Das TTDSG: Anforderungen für Cookie-Compliance in Deutschland

Für Websites, die sich an deutsche Nutzer richten, ist die Einhaltung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) unerlässlich. Dieses Gesetz, das am 1. Dezember 2021 in Kraft getreten ist, enthält spezifische Anforderungen für Cookie-Einwilligungen, die über den allgemeinen DSGVO-Rahmen hinausgehen.

Was ist das TTDSG?

Das TTDSG konsolidiert und ersetzt frühere Telekommunikations-Datenschutzvorschriften in Deutschland, darunter Teile des:

• Telekommunikationsgesetzes (TKG)
• Telemediengesetzes (TMG)

Es setzt die europäische ePrivacy-Richtlinie in deutsches Recht um und harmonisiert sie mit den DSGVO-Anforderungen, wodurch ein umfassender Rahmen speziell für folgende Bereiche geschaffen wird:

• Elektronische Kommunikation
• Telemedien
• Endgeräte der Nutzer (einschließlich Cookies und ähnlicher Technologien)

Zentrale TTDSG-Cookie-Anforderungen

§ 25 TTDSG: Die Cookie-Vorschrift

Der für Website-Betreiber relevanteste Teil ist § 25 TTDSG, der folgendes verlangt:

1. Ausdrückliche vorherige Einwilligung für die Speicherung von oder den Zugriff auf Informationen auf den Geräten der Nutzer
2. Klare und umfassende Informationen über die Datenverarbeitung
3. Dokumentation der Einwilligung zur Rechenschaftspflicht
4. Einfache Mechanismen zum Widerruf der Einwilligung jederzeit

Die Ausnahme für technisch notwendige Cookies

Wie die ePrivacy-Richtlinie sieht auch das TTDSG eine enge Ausnahme für technisch notwendige Cookies vor. Ein Cookie gilt als unbedingt erforderlich, wenn:

• Es absolut notwendig ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen
• Der Dienst ohne das Cookie nicht funktionieren kann
• Es keinem weiteren Zweck dient, als die grundlegende Funktionalität zu ermöglichen

Häufige Beispiele, die für diese Ausnahme in Frage kommen, sind:

• Authentifizierungs-Cookies für angemeldete Nutzer
• Warenkorb-Cookies auf E-Commerce-Seiten
• Sicherheits-Cookies, die Benutzerkonten schützen
• Sprachpräferenz-Cookies (mit Einschränkungen)

Deutsche Behörden und Durchsetzung

Zuständige Behörden

In Deutschland wird die Durchsetzung des TTDSG hauptsächlich von folgenden Stellen übernommen:

• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
• Die Landesdatenschutzbehörden
• Die Bundesnetzagentur für bestimmte Telekommunikationsaspekte

Bemerkenswerte Durchsetzungsmaßnahmen

Deutsche Behörden haben bereits Maßnahmen gegen nicht konforme Cookie-Praktiken ergriffen:

• Im Jahr 2022 verhängte die Bayerische Landesdatenschutzbehörde (BayLDA) ein Bußgeld von 5.000 Euro gegen einen Website-Betreiber wegen der Nutzung von Google Analytics ohne ordnungsgemäße Cookie-Einwilligung
• Der Berliner Beauftragte erteilte mehreren Unternehmen Warnungen wegen Cookie-Bannern, die Nutzer zur Option "Alle akzeptieren" gedrängt haben
• Der Hamburgische Beauftragte verhängte ein Bußgeld von 35.000 Euro gegen einen Einzelhändler wegen der Platzierung von Marketing-Cookies ohne ordnungsgemäße Einwilligungsmechanismen

Spezifische Compliance-Herausforderungen in Deutschland

Berechtigtes Interesse ist keine gültige Rechtsgrundlage für Cookies

Im Gegensatz zu einigen Interpretationen der DSGVO in anderen Ländern stellen deutsche Behörden klar, dass:

• Berechtigtes Interesse nicht als Rechtsgrundlage für die Cookie-Platzierung verwendet werden kann
• Die ausdrückliche Einwilligung die einzige gültige Rechtsgrundlage für nicht-essentielle Cookies ist
• Dies gilt auch für Analyse-Cookies, die in einigen anderen EU-Ländern anders behandelt werden

Designanforderungen für Cookie-Banner

Deutsche Behörden haben spezifische Designkriterien für Cookie-Einwilligungsmechanismen festgelegt:

• "Akzeptieren"- und "Ablehnen"-Schaltflächen müssen gleich prominent sein
• Die Option "Alle akzeptieren" darf gegenüber Ablehnungsoptionen nicht visuell hervorgehoben werden
• Mehrschichtige Einwilligungsschnittstellen dürfen Ablehnungsoptionen nicht verbergen
• "Nudging"-Designs, die zur Akzeptanz ermutigen, gelten als nicht konform
• Einwilligungsschnittstellen sollten für deutsche Zielgruppen auf Deutsch verfügbar sein

Dokumentationsanforderungen

Gemäß TTDSG und DSGVO müssen deutsche Organisationen umfassende Dokumentationen führen:

• Detaillierte Aufzeichnungen über Einwilligungen (Zeitstempel, Umfang, Identität)
• Technische Implementierung des Einwilligungsmechanismus
• Informationen, die den Nutzern vor der Einwilligung zur Verfügung gestellt wurden
• Methoden zum Widerruf der Einwilligung
• Nachweise für regelmäßige Compliance-Überprüfungen

Praktische Umsetzungsschritte

1. Führen Sie ein TTDSG-spezifisches Cookie-Audit durch

Gehen Sie über standardmäßige Cookie-Scans hinaus, um:

• Alle Technologien zu identifizieren, die auf Benutzergeräte zugreifen
• Die genauen Zwecke jeder Technologie zu dokumentieren
• Die Notwendigkeitsbehauptung für essentielle Cookies zu bewerten
• Zu überprüfen, ob Drittanbieter von Cookies deutsches Recht einhalten

2. Implementieren Sie ein konformes Einwilligungsmanagement

Ihre Einwilligungsverwaltungsplattform sollte:

• Standardmäßig alle nicht-essentiellen Skripte und Cookies blockieren
• Gleich zugängliche Akzeptieren/Ablehnen-Optionen bieten
• Deutsche Sprache für Einwilligungsschnittstellen unterstützen
• Einwilligungsnachweise sicher für die Dokumentation speichern
• Einfachen Einwilligungswiderruf ermöglichen

3. Überprüfen und aktualisieren Sie die Datenschutzdokumentation

Stellen Sie sicher, dass Ihre Datenschutzdokumentation Folgendes enthält:

• Spezifische, vom TTDSG geforderte Informationen
• Klare Erläuterungen zu Cookie-Zwecken
• Identifizierung aller Drittparteien
• Deutschsprachige Versionen für deutsche Nutzer
• Regelmäßige Aktualisierungen bei Änderungen der Website-Technologien

TTDSG im Vergleich zu anderen EU-Mitgliedstaaten

Die TTDSG-Umsetzung weist einige bemerkenswerte Unterschiede zu anderen EU-Ländern auf:

Im Vergleich zu Frankreich (CNIL-Leitlinien)

• Deutsche Behörden haben generell eine strengere Sichtweise auf Analyse-Cookies
• Die CNIL erlaubt bestimmte Publikumsmessungen mit spezifischen Schutzmaßnahmen
• Beide erfordern gleich prominente Akzeptieren/Ablehnen-Optionen

Im Vergleich zum Vereinigten Königreich (PECR)

• Das TTDSG hat spezifischere Designanforderungen für Einwilligungsschnittstellen
• Das Vereinigte Königreich konzentriert sich mehr auf den Inhalt der Einwilligung als auf spezifische UI-Implementierungen
• Die deutsche Durchsetzung ist in diesem Bereich generell aktiver

Im Vergleich zu Spanien (AEPD)

• Beide Länder erfordern eine ausdrückliche Opt-in-Einwilligung für Analyse-Cookies
• Spanische Behörden legen mehr Wert auf Transparenz in geschichteten Informationen
• Deutsche Anforderungen betonen die gleiche visuelle Prominenz von Auswahlmöglichkeiten

Zukünftige Entwicklungen im Blick behalten

Die TTDSG-Umsetzung entwickelt sich weiter durch:

• Gerichtsentscheidungen, die spezifische Bestimmungen interpretieren
• Regulatorische Leitlinien der deutschen Datenschutzbehörden
• Die kommende EU-ePrivacy-Verordnung, die schließlich die Richtlinie ersetzen wird
• Technische Entwicklungen wie browserbasierte Einwilligungssysteme

Fazit

Die Einhaltung des TTDSG erfordert besondere Aufmerksamkeit für die spezifische deutsche Umsetzung der Cookie-Vorschriften. Während das Gesetz mit dem breiteren ePrivacy-Richtlinien- und DSGVO-Rahmen übereinstimmt, enthält es nuancierte Anforderungen, die besondere Berücksichtigung erfordern.

Für Websites, die auf deutsche Nutzer abzielen, ist die Implementierung eines TTDSG-konformen Cookie-Einwilligungsmechanismus keine Option – es ist eine gesetzliche Anforderung mit möglichen finanziellen und Reputationsfolgen bei Nichteinhaltung.

Durch das Verständnis dieser spezifischen deutschen Anforderungen und die Implementierung geeigneter technischer und organisatorischer Maßnahmen können Sie sicherstellen, dass Ihre Website den hohen Standards des deutschen Datenschutzrechts entspricht und gleichzeitig ein transparentes und respektvolles Erlebnis für Ihre deutschen Nutzer bietet.