Durch das TTDSG sorgt der Bund nach Jahren der Unsicherheit für Rechtsklarheit. Inhaltlich richtet sich das Gesetz eng an die Vorgaben der DSGVO und der ePrivacy-Richtlinie. Außerdem werden die Datenschutzbestimmungen aus dem Telemedien-Gesetz (TMG) und dem Telekommunikations-Gesetz (TKG) ab Dezember 2021 durch das TTDSG ersetzt. Besonders praxisrelevant für Webseitenbetreiber ist § 25 TTDSG. Er überführt die Vertraulichkeit der Kommunikation nach Art. 5 Abs. 3 der ePrivacy-Richtlinie mit fast zehn Jahren Verspätung in deutsches Recht.

Im § 25 TTDSG heißt es konkret:

• (1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. (2) Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
• Die Einwilligung nach Absatz 1 ist nicht erforderlich,
  • wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

In § 25 TTDSG wird von Informationen gesprochen, die in der Endeinrichtung des Nutzers gespeichert werden oder dass auf dort gespeicherte Informationen zugegriffen wird. Der Begriff der Endeinrichtung ist ausdrücklich technologieneutral gefasst und umfasst neben klassischen Endgeräten wie Smartphones und Notebooks das gesamte Thema „Internet der Dinge“, zum Beispiel auch die smarte Glühbirne und alle anderen Geräte, die mit dem Web verbunden sind. Technologieneutral bedeutet, dass nicht nur die heute noch eingesetzten Cookies, sondern auch jegliche zukünftige Technologie umfasst ist.

Eindeutige Rechtslage für Einwilligung in Cookies

Das neue Gesetz stellt klar: Webseitenbetreiber und „andere Anbieter von Telemedien“ müssen eine ausdrückliche und informierte Einwilligung von jedem Besucher einholen, wenn sie auf ihrer Webseite Cookies oder vergleichbare Tracking-Tools wie das Fingerprinting verwenden. Sobald eine Einwilligung erforderlich ist, muss diese gemäß der Datenschutz-Grundverordnung (DSGVO, insbesondere Art. 7) aktiv durch den Webseitenbesucher erteilt werden.

Die Einwilligung muss also freiwillig, bestimmt, informativ, unmissverständlich und ausdrücklich erfolgen und jederzeit widerrufbar sein. Es genügt nicht, wenn Betreiber die Weiternutzung ihrer Webseite als stille Zustimmung interpretieren. Regelmäßig muss die Einwilligung durch einen aktiven Klick des Nutzers eingeholt werden. Betreiber müssen im Rahmen des jeweiligen Banners oder Fensters, in das der Button integriert ist, mit klarer und verständlicher Sprache über die Funktionsweise der Cookies aufklären, wobei sie bezüglich der Details auf die Webseiten-Datenschutzhinweise verweisen können. Nur wenn eine aktive informierte Einwilligung erteilt worden ist, darf die Speicherung auf dem Endgerät des Nutzers ausgelöst werden. Gleichzeitig muss es möglich sein, die Webseite auch ohne eine Einwilligung in nicht notwendige Cookies zu nutzen.

Bußgeldern und Abmahnungen entgehen

Webseitenbetreiber sollten spätestens jetzt dringend prüfen, ob eine Einwilligung notwendig ist und ob sie wirksam eingeholt wird. Andernfalls drohen Bußgelder: zum einen wegen Verstoß gegen die DSGVO (bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes), zum anderen wegen Verstoß gegen das TTDSG (bis zu 300.000 Euro). Außerdem droht eine Abmahnung wegen ordnungswidrigem Consent-Banner.

Das TTDSG bietet Unternehmen zudem die Chance, Datenschutz und die Privatsphäre der Kunden als Wettbewerbsvorteil in ihrer Business- und Marketingstrategie zu positionieren. Betriebe, die dieser Entwicklung nicht gewappnet sind, werden ihrer Konkurrenz hinterherhinken. Ohne rechtmäßige Kundeneinwilligung wird es keine personalisierte Werbung oder kein Tracking mehr geben – ob mit oder ohne Cookies.

Zwar steht im TTDSG nicht, wie Betreiber die Einwilligung für Cookies, Tracking und Co. einholen müssen. Fest steht jedoch: Die Einwilligung muss den Anforderungen der DSGVO entsprechen. Wessen Consent-Manager folgende Punkte sicherstellt, der ist auf der sicheren Seite.

• Bis Ihr Besucher seine Einwilligung erteilt, müssen Sie Cookies auch tatsächlich technisch deaktivieren.
• Ihr Nutzer muss die Einwilligung aktiv setzen. Eine Checkbox darf nicht vorausgewählt sein.
• Es muss einen „Annehmen“- und einen „Ablehnen“-Button geben. Diese müssen gleichwertig sein, es darf nicht etwa eine extra Seite auf einer tieferen Ebene geben, über die der Nutzer die Cookies erst ablehnen kann.
• Der „Zustimmen“-Button darf nicht hervorgehoben sein, etwa durch eine grellere Farbe. Sie müssen den Nutzer umfassend informieren. Dazu gehören: Zwecke der einzelnen Tools, Anzahl der Anbieter und Tools und Sitz des Anbieters, falls dieser außerhalb der EU liegt.
• Der Nutzer muss eine Widerrufsmöglichkeit seiner Einwilligung haben.
• Die Einwilligung muss nachweisbar sein.

Zeitschrift für Risikomanagement (ZfRM) In Zeiten starker Umwälzungen und Krisenlagen kommt die neue und einzige deutschsprachige Zeitschrift speziell zum Risikomanagement genau zur rechten Zeit. Nur wer wesentliche Risiken frühzeitig identifizieren, analysieren und bewerten kann, wird langfristig die richtigen Entscheidungen für sein Unternehmen treffen. Früher informiert, schneller reagieren Alles, was Sie im Risikomanagement fachlich und beruflich weiterbringt, präsentiert von inspirierenden Vordenkern und erfahrenen Kollegen: Die wichtigsten Praxisfragen risikobasierter Unternehmensführung finden Sie hier laufend aktuell aus erster Hand beantwortet. Werden die gesetzlichen Vorschriften und Standards zur Erkennung und Abwehr von Risiken beachtet? Ist das Risikomanagement angemessen aufgestellt? Wie arbeiten die Kontrollfunktionen zusammen? Erhalten Vorstand bzw. Geschäftsführung die relevanten Informationen? Welche Lehren sind aus Fällen wie Wirecard zu ziehen? Was lässt sich gegen wachsende Wirtschaftskriminalität unternehmen? Welche Anforderungen werden durch neue Regelungen, etwa das Verbandssanktionengesetz, entstehen? Zwei gut sortierte Rubriken Anschaulich aufbereitet in den zwei Rubriken „Risk Governance“ und „Risk Management“, finden verantwortliche Führungskräfte – sowohl im operativen Risikomanagement als auch in der Unternehmensleitung – wichtige Entscheidungshilfen und Tipps für die Umsetzung zielgerichteter Maßnahmen.

Koalitionsvertrag	29.11.2021
Das plant die künftige Bundesregierung für Governance und Compliance
	Die Pläne der künftigen Bundesregierung nehmen Gestalt an: SPD, Grüne und FDP haben sich auf einen Koalitionsvertrag geeinigt. Darin sind auch zahlreiche Punkte mit hoher Relevanz für Corporate Governance und Compliance enthalten. mehr …