Gesetz hat Auswirkungen auf die Verwendung von Cookies und anderen Drittdiensten
Seit dem 1. Dezember 2021 gilt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Dieser Beitrag beleuchtet insbesondere die Auswirkungen des TTDSG auf die Verwendung von Cookies und anderen Drittdiensten auf Websites.
§ 25 TTDSG enthält spezielle Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten und Telemediendiensten. Er genießt damit Anwendungsvorrang vor den vorhandenen Regeln im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) zum Datenschutz und teilweise auch vor der Datenschutzgrundverordnung (DSGVO).
Vor allem vom neuen Gesetz betroffen: das Setzen und Auslesen von Cookies
Unter der Bezeichnung „Schutz der Privatsphäre der Endeinrichtung“ betrifft § 25 TTDSG das bislang umstrittene Setzen und Auslesen von Informationen im Endgerät des Nutzers und damit vor allem das von einwilligungsbedürftigen und nicht-einwilligungsbedürftigen aber „unbedingt erforderlichen“ Cookies. Das Setzen von Cookies ermöglicht eine Nachverfolgbarkeit der Aktivitäten des Nutzers, das sogenannte Tracking. Die seit dem Urteil des EuGH in der Fachwelt gängige Unterscheidung in „technisch notwendige“ und „technisch nicht-notwendige“ Cookies lebt also weiter.
Device-Fingerprinting könnte auch unter § 25 TTDSG fallen
Da die Formulierung des § 25 TTDSG aber auch das reine Auslesen von im Endgerät gespeicherten Informationen betrifft, könnte hiervon künftig auch ein „cookieähnlicher“ Tracking-Mechanismus betroffen sein, nämlich das sogenannte Device-Fingerprinting. Dabei erfolgen die Individualisierung und das Tracking des Nutzers anhand von im Rahmen der Browser-Anfrage automatisch übermittelten technischen Informationen des Endgeräts, wie Browser-Versionsnummer, verwendeter Hardware usw. Ein Device-Fingerprinting wird beispielweise beim Webanalyse-Tool Matomo eingesetzt, sofern der Website-Betreiber auf das Setzen von Matomo-Cookies verzichtet hat.
Umgang und Weitergabe von Daten an eingebundene Drittanbieter wie YouTube oder Google-Maps
Wünschenswert wäre aus unserer Sicht gewesen, dass mit dem TTDSG auch der Umgang mit alternativen Tracking-Mechanismen und die ungefragte Weitergabe von personenbezogenen Daten an eingebundene Drittanbieter auf der Website wie z.B. YouTube- oder Google-Maps ausdrücklich geregelt werden. Ausdrücklich ist das aus unserer Sicht nicht der Fall, wir halten diese Datenverarbeitung aufgrund des mangelnden Einflusses des Nutzers aber weiterhin für einwilligungsbedürftig.
Praxisrelevanz des § 25 TTDSG
Große Praxisrelevanz hat der § 25 TTDSG somit beim Einsatz von Cookies und bei der Einbindung von Drittdiensten auf Websites wie beispielsweise Fonts, Consent-Management-Tools, Videoplattformen, Karten oder Bezahldiensten. Die Aufsichtsbehörden haben es aufgrund der unsicheren Rechtslage bislang toleriert, dass Datenverarbeitungen im Zusammenhang mit dem Einsatz von Cookies und durch eingebundene Drittdienstleister unter engen Voraussetzungen auch auf Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden können, – also bei einem die Nutzerinteressen überwiegenden berechtigten Interesse des Betreibers. Damit ist jetzt Schluss!
Einwilligung ist die Regel
Grundsätzlich ist nach § 25 Abs. 1 S. 1 TTDSG die Einwilligung für das Speichern oder Auslesen von Informationen im Endgerät des Nutzers erforderlich. In Hinblick auf die formalen und inhaltlichen Voraussetzungen der Information und der Einwilligung des Nutzers wird auf die DS-GVO verwiesen. Es gelten also die bekannten Voraussetzungen.
Zwei Ausnahmen vom Einwilligungserfordernis
§ 25 Abs. 2 TTDSG regelt zwei Ausnahmen vom Einwilligungserfordernis:
- die Speicherung von Informationen auf Endeinrichtungen zum Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz und
- die Speicherung von oder der Zugriff auf Daten, die für Telemedienanbieter unbedingt erforderlich sind, um Nutzer*innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.
Hohe Bußgelder bei Verstoß gegen das TTDSG
Erwähnenswert ist noch, dass § 28 TTDSG eine eigene Bußgeldvorschrift enthält. Ein Verstoß gegen die Einwilligungspflicht aus § 25 Abs. 1 TTDSG kann damit beispielsweise mit einer Geldbuße von bis zu 300.000 EUR geahndet werden.
Handlungsempfehlungen
Websitebetreiber sollten prüfen, ob auf ihren Websites Cookies oder andere Dienste, die auf im Endgerät des/der Nutzers*in gespeicherte Informationen zugreifen, ohne eine wirksame Einwilligung eingesetzt werden. Sollte dies der Fall sein, ist weiter zu klären, ob es sich um Cookies oder Dienste handelt, für die eine Ausnahmeregelung greift, die vor allem für den Betrieb „unbedingt erforderlich“ sind. Bei Unsicherheiten in Bezug auf diese rechtliche Bewertung sollte der Cookie oder der Drittdienst bis zur Klärung deaktiviert werden.
Sollten Sie Hilfe bei der datenschutzrechtlichen Optimierung Ihrer Website benötigen, zögern Sie bitte nicht, uns anzusprechen.
