Cookies erlauben tiefe Einblicke in das Nutzerverhalten und bedürfen deshalb einer Einwilligung - Bild: bakhtiarzein/Adobe Stock
Zum 1.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Damit ist für Cookies und Tracking-Dienste eine echte Einwilligung nötig – außer für technische Cookies. Das hat wichtige Folgen für die rechtssichere Gestaltung eines Cookie-Banners. Auctores hat das Cookie-Banner für Kunden-Websites um zusätzliche Konfigurationsmöglichkeiten erweitert.
Das TTDSG formalisiert EUGH- und BGH-Beschlüsse und legt klipp und klar fest: Für den Einsatz von Cookies und vergleichbaren Technologien ist eine ausdrückliche Einwilligung zur Datenverarbeitung notwendig – und, wichtig: Diese darf nicht erschlichen werden, etwa durch irreführend gestaltete Cookie-Banner.
Nicht erforderlich ist ein Banner für technisch notwendige Cookies. Hierzu gehören zum Beispiel Session Cookies etwa für Warenkorb-Inhalte oder Sprachversionen einer Website oder Cookies, die ausschließlich für Zahlungsprozesse notwendig sind. Auch Cookies des Cookie-Banners selbst, die Einwilligung oder Widerruf speichern, fallen unter die Ausnahmeregelung. Sprich: Wer keine Tracking-Dienste nutzt oder andere Dienste von Drittanbietern integriert, muss sich in der Hinsicht in der Regel keine Sorgen machen.
Das TTDSG stützt sich auf die Datenschutz-Grundverordnung (DSGVO) und ePrivacy-Regelungen, entscheidend ist dabei die jeweils strengere Vorgabe. Die Information des Nutzers und seine Einwilligung müssen auf jeden Fall DSGVO-konform erfolgen. Der § 25 TTDSG zum „Schutz der Privatsphäre bei Endeinrichtungen“ erstreckt sich auf den gesamten Datenverkehr aller mit dem Internet verbundenen Geräte. Er betrifft also auch Messenger-Dienste wie WhatsApp und Smart-Home-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsysteme.
Für Websites ebenso wie für webbasierte Anwendungen wie Single Page Applications sind nicht nur „normale“ Cookies zu berücksichtigen, sondern auch „Super-Cookies“, Web-Beacons wie das Facebook-Pixel oder Zählpixel z. B. zum Prüfen der Öffnungsrate in Newslettern. Auch Software, die „nach Hause telefoniert“ und etwa Nutzerstatistiken an Hersteller übermittelt, muss die TTDSG-Vorgaben erfüllen – egal, ob es sich um eine Office-Anwendung oder einen Smart-TV handelt.
Grundlage einer rechtlich einwandfreien Zustimmung zum Einsatz von Cookies ist die klare und umfassende Information der Nutzer. „Dark Patterns“, also Gestaltungsformen und Texte, die Nutzer „aus Versehen“ zustimmen lassen oder die Ablehnung unnötig erschweren, sind nun verboten. Auch die darunterliegende Technik muss rechtskonform sein. So gilt:
Für die Platzierung des Cookie-Banners – mittig, oben oder unten auf der Seite – gibt es keine allgemeinen Vorgaben. Der Nutzer muss nur immer die Möglichkeit zur Zustimmung oder Ablehnung haben. Website-Betreiber sollten jedoch darauf achten, dass das Banner auf keinen Fall die Links zum Impressum oder zur Datenschutzerklärung verdeckt – diese Seiten müssen immer erreichbar sein, ansonsten droht eine Abmahnung.
Apropos Datenschutzerklärung: Diese sollte nicht nur die nach der DSGVO vorgeschriebenen Informationen enthalten, sondern gerade beim Einsatz etwa von Marketing-Cookies auch Begriffe wie „Retargeting“ erläutern – dies gewährleistet, dass die Einwilligung nicht wegen unzureichender Information unwirksam wird.
Da die Einwilligung jederzeit widerrufbar ist, müssen Nutzer die Cookie-Einstellungen auch nachträglich anpassen können. Diese Einstellungsmöglichkeit sollte ebenso wie die Links zu Impressum und Datenschutzerklärung von jeder Seite aus erreichbar sein. Am einfachsten ist ein entsprechender Link neben den beiden anderen. Auch in der Datenschutzerklärung selbst kann der Link enthalten sein. Beim Einsatz von Diensten wie Google Analytics oder Matomo sollte eine Widerspruchsmöglichkeit (Opt-out) ebenfalls direkt in der Datenschutzerklärung vorhanden sein.
Beim Einbinden externer Inhalte wie Youtube-Videos ist zu beachten, dass solche Inhalte meist eigene Tracking-Tools und Cookies mitbringen. Hier ist eine Zwei-Klick-Lösung empfehlenswert, wie sie auch Auctores anbietet – der Nutzer bekommt etwa das Video erst nach ausdrücklicher Einwilligung zu Gesicht. Auch hier dürfen die entsprechenden Daten natürlich erst nach dem Klick geladen werden.
Für Kunden-Websites, die ein Cookie-Banner einsetzen müssen, hat Auctores das zugehörige Modul auf Basis von Musterbeispielen angepasst. Direkt beim ersten Aufruf einer Website können Besucher den angebotenen Cookies individuell zustimmen oder diese ablehnen, wobei sich die Anzeige zwischen Kategorien und Einzel-Services umschalten lässt. Für jedes Cookie sind die spezifischen Informationen anzeigbar, ein Link führt jeweils zu den Datenschutzhinweisen des Anbieters.
Auch integrierte Angebote wie Google Maps oder Youtube-Videos lassen sich bereits hier global für die gesamte Website freischalten. So muss der Besucher seine Einwilligung nicht jeweils am eingebundenen Inhalt geben.
Wer kein rechtskonformes Cookie-Banner einsetzt, obwohl er dazu verpflichtet ist, muss mit rechtlichen Konsequenzen rechnen. Hierzu zählen behördliche Verfügungen ebenso wie Bußgelder – die bei TTDSG-Verstößen bis zu 300.000 Euro reichen können, bei gravierenden DSGVO-Verstößen bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro. Kostenpflichtige Abmahnungen können von Mitbewerbern ebenso kommen wie von klagebefugten Organisationen wie Wettbewerbs- und Verbraucherzentralen, aber auch von Nutzern selbst. Diese können zudem Schadenersatz fordern.