Die nächste Stufe des Cookie-Wahnsinns: Die Auswirkungen des TTDSG

Von Benjamin Schauß

Am 1. Dezember 2021 trat mit § 25 TTDSG in Deutschland erstmalig eine gesetzliche Regelung zur Zulässigkeit der Verwendung von Cookies und ähnlichen Verfahren in Kraft. Eine rechtswidrige Verwendung von Cookies wird zur Ordnungswidrigkeit erklärt. Doch schon aufgrund der bisherigen Rechtslage wurden 2021 diverse Betreibende von Websites durch den Verbraucherzentrale Bundesverband e. V. wegen rechtswidriger Cookie-Banner abgemahnt.

Cookies grundsätzlich nur nach Einwilligung

Cookies sind kleine Textdateien mit Informationen, die auf der Festplatte oder einem sonstiges Speichermedium des Endgerätes gespeichert und später von dort wieder ausgelesen werden. Nach § 25 Abs. 1 TTDSG ist die Speicherung von Informationen in der Endeinrichtung des Nutzers/der Nutzerin oder der Zugriff auf die dort gespeicherten Informationen nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen hierin eingewilligt hat. Betroffen ist neben Cookies jedes andere Verfahren, wie zum Beispiel local storage, das dazu dient, Informationen auf dem Endgerät zu speichern und von dort wieder auszulesen. Mit der Speicherung der Informationen wird in die Privatsphäre des Nutzers/der Nutzerin eingegriffen, zu der auch das Speichermedium seines Endgerätes zählt. § 25 TTDSG orientiert sich eng am Wortlaut der zuvor nie unmittelbar ins deutsche Recht umgesetzten Regelung des Art. 5 Abs. 3 der europäischen ePrivacy-Richtlinie.

Die bislang noch geführte Diskussion über das Erfordernis einer Einwilligung wird durch das TTDSG daher grds. beendet. In der Regel ist danach kein Einsatz eines Cookies ohne Einwilligung des Nutzers zulässig.

Keine Regel ohne Ausnahme

Ausnahmen vom Erfordernis der Einwilligung liegen nach § 25 Abs. 2 TTDSG nur vor, wenn der Cookie entweder die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsdienstnetz ermöglicht oder – für den Betreiber von Websites relevant – erforderlich ist, um dem Nutzer/der Nutzerin eine von ihm/ihr ausdrücklich gewünschte Funktion zur Verfügung stellen zu können. Nach der Gesetzesbegründung zum TTDSG muss der Cookie technisch erforderlich sein. Danach wäre ein Cookie, der zwingend und ausschließlich der Darstellung oder der Funktionalität der Webseite dient, erforderlich im Sinne der Norm. In der Regel benötigen daher z. B. Cookies für den Warenkorb eines Onlineshops, mehrseitige Online-Formulare, die Auswahl der Sprache, die Authentifizierung (Login) auf einer Website oder in einer App sowie nutzerorientierte Sicherheitscookies keine Einwilligung.

Ein Cookie für rein statistische oder Werbezwecke ist hingegen – zumindest technisch – nicht erforderlich, um die vom Nutzer besuchte Seite anzeigen zu können oder die gewünschte Funktion zu ermöglichen und bedarf regelmäßig einer vorherigen Einwilligung.

Die Kunst der wirksamen Einwilligung

Die Voraussetzungen für eine wirksame Einwilligung zur Verwendung von Cookies ergeben sich aus den Regelungen der DSGVO in Art. 4 Nr. 11, Art. 7. Danach hat eine wirksame Einwilligung freiwillig für den bestimmten Fall, in informierter Weise und durch eine unmissverständlich abgegebene Willensbekundung zu erfolgen.

Ein Nutzer muss selbstverständlich auch die Möglichkeit haben, die Einwilligung zu verweigern. Somit kann – entgegen der unzutreffenden Feststellung vieler Cookie-Banner – allein das Verweilen des Nutzers auf einer Website keine wirksame Einwilligung darstellen. Es fehlt hier zudem an einer unmissverständlichen Willensbekundung des Nutzers hinsichtlich des Einsatzes von Cookies. Gleiches gilt im Fall von bereits vorangekreuzten Kästchen (Checkboxen) zur Einholung von Einwilligungen, die ebenso nicht zu einer wirksamen Einwilligung führen können.

Consent-Management-Plattformen

Auf zunehmend mehr Websites wird inzwischen statt eines Cookie-Banners eine sog. Consent-Management-Plattform (CMP) verwendet, die als Fenster bei Aufruf der Seite erscheint. Mit dieser soll die Einwilligung des Nutzers durch Klicks auf Buttons und Checkboxen eingeholt und sichergestellt werden, dass nur solche Cookies zum Einsatz kommen, für die die Einwilligung bereits erteilt wurde. Allein die Verwendung eines solchen Tools garantiert jedoch noch keine wirksame Einwilligung bzw. zulässige Verwendung der Cookies, wenn insbes. die dem Nutzer/der Nutzerin hier erteilten Informationen unzureichend sind oder das Tool technisch falsch konfiguriert wurde.

Im Cookie-Banner oder auf der ersten Oberfläche der CMP sollten dem Nutzer bereits sämtliche Informationen zu den Cookies in Kurzform erteilt werden. Dies umfasst zum einen, welche Zwecke mit den eingesetzten Cookies verfolgt werden, zum anderen durch wen die für diese Zwecke erhobenen Daten verarbeitet werden. Weiter sollte bereits hier darüber informiert werden, ob die Daten des Nutzers an Dritte weitergegeben oder auch in Drittstaaten außerhalb der EU übermittelt werden. Der Nutzer ist auf sein Recht zum jederzeitigen Widerruf der von ihm erteilten Einwilligung hinzuweisen. Die weiteren von der DSGVO geforderten Informationen finden sich dann in der Datenschutzerklärung des Verantwortlichen, zu der die Nutzenden über einen Link im Cookie-Banner oder der CMP gelangen können.

Offenlegung der Zwecke der Cookies

Zwecke der Verarbeitung mit Hilfe von Cookies sind häufig z. B. die Erstellung von Statistiken zur Nutzung der Website oder auch personalisierte Werbung mit Bildung von Nutzungsprofilen. Sämtliche Zwecke sind dem Nutzer nachvollziehbar offenzulegen. Ein Informationstext, der zum Beispiel beschränkt ist auf: „Wir verwenden Cookies um Ihnen ein aufregendes Einkaufserlebnis zu ermöglichen“, enthält keine der erforderlichen Informationen. Die so eingeholte Einwilligung wäre mangels ausreichender Information des Nutzers/der Nutzerin unwirksam. Problematisch ist es zudem, wenn sich aus Informationstext und/oder Beschriftung des Buttons nicht zweifelsfrei ergibt, in was der Nutzer eigentlich einwilligt. Ein Button mit der schlichten Beschriftung „Okay“ wird hier z. B. – je nach Informationstext – häufig großen Interpretationsspielraum hinsichtlich des Erklärungsinhalts offenlassen.

Bei der Konfiguration der CMP ist schließlich sicherzustellen, dass die Konsequenzen der erteilten Einwilligungen oder Ablehnungen – insbes. bei selektiver Einwilligung entsprechend der Zwecke der Cookies – technisch richtig umgesetzt werden und somit nachweisbar keine Cookies ohne die entsprechende Einwilligung vom System gesetzt werden können.

Nudging – der „Trick“ mit dem grünen Button

Häufig ist bei der Gestaltung der Oberfläche einer CMP ein sogenanntes „Nudging“ zu beobachten, mit dem der Nutzer zur Erteilung der Einwilligung bewegt werden soll. In der Regel wird hierbei den Nutzenden im Banner oder auf der ersten Ebene der CMP ein großer grüner Button für die Erteilung der Einwilligung geboten; die Buttons oder Links für die Ablehnung oder die Möglichkeit für eine Auswahl der Cookies sind dagegen viel weniger offensichtlich auffindbar. Wird dem Nutzer/der Nutzerin auf diese Art und Weise seine/ihre Ablehnung zu sehr erschwert, stellt sich die Frage, ob die Einwilligung durch Klick auf den grünen Button denn tatsächlich noch freiwillig erteilt wurde. Eine derartige Gestaltung kann sich bezüglich der Wirksamkeit der Erteilung der Einwilligung zumindest im rechtlichen Graubereich bewegen.

Fazit: Handlungsdruck auch aufgrund neuer Sanktionsmöglichkeiten

Die neuen Regelungen des TTDSG führen zu einer höheren Rechtssicherheit bei der Verwendung von Cookies, eröffnen aber auch z. T. neue Sanktionsmöglichkeiten bei unzulässiger Verwendung. Diese kann als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000 Euro geahndet werden. Auch das Risiko einer Abmahnung durch Verbände und Wettbewerber steigt.

Als Verwender von Cookies auf Websites sollten Betreiber jetzt noch einmal überprüfen, ob für diese Einwilligungen eingeholt werden müssen und ob ihr Prozess zur Einholung der Einwilligung tatsächlich geeignet ist, eine rechtlich wirksame Einwilligung zu erlangen.