Am 01. Dezember 2021 trat das TDDDG ursprünglich als TTDSG in Kraft. Das Gesetz tritt neben den Anwendungsbereich der DSGVO und verbietet u.a. den Zugriff auf Daten, die z.B. auf Computern, Tablets oder Mobiltelefonen gespeichert sind, soweit der Zugriff nicht unbedingt erforderlich oder vom Nutzenden gewünscht ist. Dies hat weitreichende Folgen für den Einsatz von Cookies auf Webseiten und die Zuständigkeit der Aufsichtsbehörden, wie dieser Beitrag zeigt.
Der Inhalt im Überblick
Der lange Weg zur Umsetzung der Cookie-Richtlinie im TTDSG
Das Datenschutz-Gesetz für Telekommunikation und Telemedien (TTDSG) führte bestehende datenschutzrechtliche Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) in einem Gesetz zusammen. Insbesondere erfolgte dabei die seit langem überfällige Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie.
Vor Inkrafttreten des TTDSG war lange unklar, welche Regelungen für den Einsatz von Cookies gelten. Ein deutsches vermeintliches Äquivalent zum Art. 5 Abs. 3 der ePrivacy-RL wurde aus dem alten § 15 Abs. 3 Satz 1 Telemediengesetz (TMG) herausgelesen, was schließlich den datenschutzrechtlichen Rahmenbedingungen entspreche. So sahen es zumindest die damalige deutsche Bundesegierung und die Kommission – anders als die Aufsichtsbehörden. Der § 15 Abs. 3 TMG forderte explizit aber immer noch nur ein Opt-Out für eine wirksame Einwilligung, wie es auch die ursprüngliche Fassung der ePrivacy-Richtlinie. Doch schon 2009 hatte das Europäische Parlament eine Änderungen der Richtline verabschiedet, wonach das Opt-Out-Prinzip bei der Einwilligung durch ein Opt-In-Prinzip ersetzt wurde. Diese Diskrepanz zwischen deutschem und europäischem Recht beschäftigte dann jahrelang die Gerichte. Selbst der BGH stieß bei der Anwendung des § 15 Abs. 3 Satz 1 TMG an seine Grenzen und legte im sogenannten „Cookie-Urteil“ (Planet 49) das Gesetz richtlinienkonform aus.
Die Diskussionen darüber, ob die Cookierichtlinie hinreichend durch die Regelungen im Telemediengesetz in nationales deutsches Recht umgesetzt worden war, hatte mit der Einführung des TTDSG ein Ende.
Das TTDSG wird zum TDDDG
Durch das am 14. Mai 2024 in Kraft getretene Digitale-Dienste-Gesetz (DDG) erhielt das TTDSG einen neuen Titel. Das TTDSG wird nunmehr als Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG) bezeichnet. Neben der Änderung des Titels hat sich inhaltlich im Wesentlichen nichts geändert. Allein der Begriff der Telemedien wird in der aktuellen Fassung durch den der digitalen Dienste ersetzt.
Welche Vorgaben gelten für das Setzen von Cookies?
Das TDDDG tritt neben den Anwendungsbereich der DSGVO und soll die Datenschutzvorschriften für Telekommunikations- und Digitale Dienste aus der DSGVO ergänzen und detaillieren.
Folgende Unterschiede der beiden Gesetze sind dabei zu beachten: Werden bei dem Einsatz von Technologien keine personenbezogenen Daten verarbeitet, sind nur die Vorgaben des TDDDG, nicht aber diejenigen der DSGVO anzuwenden.
Bei der Nutzung von Cookies, bei der das Nutzerverhalten nachverfolgt werden kann, werden regelmäßig personenbezogene Daten verarbeitet, sodass sowohl der Anwendungsbereich des TDDDG als auch der der DSGVO eröffnet ist, ebenso wie die zugrunde liegende Cookie‑Richtlinie. Das wird insbesondere dadurch ersichtlich, dass § 25 Abs. 1 S. 2 TDDDG ausdrücklich Bezug auf die DSGVO nimmt.
Der Anwendungsbereich des TDDDG ist damit nicht wie in der DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von digitalen Diensten erhobenen Informationen.
Für den Fall einer Kollision des TDDDG mit der Cookie‑Richtlinie normiert Art. 95 DSGVO eine Kollisionsregelung, wonach der datenverarbeitenden Stelle durch die DSGVO
„auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten“
auferlegt werden, soweit die Cookie‑Richtlinie entsprechende Regelungen vorsieht, die dasselbe Ziel verfolgen.
Grundsätzlich Einwilligung für Speicherung und Zugriff auf Informationen
§ 25 Abs. 1 TDDDG regelt, dass eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Für die Beurteilung der Wirksamkeit einer Einwilligung nach § 25 Abs. 1 S. 1 TDDDG müssen deshalb dieselben Bewertungsmaßstäbe beachtet werden, wie bei der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
In § 25 Abs. 2 formuliert das TDDDG begrenzte Ausnahmen von der Einwilligungsbedürftigkeit:
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Was ist mit „unbedingt erforderliche“ Cookies gemeint?
Die unbedingte Erforderlichkeit hängt von der technischen Notwendigkeit ab. Das heißt, dass die Nutzung von Cookies für den angestrebten Zweck unbedingt erforderlich sein muss, damit der Anbieter einen vom Nutzer aufgerufenen Dienst zur Verfügung stellen kann.
Ein Beispiel für technisch notwendige Cookies ist die notwendige Sitzungsverwaltung. Die Cookies werden notwendig, wenn sich der Nutzer beim Login anmeldet oder das Produkt in den virtuellen Warenkorb legt.
Von der technischen Notwendigkeit ausgenommen ist z.B. die Setzung einer Session-ID, wenn der Nutzer die Webseite lediglich aufruft. Außerdem dürfen Cookies grundsätzlich erst ab dem Zeitpunkt einwilligungsfrei genutzt werden, ab dem sie unbedingt erforderlich sind und nicht bereits vorher.
Cookie-Banner: Die Fehler liegen im Detail
Die Gestaltung der Cookie-Banner ist nicht kompliziert, wenn gewisse Vorgaben beachtet werden. Da jedoch eine Reihe von Vorgaben beachtet werden muss, steckt der Teufel im Detail.
Braucht jede Website einen Cookie-Banner?
Zunächst sollte immer überprüft werden, ob ein Cookie-Banner überhaupt erforderlich ist.
Sofern keine einwilligungsbedürftigen Verarbeitungen vorgenommen werden, ist nach der DSGVO auch keine Einwilligung nötig. Nach dem TDDDG ist keine Einwilligung notwendig, wenn keine Informationen auf den Endgeräten der Nutzer abgelegt oder von dort ausgelesen werden, die nicht unbedingt erforderlich sind, damit von den Nutzenden ausdrücklich gewünschte Dienste zur Verfügung gestellt werden können.
Empfehlenswert ist, vor allem um den eigenen Aufwand zu minimieren, so weit möglich auf Cookies und einwilligungsbedürftige Verarbeitungen zu verzichten. Betreiber können damit vermeiden, von Internetangeboten und anderen digitalen Diensten die umfangreichen Herausforderungen bei der korrekten Einholung von Einwilligungen erfüllen zu müssen.
Werden nicht-einwilligungsbedürftige Cookies genutzt, muss die Nutzung nur in den Datenschutzhinweisen aufgenommen werden.
Was muss im Cookie-Banner stehen?
Ist ein Cookie-Banner notwendig, muss der Banner wie folgt gestaltet werden:
- Deutliche und verständliche Formulierung
- Der Zweck der Verarbeitung muss angegeben werden
- Die Opt-in-Funktion muss zur Verfügung gestellt werden
- Es darf keine vorherigen (Dritt-)Verbindungen (Datentransfer an Dritte) bestanden haben
- Keine unterschwellige Beeinflussung zur Abgabe einer Einwilligung (Nudging)
- Cookie-Widerspruch muss einfach zugänglich sein
- Zugriff auf Impressum und Datenschutzhinweise darf nicht verhindert oder eingeschränkt werden
- Freiwilligkeit der Einwilligung muss deutlich sein
- Auf die Widerrufsmöglichkeit muss hingewiesen werden
Wichtig ist auch, die zeitliche Komponente zu beachten: Die Einwilligung in die Nutzung von Cookies muss unmittelbar vor der ersten Nutzung der einwilligungsbedürftigen Funktionalität abgefragt werden.
Nudging, Dark Pattern oder doch bloß Design?
„Nudging“ (auf Dt. „anstupsen“) bezeichnet Techniken, durch die der Nutzer zur Abgabe einer Einwilligung geleitet werden soll. Beispielsweise ist in sog. Consent-Fenstern die Option „Zustimmen“ häufig im Vergleich zur Option „Ablehnen“ auffälliger / ansprechender gestaltet, z.B. durch Farbe, Schriftschnitt und sonstige Hervorhebungen.
Bei den „Dark Pattern“ (auf Dt. „dunkle Muster“) wird der Nutzer entgegen seiner Interessen und Willen zur Einwilligung verleitet. Dies kann durch verschiedene Phänomene, wie beispielsweise Manipulation, Täuschung oder Nötigung des Nutzers geschehen. Typische Erscheinungsformen sind neben Countdowns, die (scheinbar) zeitliche Befristung von Angeboten, auch Verweise auf die (vermeintliche) Knappheit und das (vermeintliche) Verhalten anderer Nutzer. Weitere Anwendungsbeispiele sind voreingestellte Eingabemöglichkeiten sowie suggestive oder emotionale Fragen und Hinweise. Am Beispiel eines Consent-Fensters liegt Dark Pattern vor, wenn sich der Nutzer im Fenster nicht zurechtfindet und die Option „Ablehnen“ erst durch viele weitere Klicks erreicht.
Bloßes Design liegt immer dann vor, wenn sich die Technik keines Nudging oder Dark-Patterns bedient, also keine Art der Beeinflussung des Verhaltens der Nutzer vorliegt, was selten der Fall ist.
Grundsätzlich gilt, dass jede Gestaltung eines Cookie-Banners, der dem Nutzer auf der ersten Ebene keine Wahl lässt, unzulässig ist. Bei der Gestaltung von Cookie-Bannern ist den Aufsichtsbehörden wichtig, dass die Nutzer bereits auf der ersten Ebene eine echte Wahlmöglichkeit haben.
In der praktischen Umsetzung heißt das am Beispiel des Consent-Fensters, dass die beiden Optionen sich zwar farblich unterscheiden dürfen, jedoch nicht in dem extremen Maße, dass die Einwilligung des Nutzers als „unmissverständlich abgegeben“ zu bewerten ist (Nudging). Im Fenster muss bereits auf der ersten und nicht erst auf zweiter Ebene, sowohl eine Option „Zustimmen“ als auch die Option „Ablehnen“ auswählbar sein (Dark Pattern).
Die doch komplizierte praktische Umsetzung dieser vergleichsweisen strengen Vorgaben für Cookie-Banner ruft immer wieder die Aufsichtsbehörden auf den Plan. So haben die Aufsichtsbehörden vermehrt auf das reale Risiko für Nutzer durch unzureichende Cookie-Banner hingewiesen. Um unzulässige Dark Pattern zu erkennen und zu vermeiden, verweisen die Aufsichtsbehörden auf die EDSA Guidelines, welche die einzelnen Dark Pattern-Phänomene mit vielen Beispielen anschaulich darstellt.
Bußgelder und Aufsichtsbehörden für Cookies
Der Gesetzgeber hat mit § 28 TDDDG einen Bußgeldtatbestand für Verstöße gegen die Vorschriften des TDDDG geschaffen. Die in dieser Norm geregelten Ordnungswidrigkeiten können mit einer Geldbuße bis zu 300.000 Euro geahndet werden. Problematisch ist vor allem die Zuständigkeit der Behörden bei der Verhängung von Bußgeldern nach § 28 TDDDG, z.B. bei Verstößen gegen § 25 TDDDG (§ 28 Abs. 1 Nr. 13 TDDDG).
Hintergrund der Problematik ist, dass die Cookie-Richtlinie nicht vorgibt, dass die Sanktionierung zwingend durch nationale Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA in der Stellungnahme 5/2019
„Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“
Gemäß § 1 Abs. 1 Nr. 8 TDDDG bleiben bei digitalen Diensten die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Demnach sind die Datenschutzaufsichtsbehörden der Länder für die Anwendung des TDDDG zuständig, sofern das Landesrecht eines Bundeslands eine solche Zuständigkeit regelt. Nationale Landesdatenschutzbehörden sind daher nicht automatisch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TDDDG. Die Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der Cookie-Richtlinie zuständig,
„wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“
(EDSA, Stellungnahme 5/2019). Es bedarf demnach einer Regelung über die sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten für jedes Bundesland. Eine solche fehlt in den meisten Bundesländern.
Auch § 113 S. 1 MStV spricht die Aufgabe der Aufsicht den „nach allgemeinen Datenschutzgesetzen zuständigen Aufsichtsbehörden“ zu, also den Landesdatenschutzbehörden. „Allgemeine Datenschutzbestimmungen“ im Sinne des § 113 S. 1 MStV sind die Anforderungen aus DSGVO, BDSG und DDG, sodass auch das TDDDG von dieser Norm erfasst sein kann. Aber auch hier ist wieder Voraussetzung, dass die Länder eigene Telemedienzuständigkeitsgesetze statuieren, wie etwa das TMZ-Gesetz in NRW.
Hinzu kommt die Problematik, dass die DSGVO und das TDDDG unterschiedliche Anknüpfungspunkte haben: Für die Bestimmung der zuständigen Behörde ist die Belegenheit der Niederlassung des Verantwortlichen maßgeblich, Art. 3 Abs. 1, Art. 55 DSVGO, wohingegen das TDDDG an die Person des Diensteanbieters (§ 2 TDDDG) anknüpft. Dies könnte zu einer künstlichen Aufspaltung der Zuständigkeit für denselben Sachverhalt führen und die Durchsetzung der Bußgelder verkomplizieren.
Die neuen Herausforderungen des TDDDG
Webseitenbetreiber sollten sicherstellen, dass die Anforderungen des § 25 TDDDG eingehalten werden. Sofern nicht ausschließlich technisch unbedingt erforderliche Cookies gesetzt werden, ist ein gesetzeskonformer Cookie-Banner vorzuhalten. Eine erste Verurteilung aufgrund eines rechtswidrigen Cookie-Banners hat es bereits gegeben. Ein bekannter Wetterdienst wurde vom OLG Köln zu einer Geldstrafe in Höhe von 250.000 Euro verurteilt, da der Cookie-Banner unter anderem nicht den Anforderungen an eine Einwilligung für Analyse – und Marketingcookies nach § 25 TDDDG entsprach. Diese Verurteilung zeigt, dass die gesetzlichen Anforderungen ernst zu nehmen und umzusetzen sind.