Änderungen bei den Cookie-Bannern
Wer Cookies auf der Webseite einsetzt, hat in der Regel einen Cookie-Banner vorgeschaltet. Seit dem 01.12.2021 gelten Nutzereingaben auf veralteten Bannern nicht mehr als Einwilligung zum Speichern eines Cookies. Hier ist Handlungsbedarf.
Zum 01.12.2021 wurde Art. 5 Abs. 3 ePrivacy-Richtlinie durch §25 des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in deutsches Recht umgesetzt. Zeitgleich tritt ein neues Telekommunikationsgesetz (TKG) in Kraft. Änderungen gint es auch im Telemediengesetz (TMG).
Der §25 TTDSG geht davon aus, dass sämtliche Speicherungen von Informationen auf den Endgeräten der Nutzer sowie der Zugriff darauf (Auslesen) nur mit einer Einwilligung der (End-)Nutzer zulässig ist. Die Vorschrift ist technikneutral formuliert. Sie umfasst alle Techniken und Verfahren (Stichwörter „Cookies“, „Hidden Identifiers“, „Web-Bugs“, „Spyware“, oder ähnliches), mit denen Informationen gespeichert und ausgelesen werden können.
Soweit ist die Regelung noch nicht relevant, da Speicherung von Cookies auch in der Vergangenheit eine Einwilligung vorausgesetzt hat. Jedoch kommen die Datenschützer des Landes zu der Erkenntnis, dass der Wildwuchs bei den Cookie-Bannern, die eine Einwilligung abfragen, beendet werden muss. Denn durch spezielle Layouts versuchen Webseiten möglichst umfassende Einwilligungen zu erhalten.
Was klar sein sollte, wird gern wiederholt: Die Einwilligung in die Speicherung von Informationen muss eingeholt werden, bevor mit der ersten Speicherung oder mit dem Auslesen begonnen wird. Ferner ist der Nutzer umfassend zu informieren, wann und zu welchem Zweck Informationen (welche?) gespeichert und ausgelesen werden. Dies soll in Zukunft mehr in den Fokus gestellt werden. Daher ist Transparenz bei der Fomulierung der Einwilligung wichtig.
Die Einwilligung muss eine unmissverständliche Willenserklärung sein. Das kann so gelöst werden, dass es einen eindeutigen Button zur Bestätigung der Einwilligung gibt. Es bleibt auch möglich, über eine Auswahlliste bestimmte technische Einstellungen vorzunehmen. In diesem Rahmen darf es aber keine vorausgefüllten Optionen geben, die dem Nutzer eine Einwilligung „unterschieben“ wollen. Auch ein Opt-Out-Verfahren, bei dem der Nutzer ausdrücklich widersprechen muss, ist nicht zulässig. In diesem Zusammenhang muss gesagt werden, dass auch die bloße (Weiter-) Nutzung der Webseite kein Ersatz für eine ausdrückliche Einwilligung ist. Eine Einwilligung kann nur vorliegen, wenn der Nutzer aktiv eine bestätigende Handlung ausführt.
Konkret muss in Zukunft die Einwilligung wie folgt aussehen: Es muss ein Text den Zweck und die Informationen eindeutig und transparent erklären. Als Reaktion des Nutzers darauf muss es neben dem Button für die Zustimmung zur Einwilligung auch eine zweite Handlungsmöglichkeit geben, wie zum Beispiel ein „Ablehnen“-Button (das ist aktuell noch umstritten, da es nicht unmittelbar aus dem Gesetzestext hervorgeht, Stand: 28.12.2021), mit dem die Einwilligung ausdrücklich abgelehnt wird. Beide Möglichkeiten müssen gleichwertig dargestellt werden. Nicht ausreichend für die zweite Handlungsalternative wären Buttons mit „Einstellungen“ oder „Weitere Infomationen“, die auf Einstellungsoptionen verweisen.
Zuletzt muss die Möglichkeit geschaffen werden, die Einwilligung jederzeit wieder zu widerrufen.