Wofür der Begriff „Cookie“ im Zusammenhang mit dem Internet steht, konnten sich bis vor einigen Jahren nur die Wenigsten erklären. Erst mit Einführung der Datenschutz-Grundverordnung wurde der Begriff geläufig. Seit einem Urteil des Bundesgerichtshofs im Mai 2020 müssen wir uns immer zuerst mit einem Cookie-Banner beschäftigen, bevor wir den Website-Inhalt sehen können. Doch wie ist es genau dazu gekommen?
Wieso braucht es einen Cookie-Banner / eine Cookie-Box?
Zurückzuführen ist die Entstehung des Cookie Consents auf die DSGVO (Datenschutz-Grundverordnung), die E-Privacy-Richtlinie sowie ein Urteil vom Bundesgerichtshof im Mai 2020, welches festgelegt hat, dass die Einwilligung des Nutzers für die Speicherung von Cookies benötigt wird. Ferner gilt seit dem 01.12.2021 das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).
Ein Blick auf die Gesetze
Datenschutz-Grundverordnung
Die DSGVO regelt seit Mai 2018 die Verarbeitung personenbezogener Daten auf EU-Ebene und umfasst alle Bereiche, in denen Daten aufgenommen oder gespeichert werden. Sie enthält Bestimmungen und Pflichten zum Umgang mit personenbezogenen Daten wie bspw. Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit und Umsetzung von Betroffenenrechten. Dabei ist es nebensächlich, an welcher Stelle diese Daten aufgenommen wurden. Es gilt für den digitalen Bereich, z.B. wenn mit Hilfe eines Cookies Nutzungsprofile erstellt werden, wie auch für händisch erfasste Daten, bspw. während eines Arztbesuchs. Ein Verstoß gegen die DSGVO kann im schlimmsten Fall mit bis zu 20 Millionen Euro Geldbuße oder bis zu 4 % des weltweiten Jahresumsatzes geahndet werden je nachdem, welcher Wert am Ende höher ausfällt.
E-Privacy-Richtlinie / ePrivacy-Verordnung
Im Bereich der elektronischen Kommunikation gibt es auf europäischer Ebene eine sog. E-Privacy-Richtlinie. Diese gilt seit 2002 und regelt den Datenschutz in Bezug auf die Telekommunikation in der EU. Der europäische Gesetzgeber hat sich entschlossen diese Datenschutzrichtlinie durch eine ePrivacy-Verordnung zu ersetzen. Die ePrivacy-Verordnung war ursprünglich dazu gedacht, die DSGVO zu erweitern bzw. zu konkretisieren und die Regeln zur elektronischen Kommunikation an die Datenschutz-Grundverordnung (DSGVO) anzunähern, ohne dabei über die Vorschriften der DSGVO hinauszugehen.
Mit der ePrivacy-Verordnung soll es Nutzenden ermöglicht werden, Tracking besser zu kontrollieren. Das Ausspähen von Betroffenen über Cookies oder andere Technologien ohne Einwilligung soll verboten werden und Browser sollen Privatsphäre-freundliche Einstellungen zum Standard machen. Die neue Verordnung ist jedoch noch nicht in Kraft getreten, sodass weiterhin die E-Privacy-Richtlinie gilt. Als Richtlinie gibt sie jedoch, anders als eine Verordnung, kein verbindliches und unmittelbar wirksames Recht vor.
EUGH-Urteil im Oktober 2019 / BGH-Urteil im Mai 2020
Das deutsche Recht sah mit dem Telemediengesetz (TMG) eine Opt-Out-Lösung zum Setzen von Cookies als rechtens an. Das bedeutet, dass die Nutzer dem Setzen von Cookies aktiv widersprechen und etwaige Kästchen deaktivieren mussten. Dieses Vorgehen war jedoch gegensätzlich zur E-Privacy-Richtline, welches ein Opt-in-Verfahren vorsieht. In einer Klage des Bundesverbands der Verbraucherzentrale gegen den Gewinnspielanbieter Planet49 wurde ebendiese Gegensätzlichkeit zum Gegenstand der Verhandlung. Das BHG entschied im Mai 2020 auf Grundlage des EUGH-Urteils vom Oktober 2019, dass eine aktive Einwilligung des Nutzers benötigt wird. Zudem wurde festgehalten, dass Websitebetreiber umfassende Informationen bereitstellen müssen. Darunter fällt u.a. die Speicherdauer oder ob dritte Zugriff auf die Daten erlangen.
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Im Mai 2021 verabschiedeten der Bundestag und der Bundesrat das neue TTDSG, welches ein Zusammenschluss des TMGs (Telemediengesetz) und TKG (Telekommunikationsgesetz) ist. Am 01.12.2021 trat das Gesetz in Kraft. Seitdem ist gesetzlich verankert, dass alle technisch nicht erforderlichen Cookies einer Einwilligungspflicht unterliegen. Das deutsche Recht folgt damit der E-Privacy-Richtlinie.
Worin liegt der Unterschied zwischen der DSGVO und dem TTDSG?
Kurz und knapp kann man sagen, dass die DSGVO hauptsächlich den Schutz von personenbezogen Daten behandelt und den Menschen vor Überwachung schützen soll. So dürfen ohne Einwilligung z.B. keine Nutzerprofile angelegt oder E-Mail-Adressen für Werbezwecke genutzt werden. Das TTDSG hingegen dient nicht primär dem Schutz von personenbezogenen Daten, sondern schützt internetfähige Endgeräte (dazu zählen auch Smart Tvs, Lautsprecher oder Wearables) vor fremden Zugriffen. Es beinhaltet die Regelungen zu ePrivacy und setzt diese in nationales Recht um. Das heißt, es behandelt vorrangig Prozesse, die das Lesen und Speichern von Informationen (u.a. durch Cookies) auf Smartphone etc. umfassen, unabhängig davon, ob es sich um personenbezogene Daten handelt. Oftmals werden durch das Setzen von Cookies zusätzlich private Daten abgefangen, weswegen beide Gesetze eng miteinander verbunden sind.
Was bedeutet das jetzt konkret?
Was also eigentlich schon durch das BHG-Urteil im Mai 2020 beschlossen wurde, ist jetzt auch gesetzlich verabschiedet worden:
Ohne explizite Einwilligung des Nutzers dürfen keine Cookies auf den Endgeräten der Nutzer gespeichert werden. Ausgenommen von dieser Regelung sind Cookies, die für den Betrieb einer Website zwingen erforderlich sind. Im Bereich des E-Commerce ist hier ein Warenkorb-Cookie zu nennen, dass die Zuordnung zwischen Endnutzer und dem jeweiligen Warenkorb regelt. Es stellt sicher, dass jeder Nutzer nur seinen Warenkorb sieht und keine Daten von fremden Personen angezeigt werden.
Die einfachste Variante die Einwilligung des Nutzers über das Setzen von Cookies einzuholen ist über ein Cookie Consent Tool.
Welche Variante hier die beste ist, planen wir im Rahmen einer Studie in unserem Digital Tourism Lab zu untersuchen. Weitere Informationen dazu veröffentlichen wir laufend in unserem Blog.
Weitere grundlegende Informationen zu den Tools sind außerdem im Beitrag: Im Cookie Consent Tool Dschungel – Wieso braucht man das und welches nimmt man? Ein Erfahrungsbericht zu finden.
Strategie & Konzeption 
Über den Tellerrand 
