforderlich ist, insbesondere dass es keine vergleichbaren anderen Mittel gibt, mit denen Betrug ähnlich wirksam verhindert werden könnte.

Wichtig dabei zu beachten ist dann aber:

  • Enge Zweckbindung der Datennutzung: Damit das oben genannte Merkmal der unbedingten Erforderlichkeit gewahrt wird, ist es notwendig, dass die Informationen aus dem Device Fingerprinting auch tatsächlich ausschließlich zum Zweck der Betrugsvermeidung genutzt werden. Wenn die Informationen auch für andere Zwecke genutzt werden, ist es notwendig jeweils im Einzelfall zu prüfen, ob dies für die Erbringung der Ratepay-Dienstleistung unbedingt erforderlich ist.
  • Andere rechtliche Probleme, wie z.B. die Übermittlung der Daten an US-Dienstleister, haben weiter Bestand und werden durch das neue Gesetz nicht „aufgelöst“.

Ein weiterer Datenpunkt sind außerdem die IP-Adressen. Auch dafür gilt nach allgemeinem Verständnis auch der § 25 TTDSG und die oben erläuterten Grundsätze. Um allerdings beantworten zu können, ob der Abruf der IP-Adresse für die Zurverfügungstellung des Dienstes erforderlich ist, wäre es notwendig zu wissen, zu welchem Zweck dieser Datenpunkt erhoben wird (also z.B. auch zur Betrugsvermeidung oder ggf. auch noch zu weiteren Zwecken).