TTDSG-Checkliste: So gestalten Sie rechtskonforme Cookie-Banner

Bild: Mohamed Hassan auf Pixabay

21.12.2021 - Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beinhaltet auch Regelungen f�r die Nutzung von Cookies. Datenschutzexperten der Technologiekanzlei Sch�rmann Rosenthal Dreyer erkl�ren, was Unternehmen bei der Einholung und Ausgestaltung der Nutzereinwilligung beachten m�ssen, welche Ausnahmen es gibt und welche rechtlichen Konsequenzen bei Nichtbeachtung drohen.

von Kathrin Sch�rmann und Thorsten Mehl

Das TTDSG - seit dem 1. Dezember 2021 in Kraft - stellt ein weiteres wichtiges Regelwerk dar, das Unternehmen bei der digitalen Transformation neben der DSGVO beachten m�ssen. Umfasst sind Regelungen zum Datenschutz und dem Schutz der Privatsph�re in der Telekommunikation und bei Telemedien. Mit dem TTDSG wurde das un�bersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext geb�ndelt. Es enth�lt besondere Vorschriften, etwa zum Schutz der Privatsph�re bei Endeinrichtungen der EndnutzerInnen, z.T. resultierend aus der Umsetzung des Art. 5 Abs. 3 der EPrivacy-Richtlinie. Das betrifft unter anderem auch den klassischen Fall der "Cookies". Dabei handelt es sich um Datenpakete, die bei der Nutzung einer Webseite auf dem jeweiligen Endger�t zwischengespeichert werden, um das individuelle NutzerInnenverhalten zu analysieren und andere Funktionen bereitzustellen.

Wer muss den Verpflichtungen aus dem TTDSG nachkommen?

Alle AnbieterInnen von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter AnbieterInnen von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Beispielsweise Suchmaschinen, Blogs, aber auch Onlineshops sind erfasst. Telekommunikationsdienste sind solche, die ganz oder �berwiegend Signale �ber Telekommunikationsnetze �bertragen, einschlie�lich �bertragungsdienste in Rundfunknetzen. Klassischerweise f�llt die Telefonie, oder die SMS darunter. Mit der Novelle des TKG sind auch nummernunabh�ngige interpersonelle Telekommunikationsdienste Teil des Regulierungsregimes. Damit werden auch Messengerdienste, wie Whatsapp oder Telegram, adressiert.

Was bedeutet das Gesetz f�r die Nutzung von Cookies?

Grundlage ist � 25 TTDSG, der den Schutz der Privatsph�re bei Endeinrichtungen regelt. Demnach d�rfen Informationen auf Endger�ten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grunds�tzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht vorliegt. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Ma�e f�r alle endger�tebasierten Speicherungen von Daten.

Was ist bei der Einholung und Ausgestaltung der Einwilligung zu beachten?

Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Informationen sowie die Einwilligung m�ssen au�erdem den Anforderungen der DSGVO gerecht werden. Die Einwilligung muss

freiwillig,
f�r einen bestimmten Fall,
in informierter Weise,
durch eine unmissverst�ndliche Willensbekundung und
als eindeutige best�tigende Handlung,
mit Hinweis auf eine Widerrufsm�glichkeit

ausgestaltet sein. Wichtig ist hier, die eindeutige best�tigende Handlung, also die proaktive Zustimmung als "Opt-In". Unternehmen sollten auf ihrer Webseite daher genau beachten, dass der/die InternetnutzerIn konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen "Zustimmen"-Button, einwilligt. Voreingestellt gesetzte H�kchen sind unzul�ssig.

Banner-Inhalt: Inhaltlich m�ssen NutzerInnen �ber die jederzeitige Widerrufsm�glichkeit der Einwilligung aufgekl�rt werden. Au�erdem m�ssen sie �ber die Zwecke der Cookies informiert werden. Eine Verlinkung zum Impressum und der Datenschutzerkl�rung sollten Teil des Banners sein. Diese Informationen m�ssen transparent und in verst�ndlicher Weise zug�nglich sein.

Zur Freiwilligkeit: Was die Freiwilligkeit angeht, ist noch nicht abschlie�end gekl�rt, in welchem Umfang es zul�ssig ist, den/die NutzerIn durch gezielte Gestaltung des Cookie-Banners zu beeinflussen - Stichwort: Nudging bzw. Dark Patterns. In diesem Zusammenhang gilt zumindest, dass die Ablehnung grunds�tzlich nicht umst�ndlicher sein darf als die Annahme von Cookies.

Aus dem Whitepaper 'Cookie-Banner: Leitfaden zur sachgerechten Umsetzung'

Bild: SRD Rechtsanw�lte

Bannergestaltung: Es empfiehlt sich, als risikoarme Gestaltung, gleichwertige Schaltfl�chen im Cookie-Banner zu integrieren, wobei die Zustimmung, die individuelle Anpassung und die Ablehnung auf erster Ebene ausw�hlbar sein sollten (Drei-Button-Ausgestaltung). Hinsichtlich der Hervorhebung einzelner Button, wie z.B. dem Zustimmen-Button, sind aktuell wohl noch moderate Hervorhebungen und Designanpassungen m�glich, jedoch variieren hier die Ansichten der Aufsichtsbeh�rden, sodass Zur�ckhaltung geboten ist. Innerhalb der Details sollte dem/der NutzerIn die separate M�glichkeit gegeben werden �ber spezifische Cookies zu entscheiden. Andere Designm�glichkeiten als die Drei-Button-Gestaltung sind zumindest aktuell noch m�glich. Geplant ist, seitens der Datenschutzkonferenz und der Aufsichtsbeh�rden, eine Verlautbarung, die die Vorgaben an Cookie-Banner-Gestaltungen vereinheitlichen sollen. Es erscheint sehr wahrscheinlich, dass dabei ein Ablehnen-Button auf der ersten Ebene des Cookie-Banners gefordert werden wird, sodass es jetzt schon sinnvoll ist, das Banner so zu gestalten.

Apps & mobile Versionen: Unternehmen, die ihre Dienste in Form von Apps oder einer mobilen Webseiten-Version anbieten, sollten auf die optische Anpassung in Form von Schriftgr��e und Kompatibilit�t mit dem Endger�t achten, um keine unsch�nen �berlappungen o.�. zu erzeugen. Das Banner sollte maximal 50 Prozent des Bildschirms bedecken. Au�erdem muss beim ersten Starten der App die Cookie-Einwilligung abgefragt werden. Abfragen der technischen Zugriffsberechtigung, wie z.B. die Frage nach dem Zugriff auf die Kamera, oder die Kontakte, erf�llen nicht die Anforderungen an eine Einwilligung nach der DSGVO, da vor allem die Bestimmtheit und die Informationspflichten unterlaufen werden.

Zur Dauer: Auch f�r die wiederholte Abfrage der Einwilligung haben sich gewisse Standards herauskristallisiert. Eine Speicherung der Einwilligung sollte f�r mindestens sechs Monate erfolgen, zumindest aber sollte eine dauernd wiederholte Abfrage unterlassen werden.

Ausnahmen und offene Fragen

Von der Einwilligungspflicht gibt es Ausnahmen, die sich in � 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann obsolet, wenn die Cookies ausschlie�lich zur �bertragung einer Nachricht �ber ein �ffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.

Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben auch weiterhin bestehen und werden durch das TTDSG nicht gel�st. Notwendige Cookies sind f�r den Betrieb der Webseite unbedingt (technisch) erforderlich und erm�glichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten F�llen als optional betrachtet werden. Beispiele f�r solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.

Einwilligungsassistenz mit Personal Information Management-Systemen (PIMS)

Das TTDSG erm�glicht die Einwilligungsverwaltung durch anerkannte Dienste, sog. PIMS. Diese Dienste sind Einwilligungsassistenten und eine benutzerfreundliche Unterst�tzung f�r Cookie-Einwilligungen. Sie schaffen die M�glichkeit f�r NutzerInnen ihre personenbezogenen Daten per Dashboard einsehen zu k�nnen, zu verwalten sowie mit anderen Webseiten zu teilen. Vor allem nach letzterem sehnen sich viele Nutzer:innen, da so nicht bei jedem Aufruf einer Webseite erneut ein Cookie-Banner erscheint, sondern die Einstellungen �bernommen werden k�nnen. F�r den Einsatz eines PIMS bedarf es der Anerkennung durch eine unabh�ngige Stelle. Wann mit den ersten Eins�tzen zu rechnen ist, ist derzeit noch nicht absehbar, da es noch einer entsprechenden Rechtsverordnung bedarf.

Checkliste: Wie gestalten Sie Cookie-Banner rechtssicher?

Machen Sie eine Bestandsaufnahme aller aktuell verwendeten Cookies oder �hnlicher Technologien.
Kategorisieren Sie die vorhandenen und einzurichtenden Cookies danach, ob eine Einwilligung erforderlich ist, oder ob eine Ausnahme eingreift - Beachten Sie, dass im Einzelnen nicht klar ist, wann eine Ausnahme vorliegt.
F�r den Fall, dass ein Einwilligungsmanagement zum Einsatz kommen soll, muss es vorher von einer unabh�ngigen Stelle anerkannt werden. In diesem Rahmen muss noch eine entsprechende Rechtsverordnung determiniert werden, sodass mit den ersten Eins�tzen erst gegen Ende 2022 zu rechnen ist.
Je �bersichtlicher ein Cookie-Banner ist, desto angenehmer ist es f�r den/die NutzerIn: erstellen Sie gleichwertige Schaltfl�chen f�r die Zustimmung, die Ablehnung und individuelle Cookie-Einstellungen. Eine moderate Hervorhebung des Zustimmen-Buttons ist noch m�glich. Weitere Rechtsentwicklungen sind jedoch abzuwarten.
Weisen Sie auf die Widerrufsm�glichkeit, das Impressum und die Datenschutzerkl�rung hin.
Wenn Cookies zum Einsatz kommen, �berpr�fen Sie die damit verbundenen Verarbeitungen nach ihrer DSGVO-Konformit�t.
Beachten Sie die restlichen TTDSG Vorschriften, wie die Vorschriften zum Jugendschutz.

Rechtliche Konsequenzen

Unternehmen, die in den Anwendungsbereich des TTDSG fallen, m�ssen sich an die Cookie-Regelungen halten. Andernfalls droht nach dem TTDSG ein Bu�geld, das mit bis zu 300.000 Euro geahndet werden kann. Daneben sind auch DSGVO-Bu�gelder denkbar, die im Einzelfall noch deutlich h�her ausfallen k�nnen.

Bild: SCH�RMANN ROSENTHAL DREYER

�ber die AutorInnen: Kathrin Sch�rmann ist Partnerin der Technologiekanzlei Sch�rmann Rosenthal Dreyer und spezialisierte Rechtsanw�ltin f�r Datenschutz- und IT-Recht. Ein Fokus ihrer beratenden T�tigkeit liegt in den Bereichen Digital Business, Technologie und Medien. Bei der ISiCO Datenschutz GmbH , einem Beratungsunternehmen f�r Datenschutz, Compliance, Zertifizierung und Informationssicherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung.

Bild: SRD Rechtsanw�lte

Thorsten Mehl ist Rechtsanwalt der Technologiekanzlei und spezialisiert auf das Datenschutzrecht, Wettbewerbsrecht, Marketing, Vertrieb, IT-Recht und Digitales Business.

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Maximilian Spies

Maximilian Spies (O/D Group)

Von den Daten zum Deal: Personalisierte Printkampagnen f�r mehr Erfolg

Unternehmen aus den verschiedensten Branchen nutzen bereits personalisierte Printkampagnen, um ihre Kunden zu begeistern und die Wertzuw�chse zu steigern. In einem Use Case zeigen wir Ihnen, wie Sie durch die Kombination von Kundendaten und programmatischem Print Ihre Marketingbotschaft individualisieren und so Ihre Conversion Rate erh�hen. Ich zeigen Ihnen, wie Sie Ihre Kunden in den Mittelpunkt stellen und Ihre Marketingziele erreichen.

Die Zukunft des Printmarketings ist personalisiert und datengetrieben. M�chten Sie Teil dieser Entwicklung sein? In diesem Webcast gehen wir auf die Herausforderungen ein, die bei der Umsetzung auftreten k�nnen, und besprechen praxiserprobte Wege. Ich freue mich auf Sie!

Vortrag im Rahmen der Transformation des Handels am 15.10.24, 14:00 Uhr

eBakery

Die eCommerce Agentur f�r Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …