TTDSG, Cookies und Co.: Worauf ist jetzt zu achten?

Lese­dau­er: ca. 3–4 Minuten

Am 1.12.2021 ist das Tele­kom­mu­ni­ka­ti­ons-Tele­me­di­en-Daten­schutz-Gesetz (TTDSG) in kraft getre­ten. Die­ses bringt eini­ge Ände­run­gen für Unter­neh­men, Web­site­be­trei­ber und Agen­tu­ren mit sich. Beson­ders wich­tig: Coo­kies und Track­ing-Diens­te brau­chen ab jetzt eine gesetz­lich vor­ge­schrie­be­ne, echte Ein­wil­li­gung der User. Was das in der Umset­zung für Web­sei­ten genau bedeu­tet erklä­ren wir im Folgenden. 

Worum geht es im TTDSG?

2019 hat der Euro­päi­sche Gerichts­hof bereits ent­schie­den, dass Coo­kies nur mit der akti­ven Ein­wil­li­gung der Web­site-Besu­cher gesetzt werden dür­fen. 2020 schloss sich der Bun­des­ge­richts­hof dem Urteil des EuGH an. Diese Ent­schei­dun­gen wur­den nun mit dem TTDSG gesetz­lich fest­ge­schrie­ben. Das Gesetz soll vor allem die Unklar­hei­ten und das Neben­ein­an­der von ver­schie­de­nen Rege­lun­gen zum Thema Daten­schutz in der Tele­kom­mu­ni­ka­ti­on und bei Tele­me­di­en auf­klä­ren. Bis zum TTDSG hat man sich am Tele­me­di­en­ge­setz, dem Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG), der ePri­va­cy-Richt­li­nie und der Daten­schutz-Grund­ver­ord­nung (DSGVO) ori­en­tiert. Es war aber in vie­len Fäl­len bis­her unklar, wel­che Regeln eigent­lich wie ange­wandt werden sollen.

Im TTDSG heißt es nun:

„Die Spei­che­rung von Infor­ma­tio­nen in der End­ein­rich­tung des End­nut­zers oder der Zugriff auf Infor­ma­tio­nen, die bereits in der End­ein­rich­tung gespei­chert sind, sind nur zuläs­sig, wenn der End­nut­zer auf der Grund­la­ge von kla­ren und umfas­sen­den Infor­ma­tio­nen ein­ge­wil­ligt hat.“ 

Absatz 1 des § 25 TTDSG

Das bedeu­tet dass zwin­gend eine Ein­wil­li­gung benö­tigt wird, wenn Web­site-Betrei­ber Infor­ma­tio­nen auf einem Gerät des Nut­zers spei­chern oder dar­auf zugrei­fen wollen. Coo­kies kön­nen eine Viel­zahl von Infor­ma­tio­nen beinhal­ten, die den Besu­cher per­sön­lich iden­ti­fi­zier­bar machen (z.B. Name, E‑Mail-Adres­se oder Tele­fon­num­mer). Mit “End­ein­rich­tung des End­nut­zers” sind nun auch alle mit dem Inter­net ver­bun­de­nen Gerä­te umfasst. Das heißt, die TTDSG Rege­lun­gen gel­ten auch für Smar­thome-Anwen­dun­gen, E‑Mail- und Messenger-Dienste.

Zwei Ausnahmen: “technisch notwendige Cookies”

Bei dem oben genann­ten Grund­satz gibt es zwei Aus­nah­men, die eben­falls Teil des TTDSG sind. Ers­tens ist für tech­nisch not­wen­di­ge Coo­kies keine Ein­wil­li­gung not­wen­dig. Dies sind Coo­kies, die für die Funk­tio­na­li­tät der Web­site unbe­dingt erfor­der­lich sind. Dazu gehö­ren zum Bei­spiel Ses­si­on Coo­kies (für Waren­kor­bin­hal­te oder Sprach­ver­sio­nen einer Web­sei­te), Coo­kies die aus­schließ­lich für Zah­lungs­pro­zes­se not­wen­dig sind oder Coo­kies, die zum Ertei­len oder zum Wider­ruf einer Ein­wil­li­gung genutzt werden. Die zwei­te Aus­nah­me sind Coo­kies und Infor­ma­tio­nen, die aus­schließ­lich der Nach­rich­ten­über­mitt­lung in einem öffent­li­chen Tele­kom­mu­ni­ka­ti­ons­netz die­nen. Auch für diese wird keine Ein­wil­li­gung benötigt. 

Wie muss das Cookie Banner aussehen? 

Spä­tes­tens mit dem TTDSG gilt: Coo­kie Ban­ner auf Web­sei­ten zur Umset­zung von Coo­kie Ein­wil­li­gun­gen sind Pflicht! Wenn keine Ein­wil­li­gung ein­ge­holt wird, dro­hen Buß­gel­der bis zu 300.000 Euro. Das bedeu­tet, für Track­ing-Coo­kies, Third-Party-Coo­kies und sons­ti­ge Mar­ke­ting Coo­kies wird eine echte Ein­wil­li­gung benö­tigt, sofern sie für den Betrieb der Seite tech­nisch nicht unbe­dingt erfor­der­lich sind. Damit gilt im Grun­de auch dass ein Coo­kie Con­sent Tool Pflicht ist, denn sicher und ein­fach umsetz­bar ist das Coo­kie Manage­ment nur mit einer pas­sen­den Anwen­dung. Lichtblick nutzt in die­sem Fall das Borlabs Coo­kie Plug­in, das bereits an das TTDSG ange­passt wurde. Wich­tig ist: Bereits vor­ausge­wähl­te Check­bo­xen zäh­len nicht als echte und aus­drück­li­che Ein­wil­li­gung und sind daher nicht zuläs­sig. Das Glei­che gilt für Coo­kie-Ban­ner ohne Aus­wahl­mög­lich­keit. Dar­über hin­aus soll­ten fol­gen­de Punk­te beach­tet werden:

  1. Bis zur Ein­wil­li­gung des Users müs­sen die Coo­kies auch tat­säch­lich tech­nisch deak­ti­viert sein. 
  2. Es muss einen „Anneh­men“ und einen „Ablehnen“-Button geben. Diese müs­sen gleich­wer­tig sein, d.h. es darf keine extra Seite auf einer tie­fe­ren Ebene geben, über die der Nutzer die Coo­kies erst ableh­nen kann.
  3. Der “Annehmen”-Button darf nicht her­vor­ge­ho­ben sein, z.B. durch eine ande­re Farbe.
  4. Der User muss umfas­send infor­miert werden. Und zwar über:
    • Zwe­cke der ein­zel­nen Tools
    • Anzahl der Anbie­ter und Tools
    • Sitz des Anbie­ters, falls die­ser außer­halb der EU liegt

Wir bei Lichtblick unter­stüt­zen Web­site­be­trei­ber dabei, TTDSG-Kon­for­mi­tät her­zu­stel­len. Wich­tig ist, dass eine aktu­el­le Plug­in-Ver­si­on ver­wen­det wird und gege­be­nen­falls not­wen­di­ge Ände­run­gen der Coo­kie Box und Daten­schutz-Ein­stel­lun­gen vor­ge­nom­men werden. Sie haben Fra­gen zu die­sem Thema? Kon­tak­tie­ren Sie uns. 

Quel­len:

  • https://de.borlabs.io/ttdsg-und-borlabs-cookie
  • https://www.e‑recht24.de/artikel/datenschutz/12834-ttdsg
Nach oben