Cookies sind kleine Textdateien, die auf dem Rechner der Nutzer abgelegt und vom Browser gespeichert werden. Sie ermöglichen eine Identifikation der Nutzer und können Aufschluss über das Surfverhalten geben. Neben Cookies gibt es noch weitere Technologien wie beispielsweise Pixel (Bilddateien) und Browser-Fingerprinting, die ebenfalls eine Auswertung des Nutzerverhaltens ermöglichen und somit unter die Vorgaben der DSGVO und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) fallen.
In der Wohnungswirtschaft ist die Thematik vor allem für Betreiber einer Homepage relevant, die Tracking-Tools wie beispielsweise Google Analytics oder Matomo zur Analyse der Reichweite und des Nutzerverhaltens einsetzen, da diese Dienste dauerhaft Cookies bei den Nutzern ablegen. Andere Dienste werden in der Branche nur selten eingesetzt.
Die DSGVO enthält keine speziellen Regelungen zu Cookies. Die Lücke wurde allerdings mit dem zum 1. Dezember 2021 in Kraft getretenen TTDSG geschlossen. Grundsätzlich unterscheiden sich die neuen Regelungen des TTDSG nicht von den bisherigen Auslegungen der Aufsichtsbehörden und dem BGH-Urteil zur Zulässigkeit von Cookies. Mit dem Gesetz besteht jedoch ein weitestgehend klarer Rechtsrahmen, welche Cookies einwilligungsbedürftig sind und welche Anforderungen an die Ausgestaltung einer Einwilligung zu stellen sind.
§ 25 Abs. 1 TTDSG gibt vor: "Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat."
Ausnahmen von der Einwilligungsbedürftigkeit bestehen gemäß § 25 Abs. 2 Nr. 2 TTDSG, "wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann".
Die Regelungen lassen sich zusammenfassend dahingehend interpretieren, dass insbesondere technisch notwendige Dienste ohne die Einwilligung der Seitenbesucher eingesetzt werden dürfen. Es muss aber immer detailliert geprüft werden, ob ein Dienst tatsächlich unter die Ausnahmeregelung fällt, da das TTDSG einen gewissen Interpretationsspielraum bietet.
Im TTDSG wurde geregelt, dass sich die Anforderungen an eine wirksame Einwilligung aus der DSGVO ergeben. Demnach sind die Vorgaben der Art. 4 Nr. 11, 7 und 8 DSGVO zu beachten. In der Praxis lässt sich dies durch die Implementierung einer sogenannten Consent- Management-Plattform (CMP), teilweise auch "Cookie-Banner" genannt, umsetzen. Die CMP ist in der Form auszugestalten, dass die Vorgaben der DSGVO bezüglich einer Einwilligung eingehalten werden. Danach muss die Lösung folgende Merkmale aufweisen:
- Es bedarf einer unmissverständlich abgegebenen Willensbekundung.
- Die Einwilligung muss freiwillig erteilt werden.
- Die Einwilligung muss in informierter Weise erfolgen.
- Die Einwilligung muss jederzeit widerrufen werden können.
Darüber hinaus ist bei der Implementierung einer CMP noch zu beachten, dass die Erreichbarkeit des Impressums und der Datenschutzerklärung gewährleistet ist, da diese Informationen jederzeit eingesehen werden können müssen.