Wichtig für alle Webseiten-Betreiber: Am 1. Dezember 2021 tritt das neue TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz) in Kraft. Ohne Übergangsfrist. Das Gesetz konkretisiert nun die Einwilligung für die Speicherung und das Auslesen von Cookies. Die Verwendung eines Cookie-Consent-Tools wird zu einem Standard. Bei einem Verstoß drohen Bußgelder durch die DSGVO und dem TTDSG, auch Abmahnungen sind möglich.
Vereinfacht ausgedrückt werden die Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz überführt und direkt auch an die Vorgaben der ePrivacy-Richtlinie angepasst. In erster Linie werden die bei Experten bisher als verunglückt geltenden, deutschen Regeln an die bisherigen EU-Vorgaben angepasst. Im Einzelnen betrifft dies vor allem die TTDSG-Paragrafen §19, § 24 und § 26.
Technische und organisatorische Vorkehrungen
§19 TTDSG regelt die technischen und organisatorischen Vorkehrungen, die eine Webseite ergreifen muss, damit die Daten seiner Besucher geschützt sind. Nach dem Stand der Technik sind Vorkehrungen zu treffen, um die Kenntnisnahme Dritter zu verhindern, unbefugten Dritten den Zugriff zu verwehren und die Webseite durch äußere Angriffe zu schützen.
Ein anerkanntes Verschlüsselungsverfahren wie SSL ist zum Beispiel Pflicht, ebenso wie sichere Passwörter. Der Webmaster sollte eine Firewall einrichten und generell raten Experten dazu, Adminrechte nur sehr ausgewählt zu vergeben.
Schutz der Privatsphäre bei Endeinrichtungen
§25, dem Schutz der Privatsphäre bei Endeinrichtungen, betrifft alles was mit Cookies & Co zu tun hat. Hier gibt es eine kleine aber mitunter entscheidende Neuerung, Webseitenbetreiber müssen nicht nur eine Einwilligung für das Setzen eines Cookies einholen, sondern auf für das Auslesen des Cookies.
Keine Einwilligung wird für Speichern und Auslesen benötigt, wenn die Cookies »unbedingt erforderlich sind, damit der Anbieter eines Telemediendienstes einen, vom Nutzer ausdrücklich gewünschten, Telemediendienst zur Verfügung stellen kann«.
Das vielfach genutzte »berechtigte Interesse« hat als Begründung ausgedient.
To do: Den Text in der Cookie-Consent-Box überprüfen und aktualisieren, bis zum 30. November 2021.
Technisch notwendige Cookies
Technisch notwendige Cookies sind weiterhin von einer Einwilligung befreit. Darunter fallen alle Cookies, ohne diese eine Webseite nicht sinnvoll funktionieren würde. Hierzu zählen beispielsweise Session-Cookies für den Inhalt eines Warenkorbs, für Webseitensprache, für Zahlungsprozesse oder auch Cookies, die das Erteilen bzw. den Widerruf einer Einwilligung regeln.
Cookie-Consent-Tool ist Pflicht
Das neue Gesetz regelt zwar nicht, wie Webseitenbetreiber eine Einwilligung einholen müssen, fordert aber eine klare und umfassende Information als Grundlage. Laut Rechtsanwältin Annika Haucke von eRecht24 wird ein Cookie-Consent-Tool damit zur Pflicht.
Zu beachten ist, Cookies müssen technisch deaktiviert sein, bis der Besucher seine Einwilligung erteilt. »Der Nutzer muss die Einwilligung aktiv setzen«, sagt Haucke. »Eine Checkbox darf nicht vorausgewählt sein.« Zudem müsse es je einen gleichwertigen »Annehmen« und einen »Ablehnen«-Button geben. Das heißt, der Ablehnen-Knopf darf nicht auf einer tieferen Ebene »versteckt« werden. Gleichwertig schließt in dem Sinn auch aus, den Zustimmen-Button zum Beispiel farblich hervorzuheben.
TTDSG: Drohende Sanktionen bei Missachtung
Nun mögen die Neuerungen des TTDSG eher im Detail liegen und zu den bestehenden Regelungen der DSGVO nur wenig Neues beinhalten. Trotzdem müssen alle Webseitenbetreiber, die bisher auf ein Cookie-Consent-Tool verzichten nun aktiv werden. Umgehend.
Eine Missachtung kann richtig teuer werden: Es drohen nicht nur Bußgelder wegen Verstoßes gegen die DSGVO, sondern auch wegen des Verstoßes gegen das TTDSG von bis zu 300.000 Euro. Zudem kann ein nichtordnungsgemäßer Cookie-Consent-Banner eine Abmahnung zur Folge haben. Experten gehen davon aus, dass die einschlägigen Abmahnanwälte bereits in den Startlöchern stehen. Anders als bei Einführung der DSGVO, gibt es beim TTDSG durchaus eindeutige Forderungen, gegen die bei Zuwiderhandlung eine Abmahnung erfolgversprechend sein könnte.
Hinweis: Dieser Artikel ist keine Rechtsberatung.
- TDSG: Neue Regeln für Cookies – Praxistipps und Checkliste für Google Analytics & Co
- eRecht24: Die 6 gängigsten Cookie Consent Tools
- Checkliste zur DSGVO-konformen Webseite
- TTDSG – Neue Regeln für Websites & Cookies
- DSGVO: Bundesdatenschutzbeauftragter kontert Kritik
- 2 Jahre DSGVO: Noch wird zu viel lamentiert
- Datenschutztag 2020: Vertrauen wird ein Wettbewerbsfaktor
- Doc Storage: DSGVO: Gerne noch höhere Bußgelder
- Doc Storage: DSGVO für KMUs: Machen, nicht diskutieren
- Datenschutz für Kinder – Anforderungen nach DSGVO