Neue Cookie-Regelung ab Dezember 2021

Der sogenannte Cookie-Banner ist mittlerweile Standard auf den Webseiten – aber warum muss er eingebaut werden und was ändert sich ab dem 1. Dezember? Mit dem Telekommunikation-Telemedien-Datenschutzgesetz wird der Umgang mit Cookie-Bannern gesetzlich fixiert.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Burst | Unsplash
Lesedauer 3 Minuten

Inhaltsverzeichnis

Was ändert sich an der rechtlichen Situation ab dem 1. Dezember 2021?

Wenn am 1. Dezember das TTDSG in Kraft tritt, soll der Einsatz von Cookie-Bannern an einer Stelle geregelt werden und die Verwirrung aufgrund unterschiedlicher Aussagen in DSGVO, Cookie-Richtlinie und Telemediengesetz beenden. Ab dann ist es gesetzlich vorgeschrieben, dass beim Einsatz von Cookies eine echte und informierte Einwilligung verpflichtend ist. Die Information muss dabei nach den Vorgaben der DSGVO erfolgen. Ausnahmen bilden lediglich technisch unabdingbare Cookies und solche, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen. Der Cookie-Banner mit konkreter Einwilligung durch den Nutzer ist also ab dem 1. Dezember Pflicht! 

Wie wurde der datenschutzkonforme Einsatz bisher geregelt?

Cookie Banner erlauben das Tracking der Nutzer und somit die Anpassung der dargestellten Inhalte, zum Teil auch über die eigene Webseite hinaus. Gesetzlich regeln soll dies in der EU die „Cookie-Richtlinie“. Die von der EU beschlossenen Richtlinien müssen dann in nationales Recht umgesetzt werden. In Deutschland ist dies nicht geschehen, es wurde auf das Telemediengesetz und seit Mai 2018 auf die DSGVO verwiesen. Die wiederum behandeln zwar einzelne Aspekte des Einsatzes von Cookie-Bannern, greifen die Thematik jedoch weder vollständig noch umfassend auf. Während § 15 Abs.3 des TMG so zu interpretieren ist, dass eine gezielte Einwilligung, also ein Opt-in nötig ist, beschränkt sich die DSGVO auf eine entsprechende Umformulierung der Datenschutzerklärung. In selbiger müssen die rechtlichen Grundlagen für das Einsetzen der Cookies benannt werden. Theoretisch hätte gemeinsam mit der DSGVO im Mai 2018 die ePrivacy-Verordnung in Kraft treten sollen, was nach mehreren Verschiebungen (zuletzt im März 2021) immer noch nicht geschehen ist. Konkrete Orientierungspunkte ergaben sich eher aus den Beschlüssen der Datenschutzbehörden und aktuellen Urteilen, wie zum Beispiel 2020, als der Webseitenbetreiber von Planet 49 abgemahnt wurde, weil er durch eine vorab angekreuzte Checkbox die Einwilligung der Nutzer einholen wollte. Sowohl EuGH als auch BGH haben entschieden, das bereits vorgegebene Entscheidungen nicht ausreichend sind und der Nutzer aktiv einen Haken setzen oder über einen Button entscheiden muss. Außerdem wurde im Mai 2020 durch den BGH über das sogenannte Cookie II Urteil entschieden, dass der Einwilligungsvorbehalt für deutsche Betriebe unmittelbar geltendes Recht ist und dass die europarechtliche Erfordernis einer Einwilligung durch die in ihrem Wortlaut nicht eindeutige Regelung des § 15 Abs. 3 TMG in Deutschland umgesetzt wurde. Insbesondere die Ausnahmemöglichkeiten des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie werden dort jedoch unzureichend ausgenutzt.

Welche Maßnahmen müssen Webseitenbetreiber nun ergreifen?

Zunächst einmal müssen der bislang eingesetzte Cookie-Banner und die Datenschutzerklärung überprüft werden. Idealerweise werden sogenannte Cookie-Consent-Tools eingesetzt, die bestimmte Cookies konkret blockieren, solange die Einwilligung durch den Nutzer nicht gegeben wurde. Im Einwilligungstext sollte konkret beschrieben werden, um welche Daten es geht und wofür die Daten genutzt werden. Die Cookie-Warnung sollte beim ersten Aufrufen der Seite erscheinen und vor der Zustimmung dürfen noch keine Daten übertragen werden. Wer seine Nutzer nur noch informiert, aber kein konkrete Zustimmung verlangt, verstößt schon jetzt gegen die Rechtssprechung von BGH und EuGH und ab 1. Dezember 2021 gegen das TTDSG und muss mit empfindlichen Geldstrafen rechnen. Auch der alleinige Hinweis in der Datenschutzerklärung ist nicht ausreichend.

Welche Bußgelder drohen bei einem Verstoß gegen die Cookie-Richtlinie?

Da ein Verstoß fortan als Ordnungswidrigkeit gehändelt wird, können bis zu 300.000 Euro Bußgeld fällig werden.

Personal Information Management Systems als Lösung?

Da die Vielzahl der täglich zu bestätigenden Cookie-Banner die Benutzerfreundlichkeit einschränkt, bietet das TTDSG eine Möglichkeit, selbige zu umgehen. Mit einer zentralen Einwilligungsverwaltung soll Cookie-Banner von Webseiten und Apps verschwinden lassen. Mit Hilfe der PIMS (Personal Information Management Systems) sollen persönliche Informationen verwaltet werden können, so dass nur einmal angegeben werden muss, ob und an welcher Stelle das Setzen von Cookies genehmigt oder verboten werden soll. Das System kann diese Einstellungen dann automatisch webseitenübergreifend umsetzen. Um diese Einwilligungsverwaltung zu ermöglichen, muss von der Bundesregierung eine Verordnung geschaffen werden, in der die Anforderungen an solche Dienste festgelegt werden. Die Datenschutzbehörden sollen für die Prüfung und Zulassung zuständig sein, wirtschaftliche Eigeninteressen von einer Einwilligung in Cookies sind den Betreibern der PIMS untersagt. Es ist jedoch davon auszugehen, dass eine entsprechende Rechtsverordnung nicht innerhalb der nächsten Monate zu erwarten ist. Der Einsatz rechtskonformer Cookie-Banner ist also unerlässlich

Was wird noch im Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) geregelt?

Das TTDSG übernimmt alle den Datenschutz betreffenden Regelungen aus dem Telemedien- und dem Telekommunikationsgesetz. Zusätzlich werden neue Vorschriften aufgenommen, wie zum Beispiel das Verschärfen der Strafen für ungenehmigte Bild- und Tonaufnahmen oder das Unterdrücken der Rufnummer bei Werbeanrufen.

Über den Autor

Miriam Grothe
Miriam Grothe