Wie Sie Cookies 2022 noch legal trotz DSGVO u. TTDSG nutzen

Cookies 2022 DSGVO TTDSGIn diesem Beitrag erfahren Sie, was Cookies überhaupt sind. Insbesondere zeige ich Ihnen, worauf Sie in 2022 rechtlich künftig achten müssen und welche Folgen bei Verstößen gegen DSGVO u. TTDSG drohen.

Zunächst klären wir, was Cookies überhaupt sind und welche Arten es gibt. Dann beleuchten wir die rechtliche Seite, insbesondere die Frage: „Wie nutze ich Cookies rechtskonform?“.

Was sind Cookies?

Cookies sind natürlich keine Kekse zum Essen. Es handelt sich vielmehr um kleine Textdateien, die Websites oder andere Dienste (Apps) auf Ihrem Endgerät abspeichern. Endgerät, das kann ein Windows PC, ein Mac, ein iPhone, ein Android etc. sein. In diese Textdateien speichern die Internetdienste winzige Daten, um Sie bei einem Seitenbesuch wieder zu erkennen und um Ihnen gewisse Voreinstellungen oder Parameter zuzuordnen.

Beispiel: wenn Sie einen Onlineshop besuchen wie zum Beispiel Zalando, und diesen Shop nach zwei Wochen wieder besuchen (ohne eingeloggt zu sein), finden Sie oft dennoch noch Waren, die Sie zwei Wochen vorher in den Warenkorb gelegt haben. Das funktioniert mit Cookies.

Dazu holt sich die Website aus der zuvor bei Ihnen lokal abgelegten Textdatei die Information, die es der Website ermöglicht, Sie wieder zu erkennen. Die Website zeigt Ihnen dann die zuvor schon abgelegten Produkte im Warenkorb an.

Marketer lieben Cookies

Cookies können aber viel mehr als Warenkorb oder Spracheinstellungen dauerhaft speichern. Sie dienen auch und besonders dem Marketing.

Tracking

Zum einen können Besucherzähler (Tracking) wie zum Beispiel Google Analytics anhand von Cookies erkennen, dass Sie schon zum dritten Mal am Tag auf einer bestimmten Website waren. Sie werden dann lediglich als ein Besucher (statt drei) gezählt. Das ermöglicht es dem Seitenbetreiber, genauere Zugriffsstatistiken zu erstellen.

Retargeting

Denn mit Cookies ist es nicht nur einer einzigen Website möglich, Sie beim nächsten Besuch wieder zu erkennen. Vielmehr können Websites auch Cookies dritter Parteien auf Ihrem Endgerät ablegen. Das können Cookies von einem großen Werbenetzwerk wie Google Ads sein.

Die Folge: jede Website, die Mitglied dieses Werbenetzwerks ist, erkennt anhand des bei Ihnen abgelegten Cookies sofort, dass es sich um Sie handelt (Retargeting). Haben Sie beispielweise in einem Onlineshop Schuhe der Marke Adidas angesehen, werden Ihnen dann beim Besuch einer anderen Website (zum Beispiel einer Nachrichtenseite) wieder genau diese Schuhe angezeigt. Denn auch die Nachrichtenseite ist in unserem Fall Mitglied des Werbenetzwerk. So kann Google Sie als Seitenbesucher auf einer Vielzahl von unterschiedlichen Websites identifizieren.

Wie eben schon beschrieben finden Sie in der Website-Landschaft Cookies, die eher funktional sind, also dem Aufbau und der Darstellung eines Dienstes dienen. Zum anderen gibt es die Marketing oder Tracking Cookies. Auch diese habe ich Ihnen ja schon zuvor erläutert. Wir unterscheiden also zwischen

  • technisch erforderlichen und
  • optionalen Cookies

Was gilt Rechtlich?

Die Unterscheidung zwischen erforderlichen Cookies und denen, die nicht erforderlich sind, ist rechtlich besonders wichtig.

ePrivacy-Richtlinie

Denn bereits Art. 5 Abs. 3 der Datenschutz-Richtlinie (2002/58), auch ePrivacy Richtlinie genannt, geändert durch die „Cookie-Richtlinie“ (2009/136) regelt, dass Nutzer aktiv in die Verwendung von Cookies einwilligen müssen, wenn Cookies nicht „unbedingt erforderlich“ sind, um den Dienst überhaupt zu ermöglichen.

EuGH

Diese Richtlinie wurde aber bislang nicht vom deutschen Gesetzgeber umgesetzt, wie es eigentlich hätte getan werden müssen. So war die Rechtslage lange Zeit unklar, jedenfalls bis Oktober 2019. Da hat nämlich der EuGH mit Wirkung für die gesamte Europäische Union im Urteil vom 01.10.2019 (Az. C-673/17) konkretisiert, was bereits in der vorgenannten Richtlinie steht.

Nur Cookies die unbedingt erforderlich sind, um einen Dienst zu ermöglichen, dürfen ohne vorherige Einwilligung des Nutzers gespeichert werden. Gleiches gilt für den Zugriff auf solche Daten. Der vom EuGH entschiedene Sachverhalt handelte noch vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) – nach dieser gilt das Erfordernis der aktiven Einwilligung aber erst recht.

Und – welch Überraschung – ab diesem Moment sind die sogenannten Cookie-Banner wie Pilze aus dem Boden gesprossen.

TTDSG

Und jetzt endlich, mit vielen Jahren Verspätung, hat der deutsche Gesetzgeber endlich auch die Vorgaben der ePrivacy-Richtlinie in das deutsche Recht übernommen. Das Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG), das seit 1.12.2021 zu beachten ist, enthält in § 25 eine Vorschrift, die dem Art. 5 Abs. 3 der ePrivacy-RL fast genau nachgebildet ist. Die Rechtslage hat sich also dem TTDSG nicht wirklich geändert. Vielmehr ist die Rechtslage jetzt noch eindeutiger geworden, weil sie ins geltende Gesetz übernommen wurde.

Was muss ich tun?

Sie müssen nun als Anbieter von Internetdiensten zunächst ermitteln, ob Ihr Dienst auf dem Endgerät des Nutzers Cookies speichern. Wenn das der Fall ist, müssen Sie dann im zweiten Schritt zwischen Cookies unterscheiden, die unbedingt für den Dienst erforderlich sind, und solchen, die darüber hinausgehen (zum Beispiel Tracking Cookies).

Für die Cookies, die nicht unbedingt für Bereitstellung des Dienstes erforderlich sind, müssen Sie die vorherige Einwilligung des Nutzers einholen. Dafür haben sich sogenannte Cookie-Banner etabliert. Das sind Programme, die das Speichern von Cookies und auch den Zugriff auf Cookies so lange unterbinden, bis der Nutzer nicht mit einem Klick auf einen Button eingewilligt hat. Nur die unbedingt für den Dienst erforderlichen Cookies werden schon zuvor zugelassen.

Hier ist unbedingt darauf zu achten, dass das Cookie-Banner nicht nur ein sogenannter „Dummy“ ist. Es gibt nämlich Banner, die die nicht erforderlichen Cookies dennoch von von Anfang an ermöglichen, auch wenn der Nutzer nicht eingewilligt hat. Diese machen keinen Sinn. So sagt der EuGH:

… deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website

Was für Konsequenzen drohen bei Verstößen?

§ 28 TTDSG enthält nun eine eigene Bußgeldvorschrift. So können Verstöße gegen § 25 mit einer Geldbuße von bis zu 300.000 € geahndet werden. Und das ist noch ganz unabhängig von der DSGVO, die ja bekanntermaßen Bußgelder von bis zu 20 Millionen € oder 4 % des Vorjahresumsatzes (weltweit) als Bußgeld androht (Art. 83 Abs. 5 DSGVO).

Für einen Verstoß gegen das TTDSG werden Sie zwar vermutlich nicht 20 Millionen € zahlen müssen. Aber die Behörden werden immer strenger mit ihren Bußgeldern. Beträge in fünfstelliger Höhe sind sicherlich bereits Regelfall für Unternehmen. Kommen dann noch andere Datenschutzverstöße hinzu (fehlendes Verarbeitungsverzeichnis, unzureichende Sicherheitsmaßnahmen) können die Bußgelder auch deutlich höher ausfallen. Schlafende Hunde sollte man also nicht wecken.

Übrigens: das Amtsgericht Pfaffenhofen hat erst im September 2021 entschieden, dass ein Verstoß gegen Datenschutz sogar ein Schmerzensgeld (immaterieller Schadensersatz) nach sich ziehen kann. Der erlittene Schaden bestehe darin, dass es ein „ungutes Gefühl“ bei Betroffenen auslöse, wenn diese nicht wissen, wie ihre Daten genau genutzt werden.

Was ist mit Device Fingerprinting?

Einige schlaue Köpfe haben sich nun überlegt: ich brauche ja nicht unbedingt Cookies auf dem Endgerät abspeichern. Es genügt ja, ein eindeutiges Profil (sogenannter Fingerprint) des Nutzers anhand der unterschiedlichsten Geräteeinstellungen zu erstellen. Denn der Zugriff auf Bildschirmauflösung, Spracheinstellung, verwendeter Prozessor, Arbeitsspeicher etc. erlaubt es, eine relativ eindeutige Kombination zu erstellen und anhand derer kann dann der Nutzer wiedererkannt werden.

Nun ist es so: Im Gesetz heißt es jetzt nicht mehr „Endgerät“ sondern „Endeinrichtung“. Nach dem TTDSG ist also auch der Zugriff auf Daten in der Endeinrichtung unzulässig, egal ob es sich um personenbezogene Daten handelt oder nicht.

Ich bin deshalb fest der Überzeugung, dass auch das sog. Device Fingerprinting unter die Vorschriften des § 25 TTDSG fallen. Eine gerichtliche Entscheidung gibt es hierzu zwar noch nicht. Der EuGH legt aber den Datenschutz immer strenger aus und wird eine Frage auf jeden Fall zugunsten der Betroffenen entscheiden.

Zusammenfassung

Die einst für das online Marketing tragende Rolle von Cookies schwindet mehr und mehr. Denn die gesetzlichen Vorgaben erlauben es nur noch im Fall einer ausdrücklichen, vorherigen Einwilligung, die für Marketingzwecke nötigen Cookies zu speichern bzw. auszulesen.

Verstöße gegen diese klaren gesetzlichen Regelungen werden in Zukunft strenger geahndet werden, als bisher. Es ist daher meine Empfehlung an Sie, diese gesetzlichen Vorschriften auch einzuhalten, wenn Sie nicht bewusst erhebliche Risiken eingehen möchten.

Finden Sie dieses Thema spannend? Dann folgen Sie doch meinem YouTube-Kanal:

besuchen Sie meinen YouTube Kanal

Das könnte Dir auch gefallen

Über den Autor Dr. Max Greger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.