Ein Blogbeitrag von Mareike Gehrmann, Fachanwältin für IT-Recht und Salary Partnerin bei der Wirtschaftskanzlei Taylor Wessing
Cookies werden auf so gut wie jeder Website benutzt. Dennoch waren in Deutschland lange die rechtlichen Parameter für die Verwendung von Cookies unklar. Denn der deutsche Gesetzgeber hatte es versäumt, die Vorgaben der Europäischen Union umzusetzen. Dies ändert sich nun mit dem seit dem 1. Dezember 2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Anders als in Deutschland hatten die Niederlande bereits 2012 die Vorgaben des europäischen Gesetzgebers umgesetzt. Hier gilt weiterhin das bereits Bekannte.
Ziel des TTDSG ist die erforderliche Anpassung der diversen Datenschutzbestimmungen im Telekommunikations- und Telemediengesetz an die Vorgaben der Datenschutz-Grundverordnung (DSGVO), die Zusammenführung dieser Normen zu einem Gesetz und die Umsetzung der europäischen Vorgaben zur Nutzung von Cookies gemäß der ePrivacy-Richtlinie aus dem Jahr 2002, angepasst durch die Cookie-Richtlinie im Jahr 2009.
Vor allem für den Einsatz von Cookies sieht das TTDSG nun neue Regelungen vor. Demnach darf die Speicherung von Informationen im Endgerät oder der Zugriff auf Informationen, die bereits im Endgerät gespeichert sind, nur noch erfolgen, wenn der/die Website-Nutzer:in hierin eingewilligt hat. Der Zugriff von Unternehmen mit Cookies auf Endgeräte ist nur noch dann ausnahmsweise ohne Einwilligung möglich, wenn es sich um einen sog. „unbedingt erforderlichen“ Cookie handelt. Leider konkretisiert der deutsche Gesetzgeber nicht, wann ein Cookie „unbedingt erforderlich“ ist, sodass dies weiterhin unklar bleibt. Bisher wurde diese Erforderlichkeit angenommen, wenn ohne den Einsatz von Cookies die ordnungsgemäße Funktionsweise einer Website nicht möglich war, wie beispielsweise bei Login-Cookies.
Empfindliche Bußgelder
Entscheidend ist, das TTDSG gilt nicht nur im Hinblick auf personenbezogene Daten, sondern auch für sonstige Daten, die auf diese Weise erhoben werden können. Aber Achtung: Die strengen Regelungen der DSGVO sind hiermit nicht gänzlich außer Acht zu lassen. Die deutschen Datenschutzbehörden haben bereits in ihrer Stellungnahme vom 20. Dezember 2021 klargestellt, dass das TTDSG nur hinsichtlich des „Ob“, also des Setzens des Cookies gilt. Ein Verstoß hiergegen kann mit einem Bußgeld in Höhe von bis zu 300.000 Euro bestraft werden. Bezüglich der Ausgestaltung der Einwilligung („Wie“) und hinsichtlich der weiteren Verarbeitung der durch den Cookie erhobenen personenbezogenen Daten gilt weiterhin die DSGVO und damit auch das strenge Sanktionsregime.
Im TTDSG hat der deutsche Gesetzgeber zudem eine neue Regelung zu „Einwilligungsverwaltungssystemen“ (Personal Information Management-Systeme) aufgenommen. Hierdurch sollen Besucher:innen von Websites zukünftig die Option haben, auf ihren Endgeräten – und nicht wie bisher via Cookie-Banner – zu hinterlegen, welche Einwilligungen wofür erteilt werden sollen.
Das TTDSG gilt für alle Unternehmen und Personen, die in Deutschland eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken. Wer also eine Website in Deutschland betreibt, sollte schnellstmöglich sicherstellen, dass er diese neuen Anforderungen umsetzt. Denn die deutschen Datenschutzbehörden prüfen bereits jetzt regelmäßig die Cookies-Banner auf den Webseiten, vor allem die Berliner Datenschutzbehörde.
Blick in die Niederlande
In den Niederlanden wurden die europäischen Anforderungen der ePrivacy-Richtlinie hingegen bereits im Jahr 2012 durch das Telecommunicatiewet (Telekommunikationsgesetzes) umgesetzt. Dieses sieht die gleichen Regelungen wie das TTDSG vor.
Auch im Hinblick auf weitere Themen rund um Cookies, wie Cookie-Walls, war die niederländische Datenschutzbehörde ihren deutschen Kollegen:innen deutlich voraus. Bereits im März 2019 nahm sie dazu Stellung, dass eine Kopplung von Tracking Cookies und Website-Nutzung nicht mit der DSGVO vereinbar sei und auf diese Weise eingeholte Einwilligungen mangels Freiwilligkeit unwirksam seien. Dieser strengen Ansicht folgten auch Großbritannien und Frankreich, Deutschland hingegen erst Mitte 2020 (AHA 24×7 berichtete).
Zukunftspläne der Europäischen Union
Um den Umgang mit Cookies, Tracking Tools und vergleichbaren Technologien auf Webseiten innerhalb der Europäischen Union zu vereinheitlichen, war ursprünglich geplant, die sog. ePrivacy-Verordnung gemeinsam mit der DSGVO am 25. Mai 2018 in Kraft treten zu lassen. Der erste Entwurf wurde im Januar 2017 veröffentlicht. Seitdem streiten und verhandeln die Mitgliedstaaten vor allem im Hinblick auf den „Cookie-Paragraphen“. So ist weiterhin offen, für welche Art von Cookies (z.B. First-Party-Cookies zur Reichweitenmessung) eine Einwilligung eingeholt werden soll und wie eine anderweitige Rechtsgrundlage aussehen könnte. Mit einem Inkrafttreten vor 2023 ist deshalb nicht zu rechnen. Zudem würde die ePrivacy-Verordnung erst ab 2025 Anwendung finden, da der aktuelle Entwurf wie bei der DSGVO eine Umsetzungsfrist von 24 Monaten vorsieht.
Das bedeutet: Betreibt ein Unternehmen sowohl in den Niederlanden als auch in Deutschland eine Website und setzt Cookies ein, muss sich es sich jeweils an die aktuell geltenden Landesgesetze halten, welche nun endlich vergleichbar sind. Wer in Deutschland bislang nur die „weniger strengen“ Maßgaben erfüllt hat, sollte deshalb schnellstmöglich seinen Umgang mit Cookies überprüfen und an die neuen Vorgaben anpassen.
Über die Autorin
Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.