Datenschutz Abmahnungen wegen Cookies vermeiden

Der Artikel fasst die wichtigsten Informationen zur Cookie-Thematik zusammen, die sich aus dem Telekommunikations-Telemedien-Datenschutz-Gesetz, kurz TTDSG, ergeben.* Von Thomas Mergen, Mitarbeiter im Projekt DigiVA4ID, der auch Handwerksbetriebe zur Digitalisierung berät.

Cookies Hinweis

Die Wichtigste in Kürze: Website-Cookies und Tracking-Dienste brauchen nun eine echte Einwilligung. Die Einwilligung wird über ein „Cookie-Consent-Banner“ (Consent = Zustimmung), oft auch als Cookie-Meldung bekannt, realisiert. Neu: Nun gibt es auch bei bei der Gestaltung der Consent-Banner Einiges zu beachten.

TTDSG, Cookies und Trackingdienste, worauf muss ich achten?

Das neue Gesetz schreibt nun konkret fest, dass Webseitenbetreiber eine „echte und ausdrückliche Einwilligung“ benötigen, wenn sie Informationen in der Endeinrichtung des Endnutzers (z.B. Browser, Smartphone) speichern oder darauf zugreifen möchten.

Konkret: Wenn Sie Daten in einem Cookie speichern wollen, muss der Besucher zugestimmt haben, bevor er die Webseite zum ersten Mal benutzen. Da er vor dem Besuch der Website keine Einwilligung geben kann, gibt es zwei Ausnahmen:

  • Beim ersten Aufruf der Seite werden nur technisch zwingend notwendige Cookies erzeugt. Das sind Cookies, ohne die eine Website nicht funktionieren würde, also Sitzungs-Cookies (z.B. Sprach-Auswahl, Warenkorb oder Zahlungsprozess, usw.).
  • Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Erweiterter Anwendungsbereich für Cookies

Ein weiterer wichtiger Punkt ist der erweiterte Anwendungsbereich für Cookies. Das TTDSG bezieht sich auf „Endeinrichtungen“. Für alle Endeinrichtungen für die sie Services oder Dienste anbieten müssen Sie eine echte Einwilligung (also Cookie-Banner) einholen. Das gilt z.B. auch für Messenger wie Whatsapp, oder Telegram, aber auch z.B. für Apps, Webapps die Haushaltsgeräte steuern(Smarthome).

Zu beachten ist, dass sich das TTDSG umfänglich auf alle Informationen die Nutzer von Telemedien und Telekommunikationsdiensten weitergeben bezieht (nicht nur personenbezogene Daten). Grundsätzlich ist man als Anbieter der Services nicht nur für die persönlichen Daten der User verantwortlich, sondern auch für die Daten die von den Endgeräten erhoben und gespeichert werden können. Beispielhaft ist hier das Browser Fingerprinting genannt. 

Cookie-Banner wird Pflicht

In der Vergangenheit war ein Cookie-Banner keine Pflicht. Wenn man seine Website so gebaut hat, dass man keine Cookies benötigt hat, konnte man die Website ohne ein Cookie-Banner betreiben. Nun muss man beweisen, dass der User Cookies an- oder abgewählt hat (echte Einwilligung). Das geht nur über ein entsprechendes Tool, das diese Daten aufzeichnet.

Was müssen Sie bei der Gestaltung des Cookie-Banners beachten?

Leider gibt es hierzu keine konkreten Aussagen. Allerdings gab es kürzlich Stellungnahmen und Abmahnungen von Datenschutzbehörden und Verbraucherzentralen, die zeigen, wo die Reise hingeht. Folgende Merkmale sollte ein Cookie-Banner aufweisen:

  • Bis der Besucher seine Einwilligung erteilt hat, dürfen nur technisch zwingend notwendige Cookies aktiviert werden.
  • Keine Cookie-Auswahl darf voreingestellt sein. Ihr Nutzer muss die Einwilligung aktiv setzen.
  • Es muss ein „Annehmen“- und „Ablehnen“-Button angeboten werden. Die Buttons müssen von gleicher Wertigkeit sein (gleiche Höhe, gleiche Größe, gleiche Farbe). Ganz fatal: Zustimmen-Button ist farblich auffälliger.
  • Zu folgenden Punkten muss der Anbieter im Cookie-Tool Auskunft geben:
    • Zweck der einzelnen Tools/Cookies
    • Auflistung der Anbieter/Tools
    • Sitz des Anbieters, sofern er außerhalb der EU liegt.

Diese vielen neuen Vorgaben sind für Anbieter/Webentwickler nur schwer „von Hand“ umzusetzen. Zum Glück gibt es für alle gängigen Content-Management-Systeme (CMS) geeignete Plugins oder Extententions (Erweiterungen), um diese Funktionalität auf der Website nachzurüsten.

Checkliste Cookie-Consent-Tool

Bekannte Contentmanagementsysteme wie etwa das beliebte WordPress-System bieten meist mehrere Plugins an, um die Website mit dieser Funktionalität auszustatten. Anhand folgender Checkliste können Sie das für Sie richtige Tool (Plugin) aussuchen:

  • Ist das Plugin für mein CMS geeignet?
  • Wie ist der Abrechnungs-Modus für das Tool (Einmalkauf, monatliche Lizenz, usw.) ggf. Seitenaufrufe beachten.
  • Wie lässt sich das Tool einbinden. Langt ein Klick auf den „Installieren“-Button, oder muss das Tool von einem Entwickler installiert werden (ggf. Updates und Wartung beachten).
  • Setzt das Consent Tool alle rechtlichen Vorgaben der DSGVO korrekt um?

Welche Konsequenzen drohen mir bei Nichtbeachtung?

Die Anforderungen an die neue TTDSG haben es in sich. Sehr schnell lässt sich für Außenstehende erkennen, ob ein Cookie-Banner den Anforderungen entspricht. Genauso schnell ist ein Mitbewerber wegen fehlerhaftem Banner abgemahnt. Im schlimmsten Fall drohen gleich mehrere Bußgelder, wenn keine ordnungsgemäße Einwilligung eingeholt wurde. Folgende Konsequenzen drohen bei einem TTDSG-Verstoß:

  • Es drohen Bußgeldbescheid wegen Verstoßes gegen die DSGVO. Höhe der Bußgelder: bis zu 20 Millionen Euro oder bis zu vier Prozent Ihres Umsatzes.
  • Außerdem droht Ihnen eine Abmahnung, wenn Sie keinen ordnungsgemäßen Cookie-Consent-Banner haben.

Fazit: TTDSG umsetzen so schnell wie möglich

Das neue TTDSG erfordert vom Web-Anbieter Kenntnisnahme und zügiges Handeln. Ein nicht vorhandenes oder fehlerhaftes Cookie-Banner ist ein offensichtlicher und damit abmahnfähiger Tatbestand. Zum Glück lässt sich die Cookie-Banner-Problematik mit wenigen Klicks in eine rechtskonforme Lösung umwandeln. Sollten Sie weitere Infos oder Unterstützung benötigen, melden Sie sich bitte bei unseren Mitarbeitern (siehe Kontakt Projekt unten).

*Der Beitrag ist keine Information im Sinne einer Rechtsberatung.

Weitere Infos

So muss ein Cookie-Consent-Banner aussehen, um nicht abgemahnt zu werden

Die 6 gängigsten Cookie-Consent-Tools

Das neue TTDSG: Neues bei Cookies und Co. für Webseitenbetreiber und Agenturen

Mehr zu DigiVA4ID

Hier gibt es mehr Informationen zum Projekt