Am 1. Dezember 2021 steht eine Gesetzesänderung an, die in der Marketing-Branche bereits jetzt für Aufruhr sorgt: Das geplante, neue Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG). Wann darf ich Cookies setzen? Welche alternativen Lösungen gibt es? Und verbietet das Gesetz Third-Party-Cookies endgültig? Zumindest in der Außendarstellung wird die Gesetzesänderung von Tool-Anbietern und Marketern mit anderen Dingen in einen Topf geworfen. Doch, so viel sei verraten, man muss das auseinanderhalten – deshalb gibt’s von uns heute ein Update. Was ist das TTDSG nun wirklich? Ändert sich tatsächlich was? Wenn ja, wie viel? Betrifft mich das? Muss ich irgendwas machen? Diese Fragen beantwortet unser Experte Martin Kilgus, Counsel der Kanzlei CMS Hasche Sigle, im Interview.

Wie kam es zur Entwicklung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)?

Martin Kilgus: Das TTDSG ist das Ergebnis einer Entwicklung. Der Gesetzgeber hat gemerkt, dass im Moment die Datenschutzregelungen für Telekommunikation und Onlinedienste ziemlich verstreut sind. Es gibt ein paar Regelungen im Telemediengesetz (TMG), einige im Telekommunikationsgesetz (TKG) und die Datenschutzgrundverordnung (DSGVO). Die Überlegung war, diese zusammenzuführen. Genau dazu dient dieses neue Telekommunikation-Telemedien-Datenschutz-Gesetz. Dabei hat man dann auch gleich die europäischen Vorgaben mit umgesetzt, genauer gesagt die E-Privacy-Richtlinie. Deswegen sind manche Teile auch gar nicht neu, sondern nur in das TTDSG verlagert worden.

Foto von Martin Kilgus, Counsel der Kanzlei CMS Hasche Sigle
Martin Kilgus, Counsel der Kanzlei CMS Hasche Sigle
Bildnachweis: CMS

Kannst du sagen, was sich für das Online-Marketing, die Datenerhebung etc. aus rechtlicher Sicht ändert?

Martin Kilgus: Ändert sich wirklich was? Die bisherige Regelung, insbesondere zur Cookie-Nutzung, zur Nutzung von Daten für Tracking-Zwecke oder für das Angebot von Telemedien, war im TMG festgeschrieben. Die Umsetzung war in Deutschland nicht europarechtskonform. Jetzt steht also schwarz auf weiß im Gesetz, wie man es wirklich handhaben muss. Der Gesetzgeber hat für das TTDSG die E-Privacy-Richtlinie übernommen. Für alle, die sich bisher entsprechend der Rechtsprechung verhalten haben, ändert sich durch das TTDSG, eigentlich nichts.

„Für alle, die sich bisher entsprechend der Rechtsprechung verhalten haben, ändert sich durch das TTDSG, eigentlich nichts.“

Eigentlich?

Martin Kilgus: Naja, es gibt natürlich einige, die „sportlicher unterwegs“ waren. Das bisherige TMG konnte anders ausgelegt werden als es der europäische Gesetzgeber vorgesehen hat. Das war seit dem Cookie-Urteil aber nicht mehr wirklich vertretbar. Jetzt steht’s schwarz auf weiß, wie man’s zu machen hat.

„Jetzt steht’s schwarz auf weiß, wie man’s zu machen hat.“

Stichwort Cookies: Bisher gibt es drei Grundlagen, auf denen basierend man Cookies setzen darf – notwendige, damit der Shop überhaupt läuft, solche, für die eine Einwilligung notwendig ist und eine Grauzone mit dem „berechtigten Interesse“. Ändern sich Anforderungen an Cookie-Banner?

Martin Kilgus: Wenn man das Cookie-Urteil ernst nimmt, ist es bisher schon schwierig, eine Grauzone zu haben. Jetzt steht eine Zweiteilung im Gesetz:Entweder gibt es eineEinwilligung oder es sind die zwingend erforderlichen Cookies.Es gibt tatsächlich zwei Kategorien, wo ich ohne Einwilligung unterwegs sein darf. Das eine ist der Datenzugriff in den Endgeräten oder Speicherung von Daten in den Endgeräten, wenn’s schon für den Aufbau der Verbindung technisch notwendig ist. Das andere ist das, was für den inhaltlichen Dienst, also Bereitstellung des Webshops oder Betrieb der Internetseite zwingend nötig ist.

Kann man die Notwendigkeit von Cookies nicht weit fassen?

Martin Kilgus: Man könnte es als Anbieter drauf anlegen und auch wirtschaftliche Erwägungen mit reinziehen in die Cookie-Frage und wie folgt argumentieren: “Für ein werbendes Unternehmen ist es zwingend erforderlich zu wissen, welche Reichweite und welche Klickzahlen Anzeigen erreichen.” Gewollt ist das vom Gesetzgeber nicht. Man könnte es also drauf anlegen und einen möglichen Rechtsstreit verlieren – oder auch nicht.

Hat das TTDSG Auswirkungen auf zukünftige, Cookie-lose Ansätze?

Martin Kilgus: Ja. Die Idee des Gesetzes ist, und das ist tatsächlich eine Neuerung, dass man eine alternative Möglichkeit haben soll zu diesen Cookie-Bannern. Es soll so eine Einwilligungsverwaltung geben, eine zwischengeschaltete Stelle, bei der man zentral die Einwilligung erklären kann. Die Idee dahinter ist, dass der Nutzer einmal sein Einverständnis gibt oder ablehnt, so dass dieses Banner nicht mehr eingeblendet werden muss. Bei Zustimmung kann ohne Einblenden eines Banners die Trackingfunktion genutzt werden. Der Gesetzgeber hat gemerkt, dass die Cookie-Banners durchaus ermüdend sind und nicht unbedingt weiterhelfen, weil sie vor allem weggeklickt werden.

„Der Gesetzgeber hat gemerkt, dass die Cookie-Banners durchaus ermüdend sind und nicht unbedingt weiterhelfen.“

Wenn so ein Dienst aber nicht genutzt wird, ist weiterhin ein Cookie-Banner erforderlich?

Martin Kilgus: Genau, also die gesetzliche Vorgabe ist: Wenn Daten auf dem Endgerät gespeichert werden, sei es ein Cookie oder irgendwas Anderes, dann braucht es die Einwilligung des Nutzers. Die kann dann weiterhin über ein Banner kommen, wenn der angesprochene Einwilligungsdienst nicht genutzt wird.

In Frankreich gibt es Bestimmungen, wie ein Cookie-Banner auszusehen hat. Dort ist das so genannte Nudging nicht erlaubt, bei dem User mit der Farbgebung eines Buttons Richtung Datenerhebung „gelenkt“ werden. Kommt das mit dem TTDSG auch?

Martin Kilgus: Nein, aus dem TTDSG ergeben sich dazu keine Vorgaben. Es wird nach dem Wortlaut des Gesetzes nicht strenger als bisher. Es ist aber natürlich immer möglich, dass die Datenschutzbehörden das anders sehen. Die haben ein Auge darauf, ohne ganz klar zu sagen, dieses oder jenes ist jetzt nicht mehr erlaubt. Zuletzt hat sich aber z.B. die Datenschutzbehörde in NRW eher streng geäußert und unterschwelliges Drängeln zu einer Einwilligung bemängelt. Das soll schon dann der Fall sein, wenn der “Ablehnen”-Button farblich deutlich weniger hervorgehoben wird. Das heißt: In Deutschland haben wir noch keine über alle Landesbehörden abgestimmte Aussage, aber den Hinweis, dass das Augenmerk schon darauf liegt. Übertreiben sollte man es also nicht.

Einige Anbieter bauen derzeit ihr Tracking um auf Server-to-Server-Lösungen, die ohne Cookies arbeiten. Ist das wirklich notwendig?

Martin Kilgus: Wenn die Technik, tatsächlich wie der Name nahelegt, reine Kommunikation zwischen Servern ist und nichts auf dem Endgerät gespeichert wird, wäre das auch unter dem TTDSG noch zulässig.

In einigen Artikeln und Publikationen wird die Einführung des TTDSG mit den Ankündigungen einiger Browseranbieter, Third-Party-Cookies komplett blockieren zu wollen, vermischt. Sind das nicht im Grunde zwei voneinander losgelöste Themenfelder?

Martin Kilgus: Ja genau. Das Third-Party-Blocking ist ja tatsächlich eher eine technische Steuerung mit der sich die Browserhersteller datenschutzfreundlicher positionieren. Das anstehende Inkrafttreten des TTDSG hat hierauf keinerlei Auswirkungen und ist auch nicht die Grundlage auf der dieses Blocking nun umgesetzt werden muss.

Wird sich am Bußgeldkatalog etwas ändern?

Martin Kilgus: Möglicherweise gibt’s für “reine” Verstöße gegen das TTDSG geringere Bußgelder als bei einem DSGVO-Verstoß, weil das TTDSG eine eigene Bußgeldvorschrift hat, die eben nicht die vier Prozent des Jahresumsatzes nach der DSGVO enthält. Damit wäre ich aber vorsichtig, weil das TTDSG unabhängig davon gilt, ob personenbezogene Daten betroffen sind oder nicht. Wenn aber personenbezogene Daten betroffen sind, weil sich ein Kunde einloggen muss, gelten die DSGVO und der damit verbundene Bußgeldrahmen.

Foto von Vanessa Krause, Teamlead Conversion Rate Optimization (CRO) bei web-netz
Vanessa Krause, Teamlead Conversion Rate Optimization (CRO) bei web-netz. Bildnachweis: web-netz

„Wer bislang darauf gepokert hat, sich in Grauzonen zu bewegen, für den ist es jetzt höchste Eisenbahn, die Forderungen aus TMG & Co. umzusetzen.“

Mit einem rechtskonformen Cookie-Banner seid ihr beim Thema Online-Marketing auf der sicheren Seite.

Viele Grüße

Vanessa


Über Martin Kilgus

Martin Kilgus hat sein Wissen schon bei mehreren web-netz Veranstaltungen, on- und offline, weitergeben. Zusammen mit Vanessa Krause von web-netz hat er Webinare zum Thema Cookies & Tracking gehalten. Martin Kilgus berät mittelständische und börsennotierte Unternehmen bei Software-Lizenzierungen und Outsourcing-Vorhaben. Seine IT- und datenschutzrechtliche Expertise bringt er zudem regelmäßig in M&A-Transaktionen und Compliance-Projekte ein. Martin Kilgus kam 2016 zu CMS. Zuvor war er bei einer internationalen Sozietät mit Schwerpunkt auf streitige Verfahren im Patent- und Wettbewerbsrecht tätig. Seit 2021 ist er Counsel der Sozietät. CMS hat über 70 Standorte in über 40 Ländern und mehr als 4.800 Anwältinnen und Anwälten weltweit.


Kostenlose Online-Marketing-Webinare

Wir bieten jede Woche kostenlos zwei Webinare an. Alle Themen und die nächsten Termine findet ihr auf: web-netz.de/webinare.


Bildnachweis Titelbild: rantzu_Arbaizagoitia | istockphoto.com