Ab dem 01. Dezember 2021 gelten neue Cookie-Regeln im § 25 des neuen Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Dabei holt der Gesetzgeber nach einer indirekten Rüge des EuGH, die Umsetzung der sog. „Cookie-Richtlinie“ von 2009 nach (Art. 5 Abs. 3 ePrivacy-Richtlinie).
Das Gesetz spricht nunmehr klar von einer Einwilligungspflicht für alle Cookies, die für die von Nutzern gewünschten Onlinedienste nicht unbedingt erforderlich sind. Was jedoch „gewünscht“ und was „unbedingt erforderlich“ ist, klärte der Gesetzgeber nicht. Das, obwohl diese diese beiden Begriffe sehr unterschiedlich ausgelegt werden, wovon auch diese Podcastfolge zeugt.
Wenn unsere Gästin und der anwaltliche Teil der Podcastshosts ihre Meinungen gegenüberstellen, werden Unterschiede zwischen der zum einen von wirtschaftlichen Interessen und zum anderen vom Verbraucherschutz geprägten Sichtweisen deutlich. Das gilt auch bei der Frage, wie die Schaltflächen eines „Cookie-Banners“ formuliert werden müssen.
Zu Gast ist Dr. Nina Elisabeth Herbort, Referentin im Referat Telemedien bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (im Podcast jedoch privat und nicht in ihrer amtlichen Funktion).
Einigkeit besteht jedoch weitestgehend bei der Einschätzung zu Regelungen für Einwilligungsverwaltungsdienste, die Cookie-Banner in der Zukunft ersparen sollen (sog. „Personal-Management-Services“, PIMS, geregelt im § 26 TTDSG).
Auch die diskutierte Zuständigkeit der Datenschutzaufsicht, gegen rechtswidrige Cookie-Nutzung und unzureichende Einwilligungsverfahren vorzugehen, sehen beide als gegeben an. Wobei der behördliche Fokus bis dato auf der tatsächlichen Umsetzung der Anforderungen durch die Unternehmen und weniger auf Bußgeldverhängung liegt.
Wir bedanken uns bei Dr. Herbort für das spannende Gespräch sowie die Einblicke in die Datenschutzaufsicht und wünschen allen viel Vergnügen beim Zuhören.
P.S. Dieser Podcast ist die zweite Folge und unserer zweiteiligen Reihe zum TTDSG. In der ersten Folge gaben wir gemeinsam mit dem ePrivacy-Experten Dr. Simon Assion einen generellen Überblick auf die neuen Regelungen für Telekommunikation (z.B. Messenger, bzw. „nummernunabhängige interpersonelle Kommunikationsdienste“, wie sie gesetzlich nun heißen), Telemedien (z.B. Webseiten, die Regelungen zu Cybersicherheit oder eben den Cookies beachten müssen) und den digitalen Nachlass: „TTDSG – Neue “Datenschutz”-Regeln für Kommunikation und Onlinedienste – Rechtsbelehrung 101.“
P.P.S. Ergänzende Ratschläge für die Praxis finden sich im Beitrag „TTDSG: Neue Regeln für Cookies – Praxistipps und Checkliste für Google Analytics & Co“ von Dr. Schwenke.
Kapitel
- 00:00:00 – Vorstellung der Gästin und eine kurze Zusammenfassung der vorhergehenden Folge.
- 00:06:00 – Was sind Cookies und Browser Prints und warum bedarf es zusätzlicher Regelungen zur DSGVO?
- 00:19:30 – Was hat sich eigentlich geändert – alles neu oder bloß ein Reboot?
- 00:23:30 – Wann bedarf der Einsatz von Cookies keiner Einwilligung, wann ist ein berechtigtes Interesse ausreichend ?
- 00:30:00 – Ein Streitgespräch zur Notwendigkeit von Cookies
- 00:37:00 – Müssen Websites wie in den 90ern aussehen?
- 00:39:30 – Wie muss ein Cookie-Opt-In aussehen, um den Anforderungen an eine Einwilligung zu genügen?
- 00:42:50 – Ist eine „Alle Ablehnen“-Schaltfläche erforderlich?
- 00:44:20 – Wird die Einwilligungspflicht bei Cookies jetzt endlich ernst genommen?
- 00:47:50 – Wie gehen Behörden gegen fehlerhafte Cookie-Banner vor?
- 00:29:20 – Beschwerden von noyb gegen „Cookie-Walls“ und Medienwebseiten und das Kopplungsverbot.
- 00:53:20 – Wer ist zuständig gegen unrechtmäßiges Tracking vorzugehen?
- 00:59:20 – Bußgelder, Unterlassungsanordnungen, Auskunftsverfahren und Abmahnungen.
- 01:05:20 – PIMS: Die „Personal-Management-Services“ und der Traum vom Ende der Cookie-Banner.
- 01:10:20 – „Dark Patterns“ und „Nuding“ bei der Schaltflächengestaltung.
Arno Nühm
24. November 2021 at 9:32Danke für die Folge!
Bei euch gehts, wie das ja auch sicher der Schwerpunkt der Richtlinie ist, wieder um Tracking und Identifikation. In der Richtlinie steht ja aber, das man garnix auf Endgeräten speichern darf. Da steht garnix über den Zweck, oder darüber wie sie dahin gelangen. Wenn also ein Script beim User Daten speichert und ließt, die aber nie über die Leitung wandern, ists doch trotzdem teil des TTDSGs, oder?
Use-Cases die ich im Kopf hab: Sprachpräferenzen, ne Wetterseite merkt sich welcher Ort sich der User angeschaut hat, damit er sie auf seiner Startseite sieht (was ne passive Aktion = besuch der URL des Users ist). Reines Nutzerinteresse, keine Trackingintention. Und das gesteigerte UX automatisch auch immer nen postiven Seiteneffekt auf die Wirtschaftlichkeit hat, ist ja auch klar. Wenn man das über Local-Storage statt Cookies macht, werden die auch garnicht übers Netzwerk übertragen. Die sind da trotzdem drinn, oder? Das ist, was du mit Komfortfunktionen meintest. Dieses „unbedingt erforderlich“, ist total schwammig.
Arno Nühm
24. November 2021 at 9:34Übrigens bezug nehmend auf Marcus, der sagt „jaa aber man kann das auch zu kleinteilig denken“: Das finde ich total schade, weil sich als Betreiber von Diensten ja ganz praktisch wirklich diese Fragen stellen 😀 Das ist nicht schwurbeln, sondern die Frage ob ich etwas anbieten darf oder nicht. Und natürlich mag ich das nicht erst von einem Gericht geklärt haben.
MeraX
5. Dezember 2021 at 13:39Hi Markus, hi Thomas,
vielen Dank für diese aufschlussreiche Folge (und alle anderen)! Ich höre euch immer wieder gerne zu und mir gefällt es, wenn, wie in dieser Folge von Thomas, immer wieder auch eine Contra-Position eingenommen wird, um die Sache von mehreren Seite zu beleuchten.
Beim Thema PIMS hätte ich es sehr spannend gefunden, wenn ihr diskutiert hättet, ob die Do-not-Track Technik vom Browser nicht genau so ein Service sein kann. Do-not-track würde dann pauschal jeglichem Tracking und damit der personenspezifischen Werbung widersprechen. Vielleicht deckt das nicht alle Bereiche ab, zu denen man zustimmen könnte, aber dann könnten die Browserhersteller die Optionen vielleicht noch um zwei oder drei weitere Schalter ergänzen. So oder so hätte man damit ein ziemlich dezentrales, datensparsames System, bei dem auch niemand die dauerhafte Betriebskosten entstehen würde. Könnte das in euren Augen DNT als PIMS zählen?
Ich kann mir vorstellen, dass die Anbieter davon nicht unbedingt begeistert wären, da es den Besuchern damit ja viel zu einfach gemacht werden würde, dauerhaft das Tracking zu untersagen. Das alleine ist doch bisher der Grund, warum jede Webseite um Zustimmung bettelt, da der Anbieter gerne die gesetzlich möglichen Ausnahmen der DSGVO zu Datenverarbeitung nutzen möchte.
Anonym
18. Dezember 2021 at 15:11Könnt ihr eine Folge zum neuen Gewährleistungsrecht aufnehmen? 🙂
Mich interessiert es besonders als Kunde. Ich habe alle technischen Anschaffungen jetzt seit einem halben Jahr hinausgezögert, um ab dem 1. Januar bessere Rechte zu haben, insbesondere was technische Anschaffungen angeht, mit Updates etc.
Sinnvoll?
Auf müssen Konsumenten besonders achten?
Lutz Ernst
9. Februar 2022 at 7:24Geniales Format! Höre Eure Poadcasts sehr gern, sehr informativ und vor allem kurzweilig. Dies ist bei den zum Teil trockenen Themen nicht selbstverständlich und sehr angenehm. Ich habe die beiden Folgen zu den Cookies tatsächlich jetzt schon mehrfach gehört und immer wieder neue Ansätze bzw. Erklärungen entdeckt. Gerade Eure Beiden Gäste waren Klasse ausgewählt und super fachlich zu den Themen unterwegs, ganz großes Lob an dieser Stelle. Gern mehr davon, speziell zu Datenschutzthemen :-).
M.
1. Juli 2022 at 23:36Toller Podcast!
Eine Anmerkung zu den Cookie-Walls (Ab ca. 50:43; hier habt ihr übrigens einen Fehler in eurer Timeline, da ist das Thema ab 29:20 angegeben statt 49:20)
Ich übernehme mal die relevanten Passagen aus eurem Podcast:
„Darf man eine Einwilligung von Nutzern dafür verlangen, dass sie eine Webseite benutzen dürfen“?
[…]
Wenn man jetzt sagen würde: „Du kommst hier nicht rein, außer Du stimmst den Cookies zu“, dann könnte man sagen, „Das ist nicht freiwillig, hier ist die Einwilligung unberechtigterweise an die Nutzung der Webseite gekoppelt.“ ABER, wenn es heißt: „Nutzer Du hast ja eine Alternative, einen kleinen Obulus zu zahlen“, dann hat schon wieder ein echtes Wahlrecht.
Hat man das? Wie wird denn ermittelt, ob der Nutzer den Obulus gezahlt hat? Doch über einen Login, oder? Und wie wird der technisch umgesetzt? Doch über Cookies, oder?
Und wo hat der Nutzer dann die Wahl? Er kann nur wählen zwischen kostenlosen Cookies und pseudonymer Identifikation und bezahlten Cookies und namentlicher Identifikation (denn der Webseitenbetreiber sieht ja, von wem das Geld kommt).
So gesehen bezahlt der Nutzer noch dafür, dass der Webseitenbetreiber A ihn noch viel besser tracken kann als zuvor. (Und die Daten dann an befreundete Webseitenbetreiber B, C, D, … weitergibt, die dann noch bessere, zielgerichtetere Werbung schalten können, weil sie nun z.B: auch das Geschlecht kennen).
Ich sehe hier also weder ein Wahlrecht, noch eine Verbesserung der Situation der Nutzer; ganz im Gegenteil.