Seit dem 1.12.2021 ist das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) in Deutschland in Kraft getreten. Das TTDSG enthält Regelungen zum Einsatz von Cookies und vergleichbaren Technologien und setzt damit die Vorgaben der ePrivacy-Richtlinie in deutsches Recht um.
[Achtung: Ich bin keine Rechtsanwältin. Daher ist dieser Artikel keine Rechtsberatung, sondern beruht auf meiner persönlichen Erfahrung.]
Aktive Einwilligung zu Cookies & Co.
Ganz klar und ohne Mehrdeutigkeit wurde die Zustimmungspflicht geregelt. Cookies und Trackingdienste benötigen eine aktive, bewusste Zustimmung. Ein simpler Cookie-Banner mit der Information, dass Cookies gesetzt werden, ist nicht ausreichend.
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“
§ 25 TTDSG Abs.1
Ausnahme: Technisch notwendige Cookies sind davon nicht betroffen. Das sind zum Beispiel Session-Cookies für die gewählte Sprachversion oder den Warenkorbinhalt. Diese sind notwendig, um eine Website korrekt zu betreiben und benötigen keine Zustimmung. Wenn ihr die Website ausschließlich mit technisch notwendigen Cookies betreibt, dann benötigt ihr auch keinen Cookie-Banner.
Wie muss der Cookie-Banner aussehen?
Jeder kennt es, wenn er oder sie im Netz surft und den Ablehnen-Button bei einem Cookie-Banner sucht. Mal ist er erst über einen extra Link erreichbar, mal in ganz zartem hellgrau, mal gibt es ihn einfach nicht. Der Zustimmen-Button dagegen ist schön groß und gut sichtbar platziert. Man muss nur noch drauf klicken. So war das natürlich nicht gedacht.
Im Gesetz selbst ist nichts dazu erwähnt, aber einige Gerichte haben sich in letzter Zeit damit beschäftigt. Zusammenfassend sollte ein verständlicher Cookie-Banner folgendes berücksichtigen:
- alle zustimmungspflichtigen Cookies deaktiviert bis zur Einwilligung
- die Checkbox darf nicht vorausgewählt sein
- umfassende Informationen zu den Cookies und Diensten
- sowohl ein „Ablehnen“ als auch ein „Zustimmen“ Button auf gleicher Ebene
- der „Zustimmen“ Button darf nicht hervorgehoben sein
Die Besucher sollten ihre Einwilligung jederzeit widerrufen können. Dafür haben die Cookie Consent Tools meist einen kleinen Reiter o.ä. am unteren Rand der Website. Dort ist es dann jederzeit möglich Änderungen an den Einstellungen vorzunehmen.
Consent Tools für WordPress
Am bequemsten ist es ein Consent-Tool zu verwenden, welches die zustimmungspflichtigen Cookies und Dienste erstmal blockiert und nach Zustimmung aktiviert. Die bekanntesten sind Complianz, Borlabs Cookie und Cookiebot.
Complianz
Das WordPress Plugin Complianz führt mit einem Assistenten durch die Einstellungen. Dadurch ist es recht einfach zu konfigurieren. Es kommt mit vielen verschiedenen Anforderungen zurecht. In den meisten Fällen reicht die kostenfreie Version aus.
Borlabs Cookie
Durchdacht und vielseitig. Das Borlabs Cookie Plugin gibt es allerdings nur als kostenpflichtige Version.
Cookiebot
Wer Cookiebot als Consent Tool bisher eingesetzt hat, sollte eventuell andere Dienste in Erwägung ziehen. Laut aktueller Rechtssprechung ist Cookiebot mit der DSGVO nicht konform. Aufgrund dieser Unsicherheit würde ich es derzeit nicht empfehlen.
Cookieloses Tracking mit Matomo
Matomo als datenschutzfreundliche Alternative zu Google Analytics kann weiterhin ohne Zustimmung verwendet werden, wenn einige Voraussetzungen erfüllt sind. (Siehe hierzu die Einschätzung von Dr. Schwenke)
- Verarbeitung auf dem eigenen Server
- Cookie-freie Nutzung in den Einstellungen aktiviert
- anonymisierte IPs
- Aufklärung über die Nutzung von Matomo und Möglichkeit des Opt-outs in der Datenschutzerklärung
PIMS
§ 26 TTDSG regelt Dienste, die es Website-Besuchern ermöglichen, einmalig die Einwilligung oder Ablehnung einer Datenerhebung festzulegen. Die so genannten Personal Information Management Services (PIMS) könnten die gespeicherten Informationen automatisch an die Website weitergeben. Theoretisch wären dann Cookie-Banner nicht mehr nötig.
Ich persönlich bin bei den PIMS noch nicht überzeugt. Wem bringt es wirklich Vorteile, wenn nicht alle mitmachen? Wer bezahlt die Kosten? Aber ich lasse mich gern überzeugen, sobald sich die Gelegenheit bietet.
Welche Cookies werden wirklich benötigt?
Ein schwer verständlicher Cookie-Banner ist wenig nutzerfreundlich und schafft auch kein Vertrauen bei den Besuchern. Wer Cookies für sein Marketing nutzt, der sollte sie eben auch klar und deutlich benennen. Neben der Umsetzung der Regelungen halte ich es für sinnvoll, mal bei den Cookies und weiteren Diensten Inventur zu machen. Was davon ist wirklich relevant? Welche Informationen nutzt man überhaupt regelmäßig? Ist die Cookie-freie Nutzung von Diensten wie z.B. Youtube eine Überlegung wert?