Cookies - 25. Mai 2022

Ohne Einwilligung läuft (fast) nichts

Die neuen gesetzlichen Regeln zum Datenschutz haben auch Auswirkungen auf die Websites von Unternehmen und Kanzleien.

Seit Inkrafttreten des Telekommunikations-Telemedien- Datenschutz-Gesetzes – kurz TTDSG – Ende 2021 steht nun endlich auch nach geschriebenem deutschen Recht fest, dass sogenannte Cookies in der Regel nur mit Einwilligung des Internet- oder App-Nutzer beziehungsweise der -Nutze­rin zulässig sind. Doch das Einholen einer wirksamen Einwil­ligung ist gar nicht so einfach. Und dabei stellt der Einsatz von Cookies und Co. ohne eine solche Einwilligung nun aus­drücklich eine Ordnungswidrigkeit dar. Auch die Daten­schutzkonferenz (DSK) des Bundes und der Länder hat schon kurz nach Inkrafttreten des TTDSG ihre „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, die sich unter anderem an die Verwender von Cookies und Co. wendet, grundlegend überarbeitet. Sie vermittelt, wie die DSK den neuen § 25 TTDSG auslegt und wie ihrer Ansicht nach die erforderlichen Einwilligungen eingeholt werden sollten. Aber der Teufel steckt wie so häufig im Detail.

Keine Cookies ohne Einwilligung

Ganz konkret stellt § 25 Abs. 1 TTDSG fest, dass das Spei­chern von Informationen im Endgerät eines Nutzers oder der Zugriff auf dort bereits gespeicherte Infor­mationen nur zulässig ist, wenn der Nut­zer in informierter Weise zuvor eingewil­ligt hat. Dieses Speichern und Zugreifen beschreibt die Funktion von Cookies und ähnlichen Technologien, wie zum Beispiel Local Storage. Dabei sind Cookies erst ein­mal nicht viel mehr als kleine Textdateien, die auf dem Endgerät (PC, Smartphone und so weiter) des Nutzers abgelegt wer­den. Vereinfacht könnte man sie als Kurz­zeitgedächtnis des Internets bezeichnen. Mit ihrer Hilfe wird zum Beispiel die Information verarbeitet, welche Waren der Internetnutzer schon in seinen virtuellen Warenkorb gelegt hat. Auf der anderen Seite kann beispielsweise mithilfe eines gespeicherten Cookies ein Nutzer im Internet wiedererkannt und sein Surfverhalten dort verfolgt werden.

Keine Regel ohne Ausnahme

Ausnahmen vom Erfordernis der Einwilligung bestehen nach § 25 Abs. 2 TTDSG nur, wenn das Speichern oder Aus­lesen von Informationen entweder die Nachrichtenübertra­gung über ein öffentliches Telekommunikationsdienstnetz ermöglicht oder – für Websites oder Apps relevant – es tech­nisch erforderlich ist, um dem Nutzer eine von ihm aus­drücklich gewünschte Funktion zur Verfügung stellen zu können. Danach ist also ein Cookie, der einer erwarteten Funktionalität einer vom Nutzer aufgerufenen Website dient, erforderlich im Sinne der Norm. Ein Cookie, der sich Eingaben des Nutzers in ein Online-Formular über mehrere Seiten, den Inhalt des Warenkorbs im Online-Shop oder das erfolgreiche Login des Nutzers im Mitgliederbereich einer Website merkt, benötigt daher keine Einwilligung. Ein Coo­kie für die Auswertung der Nutzung einer Website (soge­nannte Reichweitenmessung) mit Datenweitergabe an ei­nen Dritten, wie etwa Google, oder für die Ausspielung ziel­gerichteter personalisierter Werbung ist dagegen zwar wirt­schaftlich erforderlich aus Sicht des Betreibers der Internetseiten, nicht aber technisch erforderlich aus Sicht des Nutzers.

Die Kunst der wirksamen Einwilligung

Die nach § 25 Abs. 1 TTDSG erforderliche Einwilligung muss vom Nutzer auf der Grundlage von klaren und umfassenden Informationen erteilt werden. Information und Einwilligung haben entsprechend den Vorgaben der DS-GVO (Art. 4 Nr. 11, Art. 7 DS-GVO) zu erfolgen. Danach muss eine wirk­same Einwilligung freiwillig für den bestimmten Fall, in in­formierter Weise und durch eine unmissverständlich abgege­bene Willensbekundung erfolgen. Auch wenn immer noch auf vielen Websites die Behauptung aufgestellt wird, allein das Verweilen oder Scrollen des Nutzers auf einer Website sei eine Einwilligung, stellt dieses Verhalten keine eindeutige Willensbekundung und damit keine wirk­same Einwilligung dar. Auch ein Button zur Erteilung der Einwilligung mit der schlichten Beschriftung „Okay“ lässt zu­meist nicht unmissverständlich erkennen, was der Nutzer mit dem Klick auf den But­ton eigentlich erklären soll. Damit eine un­missverständliche Einwilligung zur Nut­zung von Cookies auf einer Website in informierter Weise er­folgen kann, sollten dem Nutzer die erforderlichen Informati­onen zu den mit den Cookies verfolgten Zwecken bereits auf der ersten sichtbaren Ebene des Cookie-Banners angezeigt werden. Neben den Zwecken muss schon hier darüber infor­miert werden, durch wen die Verarbeitung der mithilfe eines Cookies erhobenen Daten erfolgt, ob die personenbezogenen Daten auch an Dritte und ob sie eventuell sogar in Drittstaa­ten außerhalb der EU – etwa in die USA – übermittelt werden. Der Nutzer ist zudem auf sein Recht zum jederzeitigen Wi­derruf der von ihm erteilten Einwilligung hinzuweisen. De­tailliertere Informationen zu den Cookies und der Verarbei­tung personenbezogener Daten sollten sich dann in der Da­tenschutzerklärung oder einer Cookie-Richtlinie des Seiten­betreibers oder sonstigen Verantwortlichen finden lassen.

Zwecke der Cookies

Die mit einwilligungspflichtigen Cookies verfolgten Zwecke sind zum Beispiel die Erstellung von Nutzungsstatistiken zwecks Optimierung des Online-Angebots oder auch das Markieren eines Nutzers mit einer Cookie- oder User-ID, um ihn für den Zweck personalisierter Werbung im Internet sei­ten- oder sogar geräteübergreifend wiedererkennen zu kön­nen. Derartige Zwecke und die damit verbundene Datenver­arbeitung sind dem Nutzer nachvollziehbar offenzulegen. Ein Informationstext, wie zum Beispiel: „Wir verwenden Cookies für ein aufregendes Einkaufserlebnis“, enthält keine der er­forderlichen Informationen. Der Nutzer muss seine Einwilli­gung zudem auch differenziert nach den Zwecken der Cookies erteilen können. Im Gegensatz zur europäischen Datenschutz-Grundverordnung schützt § 25 TTDSG nicht personenbezogene Daten, sondern die Privatsphäre des Nutzers, zu der auch die in dem von ihm verwendeten Endgerät gespeicherten Informationen zählen. Bei einem Cookie, mit dem personenbezogene Daten zum Zweck einer einwilligungs­pflichtigen Verarbeitung personenbezoge­ne Daten auf der Festplatte des Nutzers gespeichert werden, sind danach DS-GVO- und TTDSG-tan­giert. Dies wäre etwa der Fall, wenn der Cookie auf dem End­gerät des Nutzers gespeichert wird, um ein weitreichendes, persönliches Nutzungsprofil aufbauen zu können, das dann auch durch weitere Daten, wie etwa GPS-Standortdaten, an­gereichert werden könnte. Die beiden hierfür erforderlichen Einwilligungen nach DS-GVO und TTDSG können bei zutref­fender Information jedoch mit einer einzigen eindeutig be­stätigten Handlung – etwa einem Häkchen in der Checkbox – gebündelt erteilt werden.

Für die Abfrage der Einwilligungen vertrauen immer mehr Websites auf sogenannte Consent-Management-Plattfor­men (CMP), mit denen die Einwilligungen der Nutzer ge­trennt nach den mit den Cookies verfolgten Zwecken einge­holt werden sollen. Eine CMP bietet bei Aufruf der Seite dem Nutzer die erforderlichen Informationen sowie die nö­tigen granularen Auswahlmöglichkeiten nach Zwecken be­ziehungsweise die Möglichkeit zur generellen Einwilligung oder Ablehnung der Cookies. Bei richtiger Einbindung einer CMP auf der Website werden nur diejenigen Cookies auf dem Endgerät des Nutzers gesetzt, zu deren Zwecken der Nutzer seine Einwilligung erteilt hat. Aber allein die Ver­wendung eines solchen Tools garantiert noch keinen rechts­konformen Einsatz eines Cookies. Nicht selten sind die dem Nutzer hier erteilten Informationen unzureichend, immer noch finden sich vorangekreuzte Checkboxen oder das Tool lässt wegen unzutreffender Konfiguration die falschen Coo­kies zu. Die Rechtmäßigkeit der Datenverarbeitung kann zu­dem daran scheitern, dass der Nutzer nicht darauf hinge­wiesen wird, dass seine erteilten Einwilligungen von einem CMP-Anbieter auf Servern in den USA und damit in einem datenschutzrechtlich unsicheren Drittland (USA) verarbeitet werden.

Nudging – der Trick mit dem grünen Button

Häufig sind Gestaltungen der CMP zu beobachten, mit denen der Nutzer offensichtlich zur Erteilung der Einwilligung be­wegt werden soll. Dies kann je nach Aus­gestaltung dem Grundsatz widersprechen, dass der Nutzer seine Einwilligung und seine Ablehnung mit demselben Aufwand erteilen können soll. Bei diesem soge­nannten Nudging wird dem Nutzer oft ein großer grüner Button zur Erteilung der Einwilligung geboten, das Ablehnen erfor­dert dann aber weitere Klicks sowie das Lesen zusätzlicher Texte. Dieser messbare Mehraufwand führe nach Ansicht der DSK bereits dazu, dass die Einwilligung nicht freiwillig erteilt worden sei. Der Button zur generellen Ableh­nung solle vielmehr gleichwertig zum Button zur Einwilli­gung gestaltet sein.

Handlungsdruck für die Verwender

§ 25 TTDSG beendet in vielen Punkten die zur Cookie-Einwil­ligung geführte Diskussion und führt für Verwender von Coo­kies zu einer höheren Rechtssicherheit. Im Detail bleiben je­doch immer noch Fragen offen. Verwender von Cookies und Co. sollten daher noch einmal ihre Prozesse auf deren Eig­nung für das Einholen einer wirksamen Einwilligung über­prüfen. Ohne wirksam erteilte Einwilligung des Nutzers liegt nach § 28 Abs. 1 Nr. 13 TTDSG eine Ordnungswidrigkeit vor, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann. Auch das Risiko einer Abmahnung durch Ver­braucherschutzverbände und Wettbewerber steigt. In Zwei­felsfällen sollte der Anwender fachkundige Beratung suchen, denn das Thema rückt immer weiter in den Fokus der Aufsichtsbehörden.

Mehr dazu

finden Sie unter www.datev.de/dsgvo

Zum Autor

Martin Erlewein

Rechtsanwalt mit Tätigkeitsschwerpunkt im IT-Recht sowie externer Datenschutzbeauftragter verschiedener Unternehmen. Inhaber der Kanzlei Erlewein in Velbert. Er berät und hält Vorträge zu den Themen Datenschutz, ePrivacy und eCommerce.

Weitere Artikel des Autors