Anzeige
Anzeige

TTDSG-Checkliste: So gestalten Sie rechtskonforme Cookie-Banner

21.12.2021 - Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beinhaltet auch Regelungen für die Nutzung von Cookies. Datenschutzexperten der Technologiekanzlei Schürmann Rosenthal Dreyer erklären, was Unternehmen bei der Einholung und Ausgestaltung der Nutzereinwilligung beachten müssen, welche Ausnahmen es gibt und welche rechtlichen Konsequenzen bei Nichtbeachtung drohen.

von Kathrin Schürmann und Thorsten Mehl

Das TTDSG - seit dem 1. Dezember 2021 in Kraft - stellt ein weiteres wichtiges Regelwerk dar, das Unternehmen bei der digitalen Transformation neben der DSGVO beachten müssen. Umfasst sind Regelungen zum Datenschutz und dem Schutz der Privatsphäre in der Telekommunikation und bei Telemedien. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext gebündelt. Es enthält besondere Vorschriften, etwa zum Schutz der Privatsphäre bei Endeinrichtungen der EndnutzerInnen, z.T. resultierend aus der Umsetzung des Art. 5 Abs. 3 der EPrivacy-Richtlinie. Das betrifft unter anderem auch den klassischen Fall der "Cookies". Dabei handelt es sich um Datenpakete, die bei der Nutzung einer Webseite auf dem jeweiligen Endgerät zwischengespeichert werden, um das individuelle NutzerInnenverhalten zu analysieren und andere Funktionen bereitzustellen.

Wer muss den Verpflichtungen aus dem TTDSG nachkommen?

Alle AnbieterInnen von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter AnbieterInnen von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Beispielsweise Suchmaschinen, Blogs, aber auch Onlineshops sind erfasst. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter. Mit der Novelle des TKG sind auch nummernunabhängige interpersonelle Telekommunikationsdienste Teil des Regulierungsregimes. Damit werden auch Messengerdienste, wie Whatsapp oder Telegram, adressiert.

Was bedeutet das Gesetz für die Nutzung von Cookies?

Grundlage ist § 25 TTDSG, der den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht vorliegt. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.

Was ist bei der Einholung und Ausgestaltung der Einwilligung zu beachten?

Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Informationen sowie die Einwilligung müssen außerdem den Anforderungen der DSGVO gerecht werden. Die Einwilligung muss
  • freiwillig,
  • für einen bestimmten Fall,
  • in informierter Weise,
  • durch eine unmissverständliche Willensbekundung und
  • als eindeutige bestätigende Handlung,
  • mit Hinweis auf eine Widerrufsmöglichkeit
ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als "Opt-In". Unternehmen sollten auf ihrer Webseite daher genau beachten, dass der/die InternetnutzerIn konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen "Zustimmen"-Button, einwilligt. Voreingestellt gesetzte Häkchen sind unzulässig.

  • Banner-Inhalt: Inhaltlich müssen NutzerInnen über die jederzeitige Widerrufsmöglichkeit der Einwilligung aufgeklärt werden. Außerdem müssen sie über die Zwecke der Cookies informiert werden. Eine Verlinkung zum Impressum und der Datenschutzerklärung sollten Teil des Banners sein. Diese Informationen müssen transparent und in verständlicher Weise zugänglich sein.

  • Zur Freiwilligkeit: Was die Freiwilligkeit angeht, ist noch nicht abschließend geklärt, in welchem Umfang es zulässig ist, den/die NutzerIn durch gezielte Gestaltung des Cookie-Banners zu beeinflussen - Stichwort: Nudging bzw. Dark Patterns. In diesem Zusammenhang gilt zumindest, dass die Ablehnung grundsätzlich nicht umständlicher sein darf als die Annahme von Cookies.

  • Aus dem Whitepaper 'Cookie-Banner: Leitfaden zur sachgerechten Umsetzung' (Bild: SRD Rechtsanwälte)
    Aus dem Whitepaper 'Cookie-Banner: Leitfaden zur sachgerechten Umsetzung'

  • Bannergestaltung: Es empfiehlt sich, als risikoarme Gestaltung, gleichwertige Schaltflächen im Cookie-Banner zu integrieren, wobei die Zustimmung, die individuelle Anpassung und die Ablehnung auf erster Ebene auswählbar sein sollten (Drei-Button-Ausgestaltung). Hinsichtlich der Hervorhebung einzelner Button, wie z.B. dem Zustimmen-Button, sind aktuell wohl noch moderate Hervorhebungen und Designanpassungen möglich, jedoch variieren hier die Ansichten der Aufsichtsbehörden, sodass Zurückhaltung geboten ist. Innerhalb der Details sollte dem/der NutzerIn die separate Möglichkeit gegeben werden über spezifische Cookies zu entscheiden. Andere Designmöglichkeiten als die Drei-Button-Gestaltung sind zumindest aktuell noch möglich. Geplant ist, seitens der Datenschutzkonferenz und der Aufsichtsbehörden, eine Verlautbarung, die die Vorgaben an Cookie-Banner-Gestaltungen vereinheitlichen sollen. Es erscheint sehr wahrscheinlich, dass dabei ein Ablehnen-Button auf der ersten Ebene des Cookie-Banners gefordert werden wird, sodass es jetzt schon sinnvoll ist, das Banner so zu gestalten.

  • Apps & mobile Versionen: Unternehmen, die ihre Dienste in Form von Apps oder einer mobilen Webseiten-Version anbieten, sollten auf die optische Anpassung in Form von Schriftgröße und Kompatibilität mit dem Endgerät achten, um keine unschönen Überlappungen o.ä. zu erzeugen. Das Banner sollte maximal 50 Prozent des Bildschirms bedecken. Außerdem muss beim ersten Starten der App die Cookie-Einwilligung abgefragt werden. Abfragen der technischen Zugriffsberechtigung, wie z.B. die Frage nach dem Zugriff auf die Kamera, oder die Kontakte, erfüllen nicht die Anforderungen an eine Einwilligung nach der DSGVO, da vor allem die Bestimmtheit und die Informationspflichten unterlaufen werden.

  • Zur Dauer: Auch für die wiederholte Abfrage der Einwilligung haben sich gewisse Standards herauskristallisiert. Eine Speicherung der Einwilligung sollte für mindestens sechs Monate erfolgen, zumindest aber sollte eine dauernd wiederholte Abfrage unterlassen werden.

Ausnahmen und offene Fragen

Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann obsolet, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.

Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.

Einwilligungsassistenz mit Personal Information Management-Systemen (PIMS)

Das TTDSG ermöglicht die Einwilligungsverwaltung durch anerkannte Dienste, sog. PIMS. Diese Dienste sind Einwilligungsassistenten und eine benutzerfreundliche Unterstützung für Cookie-Einwilligungen. Sie schaffen die Möglichkeit für NutzerInnen ihre personenbezogenen Daten per Dashboard einsehen zu können, zu verwalten sowie mit anderen Webseiten zu teilen. Vor allem nach letzterem sehnen sich viele Nutzer:innen, da so nicht bei jedem Aufruf einer Webseite erneut ein Cookie-Banner erscheint, sondern die Einstellungen übernommen werden können. Für den Einsatz eines PIMS bedarf es der Anerkennung durch eine unabhängige Stelle. Wann mit den ersten Einsätzen zu rechnen ist, ist derzeit noch nicht absehbar, da es noch einer entsprechenden Rechtsverordnung bedarf.

Checkliste: Wie gestalten Sie Cookie-Banner rechtssicher?

  • Machen Sie eine Bestandsaufnahme aller aktuell verwendeten Cookies oder ähnlicher Technologien.
  • Kategorisieren Sie die vorhandenen und einzurichtenden Cookies danach, ob eine Einwilligung erforderlich ist, oder ob eine Ausnahme eingreift - Beachten Sie, dass im Einzelnen nicht klar ist, wann eine Ausnahme vorliegt.
  • Für den Fall, dass ein Einwilligungsmanagement zum Einsatz kommen soll, muss es vorher von einer unabhängigen Stelle anerkannt werden. In diesem Rahmen muss noch eine entsprechende Rechtsverordnung determiniert werden, sodass mit den ersten Einsätzen erst gegen Ende 2022 zu rechnen ist.
  • Je übersichtlicher ein Cookie-Banner ist, desto angenehmer ist es für den/die NutzerIn: erstellen Sie gleichwertige Schaltflächen für die Zustimmung, die Ablehnung und individuelle Cookie-Einstellungen. Eine moderate Hervorhebung des Zustimmen-Buttons ist noch möglich. Weitere Rechtsentwicklungen sind jedoch abzuwarten.
  • Weisen Sie auf die Widerrufsmöglichkeit, das Impressum und die Datenschutzerklärung hin.
  • Wenn Cookies zum Einsatz kommen, überprüfen Sie die damit verbundenen Verarbeitungen nach ihrer DSGVO-Konformität.
  • Beachten Sie die restlichen TTDSG Vorschriften, wie die Vorschriften zum Jugendschutz.

Rechtliche Konsequenzen

Unternehmen, die in den Anwendungsbereich des TTDSG fallen, müssen sich an die Cookie-Regelungen halten. Andernfalls droht nach dem TTDSG ein Bußgeld, das mit bis zu 300.000 Euro geahndet werden kann. Daneben sind auch DSGVO-Bußgelder denkbar, die im Einzelfall noch deutlich höher ausfallen können.

Über die AutorInnen: Kathrin Schürmann ist Partnerin der Technologiekanzlei Schürmann Rosenthal Dreyer   und spezialisierte Rechtsanwältin für Datenschutz- und IT-Recht. Ein Fokus ihrer beratenden Tätigkeit liegt in den Bereichen Digital Business, Technologie und Medien. Bei der ISiCO Datenschutz GmbH   , einem Beratungsunternehmen für Datenschutz, Compliance, Zertifizierung und Informationssicherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung.

Thorsten Mehl ist Rechtsanwalt der Technologiekanzlei und spezialisiert auf das Datenschutzrecht, Wettbewerbsrecht, Marketing, Vertrieb, IT-Recht und Digitales Business.

Mehr zum Thema:
Diskussion:
www.hightext.de

HighText Verlag

Schäufeleinstr. 5
80687 München

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.versandhausberater.de

Diese Website ist klimaneutral durch CO2-Ausgleich.

Wir unterstützen in Virunga in der D.R. Kongo das Projekt eines Wasser­kraft­werks, das den dortigen Bewohnern saubere Energie liefert und die Abholzung im Virunga Nationalpark reduziert. Das Projekt ist nach Verified Carbon Standard (VCS) zertifiziert. Mehr dazu

Nachweis: www.climatepartner.com/16516-2105-1002