Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookies und das TTDSG: Welche Cookies sind ohne Einwilligung erlaubt?

0

Das TTDSG regelt den Zugriff auf Endgeräte für Deutschland neu. Damit wird die ePrivacy-Richtlinie umgesetzt, die auch als Cookie-Richtlinie bekannt ist. Was bedeutet das für den Datenschutz?

Einleitung

Bis vor den 1. Dezember 2021 gab es keine formale gesetzgeberische Umsetzung der europäischen ePrivacy-Richtlinie. Der deutsche Gesetzgeber hat damit seine Pflichten verletzt und war wohl wieder mit Digitalversagen beschäftigt. Egal, wie die neue Regierung arbeiten wird. Weniger für die Digitalisierung als die bisherige Regierung kann sie kaum tun.

Selbst der BGH hat die Untätigkeit des Gesetzgebers in seinem Urteil vom 28.05.2020 (Az.: I ZR 7/16, “Planet49”) festgestellt. Der BGH hat nämlich entschieden, dass das Telemediengesetz (TMG) gemäß der ePrivacy-Richtlinie auszulegen ist.

Damit hat sich der BGH (glücklicherweise) gesetzgeberisch betätigt, obwohl das nicht zu seinen Aufgaben gehört. Was wären wir nur ohne den BGH? Auf die Bundesregierung kann man sich jedenfalls nicht verlassen, wenn es schnell gehen soll. Die Schnelligkeit ist hier in Jahreseinheiten zu messen, nicht in Tagen oder Wochen.

Seit dem 28.05.202 also muss für sämtliche Cookies, die technisch nicht notwendig sind, eine Einwilligung abgefragt werden. Andernfalls dürfen die Cookies nicht erzeugt und auch nicht ausgelesen werden. Dies galt für alle derartigen Cookies zu Marketing-Zwecken und zur Nutzerprofilbildung. Das lässt sich aus § 15 Abs. 3 TMG ableiten.

Das neue TTDSG ersetzt in diesem Punkt das TMG. Was ändert sich nun?

Neuerungen durch das TTDSG

Das TTDSG führt eine Reihe von Neuerungen ein. Beispielsweise gilt die sogenannte Cookie-Regel nun auch für Endeinrichtungen und nicht mehr nur für Endgeräte. Damit wird auch der Cookie-Richtlinie eine Zugriffs-Richtlinie. Der Begriff des Cookies taucht im TTDSG und auch in der ePrivacy-Richtlinie nirgends auf, jedenfalls nicht an entscheidenden Stellen, sondern höchstens und ganz selten in Kommentaren o.ä.

Dass immer von Cookies gesprochen wird, liegt an mehreren Gründen. Erstens konnten sich viele keinen anderen Mechanismus vorstellen als Cookies, um auf das Endgerät eines Nutzers zugreifen zu können. Dabei gibt es andere Möglichkeiten, wie beispielsweise die Kohorten-ID, die Google einführen wollte, es für Europa aber dann doch gelassen hat. Google merkte nämlich nach einigen Wochen, dass ganz vergessen wurde, dass eine Kohorten-ID, die durch einen Browser verwaltet ist, ebenso unter die ePrivacy-Richtlinie fällt wie ordinäre Cookies.

Ein weiterer Grund dafür, dass „immer“ von Cookies gesprochen wird, ist die Lobby der Pseudo-Datenschützer. Dies sind:

  • Anbieter von sogenannten Cookie-Popups (siehe Cookiegeddon: Das Versagen aller Consent Tools)
  • Anwälte, die lieber Datenschutztexte schreiben als herauszufinden, wie Webseite wirklich abgesichert werden
  • Manche Verbände und Organisationen. Hierzu muss ich leider auch die Stiftung Datenschutz rechnen, die trotz meiner mehrfachen Einwände immer noch nicht verraten konnte, wie der § 26 TTDSG umgesetzt werden soll. Darin geht es nämlich um eine zentrale Einwilligungsverwaltung (PIMS), die als Wunderlösung verkauft wird, obwohl sie weder eine Lösung noch ein Wunder ist.
  • Interne-Agenturen, die Wunderlösungen für viel Geld verkaufen wollen, ohne Arbeit damit zu haben.

Seit Endeinrichtungen und nicht mehr nur Endgeräte von den Datenschutzregeln des TTDSG betroffen sind, kommen weitere Technologien außer Cookies und anderen ins Spiel.

Was sind Endeinrichtungen und Endgeräte?

  • Endgeräte sind Smartphones, Tablets, Notebooks, Desktop PCs und dergleichen, also Computer, die an ein Netzwerk angeschlossen sind und von einem Nutzer bedient werden können. Dazu gibt es typischerweise ein Display.
  • Endeinrichtungen sind in § 2 TTDSG definiert. Es sind jegliche Geräte bzw. Einrichtungen, die an ein Netzwerk angeschlossen sind. Dazu gehören Smart Home Geräte, Multi-Room Lautsprecher und vernetzte Toaster (was immer als leider ungeeignetes Beispiel für die angeblich unbedingte Notwendigkeit einer zentralen Einwilligungsverwaltung gebracht wird)

Im Gegensatz zu Webseiten können Endeinrichtungen Updates empfangen bzw. erhalten diese gelegentlich. Beispielsweise bietet mein Multi-Room Lautsprecher regelmäßig Updates zur Installation an. Stimme ich zu, wird das Update installiert.

Weil nun auch Updates als Zugriffsmöglichkeit auf Endeinrichtungen hinzukommen, kann nicht mehr von einer Cookie-Richtlinie gesprochen werden. Daher mein obiger Begriff der Zugriffsrichtlinie. Dieser Begriff schließt Updates, die technisch nicht notwendig sind, mit ein. Ein Funktionsupdate könnte aus einem vernetzten Toaster eine Kaffeemaschine machen. Ja, das wird gelegentlich als Argument geliefert, und zwar sogar von einem Datenschutzverband, der in Teilen leider der Lobby der Pseudo-Datenschützer zuzurechnen ist.

Was ändert sich für Webseiten?

Webseiten benötigen keine Updates, die ein Nutzer selber einspielen müsste. Vielmehr werden Webseiten direkt in aktueller Fassung vom zuständigen Web Server zum Browser des Besuchers der Webseite geschickt. Somit ändert sich diesbezüglich aufgrund des TTDSG gar nichts.

Das TTDSG unterscheidet im Gegensatz zum TMG allerdings die Zwecke der Cookies, für die eine Einwilligung erforderlich ist. Laut TTDSG sind die Zwecke nämlich egal. Ein Cookie, egal zu welchem Zweck es genutzt wird, bedarf einer Einwilligung. Ausnahmsweise erlaubt sind nur Cookies, die technisch notwendig sind.

Cookies, die technisch nicht notwendig sind, bedürfen immer einer Einwilligung.

Die Zwecke von Cookies spielen keine Rolle. Die Rechtsgrundlage des berechtigten Interesses gibt es nicht.

Konsequenz aus § 25 TTDSG.

Die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 f DSGVO gibt es im TTDSG für Cookies nicht.

All das ist in § 25 TTDSG geregelt. Der Gesetzestext ist glücklicherweise fast gleich zur ePrivacy-Richtlinie, denn ansonsten hätte es wohl noch länger gedauert, bis das TTDSG das Licht der Welt erblickt. Zudem konnte der Gesetzgeber so kaum etwas verschlimmbessern. Weil Verschlimmbessern aber eine der Lieblingsbeschäftigung von manchen ist, wurde der § 26 TTDSG eingeführt, auf den ich hier nicht weiter eingehen werde (dafür aber später, dann wird es peinlich für alle, die PIMS unterstützen).

Die folgende Tabelle zeigt Beispiele für Cookies und ob für diese eine Einwilligung erforderlich erscheint oder nicht.

Cookie-TypEinwilligung erforderlich?
Sitzungsverwaltung (etwa Warenkorb)Nein
Vermerken des Einwilligungsstatus bei Opt-OutNein (Cookie sollte aber nur einen kurzen Wert aufweisen, etwa ein einziges Zeichen)
Vermerken des Einwilligungsstatus bei Opt-InNein
SprachauswahlNein (mit kleiner Unsicherheit, weil Sprachaussteuerung ggf. über mildere Mittel möglich)
Nutzer nachverfolgen (Tracking)Ja
ChatbotJa
WerbungJa
ReichweitenmessungNein bei Sitzungs-Cookies (meine Meinung, wird demnächst begründet), sonst Ja
Datenweitergabe an GoogleJa, immer (meine Meinung, da Google erhaltene Daten zu eigenen Zwecken nutzt, was einem gültigen AVV entgegensteht)
Info, ob Nutzer angemeldet istJa, denn wenn ein Nutzer angemeldet ist, ist ihm sowieso ein Cookie zur Verwaltung der Anmeldung zugeordnet (s.o.). Ist er nicht angemeldet, muss dies nicht vermerkt werden
Speicherung einer KonfigurationJa, sofern technisch nicht notwendig, also meistens Ja
Eingaben durch Nutzer über mehrere SeitenNein, wenn über ein Sitzungs-Cookie
Konsequenz aus § 25 TTDSG

Wohlgemerkt, muss der alleinige Zweck von Cookies technisch notwendig sein, damit derartige Cookies ohne Einwilligung verwendet werden dürfen. Es ist also unzulässig, ansonsten einwilligungspflichtige Cookies zu umgehen, indem einfach ein nach außen hin technisch notwendig erscheinendes Cookie gesetzt wird, welches dann aber für andere Zwecke als den suggerierten (und erlaubten) verwendet wird.

Warum die Aussage des vorigen Absatzes in dieser Absolutheit meines Erachtens nicht für alle Fälle zutrifft, nämlich für die Reichweitenmessung, werde ich demnächst beschreiben.

Wer die Zwecke eingesetzter Cookies nicht kennt, darf den zugrunde liegenden Dienst nicht einsetzen.

Siehe Art. 13 DSGVO und EuGH-Urteil zu Planet49.

Sitzungs-Cookies haben grundsätzlich das Potential, nicht unter das Einwilligungserfordernis TTDSG zu fallen. Cookies mit einer Laufzeit von einem Jahr oder länger sehe ich aktuell für generell Einwilligungspflichtig. Das Jahr ist hier schon eine sehr hohe Obergrenze, weil zur genauen Eingrenzung weitere Betrachtungen notwendig sind. Alleine aus Sicherheitsgründen sollten Anmeldeinformationen in einem Shop oder Redaktionssystem nicht länger als wenige Tage oder Wochen gültig sein. Alleine daran wird ersichtlich, dass die genannte Jahresgrenze nicht deshalb überschritten werden kann, weil technisch notwendige Anmeldeinformationen verwaltet werden.

Browser Fingerprints

Ein Fingerprint wird gebildet durch Zusammenstellen von Geräte- und Browser-Informationen. Dazu gehört beispielsweise die Bildschirmauflösung, aber auch der User-Agent. Der User-Agent enthält die Browser-Version und das Betriebssystem. Er wird zwangsläufig beim Abruf einer Datei übertragen. Somit fällt er nicht unter den § 25 TTDSG.

Die Bildschirmauflösung wird meiner Einschätzung nach nicht aus dem Endgerät im Sinne eines Zugriffs ausgelesen. Hier gibt es unterschiedliche Meinungen, die allerdings nach meiner Kenntnis nur von Juristen stammen. Ich bin Informatiker und betrachte die Tatsachen.

Dienste wie Matomo, die Besucher zählen, nutzen oft Browser Fingerprints, um Benutzer nicht doppelt zu zählen. Das könnte ggf. nun einwilligungspflichtig sein. Ich sehe es aber anders und kann das auch begründen, aber nicht in diesem Artikel. Unabhängig davon können Besucher für die meisten Zwecke ausreichend gut ohne Fingerprint gezählt werden.

Fazit

Das TTDSG führt eine Regelung ein, die nahezu wortgleich zur ePrivacy-Richtlinie ist. Dennoch entstehen daraus einige neue Aspekte.

Wer nicht weiß, welche Cookies ein Plugins nutzt, darf das Plugin nicht einsetzen.

Konsequenz aus Art. 13 DSGVO.

Aufgrund der Neuregelung durch das TTDSG muss nun noch genauer darauf geachtet werden, dass eine Rechtsgrundlage für den Einsatz von Cookies vorliegt. Das geht ganz schlecht mit Cookie-Popups, denn diese sind Versager.

Cookies, deren Zwecke Sie selber kennen, sind beherrschbar. Dazu gehören Cookies für die Verwaltung einer Spracheinstellung oder von Konfigurationen. Wenn nötig, können Sie hierfür rechtskonform eine Einwilligung erfragen.

Setzen Sie hingegen Tools von Google und anderen Unternehmen mit fragwürdigen Geschäftspraktiken ein, können Sie eine rechtskonforme Einwilligung faktisch nicht abfragen, ist meine Ansicht. Aus meiner Ansicht wird eine Tatsache, wenn die eingesetzten Dienste Cookies verwenden, deren Zwecke Sie nicht kennen.

Preisfrage. Wer nennt mir die Zwecke aller Cookies, die beim Einbinden eines Plugins für Google Maps oder Google reCAPTCHA ins Spiel kommen? Machen wir es einfacher: Nennen Sie mir die Namen dieser Cookies! Dieser Aufforderung haben Sie spätestens dann nachzukommen, wenn jemand Ihre Webseite besucht und es genauer wissen möchte. So wie ich.

Damit die Welt nicht untergeht: Lassen Sie einfach Dienste ohne echten Mehrwert weg und ersetzen datenschutzfeindliche Dienste durch datenschutzfreundliche Alternativen oder anderen Lösungen. Auf Dr. DSGVO finden Sie zahlreiche Hilfestellungen dazu. Weiß Ihr Webseiten-Dienstleister nicht weiter, besorgen Sie Ihrer Agentur Unterstützung oder wechseln Sie den Dienstleister.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Browser Fingerprinting und das TTDSG: Erlaubt oder nicht?