Der Einsatz von Cookies und anderen Tracking-Tools stellt Betreiber von Websites vor eine Vielzahl von Herausforderungen. Um den hierbei bestehenden Rechtsunsicherheiten entgegenzutreten, hat der Bundestag im Mai 2021 das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (kurz: „Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG“) verabschiedet. Das Gesetz soll dabei insbesondere die datenschutzrechtlichen Regelungen des Telemediengesetzes (TMG) sowie des Telekommunikationsgesetzes (TKG) in einem einheitlichen Gesetz bündeln. Es wird am 1. Dezember 2021 in Kraft treten.
Der Einsatz von Cookies ist für viele Betreiber von Websites unverzichtbar. Neben sogenannten essenziellen oder auch als notwendig bezeichneten Cookies, welche es technisch erst ermöglichen, Funktionen einer Website zur Verfügung zu stellen, kommen bspw. auch solche Tools zum Einsatz, die Besuchern eine nutzeroptimierte Werbung präsentieren sollen oder welche es dem Betreiber der Webseite erlauben, dass Nutzerverhalten zur Optimierung der Webseite auszuwerten.
Für Betreiber stellt sich dabei häufig die Frage, für welche Cookies eine Einwilligung der Nutzer erforderlich ist und wie das sogenannte Cookiebanner gestaltet werden muss. Zwischenzeitlich finden sich zahlreiche verschiedene Umsetzungen am Markt. Eine Klärung soll nun das TTDSG bringen.
Alles neu ab Dezember 2021 oder weiter so wie bisher?
Mit dem TTDSG wollte der Gesetzgeber zum einen auf die bislang ergangene Rechtsprechung in diesem Bereich reagieren und endlich die ePrivacy-RL umsetzen. Damit sind zumindest die jahrelangen Diskussionen beendet, ob der deutsche Gesetzgeber die ePrivacy-RL tatsächlich umgesetzt hat. Viel mehr Neuerungen hält das Gesetzt jedoch zumindest im Bereich der Cookie-Einwilligung nicht bereit.
Einwilligung für nicht notwendige Cookies erforderlich!
Im § 25 TTDSG wird nunmehr ganz klar eine Einwilligung des Nutzers verlangt, wenn Informationen auf der „Endeinrichtung“ des Nutzers gespeichert werden sollen bzw. wenn der Webseitenbetreiber auf diese gespeicherten Informationen zugreifen möchte. Die Vorschrift entspricht dabei in weiten Teilen dem Wortlaut des Art. 5 Abs.- 3 ePrivacy-RL. Unter „Endeinrichtung“ des Nutzers ist jedes Gerät mit einer Internetverbindung zu verstehen. Dies soll einen weiten Anwendungsbereich des Gesetzes und einen Schutz der Nutzer garantieren. Zu beachten ist, dass durch die Ausdehnung des Anwendungsbereichs künftig bspw. auch Smart-Home Anwendungen von dem Einwilligungserfordernis betroffen sein können.
Wie bereits im Rahmen der ePrivacy-RL, bleibt jedoch auch im Anwendungsbereich des TTDSG die Verwendung solcher Cookies auch unabhängig vom Vorliegen einer Einwilligung möglich, welche als essenziell oder notwendig bezeichnet werden können. Dies erfordert somit weiterhin eine Differenzierung der Cookies und die Webseitenbetreiber müssen prüfen, in welche Kategorie das eingesetzte Cookie fällt.
Anerkennung von Diensten zur Einwilligungsverwaltung
Als echte Neuerung hat der Gesetzgeber in § 26 TTDSG eine Regelung zum Informationsmanagement von Einwilligungen eingeführt. Hierdurch soll ein Rechtsrahmen geschaffen werden, der eine Anerkennung von Diensten zur Einwilligungsverwaltung zur Folge hat. Für eine Anerkennung müssen derartige Dienste zukünftig nachweisen, dass sie neben nutzerfreundlichen und wettbewerbskonformen Verfahren sowie technischen Anwendungen zur Einholung und Verwaltung von Einwilligungen, unter anderem kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben und über ein qualitatives und zuverlässiges Sicherheitskonzept verfügen. Das in diesem Zusammenhang notwendige Anerkennungsverfahren wird jedoch gemäß § 26 Abs. 2 TTDSG erst durch den Erlass einer Rechtsverordnung bestimmt.
Praxis-Tipp
Auch wenn das neu verabschiedete TTDSG keine weitreichenden Neuerungen zur Rechtssicherheit und -klarheit beim Einsatz von Cookies liefert, ist es doch als eine Konkretisierung der bisher geltenden Rechtslage zu bezeichnen. Gerade wenn man die aktuellen Entwicklungen der Europäischen Union zur Vereinheitlichung der Rechtslage durch den Erlass der ePrivacy-Verordnung betrachtet, wird klar, warum sich der deutsche Gesetzgeber mit weitreichenden Neuerungen zurückhält. Seit Februar 2021 liegt ein neuer Entwurf des EU-Ministerrats vor, auf dessen Grundlage mittlerweile Trilogverhandlungen über den konkreten Wortlaut der ePrivacy-Verordnung stattfinden.
Im Ergebnis stellt die Schaffung des TTDSG eine Vereinheitlichung der bisherigen Rechtslage dar. Beim Einsatz von Cookies und anderen Tracking-Tools muss auch weiterhin darauf geachtet werden, dass grundsätzlich eine Einwilligung beim jeweiligen Nutzer der Webseite eingeholt werden muss. Lediglich in Ausnahmefällen, bspw. beim Setzen von technisch notwendigen Cookies, kann auf eine solche Mitwirkung der Nutzer verzichtet werden. Durch den fortan weit gefassten Anwendungsbereich des TTDSG müssen die vorbezeichneten Grundsätze zudem auch außerhalb von „klassischen“ Endgeräten im Auge behalten werden.
Ob und inwieweit die in § 26 TTDSG enthaltenen Dienste zur Einwilligungsverwaltung tatsächlich Anklang finden, bleibt abzuwarten. Zumindest nach bisherigem Stand werden sowohl Anbieter als auch Nutzer weiterhin mit Cookie-Bannern konfrontiert bleiben. Um den Anforderungen des § 25 TTDSG zu genügen, müssen neben der optischen Gestaltung der Cookie-Banner auch Informationspflichten sowie die konkrete Ausgestaltung der einzuholenden Einwilligungen berücksichtigt werden. Da sowohl Anbieter als auch die Webseiten und Apps variieren, muss im jeweiligen Einzelfall ein konkretes Konzept zur Verwendung von Cookies ausgearbeitet werden.