Am 1. Dezember 2021 ist ein Gesetz in Kraft getreten, das in der Marketing-Branche bereits im Vorfeld für Aufruhr gesorgt hat: Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG). Wann darf ich Cookies setzen? Welche alternativen Lösungen gibt es? Und verbietet das Gesetz Third-Party-Cookies endgültig? Zumindest in der Außendarstellung wird die Gesetzesänderung von Tool-Anbietern und Marketern mit anderen Dingen in einen Topf geworfen. Doch, so viel sei verraten, man muss das auseinanderhalten – deshalb gibt’s von uns heute ein Update. Was ist das TTDSG nun wirklich? Ändert sich tatsächlich was? Wenn ja, wie viel? Betrifft mich das? Muss ich irgendwas machen? Diese Fragen beantwortet unser Experte Martin Kilgus, Rechtsanwalt und Counsel der Kanzlei CMS Hasche Sigle, im Interview.

Wie kam es zur Entstehung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)?

Martin Kilgus: Das TTDSG ist das Ergebnis einer Entwicklung. Der Gesetzgeber hat gemerkt, dass im Moment die Datenschutzregelungen für Telekommunikation und Onlinedienste ziemlich verstreut sind. Es gibt ein paar Regelungen im Telemediengesetz (TMG), einige im Telekommunikationsgesetz (TKG) und die Datenschutzgrundverordnung (DSGVO). Die Überlegung war, diese zusammenzuführen. Genau dazu dient dieses neue Telekommunikation-Telemedien-Datenschutz-Gesetz. Dabei hat man dann auch gleich die europäischen Vorgaben mit umgesetzt, genauer gesagt die E-Privacy-Richtlinie. Deswegen sind manche Teile auch gar nicht neu, sondern nur in das TTDSG verlagert worden.

Foto von Martin Kilgus, Counsel der Kanzlei CMS Hasche Sigle
Martin Kilgus, Counsel der Kanzlei CMS Hasche Sigle
Bildnachweis: CMS

Kannst du sagen, was sich für das Online-Marketing, die Datenerhebung etc. aus rechtlicher Sicht ändert?

Martin Kilgus: Ändert sich wirklich was? Die bisherige Regelung, insbesondere zur Cookie-Nutzung, zur Nutzung von Daten für Tracking-Zwecke oder für das Angebot von Telemedien, war im TMG festgeschrieben. Die Umsetzung war in Deutschland nicht europarechtskonform. Jetzt steht also schwarz auf weiß im Gesetz, wie man es wirklich handhaben muss. Der Gesetzgeber hat für das TTDSG die E-Privacy-Richtlinie übernommen. Für alle, die sich bisher entsprechend der Rechtsprechung verhalten haben, ändert sich durch das TTDSG, eigentlich nichts. Klargestellt wurde allerdings, dass die Regelungen zum Tracking nicht nur dann gelten, wenn Cookies gesetzt werden, sondern auch, wenn auf bereits vorhandene Daten zugegriffen wird. Das heißt, dass z.B. auch für Browser-Fingerprinting jetzt klar die Vorgaben des TTDSG gelten.

„Für alle, die sich bisher entsprechend der Rechtsprechung verhalten haben, ändert sich durch das TTDSG eigentlich nichts.“

Eigentlich?

Martin Kilgus: Naja, es gibt natürlich einige, die „sportlicher unterwegs“ waren. Das bisherige TMG konnte anders ausgelegt werden als es der europäische Gesetzgeber vorgesehen hat. Das war seit dem Cookie-Urteil des BGH aber nicht mehr wirklich vertretbar. Jetzt steht’s schwarz auf weiß, wie man’s zu machen hat.

„Jetzt steht’s schwarz auf weiß, wie man’s zu machen hat.“

Stichwort Cookies: Bisher gibt es drei Grundlagen, auf denen basierend man Cookies setzen darf – notwendige, damit der Shop überhaupt läuft, solche, für die eine Einwilligung notwendig ist und eine Grauzone mit dem „berechtigten Interesse“. Ändern sich Anforderungen an Cookie-Banner?

Martin Kilgus: Wenn man das Cookie-Urteil ernst nimmt, ist es bisher schon schwierig, eine Grauzone zu haben. Jetzt steht eine Zweiteilung im Gesetz: Entweder gibt es eine Einwilligung oder es sind die zwingend erforderlichen Cookies. Es gibt tatsächlich zwei Kategorien, wo ich ohne Einwilligung unterwegs sein darf. Das eine ist der Datenzugriff in den Endgeräten oder Speicherung von Daten in den Endgeräten, wenn’s schon für den Aufbau der Verbindung technisch notwendig ist. Das andere ist das, was für den vom Nutzer ausdrücklich gewünschten inhaltlichen Dienst, also Bereitstellung des Webshops oder Betrieb der Internetseite zwingend nötig ist.

Kann man die Notwendigkeit von Cookies nicht weit fassen?

Martin Kilgus: Man könnte es als Anbieter drauf anlegen und auch wirtschaftliche Erwägungen mit reinziehen in die Cookie-Frage und wie folgt argumentieren: “Für ein werbendes Unternehmen ist es zwingend erforderlich zu wissen, welche Reichweite und welche Klickzahlen Anzeigen erreichen.” Das ist aber riskant und eher nicht zu empfehlen, denn: Gewollt ist das vom Gesetzgeber nicht. Die nationalen Aufsichtsbehörden legen für die Notwendigkeit eher ein strenges Verständnis zugrunde. Regelmäßig muss der Dienst also tatsächlich technisch erforderlich sein, um den vom Nutzer gewünschten Dienst bereitzustellen. Damit nicht genug, ist hiernach zusätzlich eine zeitliche Komponente zu beachten. Am Beispiel eines Online-Shops wäre die Aktivierung eines Warenkorb-Cookies oder von Zahlungsfunktionen nach Ansicht der Aufsichtsbehörden erst rechtmäßig, wenn der Nutzer den Warenkorb aktiv nutzt, also Waren “hineingelegt” hat, oder den Zahlungsprozess angestoßen hat.

Vielleicht ergibt sich noch eine Erleichterung aus der europäischen Perspektive. Denn unter anderem die Datenschutzbehörden in Frankreich, Italien und Spanien halten es unter bestimmten Voraussetzungen für zulässig, Cookies zur Messung von Besucherzahlen auch ohne Einwilligung zu setzen. Da sich diese Meinung auf Basis der E-Privacy-Richtlinie gebildet hat, die auch Grundlage des TTDSG ist, könnte das auch Auswirkungen auf die Einordnung hierzulande haben. Auch die aktuelle Orientierungshilfe der deutschen Aufsichtsbehörden steht unter dem ausdrücklichen Vorbehalt eines möglicherweise abweichenden Verständnisses auf europäischer Ebene. Eine offizielle Aussage, z.B. eine gemeinsame Stellungnahme der Behörden auf europäischer Ebene, gibt es aber noch nicht.

Hat das TTDSG Auswirkungen auf zukünftige, Cookie-lose Ansätze?

Martin Kilgus: Ja. Die Idee des Gesetzes ist, und das ist tatsächlich eine Neuerung, dass man eine alternative Möglichkeit haben soll zu diesen Cookie-Bannern. Es soll so eine Einwilligungsverwaltung geben, eine zwischengeschaltete Stelle, bei der man zentral die Einwilligung erklären kann. Solche Dienste werden als “PIMS” (Personal Information Management Services oder deutsch: “Dienste zur Einwilligungsverwaltung”) bezeichnet. Die Idee dahinter ist, dass der Nutzer einmal sein Einverständnis gibt oder ablehnt, so dass dieses Banner nicht mehr eingeblendet werden muss. Bei Zustimmung kann ohne Einblenden eines Banners die Trackingfunktion genutzt werden. Der Gesetzgeber hat gemerkt, dass die Cookie-Banners durchaus ermüdend sind und nicht unbedingt weiterhelfen, weil sie vor allem weggeklickt werden.

„Der Gesetzgeber hat gemerkt, dass die Cookie-Banners durchaus ermüdend sind und nicht unbedingt weiterhelfen.“

Gibt es bereits “PIMS”, die man nutzen kann, um Cookie-Banner zu vermeiden?

Erste Prototypen werden gerade neu entwickelt. Ich würde auch erwarten, dass die bereits bekannten Anbieter von Consent-Management-Tools, also die “Cookie-Banner-Dienstleister” entsprechende Dienste anbieten werden. Allerdings setzt das TTDSG voraus, dass die PIMS-Systeme ein offizielles Verfahren zur Anerkennung durchlaufen. Die genauen Voraussetzungen hierfür sollen in einer Rechtsverordnung stehen, die allerdings noch nicht erlassen wurde. Unklar ist auch, wer die im TTDSG vorgesehene unabhängige Stelle sein wird, die die PIMS anerkennen soll. Neben der technischen Umsetzung sind also auch noch rechtliche Fragen offen. Es lohnt sich also, die Entwicklungen in diesem Bereich zu beobachten.

Wenn so ein Dienst aber nicht genutzt wird, ist weiterhin ein Cookie-Banner erforderlich?

Martin Kilgus: Genau, also die gesetzliche Vorgabe ist: Wenn Daten auf dem Endgerät gespeichert werden, sei es ein Cookie oder irgendwas Anderes, dann braucht es die Einwilligung des Nutzers. Die kann dann weiterhin über ein Banner kommen, wenn der angesprochene Einwilligungsdienst nicht genutzt wird.

In Frankreich gibt es Bestimmungen, wie ein Cookie-Banner auszusehen hat. Dort ist das so genannte Nudging nicht erlaubt, bei dem User mit der Farbgebung eines Buttons Richtung Datenerhebung „gelenkt“ werden. Kommt das mit dem TTDSG auch?

Martin Kilgus: Nein, aus dem TTDSG ergeben sich dazu keine Vorgaben. Der Wortlaut des TTDSG ist nicht strenger als bisher. Die Datenschutzbehörden vertreten hierzulande jetzt aber eine eher strenge Linie. Bislang hatten die lediglich ein Auge darauf, ohne ganz klar zu sagen, dieses oder jenes ist jetzt nicht mehr erlaubt. Dies hat sich mit der jüngsten Orientierungshilfe der Datenschutzkonferenz deutlich geändert. Hierbei haben die Aufsichtsbehörden die Verabschiedung des TTDSG zum Anlass genommen, ihre bisher eher ungenauen Aussagen zu spezifizieren. Dabei wird ein eher strenger Maßstab an den Tag gelegt. Eine “Okay” oder “Einverstanden”-Schaltfläche alleine ist nicht ausreichend; das war allerdings schon bisher so. Wichtig ist aber die eindeutige Aussage der Aufsichtsbehörden, dass dann, wenn im Banner mit einem Klick die Einwilligung erteilt werden kann, auch die Verweigerung der Einwilligung mit einem Klick möglich sein muss (z.B. mittels eines “Alles ablehnen”-Buttons auf gleicher Ebene). Ob es auch unzulässig ist, wenn (nur) zwischen einem “Alles akzeptieren”-Button und einem “Auswahl akzeptieren”-Button (bei dem dann aber nur notwendige Cookies vorausgewählt sein dürfen) entschieden werden kann, ist nicht eindeutig. In jedem Fall muss der Nutzer wissen, worin er einwilligt.

Kritisch sehen die Aufsichtsbehörden in ihrer Orientierungshilfe auch, wenn ein (dauerhaft) vorausgewähltes Bestätigungs-Kästchen zu “notwendigen” Cookies vorhanden ist. Denn damit werde dem Nutzer eine Wahlmöglichkeit vorgegaukelt, die er tatsächlich gar nicht hat. Zuletzt hat sich auch die Datenschutzbehörde in NRW eher streng geäußert und unterschwelliges Drängeln zu einer Einwilligung bemängelt. Das soll schon dann der Fall sein, wenn der “Ablehnen”-Button farblich deutlich weniger hervorgehoben wird. Das heißt: Die Aussagen der deutschen Aufsichtsbehörden werden konkreter – und der angelegte Maßstab strenger.

Nicht vergessen darf man allerdings, dass es sich bei der DSGVO um eine europäische Verordnung handelt. Vielleicht kommt es daher auf europäischer Ebene zu einer etwas milderen Positionierung. Erstmal haben aber die deutschen Behörden klar gemacht, wie sie das TTDSG und die DSGVO auslegen und anwenden werden. Übertreiben sollte man es bei der Gestaltung der Banner also nicht. Und wer es bislang darauf angelegt hat, die Grauzonen auszureizen, für den ist es jetzt höchste Eisenbahn, die Forderungen aus TTDSG, DSGVO & Co. umzusetzen

Einige Anbieter bauen derzeit ihr Tracking um auf Server-to-Server-Lösungen, die ohne Cookies arbeiten. Ist das wirklich notwendig?

Martin Kilgus: Wenn die Technik, tatsächlich wie der Name nahelegt, reine Kommunikation zwischen Servern ist und nichts auf dem Endgerät gespeichert wird, wäre das auch unter dem TTDSG noch zulässig.

In einigen Artikeln und Publikationen wird die Einführung des TTDSG mit den Ankündigungen einiger Browseranbieter, Third-Party-Cookies komplett blockieren zu wollen, vermischt. Sind das nicht im Grunde zwei voneinander losgelöste Themenfelder?

Martin Kilgus: Ja genau. Das Third-Party-Blocking ist ja tatsächlich eher eine technische Steuerung mit der sich die Browserhersteller datenschutzfreundlicher positionieren. Das jetzt In Kraft getretene TTDSG hat hierauf keinerlei Auswirkungen und ist auch nicht die Grundlage auf der dieses Blocking nun umgesetzt werden muss.

Wird sich am Bußgeldkatalog etwas ändern?

Martin Kilgus: Möglicherweise gibt’s für “reine” Verstöße gegen das TTDSG geringere Bußgelder als bei einem DSGVO-Verstoß, weil das TTDSG eine eigene Bußgeldvorschrift hat. Danach kann ein Verstoß gegen das TTDSG mit einer Geldbuße von bis zu 300.000 Euro geahndet werden. Das ist deutlich weniger als der Bußgeldrahmen der DSGVO. Denn dort sind je nach Schwere des Verstoßes Geldbußen bis zu 20.000.000 Euro möglich (oder sogar bis zu 4% des Konzern-Jahresumsatzes, wenn das ein höherer Betrag ist). Aber Achtung: Das TTDSG gilt unabhängig davon, ob personenbezogene Daten betroffen sind oder nicht. Wenn aber personenbezogene Daten betroffen sind, etwa weil sich ein Kunde einloggen muss, gilt auch die DSGVO. Dann kann es ein Bußgeld nach dem TTDSG und nach der DSGVO geben

Foto von Vanessa Krause, Teamlead Conversion Rate Optimization (CRO) bei web-netz
Vanessa Krause, Teamlead Conversion Rate Optimization (CRO) bei web-netz Bildnachweis: web-netz

„Wer bislang darauf gepokert hat, sich in Grauzonen zu bewegen, für den ist es jetzt höchste Eisenbahn, die Forderungen aus TTDSG, DSGVO & Co. umzusetzen.“

Checkliste zum TTDSG: Das solltest du jetzt tun

Notwendige Cookies

Nach Ansicht der DSK gilt ein strenger Maßstab dafür, wann ein Cookie wirklich “notwendig” ist. Es ist daher zu prüfen, ob Cookies, die als notwendig eingestuft wurden, wirklich notwendig sind. Dabei ist auch eine zeitliche Komponente zu beachten. Warenkorb-Cookies gelten beispielsweise erst dann als notwendig, wenn ein User die Warenkorb-Funktion in Anspruch nimmt.

Information über die Rechtsgrundlage(n)

Wenn im Rahmen des Telemedienangebotes Prozesse stattfinden, die sowohl unter das TTDSG als auch unter die DSGVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren. Dies kann theoretisch sowohl über die Datenschutzerklärung als auch über den Cookie-Banner geschehen. Typischerweise werden die Informationen über die Datenschutzerklärung mitgeteilt, da das Banner an sich – auch um übersichtlicher zu sein – nur die elementaren Hinweise und einen Link zu weiterführenden Informationen beinhaltet.

Gleichwertige Einwilligungsoptionen

Ein Cookie-Banner soll auf gleicher Ebene sowohl die Möglichkeit bieten, dem Tracking zuzustimmen als auch es abzulehnen. Ein Verweis auf die Einstellungen reicht nicht aus, um eine Gleichwertigkeit beider Optionen zu erzielen.

Widerruf der Einwilligung

Ein Widerruf der Einwilligung muss jederzeit einfach möglich sein. Das kann über einen sichtbaren Direktlink oder ein Icon, das auf die Einstellungen verlinkt, gewährleistet werden.


Mit einem rechtskonformen Cookie-Banner seid ihr beim Thema Online-Marketing auf der sicheren Seite.

Viele Grüße

Vanessa


Über Martin Kilgus

Martin Kilgus hat sein Wissen schon bei mehreren web-netz Veranstaltungen, on- und offline, weitergeben. Zusammen mit Vanessa Krause von web-netz hat er Webinare zum Thema Cookies & Tracking gehalten. Martin Kilgus berät mittelständische und börsennotierte Unternehmen bei Software-Lizenzierungen und Outsourcing-Vorhaben. Seine IT- und datenschutzrechtliche Expertise bringt er zudem regelmäßig in M&A-Transaktionen und Compliance-Projekte ein. Martin Kilgus kam 2016 zu CMS. Zuvor war er bei einer internationalen Sozietät mit Schwerpunkt auf streitige Verfahren im Patent- und Wettbewerbsrecht tätig. Seit 2021 ist er Counsel der Sozietät. CMS hat über 70 Standorte in über 40 Ländern und mehr als 4.800 Anwältinnen und Anwälten weltweit.


Kostenlose Online-Marketing-Webinare

Wir bieten jede Woche kostenlos zwei Webinare an. Alle Themen und die nächsten Termine findet ihr auf: web-netz.de/webinare.


Bildnachweis Titelbild: rantzu_Arbaizagoitia | istockphoto.com