TTDSG: Regeln für Cookies

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) ist im Dezember 2021 in Kraft getreten. Ziel des Gesetzes ist es, die seit der Einführung der Datenschutzgrundverordnung (DSGVO) herrschenden Unsicherheiten zwischen der Anwendung von nationalen und europäischen Datenschutzbestimmungen zu beseitigen.

Anwendung findet das TTDSG auf „alle Unternehmen und Personen, die im Geltungsbereich eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“.

Das Gesetz gilt sowohl für die klassischen Kommunikationsdienste (Telefon, SMS) als auch für internetbasierte Kommunikationsdienste (E-Mail, Voice-over-IP-Telefonie, Videokonferenzen, Messenger-Dienste).

Speziell wird versucht, die im Internet herrschende Cookie-Flut einzudämmen und den Nutzern von Websites mehr Kontrolle über die von ihnen dort erhobenen Daten zu geben.

Bei „Cookies“ handelt es sich um Textdateien, die beim Aufruf einer Internetseite auf dem jeweiligen Endgerät eines Nutzers gespeichert und zu einem späteren Zeitpunkt wieder abgerufen werden können. Bei „Tracking- oder Marketing-Cookies“ muss immer eine Einwilligung durch den Nutzer erfolgen. Im Bereich der technisch notwendigen, teilweise auch als funktionale oder essenzielle Cookies bezeichnet, bestand eine gewisse Unklarheit, welche durch das TTDSG beseitigt wird (§ 25 TTDSG).

Keiner Einwilligung bedarf die Speicherung zu dem Zweck, dem Nutzer eine Nachricht zu übermitteln. Gleiches gilt, wenn die Speicherung erfolgt, um dem Nutzer eine Dienstleistung zur Verfügung stellen zu können, zum Beispiel durch Cookies, die für die Erstellung eines Warenkorbs im Online-Handel unerlässlich sind.

Ebenfalls im TTDSG geregelt sind „Dienste zur Einwilligungsverwaltung“, die sogenannten „PIMS“ (Personal Information Management Systems).

Nutzer können über Voreinstellungen für Cookies auf ihrem Endgerät treffen, welche beim Besuch einer Website übermittelt werden und somit in einigen Fällen das Erfordernis einer weiteren Einwilligungserklärung auf der aufgerufenen Website obsolet machen würden.

Die Erstellung und das Management der „PIMS“ sind an enge Vorgaben, die sich aus dem TTDSG ergeben und nur kumulativ möglich sind, gebunden. Unter anderem darf der Dienst keinen finanziellen Nutzen aus der Aufbewahrung der Daten ziehen und muss darüber hinaus von Unternehmen, die finanzielle Interessen an solchen Daten haben, unabhängig sein. Er soll quasi als „Datentreuhänder“ fungieren.

Was für eine Auswirkung die PIMS in der Unternehmenspraxis haben werden und welche eventuellen rechtlichen Fragestellungen sich daraus ergeben wird sich zeigen.

In Bezug auf die Gestaltung von Cookie-Bannern gibt es leider keine zufriedenstellende Lösung durch das TTDSG. Dort wird nicht geregelt, welche Mindestanforderungen (inhaltlicher oder visueller Natur) an Banner zum Zweck der Vereinheitlichung gestellt werden. Es besteht nur ein Verweis auf die Erfüllung der Anforderungen nach der DS-GVO (wie zuvor).

Die Problematik der Beeinflussung von Internetnutzern durch die Ersteller der Cookie-Banner im Rahmen der sogenannten „dark patterns“ und „nudges“, welche zu einer schnelleren und datenschutzrechtlich bedenklicheren Entscheidung auf Nutzerseite führen können, wurde gänzlich unbeachtet gelassen.

Die Aufsicht erfolgt umfassend, also auch im Hinblick auf die Verhängung von Bußgeldern durch den/die Bundesbeauftragten für Datenschutz als unabhängige Datenschutzaufsichtsbehörde (§ 29 TTDSG).

Das TTDSG schafft Möglichkeiten für die Betreiber von Webseiten, die von ihnen genutzten Cookie-Banner unter Umständen zu reduzieren, wenn ein Nutzer zum Beispiel ein „PIMS“ verwendet. Das könnte das Surfen im Internet in Zukunft angenehmer für Nutzer machen und für die Betreiber von Webseiten mehr Rechtssicherheit bringen.