10.20.2021 | Lesedauer: 6 min.
Seit 1. Dezember 2021 gilt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Die wichtigste Folge für Website-Betreiber: Cookie-Banner müssen angepasst werden. *
Das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) wurde bereits im Sommer beschlossen und ist nun in Kraft getreten. Es richtet sich zum einen an Festnetz-, Internet- und Mobilfunkanbieter, zum anderen an Anbieter eines Telemediendienstes – und dazu gehören auch Website-Betreiber.
Ziel des TTDSG ist es, die Vorgaben aus der DSGVO (Datenschutz-Grundverordnung) und der E-Privacy-Richtlinie in deutsches, nationales Recht zu gießen. DSGVO und E-Privacy-Richtlinien gibt es bereits seit einiger Zeit, und sie werden auch von den meisten Website-Betreibern beachtet. Diese regeln u.a. wie Webseiten- oder Onlineshop Betreiber Nutzerdaten erheben bzw. für Online Marketing Zwecke, etwa für SEO oder SEA , verarbeiten dürfen. Das TTDSG soll nun aber Rechtssicherheit in Punkten schaffen, bei denen bislang strittig war, ob sie tatsächlich den europäischen Richtlinien genügen.
Was bleibt: Cookie-Banner
Wie im Beitrag Cookie-Banner, Datenschutz & Co. ausführlich dargestellt, ist besonders beim Setzen von Cookies auf den Datenschutz zu achten. Insbesondere die sogenannten Third-Party-Cookies sind heikel und benötigen die ausdrückliche vorherige Zustimmung des Nutzers. Der übliche Weg, dieser Anforderung gerecht zu werden, war und ist weiterhin der Einsatz von Cookie-Bannern mit Auswahlmöglichkeiten für den Nutzer, welche Cookies er akzeptiert und welche er ablehnt.
Es gilt also nach wie vor das bewährte Verfahren: Cookie-Banner auf der Website einrichten (am besten mit entsprechendem Plugin) und die Cookies so verwalten, dass ein Tracking und Targeting des Nutzers auch wirklich nur dann erfolgt, wenn dieser seine Erlaubnis gegeben hat.
TTDSG – Was neu ist:
Restriktiveres Verständnis von notwendigen Cookies
Bisher ausgenommen waren hiervon stets Cookies, die für den Betrieb der Website oder für einen Dienst, welchen der Nutzer offenbar wünscht, notwendig sind. Beispiele dafür sind Spracheinstellungen und das Speichern von Produkten im Warenkorb eines Online-Shops – beides dürfte weiterhin unstrittig sein. Einige Cookies befanden sich jedoch in einer Grauzone. Wegen der unsicheren Rechtslage drückten Aufsichtsbehörden aber meist ein Auge zu, wenn dem Nutzerinteresse ein berechtigtes Interesse des Website-Betreibers gegenüberstand. Manche Third-Party-Cookies wurden also mehr oder weniger akzeptiert, obwohl der Nutzer nicht ausdrücklich eingewilligt hatte.
Solche Ausnahmen lässt das TTDSG nur noch unter sehr engen Voraussetzungen zu. Man geht als Website-Betreiber also besser auf Nummer sicher und nimmt lieber zu viele Cookies unter die Einwilligungsbedürftigen auf als zu wenige. Oder andersherum: Die im Cookie-Banner sogenannten „nur notwendigen Cookies“ sollte man sehr eng fassen.
Nudging ist verboten
Nudging hat wohl jeder Internet-Nutzer bereits erlebt – auch und gerade bei Cookie-Bannern. Nudging bedeutet, dass man den Nutzer zu einer Handlung bewegt und ihn somit in seiner Entscheidung beeinflusst. Dies ist unzulässig, und es ist davon auszugehen, dass Aufsichtsbehörden diese Art der Nutzerbeeinflussung prüfen. Bei den Cookie-Einstellungen wird es oft so gestaltet, dass man als Nutzer fast automatisch auf „Alle akzeptieren“ klickt. Und zwar, indem der entsprechende Button etwa farblich hervorgehoben wird oder die Schrift fetter ist.
Hier besteht also Handlungsbedarf, da viele der aktuellen Cookie-Banner ein Nudging fördern. Neben der Hervorhebung von Buttons durch Farbe und Schriftbild zählen dazu auch verwirrende Begrifflichkeiten. So sucht man bei vielen Bannern den „Ablehnen“-Button vergebens. Oft bestehen lediglich die zwei Auswahlmöglichkeiten „Alle akzeptieren“ und „Einstellungen verwalten“. So kann man zwar Cookies ablehnen, aber es wird suggeriert, dass das Akzeptieren mit einem einzigen Klick funktioniert, während das Ablehnen (sofern überhaupt möglich) unangenehmen Verwaltungsaufwand erzeugt. Und tatsächlich führt der Klick auf „Einstellungen verwalten“ oft zu verwirrenden, geradezu abschreckenden Cookie-Optionen. Oder es sind schlicht mehr Klicks nötig, bis man nur die notwendigen Cookies akzeptiert hat und das Pop-up-Fenster endlich aus dem Sichtfeld bekommt, als wenn man einfach auf „Alle akzeptieren“ geklickt hätte.
Manche Banner bieten auch gar keine offensichtliche Option, Cookies abzulehnen; es wird der Eindruck erweckt, man müsse alle Cookies akzeptieren, um die Website nutzen zu können. Es liegt nahe, dass ein TTDSG-gemäßes Cookie-Banner das generelle Ablehnen von nicht notwendigen Cookies genau so einfach machen muss wie das generelle Akzeptieren. Fraglich ist auch, ob der Begriff „Speichern“ (nach händischer Auswahl der Cookies) genauso intuitiv verständlich ist wie „Alle akzeptieren“, oder ob lediglich „Alle ablehnen“ als Pendant zu „Alle akzeptieren“ interpretiert werden kann.
Beispiele für nach TTDSG ungenügende Cookie-Banner
Bei beiden Varianten wird eine Option optisch hervorgehoben, sodass das Ablehnen von nicht notwendigen Cookies erschwert wird:
Wie sieht ein TTDSG-konformes Cookie-Banner aus?
Mehr Sicherheit vor Bußgeldern und ähnlichem Ärger hat man mit einem Cookie-Banner, das folgende drei Auswahlmöglichkeiten bietet:
- „Alle akzeptieren“
- „Alle ablehnen“, alternativ: „nur notwendige Cookies akzeptieren“
- „Cookies verwalten“, alternativ „Cookies einzeln auswählen“ o. ä.
Und natürlich darf der „Alle akzeptieren“-Button nicht auffälliger dargestellt sein als die anderen Buttons.
Beispiel für ein nach TTDSG-konformes Cookie-Banner
Bei einem nach TTDSG-konformen Cookie-Banner sind alle Optionen gleichwertig dargestellt und klar formuliert:
PIMS – das Ende der Cookie-Banner?
Als längerfristige Alternative zu Cookie-Bannern sind im TTDSG Personal Information Management Systeme (PIMS) genannt. Konkret spricht § 26 TTDSG von Diensten zur Einwilligungsverwaltung, die in Zukunft anerkannt werden könnten. Damit sind Tools gemeint, mit denen die Cookie-Einstellungen für verschiedene Websites auf Nutzerseite generell festgelegt werden können. So muss nicht bei jedem Website-Besuch ein Banner weggeklickt werden, was erstens nutzerfreundlicher ist und zweitens den Schutz personenbezogener Daten wahrscheinlicher macht. Denn ohne Cookie-Banner ist kein Nudging möglich, und das Verwalten über ein zentrales Tool führt eher zu einem Reflektieren, welche Daten man herausgeben möchte und welche nicht, als das gedankenlose Wegklicken von Pop-ups.
Die Website-Betreiber müssten die in den PIMS festgelegten Einstellungen dann auslesen und befolgen. Man darf gespannt sein, welche neuen Plugins daraufhin entwickelt werden, die die Cookie-Einstellungen eines Nutzers automatisch erkennen und das Nutzer-Tracking und -Targeting dementsprechend anpassen. Wenn es erst soweit ist – denn noch sind PIMS als Ersatz für Cookie-Banner Zukunftsmusik. Es fehlt dazu noch eine Rechtsverordnung der Bundesregierung, welche organisatorische, technische und weitere Anforderungen an solche Dienste formuliert. Nach Inkrafttreten dieser Rechtsverordnung hat die Bundesregierung zwei Jahre Zeit, „die Wirksamkeit der getroffenen Maßnahmen im Hinblick auf die Errichtung nutzerfreundlicher und wettbewerbskonformer Einwilligungsverfahren“ zu bewerten. Bis PIMS etablierte Alternativen zu Cookie-Bannern sind, wird also noch einige Zeit vergehen.
Strafen und Bußgelder beim Verstoß gegen das TTDSG
18 TTDSG regelt die Bußgelder beim Verstoß gegen das Gesetz. Wer den „Schutz der Privatsphäre bei Endeinrichtungen“ nach §25 TTDSG verletzt, wer also ohne Einwilligung Tracking-Cookies setzt, kann mit einer Geldbuße von bis zu 300.000 Euro bestraft werden. Die neuen Regelungen bezüglich Cookies und Nutzerdaten sind also definitiv ernst zu nehmen.
Ab wann gilt das TTDSG?
Das TTDSG ist bereits am 1. Dezember 2021 in Kraft getreten. Es gibt keine Übergangsfrist, wohl auch deshalb, da mit DSGVO und E-Privacy-Richtlinie die Regeln bereits bestanden und „nur“ noch als deutsches Recht formuliert wurden. Es gibt also bereits jetzt dringenden Handlungsbedarf, wenn Ihre Website oder Ihr E-Commerce-Shop die Anforderungen nicht erfüllen.
TTDSG – was Website-Betreiber jetzt tun müssen
Noch einmal das Wichtigste zum TTDSG im Überblick:
- Cookies müssen dahingehend überprüft werden, welche von ihnen eine Einwilligung des Nutzers erfordern.
- Cookie-Banner bleiben vorerst, müssen aber sehr wahrscheinlich angepasst werden.
- Optische Hervorhebungen der Buttons müssen entfernt werden.
- Die Bezeichnungen der Buttons müssen ggf. neu formuliert werden.
- Wenn noch nicht vorhanden, muss ein Button eingefügt werden, der durch einen Klick nicht notwendige Cookies ablehnt.
Nicht sicher, ob Sie die Anforderungen des TTDSG erfüllen?
Gerne beraten wir Sie zu der Frage, ob Ihre Website oder Online-Shop dem TTDSG genügt. Bei Bedarf passen wir Ihre Plugins entsprechend an oder nehmen andere Adaptionen vor.
Weiterführende Links:
Gesetzestext des TTDSG: https://gesetz-ttdsg.de/
FAQ zum TTDSG: https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/faq-telekommunikations-telemediendatenschutz-gesetz-ttdsg-206449.html Anleitung: Cookie-Banner von Borlabs anpassen: https://de.borlabs.io/ttdsg-und-borlabs-cookie/
Mehr zu PIMS: https://www.security-insider.de/wie-das-ttdsg-das-cookie-management-veraendern-wird-a-1047616/
* Keine Rechtsberatung, ausschließlich technische Beratung. Gerne vermitteln wir Sie aber auch an einen Rechtsanwalt aus unserem Netzwerk.