Was sich mit den neuen Cookie-Regelungen ändert

Ein deutsches Datenschutzgesetz soll Unternehmen und Nutzern den Umgang mit Cookies und anderen Trackingmechanismen erleichtern. Doch es bringt Unsicherheit.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 76 Beiträge

(Bild: rvlsoft/Shutterstock.com)

Von
  • Dr. Carlo Piltz
  • Johannes Zwerschke

Als wäre es im Datenschutzrecht nicht verwirrend genug, sind am 1. Dezember neue nationale Regelungen in Kraft getreten: Das deutsche "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) soll besonders für Organisationen und Unternehmen mehr Rechtssicherheit bringen, als es bislang die EU-Datenschutz-Grundverordnung (DSGVO) vermochte. Vor allem geht es um den Einsatz von Cookies zu Analyse- und Werbezwecken.

Mehr von c't Magazin Mehr von c't Magazin

Der rechtliche Rahmen für diesen Einsatz von Cookies hat in Deutschland eine komplizierte Geschichte hinter sich: Regelungen zur Speicherung von und zum Zugriff auf bereits in Nutzergeräten – also beispielsweise PCs oder Smartphones – gespeicherte Cookies richteten sich bislang nach den Paragrafen 11 ff. Telemediengesetz (TMG). Diese Regelungen waren wiederum von den Vorgaben der europäischen E-Privacy-Richtlinie (Richtlinie 2002/58/EG, angepasst durch Richtlinie 2009/136/EG) geprägt, die auch für das nunmehr geltende TTDSG maßgeblich ist.

Mit der Änderung in der Richtlinie aus dem Jahr 2009 hatte der europäische Gesetzgeber die bekannte "Cookie-Regelung" geschaffen, wonach grundsätzlich eine Einwilligung von Endnutzern eingeholt werden muss, wenn man Cookies in ihren Geräten setzen oder auf gesetzte Cookies dort zugreifen möchte. Lange war unklar und in der juristischen Literatur umstritten, ob der deutsche Gesetzgeber mit Paragraf 15 Absatz 3 TMG diese zentrale Vorschrift der europäischen Richtlinie ordnungsgemäß umgesetzt hat.

Zuletzt bestätigte dies zwar der Bundesgerichtshof (BGH) in der viel diskutierten Planet49-Entscheidung. Danach ist das Setzen von Cookies, um Nutzungsprofile für Werbezwecke oder Marktforschung zu erstellen, nur mit Einwilligung des Nutzers zulässig. Diese Entscheidung erfolgte aber über einen juristischen Kunstgriff: Der BGH verstand den Wortlaut der deutschen Vorgaben im TMG im Grunde anders, als er tatsächlich im Gesetz niedergeschrieben war. Um solche Unklarheiten im TTDSG zu vermeiden, hat sich der deutsche Gesetzgeber bei den neuen Cookie-Regelungen eng am Wortlaut der E-Privacy-Richtlinie orientiert.

Die E-Privacy-Richtlinie, die auch die Paragrafen 25 f. TTDSG prägt, spricht insoweit von verschiedenen Techniken wie "Spyware", "Web-Bugs" oder "Hidden Identifiers". Ihnen gemein ist, dass sie ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen oder die Nutzeraktivität zurückzuverfolgen. Der Anspruch der E-Privacy-Richtlinie als auch der Cookie-Regelung des TTDSG ist es, den Nutzer vor all diesen Arten von Geräte- beziehungsweise Nutzeridentifikatoren zu schützen.

Die Regelung greift immer dann, wenn etwa ein Unternehmen auf ein Endgerät zugreifen und dort Informationen abspeichern oder auf solche gespeicherten Daten zugreifen möchte. Wenn also zum Beispiel in Paragraf 25 Absatz 1 Satz 1 TTDSG von "Informationen in der Endeinrichtung des Endnutzers" oder dem "Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind" gesprochen wird, muss dies umfassend und nicht nur für Cookies verstanden werden. Der Anwendungsbereich ist also in der Praxis recht weit. Generell spricht man dennoch von "Cookie-Regelung", das tun wir auch in diesem Artikel.

Die zentrale Regelung findet sich in Paragraf 25 Absatz 1 Satz 1 TTDSG. Danach ist die Speicherung von Cookies auf dem Gerät des Endnutzers und der Zugriff auf bereits beim Endnutzer gespeicherte Cookies nur zulässig, wenn das Unternehmen vom Endnutzer zuvor eine Einwilligung einholt. Wie diese Einwilligung im Einzelnen ausgestaltet sein muss, ergibt sich gemäß Paragraf 25 Absatz 1 Satz 2 TTDSG aus den Vorgaben der DSGVO. Der Europäische Gerichtshof (EuGH) hat zu den Einwilligungsvorgaben nach der DSGVO bereits mehrfach geurteilt. So ist es unter anderem für die Erteilung einer wirksamen Einwilligung nicht ausreichend, wenn der Nutzer eine bereits vorangekreuzte Checkbox erst wieder abwählen muss. Er muss seine Einwilligung aktiv erteilen.

Alte Juristenregel: Von jedem Grundsatz gibt es eine Ausnahme. Die relevante Ausnahme vom grundsätzlichen Einwilligungserfordernis findet sich in Paragraf 25 Absatz 2 Nummer 2 TTDSG. Eine Einwilligung muss nicht eingeholt werden, wenn die Speicherung von oder der Zugriff auf bereits beim Endnutzer gespeicherter Cookies "unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann".

An der Frage, was für einen vom Nutzer ausdrücklich gewünschten Telemediendienst "unbedingt erforderlich" ist, entzünden sich derzeit in der juristischen Fachwelt Diskussionen. Mit Spannung wartet man deshalb darauf, welche Ausnahmen die Datenschutzkonferenz (DSK), also das Gremium aller deutschen Datenschutzaufsichtsbehörden, unter die Formulierung in Paragraf 25 Absatz 2 Nummer 2 TTDSG fassen wird. Allerdings handelt es sich bei einer von der DSK veröffentlichten Orientierungshilfe "nur" um eine behördliche Einschätzung, die noch nicht gerichtsfest ist. Nichtsdestotrotz gibt die DSK damit erste Leitplanken vor, die dem Rechtsanwender wiederum etwas mehr Rechtssicherheit bringen würden.

Da Paragraf 25 TTDSG eine Umsetzung der europäischen E-Privacy-Richtlinie darstellt, die auch in allen anderen EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, lohnt sich ein Blick auf die Einschätzungen anderer europäischer Datenschutzaufsichtsbehörden. Und bei diesen haben sich in den vergangenen Jahren bereits teils sehr umfassende Meinungen und Beispiele herausgebildet.

Besonders spannend ist, dass es sowohl die spanische, die französische, die luxemburgische als auch die italienische Datenschutzaufsichtsbehörde unter bestimmten Voraussetzungen als ohne Einwilligung erlaubt ansehen, Cookies für die Messung der Besucherzahlen einer Website (also zur statistischen Analyse) einzusetzen. Da sich diese Ansichten aufgrund der E-Privacy-Richtlinie gebildet haben, ist es denkbar, dass auch in Deutschland unter Geltung des TTDSG keine Einwilligung zum Setzen und Verwenden von Cookies für die Messung der Besucherzahlen erforderlich ist.

Die Frage nach den zulässigen Ausnahmen ist auch deshalb von Bedeutung, weil nach dem TTDSG ein Bußgeld droht, wenn eine Einwilligung nötig ist, aber nicht vorliegt. Bis zu 300.000 Euro kann ein Verstoß gegen die Einwilligungspflicht den Website-Betreiber kosten. Auf den ersten Blick mutet dies wie eine echte Entlastung gegenüber den Vorgaben der DSGVO an, die Bußgelder von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Vorjahresumsatzes vorsieht.

Der Schein trügt jedoch, da die Bußgeldvorschriften des TTDSG jene der DSGVO nur ergänzen, sie aber nicht ersetzen. Wenn ein Website-Betreiber beispielsweise einerseits entgegen dem TTDSG für das Setzen eines Marketing-Cookies vom Website-Besucher keine Einwilligung einholt und dies auch für die danach erfolgende Verarbeitung personenbezogener Daten (etwa Bildung eines Nutzerprofils oder Weitergabe der Profile an Dritte) entgegen den Vorgaben der DSGVO versäumt, dann drohen Bußgelder aus beiden Vorschriften.

Eine weitere Neuregelung in Bezug auf Cookies findet sich in Paragraf 26 TTDSG. Nach der Norm können Unternehmen nunmehr externe Dienste zur Verwaltung von nach Paragraf 25 Absatz 1 TTDSG erteilten Einwilligungen einsetzen. In der Fachwelt wird diese Regelung unter dem Stichwort "Personal Information Management System" (PIMS) diskutiert: Nutzer sollen mit einem PIMS nicht nur die Erteilung von Einwilligungen verwalten können, sondern auch deren Widerruf. Der Vorteil liegt in der erhöhten Transparenz hinsichtlich erteilter Einwilligungen, insbesondere beim Besuch von Websites, die für unterschiedlichste Marketing-Cookies Einwilligungen verlangen (oder auch nicht). Der Gesetzgeber will so der Flut von Cookie-Bannern auf Websites begegnen.

Proof of Concept: Unter dem Namen "Advanced Data Protection Control" (ADPC) entwickelt die Datenschutzorganisation Noyb ein PIMS, das als Blaupause für die TTDSG-Anforderungen dienen könnte.

Die verabschiedete Regelung setzt aber voraus, dass das jeweilige PIMS von einer unabhängigen Stelle anerkannt, das heißt für tauglich im Sinne des TTDSG befunden wird. Noch ist völlig unklar, welche Stelle das sein könnte. Eine Anerkennung ist an die Erfüllung bestimmter Voraussetzungen geknüpft. So muss das PIMS nach dem Willen des TTDSG nutzerfreundlich und wettbewerbskonform sein. Der Anbieter muss ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes ermöglicht.

Die Ausgestaltung der Anforderungen im Einzelnen ist zum gegenwärtigen Zeitpunkt noch ungeklärt, ebenso wie die Frage, welche Arten von PIMS überhaupt unter Paragraf 26 TTDSG zu fassen sind. Der Gesetzgeber hat diesbezüglich nur ganz allgemein von sogenannten Single-Sign-On-Lösungen von in einer Stiftung zusammengeschlossenen Unternehmen gesprochen.

Denkbar wäre auch, dass ein PIMS als selbstständige Software angeboten wird, die sich Nutzer auf ihren Systemen installieren können. Oder dass ein PIMS als Implementierung für bestehende Software, etwa als Browser-Plug-in, auf den Markt kommt. Beide beschriebenen Formen existieren bereits (zum Beispiel wie in der Abbildung oben). Entscheidend wird sein, ob sie den Anforderungen an PIMS nach dem TTDSG genügen.

Zwar bringen die Neuregelungen etwas mehr Klarheit, da sie näher an den europäischen Vorgaben orientiert sind. Gleichwohl wird es in der Anfangszeit vermutlich noch einige Unsicherheiten darüber geben, wann für den Einsatz von Cookies und Tracking allgemein Einwilligungen eingeholt werden müssen und wann nicht. Letztlich sollten die vorstehenden Regelungen aber ohnehin nur als Übergangslösung verstanden werden, bis die in Brüssel diskutierte, längst noch nicht beschlossene europäische E-Privacy-Verordnung in Kraft tritt.

c't Ausgabe 26/2021

In c’t 26/2021 zeigen wir, wie der Umstieg von Windows 10 auf 11 in wenigen Mausklicks gelingt – und wie Sie höhere Hürden nehmen, etwa wenn Ihr PC die Harware-Anforderungen nicht erfüllt. Außerdem haben wir auf sechs Doppelseiten handverlesene Geschenketipps der c't-Redaktion zusammengetragen und schlaue Saugbots mit Objekterkennung getestet. Ausgabe 26/2021 finden Sie ab dem 3. Dezember im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(hob)