Neues TTDSG: Das müssen Sie beim Einsatz von Cookies ab jetzt beachten
Ab Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz kurz auch TTDSG in Kraft getreten. Bislang waren die Datenschutzvorgaben für Telekommunikation und Telemedien in unterschiedlichen Gesetzen geregelt. Das ändert sich mit dem TTDSG. Die bereits in der europäischen ePrivacy-Richtlinie und der DSGVO festgelegten Vorgaben werden nun gebündelt im TTDSG in nationales Recht umgesetzt. Das Gesetz bringt einige Neuerungen und deutlichere Regeln für Webseitenbetreiber, Unternehmen und Agenturen mit sich. Für Sie als Webseitenbetreiber besonders relevant: Tracking-Dienste und Cookies brauchen ab sofort eine aktive Einwilligung des Nutzers Ihrer Webseite.
TTDSG das neue Datenschutzgesetz bringt Klarheit
Aufgrund der fehlenden eindeutigen Regelungen war für Unternehmen bislang nicht immer klar, welche Anforderungen diese beachten müssen, wenn es um den Einsatz von Cookies geht. Abhilfe soll hier nun der neue § 25 TTDSG schaffen. Er legt die Verpflichtung zum Einholen einer Einwilligung sowie einige Ausnahmen fest. Klar ist: Die Einwilligung wird immer dann benötigt, wenn Informationen in der Endeinrichtung eines Nutzers gespeichert werden oder ein Zugriff auf bereits gespeicherte Informationen erfolgt.
TTDSG: Für diese Cookies gelten die neuen Verpflichtungen
Laut TTDSG sind Webseitenbetreiber ab sofort verpflichtet, Ihren Nutzern umfassende Information zur Verwendung von genutzten Cookies bereitzustellen. Zusätzlich muss eine aktive Einwilligung des Nutzers zum Einsatz der Cookies eingeholt werden. Die einzige Ausnahme hier bilden technisch notwendige Cookies. Bei allen anderen Cookies gilt: Sie dürfen nur genutzt werden, wenn der Nutzer im Voraus seine ausdrückliche Zustimmung gibt.
Beachten Sie:
Stimmt der Webseitenbesucher der Nutzung von Cookies nicht aktiv zu, dürfen Sie als Webseitenbetreiber auch keine Cookies verwenden.
Einholung der Einwilligung
Für die Vorgaben der Einwilligung gilt der TTDSG nicht. Hier müssen Sie sich an der DSGVO orientieren. Nach den Vorgaben der DSGVO muss der Nutzer informiert werden, was bei Einwilligung mit seinen Daten passiert. Auch muss die Einwilligung des Nutzers freiwillig abgegeben werden. In der TTDSG ist festgelegt, dass Einwilligungen aktiv von dem Nutzer gesetzt werden müssen. Das höchste EU-Gericht hat bereits im Oktober 2019 entschieden, dass das Cookie-Opt-in Pflicht ist. Die einwilligende Person handelt hier durch ein explizites Opt-in aktiv.
Konkret gilt hier:
Das Cookie-Banner muss die beiden Button „Annehmen“ und „Ablehnen“ zur Auswahl enthalten. Wichtig hierbei: Sie dürfen den „Annehmen“-Button nicht hervorheben und die Entscheidung Ihres Nutzers so beeinflussen.
Der Nutzer muss auch die Möglichkeit haben, zu jeder Zeit seine Einwilligung zurückzunehmen. Was das für Sie als Webseitenbetreiber heißt? Cookie-Einstellungen müssen auch nach dem ersten Surfen auf einer Webseite verfügbar und leicht aufrufbar sein.
Ausnahmen für die Cookie-Einwilligung
- Cookies, die ausschließlich Nachrichten über das öffentliche Telekommunikationsnetz übertragen
- technisch notwendige Cookies, ohne die Ihre Webseite nicht funktioniert und die unbedingt erforderlich sind, um dem Webseitennutzer die angeforderten Dienste bereitzustellen
In Einzelfällen können Cookies auch als notwendig für die technische Sicherheit oder die Speicherung von Nutzerinformationen (z.B. Spracheinstellungen) eingestuft werden. Leider ist auch nach TTDSG der Umfang der Ausnahme noch erklärungsbedürftig und die Details hierzu unklar.
Organisation der Einwilligung & PIMS
Das TTDSG beinhaltet nun erstmals eine neue Vorgehensweise für Webseiten und Apps. Cookie Pop-Ups von Webseiten sollen durch eine zentrale Einwilligungsverwaltung nicht mehr für jeden Besucher angezeigt werden. Besucher können ihre Einwilligungsentscheidungen speichern und an Webseiten weiterleiten. So müssen Sie Ihre Einwilligung nicht bei jedem Aufruf erneut über ein Cookie-Banner abgeben.
Die zentrale Einwilligungsverwaltung wird auch PIMS genannt, was für Personal Information Management-System steht. Mit Hilfe von PIMS soll es möglich sein, persönliche Datenschutzvorlieben einmalig zentral an globaler Stelle zu hinterlegen. Zum Beispiel das Verweigern des Einsatzes von Google Analytics. Die Webseite soll bei einem Besuch einsehen, welche Einstellung der Seitennutzer in der zentralen Datenbank hinterlegt hat. Idealerweise wird das Cookie Pop-Up so automatisch ausgefüllt und dem Nutzer gar nicht mehr angezeigt.
Solche Einwilligungsdienste müssen vorab durch eine unabhängige Stelle geprüft werden. Hierfür wird ein Anerkennungsverfahren hinzugezogen.
Voraussetzungen für die Anerkennung eines Einwilligungsdienstes
- Benutzerfreundliche und wettbewerbsfähige Einholung und Verwaltung von Einwilligungen technischer Anwendungen und Verfahren
- An der Zustimmung und Verwaltung der Daten hat der Dienst kein eigenes wirtschaftliches Interesse und es besteht auch keine notwendige Verbindung zu Unternehmen, auf welche das zutrifft.
- Alle Einwilligungsdaten werden ausschließlich zum Zwecke des Einwilligungsmanagements verarbeitet.
- Der Dienst stellt ein Sicherheitskonzept bereit, das Qualität und Zuverlässigkeit beurteilen kann. Und er setzt alle technischen und organisatorischen Anforderungen an Datenschutz und Datensicherheit nach DSGVO um.
Eine angemessene Regulierung dieser Dienste sollen Zertifizierungen durch eine unabhängige Stelle liefern. Und so das Vertrauern der Nutzer gewinnen. In der Theorie klingt dies perfekt, in der Praxis stellt es sich jedoch möglicherweise als fragwürdig heraus. Denn: Die zentrale Einwilligungsabfrage bringt einige Probleme mit sich. Und die Bundesregierung muss das konkrete Verfahren erst noch in einer Verordnung festlegen. Auch ist bisher noch unklar, bis wann Unternehmen und Nutzer darauf zurückgreifen können.
TTDSG am Beispiel WordPress
Webseitenbetreiber können Borlabs Cookies und Tracking-Dienste TTDSG-konform einsetzen. Damit die TTDSG-Anforderungen erfüllt sind, müssen Sie spezielle Einstellungen vornehmen.
Wählen Sie „Advanced“ für das Layout der Cookie-Box aus. Sie können nun zwischen „Box“ oder „Bar“ entscheiden. Die Cookie-Box enthält ohne Anpassung zwei Buttons: „Alle akzeptieren“ und „Speichern“. Die technisch notwendigen Cookies „Essenziell“ sind standardmäßig bereits vorausgewählt.
In den allgemeinen Einstellungen muss die „Verweigern Option“ aktiviert werden, um den „Ablehnen“-Button anzuzeigen und der „Verweigern Option ausblenden“-Knopf muss ausgestellt sein. So wird ein dritter Button mit der Bezeichnung „Nur essenzielle Cookies akzeptieren“ angezeigt. Der Besucher kann nun entweder alle Cookies akzeptieren, einzelne Gruppen auswählen oder essenzielle Cookies akzeptieren.
Sie fragen sich jetzt, wie Sie daraus einen „Ablehnen“-Button erstellen können? Benennen Sie den Button „Nur essenzielle Cookies akzeptieren“ einfach unter „Text Einstellungen – Cookie Box“ und „Text Einstellungen – Cookie Einstellungen“ um.
Die Umbenennung hat keinerlei Auswirkungen auf die Funktion des Buttons. Wenn der Nutzer hier klickt, dürfen Sie trotzdem technisch notwendige Cookies verwenden.
Alexander Uhrich, Teamleiter unserer WordPress-Agentur
TTDSG am Beispiel Magento
Ein Magento-Shop setzt unter anderem Google Analytics als Tracking-Tool ein. Er verwendet den Google Tag Manager zur Einbindung von Google Diensten, stellt Bezahldienste zur Verfügung und greift auf viele weitere Dienste zurück. Auch hier ist das neue TTDSG auf jeden Fall zu beachten.
Nur Cookies, die zwingend notwendig zur Bereitstellung des Dienstes sind, erfordern keine umfassende Information und ausdrückliche Zustimmung des Nutzers. Bei dem Cookie für die Session-ID beispielsweise kann der Nutzer zwar problemlos im Shop stöbern, ein rundum zufriedenstellendes Einkaufserlebnis mit Warenkorb und Checkout ist jedoch nicht möglich. Für den Betrieb eines Shopsystems sind zahlreiche weitere von Magento festgelegte Cookies relevant. Cookies wie das Caching, kurze Ladezeiten oder die Funktion der kürzlich angesehenen Produkte sind unbedingt notwendig. Aber nicht ausschlaggebend für einen Einkauf.
Wo genau das TTDSG hier nun greift, ist nicht ganz ersichtlich. Klar ist: Der Spielraum für Ausnahmen ist sehr, sehr klein. Alle anderen Cookies dürfen nur mit umfassender Information und Einholung einer ausdrücklichen Zustimmung eingesetzt werden.
Das müssen Sie als Shop-Betreiber jetzt tun
Wir als erfahrene E-Commerce Agentur empfehlen Ihnen, die in TTDSG thematisierten Bestimmungen in Ihrem Online-Shop voll auszuschöpfen. Was alles zu beachten ist, hängt unter anderem auch mit dem aktuellen Stand des Shops zusammen.
Möglichkeit 1: Ihr Shop besitzt ein wenig aussagekräftiges Cookie-Banner oder gar keins
Spätestens jetzt müssen Sie sich mit einer leistungsfähigen Lösung für das Consent-Management beschäftigen.
Es reicht längst nicht mehr aus, einen einfachen Opt-in-Button, der über den Einsatz von Cookies im Shop informiert, einzusetzen.
Victoria Beckhöfer, Datenschutzbeauftragte bei ECONSOR
Es gibt viele Anbieter und Lösungen, die ein sicheres Handling von Cookies und das Einholen der nötigen Einwilligungen von den Nutzern garantieren. Hier gibt es für die großen Shopsysteme eine umfassende Auswahl an zahlreiche Erweiterungen für komfortables Consent-Management im Shop. Die Experten unserer Magento-Agentur und Shopware-Agentur können Ihnen hier bei der Auswahl der richtigen Plugins und Erweiterungen helfen.
Möglichkeit 2: Ihr Shop ist bereits mit einem funktionierenden Tool für Cookie-Handling und Consent-Management ausgerüstet
Sehr gut. Nun müssen Sie überprüfen, ob Ihre Cookies auch wirklich nur bei Nutzern gespeichert werden, die eingewilligt haben.
Falsche Verwendung von Cookies:
In den meisten Fällen zeigt eine einfache Überprüfung mit kostenlosen Online-Tools wie Cookieserve, dass die integrierte Lösung zur Aktivierung und Deaktivierung von Cookies entsprechend der Einwilligung des Nutzers nicht richtig funktioniert. Häufig existiert ein Tracking der Cookies bereits vor Einwilligung der Nutzer.
Die Lösung:
Die Unterstützung von erfahrenen Entwicklern ist jetzt erforderlich. Diese können notwendige Anpassungen des Shops vornehmen, damit alle Cookies auch tatsächlich im Hinweis erscheinen und zuverlässig in der vorgeschriebenen Weise verarbeitet werden.
Schließlich darf – auch wenn alle rechtlichen Voraussetzungen technisch erfüllt sind – ein wichtiger Punkt nicht vergessen werden: Die Datenschutzerklärung muss vollständige und richtige Informationen über die Vorgänge im Shop in Bezug auf die Verwaltung von Cookies und die damit verbundenen Berechtigungen enthalten.
Beitrag kommentieren
Wir freuen uns auf Ihr Feedback!