Das Thema Cookies und Datenschutz ist für Unternehmen aller Größenordnungen ein ständiger Begleiter im digitalen Alltag. Besonders mit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), heute Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) genannt, verfeinern sich die Regelungen, die neben der Datenschutz-Grundverordnung (DSGVO) stehen.
Seit Dezember 2021 gelten durch das TDDDG spezielle Regeln für den Umgang mit Informationen, die auf Endgeräten der Nutzer gespeichert oder von dort ausgelesen werden – eine Definition, die in erster Linie Cookies betrifft, aber auch andere Technologien wie Tracking-Pixel einbeziehen kann. Der zentrale Punkt des Gesetzes lautet: Ohne die ausdrückliche Einwilligung der Nutzer sind jegliche Formen von Cookies nicht erlaubt, die über die bereitstellungsnötigen Informationen hinausgehen.
Das Gesetz, welches sich an die seit längerem diskutierte ePrivacy-Richtline in der Europäischen Union anlehnt, zielt dabei vor allem darauf ab, den Nutzern mehr Kontrolle über ihre persönlichen Daten zu geben. Doch die Umsetzung des TDDDG war alles andere als unkompliziert – lange Zeit herrschte Unklarheit darüber, wie Cookies datenschutzkonform eingesetzt werden dürfen.
Ein wichtiger Aspekt des TDDDG ist die Unterscheidung zwischen notwendigen und nicht-notwendigen Cookies. Technisch notwendige Cookies, beispielsweise für Warenkorb-Funktionen in Online-Shops oder für den Login-Bereich einer Website, dürfen auch weiterhin ohne Einwilligung gesetzt werden. Für alle anderen Cookies bedarf es einer klar und eindeutig formulierten Zustimmung der Nutzer.
Diese Einwilligung muss zudem bedingungslos sein. Das heißt, Einflussnahme mittels sog. Nudge-Techniken oder Dark Patterns, die Nutzer dazu bewegen sollen, ihre Zustimmung eher zu erteilen, sind strengstens untersagt. Ein Cookie-Banner, das den Nutzern ihre freie Entscheidungsmöglichkeit nimmt oder gar den Zugang zu weiteren Inhalten der Webseite erschwert, wenn keine Zustimmung erteilt wird, widerspricht den Datenschutzbestimmungen.
Doch wie steht es mit der Durchsetzung dieser Regelungen? Verstöße gegen das TDDDG können mit Bußgeldern bis zu 300.000 Euro sanktioniert werden. Die Zuständigkeit für die Verfolgung solcher Verstöße kann allerdings von Bundesland zu Bundesland unterschiedlich sein, was die tatsächliche Handhabung komplexer macht. Zudem betrifft die Regelungsgewalt des TDDDG nur den deutschen Rechtsraum, wodurch insbesondere bei grenzüberschreitenden Diensten Unklarheiten hinsichtlich der rechtlichen Zuständigkeiten auftreten können.
Für Webseitenbetreiber bedeuten diese Entwicklungen zusätzlichen Aufwand, um sich in der Praxis entsprechend den rechtlichen Vorgaben zu bewegen. Der Markt reagiert mit Angeboten von Consent-Management-Tools, die versprechen, die Einholung und Verwaltung von Nutzereinwilligungen zu vereinfachen, doch ist gerade hier Sorgfalt geboten, um auch wirklich rechtlich abgesichert zu sein.
Zusammenfassend lässt sich feststellen, dass der Datenschutz in der digitalen Welt weiter an Bedeutung gewinnt und Gesetze wie das TDDDG und die DSGVO das Zusammenspiel zwischen Datenschutzanforderungen und technologischen Möglichkeiten neu regeln. Der Umgang mit Cookies steht exemplarisch für die Herausforderungen, vor denen Unternehmen stehen, aber auch für die Chancen, Vertrauen bei Nutzerinnen und Nutzern durch transparentes und gesetzeskonformes Handeln zu gewinnen.
