Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe zum TTDSG veröffentlicht, welches seit dem 01.12.2021 in Kraft getreten ist. Wir haben dazu bereits informiert: https://www.datarea.de/das-ttdsg-endlich-mehr-klarheit-fuer-die-nutzung-von-cookies/.

Mit dieser Orientierungshilfe möchte die DSK nun darüber informieren, wie Cookies aus Sicht der Datenschutzbehörden unter dem TTDSG nun legal eingesetzt werden können. Die wichtigsten Inhalte der Orientierungshilfe möchten wir in diesem Beitrag kurz zusammenfassen.

1. „Ablehnen-Button“

Nach Ansicht der DSK ist eine Schaltfläche zur Ablehnung im Cookie-Banner zwingend notwendig. Es soll nicht ausreichend sein, wenn die Nutzer zunächst nach einem zusätzlichen Klick in die „Cookie-Einstellungen“ einen Button zur Ablehnung finden. Die Diskussion um eine derartige Gestaltung des Cookie-Banners hat im letzten Jahr richtig Fahrt aufgenommen. Gerichte (LG Rostock, 15.09.2020 – 3 O 762/19) und Aufsichtsbehörden beschäftigen sich zunehmend mit dem Thema, wobei das Pendel inzwischen mehr zugunsten der Ansicht der DSK ausschlägt.

2. Kein Personenbezug notwendig

Ein Personenbezug ist bei den Daten, welche die Cookies erheben nicht erforderlich. Hier kommt der eindeutige Unterschied im Anwendungsbereich zwischen TTDSG und DSGVO zum Tragen. Das TTDSG geht damit über den Anwendungsbereich der DSGVO hinaus, wodurch es irrelevant ist, ob durch Cookies personenbezogene Daten gespeichert werden, eine Einwilligung ist dennoch erforderlich.

3. Bündelung von Einwilligungen

Rein systematisch stellen eine Einwilligung, nach § 25 Abs. 1 TTDSG und eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zwei verschiedene Willensbekundungen dar. In der Praxis wäre eine Trennung dieser beiden Einwilligungen über ein Cookie-Banner aber schwer umsetzbar. Die DSK hat diesem Umstand Rechnung getragen und sieht die Bündelung der beiden Einwilligungen durch dieselbe Handlung als zulässig an. Eine zulässige Bündelung wird von der DSK jedoch an folgende Voraussetzungen geknüpft: Information über Verarbeitungszwecke im Moment der Einwilligung, und Aufklärung über mehrere Einwilligungen.

4. Einsatz von US-Dienstleistern

Die DSK weist in der Orientierungshilfe ausdrücklich darauf hin, dass nach ihrer Ansicht eine Einwilligung in den Einsatz von US-Cookie-Anbietern (und damit auch die potenzielle Datenübermittlung in die USA) grundsätzlich nicht möglich sein soll. Vielmehr sollten mit den Anbietern Standardvertragsklauseln abgeschlossen werden und das Datenschutzniveau mittels Transfer Impact Assessment (TIA) überprüft werden.

5. Ausnahmen vom Einwilligungserfordernis

Die DSK erkennt Ausnahmen vom Einwilligungserfordernis nur in sehr engen Grenzen an. Eine Einwilligung soll beispielsweise nicht erforderlich sein, wenn ausschließlich vom Browser gesendete Daten auf den Servern gespeichert werden (nach TTSDG!). Je nachdem, welche Daten vom Browser übermittelt werden, kann diese Datenübermittlung aber wiederum nach der DSGVO einwilligungspflichtig sein. Insbesondere beim Einsatz von Browser-Fingerprinting, welche häufig als Tracking ohne Einwilligungserfordernis beworben wird, ist also anhand der erhobenen Daten zu prüfen, ob nicht doch eine Einwilligung notwendig ist.

Zusammenfassung

Die Datenschutzbehörden vertreten in der Orientierungshilfe natürlich ihre Sicht der Dinge, der man nicht zwangsläufig folgen muss. Anhand der OH lässt sich jedoch klar erkennen, welche Schwerpunkte die Behörden bei etwaigen Prüfungen setzen werden. Letztlich müssen Gerichte in Einzelfällen entscheiden, ob den Ansichten der DSK zu folgen ist. Webseitenbetreiber sollten anhand ihrer Risikobereitschaft ihre Cookie-Banner ausgestalten. Wer sich vor Bußgeldern und Strafandrohungen fürchtet sollte sich daher eher an die Orientierungshilfe der DSK halten.

Bei der Ausgestaltung der Banner hinsichtlich eines „Ablehnen“-Buttons scheint es bereits eine klare Richtung zu geben, in welche sich diese Thematik bewegen wird.

Ansonsten bleibt festzustellen, dass es kein Zurück mehr zu den Zeiten geben wird, als Webseitenbesucher noch mit Ignorieren des Cookie-Banners eine Einwilligung suggeriert haben. Die Beschränkungen werden eher strenger als lascher und alternative Möglichkeiten zum Tracking ohne Einwilligung werden weniger.