Lästige Cookie-Banner, die einem meistens eine Auswahl so umständlich machen, dass man sowieso auf „alle annehmen“ klickt, sind der neue Alltag für viele Internetnutzer:innen. Die rechtlichen Grundlagen werden wohl vielen Nutzern sowie Anbietern nicht oder nur vage bekannt sein. Die Vielzahl der Regelungen erschwert den Durchblick enorm. Dies hat auch der Gesetzgeber erkannt und ein Gesetz erarbeitet, welches am 01.12.2021 in Kraft getreten ist: das Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG. Welche Änderungen insbesondere die Anbieter von Webseiten und sonstigen Telemedien zu beachten haben, wollen wir im Folgenden darstellen.

Zweck

Durch das TTDSG sollen Rechtsunsicherheiten bei Verbrauchern, Anbietern und Aufsichtsbehörden beseitigt und ein wirksamer Datenschutz für den Endnutzer gewährleistet werden. Für die Thematik der Cookies und der diesbezüglichen Einwilligung wurde bislang auf einen Flickenteppich, bestehend aus Regelungen der DSGVO, der noch nicht beschlossenen EU ePrivacy-Verordnung sowie der Rechtsprechung des EuGH („Planet49“ vom 01.10.2017, Az. C-673/17) und daran anschließend des BGH („Cookie-Einwilligung II“ 28.05.2020, Az. I ZR 7/16) Bezug genommen. Mit Inkrafttreten des TTDSG wird nun u.a. eindeutig normiert, dass der Einsatz von Cookies grundsätzlich einer vorherigen informierten und ausdrücklichen Zustimmung des Nutzers bedarf. Diese wird über das Cookie-Banner eingeholt.

Anwendungsbereich

Das Gesetz enthält u.a. besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien (§ 1 Nr. 2 TTDSG). Telemedien sind im Telemediengesetz (TMG) definiert als alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind (§ 1 Abs. 1 TMG). Darunter fallen z.B. gewerbliche Webseiten, Apps, Suchmaschinen, Online-Shops, Online-Spiele, Messenger- und Kommunikationsdienste, aber auch Video-on-demand Dienste oder Teletext oder digitale Assistenten.

Die Regelungen des TTDSG richten sich insbesondere an die Anbieter von Telemedien, d.h. diejenigen natürlichen oder juristischen Personen, die eigene oder fremde Telemedien erbringen, an der Erbringung mitwirken oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermitteln (§ 2 Nr. 1 TTDSG). Örtlich erstreckt sich die Anwendung auf Anbieter, die im Geltungsbereich des TTDSG, also der BRD, eine Niederlassung haben, Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen (§ 1 Abs. 3 TTDSG).

Während sich das Gesetz in § 25 TTDSG ausdrücklich auf das Setzen und Auslesen von Cookies richtet, ist die anschließende Weiterverarbeitung der Informationen nicht Regelungsgegenstand. Vielmehr ist dahingehend Art. 6 DSGVO einschlägig.

Regelungsgehalt

Hinsichtlich der Verwendung von Cookies ist Dreh- und Angelpunkt § 25 Abs. 1 TTDSG. Durch den Einsatz von Cookies kann der Anbieter einer Webseite - vereinfacht dargestellt - auf Daten des Endnutzers und dessen Gerät zugreifen (bspw. IP-Adresse, Standortdaten, Referrer, Version von Browser und Betriebssystem). Dieser Zugriff und die Speicherung sollen im Interesse des Datenschutzes möglichst eingeschränkt werden. Nach § 25 Abs. 1 TTDSG ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in Endeinrichtung gespeichert sind nur zulässig, wenn der Endnutzer zuvor klar, umfassend und informiert in den Einsatz der Cookies und die damit verbundenen Datenverarbeitung eingewilligt hat. Diese Einwilligung wird über das Cookie-Banner eingeholt. Eine einheitliche optische Ausgestaltung sieht das TTDSG nicht vor. Für die konkreten Bedingungen der Einwilligung verweist § 25 Abs. 1 S. 2 TTDSG jedoch auf die DSGVO, nach welcher eine solche freiwillig, informiert, ausdrücklich und jederzeit widerruflich sein muss (Art. 7 DSGVO). Insbesondere die Voraussetzungen der Freiwilligkeit und Informiertheit des Einwilligenden verbieten es den Anbietern, die Cookie-Banner verschleiert zu gestalten. Eine auf einem nicht rechtskonform gestalteten Banner beruhende Einwilligung wäre danach unwirksam und könnte ein Bußgeld nach sich ziehen. Ob bspw. eine farbliche oder grafische Hervorhebung bestimmter Auswahlmöglichkeiten (sog. Nudging) oder die Erschwerung der Ablehnung der Cookies durch eine Weiterleitung auf eine Unterseite diesen Anforderungen genügen werden, ist zu bezweifeln. Es bleibt abzuwarten, wie die Datenschutzbehörden und Gerichte mit entsprechenden Abmahnungen umgehen werden.

§ 2 Abs. 2 Nr. 6 TTDSG definiert den Begriff der Endeinrichtung als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Relevant - und das ist in dieser Klarheit neu - sind damit nicht nur Endgeräte wie Smartphones, Tablets oder Computer, sondern bspw. auch WLAN-Router oder Smarthome-Anwendungen - praktisch jedes Gerät das mit dem Internet verbunden wird. Ausgenommen sind Endgeräte innerhalb geschlossener Firmennetzwerke.

Ausnahmetatbestände - die sog. unbedingt erforderlichen Cookies

Auch mit Inkrafttreten des TTDSG verbleibt es jedoch dabei, dass der Einsatz unbedingt erforderlicher Cookies auch ohne Einwilligung möglich ist. § 25 II TTDSG legt insoweit fest, dass eine Einwilligung dann nicht notwendig ist, wenn (1) der Cookie und die damit verbundene Datenverarbeitung unbedingt erforderlich ist für die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder wenn (2) der Cookie und die damit verbundene Datenverarbeitung unbedingt erforderlich ist, damit der - vom Nutzer ausdrücklich gewünschte - Telemediendienst überhaupt zur Verfügung gestellt werden kann. Unter die letztere Alternative können bspw. Cookies zur dauerhaften Speicherung von Spracheinstellungen, zum Anbieten einer Warenkorbfunktion, zur Speicherung der Cookie-Einwilligung selbst oder Systeme zur Betrugsprävention fallen.

Die Beurteilung, wann der Einsatz eines Cookies unbedingt erforderlich ist, bleibt jedoch leider auch nach Inkrafttreten des TTDSG problematisch und muss im Einzelfall beurteilt und nach bestem Gewissen begründet werden.

Personal Information Management Systems (PIMS) - Zukunftsmusik?

Darüber, dass der derzeitige Zustand der Flut an Cookie-Bannern extrem störend und schlimmstenfalls sogar kontraproduktiv ist, wenn Nutzer allein aus Lästigkeitsgründen stets „alle akzeptieren“ auswählen, dürfte Einigkeit bestehen. Insoweit gibt es schon lange Bestrebungen, andere, praktikablere, Lösungen zu entwickeln, um die Einwilligung zu Cookie-Nutzung abzufragen. Diese Möglichkeit der sog. Dienste zur Einwilligungsverwaltung, auf englisch genannt PIMS, wird nun in dem neuen § 26 TTDSG verankert. Dem Nutzer soll es mittels einer Software ermöglicht werden, vorab festlegen zu können, in welchen Fällen das Speichern und Auslesen von Daten eingewilligt wird. Eine besuchte Website oder ein sonstiges Telemedium wird über diese einmalige Festlegung automatisch informiert und der Cookie-Banner muss nicht mehr eingeblendet werden. § 26 TTDSG schafft die gesetzliche Grundlage für derartige Dienste. Die Anforderungen an den tatsächlichen Einsatz sind jedoch hoch, damit der Datenschutz nicht ausgehebelt wird. So kommt als Anbieter derartiger PIMS-Dienste nur in Frage, wer durch eine unabhängige Stelle akkreditiert ist und kein wirtschaftliches Eigeninteresse an den Einwilligungen hat. Gemäß § 26 Abs. 2 TTDSG wird die Bundesregierung zum Erlass einer Rechtsverordnung ermächtigt, mit welcher die weiteren konkreten Anforderungen an etwaige Dienste zur Einwilligungsverwaltung festgelegt werden sollen. Mit dieser Rechtsverordnung ist allerdings frühestens Ende 2022 zu rechnen.

Aufsicht und Bußgelder

Wer für Aufsicht über die Einhaltung der Bestimmungen zuständig ist und welche Bußgelder verhängt werden können, regelt Abschnitt 4 des TTDSG. Handelt es sich um die Verarbeitung von Daten natürlicher oder juristischer Personen, so ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ansonsten die Bundesnetzagentur. Bei einem Verstoß gegen § 25 Abs. 1 TTDSG drohen Anbietern von Telemedien gem. § 28 TTDSG Geldbußen von bis zu 300.000 €. Daneben bleiben, sofern personenbezogene Daten betroffen sind, die Bußgeldvorschriften der DSGVO anwendbar.

Was ist zu tun?

Wer als Anbieter von Telemedien bislang kein Cookie-Banner im Einsatz hat, für den wird es spätestens jetzt höchste Zeit, sich diesem Thema anzunehmen. Auch alle anderen sollten das Inkrafttreten des TTDSG zum Anlass nehmen und sich vergewissern, ob das vorhandene Cookie-Banner den jüngsten Anforderungen genügt: Sind die Informationen über die Verwendung der Daten umfassend und verständlich? Ist das Banner nutzerfreundlich gestaltet? Sind die Auswahlmöglichkeiten nicht schon voreingestellt? Sind wirklich nur „unbedingt erforderliche“ Cookies der Einwilligung entzogen?

In welchem Ausmaß die Datenschutzbeauftragten die Umsetzung der Vorgaben prüfen und Verstöße ahnden werden, bleibt abzuwarten. Es ist jedoch davon auszugehen, dass auch Verbraucherschutzverbände erneut verstärkt mit Abmahnungen und Meldungen bei den Datenschutzbehörden gegen unzureichende Cookie-Banner vorgehen werden.