Praxishinweis TTDSG und Hinweise zu Cookie-Consent-Management

Praxishinweis TTDSG und Hinweise zu Cookie-Consent-Management

I. Allgemeines

• Das TTDSG ist seit 01.12.2021 in Kraft.
• Es enthält strengere Regelungen als die DS-GVO.
• Es erfasst bzw. schützt nicht nur personenbezogene Daten.
• Das TTDSG dient der Integrität von Endeinrichtungen (Handys, Tablets, Laptops, PC u.ä).
• Es betrifft unter anderem jeden Webseiten- oder App-Betreiber, aber auch Smart-Home-Anwendungen („Anbieter eines Telemediendienstes“).

Die aktuell wichtigsten Themen betreffen die Frage des Einwilligungsmanagements (siehe unten III)

II. Änderungen im Bereich der Cookie-Einwilligung

Das TTDSG sieht in § 25 eine strengere Einwilligungspflicht vor. Geschützt werden Daten auf Endeinrichtungen. Eine Endeinrichtung ist praktisch jedes Gerät, das am Internet angeschlossen wird. Endeinrichtungen in geschlossenen Netzwerken sind damit nicht erfasst (etwa in Firmennetzwerke, dann ist aber die DS-GVO zu beachten). Das Einwilligungserfordernis gilt also insbesondere für Webseiten, Apps und Smart-Home-Anwendungen die mit dem Internet direkt oder indirekt verbunden sind.

Für das Einwilligungserfordernis ist die Art der Daten grundsätzlich irrelevant, ob personenbezogen oder anonym. Sobald eine Speicherung in der Endeinrichtung oder der Zugriff auf Informationen erfolgt, die bereits auf der Endeinrichtung gespeichert sind, ist eine Einwilligung erforderlich.

§ 25 TTDSG geht Art. 6 Abs. 1 lit. f DS-GVO vor. Der Einsatz von Cookies richtet sich damit insbesondere nach § 25 TTDSG (Einwilligung) und kann nicht mehr auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) gestützt werden.

1. Ausnahmen

Es gibt jedoch zwei besonders geregelte Ausnahmetatbestände in § 25 Abs. 2 TTDSG:

Keine Einwilligungspflicht:

a) Notwendig, um den Dienst zur Verfügung zu stellen

Die erste Ausnahme gilt etwa für Internet-Zugangsprovider oder andere Telekommunikationsunternehmen. Für Cookies ist sie weniger relevant.

b) Unbedingt erforderlich und vom Nutzer ausdrücklich erwünscht

Diese Ausnahme ist für Cookies relevant. Aktuell ist davon auszugehen, dass der geforderte ausdrückliche Wunsch nicht durch Zustimmung von AGB geäußert werden kann. Ein Hinweis auf den zu äußernden Wunsch müsste sehr deutlich sein, sodass er einer Einwilligung gleich käme.

Der Einsatz unbedingt erforderlicher („notwendiger“ bzw. „essentieller“) Cookies bedarf, nach wie vor, keiner Einwilligung, wenn dies aus Nutzersicht der Fall ist. Wann solche Cookies und welche Cookies unbedingt erforderlich sind, ist nicht abschließend geklärt und muss immer von der Webseite her betrachtet werden.

Beispiele Einwilligungsfrei (Ausnamen):

Cookies zu Nutzereingaben, Warenkorbinhalten, Login-Status, Sprachauswahl, Cookie-Opt-In, Wiedergabe von Multimedia-Inhalten (sofern sie für die Wiedergabe essenziell sind), Reichweitenmessung (wenn sie nicht mit einem Werbenetzwerk verbunden ist und nur anonyme Statistiken erstellt werden, kein Tracking über Webseiten hinweg erfolgt und die Daten Dritten nicht bereitgestellt werden) und Lastenverteilung können als einwilligungsfrei eingestuft werden.

2. Einwilligungspflichtig alle anderen Cookies

Einwilligungspflichtig bleiben damit alle anderen Cookies (wenn nicht, aus Nutzersicht, unbedingt erforderlich), Web Storage, Web-Beacons, digitale Fingerabdrücke (jedenfalls sobald die Informationen durch ausgelesene Daten angereichert werden). Cookies zur Konversionsmessung und zum Remarketing sind jedenfalls von einer Einwilligung abhängig.

Aktuell noch unklar – „Komfort-Cookies“ u.a.

Die Bewertung von Komfort-Cookies (etwa Abspielstand eines Videos), Design-Cookies (wenn die Inhalte etwa auch ohne diese lesbar sind) und Cookies zur Sicherheit des Anbieters (vor Betrugsfällen im Onlineshop) ist derzeit noch unklar. Hierzu erfolgt aktuell die Empfehlung für solche Cookies auch eine Einwilligung einzuholen.

III. Cookie-Consent-Management

1. Wirksame Einholung der Einwilligung

Die Einwilligung kann mithilfe der bekannten Consent Management Plattformen eingeholt werden („Cookie Banner“). Die Anforderungen an die Einwilligung richten sich nach der DS-GVO, sodass hieran keine höheren, als bereits bekannte, Anforderungen gestellt werden. Die Einwilligung muss dementsprechend aktiv eingeholt werden, zudem muss über die Zwecke der Verarbeitung, die Lebensdauer von Cookies, Benennung der Dienstleister die die Cookies verarbeiten und die Widerspruchsmöglichkeit informiert werden. Vor allen Dingen aber gilt: Keine Cookie-Aktivierung bevor ein Nutzer die Einwilligung erteilt hat.

2. Aktuelle Stellungnahme der Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz (DSK) – der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz hat vorgestern Ihre neue "Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ veröffentlicht. Sie finden sie hier: https://www.datenschutzkonferenz-online.de/media/oh/20211220ohtelemedien.pdf

Das Papier hat bzgl. Ihrer Internetseiten in zwei Aspekten Relevanz:

a. „Ablehnen“-Button

Die Aufsichtsbehörden vertreten die Ansicht, dass ein Cookie-Banner, wenn es ein „alles erlauben“ oder „Akzeptieren“-Button für alle Cookies enthält, auf der gleichen Ebene auch einen „alles verweigern“ oder „Ablehnen“-Button vorsehen muss. Wörtlich heißt es in der Stellungnahme:

„Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mittels der ersten Schaltfläche können die Endnutzer:innen unmittelbar und ohne weiteren Aufwand eine zustimmende Willenserklärung abgeben und das Angebot sofort nutzen. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten. Es bedarf dann weiterer Entscheidungen oder Einstellungen, bis das gewünschte Angebot genutzt werden kann. Diese beiden Handlungsoptionen haben somit nicht denselben Kommunikationseffekt. Wenn Nutzende in dieser Konstellation die einzig vorhandene Schaltfläche wählen, mit der unmittelbar eine – den Entscheidungsprozess beendende – Willenserklärung abgeben werden kann, so kann dieser Handlung auch der Wille innewohnen, sich mit der Angelegenheit einfach nicht mehr beschäftigen zu müssen. Dies gilt umso mehr, wenn aufgrund der konkreten Beschriftung der Schaltflächen nicht einmal eindeutig zu erkennen ist, wie viel Mehraufwand erforderlich ist, um eine Ablehnung mitzuteilen.“

b. Button oder Link zu „Datenschutz-Einstellungen“

Die DSK hält es offenbar für erforderlich, einen dauerhaften Link oder ein Icon anzuzeigen, mit dem z.B. der Widerruf bzgl. Cookies leicht durchgeführt werden kann. Wörtlich heißt es dort:

„Wird die Einwilligung unmittelbar bei der Nutzung einer Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vorgaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie E- Mail, Fax oder sogar per Brief. Es ist auch unzulässig, Nutzende auf ein Kontaktformular hinzuweisen, da in diesem Fall zwar derselbe Kommunikationsweg (d. h. über die Webseite) verwendet wird, aber die Anforderungen deutlich höher sind als bei der Erteilung der Einwilligung (und mittels Kontaktformular Daten erhoben würden, die für den Widerruf nicht erforderlich sind). Wurde eine Einwilligung mittels Banner o. Ä. abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen. Ein solcher Suchvorgang als Zwischenschritt wäre eine Erschwerung, die mit den gesetzlichen Vorgaben nicht vereinbar ist. Dieser Umweg ist auch nicht auf eine technische Unmöglichkeit zurückzuführen, da eine Vielzahl an Webseiten einen stets sichtbaren Direktlink oder ein Icon anzeigen, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt. Es genügt den gesetzlichen Anforderungen erst recht nicht, wenn an verschiedenen Stellen der Datenschutzerklärung auf Opt-out Möglichkeiten auf unterschiedlichen externen Webseiten hingewiesen wird.“

3. Unsere Empfehlung: Konkreter Aufbau des Banners

In rechtlicher Hinsicht lässt die DSGVO diese stringente Bewertung nach unserer Auffassung nicht zu.

ABER: Da es sich hier um eine Orientierungshilfe der DSK handelt, werden alle deutschen Aufsichtsbehörden und damit auch die für Sie zuständigen Aufsichtsbehörde diese Maßstäbe ansetzen. Sollte sich also jemand über die Verwendung des Cookie-Banners auf Ihrer Seite beschweren, ist die Wahrscheinlichkeit hoch, dass die für Sie zuständige Aufsichtsbehörde hier eine Prüfung einleitet und die Umsetzung für rechtswidrig hält.

Dies kann eine Untersagung der Verarbeitung oder aber ein Bußgeld zur Folge haben. Für das rechtswidrige Setzen der Cookies sind Bußgelder bis zu 300.000 € möglich. Für weitere Verstöße wegen vermeintlich fehlerhafter Belehrung oder Widerspruchsmöglichkeiten oder einer Verarbeitung von Daten ohne eine wirksame Einwilligung sprechen wir aber über Bußgelder i.H.v. bis zu 4% des Jahresumsatzes der gesamten Unternehmensgruppe.

Wegen dieses Risikos raten wir dringend an, sich auf Basis des Consent-Managements noch einmal Gedanken zu machen, ob die Umsetzung der Cookie-Consent-Regelung nicht doch besser in einer Weise erfolgt, die die Aufsichtsbehörden für erforderlich halten. Zumindest so lange, bis wir hier gerichtliche Entscheidungen vorliegen haben.

Wir empfehlen folgenden technischen Ablauf

1. Die Einwilligung muss aktiv erteilt werden. Etwaige Checkboxen dürfen nicht vorbelegt sein.
2. Der Cookie Banner muss je einen eigenen Button für „Annehmen“ und für „Ablehnen“ haben.
3. Die beiden Buttons müssen gleichermaßen erreichbar sein. Die Erreichbarkeit auf einer anderen Ebene/Untermenü ist nicht zulässig. Es muss daneben einen Button oder Link zu „Datenschutz-Einstellungen“ geben, von dem mit dem z.B. der Widerruf bzgl. Cookies leicht durchgeführt werden kann.
4. Vermeidung von „Nudging“ (engl. „Anstpubsen“): Durch optische Hervorhebungen (zum Beispiel Farbe) darf die Möglichkeit der Annahme oder Ablehnung nicht in die eine oder andere Richtung gelenkt werden.
5. Umfangreiche Information bereits im Banner erforderlich: bereits im Banner müssen die Nutzer umfangreich informiert werden – über
   1. Zwecke der eingesetzten Tools;
   2. Anzahl der Anbieter und Tools
   3. Sitz des Anbieters, falls außerhalb EU.

IV. Ausblick: Cookie-Banner freie Webseiten durch PIMS

§ 26 TTDSG ermöglicht in Zukunft ein einfacheres Einwilligungsmanagement durch sogenannte „Personal Information Management Services (PIMS)“. Gemeint sind solche Dienste, mit denen Einwilligungen unabhängig vom Besuch einer Webseite, vorab, eingestellt werden können und dann für alle Webseitenbesuche gelten und beim Besuch einer Webseite automatisch berücksichtigt werden. Diese Dienste dürfen jedoch kein wirtschaftliches Interesse verfolgen und müssen offiziell anerkannt sein. Da dies noch einer Rechtsverordnung bedarf und dann ein Genehmigungsverfahren durchlaufen werden muss ist davon auszugehen, dass die PIMS erst in 2022/2023 relevant werden.

Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.                  

Sie können mir folgen auf: Xing oder LinkedIn

siehe auch hier auf LinkedIn