Cookie Consent Layer an oder aus?

Ohne eine gesetzliche Übergangsfrist ist bereits am 01.12.2021 ein das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Eine erste Übersicht zum TTDSG und einige Handlungsempfehlungen.

Zerbrochener-Keks-55938628-AS-weatZerbrochener-Keks-55938628-AS-weatweat – stock.adobe.com

Ein Beitrag von Stephan Michaelis, Rechtsanwalt der Kanzlei Michaelis Rechtsanwälte und Diplom-Ingenieur Harald Müller-Delius, Datenschutzbeauftragter der Kanzlei Michaelis Rechtsanwälte.

Sie werden feststellen, dass es sich in erster Linie um ein technisches Problem handelt, welches der künftigen gesetzlichen Regelung anzupassen ist. Sprechen Sie also Ihren Systemadministrator auf die nachfolgende Problematik an, dieser kann durch die zu verändernde technische Einstellung dann auch zügig die neuen rechtlichen Rahmenbedingungen erfüllen.

Mit dem TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz oder „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“) tritt nicht nur eine kreative Wortschöpfung, sondern auch ein – aus Sicht von vielen Juristen – handwerklich und fachlich nicht ganz souveränes Gesetz in Kraft. Und das leider ohne Übergangsfrist.

Das Gute vorweg: Wer vorher schon alles richtig gemacht hat, für den gibt es nicht sonderlich viele Neuerungen. In erster Linie ist das Gesetz auch für Unternehmen der Telekommunikationsbranche und „On-Top“-Dienste, also beispielsweise Twitter, WhatsApp & Co., von Interesse. Vor allem das Marktort-Prinzip wird für große Anbieter von Telemedien oder On-Top-Diensten ein paar Extraklimmzüge bedeuten.

Der Geltungsbereich in § 2 Abs. 2 TTDSG wird wie folgt definiert:

Anbieter von Telemedien ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.

Also auch alle gewerblichen Website-Betreiber. Bestimmt haben Sie auch eine eigene Website?

Eigentliches Ziel des TTDSG ist, eine Zusammenführung der bisherigen Gesetze aus TMG (Telemediengesetz), TKG (Telekommunikationsgesetz) und der DSGVO zu schaffen. Zumindest, bis die europäische ePrivacy-Verordnung in Kraft tritt. So hat der Gesetzgeber noch auf die Schnelle versucht, vor der Bundestagswahl eine drohende Lücke zu schließen.

Wo wird das TTDSG nun für Unternehmen interessant?

Zum einen bewahrheitet sich der Grundsatz, das private Surfen und Mailen von Mitarbeitern auf betrieblich genutzter IT grundsätzlich zu verbieten. Dann fällt man als Unternehmer möglicherweise auch gar nicht unter das TKG.

Praktische Anwendung findet das TTDSG aber bei allen Onlineaktivitäten der Unternehmen, insbesondere bei der Einwilligungspflicht in Cookies und vergleichbare Techniken.

Und hier findet im Vergleich zur bisherigen gesetzlichen Grundlage aus § 15 Abs. 3 TMG der neue § 25 TTDSG Anwendung:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

Das wirklich Spannende und Neue hierbei ist der Begriff: Endeinrichtung. Damit ist nun eben nicht mehr nur der Browser gemeint, sondern technologieneutral alles, was an Technik für Onlineaktivitäten seitens eines Endanwenders genutzt werden kann. Also auch: Smartphone, Kfz, SmartTV, SmartHome, SmartMeter, IoT, Fitnesstracker et cetera. Und die Einwilligung greift auf Art. 7 DSGVO und ErwgGr. 32 zurück, was der Form und der Gültigkeit der Einwilligung einen Rahmen setzt.

Das TTDSG setzt allerdings der DSGVO noch einen drauf: Es geht nicht nur um personenbezogene Daten, sondern auch alle möglichen weiteren durch den Nutzer generierten Daten, also beispielsweise Messwerte, Fingerprinting-Daten et cetera.

Zudem gibt es in § 28 einen eigenen Bußgeldkatalog nach TTDSG. Der ist zwar mit maximal 300.000 Euro erheblich geringer als bei der DSGVO, wird aber bei Verstoß gegen die Verarbeitung personenbezogener Daten zusätzlich zum Bußgeld nach DSGVO herangezogen. Das senkt die Hürde für Bußgelder bei fehlerhaften Cookie Consent Layern erheblich, da nicht unbedingt mehr der Datenschutzverstoß maßgeblich ist.

Da sehr leicht von extern zu kontrollieren ist, ob die Cookie-Einwilligung korrekt nach TTDSG umgesetzt ist, droht es hier sehr leicht, Opfer eines Abmahnverfahrens zu werden.

Die Hürden sind wesentlich geringer als bei der DSGVO. Der österreichische Datenschutzaktivist Schrems hat bereits seit Längerem Sammelklagen gegen intransparente Cookie Consent Layer am Laufen. Die TTDSG würde hier durch die Festlegung der formalen Kriterien ab dem 01.12.21 ganz schnell kurzen Prozess machen.

Was muss ich nun bei der Internetseite tun?

Das große To-do in Bezug auf das TTDSG für Unternehmen heißt: Cookie Consent Layer. Der bisherige Einsatz ist nun unbedingt bis zum 01.12.2021 zu prüfen, da keine Übergangsfrist besteht. Das TTDSG hat auf alle Fälle wesentlich mehr Abmahnpotenzial als die DSGVO!

1. Es ist eine formal korrekte Einwilligung nach Art. 7 DSGVO einzuholen (hier also insbesondere die Informationspflichten und die aktive Einwilligung beachten).
2. Die technische Umsetzung ist korrekt vorzunehmen (also Einbetten von Scripts, Tracking- und Marketing-Tools, Speichern personenbezogener Daten oder sessionübergreifender Informationen in Cookies, Informationen für Werbenetzwerke et cetera erst NACH der erfolgten Einwilligung).
3. Prüfen auf technische Notwendigkeit: Für Cookies, die technisch unbedingt notwendig zum Betrieb des Telemedienangebotes sind, benötigt es keine Einwilligung. Dies ist jedoch im Einzelfall genau zu prüfen, typische Ausnahmen wären Session-Cookies und Warenkorb-Cookies.
4. Transparenz bei der Gestaltung: Zum Einen muss es ebenso leicht abzuwählen wie anzuwählen sein. Optisch verstecktes Opt-out wird nicht funktionieren und farblich hervorgehobene „Zustimmen“-Buttons wären unzulässig. Auch ist strittig, ob das Deaktivieren von „25“ (vielen) einzelnen Tools zur Transparenz beiträgt.

Idealerweise umfasst der Cookie Consent Layer also nur die drei Optionen „Technisch notwendig“, „Analyse- und TrackingTools“, „Marketing- und Werbetools“, die dann summierend alle Dienste aktivieren oder deaktivieren. Genannt werden müssen alle Dienste aber selbstverständlich, damit sich der Nutzer informieren kann. Also kurz gesagt: Prüfen Sie nochmals die Implementierung Ihres Cookie Consent Layers und ob das ein oder andere Tool auch wirklich notwendig ist.

Kleine Idee aus der Technikkiste von Herrn Müller-Delius: Eine Website-Statistik kann man sich mit gängigen Tools auch per anonymisierten Server-Logfiles einholen, und das ganz ohne Cookie Consent Layer und Datenschutzverrenkung.

Sollten Sie eines der gängigen Tools für den Cookie Layer einsetzen, sollte die Umsetzung aber auch schon an das TTDSG angepasst sein.

Und sonst noch?

Anbei bemerkt sei noch, dass das TTDSG auch noch weitere Sachverhalte regelt. Als Beispiel sei genannt, dass das Fernmeldegeheimnis nun auch das Erbe eines Onlinenachlasses regelt und neue Regelungen zur Rufnummerunterdrückung stattfinden. Interessant womöglich für alle Callcenter- und Akquisetätigkeiten.

Der Ausblick

Das TTDSG ist ganz klar nur eine juristische Zwischenlösung als Reaktion auf die BGH-Urteile, bis die ePrivacy-Verordnung in Kraft tritt. Da aber der Gesetzgeber nun auf die Schnelle eine nationale Zwischenlösung geschaffen hat, gilt es erst einmal, das Geflecht aus TMG, TKG, TTDSG und DSGVO zu entschlüsseln. Insbesondere die Definition der Begrifflichkeiten ist juristisches Abenteuer genug.

Und was dann passieren soll, wenn perspektivisch die ePrivacy-Verordnung als europäische Gesamtlösung in Kraft tritt und damit noch mehr vernetzte Regelungen über die bestehenden Gesetze ausgeschüttet werden, bleibt abzuwarten. Aber vor 2023 wird das nicht der Fall sein und bis dahin mag ja eine spannende, einheitliche, verständliche Lösung gefunden sein?

Fazit

Leiten Sie diese Nachricht einfach an den Systemadministrator Ihrer Internetseite weiter. Fragen Sie ihn konkret, ob die vorhandenen Einstellungen des Cookie Consent Layers den neuen künftigen gesetzlichen Rahmenregelungen entsprechen. Lassen Sie sich dies am besten auch bestätigen. Sollten Sie sich nicht sicher sein, dann sollten Sie entsprechende Dienste oder Techniken auf Ihrer Website vorerst abschalten und damit würden die Voraussetzungen für den Cookie Consent Layer entfallen. Jedenfalls können Sie so eine plötzliche, unerwünschte Abmahnung vermeiden.

Nach erfolgter Anpassung Ihres Cookie Consent Layers gemäß den vier vorangegangenen Tipps sollten Sie aber auch die neuen rechtlichen Rahmenbedingungen des TTDSG erfüllen.

LESEN SIE AUCH

Datenschutz-Urteil BGH FacebookDatenschutz-Urteil BGH FacebookDer bloße Kontroll-Verlust über personenbezogene Daten kann einen immateriellen Schadensersatzanspruch begründen, so der Bundesgerichtshof (BGH).ChristophMeinersmann / pixabayDatenschutz-Urteil BGH FacebookDer bloße Kontroll-Verlust über personenbezogene Daten kann einen immateriellen Schadensersatzanspruch begründen, so der Bundesgerichtshof (BGH).ChristophMeinersmann / pixabay
Recht

BGH: Datenschutzverstoß bei Facebook führt zu Schadensersatzanspruch

Der bloße Kontroll-Verlust über personenbezogene Daten kann einen immateriellen Schadensersatzanspruch begründen, so der Bundesgerichtshof (BGH).

Mann schützt Daten mit HändenMann schützt Daten mit Händenlensw0rld – stock.adobe.comMann schützt Daten mit Händenlensw0rld – stock.adobe.com
Digitalisierung

Datenschutzstrafen für Unternehmen auf Rekordhöhe

1,22 Milliarden Euro an Strafen mussten Unternehmen in der EU im vergangenen Jahr wegen Datenschutzverstößen bezahlen. 1 Es ist ein neuer Rekordwert, der eindrucksvolles Indiz für einen Trend ist: Die Interessen von Unternehmen und Konsumenten, sensible Daten und Cyberinfrastrukturen zu schützen, konvergieren immer mehr.
UI creative designer designing wireframe layout for responsive mobile smartphone applicationUI creative designer designing wireframe layout for responsive mobile smartphone applicationbongkarn – stock.adobe.comUI creative designer designing wireframe layout for responsive mobile smartphone applicationbongkarn – stock.adobe.com
Digitalisierung

App-solut datenschutzkonform

Egal ob bei Firmen, speziellen Interessengruppen oder der öffentlichen Hand, Apps gewinnen zunehmend an Bedeutung. Schließlich können durch eine native, mobile Anwendungssoftware nicht nur bestehende Kunden, Mitarbeiter und Geschäftspartner aktiviert werden, sondern auch neue smartphoneaffine Zielgruppen. Und mehr noch: Apps beeinflussen mittlerweile auch Abläufe in der Geschäftswelt.
Impressum-Bleisatz-35575007-AS-Goss-VitalijImpressum-Bleisatz-35575007-AS-Goss-VitalijGoss Vitalij – stock.adobe.comImpressum-Bleisatz-35575007-AS-Goss-VitalijGoss Vitalij – stock.adobe.com
Recht

Neuer Medienstaatsvertrag ersetzt Rundfunkstaatsvertrag

Mit dem Inkrafttreten des Medienstaatsvertrags (MStV) am 07.11.2020 ist der längst veraltete und bis dahin geltende Rundfunkstaatsvertrag (RStV) von 1991 ersetzt worden. Rechtsanwältin Riccarda-Katharina Graul informiert über die wichtigsten Änderungen.
Mann-Frau-High-Five-1600880292203-US-krakenimagesMann-Frau-High-Five-1600880292203-US-krakenimageskrakenimages – unsplash.comMann-Frau-High-Five-1600880292203-US-krakenimageskrakenimages – unsplash.com
Management

Rechtliche Aspekte bei der Unternehmensgründung

Die Unternehmensgründung ist ein komplexer Prozess, bei dem zahlreiche rechtliche Aspekte beachtet werden müssen. Eine sorgfältige Planung und Beachtung der rechtlichen Rahmenbedingungen können dabei helfen, zukünftige Komplikationen und rechtliche Auseinandersetzungen zu vermeiden.

Recht

Mit Recht gut informiert: Das Kompendium für den Versicherungsmakler

Eine Vertragssammlung für Versicherungsmakler von Rechtsanwalt Stephan Michaelis LL. M. mit über 100 aktuellen Musterdokumenten und -verträgen unter der Berücksichtigung der IDD und DSGVO.

Mehr zum Thema

COGITANDA-Insolvenz: Wie Makler jetzt reagieren sollten, hat Rechtsanwalt Vincent Jacobsen von der Kanzlei Michaelis zusammengestellt.geralt / pixabayCOGITANDA-Insolvenz: Wie Makler jetzt reagieren sollten, hat Rechtsanwalt Vincent Jacobsen von der Kanzlei Michaelis zusammengestellt.geralt / pixabay
Recht

COGITANDA-Insolvenz: Wie Makler jetzt reagieren sollten

COGITANDA-Insolvenz: Wie Makler jetzt reagieren sollten, hat Rechtsanwalt Vincent Jacobsen von der Kanzlei Michaelis zusammengestellt.

Wer trägt eigentlich das finanzielle Risiko bei überhöhten oder fehlerhaften Werkstattrechnungen nach einem Unfall?stux / pixabayWer trägt eigentlich das finanzielle Risiko bei überhöhten oder fehlerhaften Werkstattrechnungen nach einem Unfall?stux / pixabay
Recht

Wer trägt das „Werkstattrisiko“?

Wer trägt eigentlich das finanzielle Risiko bei überhöhten oder fehlerhaften Werkstattrechnungen nach einem Unfall? Rechtsanwalt Fabian Kosch (Kanzlei Michaelis) beleuchtet Entscheidungen des BGH .

annazuc / pixabayannazuc / pixabay
Recht

„Sollte mein Sohn seine Lebensgefährtin heiraten, wird er enterbt!“

Mancher Erblasser will seinen Einfluss auf das Leben seiner Kinder über den Tod hinaus sichern. Ist das noch zulässige elterliche Fürsorge oder illegale Aushöhlung der Eheschließungsfreiheit? Drei aktuelle Urteile bringen Klarheit.

Die Sozialversicherungspflicht von Lehrenden, etwa an Volkshochschulen, bleibt komplex und stark vom Einzelfall abhängig. Das zeigt eine aktuelle Entscheidung des Bundessozialgerichts.Pexels / pixabayDie Sozialversicherungspflicht von Lehrenden, etwa an Volkshochschulen, bleibt komplex und stark vom Einzelfall abhängig. Das zeigt eine aktuelle Entscheidung des Bundessozialgerichts.Pexels / pixabay
Recht

Versicherungspflicht für Lehrer und Dozenten: Einzelfall entscheidet

Die Sozialversicherungspflicht von Lehrenden, etwa an Volkshochschulen, bleibt komplex und stark vom Einzelfall abhängig. Das zeigt eine aktuelle Entscheidung des Bundessozialgerichts.

Banken dürfen ohne aktive Zustimmung keine neuen Entgelte einführen, so der BGH.geralt / pixabayBanken dürfen ohne aktive Zustimmung keine neuen Entgelte einführen, so der BGH.geralt / pixabay
Recht

BGH-Urteil: Banken müssen rechtswidrig erhobene Gebühren erstatten

Banken dürfen ohne aktive Zustimmung keine neuen Entgelte einführen, so der Bundesgerichtshof (BGH).

Der Bundesgerichtshof hat die Haftung von Waschanlagenbetreibern präzisiert.StephanieAlbert / pixabayDer Bundesgerichtshof hat die Haftung von Waschanlagenbetreibern präzisiert.StephanieAlbert / pixabay
Recht

BGH-Urteil: Betreiber haften für Schäden durch Waschanlagen

Der Bundesgerichtshof hat die Haftung von Waschanlagenbetreibern präzisiert. Schäden an serienmäßigen Fahrzeugteilen wie Heckspoilern fallen in deren Verantwortungsbereich.