Jeder, der im Internet Websites besucht, kennt es und ist irgendwie genervt: Bevor man sich auf der Website umsehen kann, erscheint ein Banner zu den sog. Cookie-Einstellungen. Der Besucher wird auf den Einsatz, den Nutzen und Zweck von Cookies hingewiesen und soll sodann eine Auswahl treffen, ob er nur notwendige oder auch weitere Cookies zu Statistik-, Marketing-, Partnerschafts- oder sonstigen Zwecken zulassen will. Erst nach dem Setzen entsprechender Häkchen in Check-Boxen bzw. das Anklicken von Buttons mit beispielsweise der Aufschrift „Auswahl bestätigen“, „alle ablehnen“ oder „alle zulassen“ kann man die Website betrachten.
Ein Ende dieses umständlichen Cookie-Banner-Rituals ist nicht in Sicht – im Gegenteil: ab 01.12.2021 tritt das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetz -TTDSG) in Kraft. Es macht den Einsatz solcher Cookie-Banner nunmehr verpflichtend und regelt deren Ausgestaltung.
Was sind Cookies?
Vorbei sind die Zeiten, in denen man beim Wort “Cookie” an große, runde Kekse – wahlweise mit Schokostückchen, Nüssen oder Cranberries garniert – oder das Krümelmonster aus der Sesamstraße dachte.
Heute bezeichnet man in der IT-Sprache mit dem Wort „Cookie“ Datenpakete, die von Webbrowsern und Websites erzeugt werden, um individuelle Nutzerdaten – wie z.B. Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (wie z.B. den „Warenkörben“ in Onlineshops) zu speichern.
Sobald der User zum ersten Mal eine Website aufruft, wird ein neuer Cookie angelegt, der von da an die vom Website-Betreiber erfassbaren Informationen sammelt. Anhand von Cookies erkennt die Website, wer sie gerade besucht, und kann sich dadurch in gewissem Rahmen an die Bedürfnisse des Website-Besuchers anpassen.
Zu unterscheiden sind im Wesentlichen folgende Cookies:
(1) Notwendige Cookies
Notwendige Cookies, die dabei helfen, eine Webseite nutzbar machen und ohne die die Website nicht funktioniert (z.B. Seitennavigation, Zugriff auf sichere Bereiche der Webseite). Hierzu zählen auch Session-Cookies, die dazu dienen mehrere Anfragen eines Users auf einer Website zu dessen Sitzung zuzuordnen. Hierfür wird eine sog. Session-ID vergeben, die den User aber nicht weiter identifizieren kann. Nach dem Schließen des Browsers werden Session-Cookies i.d.R. gelöscht.
Flash-Cookies zur Wiedergabe von Medieninhalten zählen ebenso zu den notwendigen Cookies wie solche, die von eingebundenen Zahlungsdiensteanbietern gesetzt werden, wenn sie ausschließlich der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen. Sie dürfen dabei aber kein bestimmtes Nutzungsverhalten analysieren.
(2) Präferenz-Cookies
Präferenz-Cookies erinnern eine Website an bestimmte Informationen, aufgrund derer sich die Website sodann entsprechend verhält (z. B. Sprachauswahl).
(3) Statistik-Cookies
Statistik-Cookies erfassen das Verhalten, wie die Website-Besucher interagieren (z.B. Besuch von Unterseiten, Verweildauer etc.) und diese Informationen anonym sammeln sowie dem Website-Betreiber melden.
(4) Marketing-Cookies
Markteng-Cookies folgen dem Website-Besucher und legen Nutzerprofile an. Diese Nutzerprofile ermöglichen sodann ein gezielteres Onlinemarketing und schlussendlich auch personalisierte Werbung durch Dritte. Denn sog. Third-Party-Cookies, die meist unbemerkt von Dritten gesetzt werden, spähen das Surfverhalten des Nutzers aus. In der Folge wird ihm Werbung zu einem spezifischen Thema, das sich aus seinem Surfverhalten ableiten lässt, eingeblendet.
Einerseits erleichtern Cookies also dem Webbrowser den Umgang, indem sie schon besuchte Websites nutzerfreundlicher gestalten. Andererseits können Cookies zahlreiche personenbezogene Daten erfassen, personenbezogene Daten verarbeiten und Nutzerprofile erstellen, was nicht im Sinne des Datenschutzes ist.
Was regelt das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG)?
Das TTDSG regelt nun eindeutig, dass Cookies und vergleichbare Technologien nur dann eingesetzt werden dürfen, wenn der Nutzer darüber informiert und seine Einwilligung erteilt hat (§ 25 Abs. 1 TTDSG) – und zwar unabhängig davon, ob personenbezogene Daten erhoben werden.
Denn das TTDSG erstreckt sich auf sämtliche Informationen, die Nutzer von Telemedien und Telekommunikationsdiensten preisgeben und die erhoben werden können. Somit geht es nicht mehr nur um Cookies. Das TTDSG weitet das Einwilligungserfordernis auch auf andere Technologien aus, anhand derer durch das Internet auf Endgeräte zugegriffen und Informationen erhoben werden können. Endgeräte können daher z.B. auch Smartphones, Sprachassistenten, Smarthome-Anwendungen und andere Smart-Geräte, Connected Cars und viele andere mit dem Internet interagierende Geräte sein.
Das Einwilligungserfordernis gilt nur dann nicht, wenn für die technische Bereitstellung des jeweiligen Dienstes der Einsatz von Cookies „unbedingt erforderlich“ ist oder sie allein der Übermittlung einer Nachricht über ein öffentliches Telekommunikationsnetz dienen (§ 25 Abs. 2 TTDSG). Konkret bedeutet dies, dass Session-Cookies sowie andere zwingend notwendige Cookies von dieser Ausnahme erfasst sind und für sie keine Einwilligung erforderlich ist.
Hingegen bedürfen Marketing-Cookies und andere nicht zwingend erforderliche Cookies der ausdrücklichen Einwilligung des Nutzers.
Das TTDSG enthält schließlich noch weitere Bestimmungen, u.a. zum Fernmeldegeheimnis, zum Jugendschutz und zur Herausgabe von Nutzerdaten auf Anordnung der Strafverfolgungsbehörden unter den gesetzlich genannten Voraussetzungen (§§ 22-24 TTDSG).
Übrigens liegt dem TTDSG die europäische ePrivacy-Richtlinie zu Grunde, die durch das Gesetz nunmehr in deutsches Recht umgesetzt wird, und dem verschiedene Entscheidungen des Bundesgerichtshofs (BGH) sowie des Europäische Gerichtshofs (EuGH) über die Auslegung der Richtlinie vorangegangen waren.
Was ist jetzt zu veranlassen?
Der Einsatz von Cookie-Bannern ist auf vielen Websites bereits schon gängige Praxis. Dennoch müssen Betreiber von Websites und anderer Online-Technologien jetzt reagieren und ihre Cookie-Banner überprüfen bzw. aktivieren. Denn ohne Einwilligung dürfen nicht-erforderliche Cookies, wie z.B. die zu Marketing-Zwecken, nicht gesetzt werden.
Außerdem haben sie technische und organisatorische Vorkehrungen zu treffen (§ 19 Abs. 1-3 TTDSG). Sie müssen gewährleisten, dass der Nutzer …
- die Nutzung des Dienstes jederzeit beenden kann;
- die Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann;
- die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist;
- informiert wird über die Weitervermittlung zu einem anderen Anbieter von Telemedien.
Darüber hinaus haben Anbieter von Telemedien sicherzustellen, dass …
- dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist;
- diese gesichert sind gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind.
Dies gilt, soweit es technisch möglich und wirtschaftlich zumutbar ist sowie dem der Stand der Technik entspricht (§ 19 Abs. 4 TTDSG).
Wie sind Cookie-Banner zu gestalten?
Website-Betreiber müssen bei der Gestaltung von Cookie-Bannern und dem Einsatz von Cookies folgende Punkte beachten:
- Der Nutzer muss über den Einsatz von Cookies (Zwecke, Arten, etc.) umfassend informiert werden;
- Cookies müssen so lange deaktiviert sein, wie der Nutzer keine Einwilligung erteilt hat;
- der Nutzer muss seine Einwilligung selbst aktiv erteilen;
- der Nutzer muss die Cookies durch das Anklicken entsprechender Buttons/Checkboxen „Annehmen“ und auch „Ablehnen“ können;
- die Buttons/Checkboxen müssen neutral, gleichwertig nebeneinander und ohne einzelne farbliche Hervorhebung gestaltet sein;
- Checkboxen dürfen nicht schon vorher ausgefüllt sein.
Für die Erstellung von Cookie-Bannern gibt es wiederum sog. Cookie-Consent-Tools, die bei einer rechtssicheren Gestaltung hilfreich sein können.
Datenmanagement durch „PIMS“
Um das Sammeln und Abgeben von Einwilligungen leichter und automatisiert zu gestalten, sollen Nutzer zukünftig ihre Einwilligungen in sog. Einwilligungsverwaltungssystemen („Personal Information Management Systems“ – „PIMS“) hinterlegen können (§ 26 TTDSG).
Zwar sind solche Tools noch Zukunftsmusik. Denn die Bundesregierung muss hierfür jetzt eine Rechtsverordnung schaffen, die die Anforderungen für solche Dienste festgelegt. Außerdem müssen die Datenschutzbehörden diese Tools prüfen und zulassen.
„PIMS“ versprechen Nutzern aber mehr Kontrolle über ihre Daten und einfacheres Datenmanagement. Denn die Nutzer könnten in PIMS im Voraus bestimmen, ob überhaupt und wenn ja, wo sowie unter welchen Bedingungen sie Cookies erlauben oder ablehnen möchten. Das PIMS agiert sodann selbständig und setzt die Anweisungen automatisch auf den besuchten Websites um.
Drohende Bußgelder bei Verstößen
Verstöße gegen das TTDSG sind Ordnungswidrigkeiten und können mit einem Bußgeld in Höhe von bis zu € 300.000.- geahndet werden (§ 28 TTDSG). Soweit gleichzeitig auch gegen die DSGVO verstoßen wird, drohen zusätzliche Bußgelder. Außerdem können Mitbewerber nicht ordnungsgemäß gestaltete Cookie-Banner wettbewerbsrechtlich abmahnen.
Fazit
Das jetzt in Kraft tretende TTDSG zwingt Webseitenbetreiber zur mehr Transparenz im Umgang mit Cookies. Cookie-Banner dürfen nicht mehr vorausgefüllt sein und den Nutzer durch farbliche Hervorhebungen dazu verleiten, leichtfertig alle Cookies zuzulassen – etwa weil es bisher lästig und unkomfortabel war, sich durch solche Cookie-Banner zu arbeiten.
Zwar erleichtern Cookies das Browsen durchs Netz, indem sie schon einmal besuchte Websites wiedererkennen und nutzerfreundlicher gestalten.
User sollten dennoch weiterhin bedacht mit ihren Daten umgehen. Denn Cookies können E-Mail-Adresse, Name, Geburtsdatum und andere sensible Daten des Nutzers selbst nicht ermitteln – es sei denn, der User gibt diese Daten selbst in ein Webformular ein. Ebenso können die Nutzer über die Browsereinstellungen Cookies zumindest teilweise blockieren, bereits vorhandene Cookies löschen und das Sammeln von Cookies deaktivieren.
So lange wie noch keine PIMS im Einsatz sind, die den Umgang mit Cookies erleichtern, sollte man sich beim Besuch einer jeden Website daher gut überlegen, welche Cookies man zulässt und welche Daten man hierdurch selbst von sich preisgeben möchte.