Am 1. Dezember 2021 trat das TTDSG bzw. Telekommunikation-Telemedien-Datenschutz-Gesetz in Kraft. Mit dem neuen Gesetz gehen einige Neuerungen einher, die für Webseiten- und Onlineshop-Betreiber von hohe Relevanz sind. Am bedeutendsten dürfte das damit verbundene neue Gesetz für Cookie-Tracking sein.
Neues Gesetz für Cookie-Tracking: Einwilligung fast immer erforderlich
Cookies dürfen nur dann Anwendung finden, sofern der User darauf hingewiesen wurde und diesen nach umfangreicher Informationsvermittlung zugestimmt hat. Das ist eine Vorschrift, die bereits besteht und weiterhin Gültigkeit hat. Die Information muss datenschutzkonform erfolgen und nach der DSGVO. In manchen Fällen entfällt allerdings die Pflicht zur Einwilligung. Das ist der Fall, wenn Cookies für die Nachrichtenübertragung notwendig sind oder ein Cookie „unbedingt erforderlich“ ist, damit der User einen gewünschten Telemediendienst anwenden kann. Beachtenswert dabei ist, dass das Gesetz nicht regelt, wie die Begrifflichkeit „unbedingt erforderlich“ zu definieren ist.
Ein zentrales Einwilligungsmanagement ist möglich
Weitere Neuerungen sollen bewirken, dass der User mehr Kontrolle über seine personenbezogenen Daten hat. Eine Alternative zu dem herkömmlichen Coockie-Tracking sind die „Personal Information Management Services“ oder „Single-Sign-on-Lösungen“. Der User kann so einige Cookies gezielt ablehnen oder für diese seien Einwilligung geben. Die vom User individuell angegebenen Präferenzen speichert das System auch für andere Webseiten oder Onlineshops. Zudem werden sie weitergegeben – Auf diese Weise wird die Internetnutzung vereinfacht: Nicht mehr bei jedem Besuch einer Webseite muss so ein Consent-Banner aufpoppen. Der User legt sich daher pauschal fest, ob er beispielweise ein Tracking zu Marketingzwecken akzeptiert oder nicht. Aber: Es besteht für Unternehmen nicht die Pflicht, auf die sogenannten „Personal Information Management Services“ zurückzugreifen. Sie können auch wie bisher Cookie-Banner nutzen.
Wird das Internet mit TTDSG wirklich anwenderfreundlicher?
Durch die Implementierung von „Personal Information Management Services“ könnten die oft so als störend empfundenen Cookie-Banner der Vergangenheit angehören. Das heißt aber nicht unbedingt, dass das Surfen im Internet tatsächlich nutzerfreundlicher wird. Warum? In dem Paragraph 26 des neuen Gesetzes ist fixiert, dass die Anbieter von „Personal Information Management Services“-Diensten eine Akkreditierung vornehmen lassen müssen. Sie dürfen keinerlei wirtschaftliches Eigeninteresse an der Einwilligungserteilung haben. Im Klartext heißt das: Jegliches Einwilligungsmanagement erfolgt über einen Drittanbieter, um den Vorschriften zu entsprechen. Inwiefern sich solche Technologien in der Praxis durchsetzen können, bleibt fraglich. Beachtenswert ist ferner, dass das Gesetz keinerlei Regelungen bezüglich des Cookie-Banner-Designs vorsieht. In anderen Ländern sieht diesbezüglich die Situation anders aus, um User nicht in die Irre zu leiten.
Freude bei Datenschutzaufsichtsbehörden
Derzeit nutzt die Werbewirtschaft die Cookie-Banner-Lösung mit Nachdruck. Sie profitiert davon, denn die meisten User sind zu faul, Cookies mit Bedacht auszuwählen. Stattdessen stimmen sie allen zu. Sollten sich die „Personal Information Management Services“ durchsetzen, wird sich die Lage drastisch ändern. Weniger User werden den Cookies zustimmen und bei dieser Einstellung bleiben. Das freut die Datenschutzaufsichtsbehörden. Sie bemängeln seit Längerem die Cookienutzung.
Änderungen für Webseiten-Betreiber
Nach Urteilen des Bundesgerichtshof und des Europäischer Gerichtshof schreibt das Telekommunikation-Telemedien-Datenschutz-Gesetz nun folgende Anforderungen an Webseiten- und Onlineshop-Betreiber gesetzlich fest:
- Einwilligungen müssen aktiv gesetzt werden
- Cookies und Tracking-Dienste müssen bis zu Einwilligung deaktiviert bleiben
- Der Cookie-Banner muss einen “Annehmen” und einen “Ablehnen”-Button enthalten
- Die Buttons müssen alle gleich aussehen
- Nutzer müssen detalliert über Zweck, Anzahl und Anbieter der verwendeten Dienste informiert werden
- Für technisch notwendige Cookies braucht es keine aktive Einwilligung
Telekommunikation-Telemedien-Datenschutz Gesetz: Einschätzung für die Praxis
Webseiten- und Onlineshop-Betreiber müssen ihre Onlinepräsenz den verändernden Bedingungen von Seiten der Gesetzgebung anpassen. Mit diesem neuen Gesetz passt sich das deutsche Recht an den Vorgaben Europas an. Das bringt ein Stück weit Rechtssicherheit: Somit ist eine Einwilligung der User immer dann erforderlich, sofern kein Ausnahmefall vorliegt. Jedoch bleibt die Streitfrage, wann Cookies unabdingbar sind und wann nicht. Darüber hinaus kann nur die Zukunft zeigen, inwiefern die „Personal Information Management Services“ an Bedeutung gewinnen. Derzeit ist diese Technologie so noch nicht vorhanden. Fraglich ist ferner, ob sie überhaupt Anwendung finden wird. Eines steht jedoch fest: Der Consent-Banner wird User und Webseitenbetreiber weiterhin begleiten.
(Stand: 1. Dezember 2021)