Neue gesetzliche Regeln, die noch vor dem Jahreswechsel rechtliche Wirkung entfalten, haben auch Konsequenzen für die Webseiten der Kanzleien beziehungsweise Unternehmen.
Am 1. Dezember 2021 tritt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Mit § 25 TTDSG gilt in Deutschland dann erstmalig eine ausdrückliche gesetzliche Regelung zur Zulässigkeit der Verwendung von Cookies und ähnlichen Verfahren. Eine rechtswidrige Verwendung von Cookies wird durch das TTDSG zur Ordnungswidrigkeit erklärt. Doch schon aufgrund der bisherigen Rechtslage wurden 2021 diverse Betreiber von Websites durch den Verbraucherzentrale Bundesverband e.V. wegen rechtswidriger Cookie-Banner abgemahnt.
Cookies grundsätzlich nur nach Einwilligung
Cookies sind kleine Textdateien mit Informationen, die auf der Festplatte oder einem sonstiges Speichermedium des Endgerät gespeichert und später von dort wieder ausgelesen werden. Nach § 25 Abs. 1 TTDSG ist die Speicherung von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf die dort gespeicherten Informationen nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen hierzu eingewilligt hat. Betroffen ist neben Cookies jedes andere Verfahren, wie zum Beispiel local storage, das dazu dient, Informationen auf dem Endgerät zu speichern und von dort wieder auszulesen. Mit der Speicherung der Informationen wird in die Privatsphäre des Nutzers eingegriffen, zu der auch das Speichermedium seines Endgeräts zählt. § 25 TTDSG orientiert sich eng am Wortlaut der zuvor nie unmittelbar ins deutsche Recht umgesetzten Regelung des Art. 5 Abs. 3 der europäischen ePrivacy-Richtlinie. Die bislang noch geführte Diskussion zum Erfordernis einer Einwilligung wird durch die TTDSG daher grundsätzlich beendet. In der Regel ist danach kein Einsatz eines Cookies ohne Einwilligung des Nutzers zulässig.
Keine Regel ohne Ausnahme
Ausnahmen vom Erfordernis der Einwilligung liegen nach § 25 Abs. 2 TTDSG nur vor, wenn der Cookie entweder die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsdienstnetz ermöglicht oder – für den Betreiber von Websites relevant – erforderlich ist, um dem Nutzer eine von ihm ausdrücklich gewünschte Funktion zur Verfügung stellen zu können. Nach der Gesetzesbegründung zum TTDSG muss der Cookie technisch erforderlich sein. Danach wäre ein Cookie, der zwingend und ausschließlich der Darstellung oder der Funktionalität der Webseite dient, erforderlich im Sinne der Norm. In der Regel benötigen daher zum Beispiel Cookies für den Warenkorb eines Onlineshops, mehrseitige Online-Formulare, die Auswahl der Sprache, die Authentifizierung (Login) auf einer Website oder in einer App sowie nutzerorientierte Sicherheitscookies keine Einwilligung. Ein Cookie für rein statistische oder Werbezwecke ist hingegen – zumindest technisch – nicht erforderlich, um die vom Nutzer besuchte Seite anzeigen zu können oder die gewünschte Funktion zu ermöglichen und bedarf regelmäßig einer vorherigen Einwilligung.
Die Kunst der wirksamen Einwilligung
Die Voraussetzungen für eine wirksame Einwilligung zur Verwendung von Cookies ergeben sich aus den Regelungen der DSGVO in Art. 4 Nr. 11, Art. 7. Danach hat eine wirksame Einwilligung freiwillig für den bestimmten Fall, in informierter Weise und durch eine unmissverständlich abgegebene Willensbekundung zu erfolgen. Der Nutzer ist bereits vor Abgabe seiner Einwilligung ausdrücklich auf sein Recht zum jederzeitigen Widerruf einer einmal erteilten Einwilligung hinzuweisen und er muss selbstverständlich auch die Möglichkeit haben, die Einwilligung zu verweigern. Somit kann – entgegen der unzutreffenden Feststellung vieler Cookie-Banner – allein das Verweilen des Nutzers auf einer Webseite keine wirksame Einwilligung darstellen. Es fehlt hier an einer unmissverständlichen Willensbekundung des Nutzers hinsichtlich des Einsatzes von Cookies. Gleiches gilt im Fall von bereits vorangekreuzten Kästchen (Checkboxen) zur Einholung von Einwilligungen, die ebenso nicht zu einer wirksamen Einwilligung führen können.
Consent-Management-Plattformen
Auf zunehmend mehr Websites wird inzwischen statt eines Cookie-Banners eine sogenannten Consent-Management-Plattform (CMP) verwendet, die als Fenster bei Aufruf der Seite erscheint. Mit dieser soll die Einwilligung des Nutzers durch Klicks auf Buttons und Checkboxen eingeholt und sichergestellt werden, dass nur solche Cookies zum Einsatz kommen, für die die Einwilligung bereits erteilt wurde. Allein die Verwendung eines solchen Tools garantiert jedoch noch keine wirksame Einwilligung beziehungsweise zulässige Verwendung der Cookies, wenn insbesondere die dem Nutzer hier erteilten Informationen unzureichend sind oder das Tool technisch falsch konfiguriert wurde. Im Cookie-Banner oder auf der ersten Oberfläche der CMP sollten dem Nutzer bereits sämtliche Informationen zu den Cookies in Kurzform erteilt werden. Dies umfasst zum einen, welche Zwecke mit den eingesetzten Cookies verfolgt werden sowie durch wen die für diese Zwecke erhobenen Daten verarbeitet werden. Weiter sollte bereits hier darüber informiert werden, ob die Daten des Nutzers an Dritte weitergegeben oder auch in Drittstaaten außerhalb der EU übermittelt werden. Der Hinweis auf das Recht des Nutzers zum jederzeitigen Widerruf seiner Einwilligung darf an dieser Stelle nicht fehlen. Die weiteren von der DSGVO geforderten Informationen finden sich dann in der Datenschutzerklärung des Verantwortlichen, zu der der Nutzer über einen Link im Cookie-Banner oder der CMP gelangen kann.
Offenlegung der Zwecke von Cookies
Zwecke der Verarbeitung personenbezogener Daten mit Hilfe von Cookies sind häufig etwa die Erstellung von Statistiken zur Nutzung der Website oder auch personalisierte Werbung mit Bildung von Nutzungsprofilen. Sämtliche Zwecke sind dem Nutzer nachvollziehbar offenzulegen. Ein Informationstext, der zum Beispiel beschränkt ist auf: „Wir verwenden Cookies, um Ihnen ein aufregendes Einkaufserlebnis zu ermöglichen“, enthält keine der erforderlichen Informationen. Die so eingeholte Einwilligung wäre mangels ausreichender Information des Nutzers unwirksam. Problematisch ist es zudem, wenn sich aus Informationstext und/oder Beschriftung der Button nicht zweifelsfrei ergibt, in was der Nutzer eigentlich einwilligt. Ein Button mit der schlichten Beschriftung „Okay“ wird hier zum Beispiel – je nach Informationstext – häufig großen Interpretationsspielraum hinsichtlich des Erklärungsinhalts offenlassen. Bei der Konfiguration der CMP ist schließlich sicherzustellen, dass die Konsequenzen der erteilten Einwilligungen oder Ablehnungen – insbesondere bei selektiver Einwilligung entsprechend der Zwecke der Cookies – technisch richtig umgesetzt werden und somit nachweisbar keine Cookies ohne die entsprechende Einwilligung vom System gesetzt werden können.
Nudging – der „Trick“ mit dem grünen Button
Häufig ist bei der Gestaltung der Oberfläche einer CMP ein sogenanntes Nudging zu beobachten, mit dem der Nutzer zur Erteilung der Einwilligung bewegt werden soll. In der Regel wird hierbei dem Nutzer im Banner oder auf der ersten Ebene der CMP ein großer grüner Button für die Erteilung der Einwilligung geboten; die Buttons oder Links für die Ablehnung oder die Möglichkeit für eine Auswahl der Cookies sind dagegen viel weniger offensichtlich auffindbar. Wird dem Nutzer auf diese Art und Weise seine Ablehnung zu sehr erschwert, stellt sich die Frage, ob die Einwilligung durch Klick auf den grünen Button denn tatsächlich noch freiwillig erteilt wurde. Eine derartige Gestaltung kann sich bezüglich der Wirksamkeit der Erteilung der Einwilligung zumindest im rechtlichen Graubereich bewegen.
Handlungsdruck auch aufgrund neuer Sanktionsmöglichkeiten
Die neuen Regelungen des TTDSG führen zu einer höheren Rechtssicherheit bei der Verwendung von Cookies, eröffnen aber zum Teil auch neue Sanktionsmöglichkeiten bei unzulässiger Verwendung. Diese kann als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000 Euro geahndet werden. Auch das Risiko einer Abmahnung durch Verbände und Wettbewerber steigt. Als Verwender von Cookies auf Websites sollten Betreiber jetzt noch einmal überprüfen, ob für diese Einwilligungen eingeholt werden müssen und ob ihr Prozess zur Einholung der Einwilligung tatsächlich geeignet ist, eine rechtlich wirksame Einwilligung einzuholen. In Zweifelsfällen sollte ein geeigneter Berater hierzu konsultiert werden.
