Cookies nehmen im Rahmen der Datenschutzgrundverordnung (DSGVO) eine wichtige Rolle ein. Insbesondere, wenn es um die Bereitstellung einer Website geht. Bisher war der Einsatz von Cookies in der DSGVO sowie der ePrivacy- oder auch Cookie-Richtlinie, geregelt. Die Cookie-Richtlinie wurde durch das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), das am 01.12.2021 in Kraft trat, nach vielen Jahren endlich in nationales Recht umgesetzt. Dieses enthält spezielle Regeln für den Einsatz von Cookies auf Websites. Welche Neuheiten sich für die Zustimmung zum Cookie-Tracking ergeben und welche Inhalte ein Cookie-Banner zwingend haben sollte, lesen Sie im folgenden Beitrag.
Das Wichtigste in Kürze
- Das TTDSG soll die Datenschutzvorschriften für Telekommunikations- und Telemediendienste aus der DSGVO ergänzen und präzisieren.
- Geht mit der Setzung von Cookies eine Verarbeitung personenbezogener Daten einher, was in der Regel der Fall ist, sind sowohl das TTDSG als auch die DSGVO sowie die Cookie-Richtlinie zu beachten.
- Werden im konkreten Anwendungsbereich des TTDSG Daten verarbeitet, die einen Personenbezug aufweisen, ist das TTDSG vorrangig vor der DSGVO anzuwenden.
Verhältnis des TTDSG zur DSGVO
Das Verhältnis des TTDSG zur DSGVO ist noch nicht abschließend geklärt. Allerdings kann gesagt werden, dass das TTDSG die Datenschutzvorschriften für Telekommunikations- und Telemediendienste aus der DSGVO ergänzen und präzisieren soll.
Sofern beim Einsatz von digitalen Diensten keine Verarbeitung von personenbezogenen Daten stattfindet, sind nur die Vorgaben des TTDSG zu beachten. Der Anwendungsbereich der DSGVO ist nur dann eröffnet, wenn Daten mit Personenbezug verarbeitet werden. Werden Cookies zur Nachverfolgung des Nutzerverhaltens gesetzt, geht damit in der Regel eine Verarbeitung personenbezogener Daten einher, sodass sowohl das TTDSG als auch die DSGVO sowie die Cookie-Richtlinie anzuwenden sind. Dies ergibt sich insbesondere aus dem in § 25 Abs. 1 S. 2 TTDSG enthaltenen Verweis auf die DSGVO.
Im Falle einer Kollision der beiden Regelungswerke regelt Art. 95 DSGVO, dass das TTDSG als nationale Ausgestaltung der ePrivacy-Richtlinie, sofern das TTDSG bereits für den jeweiligen Fall entsprechende Regelungen vorsieht, die dasselbe Ziel wie die DSGVO verfolgen, vorrangig vor der DSGVO anzuwenden ist.
Regeln für die Einwilligung im TTDSG
Das TTDSG enthält deutlich schärfere Regeln für die Einwilligung. Im Fall von Verstößen gegen die Einwilligungspflicht sollen Unternehmen Abmahnungen sowie empfindliche Bußgelder in Höhe von bis zu 300.000 Euro drohen. Dies gilt insbesondere dann, wenn Cookies zu Marketingzwecken oder Profiling gesetzt werden oder die Informationspflichten im Hinblick auf Cookies und die Datenschutzerklärung nicht hinreichend erfüllt werden. Nach § 25 Abs. 1 TTDSG dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung vorliegt, die den Anforderungen der DSGVO entspricht oder eine gesetzliche Ausnahme vorliegt. Ob eine Einwilligung nach § 25 Abs. 1 S. 1 TTDSG wirksam ist, beurteilt sich nach denselben Maßstäben, die bei einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO anzuwenden sind.
Ausnahmen vom Einwilligungserfordernis
Eine Pflicht zur Einholung einer Einwilligung besteht gem. § 25 Abs. 2 TTDSG dann nicht, wenn die Cookies zum Einen ausschließlich der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen und zum Anderen, dann wenn sie technisch unbedingt erforderlich sind. Als technisch erforderlich sind Cookies nur dann einzustufen, wenn sie für den Betrieb der Internetseite erforderlich sind und deren Grundfunktionen ermöglichen oder der Anbieter den vom Nutzer aufgerufenen Dienst nur unter Verwendung von Cookies zur Verfügung stellen kann. Dies trifft beispielsweise auf Login-, Authentifizierungs- und Warenkorb-Cookies zu.
Anforderungen an die Cookie-Einwilligung
Zu beachten ist hierbei, dass eine Cookie-Einwilligung in jedem Fall informiert, freiwillig, durch eine unmissverständliche Willensbekundung und als eindeutig bestätigende aktive Handlung erteilt werden muss. Eine wirksame Cookie-Einwilligung ist damit nur durch eine proaktive Handlung des einwilligenden Website-Nutzers zu erreichen. Dies lässt sich technisch bisher allein durch ein Opt-In Verfahren realisieren, bei dem der Nutzer seine Zustimmung durch das Setzen eines Häkchens erteilt. Im Übrigen ist es datenschutzrechtlich unzulässig, für die Cookie-Einwilligung bereits vom Website-Betreiber voreingestellte Häkchen zu präsentieren, sodass der Nutzer nur bei einer Ablehnung aktiv werden muss. Die Einwilligung des Nutzers muss aus eigenem Antrieb erfolgen.
Einwilligungseinholung mittels Cookie-Banner
Grundsätzlich braucht nicht jede Website einen Cookie-Banner. Findet keine einwilligungsbedürftige Datenverarbeitung statt, ist nach DSGVO und TTDSG auch keine Einwilligung erforderlich. Sofern Cookies verwendet werden, die nicht der Nutzereinwilligung bedürfen, muss in der Datenschutzerklärung dennoch auf den Cookie-Einsatz hingewiesen werden. Zu beachten gilt ferner, dass eine Einwilligung stets unmittelbar vor dem Einsatz der einwilligungsbedürftigen Cookies abgefragt werden muss.
Inhalt eines Cookie-Banners
Zunächst einmal sollten die Banner-Inhalte verständlich und rechtlich lückenlos sein. Insbesondere sollten Nutzer über die Möglichkeit des jederzeitigen Widerrufs ihrer Einwilligung informiert werden. Darüber hinaus müssen möglichst detaillierte Informationen über die Zwecke des Cookie-Einsatzes erteilt werden. Zudem sollte das Banner eine Verlinkung zum Impressum sowie der Datenschutzerklärung enthalten. Sämtliche Informationen sollten transparent und verständlich zum Verständnis der Nutzer aufgearbeitet werden.
Nutzerfreundliches Design von Cookie-Bannern
Sowohl Datenschutzbehörden als auch Verbraucherschützer kritisieren immer wieder das Design von Cookie-Bannern. Zwar sind farbig hervorstehende Schaltflächen, um den Nutzer zur Einwilligung in die Datenverarbeitung mittels Cookies zu ermuntern nach aktueller Rechtslage noch nicht verboten. Allerdings liegt im sog. Nudging bzw. bei der Verwendung von Dark Patterns eine Art – wenn auch nur optische – Lenkung des Nutzers. Daher sollten Cookie-Banner stets in einer Weise gestaltet sein, die eine Zustimmung nicht begünstigen.
Keine unterschwellige Beeinflussung der Website-Besucher
Unter Nudging ist die Verwendung solcher Techniken zu verstehen, die einer unterschwelligen Beeinflussung des Website-Besuchers zur Abgabe einer Einwilligung dienen. Nudging liegt beispielsweise vor, wenn in Cookie-Consent-Fenstern die Zustimmungs-Option durch Schriftgröße, Farbe oder sonstige Hervorhebungen auffälliger ausgestaltet ist, als die Ablehn-Option.
Bei der Verwendung von Dark Patterns wird der Nutzer darüber hinaus entgegen seines Interesses und Willens zur Abgabe einer Einwilligung bspw. durch manipulatives, täuschendes oder auch nötigendes Verhalten verleitet. Im Rahmen der Gestaltung des Einwilligungsmanagements spricht man von Dark Pattern, wenn für den Nutzer die Möglichkeit der Ablehnung nicht unmittelbar ersichtlich ist, sondern erst nach mehreren Klicks erreicht werden kann.
Grundsätzlich ist es unzulässig, eine Cookie-Ablehnung umständlicher zu gestalten als ihre Annahme. Es ist daher ratsam, die Ablehnung, Zustimmung sowie Einstellungsmöglichkeiten für die Datenverarbeitung des Website-Betreibers auf erster Ebene des Cookie-Banners zu platzieren.
Gleichbleibende Nutzerfreundlichkeit auf allen Endgeräten
Da Nutzer in der Regel über verschiedene Endgeräte auf die Website zugreifen, ist es empfehlenswert, Cookie-Banner so flexibel zu gestalten, dass eine gleichbleibende Nutzerfreundlichkeit auf allen Endgeräten (Computer-Desktop, Tablet und Smartphone) gewährleistet werden kann. Dies lässt sich mit einem sog. Responsive Webdesign erreichen. Eine solche Gestaltung der Website ist zwar nicht vorgeschrieben, allerdings kann es die Nutzerzufriedenheit zum Vorteil des Unternehmens fördern.
Demgegenüber ist es zwingend erforderlich die Cookie-Consent-Tools so zu platzieren, dass der Nutzer die Einwilligung erteilt, bevor er sich durch die Website klicken kann.
Ferner sollte die Abfrage technischer Zugriffsberechtigungen (bspw. auf die Kamera oder die Kontakte) unterlassen werden, da sie nach der DSGVO unzulässig ist.
Da eine wiederholte Einwilligungsabfrage bei jedem neuen Website-Aufruf für den Nutzer meist lästig ist, sollte die bereits erteilte Einwilligung über einen gewissen Zeitraum gespeichert werden, um dem Nutzer eine möglichst angenehme Surf-Experience zu bieten. Eine Speicherdauer von sechs Monaten entspricht der Praxis, sofern der Nutzer die Cookies und Browser-Einstellungen nicht zurücksetzt.
Zentrales Cookie-Einwilligungs-Management nach dem TTDSG
Mit der Einführung des § 26 im neuen TTDSG wird die Möglichkeit eines zentralen Einwilligungs-Management-Systems geschaffen. Durch sog. Personal Management Systems (kurz PIMS) soll dem Nutzer eine zentrale Verwaltung der Cookie-Einwilligung sowie die Freigabe seiner Daten durch eine technische aber vor allem datenschutzfreundliche Gestaltung ermöglicht werden. Nutzer können die Voreinstellungen im Anschluss mit der Websites teilen, auf die sie zugreifen wollen, sodass nicht für jede Website wiederholt eine neue Einwilligung erteilt werden muss. Bedienen sich Nutzer eines PIMS-Anbieters, müssen Website-Betreiber die dort vorgenommenen Einstellungen zur Cookie-Einwilligung berücksichtigen. Hierbei ist zu beachten, dass PIMS-Anbieter nach einem von der Bundesrepublik festgelegten Verfahren von einer unabhängigen Stelle anerkannt werden müssen.
Neue Bußgeldregelung in § 28 TDSG
Das TTDSG enthält ferner mit § 28 eine neue Bußgeldvorschrift, die der Sanktion von Verstößen gegen das TTDSG dient. Unklar ist jedoch, welche Behörde für die Sanktion von Verstößen gegen das neue Gesetzt nach der neuen Bußgeldvorschrift zuständig sein soll. Denn bereits die Cookie-Richtlinie enthält keine eindeutige Vorgabe dahingehend, dass die Verhängung von Bußgeldern zwingend Aufgabe der nationalen Datenschutzbehörden sein soll. In diesem Zusammenhang bleibt spannend, ob die Frage nach der Zuständigkeit durch den europäischen Gesetzgeber einheitlich geklärt wird, oder ob der deutsche Gesetzgeber tätig werden muss.
Ausblick
Es bleibt abzuwarten, wie die Gerichte unter dem TTDSG entscheiden werden und inwiefern einer Anpassung der bestehenden Rechtsprechung zur Verwendung von Cookies vorgenommen wird. Zur Vermeidung von Abmahnungen und Bußgelder – aber vor allem zum Schutz der Privatsphäre der Website-Nutzer – sollten Anforderungen des TTDSG sowie der DSGVO an die Cookie-Einwilligung zwingend berücksichtigt werden und die bisherigen Cookie-Hinweise geprüft und gegebenenfalls an die neue Rechtslage angepasst werden.
