Ein Ende der Cookie-Banner? Oder Cookie-Banner ohne Ende? Was bringt das neue TTDSG?

Am 1. Dezember 2021 tritt das neue „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz: TTDSG) in Kraft.

Ein erklärtes Ziel des Gesetzgebers war es, die Flut der Cookie-Banner zu beenden und in dieser Frage Rechtssicherheit zu schaffen.

In § 25 TTDSG findet sich die relevante Regelung für die Verwendung von Cookies & Co. Demnach ist die "Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung  gespeichert sind, nur zulässig, wenn der Endnutzer auf der  Grundlage von klaren und umfassenden Informationen eingewilligt hat."

Somit ist die Einwilligung die Regel und nicht die Ausnahme.

Die Einwilligung muss den Anforderungen der DSGVO genügen, also freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erklärt werden und jederzeit widerrufbar sein.

Von der vorgenannten Regel gibt es gemäß § 25 (2) TTDSG insbesondere folgende Ausnahme: 

"Die Einwilligung ist nicht erforderlich, wenn die Speicherung von Informationen ... unbedingt erforderlich ist, damit  der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich  gewünschten Telemediendienst zur Verfügung stellen kann."

Beispiele oder eine genauere Definition, wann diese Ausnahme vorliegt, hat der Gesetzgeber leider nicht geliefert. Die Ausnahmen in § 25 (2) TTDSG sind allerdings eine nahezu wortgetreue Übernahme des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie. Zu dieser Richtlinie von 2002 gibt es inzwischen viele Stellungnahmen, z.B. die Stellungnahme 04/2012 (WP 194) zur Ausnahme von Cookies von der Einwilligungspflicht der Artikel-29-Gruppe (ab S. 7). 

Von den Aufsichtsbehörden anerkannte Fallgruppen sind demnach u.a.:

- User-Input-Cookies: temporäres Speichern von Eingaben in mehrseitigen Formularen oder zum Speichern eines Warenkorbes beim Online-Einkauf

- Authentifizierungscookies: seitenübergreifende Identifikation des Nutzers, sodass sich dieser nicht auf jeder einzelnen Seite desselben Telemediums erneut einloggen muss

- Nutzerorientierte Sicherheitscookies: Cookies, um wiederholt fehlgeschlagene Anmeldeversuche zu erkennen und so den Nutzer vor Identitätsdiebstahl zu schützen

- Cookies zur Anpassung der Benutzeroberfläche: Speicherung der vom Nutzer vorgenommenen Einstellungen, z.B. Anzeigeformat, Design oder Sprache

- Multimedia-Player-Cookies: Cookies zur Wiedergabe von nutzerseitig angeforderten Audio- oder Videoinhalten.

Dagegen sind von der Einwilligungspflicht ausdrücklich nicht ausgenommen:

- Tracking-Cookies sozialer Plugins

- Third-Party-Cookies zu Werbezwecken

- First-Party-Analysecookies.

Zusammengefasst kann man sagen: Zumindest für Warenkorb- und Session-Cookies sowie Identifier zum Vorhalten von Nutzerpräferenzen, wie z.B. Sprach- und Bildschirmeinstellungen, oder zur Gewährleistung der technischen Sicherheit und Integrität der Website kann man annehmen, dass diese unbedingt erforderlich im Sinne von § 25 (2) TTDSG sind. Sofern der User diese Dienste ausdrücklich wünscht, benötigt man keine Einwilligung nach § 25 (2) TTDSG. Für alle anderen Fälle ist es nach Ansicht der Aufsichtsbehörden nicht zulässig und damit zumindest riskant, sich keine Einwilligung des Users zu holen. Also: Noch kein Ende der Cookie-Banner!

Was man noch zum neuen Gesetz wissen sollte:

§ 25 TTDSG ist technologieneutral. D.h., es erfasst nicht nur die üblichen (und nervigen) Cookies, sondern jegliche Techniken, die ein Speichern und/oder Auslesen von Informationen auf Endeinrichtungen erfordern, z.B. das sog. Browser Fingerprinting. Auch die Nachverfolgung über Werbe-IDs, MAC-Adressen, IMEI-Nummern wird von dieser Regelung erfasst.

Die neue Regelung ist für alle Gegenstände, die an das Internet, das öffentliche Kommunikationsnetz oder z.B. über einen WLAN-Router angeschlossen sind – etwa im Bereich von Smarthome-Anwendungen (z.B. Küchengeräte, Heizkörperthermostate, Alarmsysteme) – anwendbar.

§ 25 TTDSG hat einen weiten Anwendungsbereich. D.h. die Regelung gilt unabhängig davon, ob beim Zugriff auf die Endeinrichtung personenbezogene Daten oder sonstige Daten verarbeitet werden.

Aussicht: Zu einem Ende der Cookie-Banner könnte es kommen, falls sich die in § 26 TTDSG geregelten „Dienste zur Einwilligungsverwaltung“ etablieren. Mit diesen Diensten sind sogenannte Personal Information Management-Systeme (kurz: „PIMS“) gemeint. 

Mittels PIMS können Nutzer ihre personenbezogenen Daten in einem Dashboard einsehen, verwalten und mit anderen Stellen teilen. PIMS in Form eines solchen Einwilligungsassistenten gelten als nutzerfreundliche Möglichkeit, Nutzer in Bezug auf Cookie- Einwilligungen zu unterstützen (s. zu diesem Thema z.B. den Datentag der Stiftung Datenschutz).

Ob sich ein solches System zeitnah durchsetzt - umso mehr, da es bisher eine rein deutsche Regelung ist - ist zu bezweifeln. Sollte sich die Einwilligungsverwaltung zumindest auf europäischer Ebene etablieren, kann man auf ein Ende der Cookie-Banner hoffen. 

Fazit: Jedes Unternehmen, das Cookies, Tracking-Dienste oder ähnliches in einer App, auf der Website oder in sonstigen vernetzten Geräten verwendet, sollte umgehend prüfen, ob eine Einwilligung nach § 25 TTDSG erforderlich ist. Sollten Sie Fragen zu diesem Thema haben, können Sie gerne Kontakt mit uns aufnehmen.