13 Cookie-Banner und neues TTDSG

I. Allgemeines

  • Das TTDSG ist seit 01.12.2021 in Kraft.
  • Es enthält strengere Regelungen als die DS-GVO.
  • Es erfasst bzw. schützt nicht nur personenbezogene Daten.
  • Das TTDSG dient der Integrität von Endeinrichtungen (Handys, Tablets, Laptops, PC u.ä).
  • Es betrifft unter anderem jeden Webseiten- oder App-Betreiber, aber auch Smart-Home-Anwendungen („Anbieter eines Telemediendienstes“).

Die aktuell wichtigsten Themen betreffen die Frage des Einwilligungsmanagements (siehe unten III)

II. Änderungen im Bereich der Cookie-Einwilligung

Das TTDSG sieht in § 25 eine strengere Einwilligungspflicht vor. Geschützt werden Daten auf Endeinrichtungen. Eine Endeinrichtung ist praktisch jedes Gerät, das am Internet angeschlossen wird. Endeinrichtungen in geschlossenen Netzwerken sind damit nicht erfasst (etwa in Firmennetzwerke, dann ist aber die DS-GVO zu beachten). Das Einwilligungserfordernis gilt also insbesondere für Webseiten, Apps und Smart-Home-Anwendungen die mit dem Internet direkt oder indirekt verbunden sind.

Für das Einwilligungserfordernis ist die Art der Daten grundsätzlich irrelevant, ob personenbezogen oder anonym. Sobald eine Speicherung in der Endeinrichtung oder der Zugriff auf Informationen erfolgt, die bereits auf der Endeinrichtung gespeichert sind, ist eine Einwilligung erforderlich.

§ 25 TTDSG geht Art. 6 Abs. 1 lit. f DS-GVO vor. Der Einsatz von Cookies richtet sich damit insbesondere nach § 25 TTDSG (Einwilligung) und kann nicht mehr auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) gestützt werden.

1. Ausnahmen

Es gibt jedoch zwei besonders geregelte Ausnahmetatbestände in § 25 Abs. 2 TTDSG:

Keine Einwilligungspflicht:

a) Notwendig, um den Dienst zur Verfügung zu stellen 

Die erste Ausnahme gilt etwa für Internet-Zugangsprovider oder andere Telekommunikationsunternehmen. Für Cookies ist sie weniger relevant. 

b) Unbedingt erforderlich und vom Nutzer ausdrücklich erwünscht 

Diese Ausnahme ist für Cookies relevant. Aktuell ist davon auszugehen, dass der geforderte ausdrückliche Wunsch nicht durch Zustimmung von AGB geäußert werden kann. Ein Hinweis auf den zu äußernden Wunsch müsste sehr deutlich sein, sodass er einer Einwilligung gleich käme.

Der Einsatz unbedingt erforderlicher („notwendiger“ bzw. „essentieller“) Cookies bedarf, nach wie vor, keiner Einwilligung, wenn dies aus Nutzersicht der Fall ist. Wann solche Cookies und welche Cookies unbedingt erforderlich sind, ist nicht abschließend geklärt und muss immer von der Webseite her betrachtet werden. 

Beispiele Einwilligungsfrei (Ausnamen):

Cookies zu Nutzereingaben, Warenkorbinhalten, Login-Status, Sprachauswahl, Cookie-Opt-In, Wiedergabe von Multimedia-Inhalten (sofern sie für die Wiedergabe essenziell sind), Reichweitenmessung (wenn sie nicht mit einem Werbenetzwerk verbunden ist und nur anonyme Statistiken erstellt werden, kein Tracking über Webseiten hinweg erfolgt und die Daten Dritten nicht bereitgestellt werden) und Lastenverteilung können als einwilligungsfrei eingestuft werden. 

2. Einwilligungspflichtig alle anderen Cookies

Einwilligungspflichtig bleiben damit alle anderen Cookies (wenn nicht, aus Nutzersicht, unbedingt erforderlich), Web Storage, Web-Beacons, digitale Fingerabdrücke (jedenfalls sobald die Informationen durch ausgelesene Daten angereichert werden). Cookies zur Konversionsmessung und zum Remarketing sind jedenfalls von einer Einwilligung abhängig.

Aktuell noch unklar – „Komfort-Cookies“ u.a.

Die Bewertung von Komfort-Cookies (etwa Abspielstand eines Videos), Design-Cookies (wenn die Inhalte etwa auch ohne diese lesbar sind) und Cookies zur Sicherheit des Anbieters (vor Betrugsfällen im Onlineshop) ist derzeit noch unklar. Hierzu erfolgt aktuell die Empfehlung für solche Cookies auch eine Einwilligung einzuholen.

III. Cookie-Consent-Management

1. Wirksame Einholung der Einwilligung

Die Einwilligung kann mithilfe der bekannten Consent Management Plattformen eingeholt werden („Cookie Banner“). Die Anforderungen an die Einwilligung richten sich nach der DS-GVO, sodass hieran keine höheren, als bereits bekannte, Anforderungen gestellt werden. Die Einwilligung muss dementsprechend aktiv eingeholt werden, zudem muss über die Zwecke der Verarbeitung, die Lebensdauer von Cookies, Benennung der Dienstleister die die Cookies verarbeiten und die Widerspruchsmöglichkeit informiert werden. Vor allen Dingen aber gilt: Keine Cookie-Aktivierung bevor ein Nutzer die Einwilligung erteilt hat.

2. Aktuelle Stellungnahme der Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz (DSK) – der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz hat vorgestern Ihre neue „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ veröffentlicht. https://www.datenschutzkonferenz-online.de/media/oh/20211220ohtelemedien.pdf 

3. Empfehlung: Konkreter Aufbau des Banners

Die Einwilligung muss aktiv erteilt werden. Etwaige Checkboxen dürfen nicht vorbelegt sein. 

Der Cookie Banner muss je einen eigenen Button für „Annehmen“ und für „Ablehnen“ haben. 

Die beiden Buttons müssen gleichermaßen erreichbar sein. Die Erreichbarkeit auf einer anderen Ebene/Untermenü ist nicht zulässig. Es muss daneben einen Button oder Link zu „Datenschutz-Einstellungen“ geben, von dem mit dem z.B. der Widerruf bzgl. Cookies leicht durchgeführt werden kann.

Vermeidung von „Nudging“ (engl. „Anstpubsen“): Durch optische Hervorhebungen (zum Beispiel Farbe) darf die Möglichkeit der Annahme oder Ablehnung nicht in die eine oder andere Richtung gelenkt werden.

Umfangreiche Information bereits im Banner erforderlich: bereits im Banner müssen die Nutzer umfangreich informiert werden – über Zwecke der eingesetzten Tools; Anzahl der Anbieter und Tools; Sitz des Anbieters, falls außerhalb EU.

IV. Ausblick: Cookie-Banner freie Webseiten durch PIMS§ 26 TTDSG ermöglicht in Zukunft ein einfacheres Einwilligungsmanagement durch sogenannte „Personal Information Management Services (PIMS)“. Gemeint sind solche Dienste, mit denen Einwilligungen unabhängig vom Besuch einer Webseite, vorab, eingestellt werden können und dann für alle Webseitenbesuche gelten und beim Besuch einer Webseite automatisch berücksichtigt werden. Diese Dienste dürfen jedoch kein wirtschaftliches Interesse verfolgen und müssen offiziell anerkannt sein. Da dies noch einer Rechtsverordnung bedarf und dann ein Genehmigungsverfahren durchlaufen werden muss ist davon auszugehen, dass die PIMS erst in 2022/2023 relevant werden.

TEILEN SIE DEN PODCAST !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.