Ihre Ansprechpartnerin zum IT-Recht und Datenschutz in der Nähe von München:
Sigrid Wild, LL.M.
Rechtsanwältin und Fachanwältin für IT-Recht
Tel. 089 46 13 48 39
Fax 089 46 13 48 40
kanzlei@dprotect.de
TTDSG- Änderungen von Cookie Bannern
Mit dem TTDSG ist am 01.12.2021 ein neues Gesetz zum Datenschutz und dem Schutz der Privatsphäre in Kraft getreten. Besonders praxisrelevant sind die neuen Vorschriften in Bezug auf die Cookie Einwilligungen, die von den meisten Website Betreibern verwendet werden. Welche Änderungen sich in Bezug auf Cookie Banner und die Datenschutzerklärung ergeben und was Unternehmen jetzt beachten müssen, erfahren Sie hier.
1. Was regelt das TTDSG?
Kurz gesagt, wenn Sie Cookies auf Ihrer Website verwenden, müssen Sie das TTDSG beachten. Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), regelt nämlich unter anderem den Schutz der Privatsphäre bei der Nutzung von Telemedien. Mit dem TTDSG wurde Art. 5 Abs. 3 der e-Privacy Richtlinie in deutsches Recht umgesetzt. Außerdem wurden datenschutzrechtliche Vorschriften, die bisher im TMG und im TKG enthalten waren, im TTDSG gebündelt. Das TTDSG hat vor allem Auswirkungen auf den Einsatz von Cookies und ähnlicher Technologien, wie zum Beispiel dem digital Fingerprinting. Zentrale Norm, die in diesem Zusammenhang beachtet werden muss, ist § 25 TTDSG.
2. Was ändert sich jetzt?
In § 25 Abs. 1 Satz 1 TTDSG ist geregelt, dass die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer zulässig sind. Den Begriff der Endeinrichtung hat der Gesetzgeber dabei bewusst sehr weit gefasst. Legaldefiniert ist die Endeinrichtung als „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Darunter fallen neben klassischen Telekommunikationsmitteln wie Telefon und Internet alle Geräte, die an W-LAN angeschlossen sind, z. B. Smart TV`s oder vernetzte Fahrzeuge. Anders als bei der DS-GVO muss es sich bei der Speicherung von Informationen nicht um personenbezogene Daten handeln.
Gemäß § 25 Abs. 1 S. 1 TTDSG bedarf die Speicherung von Informationen in der Endeinrichtung oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, der Einwilligung der Endnutzer. Das Setzen der Cookies richtet sich demnach nach dem TTDSG. Zu beachten ist, dass sich die nachfolgende Folgeverarbeitungen nach den Anforderungen der DS-GVO bemessen, wenn personenbezogene Daten verarbeitet werden.1 Es handelt sich daher um zwei Einwilligungen, die einzuholen sind, nach TTDSG und DS-GVO.
3. Was ist bei der Cookie Einwilligung zu beachten?
Die Einwilligung für das Setzen der Cookies (TTDSG) und die Folgeverarbeitung (DS-GVO) können gebündelt werden. Allerdings muss darauf geachtet werden, dass die Einwilligung so formuliert ist, dass auf das Setzen der Cookies und die Folgeverarbeitung hingewiesen wird. Da das TTDSG keine spezifischen Vorschriften zu den Anforderungen enthält, gelten die inhaltlichen und formalen Regelungen der DS-GVO zur Einwilligung (Art. 6 Abs. 1 lit. a, Art 7 und 8 DS-GVO). Dass eine Einwilligung für das Setzen von Cookies eingeholt werden muss, ist zwar im Prinzip nichts neues und war spätestens nach dem „Planet49-Urteil“ des EuGH vom 01.10.2019 klar. Am 21.12.2021 hat die Datenschutzkonferenz des Bundes und der Länder jedoch im Zusammenhang mit der Einführung des TTDSG eine sehr praxisrelevante Orientierungshilfe zur Gestaltung von Cookie Einwilligungen herausgegeben.2 Aus dieser gehen die Anforderungen an wirksame Cookie Banner sehr klar hervor. Die Anforderungen an Transparenz und Gestaltung des Cookie Banners sind darin sehr hoch angesetzt und werden von den allermeisten Webseiten bisher nicht oder nicht vollständig umgesetzt. Zwar hat die Orientierungshilfe keinen Gesetzesrang, wer einer Auseinandersetzung mit den Behörden aber lieber aus dem Weg geht, dem wird geraten, die Vorgaben der Orientierungshilfe zu befolgen.
Die wichtigsten Punkte, die Webseiten Betreiber danach beachten müssen, sind Folgende:
a) Zeitpunkt der Einwilligung
Die Einwilligung muss unbedingt erteilt werden, bevor die einwilligungsbedürftigen Cookies gesetzt werden. Dies ist nicht selbstverständlich, da Drittdienste oft schon Cookies setzen, wenn die Website geöffnet wird.
b) Informiertheit der Einwilligung
Die Einwilligung muss in informierter Weise erfolgen.
Es ist erforderlich, dass jegliche Speicher- und
Ausleseaktivitäten transparent und nachvollziehbar sein muss. Nutzer müssen daher darüber informiert werden, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, wie lange Cookies gespeichert werden und ob Dritte auf die Informationen Zugriff haben. Auch der konkrete Zweck der Folgeverarbeitung ist zu beschreiben.3 Nur übergeordnete Begriffe wie “Marketing”, “Medien” oder “Analyse” sind daher nicht ausreichend. Wird nicht detailliert genug über die Zwecke und beteiligte Dritte informiert, ist die Gefahr groß, dass die Einwilligungserklärung als intransparent eingestuft wird.
c) Freiwilligkeit der Einwilligung
Schließlich muss der Nutzer auch darauf hingewiesen werden, dass die Einwilligung freiwillig erfolgt und jederzeit widerrufen werden kann. Freiwillig ist die Einwilligung nur dann, wenn der Nutzer eine echte Wahl hat, also die Einwilligung ohne Nachteile verweigern kann. Die Freiwilligkeit ist schon dann anzuzweifeln, wenn die Ablehnung nur mit Mehraufwand erfolgen und beispielsweise nur auf einer zweiten Banner Ebene oder mit einer Mehrzahl an Klicks erteilt werden kann. Die Ablehnung muss daher ebenso leicht zu erteilen sein, wie die Einwilligung.
d) Widerruf der Einwilligung
Die Einwilligung muss jederzeit widerrufen werden können. Da die Einwilligung auf der Website durch Banner erteilt wird, muss derselbe Kommunikationsweg auch für den Widerruf gelten. Andere Kommunikationswege, wie beispielsweise E-Mail oder selbst ein Kontaktformular, gelten hierfür als nicht ausreichend.4
e) Aktive Einwilligung des Nutzers erforderlich
Der Nutzer der Website muss seine Einwilligung zum Setzen der Cookies und der Folgeverwendung aktiv, d.h. durch ausdrückliches Anklicken eines Buttons erteilen. Schaltflächen mit “Ok” oder “Zustimmen”, etc., sind dann nicht ausreichend, wenn aus dem beigefügten Informationstext nicht eindeutig hervorgeht, für was die Einwilligung gelten soll und erst im zweiten Schritt durch einen weiteren Klick ein Text mit weiteren Detailinformationen angezeigt wird.
4. Kann man die Datenverarbeitung weiterhin auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DS-GVO stützen?
Bisher wurde der Einsatz von Cookies im Zusammenhang mit Drittdienstleistern, wie Google Analytics, Facebook, Youtube, etc., oftmals auf das berechtigte Interesse des Webseiten Betreibers nach Art. 6 Abs. 1 lit. f DS-GVO gestützt. Nach § 25 Abs. 1 TTDSG besteht diese Möglichkeit nicht mehr, da nun eine Einwilligung erforderlich ist und nur unter engen Voraussetzungen eine Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG zugelassen wird. Betreiber von Webseiten sollten daher Ihre Datenschutzerklärung diesbezüglich überarbeiten.
5. Wann brauche ich keine Einwilligung?
In § 25 Abs. 2 TTDSG sind nur zwei eng begrenzte Ausnahmen definiert, für die keine Einwilligung notwendig ist. Nach § 25 Abs. 2 Nr. 1 TTDSG muss keine Einwilligung eingeholt werden, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist”. Nach § Abs. 2 Nr. 2 TTDSG ist keine Einwilligung notwendig, wenn der Einsatz der Cookies oder die Einbindung von Drittdiensten unbedingt erforderlich sind, damit der Anbieter eines Telemediendienstes einen vom jeweiligen Nutzer ausdrücklich gewünschten Dienst, also beispielsweise die Website, überhaupt zur Verfügung stellen kann. Nur für solche Cookies, die zwingend zum Betrieb der Website erforderlich sind, wird daher keine Einwilligung benötigt.
6. Änderungen der meisten Cookie Banner erforderlich
Webseiten Betreiber sollten daher überprüfen, ob ihr derzeit verwendetes Cookie Banner den Anforderungen des TTDSG entspricht. Es ist davon auszugehen, dass zahlreiche, bisher verwendete Cookie Einwilligungsbanner den Anforderungen hinsichtlich Transparenz und Gestaltung nicht entsprechen und daher dringend überarbeitet werden müssen. Auch die meisten Datenschutzerklärungen müssen an die neue Rechtslage angepasst werden.
(1 Vgl. Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, S. 2 / 2 https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf / 3 Vgl. Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, S. 11 / 4 Vgl. Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, S. 17)
Sollten Sie dazu oder zum Datenschutz im Allgemeinen Fragen haben, sprechen Sie uns gerne an.
Ihre Kanzlei für IT-Recht und Datenschutz München