Seit 01. Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft und gilt für alle, die eine Website, einen Online-Shop oder eine App betreiben. Das Gesetz enthält Vorgaben zu Regelungen des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien. Nachstehend führen wir Sie durch die wichtigsten Regelungen rund um Cookies und erklären, welche Auswirkungen diese auf die Web-Analyse haben.

Einwilligungsmanagement für Cookies und Tracking

Im Telekommunikation-Telemedien-Datenschutz-Gesetz sind besonders die Cookie-Regelungen hinsichtlich Tracking-Diensten hervorzuheben. Seit Dezember ist ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement Pflicht. Websitebetreiber*innen benötigen dann für Tracking-Cookies eine klar und ausdrücklich formulierte Einwilligung aller Nutzer*innen.

Konkret heißt es in § 25 Abs. 1 TTDSG: „¹Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. ²Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Rechtskonformes Cookie-Banner fast überall Pflicht

Durch § 25 Abs. 1 TTDSG werden die Bestimmungen des Art. 5 Abs. 3 der europäischen ePrivacy-Richtlinie in nationales Recht umgesetzt. Es wird endgültig Klarheit darüber geschaffen, was sich bereits zuvor aus der Rechtsprechung des BGH ergab:

Websitebetreiber*innen müssen dann für Tracking-Cookies und Trackingdienste von allen Websitenutzer*innen eine aktive und informierte Einwilligung einholen. Auf fast allen Websites ist ein rechtskonformes Consent-Banner damit Pflicht. Eine Ausnahme bleibt, wenn Websitebetreiber*innen ausschließlich Cookies oder vergleichbare Technologien einsetzen werden, die technisch unbedingt erforderlich sind.

Welche Cookies sind als unbedingt erforderlich anerkannt und welche nicht?

Grundlegend lässt sich als Fazit aus den vorliegenden Gesetzen ziehen, dass eine aktive Einwilligung – und damit auch ein Cookie-Banner – immer dann notwendig sind, wenn nicht erforderliche Cookies oder ähnliche Technologien eingesetzt werden (um Nutzerprofile zu erstellen), die Interessenabwägung zugunsten der Betroffenen ausfällt oder ein Dienst in den USA verwendet wird.

Als nicht erforderliche Technologien gelten zum Beispiel Reichweitenmessung/Tracking mit Cookies, Tag Management, A/B-Testing, Personalisierung, Retargeting sowie Affiliate Marketing.

Als unbedingt erforderlich gilt ein Cookie, wenn es für die Erbringung des ausdrücklich gewünschten Dienstes für den/die Nutzer*in absolut notwendig ist. Dazu gehören zum Beispiel Authentifizierung & Session-Handling, temporäre Speicherung von Formularen/Warenkörben, gewählte Nutzerpräferenzen (wie z. B. Darstellung/Sprache), Load Balancing & Sicherheitsmaßnahmen. Dann kann auch eine Einwilligung nach dem TTDSG verzichtet werden. Allerdings kann dennoch eine Einwilligung notwendig werden, wenn US-Datentransfers vorliegen, Google Analytics verwendet wird oder die Interessenabwägung bei berechtigtem Interesse nach DSGVO Artikel 6.1 f) zugunsten der Interessen, Grundrechte und Grundfreiheiten der betroffenen Person ausfällt.

Wie müssen Einwilligungen gestaltet sein, um wirksam zu sein?

Zunächst muss die Einwilligung freiwillig erfolgen – und für verschiedene Verarbeitungsvorgänge gesondert erteilt werden können. Voreingestellte Ankreuzkästchen, also die konkludente Zustimmung, ist nicht rechtens. Die Einwilligungsanfrage muss präsent in verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache vorliegen. Genauso zugänglich und einfach möglich muss der Widerruf der Einwilligung sein. Dieser Widerruf darf auch nicht mit negativen Folgen für den/die Websitenutzer*in verknüpft sein.

Bei der Gestaltung des Cookie-Banners gilt es zu beachten, dass sogenanntes Nudging – die Hervorhebung der Zustimmung durch Schriftgröße, Schriftart oder Farbe – sowie die erschwerte Ablehnung (zum Beispiel durch kleine Schrift oder komplizierte Abwähllisten) nicht erlaubt ist. Beide Optionen müssen sich gleichwertig präsentiert werden und beide direkt als Schaltfläche erkennbar sein.

Auf oberster Ebene muss für die Nutzer*innen unter anderem sofort ersichtlich sein, wer welche Daten erhält und verarbeitet und welchen Zweck jeder Verarbeitungsvorgang verfolgt. Zudem müssen die Nutzer*innen Informationen über die Verwendung der Daten zur automatisierten Entscheidungsfindung erhalten (sofern relevant); aber auch darüber, dass umfassende Nutzungsprofile erstellt werden bzw. Profile erweitert werden (sofern relevant). Des Weiteren müssen Nutzer*innen über die möglichen Risiken von Datentransfers in Drittländer informiert werden.

Was passiert, wenn keine rechtskräftige Einwilligung eingeholt wird?

Wenn nach dem 01.12.2021 keine ordnungsgemäße Einwilligung für nicht erforderliche Cookies eingeholt wird, drohen gleich verschiedene Bußgelder:

Was bedeuten rechtskonforme Cookie-Banner für die Web-Analyse?

Die rechtskonforme Einwilligung in Cookies mittels eines entsprechend gestalteten Cookie-Banners führt laut etracker Analytics & Consent Benchmark-Studie 2021 zu extremen Datenverlusten. Während Banner mit illegalem Zwang eine Einwilligungsrate von 30 % erzielen und Banner mit illegalem Nudging 23 %, liegt die Einwilligungsrate bei rechtskonform gestalteten Einwilligungsraten bei nur 14 %.

Dennoch ist die manipulative Gestaltung der Consent-Banner weder eine legale noch eine langfristige Herangehensweise, um die Basis für datengetriebenes Marketing aufrechtzuerhalten. Hier sind alternative Lösungsansätze gefragt, die sich auf die Rechtsgrundlage des „Berechtigten Interesses“ beziehen – und damit keine Einwilligung benötigen.

Rechtskonformes Tracking ohne Einwilligung für die Web-Analyse

Um die Web-Analyse doch noch zu retten, können Sie sich der alternativen Rechtsgrundlage des „Berechtigten Interesses“ zunutze machen. Die Interessenabwägung fällt hier zugunsten des Unternehmens aus, wenn ein rechtlich gültiger Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geschlossen wird, der kein Interesse an den Daten für eigene Zwecke verfolgt. Das bedeutet auch, dass der Auftragsverarbeiter die Daten nicht über Websites hinweg verknüpft/anreichert, also den/die Nutzer*in nicht persönlich identifiziert. Der Auftragsverarbeiter muss eine Opt-Out-/Widerrufsmöglichkeit für die Datenschutzerklärung anbieten und die IP-Anonymisierung sicherstellen. Der Auftragsverarbeiter betrachtet zudem Do-Not-Track-Einstellungen im Browser automatisch als Widerruf/Opt-Out und es werden selbstverständlich keine Tracking-Cookies oder ähnliche Techniken eingesetzt. Zudem dürfen alle Daten ausschließlich in Europa verarbeitet werden. Die Einhaltung dieser acht Anforderungen müssen Website-Betreiber*innen auch nachweisen können (auch wenn sie Tracking selbst betreiben).

Nachhaltige Daten-Strategie – mit unserem Partner etracker

Mit unserem Partner etracker können wir Ihnen professionelle und seriöse Lösungen mittels Consent-freiem Einsatz anbieten. Die Web-Analyse via etracker ist praxiserprobt und anerkannt – Datenschutz und Datengewinnung gehen hier Hand in Hand.

Im Standard setzt etracker Analytics keine einwilligungspflichtigen Cookies ein und bedarf dank datenschutzfreundlicher Verarbeitung innerhalb der EU auch keine Einwilligung nach der DSGVO. Somit werden alle rechtlichen Anforderungen erfüllt und gleichzeitig die Datenbasis für Web-Analyse und Conversion-Tracking gesichert.

Webinar-Video zum TTDSG und etracker

Sie möchten mehr zu den Regelungen des TTDSG erfahren? Oder interessieren sich für die Tracking-Möglichkeiten mit etracker? Schauen Sie sich gerne die Aufzeichnung unseres Webinares „Neue Cookie-Regelung des TTDSG – So verhindern Website-Betreiber*innen Datenverlust und Strafen“ vom 09.12.2021 an. Dort erläutern Datenschutz-Experte Christian Bennefeld und etracker Geschäftsführer Olaf Brandt mehr zu: