TTDSG – neues Gesetz zu Cookies und Co
Der Einsatz von Cookies nach Inkrafttreten des TTDSG
Am 1. Dezember 2021 ist das TTDSG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien) in Kraft getreten.
Das TTDSG dient dazu, unerwünschte Zugriffe auf sensible Daten von Internetnutzern zu verhindern, die diese auf Endgeräten wie z.B. Computern, Tablets oder Mobiltelefonen gespeichert haben.
Das neue Gesetz hat erhebliche Folgen bei der Nutzung von Technologien wie Cookies.
TTDSG, DSGVO und EPVO
Es war lange unklar, ob und in welchem Umfang datenschutzrechtliche Vorschriften im Bereich der elektronischen Medien zur Anwendung kommen. Insbesondere gab es Unsicherheiten im Hinblick auf die Frage, wann für den Einsatz von Cookies eine vorherige Einwilligung von Webseiten-Besuchern erforderlich ist.
Das TTDSG, die spezialgesetzliche Regelung für den Bereich der elektronischen Kommunikation hinsichtlich der Verarbeitung personenbezogener Daten, sorgt nun für mehr Sicherheit in dieser Frage.
Solange die ePrivacy-Verordnung (EPVO) noch nicht in Kraft getreten ist, ist das TTDSG u.a. für das Setzen von Cookies relevant. Es ersetzt die datenschutzrechtlichen Regelungen des Telemediengesetzes (TMG) und fasst die Datenschutz-Regelungen der Datenschutzgrundverordnung (DSGVO) und speziellen Vorschriften der EPVO zum Zwecke der Rechtssicherheit in einem neuen Gesetz zusammen.
Erforderliche Einwilligung nach § 25 Abs. 1 TTDSG
Die Verwendung von Cookies ist gemäß § 25 TTDSG nur mit Einwilligung des Endnutzers gestattet. Davon ausgenommen sind Cookies, die für das Bereitstellen der Internetseite und ihrer Funktionen zwingend erforderlich sind.
Webseiten, die nicht notwendige Cookies nutzen, müssen Besucher darüber informieren, dass ohne Zustimmung des jeweiligen Endnutzers keine persönlichen Daten an den Webseiten-Betreiber oder Dritte übertragen werden dürfen. Marketing-Cookies (werden verwendet, um Besuchern passende Werbeanzeigen einzublenden) und Tracking-Cookies (speichern, wie ein Benutzer mit einer Webseite interagiert) sind Beispiele für nicht notwendige Cookies.
Werden nicht notwendige Cookies verwendet, ist eine ausdrückliche Einwilligung des Endnutzers einzuholen. Hierfür reicht ein einfaches Popup-Fenster nicht aus. Es ist erforderlich, dass die verwendeten Cookie-Technologien in einem Cookie-Banner detailliert aufgelistet werden. Darüber hinaus muss der Nutzer die Möglichkeit haben auszuwählen, welche Cookies genutzt werden dürfen und welche nicht sowie seine Einstellungen jederzeit zu widerrufen.
Eine weitere Einwilligung nach der DSGVO (Art. 6 Abs. 1 lit. a)) kann notwendig sein, wenn eine Verarbeitung personenbezogener Daten erfolgt.
Beide Einwilligungen können gleichzeitig eingeholt werden.
In § 25 Abs. 1 TTDSG ist der Grundsatz der Einwilligungsbedürftigkeit wie folgt festgelegt:
„(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Ausnahmen vom Erfordernis der Einwilligung
Ausnahmen vom Erfordernis der Einwilligung sind für „unbedingt erforderliche“ Cookies vorgesehen. § 25 Abs. 1 TTDSG, wo diese Ausnahmen geregelt sind, ist eng auszulegen. Aus der Gesetzesbegründung folgt, dass die Erforderlichkeit als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist.
Technisch notwendige Cookies sind alle Cookies, ohne die eine Webseite an sich nicht funktionieren würde. Das sind zum Beispiel Session Cookies (für Warenkorbinhalte oder Sprachversionen einer Webseite), Cookies die ausschließlich für Zahlungsprozesse notwendig sind oder Cookies, die zum Erteilen oder zum Widerruf einer Einwilligung genutzt werden.
§ 25 Abs. 2 TTDSG formuliert eng begrenzte Ausnahmen vom Erfordernis der Einwilligung:
„(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Folgen bei Verstoß gegen § 25 TTDSG
Versäumt es der Betreiber einer Website, die nach dem TTDSG erforderliche Einwilligung einzuholen, so riskiert er Folgendes:
· Das TTDSG droht Bußgelder an. Wird die erforderliche Einwilligung nicht eingeholt, drohen Bußgelder bis zu 300.000 Euro.
· Daneben können wegen Verstoßes gegen die DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes drohen.
· Schließlich kann eine Abmahnung drohen, wenn auf der Website kein Cookie-Banner mit den erforderlichen Angaben verwendet wird.