Der § 25 besagt also: Für die Verwendung von Cookies brauchen Sie nach wie vor die ausdrückliche Einwilligung Ihrer Website-BesucherInnen. Das gilt besonders für die sogenannten „Third Party Cookies“. Diese sind der größte Feind der ePrivacy, denn die dienen der Ausleitung von Nutzerdaten an Dritte, die eigentlich mit der Website nichts zu tun haben. Deshalb gehen die neuen Regelungen ganz gezielt gegen
- Werbevermarkter und deren ebenso datenhungrigen Kunden
- mit Daten handelnde Plattformbetreiber wie amazon, Facebook, Google & Co. (Diesen droht aktuell neues Ungemach: Wirtschaftswoche – „EU-Staaten verständigen sich auf schärfere Regeln für Amazon, Apple und Co.“)
- „Kostenlos-Anbieter“ von normaler Weise kostenflichtigen Informations- und Dienstleistungsanbieter wie Zeitungsverlage oder Freemailer.
Es gibt aber eine Ausnahme – jedenfalls wie wir sie laut Absatz 2.2 verstehen. Content Management und Shop-Systeme funktionieren leider ohne die sogenannten „Session-Cookies“ nicht. Diese verfallen ohnehin nach Verlassen der Website und sollten bei ordentlicher Programmierung dann auch wieder gelöscht sein. Daher brauchen Sie u. E. keine ausdrückliche Erlaubnis für diese rein technischen Cookies. Denn schließlich erwarten die User, dass Ihre Websites technisch einwandfrei funktionieren. Nicht automatisch dazu gehören unserer Meinung nach die sogenannten „Tracking-Cookies“ und „persistenten Cookies“. „Tracking-Cookies“ brauchen Sie unter anderem für die Website-Analyse. Und persistente Cookies brauchen Sie zum Beispiel, wenn der Nutzer seine „do-not-track“-Einstellung für das nächste Mal gespeichert haben möchte.
Unser Tipp
Deshalb lautet unsere Empfehlung weiterhin: Betreiben Sie Datensparsamkeit und beschränken Sie die Cookies Ihrer Webseiten auf die technisch notwendigen. Und stellen Sie – wie bereits gesagt – Ihren Cookie-Banner auf „Privacy by Default“. Also „keine Cookies“ als Voreinstellung, aber laden Sie alle Besuchenden dazu ein, auch Website-Analyse durch auf Ihrem Server integrierte Lösung wie Matomo zu erlauben. Doch setzen Sie auf gar keinen Fall sogenannte „Third Party Cookies“ als aktiv. Übrigens: Der Cookie für Google Analytics ist ein solcher „Third Party Cookie“. Also lieber (endlich) Finger davon lassen. Es gibt bessere Werkzeuge, die schon lange datenschutzkonform sind.
§ 26 TTDSG Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen
- Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die
- nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
- kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,
- die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
- ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt,
können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.
- Die Bundesregierung bestimmt durch Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates die Anforderungen
- an das nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen nach Absatz 1 Nummer 1 und
- an das Verfahren der Anerkennung, insbesondere … und
- die technischen und organisatorischen Maßnahmen, dass
- Software zum Abrufen und Darstellen von Informationen aus dem Internet,
- Anbieter von Telemedien bei der Verwaltung der von Endnutzern erteilten Einwilligung die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung und Einstellungen durch die Endnutzer berücksichtigen.
- Die Bundesregierung bewertet innerhalb von zwei Jahren nach Inkrafttreten einer Rechtsverordnung nach Absatz 1 die Wirksamkeit der getroffenen Maßnahmen im Hinblick auf die Errichtung nutzerfreundlicher und wettbewerbskonformer Einwilligungsverfahren und legt dazu einen Bericht an den Bundestag und den Bundesrat vor.
Rechtliche Regeln für Cookie Management Lösungen
Wir haben uns erlaubt, den Gesetzestext ein wenig zu kürzen, denn eine vollständigen Ausführungen würden den Rahmen dieses Beitrages sprengen. Im wesentlichen geht es in diesem §26 um das sogenannte „Einwilligungsmanagement“ für Cookies. Hier existieren bereits verschiedene Verfahren und Lösungen, welche die individuelle Cookie-Verwaltung vereinfachen. Damit entfiele nämlich für uns und unsere User diese nervige, immer wiederkehrende Klick-Tirade durch die Cookie-Banner. Und Website-Betreiber könnten sich dann wieder vollends auf das Design und die Inhalte konzentrieren. Allerdings will der Gesetzgeber vermeiden, dass daraus erneut Geschäftsmodelle entstehen, die den Gedanken von ePrivacy unterlaufen. Denn wir können darauf wetten, dass solche Lösungen dann wieder zum Datensammeln mißbraucht werden. Deshalb versucht man, die Latte für die Zulassung von technischen Lösungen möglichst hoch zu hängen. Darüber hinaus erwartet die Bundesregierung, dass die EU zeitnah die neue ePrivacy-Richtlinie beschließt. Dann kann sie die neuen Regeln gleich an das EU-Recht angleichen.
Wie geht’s weiter mit dem TTDSG?
Wir sind fest davon überzeugt, dass in den nächsten Monaten Lösungen auf den Markt kommen, die den Cookie-Banner Stress auf ein notwendig sinnvolles Minimum reduzieren. Jedenfalls wäre dies für alle Seiten wünschenswert (außer vielleicht von Seiten der Werbewirtschaft, die den Schuss immer noch nicht gehört hat. Aber hier hält sich das Mitleid wahrscheinlich in Grenzen.) Sobald wir eine passende Lösungen finden, testen wir sie ausgiebig. Und dann informieren wir Sie entsprechend.
Falls Sie noch tiefer ins Thema einsteigen wollen, dann haben wir hier noch ein paar Links:
- Pressemitteilung Netzpolitik des BMWi – „Gesetz zum Schutz der Privatsphäre in der digitalen Welt beschlossen“
- TTDSG – vollständiger Gesetzestext
- it-daily.net „Das Aus der Third-Party-Cookies – die Chance für den Neuanfang“
- heise online – „Cookiekalypse – die neue Jagd nach Daten“