New menu in etracker analytics: more user-friendly & efficient
The new Telecommunications Telemedia Data Protection Act (TTDSG)
Am 01. Dezember 2021 tritt das TTDSG, das in Gänze „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ heißt, in Kraft.
Mit dem neuen Gesetz sollen die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG, an die Datenschutzgrundverordnung (DSGVO) angepasst sowie gemäß europäischem Kodex für die elektronische Kommunikation (RL (EU) 2018/1972) vereinheitlicht werden. Außerdem war das Ziel, mit der Neuregelung endlich die ePrivacy-Richtlinie (RL 2002/58/EG in der durch die RL 2009/136/EG geänderten Fassung) ordentlich in deutsches Recht umzusetzen.
Der Begriff „Telemedien“ wird im normalen Sprachgebrauch weniger verwendet, bezeichnet aber letztlich das, was man unter Online-Diensten im Internet versteht. Und damit ist das TTDSG für alle anwendbar, die eine Website, einen Online-Shop oder eine App betreiben.
Was bedeutet das für die Web-Analyse?
Wir haben das Wichtigste zusammengefasst.
Entscheidend für die Web-Analyse ist § 25 TTDSG (Schutz der Privatsphäre bei Endeinrichtungen). Er überträgt die Bestimmungen des Art. 5 Abs. 3 der seit 2009 bestehenden, europäischen ePrivacy-Richtlinie in nationales Recht. Damit wird endgültig Klarheit darüber geschaffen, was sich zuvor bereits aus der Rechtsprechung des BGH ergab, nämlich:
Wenn keine der eng gefassten Ausnahmen (wie z.B. für den Betrieb einer Website technisch erforderliche Cookies) greift, müssen Website-Betreiber von jedem Besucher eine aktive und informierte Einwilligung einholen, sobald sie auf ihrer Webseite Cookies oder vergleichbare Technologien einsetzen. Gleiches gilt für das Auslesen bereits gespeicherter Daten wie beispielsweise der Kontakte auf dem Smartphone.
Konkret heißt es in § 25 Abs. 1 TTDSG:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.2 Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“
Dankenswerter Weise wird damit klargestellt, dass Web-Analyse nicht generell einwilligungspflichtig ist. Denn dies hatten einige Experten aus dem BGH-Urteil Cookie Einwilligung II mit dem Ergebnis abgeleitet, dass vielfach Einwilligungen „sicherheitshalber“ eingeholt werden, obwohl sie nicht erforderlich sind. Es lohnt sich also ggf. eine Neubewertung der Einwilligungspflicht für die eingesetzte Web-Analyse Lösung anzuregen.
Was fällt unter ‚unbedingt erforderliche‘ Cookies?
Der Gesetzgeber hat leider verpasst, die unbedingt erforderlichen Zwecke konkret in Form von Regelbeispielen zu benennen. Generell bedeutet unbedingte Erforderlichkeit, dass die Bereitstellung des Dienstes ohne diese Cookies gar nicht, nur unter unverhältnismäßig großen Schwierigkeiten oder mit einem unvertretbar höheren Aufwand möglich wäre. In diesem Sinn ist beispielsweise Tag Management kein „Must-have“. Auf Nachfrage erklärte Ulrich Kühn, Referatsleiter Telemedien der Hamburgischen Aufsichtsbehörde, am 14. Oktober 2021 in einer E-Mail:
„Die Aufsichtsbehörden legen das Kriterium der Erforderlichkeit für die Vertragserfüllung regelmäßig eng aus. Entscheidend ist hier nicht, was für erforderlich erachtet wird, sondern was nach objektiven Maßstäben erforderlich ist. […] Um eine Sache herauszugreifen – [wäre] etwa A/B-Testing kein durch den Vertrag abgedeckter Zweck. Dies ist einseitiges, wenn auch legitimes Interesse des Betreibers. Die Verarbeitung personenbezogener Daten in diesem Kontext kann evtl. über Art. 6.1.f begründet werden und kann natürlich auf eine DSGVO-konforme Einwilligung gestützt werden (bei Übermittlungen in Drittländer ohne ausreichendes Datenschutzniveau kommt jedoch auch dies nicht in Betracht, da die Einwilligung nur für Ausnahmefälle vorgesehen ist, Art. 49 DSGVO).
Das TTDSG spricht in diesem Zusammenhang von der “unbedingten Erforderlichkeit” für die Erbringung des “ausdrücklich gewünschten” Dienstes als Voraussetzung, um auf die Einwilligung nach TTDSG verzichten zu können. Dies dürfte die Maßstäbe eher noch enger anlegen.“
Im Rahmen der öffentlichen Anhörung zum TTDSG haben Experten auch Cookies zur Web-Analyse (Reichweitenmessung) als unbedingt erforderlich benannt. Jedoch gibt es aktuell noch keine einheitliche Aussage der deutschen Aufsichtsbehörden dazu. Insofern wäre es zum jetzigen Zeitpunkt mit hohen Rechtsrisiken verbunden, Web-Analyse-Cookies ohne Einwilligung einzusetzen.
Von den Aufsichtsbehörden anerkannte unbedingt erforderliche Cookies sind:
- Authentifizierungs-Cookies bei Anmeldung
- Nutzer-Eingabe-Cookies zum temporären Speichern von Eingaben in Formularen oder von Warenkörben
- Load Balancing- und Sicherheits-Cookies, um z.B. wiederholt fehlgeschlagene Anmeldeversuche festzuhalten
- Cookies zur Speicherung von Nutzer-Präferenzen wie z.B. der Sprache
- Cookies zur Wiedergabe von nutzerseitig angeforderten Audio- oder Videoinhalten
- Social Media Cookies zum Teilen und Kommentieren von Inhalten durch eingeloggte Nutzer
Bis auf die Sicherheits-Cookies gilt dies jedoch nur für entsprechende Session Cookies, deren Gültigkeit auf die aktuelle Sitzung beschränkt ist.
PIMS ersetzen Cookie-Banner
§26 TTDSG sieht anerkannte Dienste zur Einwilligungsverwaltung vor, um das ständige „Wegklickenmüssen“ von Cookie-Bannern auf jeder einzelnen Website zu beenden. Ein innovatives Datenmanagement- und Datentreuhandsystem in Form von sogenannten Personal Information Management Services (PIMS) ist jedoch noch Zukunftsmusik und dürfte noch etliche Monate auf sich warten lassen. Dennoch ist klar, wohin die Reise geht: weg von individuellen Cookie-Abfragen und hin zu geringeren Einwilligungsraten für Zwecke ohne direkten Vorteil für den Nutzer.
Mehr Strafen
Wenn nach dem 01.12.2021 keine ordnungsgemäße Einwilligung für nicht erforderliche Cookies eingeholt wird, drohen gleich mehrere Bußgelder:
- Zum einen wegen Verstoßes gegen die DSGVO (in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes).
- Zum anderen kann nun wegen Verstoßes gegen das TTDSG ein zusätzliches Bußgeld von bis zu 300.000 EUR festgesetzt werden.
- Und nicht zuletzt drohen Abmahnungen von Wettbewerbern und Verbraucherschützern für nicht rechtskräftig gestaltete Cookie Consent Banner.
TTDSG-konform mit etracker Analytics
Im Standard setzt etracker Analytics keine einwilligungspflichtigen Cookies ein und bedarf daher nicht der vorherigen Zustimmung des Nutzers. Nach Einwilligung ist eine Aktivierung von etracker Cookies durch mit dem jeweiligen Consent Management Tool verknüpfte Funktionsaufrufe möglich.
Wir empfehlen, zwei Prüfungen vorzunehmen:
1. Wird das Cookie Blocking korrekt über den Tracking Code und nicht das CMP gesteuert?
Der standardmäßig enthaltene Parameter data-block-cookies=“true“ im Tracking Code unterbindet das Setzen von etracker Cookies. Bitte keine weiteren Änderungen am etracker Code vornehmen und insbesondere den type bei „text/javascript“ belassen, um sicherzustellen, dass ohne Zustimmung die Cookie-lose Tracking-Variante weiterläuft!
Anleitungen für die gängigsten CMP-Lösungen stellen wir hier bereit. Bitte beachte, dass die Nutzung von Consent Management Lösungen, die die IP-Adresse auf Servern eines Unternehmens verarbeiten, dessen Unternehmenszentrale sich in den USA befindet, gegen die DSGVO verstößt. Siehe hierzu auch das Urteil des Verwaltungsgerichts Wiesbaden.
Und auch die Integration des Tracking Codes in einwilligungspflichtige Tag Management-Lösungen durchkreuzt die Consent-Freiheit und macht sie nichtig.
2. Ist der Consent-Dialog rechtskonform gestaltet?
Häufigster Fehler aktuell: Nach den Richtlinien der Aufsichtsbehörden muss es auf oberster Ebene des Consent-Dialogs gleichwertig gestaltete Schaltflächen für die Cookie-Einwilligung und für die Cookie-Ablehnung geben.
Dies bekräftigt Ulrich Kühn von der Hamburgischen Aufsichtsbehörde in einer E-Mail vom 19. März 2021:
„Es muss eine visuelle und begriffliche Gleichwertigkeit der Schaltfläche zur Einwilligung und dem Verzicht darauf gegeben sein; dies betrifft sowohl die Auffindbarkeit/Erkennbarkeit beider Varianten als auch den damit verbundenen Aufwand. Dies leiten wir aus dem Rechtsgedanken der Gleichwertigkeit von Einwilligung und Widerruf in Art. 7 Abs. 3 S. 4 DS-GVO her. Die Bewertungskriterien sind bspw. Farbgebung, Schriftart (fett), Schriftgröße, Erkennbarkeit als Schaltfläche oder Anordnung.“
Noch mehr rund um um Web-Analyse und Cookie-Consent findest du hier:
Disclaimer
Diese Ausführungen stellen keine Rechtsberatung dar und können keine individuelle Rechtsberatung ersetzen. Sie sind eine fachliche Auseinandersetzung und Zusammenfassung des Themas. Im Bedarfsfall stellen wir gerne den Kontakt zu einem Fachanwalt her.