Die neuen gesetzlichen Regeln zum Datenschutz haben auch Auswirkungen auf die Websites von Unternehmen und Kanzleien.
Seit Inkrafttreten des Telekommunikations-Telemedien- Datenschutz-Gesetzes – kurz TTDSG – Ende 2021 steht nun endlich auch nach geschriebenem deutschen Recht fest, dass sogenannte Cookies in der Regel nur mit Einwilligung des Internet- oder App-Nutzer beziehungsweise der -Nutzerin zulässig sind. Doch das Einholen einer wirksamen Einwilligung ist gar nicht so einfach. Und dabei stellt der Einsatz von Cookies und Co. ohne eine solche Einwilligung nun ausdrücklich eine Ordnungswidrigkeit dar. Auch die Datenschutzkonferenz (DSK) des Bundes und der Länder hat schon kurz nach Inkrafttreten des TTDSG ihre „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, die sich unter anderem an die Verwender von Cookies und Co. wendet, grundlegend überarbeitet. Sie vermittelt, wie die DSK den neuen § 25 TTDSG auslegt und wie ihrer Ansicht nach die erforderlichen Einwilligungen eingeholt werden sollten. Aber der Teufel steckt wie so häufig im Detail.
Keine Cookies ohne Einwilligung
Ganz konkret stellt § 25 Abs. 1 TTDSG fest, dass das Speichern von Informationen im Endgerät eines Nutzers oder der Zugriff auf dort bereits gespeicherte Informationen nur zulässig ist, wenn der Nutzer in informierter Weise zuvor eingewilligt hat. Dieses Speichern und Zugreifen beschreibt die Funktion von Cookies und ähnlichen Technologien, wie zum Beispiel Local Storage. Dabei sind Cookies erst einmal nicht viel mehr als kleine Textdateien, die auf dem Endgerät (PC, Smartphone und so weiter) des Nutzers abgelegt werden. Vereinfacht könnte man sie als Kurzzeitgedächtnis des Internets bezeichnen. Mit ihrer Hilfe wird zum Beispiel die Information verarbeitet, welche Waren der Internetnutzer schon in seinen virtuellen Warenkorb gelegt hat. Auf der anderen Seite kann beispielsweise mithilfe eines gespeicherten Cookies ein Nutzer im Internet wiedererkannt und sein Surfverhalten dort verfolgt werden.
Keine Regel ohne Ausnahme
Ausnahmen vom Erfordernis der Einwilligung bestehen nach § 25 Abs. 2 TTDSG nur, wenn das Speichern oder Auslesen von Informationen entweder die Nachrichtenübertragung über ein öffentliches Telekommunikationsdienstnetz ermöglicht oder – für Websites oder Apps relevant – es technisch erforderlich ist, um dem Nutzer eine von ihm ausdrücklich gewünschte Funktion zur Verfügung stellen zu können. Danach ist also ein Cookie, der einer erwarteten Funktionalität einer vom Nutzer aufgerufenen Website dient, erforderlich im Sinne der Norm. Ein Cookie, der sich Eingaben des Nutzers in ein Online-Formular über mehrere Seiten, den Inhalt des Warenkorbs im Online-Shop oder das erfolgreiche Login des Nutzers im Mitgliederbereich einer Website merkt, benötigt daher keine Einwilligung. Ein Cookie für die Auswertung der Nutzung einer Website (sogenannte Reichweitenmessung) mit Datenweitergabe an einen Dritten, wie etwa Google, oder für die Ausspielung zielgerichteter personalisierter Werbung ist dagegen zwar wirtschaftlich erforderlich aus Sicht des Betreibers der Internetseiten, nicht aber technisch erforderlich aus Sicht des Nutzers.
Die Kunst der wirksamen Einwilligung
Die nach § 25 Abs. 1 TTDSG erforderliche Einwilligung muss vom Nutzer auf der Grundlage von klaren und umfassenden Informationen erteilt werden. Information und Einwilligung haben entsprechend den Vorgaben der DS-GVO (Art. 4 Nr. 11, Art. 7 DS-GVO) zu erfolgen. Danach muss eine wirksame Einwilligung freiwillig für den bestimmten Fall, in informierter Weise und durch eine unmissverständlich abgegebene Willensbekundung erfolgen. Auch wenn immer noch auf vielen Websites die Behauptung aufgestellt wird, allein das Verweilen oder Scrollen des Nutzers auf einer Website sei eine Einwilligung, stellt dieses Verhalten keine eindeutige Willensbekundung und damit keine wirksame Einwilligung dar. Auch ein Button zur Erteilung der Einwilligung mit der schlichten Beschriftung „Okay“ lässt zumeist nicht unmissverständlich erkennen, was der Nutzer mit dem Klick auf den Button eigentlich erklären soll. Damit eine unmissverständliche Einwilligung zur Nutzung von Cookies auf einer Website in informierter Weise erfolgen kann, sollten dem Nutzer die erforderlichen Informationen zu den mit den Cookies verfolgten Zwecken bereits auf der ersten sichtbaren Ebene des Cookie-Banners angezeigt werden. Neben den Zwecken muss schon hier darüber informiert werden, durch wen die Verarbeitung der mithilfe eines Cookies erhobenen Daten erfolgt, ob die personenbezogenen Daten auch an Dritte und ob sie eventuell sogar in Drittstaaten außerhalb der EU – etwa in die USA – übermittelt werden. Der Nutzer ist zudem auf sein Recht zum jederzeitigen Widerruf der von ihm erteilten Einwilligung hinzuweisen. Detailliertere Informationen zu den Cookies und der Verarbeitung personenbezogener Daten sollten sich dann in der Datenschutzerklärung oder einer Cookie-Richtlinie des Seitenbetreibers oder sonstigen Verantwortlichen finden lassen.
Zwecke der Cookies
Die mit einwilligungspflichtigen Cookies verfolgten Zwecke sind zum Beispiel die Erstellung von Nutzungsstatistiken zwecks Optimierung des Online-Angebots oder auch das Markieren eines Nutzers mit einer Cookie- oder User-ID, um ihn für den Zweck personalisierter Werbung im Internet seiten- oder sogar geräteübergreifend wiedererkennen zu können. Derartige Zwecke und die damit verbundene Datenverarbeitung sind dem Nutzer nachvollziehbar offenzulegen. Ein Informationstext, wie zum Beispiel: „Wir verwenden Cookies für ein aufregendes Einkaufserlebnis“, enthält keine der erforderlichen Informationen. Der Nutzer muss seine Einwilligung zudem auch differenziert nach den Zwecken der Cookies erteilen können. Im Gegensatz zur europäischen Datenschutz-Grundverordnung schützt § 25 TTDSG nicht personenbezogene Daten, sondern die Privatsphäre des Nutzers, zu der auch die in dem von ihm verwendeten Endgerät gespeicherten Informationen zählen. Bei einem Cookie, mit dem personenbezogene Daten zum Zweck einer einwilligungspflichtigen Verarbeitung personenbezogene Daten auf der Festplatte des Nutzers gespeichert werden, sind danach DS-GVO- und TTDSG-tangiert. Dies wäre etwa der Fall, wenn der Cookie auf dem Endgerät des Nutzers gespeichert wird, um ein weitreichendes, persönliches Nutzungsprofil aufbauen zu können, das dann auch durch weitere Daten, wie etwa GPS-Standortdaten, angereichert werden könnte. Die beiden hierfür erforderlichen Einwilligungen nach DS-GVO und TTDSG können bei zutreffender Information jedoch mit einer einzigen eindeutig bestätigten Handlung – etwa einem Häkchen in der Checkbox – gebündelt erteilt werden.
Consent-Management-Plattformen
Für die Abfrage der Einwilligungen vertrauen immer mehr Websites auf sogenannte Consent-Management-Plattformen (CMP), mit denen die Einwilligungen der Nutzer getrennt nach den mit den Cookies verfolgten Zwecken eingeholt werden sollen. Eine CMP bietet bei Aufruf der Seite dem Nutzer die erforderlichen Informationen sowie die nötigen granularen Auswahlmöglichkeiten nach Zwecken beziehungsweise die Möglichkeit zur generellen Einwilligung oder Ablehnung der Cookies. Bei richtiger Einbindung einer CMP auf der Website werden nur diejenigen Cookies auf dem Endgerät des Nutzers gesetzt, zu deren Zwecken der Nutzer seine Einwilligung erteilt hat. Aber allein die Verwendung eines solchen Tools garantiert noch keinen rechtskonformen Einsatz eines Cookies. Nicht selten sind die dem Nutzer hier erteilten Informationen unzureichend, immer noch finden sich vorangekreuzte Checkboxen oder das Tool lässt wegen unzutreffender Konfiguration die falschen Cookies zu. Die Rechtmäßigkeit der Datenverarbeitung kann zudem daran scheitern, dass der Nutzer nicht darauf hingewiesen wird, dass seine erteilten Einwilligungen von einem CMP-Anbieter auf Servern in den USA und damit in einem datenschutzrechtlich unsicheren Drittland (USA) verarbeitet werden.
Nudging – der Trick mit dem grünen Button
Häufig sind Gestaltungen der CMP zu beobachten, mit denen der Nutzer offensichtlich zur Erteilung der Einwilligung bewegt werden soll. Dies kann je nach Ausgestaltung dem Grundsatz widersprechen, dass der Nutzer seine Einwilligung und seine Ablehnung mit demselben Aufwand erteilen können soll. Bei diesem sogenannten Nudging wird dem Nutzer oft ein großer grüner Button zur Erteilung der Einwilligung geboten, das Ablehnen erfordert dann aber weitere Klicks sowie das Lesen zusätzlicher Texte. Dieser messbare Mehraufwand führe nach Ansicht der DSK bereits dazu, dass die Einwilligung nicht freiwillig erteilt worden sei. Der Button zur generellen Ablehnung solle vielmehr gleichwertig zum Button zur Einwilligung gestaltet sein.
Handlungsdruck für die Verwender
§ 25 TTDSG beendet in vielen Punkten die zur Cookie-Einwilligung geführte Diskussion und führt für Verwender von Cookies zu einer höheren Rechtssicherheit. Im Detail bleiben jedoch immer noch Fragen offen. Verwender von Cookies und Co. sollten daher noch einmal ihre Prozesse auf deren Eignung für das Einholen einer wirksamen Einwilligung überprüfen. Ohne wirksam erteilte Einwilligung des Nutzers liegt nach § 28 Abs. 1 Nr. 13 TTDSG eine Ordnungswidrigkeit vor, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann. Auch das Risiko einer Abmahnung durch Verbraucherschutzverbände und Wettbewerber steigt. In Zweifelsfällen sollte der Anwender fachkundige Beratung suchen, denn das Thema rückt immer weiter in den Fokus der Aufsichtsbehörden.
Mehr dazu
finden Sie unter www.datev.de/dsgvo