Datenschutzgesetz zum Einsatz von Cookies: TTDSG als Cookie-Richtlinie
Du fragst dich, warum du beim Besuch eines Online-Shops mit deinem Namen begrüßt wirst? Warum dir nach einer Produkt-Recherche vermehrt Werbeanzeigen für diesen Artikel angezeigt werden? Der Grund dafür sind Cookies (engl. „Kekse“). Sie werden im Internet nicht zum Tee gereicht, sondern sind Bestandteil fast jeder Webseite. Dennoch genießen sie keinen guten Ruf und gelten gemeinhin als Datenschutzrisiko.
Deshalb hat der Gesetzgeber gehandelt: Seit dem 20. Mai 2021 gelten das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz: TTDSG) sowie neue Regelungen, die für fast alle Webseitenbetreiber und ihre Dienste bindend sind. Was genau sich hinter dem Gesetz verbirgt, erfährst du in diesem Artikel. Ebenfalls wissenswert: Was sind überhaupt Cookies und warum müssen Webseiten-Besucher ihrem Einsatz zustimmen?
Was sind Cookies?
„Cookies“ sind kleine Textdateien, die auf deinem Rechner gespeichert werden, wenn du eine Webseite besuchst. In Cookies werden bestimmte Informationen (z.B. deine bevorzugte Sprache) hinterlegt. Besuchst du später noch einmal diese Seite, übermittelt dein Browser die gespeicherten Cookie-Informationen. Du wirst wiedererkannt.
Cookies werden in vier Kategorien eingeteilt:
- erforderliche Cookies
- technische Cookies
- Tracking-Cookies
- Marketing-Cookies
Erforderliche Cookies: Erforderliche oder auch essentielle Cookies sind beim Surfen besonders hilfreich und unabdingbar. Sie werden für Funktionen genutzt, die ohne Cookies technisch gar nicht umsetzbar wären. Zum Beispiel für Anmeldungen in einem Kundenkonto oder für die Verwendung der Warenkorbfunktion.
Performance-Cookies: Diese technischen Cookies erhöhen die Usability einer Webseite. Sie speichern Einstellungen, damit Nutzer sie nicht immer wieder neu treffen müssen. Ein typischer Verwendungszweck ist ein Sprachenumschalter, der die einmal eingestellte Sprache behält – auch bei einem erneuten Besuch der Webseite.
Tracking-Cookies: Diese Cookies speichern, wie ein Benutzer mit einer Webseite interagiert. Wie lange bleibt er? Welche Unterseiten werden besucht? Welche Inhalte kommen besonders gut an? Die erhobenen Daten dienen der Erstellung von Bewegungsprofilen. Sie können vom Betreiber einer Webseite mit einem Analyseprogramm – zum Beispiel Google Analytics – abgerufen werden.
Marketing-Cookies: Sie werden verwendet, um Besuchern passende Werbeanzeigen einzublenden. Garantiert ist es dir schon passiert, dass du in einem Online-Shop nach einem neuen Stabmixer gesucht und ab sofort nur noch Werbung für Stabmixer angezeigt bekommen hast. Marketing-Cookies speichern deine Such-Anfrage und leiten diese Informationen an Drittanbieter weiter.
Warum ist für Cookies eine Einwilligung erforderlich?
Cookies sammeln sensible Daten und übermitteln diese unter Umständen an Unternehmen und Werbetreibende. Zu den personenbezogenen Informationen gehören zum Beispiel:
- die IP-Adresse und E-Mail-Adresse
- die Häufigkeit und Dauer der Internetbesuche
- besuchte Webseiten
- kürzlich angesehene Produkte
- Passwörter
Am 20.5.2021 wurde vom Bundestag das TTDSG beschlossen. Dieses Gesetz regelt auch den Einsatz von Cookies. Gemäß § 25 TTDSG dürfen Dritte Informationen auf Endeinrichtungen eines Benutzers nur speichern oder auf diese Informationen zugreifen, wenn der Endbenutzer darüber informiert wurde und eingewilligt hat.
Es gibt jedoch Ausnahmen. Eine Einwilligung ist nach § 25 Abs. 2 Nr. 1 TTDSG nicht erforderlich, wenn die Speicherung von oder der Zugriff auf Informationen nur erfolgt, um eine Nachricht zu übermitteln. Auch, wenn die Speicherung von oder der Zugriff auf die Information unbedingt erforderlich ist, um vom Endbenutzer nachgefragte Telemedien bereitzustellen, ist keine Einwilligung erforderlich.
Cookies und Datenschutz: Welche Websites benötigen ein Cookie-Banner?
Bereits seit Inkrafttreten der EU-Datenschutz-Grundverordnung (kurz: EU-DSGVO) im Jahr 2018 erfordert die Verwendung von Cookies auf einer Webseite die ausdrückliche Einwilligung des Nutzers. Eine Einwilligung – zum Beispiel mit einem Cookie-Banner – muss ausdrücklich, freiwillig und informiert erfolgen. Das gilt jedoch nicht für alle Arten von Cookies. Die Verarbeitung personenbezogener Daten, die sich auf die Rechtsgrundlage des berechtigten Interesses des Betreibers stützt, erfordert keine Zustimmung.
Ob ein Cookie-Banner notwendig ist, hängt davon ab, welche Cookies konkret verwendet werden. Technisch notwendige Cookies (zum Beispiel Warenkorb-Cookies) brauchen kein Cookie-Banner. Ähnliches gilt für Funktionscookies, die lediglich die Nutzung einer Webseite vereinfachen. Anders sieht es bei Cookies aus, die personenbezogene Daten speichern. Diese erfordern stets ein Cookie-Banner. Dazu zählen zum Beispiel Werbe-, Tracking- und Third-Party-Cookies.
Doch wie genau muss ein Cookie-Banner aussehen? Vor der 2021 in Kraft getretenen EU-Datenschutzrichtlinie für elektronische Kommunikation (der sogenannten Cookie-Richtlinie) wurden Webseitenbesucher lediglich durch ein kleines Pop-up-Fenster über die Nutzung von Cookies informiert. Das reicht heute nicht mehr aus. Ein Cookie-Banner muss detailliert und umfangreich sein. Es muss eine Aufzählung der einzelnen Cookies enthalten und dem Benutzer die Möglichkeit der Auswahl geben, welche Cookies genutzt werden dürfen und welche nicht.
Unser Tipp: Ob deine Homepage einen Cookie-Banner benötigt und wie du diesen rechtssicher gestaltest, sagt dir unser Webcheck.
Was ist der Unterschied zwischen der ePrivacy-Verordnung, der DSGVO und des TTDSG?
In Bezug auf das Thema „Datenschutz“ fallen immer wieder die Begriffe „DSGVO“, „ePrivacy-Verordnung“ und „TTDSG“. Doch was genau verbirgt sich dahinter?
Die Datenschutz-Verordnung (kurz: DSGVO) vereinheitlicht den Datenschutz in der EU. Sie regelt insbesondere den Schutz personenbezogener Informationen, wie beispielsweise Name, Geburts- und Kontaktdaten – aber auch Informationen zur politischen Meinung und Gesundheit. Gemäß DSGVO sind Betreiber einer Webseite dazu verpflichtet, Benutzer über die Erhebung und Verarbeitung personenbezogener Daten zu informieren.
Die europäische ePrivacy-Verordnung (kurz: EPVO) hingegen konkretisiert, wie Unternehmen diese Daten im Detail nutzen dürfen. Sie soll in erster Linie die personenbezogenen Daten in der elektronischen Kommunikation vor Datenmissbrauch schützen. Sie stellt eine Ergänzung zur DSGVO dar und erweitert sowie präzisiert die darin getroffenen Regelungen.
Beide Verordnungen sollen die Datenschutz-Regelungen innerhalb der EU-Mitgliedsstaaten vereinheitlichen und die Privatsphäre der Nutzer schützen. Allerdings bezieht sich die EPVO nur auf die Online-Branche, während die DSGVO auch Offline-Medien umfasst. Wichtig zu wissen: Webseitenbetreiber müssen grundsätzlich beide Verordnungen einhalten.
Welche Rolle spielt nun das TTDSG? Das TTDSG hat den Zweck, die aus dem Nebeneinander von DSGVO und EPVO resultierenden Rechtsunsicherheiten zu beseitigen. Hierzu werden die Datenschutz-Regelungen der DSGVO und der EPVO in einem neuen Gesetz zusammengeführt. Im Ergebnis soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre von Endbenutzern gewährleistet werden. Was sich ändert: Die Sicherstellung der Einhaltung der Einwilligungspflicht ist gem. § 27 Abs. 2 TTDSG zukünftig Sache des Bundesdatenschutzbeauftragten.
Bundestag beschließt neues TTDSG: Das Wichtigste in Kürze
Das TTDSG soll zum 01.12.2021 in Kraft treten. Es fasst die Datenschutz-Regelungen der DSGVO und spezielle Vorschriften der EPVO zum Zwecke der Rechtssicherheit in einem neuen Gesetz zusammen.
Die Verwendung von Cookies ist gemäß § 25 TTDSG nur mit Einwilligung des Endbenutzers gestattet. Davon ausgenommen sind Cookies, die für das Bereitstellen der Internetseite sowie ihrer Funktionen zwingend erforderlich sind. Wichtig: Vor der Zustimmung des Nutzers dürfen keine persönlichen Daten an den Webseiten-Betreiber oder Dritte übertragen werden.
Webseiten, die nicht notwendige Cookies (Marketing- oder Tracking-Cookies) nutzen, müssen Besucher darüber informieren. Ein einfaches Info-Fenster reicht nicht aus. Ein Cookie-Banner muss die verwendeten Cookie-Technologien detailliert auflisten. Darüber hinaus muss der Benutzer die Möglichkeit haben, einzelne Cookies abzulehnen und seine Einstellungen jederzeit zu widerrufen.
Deinen Onlineshop jetzt mit dem Recht 24/7 Secure Shop absichern