Der § 25 besagt also: Für die Verwendung von Cookies brauchen Sie nach wie vor die ausdrückliche Einwilligung Ihrer Website-BesucherInnen. Das gilt besonders für die sogenannten „Third Party Cookies“. Diese sind der größte Feind der ePrivacy, denn sie dienen der Ausleitung von Nutzerdaten an Dritte, die eigentlich mit der Website nichts zu tun haben. Deshalb gehen die neuen Regelungen ganz gezielt gegen
- Werbevermarkter und deren ebenso datenhungrigen Kunden
- mit Daten handelnde Plattformbetreiber wie amazon, Facebook, Google & Co. (Diesen droht aktuell neues Ungemach: Wirtschaftswoche – „EU-Staaten verständigen sich auf schärfere Regeln für Amazon, Apple und Co.“)
- „Kostenlos-Anbieter“ von normaler Weise kostenflichtigen Informations- und Dienstleistungsanbieter wie Zeitungsverlage oder Freemailer.
Es gibt allerdings eine Ausnahme – so verstehen wir sie laut Absatz 2.2 jedenfalls. Content Management und Shop-Systeme funktionieren leider nicht ohne die sogenannten „Session-Cookies“. Diese verfallen ohnehin nach Verlassen der Website und sind bei einer ordentlichen Programmierung nach Verlassen der Seiten dann auch wieder gelöscht. Daher brauchen Sie nach unserem Verständnis keine ausdrückliche Erlaubnis für diese rein technischen Cookies. Denn schließlich erwarten Ihre BesucherInnen, dass Ihre Websites technisch einwandfrei funktionieren. Nicht automatisch dazu gehören unserer Meinung nach die sogenannten „Tracking-Cookies“ und „persistenten Cookies“. „Tracking-Cookies“ brauchen Sie unter anderem für die Website-Analyse. Und persistente Cookies brauchen Sie zum Beispiel, wenn NutzerInnen ihre „do-not-track“-Einstellung für das nächste Mal gespeichert haben möchte.
Unser Tipp
Deshalb lautet unsere Empfehlung: Betreiben Sie Datensparsamkeit und beschränken Sie die Cookies Ihrer Webseiten auf die technisch notwendigen. Stellen Sie Ihren Cookie-Banner auf „Privacy by Default“. Die explizit Voreinstellung lautet also „keine Cookies“. Aber das sollte sie nicht davon abhbalten, alle Besuchenden dazu einzuladen, auch Website-Analyse durch auf Ihrem Server integrierte Lösung wie Matomo zu erlauben. Doch setzen Sie auf gar keinen Fall sogenannte „Third Party Cookies“ als aktiv. Übrigens: Der Cookie für Google Analytics ist ein solcher „Third Party Cookie“. Also lieber (endlich) Finger davon lassen. Es gibt bessere Werkzeuge, die schon lange datenschutzkonform sind.
§ 26 TTDSG Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen
- Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die
- nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
- kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,
- die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
- ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,
können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.
- Die Bundesregierung bestimmt durch Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates die Anforderungen
- an das nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen nach Absatz 1 Nummer 1 und
- an das Verfahren der Anerkennung, insbesondere … und
- die technischen und organisatorischen Maßnahmen, dass
- Software zum Abrufen und Darstellen von Informationen aus dem Internet,
- Anbieter von Telemedien bei der Verwaltung der von Endnutzern erteilten Einwilligung die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung und Einstellungen durch die Endnutzer berücksichtigen.
- Die Bundesregierung bewertet innerhalb von zwei Jahren nach Inkrafttreten einer Rechtsverordnung nach Absatz 1 die Wirksamkeit der getroffenen Maßnahmen im Hinblick auf die Errichtung nutzerfreundlicher und wettbewerbskonformer Einwilligungsverfahren und legt dazu einen Bericht an den Bundestag und den Bundesrat vor.
Rechtliche Regeln für Cookie Management Lösungen
Wir haben uns erlaubt, den Gesetzestext ein wenig zu kürzen. Denn eine vollständigen Ausführungen würden den Rahmen dieses Beitrages sprengen. Im wesentlichen geht es in diesem §26 um das sogenannte „Einwilligungsmanagement“ für Cookies. Hier existieren bereits verschiedene Verfahren und Lösungen, welche die individuelle Cookie-Verwaltung vereinfachen. Damit entfiele nämlich für uns und unsere User diese nervige, immer wiederkehrende Klick-Tirade durch die Cookie-Banner. Und Website-Betreiber könnten sich dann wieder vollends auf das Design und die Inhalte konzentrieren. Allerdings will der Gesetzgeber vermeiden, dass daraus erneut Geschäftsmodelle entstehen, die den Gedanken von ePrivacy unterlaufen. Denn wir können darauf wetten, dass solche Lösungen dann wieder zum Datensammeln mißbraucht werden. Deshalb versucht man, die Latte für die Zulassung von technischen Lösungen möglichst hoch zu hängen. Darüber hinaus erwartet die Bundesregierung, dass die EU zeitnah die neue ePrivacy-Richtlinie beschließt. Dann kann sie die neuen Regeln gleich an das EU-Recht angleichen.
Wie geht’s weiter mit dem TTDSG?
Wir gehen davon aus, dass in den nächsten Monaten Lösungen auf den Markt kommen, die den Cookie-Banner Stress auf ein notwendig sinnvolles Minimum reduzieren. Jedenfalls wäre dies für alle Seiten wünschenswert. Sobald wir eine passende Lösungen finden, testen wir sie ausgiebig. Und dann informieren wir Sie entsprechend.