TTDSG, Cookie-Banner & Datenschutz – Newsletter 12/2021

Am 1. Dezember 2021 ist ein neues Gesetz zum Datenschutz im Web in Kraft getreten: das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG).
Ob das eine gute Nachricht für uns Website-Betreibenden ist? Teils, teils.

Die gute Nachricht: Datenschutzvorschriften werden vereinheitlicht

Wer meint, die ungeliebte DSGVO (Datenschutzgrundverordnung) sei damit überflüssig, hat sich zu früh gefreut. Nach wie vor gilt alles dort Geschriebene (daher ist auch dieser Newsletter noch immer aktuell: Brauche ich einen Datenschutzhinweis? Datenschutzgrundverordung (DSGVO) für Website-Betreiber – Newsletter 4/2018

Und doch: Etwas übersichtlicher wird es trotzdem. Neben der DSGVO gab es bisher zusätzlich Regelungen zum Datenschutz im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG). Diese Regelungen werden aus den beiden Gesetzen gestrichen. Damit sind nur noch für uns relevant:

  1. die DSGVO und
  2. das TTDSG.

Viele Inhalte aus dem TTDSG sind also gar nicht neu, sondern nur umgezogen aus einem der anderen Gesetze. Damit werden auch die Vorgaben der europäischen ePrivacy-Richtline von 2009 (!) umgesetzt. Das ist deshalb so bedeutsam, weil in dieser die Verwendung von Cookies geregelt ist.

Die schlechte Nachricht: Nichts Konkretes, nichts ist fertig

Leider ist das aber damit immer noch nicht abgeschlossen. Die ePrivacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation) ist zwar schon von 2009, aber Deutschland hat die Vorgaben hieraus erst jetzt mit dem TTDSG vollständig umgesetzt. Mit dem Umsetzen können die Gesetzgebenden gleich weitermachen, denn die ePrivacy-Richtlinie wird durch die ePrivacy Verordnung (ePVO) abgelöst. Dieser Prozess ist schon seit Jahren im Gange – wann er abgeschlossen ist, ist weiter unklar. Eigentlich sollte die ePVO zusammen mit der DSGVO schon vor Jahren fertig sein. Es gab aber ein mehrfaches Hin und Her zwischen strengeren Vorgaben und lockereren Ansätzen. Ziel der Verordnung ist vor allem mehr Klarheit – es soll eindeutige Vorgaben auch zum Thema Cookies und Einwilligung der Nutzenden zum Tracking geben.

Wann diese Vorgaben endlich kommen, ist unklar – man liest oft von 2022, aber der bisherigen Entwicklung nach stehen solche Prognosen auf tönernen Füßen. Auch was genau in der Verordnung stehen wird, muss man abwarten.

Ebenfalls warten müssen wir auf die Orientierungshilfe für Telemedienanbieter der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Denn diese ist leider noch nicht an das neue TTDSG angepasst. Wann die Aktualisierung fertig ist, war auch nicht zu ermitteln. Erscheinen soll das Papier dann hier: Orientierungshilfen des DSK

Cookie-Banner auf Baur.de
Typisches Cookie-Banner auf baur.de – es hält die aktuellen Vorgaben nicht ein: „Cookies ablehnen“ ist deutlich unauffälliger gestaltet, ja nicht mal als Button oder Link erkennbar. Das Impressum ist nicht leicht zugänglich und der Text muss mühsam gescrollt werden.

Was bringt das TTDSG für Website-Betreibende?

Das TTDSG heißt im vollen Wortlaut Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien. Es regelt unter anderem auch das Fernmeldegeheimnis in SMS, WhatsApp u.v.m. Relevant für Website-Betreibende sind aber vor allem die Regelungen zum Setzen von Cookies, der Anwendung von Analytics und dem Tracken von Website-Besuchenden.

Das heißt: Das TTDSG betrifft Sie, wenn Sie Besuchsstatistiken erheben, Werbung in Form von fremden Bannern, Videos o.Ä. einbinden oder auch nur, wenn Sie Karten oder Videos von anderen Sites wie Google Maps bzw. Youtube auf Ihren Seiten nutzen.

Die Vorgaben sind klar:

  • Die Einwilligung zum Setzen von Cookies muss erfolgen, bevor ein Cookie gesetzt wird. Klingt logisch, aber einige Lösungen setzen ein Cookie, um die Zustimmung bzw. Ablehnung der Besuchenden zu speichern – was damit dann auch nicht erlaubt ist.
  • Die Möglichkeit zu widersprechen muss gleichwertig mit der Zustimmung sein. Das heißt, der Zustimmungs-Button darf nicht prominenter/auffälliger/größer sein als der zum Ablehnen. Schon gar nicht darf er schwerer zu erreichen oder erst nach einem Klick/Tipp zugänglich sein.
  • Ein Widerruf der Zustimmung muss jederzeit möglich sein. Und das so einfach wie das Erteilen der Zustimmung.
  • Sie müssen angeben, wie lange das Cookie gespeichert sein wird.
  • Sie müssen angeben, ob Dritte auf diese Cookies zugreifen können.
  • Datenschutzerklärung und Impressum müssen direkt zugänglich sein (sie dürfen z.B. nicht durch das Cookie-Banner verdeckt sein).

Keine Einwilligung brauchen Sie nur dann, wenn Ihr Angebot ohne ein Cookie technisch nicht funktioniert. Das gilt nach Meinung der Experten für Warenkorb-Cookies und so genannte Session-Cookies. Diese werden nach der Sitzung automatisch gelöscht, also normalerweise mit dem Schließen des Browsers.

Alle Marketing-Cookies sind klar zustimmungspflichtig.

Cookie-Banner auf Cortina Consult
Mustergültiges Cookie-Banner bei Cortina Consult Zustimmung und Ablehnung sind gleichwertig, Impressum und Datenschutzerklärung direkt zugänglich.

Sind Cookie-Banner jetzt für alle Pflicht?

Durch das TTDGS hat sich an den Anforderungen nichts geändert.
Brauche ich also jetzt in jedem Fall einen Cookie Consent Banner auf jeder Site?

Wenn Sie sichergehen wollen, ja.

Mein persönlicher Ansatz ist: Ich habe auf meinen Sites keine Cookie-Banner, denn diese erweisen den Nutzenden keinen Dienst und verbessern den Datenschutz für diese auch nicht. Alles, was ich erhebe, sind anonymisierte Zugriffszahlen mit dem Open-Source-Werkzeug Matomo, das ich selbst hoste und dessen Daten ich nicht weitergebe.

Damit folge ich der Einschätzung des Rechtsanwalts Dr. Thomas Schwenke. Er meint, dass für die reine Reichweitenmessung keine Einwilligung erforderlich sei – vorausgesetzt, diese ist anonymisiert, es wird nicht über verschiedene Sites hinweg getrackt und die Daten werden nicht an Dritte weitergegeben.

Wer sich ausführlicher über alle Details informieren will – Dr. Schwenke hat eine höchst umfangreiche Seite dazu verfasst (und aktualisiert diese auch):
TTDSG: Neue Regeln für Cookies – Praxistipps und Checkliste für Google Analytics & Co

Disclaimer & Fazit

Wie Sie wissen, bin ich kein Anwalt. Daher kann ich nur aus meiner Sicht als Experte für Konzeption und UX berichten, was ich von diesen gelernt habe. Daher sollten Sie meine Ausgangsinfo hier als Grundlage für Detailgespräche mit Rechtsanwält:innen nutzen und alle Details mit diesen klären. Beim Verstoß gegen das Fernmeldegeheimnis aus dem TTDSG können Sie schlimmstenfalls ins Gefängnis kommen. Bei den Cookies geht es immerhin noch um maximal 300.000 Euro. Und Bei Verstößen gegen die DSGVO können die Bußgelder in die Millionen gehen. In der Praxis wird es aber wohl meist eher Abmahnungen von Aufsichtsbehörden oder Verbraucherzentralen geben. All das können Sie weitgehend vermeiden, wenn Sie sich mit dem ungeliebten Thema auseinandersetzen.

Nützliche Links für Website-Betreibende

Test, welche Cookies auf Ihrer Site gesetzt werden – sehr praktisch, wenn Sie nicht genau wissen, was z.B. Ihr Content Management System und Plug-Ins Ihre Site tun:
https://webbkoll.dataskydd.net/de

Gut aufbereitete Darstellung des Gesetzestextes des TTDSG auf der Site eines Beratungsunternehmens:
https://dsgvo-gesetz.de/ttdsg/

Hervorragende Liste mit Fragen und Antworten zum TTDSG vom Land Niedersachsen:
https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/faq-telekommunikations-telemediendatenschutz-gesetz-ttdsg-206449.html

Schreibe einen Kommentar