13.12.2021

Was ändert sich bei der Verwendung von Cookies


Mit der Gültigkeit des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) am 01.12.2021 war die Aufregung wieder groß. Dabei hat sich nichts geändert. Wir erklären warum auch jetzt nicht jeder ein Cookie-Banner benötigt und warum es gleichzeitig für zahlreiche Webseiten mit der Nutzung eines Cookie-Consent-Tools nicht getan ist.
 

Das TTDSG gibt im Wesentlichen die Vorgaben der E-Privacy und der DSGVO wieder

Viele Kunden haben sich bei uns erkundigt, warum sie kein sogenanntes Cookie-Banner auf Ihrer Webseite haben. Sie hätten den Hinweis bekommen, dass das nun Pflicht wäre. Unsere Antwort: Es hat sich nichts geändert. Das TTDSG beschreibt nur was gemäß E-Privacy und DSGVO schon längst klar ist.

Bezüglich Cookies bleibt also alles beim Alten: Wer nur technisch notwendige Cookies verwendet, benötigt kein Cookie-Banner. Sofern über die Cookies jedoch personenbezogene Daten erfasst werden, ist ein solches Banner Pflicht und muss klare Anforderungen erfüllen.

Neu im TTDSG ist lediglich die Option, dass die Entscheidung über die Cookieeinstellungen des Anwenders zukünftig von zentralen Diensten verwaltet werden kann. Bis das soweit ist, werden aber vermutlich noch einige Jahren vergehen.

Verwendung von US-Diensten nicht zugelassen

Viel interessanter in dem Zusammenhang ist aus unserer Sicht eine aktuelle Entscheidung des Verwaltungsgerichts Wiesbaden. In einem Eilverfahren wird der Hochschule RheinMain die Nutzung von Cookie-Diensten untersagt, sofern sich die dafür zuständige Unternehmenszentrale in der USA befindet.

Begründet wird dies mit der Schrems II Entscheidung des EuGH vom 16. Juli 2020. In dem Verfahren wurde vom EuGH festgestellt, dass vor allem der Cloud-Act, nach dem Unternehmen der USA dazu verpflichtet sind personenbezogene Daten umfangreich an US-Behörden weiterzugeben, nicht den europäischen Datenschutzstandards genügt. Wichtig ist hier, dass der Cloud-Act nicht vom Serverstandort, sondern vom Unternehmenssitz abhängt. Es reicht also nicht aus wenn das US Unternehmen Server in Europa betreibt, da es damit trotzdem den Cloud-Act Bestimmungen unterliegt und die Daten an die USA weitergegeben werden.

Empfehlung für Betreiber von Websites

Schon vor dem Schrems II Urteil hatten wir unsere Kunden darauf hingewiesen, dass eine Verwendung von US-Diensten auch mit Cookie-Consent-Tool für die eigene Webseite zumindest Risiken birgt. Die aktuelle Entscheidung aus Wiesbaden zeigt nun, dass man sich allmählich ernsthaft Gedanken machen sollte, wie man die bekannten US-Dienste ohne Cookies nutzt oder gleich ersetzt.