Neue Regelung für Webseiten-Cookies

Wenn Cookies bösartig eingesetzt werden, können sie den Nutzer zum gläsernen Menschen machen, indem sie das Surfverhalten speichern. Der kleine digitale Spion kennt dann die Interessen und Vorlieben besser als mancher Ehepartner und weiß z. B., welche Fotos gesteigertes Interesse finden.

Bei speziellen Tracking-Tools gelangen diese Daten dann sogar an Dritte (sogenannte "Third-party-cookies"). Oft sind das Unternehmen, deren Ziel es ist, möglichst viele personenbezogene Daten einem Nutzer genau zuzuordnen und entsprechende Sammlungen anzulegen.

In der Werbewirtschaft und im Online-Marketing sind solche personalisierten Nutzerprofile echtes Geld wert. Aber auch Überwachungsbehörden können an solchen Daten Interesse haben.

Cookies können das digitale Leben auch erleichtern

Viele inzwischen längst alltägliche Funktionen von Webseiten benötigen Cookies, um den Nutzer eindeutig identifizieren zu können. So beispielsweise beim vereinfachten Login oder dem Befüllen eines Warenkorbs bei verschiedenen Besuchen eines Onlineshops. Bequemlichkeit hat hier wie so oft ihren Preis.

„Nach dem 'Nur Auswahl zulassen'-Button muss man oft lange suchen.“

_{Dr. Endress Wanckel, Rechtsexperte}

Schon 2020 hat der Bundesgerichtshof (BGH) grundsätzlich entschieden, dass der Einsatz von Cookies nur dann zulässig ist, wenn der Nutzer aktiv eingewilligt hat. Der BGH folgte damit einem entsprechenden Urteil des europäischen Gerichtshofs (EuGH), welches zuvor in Sachen des deutschen Gewinnspielanbieters "Planet 49" ergangen war.

Dies bedeutete nicht nur das Aus für heimliche Cookies, sondern auch für die bereits vorausgefüllten Klickboxen. Eine wirksame Einwilligung setzt seit der DSGVO immer eine aktive, freiwillige Handlung des Nutzers voraus. Also ist ein bewusstes „opt-in“ erforderlich, die bloße Möglichkeit des „opt-out“ (z. B. durch Entfernung eines voreingestellten Häkchens) reicht nicht aus.

Zudem muss die Einwilligung vor der ersten Datenspeicherung (genauer gesagt Datenerhebung) erteilt werden und setzt eine transparente Information darüber voraus, wozu die Cookies eingesetzt werden und welche Daten sie speichern. Das gilt grundsätzlich für alle digitalen Angebote, also auch für nur hob­bymäßig betriebene Webseiten.

Die Folgen dieser an sich berechtigten Regelungen sind die unvermeidlichen, von vielen als nervig empfundenen Coo­kie-Banner. Nicht selten sind diese so umfangreich oder auch unübersichtlich, dass Nutzer in Eile eine viel zu umfassende Zustimmung erteilen. Vielfach sind auch die Zustimmungs-Buttons für alle Cookies stark hervorgehoben, während man nach dem „Nur Auswahl zulassen“-Button lange suchen muss.

Das neue TTDSG will Cookie-Einwilligungen erleichtern

Zwischenzeitlich erkannte auch der Gesetzgeber, dass dieser Zustand unbefriedigend war. Mit dem neuen Telekommunikation-Telemedien-Datenschutzgesetz (kurz TTDSG) bleibt es zwar bei den dargestellten Grundsätzen. Cookie-Banner werden uns zumindest noch eine Weile erhalten bleiben. Das neue Gesetz will aber das alltägliche Handling der Cookie-Einwilligungen durch technische Lösungen erleichtern.

Dazu wurde eine zunächst umstrittene Regelung zu sogenannten Einwilligungsverwaltungssystemen in das TTDSG aufgenommen (§ 26 TTDSG). Diese werden auch als „Personal Information Management System“ (PIMS) bezeichnet.

In solchen PIMS soll jeder auf seinen Endgeräten zentral abspeichern können, welche Einwilligungen erteilt werden und welche nicht. Es muss dann nicht auf jeder einzelnen Seite eingegeben werden, ob und welche Cookies erlaubt werden. So kann ein Nutzer z. B. in seinem PIM einheitlich festlegen, dass er nur technisch notwendige Cookies und solche zu seiner Identifikation beim Log-in zulässt, aber keine für Marketing- und Trackingzwecke.

Geschäftsmodelle, die scheinbar kostenlose Inhalte über Datensammlungen mittels leichtfertig angeklickter Cookie-Einwilligung finanzieren (Stichwort „Bezahlung mit Daten“), dürften es dann deutlich schwerer haben.

Die technische Umsetzung solcher Systeme überlässt der Gesetzgeber der Privatwirtschaft. Es wird noch eine Weile dauern, bis die ersten Angebote auf dem Markt sind. Derzeit fehlt noch eine Rechtsverordnung, die auf Basis des TTDSG die Details regelt. In dieser Verordnung dürfte auch eine einheitliche Einteilung von Cookie-Kategorien erforderlich sein. Im Idealfall sollen Webseiten die persönlichen PIM-Einstellungen des Nutzers beim Seitenaufruf automatisch im Hintergrund abfragen, ohne dass noch ein Cookie-Banner erscheint. 

Verantwortlich ist immer der Seitenbetreiber

Schon jetzt sollten alle Betreiber von Webseiten (auch Fotografen und Betreiber von Bilddatenbanken) prüfen, ob ihre Internetpräsenzen mit Cookies arbeiten. Problematisch sind dabei in der Praxis häufig selbst erstellte Seiten aus einem Webseitenbaukasten, wie ihn viele Provider anbieten. Darin sind manchmal Cookies im Hintergrund zu Analyse- oder Tracking-Zwecken im Einsatz, ohne dass dem Seitenbetreiber dies bewusst ist.

Es sind auch schon Fälle bekannt geworden, in denen Webdesigner solche Cookie-basierten Funktionen standardisiert einprogrammieren, ohne dazu ausdrücklich beauftragt worden zu sein. Dem Datenschutzrecht ist das egal: Verantwortlich ist immer der Seitenbetreiber.

Nachdem das neue TTDSG die Cookie-Rechtsprechung des BGH in Gesetzesform gebracht hat, ist damit zu rechnen, dass die Datenschutzbehörden zukünftig auch ohne konkrete Beschwerden Webseiten speziell mit Blick auf Coo­kies überprüfen. So hat die niedersächsische Datenschutzaufsicht bereits eine anlasslose Prüfung zum datenschutzkonformen Tracking auf Webseiten von kleinen und mittelständischen Unternehmen vorgenommen und kündigt weitere Kontrollen an.

Sperrung der Website bei Datenschutzverstößen

Aktuell wird laut der Seite www.lfd.niedersachsen.de (FAQ zum TTDSG) eine länderübergreifende anlasslose Kontrolle der Webseiten von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von Drittdiensten durchgeführt. Bei festgestellten Datenschutzverstößen droht eine zeitweilige Sperrung der Seite.

Verstöße gegen das TTDSG werden von den Behörden als Ordnungswidrigkeit verfolgt. Nach § 28 TTDSG kann eine Geldbuße von bis zu 300.000 Euro festgesetzt werden. Im Netz findet man auf den Seiten der Landesdatenschutzbeauftragten (so die offizielle Bezeichnung der Datenschutzbehörden) Hinweise zur richtigen Umsetzung des TTDSG. Auch konkrete Anfragen an die Datenschutzaufsicht sind möglich, denn zu deren Aufgaben gehört ebenfalls die präventive Beratung.

> Dr. Endress Wanckel ist Rechtsanwalt mit Schwerpunkt Medienrecht in Hamburg (www.rafup.de) und Autor des Standardwerkes Foto- und Bildrecht (5. Aufl.). Ebenfalls im Verlag C.H. Beck ist aktuell seine Darstellung zum Recht der Bildberichterstattung im Fachbuch Presserecht, Hrsg. Himmelsbach/Mann, erschienen.