TTDSG ab 1. Dezember 2021: Was Shopbetreiber jetzt über Cookies wissen müssen
Bereits in gut drei Monaten, am 1. Dezember 2021, tritt das TTDSG in Kraft. Auf Bundesebene werden damit Teile des Datenschutzrechts neu geordnet, die auch den Bereich E-Commerce betreffen. Wir erklären, was das TTDSG für den Einsatz von Cookies in Onlineshops ändert und was Shopbetreiber nun tun sollten.
Einen Onlineshop rechtssicher zu machen und abmahnsicher zu betreiben, ist inzwischen alles andere als einfach – nicht zuletzt im Hinblick auf Cookies. Für den Einsatz von Cookies gibt es auf unterschiedlichen juristischen Ebenen Gesetze und Verordnungen. Hinzu kommen immer wieder relevante Entscheidungen in der Rechtsprechung – insbesondere das Cookie-Urteil des BGH im Mai 2020. Die Rechtslage ist inzwischen außerordentlich komplex.
TTDSG: Was ist das?
Am 1. Dezember 2021 tritt laut Beschluss des Bundestags vom 21. Mai des Jahres in Deutschland das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft. Damit sollen die bislang durch Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) geregelten Bestimmungen zu Fernmeldegeheimnis und Datenschutz mit Bestimmungen aus dem Telemediengesetz zusammengeführt und – im Hinblick auf die DSGVO und die in der EU gültige Cookie-Richtlinie – aktualisiert werden. Das Gewirr aus komplex zusammenwirkenden Richtlinien und Gesetzen soll also nun durch ein neues Gesetz modernisiert und neu geordnet werden, wobei erfahrungsgemäß die Gefahr besteht, die allgemeine Verwirrung noch einmal zu erhöhen.
Was ändert sich durch das TTDSG ab 1. Dezember 2021 für Onlinehändler?
Das TTDSG soll im Hinblick auf den Einsatz von Cookies für Klarheit sorgen, indem es die bereits geltenden, auf unterschiedlichen rechtlichen Ebenen verorteten Bestimmungen bündig im Rahmen eines Bundesgesetzes zusammenfasst: Wenn Cookies – oder damit vergleichbare Technologien zur Sammlung von Informationen – eingesetzt werden, bedarf es dafür einer echten und informierten Einwilligung des jeweiligen Nutzers. Von dieser allgemeinen Verpflichtung ausgenommen sind lediglich Cookies, die technisch zwingend notwendig für das Bereitstellen eines von den Nutzern auch ausdrücklich gewünschten Dienstes sind.
Verstöße gegen diese Regelungen im TTDSG werden als Ordnungswidrigkeiten geahndet und können mit Bußgeldern belegt werden. Die Zuständigkeit für die Aufsicht und das Verhängen von Bußgeldern liegt bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. In der im Mai von Bundestag und Bundesrat beschlossenen Fassung des TTDSG wird für Verstöße gegen die Bestimmungen zu Cookies (§ 25) ein Bußgeldrahmen bis 300.000 Euro festgelegt. Jedem Shopbetreiber muss klar sein, dass ein fehlender oder unvollständiger Cookie-Consent-Banner rechtliche Auseinandersetzungen nach sich ziehen und auch richtig teuer werden kann. Fünfstellige Bußgelder sind in der EU bereits mehrfach verhängt worden. Und die Abmahnanwälte bereiten derzeit sicherlich schon neue, an das TTDSG angepasste Mustertexte vor.
Und was heißt das in der Praxis?
Das TTDSG enthält im Hinblick auf Cookies keine Neuerungen, die aus Nutzersicht zu deutlich sicht- und spürbaren Veränderungen führen werden. Durch das neue Gesetz werden Cookie-Banner keineswegs verschwinden oder weniger nervig ausfallen. Und auch für den Einsatz von cookiebasiertem Tracking gibt es nicht die rechtliche Lockerung, auf die manche Betreiber von Websites und Onlineshops gehofft hatten.
Vielmehr wird die bereits jetzt weit verbreitete Praxis (über alle für den Betrieb eines Onlineshops nicht zwingend notwendigen Cookies informieren und für deren Einsatz eine ausdrückliche Einwilligung einholen) für Händler mit Sitz in Deutschland noch einmal klar und deutlich zur verbindlichen Norm erklärt. Das heißt für die Anbieter von sogenannten „Telemediendiensten“, etwa Onlineshops: Wer sich bislang noch auf eine unklare Rechtslage oder unübersichtliche Bestimmungen herausreden oder mit dem gern strapazierten „berechtigten Interesse“ argumentieren wollte, um die Cookie-Regelungen nicht oder nur teilweise umzusetzen, muss bis zum 1. Dezember zwingend an seiner Cookie-Policy arbeiten. Und auch wer sich schon auf der sicheren Seite wähnt, sollte sich noch einmal genau ansehen, welche Handlungsempfehlungen wir unten zusammengefasst haben.
Für welche Cookies gelten die Verpflichtungen des TTDSG – und für welche nicht?
Ausgenommen von der Verpflichtung zur „umfassenden“ Information und dem Einholen der darauf fußenden Einwilligung des Nutzers für deren Einsatz sind lediglich diejenigen Cookies, die „unbedingt erforderlich [sind], damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“. Über alle weiteren Cookies muss vorab im Einzelnen informiert werden und der Nutzer muss die Möglichkeit haben, den Einsatz zu unterbinden, indem er seine Zustimmung dafür nicht gibt.
Ein Beispiel: Magento Onlineshop mit eigenen und Drittanbieter-Cookies
Angenommen, ein Magento Onlineshop ist Trusted Shops Mitglied, setzt Google Analytics als Tracking Tool ein, verwendet den Google Tag Manager zur Einbindung von Google Diensten und Google reCAPTCHA für die Absicherung von Formularen, stellt Bezahldienste, Möglichkeiten zum Liken und Sharen von Produkten in Social Media bereit und steuert cookiegestützt gezielte Werbeanzeigen im Shop aus – was bedeutet der Wortlaut des TTDSG in diesem konkreten Fall?
Der im TTDSG erwähnte „ausdrücklich gewünschten Telemediendienst“ – das darf vorausgesetzt werden – ist der Onlineshop als Angebot zum Online-Einkauf für den Kunden. Nur diejenigen Cookies, die für das Bereitstellen dieses Dienstes auch wirklich unbedingt erforderlich sind, dürfen auch ohne umfassende Information und ausdrückliche Einwilligung des Nutzers eingesetzt werden. – Aber welche sind das?
Beim Cookie für die Session-ID ist klar: Ohne den ließe sich im Shop zwar stöbern, aber ein funktionierendes Einkaufserlebnis mit Warenkorb und Checkout wäre nicht möglich. Zahlreiche weitere von Magento gesetzte Cookies sind für den Betrieb des Shopsystems ebenfalls sehr wichtig – aber sind sie auch unabdingbar? „Ausdrücklich gewünscht“ hat der Besucher eine Einkaufsmöglichkeit. Weitere durch Magento gesetzte Cookies können beispielsweise für das Caching oder „kürzlich angesehene Produkte“ wichtig sein. Aber auch wenn für kurze Ladezeiten und nützliche Hilfestellungen beim Einkaufen zusätzliche Cookies unbedingt notwendig sein mögen – diese Features sind für einen Einkauf eben nicht unabdingbar.
Wo genau die durch das TTDSG gezogene Grenze verläuft, ist – wie so oft bei gesetzlichen Bestimmungen – letztlich nicht ganz klar. Den Gerichten wird die Arbeit also nicht ausgehen. Aber der Spielraum für Ausnahmen ist sehr, sehr klein. Und alle anderen Cookies fallen unter die Verpflichtung zu umfassender Information und zum Einholen ausdrücklicher Zustimmung. Das gilt – unschwer erkennbar – auch für Cookies, die durch Google Analytic gesetzt werden, die für den Google Tag Manager wichtig sind, die im Zusammenhang mit Google reCAPTCHA benötigt werden oder die für die Anzeige des Trusted Shops Siegels unabdingbar sind, die das Liken und Sharen in Social Media, besonders komfortable Payment-Lösungen oder auf den jeweiligen Nutzer zugeschnittene Werbeanzeigen im Shop ermöglichen. Sie alle gewährleisten lediglich weitere Funktionalitäten, die für den Einkauf in einem Magento Onlineshop nicht notwendig sind.
Was Shopbetreiber jetzt tun sollten
Shopbetreiber müssen umgehend sicherstellen, dass sie die im TTDSG auf den Punkt gebrachten Bestimmungen mit ihrem Onlineshop in vollem Umfang einhalten. Wie viel dafür nun zu tun ist, hängt davon ab, auf welchem Stand der Shop aktuell ist.
Szenario 1: Shop ohne oder mit „einfachem“ Cookiebanner
Wer ganz ohne oder nur mit einem wenig aussagekräftigen Cookie-Banner unterwegs ist, muss sich jetzt um eine leistungsfähige Lösung für das Consent-Management kümmern. Denn ein einfacher Banner, der pauschal über den Einsatz von Cookies im Shop informiert und erst durch einen Klick auf einen Opt-in-Button den Weg zur Shopoberfläche frei macht, reicht längst nicht aus. Es bedarf vielmehr eines zuverlässigen Tools für das Consent-Management für alle im Shop eingesetzten Cookies.
Für das rechtssichere Handling von Cookies und das Einholen der nötigen Einwilligungen von den Nutzern gibt es eine Vielzahl möglicher Anbieter und Lösungen. Hier ist es also wichtig, eine fundierte Auswahl zu treffen. Für die großen Shopsysteme am Markt gibt es zahlreiche Erweiterungen für komfortables Consent-Management im Shop (etwa im Magento Marketplace und im Shopware App Store). Zudem gibt es eine Reihe von kommerziellen SaaS-Anbietern für sogenannte Consent Management Plattformen (CMP).
Wichtiger Hinweis: Für Shopbetreiber in Deutschland ist es ratsam, einen Anbieter mit Serverstandort in der Europäischen Union zu wählen, da auch für das Cookie-Consent-Management ein Cookie gesetzt werden muss. Handelt es sich dabei um einen Drittanbieter-Cookie, muss im Licht des Schrems-II-Urteils des EuGH zum EU-US Privacy Shield sichergestellt werden, dass keine personenbezogenen Daten in datenschutzrechtlich unsichere Staaten wie die USA übertragen werden.
Szenario 2: Shop mit Lösung für Cookie-Handling und Consent Management
Wer seinen Shop mit einem funktionierenden Tool für das Handling von Cookies inklusive Consent Management ausgestattet hat, ist auf dem besten Weg zu einem auch noch am Ende des Jahres 2021 rechtssicheren und gegen Abmahnungen gehärteten Shop. Aber am Ziel angekommen ist er damit zumeist noch nicht, wie unsere Erfahrung gezeigt hat.
In den meisten Fällen offenbart bereits ein simpler Check mit einem frei verfügbaren Online-Tool wie Cookieserve, dass die integrierte Lösung für das Aktivieren und Deaktivieren von Cookies in Abhängigkeit von den eingeholten Einwilligungen der Nutzer nicht fehlerfrei arbeitet oder Lücken aufweist, so dass Cookies bereits vor der Zustimmung von Nutzern gesetzt werden. In den meisten Fällen bedarf es an diesem Punkt der Unterstützung durch erfahrene Entwickler, die am Shop die notwendigen Anpassungen vornehmen können, damit auch wirklich alle eingesetzten Cookies im Consent-Tool auftauchen und auch wirklich zuverlässig in der vorgeschriebenen Weise behandelt werden.
Und schließlich – auch wenn technisch alle rechtlichen Vorgaben erfüllt werden – darf ein wichtiger Punkt nicht vergessen werden: Die Datenschutzerklärung muss vollständig und korrekt darüber informieren, was im Zusammenhang mit Cookies und dem damit verbundenen Consent-Management im Shop geschieht. Auch das lässt sich mittlerweile kaum mehr ohne professionelle Unterstützung bewerkstelligen. Kein Wunder, dass immer mehr Shopbetreiber sich zusätzlich durch eine Mitgliedschaft im Händlerbund mit Zugriff auf die wichtigen Rechtstexte für Onlineshops oder bei Trusted Shops mit praktischen Servicepaketen wie dem Abmahnschutz absichern.
Brauchen Sie Unterstützung?
Wenn Sie Beratung zur Auswahl des passenden Cookie-Consent-Tools für Ihren Onlineshop gebrauchen können, oder wenn Sie nicht ganz sicher sind, ob die bereits in Ihrem Shop implementierte Lösung auch wirklich jeden Cookie in der vorgeschriebenen Weise behandelt, helfen wir Ihnen gern. Bitte sprechen Sie uns an! Als erfahrene Full-Service E-Commerce-Agentur unterstützen wir Sie gern auf dem Weg zu einer rechtssicheren Lösung, die vollständig mit dem aktuell geltenden Recht und dem TTDSG konform ist und sie zuverlässig gegen Abmahnungen wegen Cookies schützt.