TTDSG: Cookie-Gesetz für Website-Betreiber in Deutschland

TTDSG - Cookie-Gesetz für Deutschland

Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) regelt in Deutschland ab dem 01.12.2021 einige Bereiche im Datenschutz neu. Dabei wird insbesondere der Einsatz von Cookies und Tracking-Technologien in dem "Cookie-Gesetz" wesentlich klarer als bislang geregelt. Für Website-Betreiber, die sich bereits an höchstrichterliche Entscheidungen der letzten Jahre halten, ändert sich praktisch in Bezug auf Cookies nicht viel. Alle anderen Website-Betreiber sollten jetzt handeln, um einfach durchsetzbare Bußgelder von bis zu 300.000 € zzgl. Bußgelder nach der DSGVO zu vermeiden. Alles Wichtige zum Privatsphäre-Gesetz TTDSG in Bezug auf das Cookie Consent Management erfährst du in unserem Artikel!

Wir müssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir können dir daher nur Einschätzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einschätzung der Situation geben.

Das Wichtigste kurz und kompakt zusammengefasst
  1. TTDSG regelt ab dem 01.12.2021 den Umgang mit Cookies und Tracking-Technologien im deutschen Recht
  2. Opt-in Cookie Banner wie Real Cookie Banner werden damit für fast alle Websites Pflicht
  3. Einfacher durchsetzbare Bußgelder in Höhe von bis zu 300.000 € können nach dem TTDSG bei keiner oder unzureichender Einholung von Einwilligungen verhängt werden

Was ist das TTDSG?

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz TTDSG) ist ein neues Gesetz, das in Deutschland in Kraft tritt. Sinn und Zweck des Gesetzes ist es, einen Kompromiss zwischen Privatsphäre in der digitalen Welt und digitalen Geschäftsmodellen (u.a. das Sammeln von Daten) zu erzielen. Außerdem sollen Unklarheiten bezüglich Regelungen in verschiedenen Gesetzen rund um den Datenschutz beseitigt werden.

Bislang haben Bestimmungen des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG), der ePrivacy-Richtline (Richtlinie 2009/136/EG) und der Datenschutzgrundverordnung (DSGVO) in Deutschland zusammenspielen müssen, um wichtige Fragen, wie den Einsatz von Cookies im Internet, zu regeln. Hinzu kamen höchstrichterliche Einscheidungen durch den EuGH und BGH, welche die Bestimmungen in dessen Zusammenspiel interpretiert haben. Dadurch entstanden faktische Regeln, welche jedoch nicht klar und deutlich in deutschen Gesetzen abgebildet waren.

Neben dem Umgang mit Cookies und Tracking-Technologien regelt das TTDSG das Fernmeldegeheimnis, Abhörverbote und die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien sowie weitere Aspekte neu. Im Folgenden werden wir uns jedoch nur mit dem Aspekt "Cookies und Tracking-Technologien" beschäftigen, da das TTDSG als das neue Cookie-Gesetz in Deutschland insbesondere viele Website-Betreiber betrifft.

Für wen und ab wann gilt das TTDSG?

Das TTDSG wurde im Mai 2021 vom Bundestag beschlossen und tritt am 01.12.2021 in Kraft. Das heißt, ab diesem Stichtag gelten alle Regelungen dieses Gesetzes und müssen vollumfänglich eingehalten werden.

Nach § 1 Abs. 3 TTDSG gilt das neue Gesetz für "alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes [...] eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.".

Praktisch bedeutet das: Alle Personen und Unternehmen mit Sitz in Deutschland müssen das TTDSG befolgen. Außerdem reicht allein das Vorhandensein einer Niederlassung eines Unternehmens in Deutschland, um vom TTDSG erfasst zu werden. Dabei ist es egal, ob diese Niederlassung etwas mit z.B. dem Tracking auf der Website zu tun hat oder nicht. Zudem müssen sich Unternehmen außerhalb Deutschlands ebenso an das TTDSG halten, wenn sie Dienstleistungen in Deutschland erbringen oder daran mitwirken. Praktisch könnte das ein Online-Shop sein, der seine Waren in Deutschland verkauft.

TTDSG: Das Cookie-Gesetz für Deutschland

Du, als Website-Betreiber, fragst dich nun bestimmt, was das TTDSG für dich konkret bedeutet. Musst du auf deine geliebten 🍪🍪🍪 und das Tracking auf deiner Website (für Nutzer in Deutschland) durch das neue Cookie-Gesetz verzichten? Um das zu verstehen, müssen wir zunächst einen Überblick über die Vorschriften gewinnen, die vor der Einführung des TTDSG galten.

Auf welcher Rechtsgrundlage hast du bislang Einwilligungen einholen müssen?

Beim Tracking im Internet gelten zwei verschiedene Daten, die du als Website-Betreiber verarbeitest bzw. verarbeiten lässt, welche im Hinblick auf Einwilligung relevant sind:

  • Cookies: Nach der ePrivacy Richtlinie (Richtlinie 2009/136/EG) Art. 66 wird eine Einwilligung zum Setzen und Lesen von Cookies und Cookie-ähnlichen Technologien benötigt, sofern diese nicht essenziell für den Betrieb der Website sind. Praktisch bedeutet das, dass du Cookies zum Speichern des Warenkorbs in einem Online-Shop ohne Einwilligung setzen darfst (da ohne den Warenkorb kein Kunde Einkäufe in deinem Shop tätigen könnte). Ein Analyse-Tool auf deiner Website – wie Google Analytics – hingegen darf erst nach einer expliziten Einwilligung des Website-Besuchers Cookies setzen.
  • Personenbezogene Daten: Zur Verarbeitung von personenbezogenen Daten benötigst du eine Rechtsgrundlage nach Art. 6 DSGVO. Häufig kommt dabei nur die Einwilligung infrage, da die häufigste Alternative, das berechtigte Interesse, nur in sehr engen Grenzen anwendbar ist. Absurd dabei ist, dass die IP-Adresse deiner Website-Besucher in vielen Fällen zu den personenbezogenen Daten zählt. Wann und warum IP-Adressen als personenbezogenes Datum gelten, haben wir in unserem Artikel zu personenbezogenen Daten näher erläutert. Praktisch bedeutet das, dass du zur Weitergabe der IP-Adresse durch die Einbindung von Scripts externer Services häufig eine Einwilligung benötigst. Du solltest so etwa eine Einwilligung einholen, wenn du Google Fonts oder YouTube auf deiner Website einbindest.

Wofür du Einwilligungen benötigst, haben für dich in einem separaten Artikel nochmals genauer und mit mehr Beispielen erläutert.

Das alles klingt dir nach einer eigentlich bereits klaren Rechtslage? Wäre es so einfach, gäbe es wohl das TTDSG als Cookie-Gesetz in der vorliegenden Form nicht!

Die ePrivacy-Richtline aus 2009 ist – wie der Name bereits verrät – eine Richtlinie. Richtlinien von der EU sind keine Gesetze. Sie müssen stattdessen innerhalb von 24 Monaten nach deren Verabschiedung von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Das ist in Bezug auf Cookies in Deutschland bis zum TTDSG (12 Jahre später) nicht geschehen. Der deutsche Gesetzgeber ging davon aus, dass das in § 15 Abs. 3 TMG beschriebene Recht auf Widerspruch gegen Cookies mit der aktiven Einwilligung in Cookies gleichzusetzen ist. Mit etwas Menschenverstand hätte man sehen können, dass das nicht ganz dasselbe ist 😉

Der EuGH hat daraufhin am 1. Oktober 2019 in Rechtssache C-673/17 klargestellt, dass der deutsche Sonderweg eines Opt-out-Verfahrens nicht mit der ePrivacy Richtlinie in Einklang steht – wer hätte das vor dem Gerichtsurteil gedacht. Seitdem ist davon auszugehen, dass nur das Opt-in-Verfahren (explizite Einwilligung) in nicht essenzielle Cookies zulässig ist. Dies wurde auch für Deutschland vom Bundesgerichtshof am 28. Mai 2020 bestätigt (Az. I ZR 7/16 – Cookie-Einwilligung II). Damit wurde faktisch bereits im Mai 2020 bereits entschieden, dass nicht essenzielle Cookies und ähnliche Technologien nur nach einer Einwilligung des Website-Besuchers gesetzt werden dürfen.

Viele Fragen wie: Ob das nur für Websites oder auch für z.B. Apps gilt, was als essenziell einzustufen werden kann, wie ein Cookie Banner auszusehen hat und vieles mehr blieb dabei aber offen. Eine Vielzahl von Gerichtsentscheidungen und Statements von Landesdatenschützern schafften zunehmend mehr Klarheit, aber kein Cookie-Privatsphäre-Gesetz, indem das alles festgeschrieben wurde.

Cookie Einwilligungen nach dem TTDSG einholen

Neben Einwilligungen für die Verarbeitung personenbezogener Daten nach der DSGVO, schreibt das TTDSG nun erstmalig in Deutschland fest, wie Einwilligungen zum Setzen und Lesen von Cookies und ähnlichen Technologien auszusehen haben. Daher könnte man diesen Aspekt des TTDSG als das Cookie-Gesetz für Deutschland bezeichnen, das endlich Rechtsklarheit schafft.

Dazu wird in § 25 Abs. 1 TTDSG geschrieben:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [(DSGVO)] zu erfolgen.

Praktisch bedeutet das, dass zum Setzen und Lesen aller Cookies und ähnlicher Technologien eine Einwilligung erforderlich ist. Wann dies nicht erforderlich ist – allgemein als essenzielle oder notwendige Cookies bekannt – wird in § 25 Abs. 2 TTDSG klar definiert:

Die Einwilligung nach Absatz 1 ist nicht erforderlich,

    1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
    2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Praktisch bedeutet das wiederum, dass Cookies etc. ohne Einwilligung gesetzt werden dürfen, wenn sonst:

    1. Technisch keine Übertragung der Daten möglich wäre.
    2. Die Grundfunktionalität des Dienstes (z. B. der Website), den der Nutzer aufgerufen hat, könnte nicht mehr bereitgestellt werden (das Beispiel des Warenkorbs in einem Online-Shop von oben). Der Begriff "ausdrücklich gewünschten Telemediendienst" stellt jedoch klar, dass ich, wenn ich eine Website aufrufe, nicht erwarten kann, dass sie z. B. ein YouTube-Video einbettet. Wenn das eingebettete Video Cookies setzt, ist dafür immer eine Einwilligung erforderlich. Wenn ich dieses Video direkt auf YouTube aufrufe – das heißt, ich rufe den Dienst ausdrücklich auf – können dieselben Cookies als unerlässlich angesehen werden.

Im Allgemeinen findest du in § 25 TTDSG Vorschriften dazu, wann du ein Cookie Banner benötigst. Wie die Einwilligungen (in einem Cookie Banner) korrekt eingeholt werden können, soll sich nach der DSGVO richten. Somit ändert sich an der Ausgestaltung von Cookie Bannern, wenn sie sich bereits in den vergangenen Jahren an die geltenden Vorschriften gehalten haben, nichts Wesentliches.

Was musst du als Website-Betreiber jetzt tun?

Packen wir das juristische Blabla mal bei Seite und kommen auf den Punkt: Was musst du als Website-Betreiber konkret umsetzen, um die Vorgaben des neuen Cookie-Gesetzes für Deutschlands Gesetz zu erfüllen?

  1. Kein Cookie Banner vorhanden: Du hast noch kein (nerviges) Cookie Banner, dass deinen Website-Besuchern erlaubt den Cookies zuzustimmen oder abzulehnen? Dann solltest du unbedingt prüfen, ob deine Website oder Services wie Google Analytics, YouTube oder Google Maps, die du in deiner Website einbindest, Cookies und ähnliche Technologien einsetzen. Wie du alle Services und Cookies auf deiner Website findest, haben wir dir in einem separaten Artikel erklärt. Falls du Cookies verwendest, solltest du dich genauer darüber informieren, wie diese zu klassifizieren sind und ggf. ein Cookie Banner wie Real Cookie Banner auf deiner Website verwenden.
  2. Cookie Banner bereits vorhanden: Hast du längst ein Cookie Banner auf deiner Website? Nach § 25 TTDSG musst der Website-Besucher "auf der Grundlage von klaren und umfassenden Informationen [einwilligen]". Das heißt, du musst ihn darüber informieren, welche Cookies und ähnliche Informationen (z.B. im Local Storage des Browsers), wie lange, zu welchem Zweck, von wem und wo gespeichert werden. Dabei muss dein Besucher auch über seine Rechte belehrt werden. Seine Einwilligung in jedes einen einzelnen Service ist freiwillig (was das Cookie Banner auch so anbieten muss) und er kann die Einwilligung jederzeit ändern oder widerrufen. Außerdem solltest du ihn darüber in Kenntnis setzen, wenn du Services aus Ländern mit unzureichendem Datenschutzniveau – wie die USA – einbinden möchtest (z.B. alle Google- und Facebook-Services), damit sich deine Website-Besucher den potenziellen Gefahren bewusst sind. Nicht zu vergessen ist auch, dass du Maßnahmen zum Jugendschutz nach Art. 8 DSGVO ergreifen musst, damit nur Besucher auf deiner Website einwilligen können, die bereits rechtlich dazu befugt sind. Erfüllt dein aktuelles Cookie Banner mindestens diese Anforderungen? Falls nein, solltest du schnellstmöglich nachbessern oder auf eine Alternative wie Real Cookie Banner wechseln.

Neuer Rechtsbegriff: Endeinrichtung

Die Vorgaben der ePrivacy-Richtlinie zum Setzen und Lesen bezogen sich bislang nicht ausschließlich auf Cookies, erwähnten im Gesetzestext diese aber explizit. Cookies sind eine Technologie, die in der Regel in Webbrowsern bei der Übertragung im HTTP-Protkoll zum Einsatz kommt. Daher war bislang nicht endgültig klar, ob man auch zum Setzen von Cookie-ähnlichen Informationen, z.B. in Apps, eine Einwilligung benötigt.

Damit ist jetzt Schluss! In § 25 TTDSG spricht das neue Cookie-Gesetz von "Speicherung von Informationen in der Endeinrichtung". Mit dem neuen Begriff "Endeinrichtung" meint der Gesetzgeber jede Art von Gerät, in der Informationen in technisch beliebiger Form gespeichert werden kann.

Praktisch bedeutet das: Smarthome-Geräte (z.B. Küchengeräte, Heizkörperthermostate), Internet of Things (IoT), Apps auf Mobiltelefonen, aber auch E-Mail- und Messenger-Dienste benötigen künftig ein Cookie Banner, wenn sie Information auf dem Gerät speichern wollen.

Das Auspacken des neuen Thermomix wird also noch mehr zum Datenschutz-Rodeo: Er wird dich nicht nur um deine Einwilligung in die AGB und Datenschutzerklärung, sondern zukünftig auch in das Speichern von Daten wie Cookies bitten müssen. Außerdem müssen Cookie-Einwilligungen nach gängiger Rechtsauffassung erneuert werden. Also wird der Thermomix dein Kocherlebnis künftig ca. einmal im Jahr mit einem liebevoll designten Cookie Banner zum erneuten Einwilligen unterbrechen müssen. Zumindest, wenn er nicht essenziell Informationen auf deiner Thermomix-Hardware speichern oder lesen möchte. So macht kochen Spaß! 👨‍🍳

Personal Information Management Systems (PIMS) als bessere Alternative zu Cookie Bannern

Es nervt, ständig mit Cookie Bannern bombardiert zu werden! Das hat auch der deutsche Gesetzgeber erkannt und hat Personal Information Management Systems (kurz PIMS) auf dem Papier erfunden.

PIMS erlauben es dir einmal auszuwählen, welche Cookies du zulassen und in welche Verarbeitung personenbezogener Daten du einwilligen möchtest. Das PIMS gibt deine Entscheidung dann automatisch an die Website oder deinen neuen Thermomix weiter, sodass du mehr Kontrolle über deine personenbezogenen Daten und den Zugriff Dritter auf diese bekommst. Ganz ohne ständig von Cookie Bannern genervt zu werden. Dabei sieht der Gesetzgeber nach § 26 TTDSG vor, dass PIMS durch eine unabhängigen Stelle überprüft werden müssen, damit sie wirklich deine Privatsphäre schützen und nicht nur einen Placeboeffekt haben, wie manche Cookie Banner.

Klingt nach einer tollen Idee, oder? Ja, selbst wir als Hersteller eines Cookie Banners würden und freuen, wenn dieser Cookie Banner-Irrsinn ein Ende hätte! In der Realität sind wir aber skeptisch, ob die Idee der PIMS Fuß fassen kann. Das hat gleich mehrere Gründe:

  1. In der Vergangenheit bereits gescheitert: Die ePrivacy-Richtline (Richtlinie 2009/136/EG) schlägt in Art. 66 bereits eine Art PIMS vor. Privatsphäre-Einstellungen sollen zentral in den Einstellungen des Browsers angegeben werden können. Seit der Verabschiedung 2009 gibt es hierfür aber keinen technischen Standard. Do Not Track als technischer Standard zum Ablehnen von Tracking-Tools ist gescheitert, da Website-Betreiber keine rechtliche Pflicht haben, das Signal auszuwerten.
  2. Deutschland gegen die Welt: Ein technischer Standard dieser Art müsste in allen Systemen, Websites, Apps etc. einheitlich umgesetzt werden. Für Websites müsste jeder Browser den Standard zum Einholen der Einwilligungen umsetzen und jede Website muss das Signal verarbeiten können. Dass Deutschland hier einen Weltstandard entwickelt, während die EU als weit größere Institution es nicht schafft, einen solchen Standard auf den Weg bringt, klingt abwegig.
  3. Formale Anforderungen: Nach dem Gesetz müssen PIMS bestimmte Voraussetzungen erfüllen, wie kein wirtschaftliches Eigeninteresse der Anbieter oder ein Sicherheitskonzept des Anbieters. Diese Voraussetzungen müssen in einem Anerkennungsverfahren von einer unabhängigen Stelle bescheinigt werden. Zum Zeitpunkt der Einführung des TTDSG muss die Bundesregierung noch in Form des Verfahrens zur Anerkennung der Dienste festlegen. Das wird vermutlich noch mehrere Jahre in Anspruch nehmen. Somit können erst dann PIMS im Sinne des Gesetzes an den Start gegen.

Wir halten es aufgrund dieser Begleitumstände für fraglich, ob PIMS jemals in der Realität ankommen werden. Sollte dies tatsächlich geschehen, wären sie eine enorme Erleichterung für Endanwender. Aus der Perspektive der Website-Betreiber würden sie aber wenig ändern. Diese müssten weiterhin eingesetzte Services klassifizieren, in ihrer Datenschutzerklärung näher erläutern und eine technische Schnittstelle schaffen, welche nur Cookies setzen bzw. lesen und personenbezogene Daten verarbeiten darf, wenn hierfür eine Einwilligung vorliegt. Es wäre quasi ein unsichtbares Cookie Banner, was Website-Betreiber einrichten müssten.

Bußgelder des TTDSG: Bis zu 300.000 € einfach durchsetzbar

Datenschutzrecht wurde lange als zahnloses Recht bezeichnet. Es gab zwar theoretisch Strafen, aber sie konnten praktisch kaum verhängt werden. Das traf auch auf die Einwilligungspflicht für Cookies in den vergangenen Jahren zu.

Bisher waren Verstöße gegen die höchstrichterlichen Entscheidungen des EuGH und BGH nicht mit behördlichen Bußgeldern effektiv ahndbar. Es war u.a. ungeklärt, welches Amt die Strafen verhängen durfte – typisch deutsche Bürokratie 😉

⚠️ Damit ist jetzt Schluss. Fehlende oder fehlerhafte Cookie Banner können ab dem 01.12.2021 nach § 28 Abs. 2 TTDSG mit bis zu 300.000 € Strafe geahndet werden. Die Aufsicht darüber hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erhalten, der umfassend den Umgang mit personenbezogenen Daten kontrolliert. Die Behörde hat jetzt auch die Befugnis, die Bußgelder nach dem TTDSG zu verhängen. Sollten Vorschriften verletzt worden sein, welche nicht die Verarbeitung von personenbezogene Daten betreffen, hat nun die Bundesnetzagentur darüber die Aufsicht.

Es kann also schnell richtig teuer werden kein oder ein unzureichendes Cookie Banner zu haben!

Wichtig zu verstehen ist, dass die Bußgelder nach dem TTDSG nicht die Bußgelder von theoretisch bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr nach der Art. 83 DSGVO ersetzen. 100 Mio. EUR Bußgeld gegen Google wurde auf diesem Wege bereits verhängt, da sie Cookies in unzulässiger Weise gesetzt und die gesammelten personenbezogenen Daten für Werbezwecke verwendet haben. Aktuell werden DSGVO-Bußgelder jedoch primär gegen Big Player verhängt. Daher schätzen wir das reale Risiko für durchschnittliche Website-Betreiber als mäßig ein. Es kann einen jedoch trotzdem unerwartet treffen!

Nicht vergessen werden darf, dass auch Abmahnungen von Wettbewerbern wegen falschen und fehlerhaften Cookie Bannern ausgesprochen werden können. Die Gerichte sind sich noch nicht einig, ob Datenschutzverstöße nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland abgemahnt werden können. Stand November 2021 gibt es aber zunehmend mehr Entscheidungen für Abmahnungen. Bis diese Frage, höchstrichterlich geklärt wurde, ist nicht von einer großen Abmahnwelle auszugehen. Wettbewerber, die jedoch mit einer zu kleinen Kriegskasse deinerseits rechnen, könnten diese Unklarheit ausnutzen und vorerst erdrückende Kosen für dich generieren.

Zusammengefasst, gibt es durch das neue Cookie-Gesetz für Deutschland nun drei Angriffsszenarien, in denen dir ein unzureichendes oder fehlendes Cookie Banner um die Ohren fliegen kann: 💥

    1. Bußgeld nach TTDSG: Es gibt klare Zuständigkeiten und mit bis zu 300.000 € Bußgeld einen klaren Bemessungsrahmen, womit reale Bußgelder verhängt werden können. Für durchschnittliche Website-Betreiber dürfte diese neue Gefahr die praktisch relevanteste sein.
    2. Bußgeld nach DSGVO: Weiterhin können Bußgelder für den falschen Umgang mit personenbezogenes Daten (in der Folge von unzulässig gesetzten Cookies) verhängt werden. Jedoch geraten aktuell hauptsächlich größere Unternehmen in das Visier der Behörden.
    3. Abmahnungen: Es bleibt weiterhin unklar, ob Abmahnungen nach dem UWG zulässig sind. Im Einzelfall kann es aber zulässig sein und kostet so oder so bis zur finalen Urteilsverkündigung eine Stange Geld, für die nicht jede Kriegskasse ausgestattet ist.

TTDSG als Cookie-Gesetz Übergangslösung: Die ePrivacy-Verordnung kommt!

Für den Moment haben wir in Deutschland mit dem TTDSG mehr Klarheit gewonnen. Der große Wurf, das allumfassende Cookie-Gesetz, kommt aber erst noch! Die EU möchte die ePrivacy-Richtline durch die ePrivacy-Verordnung ablösen.

Eine Richtlinie muss durch die Mitgliedstaaten der EU erst in nationales Recht umgesetzt werden. Es bietet einen groben Rahmen, den jedes Land für sich im Detail ausgestaltet. Eine Verordnung hingegen wird unmittelbar geltendes Recht in allen Mitgliedsstaaten der EU und gilt 24 Monate nach dessen Verabschiedung. Die Mitgliedsstaaten können über sogenannte Öffnungsklauseln zwar die Verordnung in bestimmten Punkten für ihr Land anpassen, aber der Großteil des Rechtsrahmens ist EU-weit gleich. Da EU-Recht über nationalem Recht steht, wird die ePrivacy-Verordnung die Regeln aus der TTDSG in Deutschland überschreiben.

Die ePrivacy-Verordnung sollte ursprünglich bereits 2018 zusammen mit der DSGVO eingeführt werden. In der EU konnte man sich jedoch nicht einigen, sodass bis Stand November 2021 die ePrivacy-Verordnung noch nicht verabschiedet wurde.

Wenn die ePrivacy-Verordnung kommt, wird sie die Verwendung von Cookies und ähnlichen Technologien, das Tracking im Internet und einige andere Themen erneut neu regeln. Die aktuellen Entwürfe deuten darauf hin, dass sich die Verwendung von Cookie Bannern und ähnlichen Lösungen zur Einwilligung in Cookies erneut ändern wird.

Aufgrund der noch ausstehenden Gesetzgebung ist zu erwarten, dass Website-Betreiber frühestens Ende 2023 bezüglich der ePrivacy-Verordnung handeln müssen.

Zusammenfassung: TTDSG schafft mehr Klarheit für Website-Betreiber in Deutschland

Das TTDSG ist ab dem 01.12.2021 das neue Cookie-Gesetz in Deutschland, an dem sich Website-Betreiber orientieren sollten, bis frühestens Ende 2023 die ePrivacy-Verordnung EU-weit in Kraft tritt.

Die Anforderungen des TTDSG gelten nicht nur für Personen und Unternehmen in Deutschland, sondern auch für Unternehmen mit (nicht aktiver) Niederlassung in Deutschland und Unternehmen im Ausland, die z.B. in Deutschland verkaufen.

Einwilligungen zum Setzen nicht-essenzieller Cookies und ähnlicher Informationen sind unumgänglich. Auch die Einwilligungen für die Verarbeitung personenbezogener Daten sollten nicht vergessen werden. Dabei orientiert sich das TTDSG an den bereits bekannten Vorgaben der ePrivacy-Richtlinie und der DSGVO.

Einwilligungen müssen nun ausdrücklich nicht nur auf Websites, sondern auch in Apps, Smart-Home-Geräten, Internet-of-Things-Geräten und allen weiteren technischen Endeinrichtungen eingeholt werden, die Daten auf den Geräten lesen und schreiben können.

Mit dem Konzept der Personal Information Management Systems (PIMS) versucht der deutsche Gesetzgeber eine begrüßenswerte Alternative zur Bombardierung mit Cookie Banners zu schaffen. Wir gehen aber davon aus, dass sich das Konzept in der Realität nicht durchsetzen wird, da es zu viele technische wie bürokratische Hürden gibt.

Ein korrektes Cookie Banner zu haben und die Privatsphäre (von Website-Besuchers) zu achten lohnt sich nun, da ansonsten Bußgelder nach dem TTDSG von bis zu 300.000 € drohen. Die neuen Bußgelder können aufgrund klarer Zuständigkeiten wesentlich schneller als bislang verhängt werden.

Betreiber von Websites sollten daher unbedingt überprüfen, ob sie noch ein Cookie Banner benötigen, oder ihr bestehendes Cookie Banner den weitestgehend seit 2019 bereits bekannten Anforderungen entsprechen. Falls nicht, ist schnelles und gewissenhaftes Nachbessern oder ein Umstieg auf eine auf das TTDSG vorbereitete Alternative wie Real Cookie Banner ratsam.

Es ist zu erwarten, dass das TTDSG in Deutschland zu noch mehr Cookie Bannern führt. Gleichzeitig nehmen wir an, dass die neuen Vorgaben auch zu mehr Cookie Bannern führen, die mehr Datenschutz gewährleisten. Denn ein unzureichendes Cookie Banner kann ab sofort reale Konsequenzen haben.