Am 01. Dezember 2021 ist das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in Kraft getreten. Es regelt viele Dinge im Bereich Telekommunikation und Telemedien. Wir gehen heute auf die Frage ein, welche Auswirkungen das TTDSG auf den Einsatz von Cookies hat.

Update 20.12.2021 | Orientierungshilfe der DSK

 

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021:

 

Zur Orientierungshilfe

Update 20.12.2021 | Erläuterungen des LfD für öffentliche Stellen

 

Erläuterungen zum neuen Telekommunikation-Telemedien- Datenschutz-Gesetz (TTDSG):

 

Zur Orientierungshilfe

Schon wieder ein neues Datenschutzgesetz?

Nicht ganz, also zumindest nur zum Teil. Im großen und ganzen regelt das TTDSG die Bereiche der Telekommunikation (altes TKG) und Telemedien (altes TMG). Darüber hinaus setzt es erstmalig auch Vorgaben der ePrivacy-Richtlinie in nationalem Recht um. Und an dieser Stelle sind wir doch wieder beim Datenschutz. §25 TTDSG befasst sich vereinfacht gesagt der Einsatz von Cookies (und ähnlichen Technologien). Im Grunde nicht viel bahnbrechendes, aber dennoch eine (einigermaßen) deutliche Regelung. Denn spätestens seit dem EuGH-Urteil ("Planet49 vom Oktober 2019) war klar, dass der Einsatz nicht technisch notwendiger Cookies nur noch mit einer Einwilligung funktioniert. Die Cookie-Einwilligungs-Banner waren geboren. Nun gibt es mit dem TTDSG weitere Konkretisierungen, auf die Sie achten sollten.

NOVIDATA Updates

Newsletter Datenschutz & IT-Sicherheit

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz & IT-Sicherheit regelmäßig bequem in dein Postfach!

Jetzt anmelden

Unterschied zwischen TTDSG und DSGVO

Während die DSGVO personenbezogene Daten schützt, schützt das TTDSG die Privatsphäre der Endgeräte. Dabei geht es nicht um einen konkreten Personenbezug, sondern bereits um den Zugriff auf das Gerät selbst. Es stellt sich nicht die Frage, ob personenbezogene Daten, wie beispielsweise die IP-Adresse verarbeitet werden, sondern nur, ob auf dem Gerät Daten gespeichert oder ausgelesen werden dürfen. Dabei geht es auch nicht nur um Cookies, sondern auch andere Informationen, wie beispielsweise das sog. Fingerprinting.
 
Der Gesetzgeber sieht also das Speichern und Auslesen von Daten nun analog dem EuGH-Urteil recht eindeutig: Ohne eine Einwilligung dürfen nur technisch notwendige Informationen gesetzt oder ausgelesen werden. Für alle weiteren Daten benötigt man eine informierte Einwilligung, die selbstverständlich jederzeit widerrufen werden kann. Wie eine Einwilligung aussehen muss, das wiederum regelt nach wie vor die DSGVO.


Welche Dienste dürfen nun ohne Einwilligung eingebunden werden?

Je nachdem, wie streng man die Vorgaben auslegt, bleiben nicht mehr viele Dienste übrig:

  • Warenkorb
    Ziemlich sicher kann man Warenkorb-Cookies setzen, denn ein Shop ist ohne eine moderne Warenkorbfunktion heute nicht mehr Stand der Technik und die Nutzer erwarten in der Regel auch moderne Shop-Funktionalitäten
     
  • Login
    Wer sich auf einer Website in einen internen Bereich einloggt, dessen Daten müssen gespeichert werden, damit er wieder identifiziert werden kann
     
  • Sprachauswahl
    Auch der Auswahl der Sprache erwartet der Benutzer, dass seine gewählte Sprache dauerhaft gespeichert bleibt
     
  • Der Cookie-Banner
    Selbstverständlich wünscht sich der Benutzer, dass seine beim Cookie-Banner getätigte Auswahl auch gespeichert bleibt. Alternativ müsste man bei jedem Seitenaufruf das Cookie-Banner neu einblenden
     
  • Sicherheit
    Sofern Cookies gesetzt werden, um die Sicherheit einer Website zu erhöhen (z.B. Anzahl fehlgeschlagener Login-Versuche oder fehlerhaft ausgefüllter Formulare) oder die Last zu verteilen, ist dies auch ohne Einwilligung möglich

Cookies & Dienste zur Reichweitenmessung (Tracking)

Unter bestimmten Umständen (siehe Orientierungshilfe der DSK) kann die Messung von Webseitenbesuchern ohne Einwilligung betreiben werden, sofern:

  • Ausschließlich anonyme Statistiken ohne Profilbildung erstellt werden
     
  • Keine Besucherbewegung über die eigene Website oder App hinweg gemessen wird
     
  • Die Besucherdaten nicht an Dritte weitergegeben werden

Wer also neben den klassischen Logfiles einen Dienst nutzen möchte, der wird am ehesten bei Matomo fündig. Wir empfehlen im übrigen auch hier die Anonymisierung der IP-Adressen, die Deaktivierung von Cookies und das Löschen von Daten nach einem bestimmten Zeitraum. Im Idealfall nutzt man die reine Logfile-Analyse, so werden keinerlei Daten beim Benutzer gespeichert oder ausgelesen.


Die unsichere Grauzone

Dazwischen gibt es Dienste, die weder in die eine noch in die andere Kategorie fallen. Hier ist der Einsatz derzeit unklar. Darunter fallen beispielsweise die Speicherung des Abspielstands von Multimedia-Inhalten, diverse Komfortfunktionen, die nicht zwingend erforderlich aber möglicherweise praktisch sind oder auch Informationen, die nur dem Schutz des Anbieters (z.B. Betrug) dienen, jedoch nicht dem Nutzer.


Gestaltung der Einwilligung (Cookie-Banner)

Nachdem wir nun geklärt haben, wann eine Einwilligung benötigt wird, gehts mit der technischen Umsetzung weiter. Zuerst die gute Nachricht: wenn Sie nur technisch notwendige Cookies & Dienste einsetzen, benötigen Sie keinen Cookie-Banner. Denn der Nutzer kann an dieser Stelle ja keinerlei Entscheidung treffen. Gleichwohl sollten Sie auf den Einsatz dieser Dienste in Ihrer Datenschutzerklärung hinweisen.

 

Sofern Sie doch eine Einwilligung benötigen und einen Cookie-Banner verwenden, sollten Sie folgende Dinge zwingend beachten:

  • Ohne eine abgegebene Einwilligungserklärung dürfen keine einwilligungspflichtigen Cookies gesetzt bzw. Dienste geladen werden.
     
  • Eine reine Information nach dem Motto „wenn Sie weitersurfen sind Sie mit dem Setzen von Cookies einverstanden“ entspricht keiner aktiven Einwilligung und ist somit unwirksam.
     
  • Es sollten die Arten und Funktionsweisen der Cookies beschrieben werden, sowie deren Zweck, Lebensdauer und Identität der Dienstleister, welche die Cookies verarbeiten. Dabei ist es nicht zwingend erforderlich, dass alle Informationen in epischer Breite bereits im Cookie-Banner vorkommen. Eine Zusammenfassung mit dem Verweis auf die Datenschutzerklärung ist ebenso möglich wie das zusammenfassen von Diensten in Gruppen, z.B. Statistik oder Marketing.
     
  • Die einzelnen Verarbeitungen dürfen nicht vorausgefüllt / vorangekreuzt sein.
     
  • Die Einwilligung muss genauso einfach sein wie die Ablehnung. Aus diesem Grund sollten Sie vermeiden, den Ablehnen-Button auf einer zweiten Ebene (z.B. hinter einem Link „Weitere Einstellungen“ zu verbergen, sondern direkt neben dem Button „Alle akzeptieren“.
     
  • Achten Sie auf das Wording. Im Idealfall gibt es zwei bzw. drei Buttons: „Alle akzeptieren“, „Alle ablehnen“ sowie „Ausgewählte akzeptieren“, sofern der Nutzer eine individuelle Auswahl trifft.
     
  • Vermeiden Sie sog. „Dark Patterns“. Mit Dark Patterns ist der Versuch gemeint, mittels bestimmter visueller Reizen (großer grüner Akzeptieren-Button im Vergleich zum kleinen grauen Ablehnen-Link) den Besucher in Richtung der Einwilligung zu beeinflussen.

Was passiert bei Verstößen gegen das TTDSG?

Das TTDSG sieht ein Bußgeld von bis zu 300.000 EUR bei Verstößen vor. Darüber hinaus kann es natürlich Bußgelder durch Verstöße gegen die DSGVO geben - 4% oder 20 Mio EUR ... je nach Unternehmenskasse. Durch die eindeutige Regelung zum Einsatz von Cookies (und anderen Tracking-Methoden) ist es sehr wahrscheinlich, dass sich Beschwerden häufen werden oder die Aufsichtsbehörden, wie auch Verbraucherzentralen und Mitbewerber selbst aktiv werden.


Fazit & Handlungsempfehlung

Am Ende bleibt eigentlich alles wie es ist. Da es zum TTDSG noch keinerlei Rechtsprechungen gibt, gibt es (leider) stets ein Restrisiko beim Einsatz von Cookies & Drittanbietern. Was jedoch sicherlich angepasst werden muss, sind die meisten Cookie-Banner. Unabhängig davon, welche Dienste mit oder ohne Einwilligung geladen werden, müssen Banner „sauber“ sein. Wir empfehlen daher Ihre Website zu überprüfen und gegebenenfalls anzupassen. Sollten Sie hierfür Unterstützung benötigen, können Sie uns gerne kontaktieren.

Wir analysieren Ihre Webseite, ermitteln potentielle Schwachstellen und geben Ihnen Optimierungsempfehlungen

Unverbindliches Angebot anfordern