Neues Telekommunikations-Telemedien-Datenschutzgesetz und Cookies

Seit dem 1. 12. soll das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) unter anderem klare Regeln zur Nutzung von Cookies auf Websites vorgeben, durch die der Datenschutz für die Internet-Nutzer verbessert werden soll. Doch dem Anspruch genügt die Regelung nicht. Es bleiben Unklarheiten und es fehlen Durchführungs-Verordnungen.

Dass gut gemeint häufig das Gegenteil von gut gemacht ist, zeigt jetzt auch das vor wenigen Tagen in Kraft getretene "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG).

TTDSG  dient der Umsetzung der europäischen ePricacy-Richtlinie und der DSGVO

Eines der wesentlichen Ziele der neuen Regelung ist die lange überfällige Umsetzung der Vorgaben aus der ePrivacy-Richtline der EU, die bereits seit ihrer Novellierung im Jahr 2009 die Verwendung von „Informationen, die im Endgerät eines Teilnehmers gespeichert werden“, also die Nutzung der sogenannten Cookies, reguliert. Auch Vorgaben aus der Datenschutzgrundverordnung sollen mit dem TTDSG umgesetzt werden.

Nutzung bestimmter Cookies nur nach DSGVO-konformer Zustimmung

Zu den Kernvorgaben des TTDSG gehört daher, dass das Speichern von und der Zugriff auf Informationen auf den Geräten der Nutzer nur noch nach einer DSGVO-konformen Einwilligung erfolgen darf, die wiederum klare und umfassende Informationen über diese Vorgänge voraussetzt.

Von dieser Einwilligungsregelung sind insbesondere solche Cookies betroffen, mit denen das Nutzerverhalten auch über die aktuell besuchte Website hinaus, nachverfolgt werden kann. Bei der Verwendung solcher Tracking-Cookies, aber auch anderer Cookies, die von Dritten etwa zu Analyse- oder Marketingzwecken verwendet werden, ist also vor deren Setzen in jedem Fall eine Einwilligung einzuholen, was bislang über die sogenannten Cookie-Banner geschieht.

Ausnahmen für technisch notwendige Cookies

Die wenigen Ausnahmen, die keine solche Einwilligung erfordern, benennt § 25 TTDSG. Ausgenommen von der Einwilligungspflicht sind demnach lediglich Cookies, die „unbedingt erforderlich“ sind, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können oder die zur Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz notwendig sind. Letztlich sind damit nur solche Cookies von der Einwilligung befreit, die zur technischen Durchführung eines Angebots notwendig sind.

Abgrenzungsproblematik: Was sind funktional notwendige Cookies?

Doch wie schon bislang bleibt auch nach der Einführung des TTDSG die Frage ungeklärt, wo genau die Grenzen zwischen diesen für die Funktionalität notwendigen Cookies und den darüberhinausgehenden, einwilligungspflichtigen Cookies verläuft.

Wie etwa sind beispielsweise Cookies zu bewerten, die den Website-Besucher einen über die Grundfunktionalität hinausgehenden zusätzlichen Komfort bieten bzw. die Nutzung des Angebots vereinfachen oder die zur Analyse des Nutzerverhaltens zwecks Optimierung der Angebote dienen? Ebenso ist es etwa umstritten, ob Cookies, die unter Sicherheitsaspekten sinnvoll sind und mit denen etwa E-Commerce-Anbieter Betrugsversuche unterbinden wollen, zu den notwendigen Cookies gehören oder nicht. Zu diesen Fragen kann auch das neue Gesetz keine befriedigenden Antworten geben.

Personal Information Management Systeme (PIMS) statt Cookie-Banner

Anstelle der allseits unbeliebten, weil umständlichen und unübersichtlichen Cookie-Banner sollen durch das TTDSG auch vereinfachte Möglichkeiten zu einer grundsätzlichen Einwilligungsverwaltung etabliert werden.

Die Nutzer sollen sich also nicht mehr bei jedem erstmaligen Besuch einer Website durch ellenlange Seiten mit detaillierten Informationen zu Dutzenden von Cookies quälen müssen, sondern auf ihren Endgeräten bzw. in den Zugangsprogrammen wie den Browsern voreinstellen, ob und welche Daten sie teilen möchten oder nicht. Von den Websites werden diese Angaben beim Aufruf ausgelesen und diese Anweisungen entsprechend befolgt und es werden in der Folge bestimmte Cookies gesetzt oder eben nicht.

Solche Systeme zur Verwaltung der Einwilligungen sind auch unter der Bezeichnung Personal Information Management Systems (PIMS) bekannt. Optional sind auch weitere Lösungen wie Single-Sign-On-Angebote mit ähnlicher Funktionalität denkbar.

Das Problem hierbei ist allerdings, dass der Gesetzgeber die genauen Anforderungen, die an diese Systeme gestellt werden, noch gar nicht definiert hat. In § 26 TTDSG heißt es dazu lediglich, dass dies in einer Rechtsverordnung geschehen soll. Wann damit zu rechnen ist, dass eine solche Verordnung in Kraft tritt, der zudem auch Bundestag und Bundesart zunächst zustimmen müssen, ist noch nicht abzusehen.

Noch jede Menge Handlungsbedarf

Schließlich müssten dann auch entsprechende Lösungen in der Praxis entwickelt werden und z.B. in Browser oder Betriebssysteme integriert werden, wobei auch sicherzustellen ist, dass die Lösungen einfach nutzbar sind, und die Website-Betreiber die vorgenommenen Grundeinstellungen auch korrekt übernehmen.

Und wann kommt die ePrivacy-Verordnung?

Während einerseits also noch gar nicht klar ist, wann diese Verordnung zu den Einwilligungslösungen kommt und wann diese Systeme letztlich nutzbar sind, gibt es schließlich noch eine weitere Unsicherheit. Denn schon seit mehreren Jahren ist die europäische Nachfolgeregelung der ePrivacy-Richtlinie in Form der ePrivacy-Verordnung überfällig. Diese sollte eigentlich schon zusammen mit der DSGVO in Kraft treten, doch immer noch konnte man sich auf europäischer Ebene nicht auf entsprechende Regelungen einigen. Sollte es jetzt doch zu einer Einigung kommen, dürfte die nächste Gesetzesänderung anstehen.

(→ Europäischer Datenschutzausschuss fordert E-Privacy-Verordnung ein)

Verstöße können hohe Strafen nach sich ziehen

Auch mit dem TTDSG wird sich an der für alle Beteiligten eher unglücklichen Situation um die Cookie-Banner kurz- und wohl auch mittelfristig leider nicht viel ändern. Wichtige Fragen sind nach wie vor nicht geklärt, es fehlen die Voraussetzungen für die Nutzung der Banner-Alternativen in Form der PIMS-Lösungen und schließlich könnte es nach Einigung auf eine ePricacy-Verordnung schon wieder Reformbedarf für die nationale Gesetzgebung geben.

Für Website-Betreiber ist trotz Schwächen der neuen Vorschrift Vorsicht geboten

Auf die leichte Schulter sollten Website-Betreiber die Vorgaben des TTDSG jedoch in keinem Fall, sieht das TTDSG auch noch relativ hohe Strafen bei Verstößen gegen die Einwilligungsregelung vor, die jetzt bis zu 300.000 EUR betragen können. Betreiber von Websites sollten dies daher zum Anlass nehmen, den Umgang mit Cookies bzw. die verwendeten Cookie-Banner noch einmal zu überprüfen.

Weitere News zum Thema:

Nutzung von Cookies ohne Einwilligung stellt einen Wettbewerbsverstoß dar

Datenschutzorganisation noyb geht jetzt auch gegen Cookie-Paywalls vor

noyb starten Datenschutz-Beschwerden gegen Trackingverfahren von Apple

Schlagworte zum Thema:  Datenschutz