TTDSG verabschiedet. Neue Regeln für Cookies

Gestern wurde im Bundestag das Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz TTDSG) verabschiedet und soll am 1.12.2021 in Kraft treten.

Das Gesetz soll die ePrivacy-RL in nationales Recht umsetzen. Besonders hervorzuheben sind hierbei die neuen Regeln für Cookies.

Nach § 25 TTDSG gilt dann folgendes:

Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

Grundsätzlich sind Cookies also nur noch mit einer informierten und umfassenden Einwilligung nach Art. 7 DSGVO zulässig. Aber es gibt auch Ausnahmen. In Absatz 2 heißt es sodann:

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Die Ausnahmen greifen dem Wortlaut nach also hauptsächlich für technisch notwendige Cookies, so dass es bei der bisherigen Rechtslage bleibt, dass Tracking- oder Advertising Cookies nur mit einer informierten Einwilligung gesetzt werden dürfen.

Neu ist, dass ein verstoß gegen den Einwilligungsvorbehalt künftig mit einem Bußgeld bis zu 300.000,- EUR geahndet werden kann. Hierzu sieht § 26 TTDSG vor:

§ 26 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]

13. entgegen § 25 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift.

(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2, 3, 9, 11, 12 und 13 mit einer Geldbuße bis zu dreihunderttausend Euro, in den Fällen des Absatzes 1 Nummer 4 und 5 mit einer Geldbuße bis zu hunderttausend Euro, in den Fällen des Absatzes 1 Nummer 8 mit einer Geldbuße bis zu fünfzigtausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu zehntausend Euro geahndet werden.

Und es geht noch weiter. Der Gesetzgeber sieht nun in § 26 TTDSG ausdrücklich die Einführung von Consent Management Tools vor:

§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen

(1) Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die

1. nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,

2. kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,

3. die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und

4. ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,

können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.

Die genauen Vorgaben, wie diese Einwilligungsverwaltungsdienste auszusehen haben, werden dann in einer Rechtsverordnung festgelegt werden.

Wichtig:

Sie sollten bereits jetzt Ihre Webseiten dahingehend durchforsten, ob einwilligungspflichtige Cookies gesetzt werden und diese sodann mit einem geeigneten Einwilligungstool verwalten.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de