Heute tritt in Deutschland das TTDSG in Kraft. Deutschland erhält damit – endlich! – eine eigene «Cookie-Richtlinie».
Der europäischen «Cookie-Richtlinie», eigentlich Art. 5 Abs. 3 der ePrivacy-Richtlinie, wie sie 2009 ergänzt wurde, verdanken wir die allgegenwärtigen und äussert nervigen Cookie-Banner.
Europäische Richtlinien gelten im Gegensatz zu Verordnungen nicht direkt, sondern müssen durch die einzelnen Mitgliedstaaten in ihrem nationalen Recht umgesetzt werden. In Deutschland war umstritten, ob die europäische Cookie-Richtlinie im Rahmen des bestehenden Telemediengesetzes (TMG) und dessen § 15 Abs. 3 umgesetzt worden war.
Mit dem TTDSG, dem Telekommunikation-Telemedien-Datenschutz-Gesetz, endet dieser Streit. Das TTDSG ist aus schweizerischer Sicht insbesondere für alle Website-Betreiber relevant, die Cookies gegenüber Besucherinnen und Besuchern aus Deutschland einsetzen möchten.
Die neue deutsche «Cookie-Richtlinie», eigentlich § 25 TTDSG, lautet wie folgt:
«Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.»
Und:
«Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.»
Wer § 25 Abs. 1 TTDSG fahrlässig oder vorsätzlich verletzt, riskiert gemäss § 28 Abs. 1 Ziff. 13 i.V.m. Abs. 2 TTDSG eine Geldbusse von bis zu 10’000 Euro.
«Cookies» wird als Oberbegriff für Informationen verwendet, die auf den Geräten der Nutzerinnen und Nutzer gespeichert werden oder auf die zugegriffen wird. Bei Websites erfolgen Speicherung und Zugriff mit Cookies und vergleichbaren Technologien, die man häufig unter dem Begriff «Web Storage» zusammenfasst.
Mit der neuen Bestimmung wird die «EU-Cookie-Richtlinie» im Wesentlichen direkt umgesetzt. Insofern bleibt es auch in Deutschland dabei, dass für Cookies die aktive, ausdrückliche, freiwillige, informierte und vorgängige Einwilligung der einzelnen Nutzerinnen und Nutzer erforderlich ist. Die Ausnahmen sind im Alltag von geringer Bedeutung.
Hingegen kann es interessant sein, zu prüfen, ob man tatsächlich in den Anwendungsbereich der «Cookie-Richtlinie» fällt. So kann es beispielsweise möglich sein, für die Erfolgs- und Reichweitenmessung auf Cookies zu verzichten und Tracking allein mit Fingerprinting aufgrund von Informationen, welche die Nutzerinnen und Nutzer selbst übermitteln, zu betreiben. Dazu zählen HTTP-Header-Felder, aber auch andere Angaben, die üblicherweise in Webserver-Logdateien erfasst werden.
Die französische Datenschutz-Aufsichtsbehörde sieht sogar die Möglichkeit, unter bestimmten Voraussetzungen für die Erfolgs- und Reichweitenmessung Cookies ohne Einwilligung einzusetzen. Davon profitiert die freie Open Source-Software Matamo aufgrund ihrer entsprechenden Einstellungsmöglichkeiten.
Die meisten Website-Betreiberinnen entscheiden sich, Cookie-Banner einzusetzen, weil sie damit scheinbar auf Nummer sicher gehen. Die meisten Cookie-Banner entsprechen allerdings nicht den europäischen rechtlichen Vorgaben. In der Folge kann die benötigte Einwilligung nicht rechtswirksam eingeholt werden.
Wieso die meisten Cookie-Banner nicht funktionieren und viele Cookie-Banner überflüssig sind, erklärte ich kürzlich ausführlich an einem Webinar für Mitglieder der Datenschutzpartner Academy:
Siehe auch:
- Datenschutz im Alltag: Wieso gibt’s diese nervigen Cookie-Banner?
- Das TTDSG – Neue Regelungen zum Einsatz von Cookies und vergleichbaren Technologien (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit)
- Browser Fingerprinting und das TTDSG: Erlaubt oder nicht? (Dr. DSGVO)
- Auch das TTDSG ermöglicht einwilligungsfreies Tracking (Kuketz IT-Security)
Bild: Pixabay / Pablo Jimeno, Pixabay-Lizenz.
Sehr interessante und hilfreiche Artikel zum Thema Cookie-Banner. Aus den Artikeln konnte ich einen Aspekt nicht entnehmen (vielleicht habe ich ihn übersehen) und zwar wenn ein Unternehmen in einem Vertragsverhältnis mit den Nutzern der Website (Kunden) steht und über die AGB die Einwilligung einholt:
– dass es massgeschneiderte Angebote seiner Dienstleistungen zu Marketingzwecken anbietet und darauf hinweist, dass es zu diesem Zweck Kundenprofile anlegt – muss dann ein Cookie-Banner gesetzt werden (CH wie EU)?
Die Website enthält bereits eine Datenschutzerklärung, Nutzungsbedingungen und eine Opt-Out-Möglichkeit.
@Anonymus:
In Bezug auf die Schweiz ist grundsätzlich nie ein Cookie-Banner erforderlich. In Bezug auf den Europäischen Wirtschaftsraum (EWR) können Sie die Einwilligung durchaus vertraglich einholen, zum Beispiel mit AGB. Das funktioniert aber nur, wenn alle Nutzer einer Website den AGB zugestimmt haben, bevor die einschlägigen Cookies gesetzt werden. Das dürfte nicht realistisch sein. Ich muss man bei AGB aufpassen, dass tatsächlich eine wirksame Einwilligung erfolgt, was jenseits von sehr kurzen AGB fraglich ist.
Vielen Dank für die Antwort. Wenn die Einwilligung im Rahmen eines Beratungsmodells (vertragliche Grundlage), über entsprechende AGB und mit Verweis auf Schweizer Recht eingeholt wurde. Der entsprechende Kunde ist aber im EWR-Raum domiziliert, wäre dieses Vorgehen mit den EU-Richtlinien konform?