Zum Inhalt springen Zur Navigation springen
Cookies und Datenschutz: Zwischen TTDSG und DSGVO

Cookies und Datenschutz: Zwischen TTDSG und DSGVO

Am 01. Dezember 2021 trat das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in Kraft. Der Anwendungsbereich des TTDSG rückt neben den der DSGVO und soll nicht erwünschten Zugriff auf Daten verhindern, die z.B. auf Computern, Tablets oder Mobiltelefonen gespeichert sind. Dies hat weitreichende Folgen für das Nutzen von Cookies auf Websites und die Zuständigkeit der Aufsichtsbehörden.

Der lange Weg zur Umsetzung der Cookie-Richtlinie im TTDSG

Der Einsatz von Cookies wurde vor Inkrafttreten des TTDSG in der E-Privacy-Richtlinie (2002/58/EG in der Fassung 2009/136/EG), umgangssprachlich „Cookie-Richtlinie“, geregelt. Es kam die Frage auf, wann für den Einsatz von Cookies eine vorherige Einwilligung von Website-Besucher:innen erforderlich sei. Ende 2009 beschloss das Europäische Parlament eine Neuerung der E-Privacy-Richtlinie, wonach im Art. 5 Abs. 3 der RL das dort verankerte Opt-Out-Prinzip mit dem Opt-In-Prinzip ersetzt wurde. Das bedeutet, dass fortan die/der betreffende Teilnehmer:in oder Nutzer:in ihre/seine Einwilligung in die Verarbeitung der Daten geben muss.

Da Deutschland zögerte, die Richtlinie in nationales Recht umzusetzen, war lange unklar, welche Regeln für den Einsatz von Cookies gelten. Ein deutsches vermeintliches Äquivalent zum Art. 5 Abs. 3 der RL wurde aus dem § 15 Abs. 3 Satz 1 Telemediengesetz (TMG) herausgelesen, was schließlich den datenschutzrechtlichen Rahmenbedingungen entspreche. So sahen es zumindest die deutsche Regierung und die Kommission – anders als die Aufsichtsbehörden.

Auch der BGH stieß bei der Anwendung des § 15 Abs. 3 Satz 1 TMG an seine Grenzen und legte im sogenannten „Cookie-Urteil“ (Planet 49) das Gesetz richtlinienkonform aus.

Die Diskussionen darüber, ob diese Richtlinie hinreichend durch die Regelungen im Telemediengesetz in nationales deutsches Recht umgesetzt worden war, hat mit der Einführung des TTDSG ein Ende.

Welche rechtlichen Vorgaben gelten nun für das Setzen von Cookies?

Das TTDSG soll insbesondere die Anpassung der Datenschutzbestimmungen des TKG und des TMG an die DSGVO bezwecken. In welchem Verhältnis das TTDSG zur DSGVO steht, ist noch nicht abschließend geklärt. Fest steht, dass das TTDSG die Datenschutzvorschriften für Telekommunikations- und Telemediendienste aus der DSGVO ergänzen und detaillieren soll.

Es gilt dennoch folgende Unterschiede zu beachten: Werden bei dem Einsatz von Technologien keine personenbezogenen Daten verarbeitet, sind nur die Vorgaben des TTDSG, nicht aber diejenigen der DSGVO anzuwenden.

Bei der Nutzung von Cookies, bei der das Nutzerverhalten nachverfolgt werden kann, werden regelmäßig personenbezogene Daten verarbeitet, sodass sowohl der Anwendungsbereich des TTDSG als auch der der DSGVO eröffnet ist, ebenso wie die zugrunde liegende Cookie‑Richtlinie. Das wird insbesondere dadurch ersichtlich, dass § 25 Abs. 1 S. 2 TTDSG ausdrücklich Bezug auf die DSGVO nimmt.

Für den Fall einer Kollision des TTDSG mit der Cookie‑Richtlinie normiert Art. 95 DSGVO eine Kollisionsregelung, wonach der datenverarbeitenden Stelle durch die DSGVO

„auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten“

auferlegt werden, soweit die Cookie‑Richtlinie entsprechende Regelungen vorsieht, die dasselbe Ziel verfolgen.

Grundsätzlich Einwilligung für Speicherung und Zugriff auf Informationen

In § 25 Abs. 1 TTDSG ist nun ein Einwilligungserfordernis statt des bis dahin geltenden Widerspruchsvorbehalts geregelt. Für die Beurteilung der Wirksamkeit einer Einwilligung nach § 25 Abs. 1 S. 1 TTDSG müssen dieselben Bewertungsmaßstäbe beachtet werden, wie bei der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

§ 25 Abs. 1 TTDSG regelt den Grundsatz der Einwilligungsbedürftigkeit wie folgt:

„(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

In § 25 Abs. 2 formuliert das TTDSG begrenzte Ausnahmen von der Einwilligungsbedürftigkeit:

„(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Was ist mit „unbedingt erforderliche“ Cookies gemeint?

Die unbedingte Erforderlichkeit hängt von der technischen Notwendigkeit ab. Das heißt, dass die Nutzung von Cookies für den angestrebten Zweck unbedingt erforderlich sein muss, damit der Anbieter einen von der/dem Nutzer:in aufgerufenen Dienst zur Verfügung stellen kann.

Ein Beispiel für technisch notwendige Cookies ist die notwendige Sitzungsverwaltung. Die Cookies werden notwendig, wenn sich der Nutzer beim Login anmeldet oder das Produkt in den virtuellen Warenkorb legt.

Von der technischen Notwendigkeit ausgenommen ist z.B. die Setzung einer Session-ID, wenn die/der Nutzer:in die Website lediglich aufruft. Außerdem dürfen Cookies grundsätzlich erst ab dem Zeitpunkt einwilligungsfrei genutzt werden, ab dem sie unbedingt erforderlich sind und nicht bereits vorher.

Cookie-Banner: Die Fehler liegen im Detail

Die Gestaltung der Cookie-Banner ist nicht kompliziert, wenn gewisse Vorgaben beachtet werden. Da jedoch eine Reihe von Vorgaben beachtet werden muss, steckt der Teufel im Detail.

Braucht jede Website einen Cookie-Banner?

Zunächst sollte immer überprüft werden, ob ein Cookie-Banner überhaupt erforderlich ist.

Sofern keine einwilligungsbedürftigen Verarbeitungen vorgenommen werden, ist nach der DSGVO auch keine Einwilligung nötig. Nach dem TTDSG ist keine Einwilligung nötig, wenn keine Informationen auf den Endgeräten der Nutzer abgelegt oder von dort ausgelesen werden, die nicht unbedingt erforderlich sind, damit von den Nutzenden ausdrücklich gewünschte Dienste zur Verfügung gestellt werden können.

Empfehlenswert ist, vor Allem um den eigenen Aufwand zu minimieren, so weit möglich auf Cookies und einwilligungsbedürftige Verarbeitungen zu verzichten. Betreiber können damit vermeiden, von Internetangeboten und anderen Telemediendiensten die umfangreichen Herausforderungen bei der korrekten Einholung von Einwilligungen erfüllen zu müssen.

Werden nicht-einwilligungsbedürftige Cookies genutzt, muss die Nutzung nur in den Datenschutzhinweisen aufgenommen werden.

Was muss im Cookie-Banner stehen?

Ist ein Cookie-Banner notwendig, muss der Banner wie folgt gestaltet werden:

  • Deutliche und verständliche Formulierung
  • Der Zweck der Verarbeitung muss angegeben werden
  • Die Opt-in-Funktion muss zur Verfügung gestellt werden
  • Es darf keine vorherigen (Dritt-)Verbindungen (Datentransfer an Dritte) bestanden haben
  • Keine unterschwellige Beeinflussung zur Abgabe einer Einwilligung (Nudging)
  • Cookie-Widerspruch muss einfach zugänglich sein
  • Zugriff auf Impressum und Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden
  • Freiwilligkeit der Einwilligung muss deutlich sein
  • Auf die Widerrufsmöglichkeit muss hingewiesen werden

Wichtig ist auch, die zeitliche Komponente zu beachten: Die Einwilligung in die Nutzung von Cookies muss unmittelbar vor der ersten Nutzung der einwilligungsbedürftigen Funktionalität abgefragt werden.

Nudging, Dark Pattern oder doch bloß Design?

„Nudging“ (auf Dt. „anstupsen“) bezeichnet Techniken, durch die die/der Nutzer:in zur Abgabe einer Einwilligung geleitet werden soll. Beispielsweise ist in sog. Consent-Fenstern die Option „Zustimmen“ häufig im Vergleich zur Option „Ablehnen“ auffälliger / ansprechender gestaltet, z.B. durch Farbe, Schriftschnitt und sonstige Hervorhebungen.

Bei den „Dark Pattern“ (auf Dt. „dunkle Muster“) wird die/der Nutzer:in entgegen ihren/seinen Interessen und Willen zur Einwilligung verleitet. Dies kann durch verschiedene Phänomene, wie beispielsweise Manipulation, Täuschung oder Nötigung der/des Nutzer:in geschehen. Typische Erscheinungsformen sind neben Countdowns, die Angebote (scheinbar) zeitlich befristen, auch Verweise auf die (vermeintliche) Knappheit und das (vermeintliche) Verhalten anderer Nutzer. Weitere Anwendungsbeispiele sind voreingestellte Eingabemöglichkeiten sowie suggestive oder emotionale Fragen und Hinweise. Am Beispiel eines Consent-Fensters liegt Dark Pattern vor, wenn sich die/der Nutzer:in im Fenster nicht zurechtfindet und die Option „Ablehnen“ erst durch viele weitere Klicks erreicht.

Bloßes Design liegt immer dann vor, wenn sich die Technik keines Nudging oder Dark-Patterns bedient, also keine Art der Beeinflussung des Verhaltens der Nutzer:innen vorliegt, was selten der Fall ist.

Grundsätzlich gilt, dass jede Gestaltung eines Cookie-Banners, der dem Nutzer auf der ersten Ebene keine Wahl lässt, unzulässig ist. Bei der Gestaltung von Cookie-Bannern ist den Aufsichtsbehörden wichtig, dass die Nutzer:innen bereits auf der ersten Ebene eine echte Wahlmöglichkeit haben.

In der praktischen Umsetzung heißt das am Beispiel des Consent-Fensters, dass die beiden Optionen sich zwar farblich unterscheiden dürfen, jedoch nicht in dem extremen Maße, dass die Einwilligung der Nutzer:in nicht mehr als „unmissverständlich abgegeben“ wurde (Nudging). Im Fenster muss bereits auf der ersten und nicht erst auf zweiter Ebene, sowohl eine Option „Zustimmen“ als auch die Option „Ablehnen“ auswählbar sein (Dark Pattern).

Die doch komplizierte praktische Umsetzung dieser vergleichsweisen strengen Vorgaben für Cookie-Banner ruft immer wieder die Aufsichtsbehörden auf den Plan. So haben die Aufsichtsbehörden vermehrt auf das reale Risiko für Nutzer:innen durch unzureichende Cookie-Banner hingewiesen. Um unzulässige Dark Pattern zu erkennen und zu vermeiden, verweisen die Aufsichtsbehörden auf die EDSA Guidelines, welche die einzelnen Dark Pattern-Phänomene mit vielen Beispielen anschaulich darstellen.

Bußgelder und Aufsichtsbehörden

§ 28 TTDSG ist die neue Regelung zu Bußgeldern, die bei Verstößen gegen das TTDSG verhängt werden können. Problematisch ist vor Allem die Zuständigkeit der Behörden bei der Verhängung von Bußgeldern nach § 28 TTDSG, z.B. bei Verstößen gegen § 25 TTDSG (§ 28 Abs. 1 Nr. 13 TTDSG).

Hintergrund der Problematik ist, dass die Cookie-Richtlinie nicht vorgibt, dass die Sanktionierung zwingend durch nationale Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA in der Stellungnahme 5/2019

„Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“

Gemäß § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Demnach sind die Datenschutzaufsichtsbehörden der Länder für die Anwendung des TTDSG zuständig, sofern das Landesrecht eines Bundeslands eine solche Zuständigkeit regelt. Nationale Landesdatenschutzbehörden sind daher nicht automatisch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG. Die Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der Cookie-Richtlinie zuständig,

„wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“

(EDSA, Stellungnahme 5/2019). Es bedarf demnach einer Regelung über die sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten für jedes Bundesland. Eine solche fehlt in den meisten Bundesländern.

Auch § 113 S. 1 MStV spricht die Aufgabe der Aufsicht den „nach allgemeinen Datenschutzgesetzen zuständigen Aufsichtsbehörden“ zu, also den Landesdatenschutzbehörden. „Allgemeine Datenschutzbestimmungen“ im Sinne des § 113 S. 1 MStV sind die Anforderungen aus DSGVO, BDSG und TMG, sodass auch das TTDSG von dieser Norm erfasst sein kann. Aber auch hier ist wieder Voraussetzung, dass die Länder eigene Telemedienzuständigkeitsgesetze statuieren, die oft fehlt.

Hinzu kommt die Problematik, dass die DSGVO und das TTDSG unterschiedliche Anknüpfungspunkte haben: Für die Bestimmung der zuständigen Behörde ist die Belegenheit der Niederlassung des Verantwortlichen maßgeblich, Art. 3 Abs. 1, Art. 55 DSVGO, wohingegen das TTDSG  an die Person des Diensteanbieters (§ 2 TTDSG) anknüpft. Dies könnte zu einer künstlichen Aufspaltung der Zuständigkeit für denselben Sachverhalt führen und die Durchsetzung der Bußgelder verkomplizieren.

Ist die Zuständigkeit in Zukunft geklärt, kann ein Verstoß gegen § 25 Abs. 1 TTDSG beispielsweise mit einer Geldbuße von bis zu 300.000 Euro geahndet werden, die im Verhältnis zu den Geldbußen nach der DSGVO relativ niedrig ausfällt.

TTDSG & DSGVO: Zum Schluss…

kann festgehalten werden, dass das neue TTDSG als die DSGVO ergänzendes Regelwerk neue Herausforderungen birgt. Es schafft zum Einen die Umsetzung der Cookie-Richtlinie in nationales Recht, zum Anderen wirft es neue Fragen auf, insbesondere die der Zuständigkeit. Es bleibt spannend, ob diese Frage auf europäischer Ebene geklärt wird, um internationale Sachverhalte frühzeitig einzubeziehen, oder ob der deutsche Gesetzgeber nachjustieren wird. Außerdem bleibt abzuwarten, wie die nationalen Gerichte mit der möglichen Anwendung des TTDSG umgehen und bereits bestehende Rechtsprechung zur Nutzung von Cookies verändert wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.