Telekommunikations-Telemedien-Datenschutzgesetz – Neues zu Cookies und Tracking

Überblick: Das TTDSG (heute TDDDG) hat die Einwilligungspflicht für Cookies und Tracking-Technologien gesetzlich verankert. Website-Betreiber müssen ein rechtskonformes Consent-Banner implementieren, das den Nutzern eine echte und gleichwertige Wahlmöglichkeit bietet. Die ständige Weiterentwicklung von Tracking-Technologien erfordert eine regelmäßige Überprüfung und Anpassung der datenschutzrechtlichen Maßnahmen.

Am 01.12.2021 tritt das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Inhalt sind einige Klarstellungen und Neuerungen bezüglich Tracking und Cookies für Website-Betreiber, Unternehmen und Agenturen. Lesen Sie hier in Kürze die wichtigsten Regelungen des TTDSG.

Cookies und Tracking

Das TTDSG regelt, dass es für die Verwendung von Cookies und Tracking eine echte und ausdrückliche Einwilligung des Nutzers braucht. Durch diese Cookies und Tracking werden Informationen auf den Endgeräten des Benutzers gespeichert oder auf es soll auf sie zugegriffen werden. Der Umgang mit Cookies und Tracking war bisher zwar in der Rechtsprechung schon festgestellt, aber noch nicht gesetzlich festgeschrieben worden.

Ausnahmen von dieser Regelung gibt es dafür, wenn es um technisch zwingend notwendige Cookies / Tracking Informationen geht. Auch solche, die ausschließlich dazu dienen, Nachrichten über ein öffentliches Telekommunikationsnetz zu übertragen, sind ausgenommen.

Personal Information Management Systems (PIMS)

Nach dem TTDSG können Endnutzer auch über ein PIMS angeben, ob, wo und unter welchen Voraussetzungen sie ihre Ablehnung oder Einwilligung erklären wollen. Über das PIMS wird diese Information dann an alle Websites automatisch weitergeleitet. Das Ziel ist es, dem Endnutzer damit mehr Kontrolle über seine Daten zu geben und Consent Tools / Einwilligungsabfrage entbehrlich zu machen.

Allerdings wurde noch nicht festgelegt, wie das Verfahren zur Anerkennung solcher Systeme aussehen soll. Bis dies nicht durch Rechtsverordnung festgelegt wurde, ist die Verwendung noch nicht möglich und es muss weiter auf Consent Tool / Einwilligungsabfrage gesetzt werden.

Consent Tool / Einwilligungsabfrage

Spätestens jetzt ist es demnach für Website-Betreiber verpflichtend, einen Consent Tool / Einwilligungsabfrage einzurichten. Für viele große CMS wie WordPress gibt es hierfür bereits fertige Plugins.

Das TTDSG enthält dagegen keine Antworten auf die Frage, wie ein solcher Consent Tool / Einwilligungsabfrage auszusehen hat. Aus diversen Stellungnahmen und Abmahnungen von Datenschutzbehörden und Verbraucherzentralen lassen sich aber einige Kernpunkte festhalten: Eine Einwilligung muss durch den Endnutzer aktiv gesetzt werden. Das bedeutet zum einen, dass keine Option vorausgewählt sein darf und zum anderen, dass bis zur Erteilung der Einwilligung die Trackings technisch deaktiviert sein müssen. Zum Setzen der Präferenzen muss es klare Buttons geben: „Annehmen“ und „Ablehnen“. Diese Buttons müssen gleichwertig und im selben Design dargestellt sein. Hervorhebungen oder Darstellungen auf unterschiedlichen Ebenen sind unzulässig. Zudem ist der Nutzer über die Zwecke der Tools, Anzahl der Anbieter und deren Sitz (falls außerhalb der EU) zu informieren.

Anwendungsbereich des TTDSG

Dies hat weitreichende Auswirkungen auf die Praxis der Datenverarbeitung im digitalen Raum. Unternehmen müssen ihre gesamte digitale Infrastruktur — von der Website über mobile Apps bis hin zu vernetzten Geräten — auf die Einhaltung der erweiterten Anforderungen überprüfen und gegebenenfalls anpassen.

Das TTDSG geht in zweierlei Hinsicht weiter als die bisherigen Regelungen: Zum einen beziehen sich die Regelungen auf alle Endgeräte, womit auch alle mit dem Internet verbundenen Geräte erfasst sind (IOT Dienste, Smarthome-Anwendungen, usw). Zum anderen bezieht sich das TTDSG nicht nur auf personenbezogene Daten, sondern auf alle Informationen, die Nutzer von Telekommunikationsdiensten und Telemedien preisgeben und die somit erhoben werden können (zB Browser Fingerprinting). Es bezieht sich damit auf alle Techniken, für die Informationen auf Endgeräten gespeichert oder ausgelesen werden, also nicht nur auf Cookies und Trackings.

Behörden und Bußgelder

Bei einem Verstoß kommen nun nicht mehr nur Bußgelder nach der DSGVO, sondern auch nach dem TTDSG in Betracht. Die Aufsicht darüber führt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Für Vorschriften, die nicht die Verarbeitung personenbezogener Daten betreffen, ist dagegen die Bundesnetzagentur zuständig.

Kommt es zum Verstoß (zB Fehlen eines Consent Tool / Einwilligungsabfrage und sofortiger Beginn des Trackings), fallen meist Bußgelder aus der DSGVO und dem TTDSG gleichzeitig an, sowie eine Abmahnung.

Öffentliche Stellen können nach dem TTDSG zudem auf Verlangen Bestands- und Nutzerdaten von Anbietern von Telemediendiensten einsehen.

Fazit

Das TTDSG vergrößert den Anwendungsbereich von meist bekannten Datenschutzregelungen im Internet. Auch wird dadurch der Bereich vergrößert, in dem potentiell Bußgelder anfallen können. Website-Betreiber, die ihre Cookie- und Tracking-Implementierung noch nicht an die aktuellen Anforderungen angepasst haben, sollten dies zeitnah nachholen, um Bußgelder und Abmahnungen zu vermeiden.Ein Consent Tool / Einwilligungsabfrage, die echte und aktive Einwilligungen einholen kann, ist nun definitiv verpflichtend.

Vom TTDSG zum TDDDG: Aktuelle Rechtslage

Seit Mai 2024 firmiert das TTDSG unter dem neuen Namen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Die Umbenennung erfolgte im Zuge der Anpassung an das Digitale-Dienste-Gesetz (DDG), das das bisherige Telemediengesetz (TMG) ablöste. Inhaltlich blieben die wesentlichen Regelungen zu Cookies und Tracking unverändert, wurden jedoch redaktionell angepasst und in den neuen gesetzlichen Rahmen eingebettet.

Für Website-Betreiber und Unternehmen ändert sich durch die Umbenennung in der Praxis wenig: Die Einwilligungspflicht für nicht technisch notwendige Cookies und Tracking-Technologien besteht fort. Auch die Anforderungen an die Gestaltung von Consent-Bannern bleiben identisch. Allerdings sollten Unternehmen ihre Datenschutzerklärungen aktualisieren und auf das neue Gesetz verweisen.

Cookie-Banner richtig gestalten: Anforderungen und häufige Fehler

Die korrekte Gestaltung eines Cookie-Banners (Consent-Banners) ist in der Praxis nach wie vor eine der größten Herausforderungen für Website-Betreiber. Die deutschen Datenschutzaufsichtsbehörden und Verbraucherzentralen haben in zahlreichen Verfahren konkretisiert, welche Anforderungen an ein rechtskonformes Consent-Banner gestellt werden.

Zu den häufigsten Fehlern gehören: voreingestellte Häkchen bei nicht notwendigen Cookies, ein prominent gestalteter „Akzeptieren“-Button bei gleichzeitig versteckter oder schwer auffindbarer Ablehnungsmöglichkeit, die Verwendung von sogenannten Dark Patterns, die den Nutzer zur Einwilligung verleiten, sowie das Fehlen detaillierter Informationen über die eingesetzten Tracking-Technologien und deren Anbieter.

Ein rechtskonformer Cookie-Banner muss dem Nutzer eine gleichwertige Möglichkeit bieten, alle nicht notwendigen Cookies abzulehnen oder einzeln auszuwählen. Der Ablehnungs-Button muss auf derselben Ebene wie der Zustimmungs-Button platziert sein und darf nicht durch Farbe, Größe oder Position benachteiligt werden.

Serverseitiges Tracking und neue Technologien

Mit dem zunehmenden Einsatz von serverseitigem Tracking (Server-Side Tracking) stellen sich neue datenschutzrechtliche Fragen. Beim serverseitigen Tracking werden die Nutzerdaten nicht mehr direkt vom Browser des Nutzers an den Tracking-Anbieter gesendet, sondern zunächst an den eigenen Server des Website-Betreibers. Von dort werden die Daten gefiltert und an Drittanbieter wie Google Analytics weitergeleitet.

Aus datenschutzrechtlicher Sicht ändert serverseitiges Tracking nichts an der grundsätzlichen Einwilligungspflicht. Auch wenn die Daten zunächst auf dem eigenen Server verarbeitet werden, findet weiterhin eine Verarbeitung personenbezogener Daten statt, die einer Rechtsgrundlage bedarf. Der Vorteil des serverseitigen Trackings liegt eher in der besseren Kontrolle über die übermittelten Daten und der Möglichkeit, personenbezogene Informationen vor der Weitergabe an Dritte zu anonymisieren.

Google Consent Mode und seine Auswirkungen

Mit der Einführung des Google Consent Mode v2 hat Google eine neue technische Lösung geschaffen, die das Tracking-Verhalten an die Einwilligungsentscheidung des Nutzers anpasst. Stimmt der Nutzer dem Tracking nicht zu, werden keine Cookies gesetzt und die erhobenen Daten werden nur in aggregierter und anonymisierter Form verarbeitet. Google nutzt dabei Modellierungstechniken, um Datenlücken durch fehlende Einwilligungen auszugleichen.

Aus datenschutzrechtlicher Sicht ist der Consent Mode jedoch nicht unumstritten. Kritiker weisen darauf hin, dass auch im Consent Mode technische Signale an Google-Server übermittelt werden, die unter Umständen als personenbezogene Daten einzustufen sind. Die Datenschutzaufsichtsbehörden haben bislang keine einheitliche Position zum Consent Mode veröffentlicht, sodass für Website-Betreiber eine gewisse Rechtsunsicherheit besteht.

Für Unternehmen empfiehlt es sich, den Einsatz des Google Consent Mode mit ihrem Datenschutzbeauftragten abzustimmen und die datenschutzrechtliche Bewertung zu dokumentieren. Unabhängig von der technischen Lösung bleibt die grundsätzliche Pflicht bestehen, vor dem Einsatz nicht notwendiger Tracking-Technologien eine wirksame Einwilligung einzuholen.

Neben Google Analytics gibt es zunehmend datenschutzfreundliche Alternativen wie Matomo, Plausible oder Fathom Analytics, die eine Website-Analyse ohne Cookies und ohne die Übermittlung personenbezogener Daten an Drittanbieter ermöglichen. Bei Einsatz solcher Tools kann unter Umständen sogar auf eine Einwilligung verzichtet werden, sofern keine personenbezogenen Daten verarbeitet werden und kein Zugriff auf Informationen des Endgeräts erfolgt. Die datenschutzrechtliche Bewertung hängt jedoch laufend von der konkreten Konfiguration und Implementierung ab und sollte im Einzelfall geprüft werden.

Die rasante Entwicklung im Bereich Web-Tracking zeigt, dass Unternehmen ihre Datenschutzstrategie regelmäßig überprüfen und an neue technische und rechtliche Gegebenheiten anpassen müssen. Eine einmalige Einrichtung eines Cookie-Banners reicht längst nicht mehr aus — der Datenschutz im Web ist ein fortlaufender Prozess, der professionelle Begleitung erfordert.

Unternehmen, die ihr Tracking-Setup überprüfen oder modernisieren möchten, sollten dies laufend in Abstimmung mit ihrem Datenschutzbeauftragten tun. Eine professionelle DSGVO-Beratung kann dabei helfen, die richtige Balance zwischen effektivem Marketing und datenschutzkonformem Tracking zu finden.

Checkliste für Website-Betreiber: Datenschutzkonformes Tracking

Website-Betreiber sollten regelmäßig überprüfen, ob ihre Cookie- und Tracking-Implementierung den aktuellen rechtlichen Anforderungen entspricht. Zentrale Prüfpunkte sind: Wird vor dem Setzen nicht notwendiger Cookies eine wirksame Einwilligung eingeholt? Ist der Cookie-Banner gleichwertig gestaltet mit einem ebenso prominenten Ablehnungs-Button? Werden alle eingesetzten Tracking-Technologien und deren Anbieter transparent aufgeführt? Ist die Datenschutzerklärung aktuell und verweist auf das geltende TDDDG? Werden die Einwilligungen der Nutzer nachweisbar dokumentiert? Werden Cookies nach Widerruf der Einwilligung tatsächlich gelöscht? Eine professionelle Überprüfung durch den Datenschutzbeauftragten kann verborgene Schwachstellen aufdecken und teure Abmahnungen oder Bußgelder verhindern.

Sollten Sie bei der praktischen Umsetzung Hilfe benötigen, unterstützen wir Sie gerne dabei.