Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) regelt in Deutschland ab dem 01.12.2021 einige Bereiche im Datenschutz neu. Dabei wird insbesondere der Einsatz von Cookies und Tracking-Technologien in dem "Cookie-Gesetz" wesentlich klarer als bislang geregelt. Für Website-Betreiber, die sich bereits an höchstrichterliche Entscheidungen der letzten Jahre halten, ändert sich praktisch in Bezug auf Cookies nicht viel. Alle anderen Website-Betreiber sollten jetzt handeln, um einfach durchsetzbare Bußgelder von bis zu 300.000 € zzgl. Bußgelder nach der DSGVO zu vermeiden. Alles Wichtige zum Privatsphäre-Gesetz TDDDG in Bezug auf das Cookie Consent Management erfährst du in unserem Artikel!
What is the TDDDG?
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzz (kurz TDDDG) ist ein neues Gesetz, das in Deutschland in Kraft tritt. Sinn und Zweck des Gesetzes ist es, einen Kompromiss zwischen Privatsphäre in der digitalen Welt und digitalen Geschäftsmodellen (u.a. das Sammeln von Daten) zu erzielen. Außerdem sollen Unklarheiten bezüglich Regelungen in verschiedenen Gesetzen rund um den Datenschutz beseitigt werden.
Bislang haben Bestimmungen des Telemediengesetzes (TMG, heißt jetzt DDG), des Telekommunikationsgesetzes (TKG), der ePrivacy-Richtline (Richtlinie 2009/136/EG) und der Datenschutzgrundverordnung (DSGVO) in Deutschland zusammenspielen müssen, um wichtige Fragen, wie den Einsatz von Cookies im Internet, zu regeln. Hinzu kamen höchstrichterliche Einscheidungen durch den EuGH und BGH, welche die Bestimmungen in dessen Zusammenspiel interpretiert haben. Dadurch entstanden faktische Regeln, welche jedoch nicht klar und deutlich in deutschen Gesetzen abgebildet waren.
Neben dem Umgang mit Cookies und Tracking-Technologien regelt das TDDDG das Fernmeldegeheimnis, Abhörverbote und die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien sowie weitere Aspekte neu. Im Folgenden werden wir uns jedoch nur mit dem Aspekt "Cookies und Tracking-Technologien" beschäftigen, da das TDDDG als das neue Cookie-Gesetz in Deutschland insbesondere viele Website-Betreiber betrifft.
Für wen und ab wann gilt das TDDDG?
Das TDDDG (früher TTDSG) wurde im Mai 2021 vom Bundestag beschlossen und tritt am 01.12.2021 in Kraft. Das heißt, ab diesem Stichtag gelten alle Regelungen dieses Gesetzes und müssen vollumfänglich eingehalten werden.
Nach § 1 Abs. 3 TDDDG gilt das neue Gesetz für "alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes [...] eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.".
Praktisch bedeutet das: Alle Personen und Unternehmen mit Sitz in Deutschland müssen das TDDDG befolgen. Außerdem reicht allein das Vorhandensein einer Niederlassung eines Unternehmens in Deutschland, um vom TDDDG erfasst zu werden. Dabei ist es egal, ob diese Niederlassung etwas mit z.B. dem Tracking auf der Website zu tun hat oder nicht. Zudem müssen sich Unternehmen außerhalb Deutschlands ebenso an das TDDDG halten, wenn sie Dienstleistungen in Deutschland erbringen oder daran mitwirken. Praktisch könnte das ein Online-Shop sein, der seine Waren in Deutschland verkauft.
Du, als Website-Betreiber, fragst dich nun bestimmt, was das TDDDG für dich konkret bedeutet. Musst du auf deine geliebten 🍪🍪🍪 und das Tracking auf deiner Website (für Nutzer in Deutschland) durch das neue Cookie-Gesetz verzichten? Um das zu verstehen, müssen wir zunächst einen Überblick über die Vorschriften gewinnen, die vor der Einführung des TDDDG galten.
Auf welcher Rechtsgrundlage hast du bislang Einwilligungen einholen müssen?
Beim Tracking im Internet gelten zwei verschiedene Daten, die du als Website-Betreiber verarbeitest bzw. verarbeiten lässt, welche im Hinblick auf Einwilligung relevant sind:
- Cookies: Nach der ePrivacy Richtlinie (Richtlinie 2009/136/EG) Art. 66 wird eine Einwilligung zum Setzen und Lesen von Cookies und Cookie-ähnlichen Technologien benötigt, sofern diese nicht essenziell für den Betrieb der Website sind. Praktisch bedeutet das, dass du Cookies zum Speichern des Warenkorbs in einem Online-Shop ohne Einwilligung setzen darfst (da ohne den Warenkorb kein Kunde Einkäufe in deinem Shop tätigen könnte). Ein Analyse-Tool auf deiner Website – wie Google Analytics – hingegen darf erst nach einer expliziten Einwilligung des Website-Besuchers Cookies setzen.
- Personenbezogene Daten: Zur Verarbeitung von personenbezogenen Daten benötigst du eine Rechtsgrundlage nach Art. 6 DSGVO. Häufig kommt dabei nur die Einwilligung infrage, da die häufigste Alternative, das berechtigte Interesse, nur in sehr engen Grenzen anwendbar ist. Absurd dabei ist, dass die IP-Adresse deiner Website-Besucher in vielen Fällen zu den personenbezogenen Daten zählt. Wann und warum IP-Adressen als personenbezogenes Datum gelten, haben wir in unserem Artikel zu personenbezogenen Daten näher erläutert. Praktisch bedeutet das, dass du zur Weitergabe der IP-Adresse durch die Einbindung von Scripts externer Services häufig eine Einwilligung benötigst. Du solltest so etwa eine Einwilligung einholen, wenn du Google Fonts oder YouTube auf deiner Website einbindest.
Wofür du Einwilligungen benötigst, haben für dich in einem separaten Artikel nochmals genauer und mit mehr Beispielen erläutert.
Das alles klingt dir nach einer eigentlich bereits klaren Rechtslage? Wäre es so einfach, gäbe es wohl das TDDDG als Cookie-Gesetz in der vorliegenden Form nicht!
Die ePrivacy-Richtline aus 2009 ist – wie der Name bereits verrät – eine Richtlinie. Richtlinien von der EU sind keine Gesetze. Sie müssen stattdessen innerhalb von 24 Monaten nach deren Verabschiedung von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Das ist in Bezug auf Cookies in Deutschland bis zum TDDDG (12 Jahre später) nicht geschehen. Der deutsche Gesetzgeber ging davon aus, dass das in § 15 Abs. 3 TMG (heißt jetzt DDG) beschriebene Recht auf Widerspruch gegen Cookies mit der aktiven Einwilligung in Cookies gleichzusetzen ist. Mit etwas Menschenverstand hätte man sehen können, dass das nicht ganz dasselbe ist 😉
Der EuGH hat daraufhin am 1. Oktober 2019 in Rechtssache C-673/17 klargestellt, dass der deutsche Sonderweg eines Opt-out-Verfahrens nicht mit der ePrivacy Richtlinie in Einklang steht – wer hätte das vor dem Gerichtsurteil gedacht. Seitdem ist davon auszugehen, dass nur das Opt-in-Verfahren (explizite Einwilligung) in nicht essenzielle Cookies zulässig ist. Dies wurde auch für Deutschland vom Bundesgerichtshof am 28. Mai 2020 bestätigt (Az. I ZR 7/16 – Cookie-Einwilligung II). Damit wurde faktisch bereits im Mai 2020 bereits entschieden, dass nicht essenzielle Cookies und ähnliche Technologien nur nach einer Einwilligung des Website-Besuchers gesetzt werden dürfen.
Viele Fragen wie: Ob das nur für Websites oder auch für z.B. Apps gilt, was als essenziell einzustufen werden kann, wie ein Cookie Banner auszusehen hat und vieles mehr blieb dabei aber offen. Eine Vielzahl von Gerichtsentscheidungen und Statements von Landesdatenschützern schafften zunehmend mehr Klarheit, aber kein Cookie-Privatsphäre-Gesetz, indem das alles festgeschrieben wurde.
Neben Einwilligungen für die Verarbeitung personenbezogener Daten nach der DSGVO, schreibt das TDDDG nun erstmalig in Deutschland fest, wie Einwilligungen zum Setzen und Lesen von Cookies und ähnlichen Technologien auszusehen haben. Daher könnte man diesen Aspekt des TDDDG als das Cookie-Gesetz für Deutschland bezeichnen, das endlich Rechtsklarheit schafft.
Zu diesem Zweck wird in § 25 Abs. 1 TDDDG beschrieben:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [(DSGVO)] zu erfolgen.
In der Praxis bedeutet dies, dass für das Setzen und Lesen aller Cookies und ähnlicher Technologien eine Zustimmung erforderlich ist. Wann dies nicht erforderlich ist - gemeinhin als wesentliche oder notwendige Cookies bezeichnet - ist in § 25 Abs. 2 TDDDG klar definiert:
Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Praktisch bedeutet das wiederum, dass Cookies etc. ohne Einwilligung gesetzt werden dürfen, wenn sonst:
-
- Technisch keine Übertragung der Daten möglich wäre.
- Die Grundfunktionalität des Dienstes (z. B. der Website), den der Nutzer aufgerufen hat, könnte nicht mehr bereitgestellt werden (das Beispiel des Warenkorbs in einem Online-Shop von oben). Der Begriff "ausdrücklich gewünschten Telemediendienst" stellt jedoch klar, dass ich, wenn ich eine Website aufrufe, nicht erwarten kann, dass sie z. B. ein YouTube-Video einbettet. Wenn das eingebettete Video Cookies setzt, ist dafür immer eine Einwilligung erforderlich. Wenn ich dieses Video direkt auf YouTube aufrufe – das heißt, ich rufe den Dienst ausdrücklich auf – können dieselben Cookies als unerlässlich angesehen werden.
Im Allgemeinen findest du in § 25 TDDDG Vorschriften dazu, wann du ein Cookie Banner benötigst. Wie die Einwilligungen (in einem Cookie Banner) korrekt eingeholt werden können, soll sich nach der DSGVO richten. Somit ändert sich an der Ausgestaltung von Cookie Bannern, wenn sie sich bereits in den vergangenen Jahren an die geltenden Vorschriften gehalten haben, nichts Wesentliches.
Was musst du als Website-Betreiber jetzt tun?
Packen wir das juristische Blabla mal bei Seite und kommen auf den Punkt: Was musst du als Website-Betreiber konkret umsetzen, um die Vorgaben des neuen Cookie-Gesetzes für Deutschlands Gesetz zu erfüllen?
- Kein Cookie Banner vorhanden: Du hast noch kein (nerviges) Cookie Banner, dass deinen Website-Besuchern erlaubt den Cookies zuzustimmen oder abzulehnen? Dann solltest du unbedingt prüfen, ob deine Website oder Services wie Google Analytics, YouTube oder Google Maps, die du in deiner Website einbindest, Cookies und ähnliche Technologien einsetzen. Wie du alle Services und Cookies auf deiner Website findest, haben wir dir in einem separaten Artikel erklärt. Falls du Cookies verwendest, solltest du dich genauer darüber informieren, wie diese zu klassifizieren sind und ggf. ein Cookie Banner wie Real Cookie Banner auf deiner Website verwenden.
- Cookie Banner bereits vorhanden: Hast du längst ein Cookie Banner auf deiner Website? Nach § 25 TDDDG musst der Website-Besucher "auf der Grundlage von klaren und umfassenden Informationen [einwilligen]". Das heißt, du musst ihn darüber informieren, welche Cookies und ähnliche Informationen (z.B. im Local Storage des Browsers), wie lange, zu welchem Zweck, von wem und wo gespeichert werden. Dabei muss dein Besucher auch über seine Rechte belehrt werden. Seine Einwilligung in jedes einen einzelnen Service ist freiwillig (was das Cookie Banner auch so anbieten muss) und er kann die Einwilligung jederzeit ändern oder widerrufen. Außerdem solltest du ihn darüber in Kenntnis setzen, wenn du Services aus Ländern mit unzureichendem Datenschutzniveau – wie die USA – einbinden möchtest (z.B. alle Google- und Facebook-Services), damit sich deine Website-Besucher den potenziellen Gefahren bewusst sind. Nicht zu vergessen ist auch, dass du Maßnahmen zum Jugendschutz nach Art. 8 DSGVO ergreifen musst, damit nur Besucher auf deiner Website einwilligen können, die bereits rechtlich dazu befugt sind. Erfüllt dein aktuelles Cookie Banner mindestens diese Anforderungen? Falls nein, solltest du schnellstmöglich nachbessern oder auf eine Alternative wie Real Cookie Banner wechseln.
Neuer Rechtsbegriff: Endeinrichtung
Die Vorgaben der ePrivacy-Richtlinie zum Setzen und Lesen bezogen sich bislang nicht ausschließlich auf Cookies, erwähnten im Gesetzestext diese aber explizit. Cookies sind eine Technologie, die in der Regel in Webbrowsern bei der Übertragung im HTTP-Protkoll zum Einsatz kommt. Daher war bislang nicht endgültig klar, ob man auch zum Setzen von Cookie-ähnlichen Informationen, z.B. in Apps, eine Einwilligung benötigt.
Damit ist jetzt Schluss! In § 25 TDDDG spricht das neue Cookie-Gesetz von "Speicherung von Informationen in der Endeinrichtung". Mit dem neuen Begriff "Endeinrichtung" meint der Gesetzgeber jede Art von Gerät, in der Informationen in technisch beliebiger Form gespeichert werden kann.
Praktisch bedeutet das: Smarthome-Geräte (z.B. Küchengeräte, Heizkörperthermostate), Internet of Things (IoT), Apps auf Mobiltelefonen, aber auch E-Mail- und Messenger-Dienste benötigen künftig ein Cookie Banner, wenn sie Information auf dem Gerät speichern wollen.
Das Auspacken des neuen Thermomix wird also noch mehr zum Datenschutz-Rodeo: Er wird dich nicht nur um deine Einwilligung in die AGB und Datenschutzerklärung, sondern zukünftig auch in das Speichern von Daten wie Cookies bitten müssen. Außerdem müssen Cookie-Einwilligungen nach gängiger Rechtsauffassung erneuert werden. Also wird der Thermomix dein Kocherlebnis künftig ca. einmal im Jahr mit einem liebevoll designten Cookie Banner zum erneuten Einwilligen unterbrechen müssen. Zumindest, wenn er nicht essenziell Informationen auf deiner Thermomix-Hardware speichern oder lesen möchte. So macht kochen Spaß! 👨🍳
Es nervt, ständig mit Cookie Bannern bombardiert zu werden! Das hat auch der deutsche Gesetzgeber erkannt und hat Personal Information Management Systems (kurz PIMS) auf dem Papier erfunden.
PIMS erlauben es dir einmal auszuwählen, welche Cookies du zulassen und in welche Verarbeitung personenbezogener Daten du einwilligen möchtest. Das PIMS gibt deine Entscheidung dann automatisch an die Website oder deinen neuen Thermomix weiter, sodass du mehr Kontrolle über deine personenbezogenen Daten und den Zugriff Dritter auf diese bekommst. Ganz ohne ständig von Cookie Bannern genervt zu werden. Dabei sieht der Gesetzgeber nach § 26 TDDDG vor, dass PIMS durch eine unabhängigen Stelle überprüft werden müssen, damit sie wirklich deine Privatsphäre schützen und nicht nur einen Placeboeffekt haben, wie manche Cookie Banner.
Klingt nach einer tollen Idee, oder? Ja, selbst wir als Hersteller eines Cookie Banners würden und freuen, wenn dieser Cookie Banner-Irrsinn ein Ende hätte! In der Realität sind wir aber skeptisch, ob die Idee der PIMS Fuß fassen kann. Das hat gleich mehrere Gründe:
- In der Vergangenheit bereits gescheitert: Die ePrivacy-Richtline (Richtlinie 2009/136/EG) schlägt in Art. 66 bereits eine Art PIMS vor. Privatsphäre-Einstellungen sollen zentral in den Einstellungen des Browsers angegeben werden können. Seit der Verabschiedung 2009 gibt es hierfür aber keinen technischen Standard. Do Not Track als technischer Standard zum Ablehnen von Tracking-Tools ist gescheitert, da Website-Betreiber keine rechtliche Pflicht haben, das Signal auszuwerten.
- Deutschland gegen die Welt: Ein technischer Standard dieser Art müsste in allen Systemen, Websites, Apps etc. einheitlich umgesetzt werden. Für Websites müsste jeder Browser den Standard zum Einholen der Einwilligungen umsetzen und jede Website muss das Signal verarbeiten können. Dass Deutschland hier einen Weltstandard entwickelt, während die EU als weit größere Institution es nicht schafft, einen solchen Standard auf den Weg bringt, klingt abwegig.
- Formale Anforderungen: Nach dem Gesetz müssen PIMS bestimmte Voraussetzungen erfüllen, wie kein wirtschaftliches Eigeninteresse der Anbieter oder ein Sicherheitskonzept des Anbieters. Diese Voraussetzungen müssen in einem Anerkennungsverfahren von einer unabhängigen Stelle bescheinigt werden. Zum Zeitpunkt der Einführung des TDDDG muss die Bundesregierung noch in Form des Verfahrens zur Anerkennung der Dienste festlegen. Das wird vermutlich noch mehrere Jahre in Anspruch nehmen. Somit können erst dann PIMS im Sinne des Gesetzes an den Start gegen.
Wir halten es aufgrund dieser Begleitumstände für fraglich, ob PIMS jemals in der Realität ankommen werden. Sollte dies tatsächlich geschehen, wären sie eine enorme Erleichterung für Endanwender. Aus der Perspektive der Website-Betreiber würden sie aber wenig ändern. Diese müssten weiterhin eingesetzte Services klassifizieren, in ihrer Datenschutzerklärung näher erläutern und eine technische Schnittstelle schaffen, welche nur Cookies setzen bzw. lesen und personenbezogene Daten verarbeiten darf, wenn hierfür eine Einwilligung vorliegt. Es wäre quasi ein unsichtbares Cookie Banner, was Website-Betreiber einrichten müssten.
TDDDG Bußgelder: bis zu 300.000 € leicht durchsetzbar
Datenschutzrecht wurde lange als zahnloses Recht bezeichnet. Es gab zwar theoretisch Strafen, aber sie konnten praktisch kaum verhängt werden. Das traf auch auf die Einwilligungspflicht für Cookies in den vergangenen Jahren zu.
Bisher waren Verstöße gegen die höchstrichterlichen Entscheidungen des EuGH und BGH nicht mit behördlichen Bußgeldern effektiv ahndbar. Es war u.a. ungeklärt, welches Amt die Strafen verhängen durfte – typisch deutsche Bürokratie 😉
⚠️ Damit ist jetzt Schluss. Fehlende oder fehlerhafte Cookie Banner können ab dem 01.12.2021 nach § 28 Abs. 2 TDDDG mit bis zu 300.000 € Strafe geahndet werden. Die Aufsicht darüber hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erhalten, der umfassend den Umgang mit personenbezogenen Daten kontrolliert. Die Behörde hat jetzt auch die Befugnis, die Bußgelder nach dem TDDDG zu verhängen. Sollten Vorschriften verletzt worden sein, welche nicht die Verarbeitung von personenbezogene Daten betreffen, hat nun die Bundesnetzagentur darüber die Aufsicht.
Es kann also schnell richtig teuer werden kein oder ein unzureichendes Cookie Banner zu haben!
Wichtig zu verstehen ist, dass die Bußgelder nach dem TDDDG nicht die Bußgelder von theoretisch bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr nach der Art. 83 DSGVO ersetzen. 100 Mio. EUR Bußgeld gegen Google wurde auf diesem Wege bereits verhängt, da sie Cookies in unzulässiger Weise gesetzt und die gesammelten personenbezogenen Daten für Werbezwecke verwendet haben. Aktuell werden DSGVO-Bußgelder jedoch primär gegen Big Player verhängt. Daher schätzen wir das reale Risiko für durchschnittliche Website-Betreiber als mäßig ein. Es kann einen jedoch trotzdem unerwartet treffen!
Nicht vergessen werden darf, dass auch Abmahnungen von Wettbewerbern wegen falschen und fehlerhaften Cookie Bannern ausgesprochen werden können. Die Gerichte sind sich noch nicht einig, ob Datenschutzverstöße nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland abgemahnt werden können. Stand November 2021 gibt es aber zunehmend mehr Entscheidungen für Abmahnungen. Bis diese Frage, höchstrichterlich geklärt wurde, ist nicht von einer großen Abmahnwelle auszugehen. Wettbewerber, die jedoch mit einer zu kleinen Kriegskasse deinerseits rechnen, könnten diese Unklarheit ausnutzen und vorerst erdrückende Kosen für dich generieren.
Zusammengefasst, gibt es durch das neue Cookie-Gesetz für Deutschland nun drei Angriffsszenarien, in denen dir ein unzureichendes oder fehlendes Cookie Banner um die Ohren fliegen kann: 💥
-
- Bußgeld nach TDDDG: Es gibt klare Zuständigkeiten und mit bis zu 300.000 € Bußgeld einen klaren Bemessungsrahmen, womit reale Bußgelder verhängt werden können. Für durchschnittliche Website-Betreiber dürfte diese neue Gefahr die praktisch relevanteste sein.
- Bußgeld nach DSGVO: Weiterhin können Bußgelder für den falschen Umgang mit personenbezogenes Daten (in der Folge von unzulässig gesetzten Cookies) verhängt werden. Jedoch geraten aktuell hauptsächlich größere Unternehmen in das Visier der Behörden.
- Abmahnungen: Es bleibt weiterhin unklar, ob Abmahnungen nach dem UWG zulässig sind. Im Einzelfall kann es aber zulässig sein und kostet so oder so bis zur finalen Urteilsverkündigung eine Stange Geld, für die nicht jede Kriegskasse ausgestattet ist.
Für den Moment haben wir in Deutschland mit dem TDDDG mehr Klarheit gewonnen. Der große Wurf, das allumfassende Cookie-Gesetz, kommt aber erst noch! Die EU möchte die ePrivacy-Richtline durch die ePrivacy-Verordnung ablösen.
Eine Richtlinie muss durch die Mitgliedstaaten der EU erst in nationales Recht umgesetzt werden. Es bietet einen groben Rahmen, den jedes Land für sich im Detail ausgestaltet. Eine Verordnung hingegen wird unmittelbar geltendes Recht in allen Mitgliedsstaaten der EU und gilt 24 Monate nach dessen Verabschiedung. Die Mitgliedsstaaten können über sogenannte Öffnungsklauseln zwar die Verordnung in bestimmten Punkten für ihr Land anpassen, aber der Großteil des Rechtsrahmens ist EU-weit gleich. Da EU-Recht über nationalem Recht steht, wird die ePrivacy-Verordnung die Regeln aus der TDDDG in Deutschland überschreiben.
Die ePrivacy-Verordnung sollte ursprünglich bereits 2018 zusammen mit der DSGVO eingeführt werden. In der EU konnte man sich jedoch nicht einigen, sodass bis Stand November 2021 die ePrivacy-Verordnung noch nicht verabschiedet wurde.
Wenn die ePrivacy-Verordnung kommt, wird sie die Verwendung von Cookies und ähnlichen Technologien, das Tracking im Internet und einige andere Themen erneut neu regeln. Die aktuellen Entwürfe deuten darauf hin, dass sich die Verwendung von Cookie Bannern und ähnlichen Lösungen zur Einwilligung in Cookies erneut ändern wird.
Aufgrund der noch ausstehenden Gesetzgebung ist zu erwarten, dass Website-Betreiber frühestens Ende 2023 bezüglich der ePrivacy-Verordnung handeln müssen.
Zusammenfassung: TDDDG schafft mehr Klarheit für Website-Betreiber in Deutschland
Das TDDDG (damals als TTDSG) ist ab dem 01.12.2021 das neue Cookie-Gesetz in Deutschland, an dem sich Website-Betreiber orientieren sollten, bis frühestens Ende 2023 die ePrivacy-Verordnung EU-weit in Kraft tritt.
Die Anforderungen des TDDDG gelten nicht nur für Personen und Unternehmen in Deutschland, sondern auch für Unternehmen mit (nicht aktiver) Niederlassung in Deutschland und Unternehmen im Ausland, die z.B. in Deutschland verkaufen.
Einwilligungen zum Setzen nicht-essenzieller Cookies und ähnlicher Informationen sind unumgänglich. Auch die Einwilligungen für die Verarbeitung personenbezogener Daten sollten nicht vergessen werden. Dabei orientiert sich das TDDDG an den bereits bekannten Vorgaben der ePrivacy-Richtlinie und der DSGVO.
Einwilligungen müssen nun ausdrücklich nicht nur auf Websites, sondern auch in Apps, Smart-Home-Geräten, Internet-of-Things-Geräten und allen weiteren technischen Endeinrichtungen eingeholt werden, die Daten auf den Geräten lesen und schreiben können.
Mit dem Konzept der Personal Information Management Systems (PIMS) versucht der deutsche Gesetzgeber eine begrüßenswerte Alternative zur Bombardierung mit Cookie Banners zu schaffen. Wir gehen aber davon aus, dass sich das Konzept in der Realität nicht durchsetzen wird, da es zu viele technische wie bürokratische Hürden gibt.
Ein korrektes Cookie Banner zu haben und die Privatsphäre (von Website-Besuchers) zu achten lohnt sich nun, da ansonsten Bußgelder nach dem TDDDG von bis zu 300.000 € drohen. Die neuen Bußgelder können aufgrund klarer Zuständigkeiten wesentlich schneller als bislang verhängt werden.
Betreiber von Websites sollten daher unbedingt überprüfen, ob sie noch ein Cookie Banner benötigen, oder ihr bestehendes Cookie Banner den weitestgehend seit 2019 bereits bekannten Anforderungen entsprechen. Falls nicht, ist schnelles und gewissenhaftes Nachbessern oder ein Umstieg auf eine auf das TDDDG vorbereitete Alternative wie Real Cookie Banner ratsam.
Es ist zu erwarten, dass das TDDDG in Deutschland zu noch mehr Cookie Bannern führt. Gleichzeitig nehmen wir an, dass die neuen Vorgaben auch zu mehr Cookie Bannern führen, die mehr Datenschutz gewährleisten. Denn ein unzureichendes Cookie Banner kann ab sofort reale Konsequenzen haben.