Damit reicht es ab 1.12.2021 nicht mehr aus, dass ein berechtigtes Interesse vorliegt und der Nutzer informiert wurde. § 25 TTDSG schafft ein explizites Einwilligungserfordernis. Im Paragraph wird auf die DSGVO (Verordnung (EU) 2016/679) verwiesen, was drei wichtige Punkte mit sich bringt:
1. Art und Weise der Einwilligung
Der Endnutzer muss nun
- ausdrücklich,
- freiwillig und
- informiert
seine Einwilligung erteilen und diese jederzeit widerrufen können.
» Ausdrücklich meint, dass der Nutzer aktiv, zum Beispiel über das Setzen eines Häkchens oder durch den Klick auf einen Button, zustimmen muss.
» Dies muss freiwillig erfolgen. Das heißt, dass die Einwilligung nicht von einer Bereitstellung von Services oder Dienstleistungen abhängig gemacht werden darf.
» Zusätzlich muss der Telemedienanbieter darüber informieren, welche Cookies im Einzelnen enthalten sind, für welchen Zweck sie verwendet werden und wie lange sie gültig sind. Zudem muss es im Einzelnen eine Auswahlmöglichkeit für den Nutzer geben.
2. Art der Daten
Mit dem Verweis auf die ePrivacy-Richtlinie gilt § 25 TTDSG nicht nur für personenbezogene, sondern für alle Daten, die bei einem Zugriff auf die Endeinrichtung anfallen.
3. Technologie-Neutralität
Oft spricht man im Zusammenhang mit der ePrivacy-Richtlinie und nun, mit dem TTDSG, von der Cookie-Richtlinie. Tatsächlich umfasst der Paragraph aber alle Techniken, die ein Speichern, und/oder Auslesen von Informationen auf Endgeräten erfordern. Damit betrifft die Regelung nicht nur Cookies, sondern beispielsweise auch Tags oder Pixel.
Ausnahmen hierzu finden sich in § 25 Abs. 2 TTDSG,
- wenn der alleinige Zweck der Informationsspeicherung die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der vom Nutzer ausdrücklich gewünschte Telemediendienst bereitgestellt werden kann.
Den letzten Punkt klärt das TTDSG allerdings nicht abschließend und eindeutig, sodass abzuwarten bleibt, was für den Gesetzgeber unter "unbedingt erforderlich" fällt. Aktuell gehen Datenschützer davon aus, dass technisch notwendige Cookies unter diese Ausnahme fallen, da sie die Funktionalität einer Website gewährleisten. Um das etwas abzugrenzen, möchten wir daher im nächsten Teil unseres Blogs einmal erklären, was Cookies überhaupt sind und in welche Kategorien sie eingeteilt werden können.