Ab Dezember 2021 regelt das TTDSG den Datenschutz in Deutschland neu. Die bisher nicht explizit in nationales Recht umgesetzte ePrivacy-Richtlinie wird damit formal eingeführt. Bisher musste das Telemediengesetz (§ 15 Abs. 4 TMG) anstelle der ePrivacy-Richtlinie herhalten. Der BGH entschied dies im Planet-49 Urteil vom 28.05.2020 (Az. I ZR 7/16) und schloss somit die Regelungslücke. Damit kommt nach dem BDSG-neu ein weiteres Datenschutzgesetz in Deutschland seit Inkrafttreten der DSGVO.
TTDSG - das bringt das neue Datenschutzgesetz
Weiterhin führt das TTDSG ein neues Konzept für Webseiten und Apps ein. Eine zentrale Einwilligungsverwaltung soll sogenannte Cookie Popups von Webseiten verschwinden lassen. Die zentrale Einwilligungsverwaltung wurde von einigen, die am Gesetzgebungsverfahren des TTDSG beteiligt waren, auch PIMS genannt. PIMS steht für Personal Information Management System. PIMS führt folgendes Konzept ein, um Cookie Banner von Webseiten verschwinden zu lassen:
Eine Person soll einmal zentral ihre Datenschutzvorgaben hinterlegen. Beispielsweise soll jede Person an globaler Stelle angeben können, dass der Einsatz von Google Analytics unerwünscht ist.
Wird nun eine Webseite besucht, soll die Webseite zunächst in der zentralen Datenbank mit den Datenschutzvorgaben nachsehen, was der Wunsch des Besuchers ist.
Das Cookie Popup wird nun idealerweise automatisch mit den zentralen Vorgaben vorbelegt und somit automatisch "weggeklickt".
Was in der Theorie super klingt, ist in der Praxis fragwürdig. Aus einer zentralen Einwilligungsabfrage ergeben sich einige Probleme, die nach heutigem Stand in Gänze nicht rechtssicher lösbar sind.
TTDSG vs. Cookie Banner
Gleich mehrere Gründe sprechen dagegen, dass eine echte Lösung für die oft als nervig empfundenen Cookie Banner entsteht. Einige der nahfolgend genannten Gründe sind praktischer Natur, andere schon aus rein theoretischen Erwägungen schwerwiegend:
Umfassende Informationspflichten: Der Artikel 5 DSGVO gibt vor, dass eine Einwilligung für festgelegte und eindeutige Zwecke abzufragen ist. Artikel 12 DSGVO fordert eine umfassende Aufklärung des Besuchers einer Webseite bei der Abfrage einer Einwilligung. Für Tools wie Google reCAPTCHA ist nicht bekannt, welche Datenerhebungen Google als Anbieter durchführt. Alleine für die von reCAPTCHA genutzten Cookies sind deren Zwecke offiziell nicht gut genug bekannt. Die Zwecke von Cookies sind aber konkret zu nennen (vgl. Art. 5 Abs. 3 der ePrivacy-Richtlinie bzw. § 25 Abs. 1 TTDSG sowie das EuGH-Urteil zu Planet49 - Az. C-311/18).
Welche Cookies auf einer Webseite ins Spiel kommen, ist abhängig von der bisherigen Reise eines Nutzers durch das Internet. Cookies werden individuell im Endgerät jedes Nutzers gespeichert. Vor allem bei den zahlreichen Third-Party Cookies von Internetkonzernen führt dies oft dazu, das nicht bekannt ist, welche Cookies im Spiel sind. Bei einem testweisen Aufruf einer Webseite, die Google reCAPTCHA einbindet, wurden folgende Cookies geladen:
Betrachtet man gängige Consent Tools, fällt auf, dass die eben genannten Cookies nicht alle berücksichtigt werden. Diese Lücke kann auch nicht durch einen zentrale Mechanismus geschlossen werden, der kein perfekter Cookie Scanner sein kann.
Verantwortlichkeit: Die Abfrage einer Einwilligung ist ein rechtliches Risiko, weil die formalen Vorgaben an Einwilligungen hoch sind. Wer übernimmt die Verantwortung bei einer zentralen Einwilligungsverwaltung? Diese Frage ist noch nicht geklärt und kann wahrscheinlich nicht zufriedenstellend beantwortet werden. Selbst eine gemeinsame Verantwortlichkeit zwischen Webseiten-Betreiber und Anbieter der PIMS-Plattform würde zu weiteren Probleme führen. Insbesondere könnten dann beide gleichzeitig haftbar gemacht werden. Der PIMS-Betreiber würde keine Verantwortung für tausende Webseiten tragen wollen, jedenfalls nicht kostenfrei.
Mehrdeutige Erklärung: Wer einen Blick in unterschiedliche Datenschutzerklärungen wirft, wird feststellen, dass für ein und dasselbe Tool, wie beispielsweise Google Analytics, oft unterschiedliche Datenschutzhinweise gegeben werden. Wie soll nun daraus ein einheitlicher Text entstehen, der zentral hinterlegt und für eine globale Einwilligungsabfrage verwendet wird?
Unvollständige Vorgaben: Angenommen, eine Person macht nur für einen Teil der einwilligungspflichtigen Vorgänge auf einer Webseite Vorgaben in der Zentrale. Die Webseite müsste dann ein teilvorbelegtes Popup anzeigen und nach Einwilligungen fragen. Der Aufwand aus Sicht des Betreibers einer Webseite erhöht sich also. Nun ist es so, dass viele Webseiten in Deutschland erhebliche Datenschutzprobleme aufweisen (ein populäres Beispiel sind mangelhafte Cookie Popups). Ob ein Verantwortlicher, der bisher Datenschutzgesetze missachtet hat, nun mehr Aufwand betreibt, um Gesetze einzuhalten, ist fraglich.
Tausende Tools weltweit: Für jedes Tool (Google Maps, reCAPTCHA, Facebook Pixel etc.) muss separat eine Abfrage in einem Einwilligungs-Popup erfolgen. Dies ergibt sich alleine schon aus Art. 12 Abs. 1 DSGVO. Was auf einer einzigen Webseiten, die 20 Tools einsetzt, schon halbwegs unübersichtlich wird, führt bei einer globalen Abfrage aller möglichen Dienste zum Chaos. Es erscheint nicht praktikabel, für 1000 oder mehr weltweit verfügbare Dienste eine Einwilligung abzufragen. Einige Nutzer werden in alles einwilligen, andere in gar nichts. Doch kaum jemand wird sich die Mühe machen, die ganze Liste durchzugehen und nur bestimmte Dienste freischalten.
Benachteiligung kleinerer Anbieter: Wegen der immensen Anzahl verfügbarer Tools könnte man versuchen, global eine Einwilligung nur für die 20 oder 30 am häufigsten eingesetzten Dienste abzufragen. Doch wer wählt diese aus? Selbst wenn man 500 Dienste berücksichtigen würde, würden zahlreiche Dienste kleinerer Anbieter fehlen. Letztere würden also gegenüber Internetkonzernen benachteiligt. Das erscheint umso merkwürdiger, als dass kleineren Anbietern eher zugetraut werden kann, Datenschutzgesetze einzuhalten, als dies bei Google oder Facebook der Fall zu sein scheint. Die beiden Konzerne sind regelmäßig Gegenstand von Verfahren wegen Datenschutzproblemen. Zudem verdienen sie mit Daten von Nutzern Geld und sind auf viele Informationen, ob rechtmäßig erhalten oder nicht, angewiesen.
Lesetipp: Die teuersten Datenschutz-Fails
TTDSG - was Webseitenbetreiber jetzt tun sollten
Nachdem das TTDSG Ende 2021 in Kraft getreten sein wird, bleibt eine zweijährige Übergangsphase. In dieser Phase will der Gesetzgeber eine Verordnung für eine zentrale Einwilligungsverwaltung erarbeiten. Es erscheint angesichts der genannten Gründe allerdings fragwürdig, ob diese Verordnung jemals entstehen wird. Deshalb empfiehlt es sich, abzuwarten und keine Aufwände in eine zentrale Einwilligungsverwaltung zu investieren.
Vielmehr sollte die Zeit genutzt werden, um die eigene Webseite einer Bestandsaufnahme zu unterziehen. Im Zuge dessen können Dienste ohne wesentlichen Nutzen entfernt werden. Auch helfen alternative Tools oft weiter. Beispielsweise kann oft auf Google Analytics verzichtet werden, weil die erhobenen Daten nicht gewinnbringend ausgewertet werden können. Datenschutzfreundliche Alternativen wie das Open-Source-Tool Matomo (kostenlos in der OnPremise-Version) funktionieren in geeigneter Konfiguration sogar ohne Einwilligung.
Der beste Weg, um Nutzer nicht mehr durch Cookie Popups zu nerven, ist ein Verzicht auf diese. Das ist sogar dann möglich, wenn bestimmte Tools eingesetzt werden, die einen Consent erfordern. Beispielsweise kann ein Video so eingebunden werden, dass es als Platzhalter angezeigt wird. Die Einwilligungsabfrage kann direkt auf dem Platzhalter erfolgen und muss nicht seitenweit abgefragt werden. (bw)