In den letzten Jahren wurde der Datenschutz im Internet deutlich verschärft und mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) gibt es nun ein neues Gesetz, welches das Setzen von Cookies noch genauer und strenger regelt.
Das TTDSG tritt am 1. Dezember 2021 in Kraft und in diesem Artikel erfährst du, was das für Website-Betreiber bedeutet und welche Auswirkungen dies konkret auf das Setzen von Cookies hat.
Dabei gehe ich unter anderem auf den Spezialfall VG Wort Cookie ein und schildere, wie ich mit diesen neuen Regelungen umgehen werde. Aber auch Affiliates sind von diesem neuen Gesetz betroffen.
Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
Was ist das Telekommunikation-Telemedien-Datenschutzgesetz?
Im Mai diesen Jahres hat der Bundesrat dem neuen Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt.
Damit hat man in der deutschen Gesetzgebung nun endlich eine Umsetzung der Vorgaben der europäischen Datenschutzgrundverordnung DSGVO und der kommendenn ePrivacy-Richtlinie vorgenommen. Bisher war dies ja nur indirekt durch Urteile geschehen, die Bezug auf europäische Verordnungen (vor allem DSGVO und der kommenden ePrivacy-Verordnung) und deren automatische Gültigkeit für Deutschland genommen haben.
Im neuen Datenschutz-Gesetz werden die Datenschutz-Bestimmungen nun konkretisiert. Das betrifft zum Beispiel den digitalen Nachlass und welche Rechte Hinterbliebene gegenüber Telekommunikationsanbietern haben, die Rufnummerübermittlung und einiges mehr.
Vor allem aber beinhaltet das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) die Festlegung der DSGVO-konformen Einwilligung für Cookies, was Website-Betreiberinnen ja am meisten interessieren dürfte.
Zudem wird darin genau geklärt, wer für was in Deutschland verantwortlich ist, um das alles zu überwachen und ggf. Bußgelder zu verhängen.
Cookie-Einwilligung ist Pflicht … mit Außnahmen
Für Website-Betreiber ist sicher die Konkretisierung der Einwillungs-Pflichten am interessantesten. Das Gesetz legt für das “Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer“, also Cookies, fest, dass diese nur zulässig sind, “wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“.
Was letzteres genau bedeutet, wird hier nicht erläutert. Dabei bezieht man sich wieder auf die DSGVO. In § 25 TTDSG findet sich diese Festlegung.
Damit wird erstmal für alle Cookies ein Einwilligung erforderlich, wobei es zudem Vorschriften gibt, welche Voraussetzungen die Dienste zur Einwilligungsverwaltung erfüllen müssen. In wie weit da in Zukunft weiterhin Plugins für die eigene Website drunterfallen oder ob diese nicht mehr den Anforderungen genügen, kann ich nicht sagen. Es soll zentrale Dienste (sogenannte PIMS (für Privacy Information Management System)) dafür geben, aber ob die teilweise schon vorhandenen Online-Services (wie “do not track”) dafür genutzt werden können, ist unklar.
Auch die schon längerer existierenden CMPs (Consent Management Provider) kommen hier zum Einsatz, die zentral Vendoren, also Werbepartner etc. gesammelt haben und passende Consent-Infrastrukturen bereitstellen. Ein Cookie Consent Plugin, welches die Zustimmungen und Ablehnungen pro Nutzer in der lokalen Datenbank speichert, ist im Grunde auch ein CMP. Das ist aber meist eine Lösung pro Website, so dass der Nutzer bei jeder Website erneut diesen Consent Banner zu sehen bekommt. Mit den PIMS soll das dann nicht mehr der Fall sein, da solche Zustimmungen dann Website-übergreifend gelten sollen.
§ 25 TTDSG legt zudem weiterhin 2 Ausnahmen fest, die allerdings auch eher allgemein gehalten sind und am Ende werden wohl wieder Gerichts-Urteile darüber entscheiden, was genau darunter fällt.
Die erste Ausnahme betrifft die “Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz“. Klingt einerseits sehr speziell, aber mit ist irgendwie auch unklar, was damit genau gemeint ist. Könnte eine spezielle Ausnahme für Nachrichtendienste, wie Whats App sein, aber die Übertragung einer Nachricht kann vieles sein.
Die zweite Ausnahme klingt dagegen sehr weitläufig und kann mit der richtigen Interpretation wohl vieles erlauben. Die Speicherung per Cookie bzw. der Zugriff darauf ist ohne Einwilligung möglich, wenn diese Speicherung “unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“.
Also wenn der Telemediendienst (also zum Beispiel die Website) nicht möglich wäre, ohne diese Speicherung von Informationen auf dem Endgerät des Nutzers. Manche nennen als Beispiel einen Warenkorb-Cookie, ohne den ein Shop nicht funktionieren würde.
Ob man das nur aus rein technischer Sicht beurteilen kann und sollte, oder ob hier noch andere Faktoren eine Rolle spielen, wie eine Finanzierung der Bereitstellung durch Werbung, ohne die das Angebot nicht möglich wäre, bleibt zumindest mir unklar.
Was bedeutet das TTDSG nun für Website-Betreiber?
Einerseits ist es gut, dass die schon seit Jahren praktizierten Cookie-Regelungen nun endlich in einem Gesetz formuliert werden, zumal Deutschland hier stark hinter anderen Ländern hinterherhinkt. Auch die Definition von Ausnahmen ist grundsätzlich eine gute Sache, da die bisher in der DSGVO enthaltenen Abwägungsgründe ja auch recht uneindeutig waren (und nun auch so nicht mehr gelten). Und auch den Kampf gegen die Einwilligungs-Popups, die man auf jeder Wewbsite erneut anklicken muss, finde ich gut, wobei ich starke Zweifel habe, dass diese weniger werden. Schließlich gibt es meines Wissens bisher gar keine PIMS, die umfassend funktionieren allen möglichen Websites.
Allerdings ist man als Laie dann doch wieder etwas aufgeschmissen, denn wie genau das am Ende eine Richterin beurteilt und ob man die Ausnahmen selbst richtig deutet, bleibt unklar.
Keine Frage gibt es meiner Meinung nach bei Tracking-Cookies. Wer also Statistik- oder Werbe-Services einsetzt, die Cookies setzen, um die Nutzung nachzuverfolgen und auszuwerten, muss unbedingt eine Einwilligung einholen, die zudem den technischen Anforderungen des neuen Gesetzes standhält.
Was ist aber mit Cookies, die z.B. Betrug verhindern sollen? Fallen die Cookies im eingeschränkten Modus von AdSense (“nicht personalisierte Anzeigen“), die ja nach Aussagen von Google ausschließlich dazu dienen, Klickbetrug zu verhindern, unter die Ausnahmen? Eigentlich nicht, da die AdSense-Anzeigen ja kein “vom Nutzer ausdrücklich gewünschter Telemediendienst” sind. Auf der anderen Seite würde es den Telemediendienst, also die Website, ohne eine Finanzierung durch AdSense und Co. wahrscheinlich nicht geben.
Im Grunde müsste man also für alle anderen Services, die nicht direkt die vom Nutzer gewünschte Bereitstellung des Telemediendienst betreffen, erst die Einwilligung einholen, auch wenn es überhaupt kein Tracking ist, sondern ausschließlich der Schutz vor Betrug oder ähnliches.
Was bedeutet das für VG Wort Cookies?
Konkret betrifft das bei mir die Einbindung der VG Wort, was der einzige Cookie ist, der bei mir auf der Website gesetzt wird. Dabei handelt es sich um ein rechtlich bestätigtes Instrument, um Autoren für das unrechtmäßige Kopieren ihrer Online-Texte zu entschädigen.
Dafür wird ein VG Wort Pixel, also eine kleine Grafik, in jeden Artikel eingebunden. Dieser zählt, wie oft ein Artikel aufgerufen wird und prüft dabei unter anderem, ob das wirklich ein richtiger Nutzer oder ein Bot war. Zudem setzt dieser Zählpixel ein Cookie, das dabei helfen soll Missbrauch und ähnliches zu verhindern.
Technisch notwendig für die Bereitstellung meiner Website bzw. der darauf enthaltenen Texte ist weder der Zählpixel noch der VG Wort Cookie, aber es ist auch kein Tracking und im Grunde ja ein gesetzlich verankertes Recht für Autoren. Nach DSGVO Abwägung in meinen Augen also eindeutig ein berechtigstes Interesse seitens des Autors.
Indirekt könnte man zudem argumentieren, dass der VG Wort Pixel für den Betrieb der Website notwendig ist, denn ohne diesen würde viele Autoren eine Website finanziell nicht betreiben können. Würde man hier eine Cookie-Einwilligung anbieten, würde wohl, wie bei vielen anderen Diensten, ein Großteil der Nutzer den VG Wort Cookie ablehnen. Laut VG Wort funktioniert der Zählpixel aber auch ohne den Cookie, wenn auch etwas ungenauer zu ungunsten des Autors. Ein leichter Rückgang der Vergütung wäre die Folge.
Bisher war die Antwort der VG Wort auf meine Anfragen immer so, dass dieser Cookie unbedenklich ist und ohne Einwilligung benutzt werden darf. Ich hatte nun nochmal eine Anfrage gestellt und um eine Stellungnahme bzgl. der Regelungen im kommenden Telekommunikation-Telemedien-Datenschutzgesetz gebeten. Demnach wird nun wohl erstmal empfohlen eine Cookie-Zustimmung einzuholen. Der Zählpixel soll aber mit oder ohne Cookie funktionieren. Das muss ich aber erst selbst noch testen.
Ich bin gespannt, ob man in Zukunft evtl. sogar auf eine Cookie-Setzung seitens der VG Wort verzichtet. Schließlich hat auch Google angekündigt in Zukunft auf Cookie verzichten zu wollen, aber das ist nochmal ein ganz anderes Thema.
Das Ende des Consent-Banners?
Ein Ziel des neuen Gesetzes ist die Eindämmung der auf allen möglichen Websites zu sehenden Consent-Banner. Damit sind diese Zustimmungs-Popups gemeint, die auf jeder Website anders aussehen.
In Zukunft soll die Einwilligung in bestimmte Cookies technisch anders gelöst werden, nämlich über separate Services, die diese Informationen mit Hilfe des Browsers an jede Website weitergeben (PIMS). Doch wie sieht es dann mit gesonderten Einwilligungen bei einzelnen Websites aus, denn schließlich werden die meisten Websites eine sehr unterschiedliche Kombination aus Werbepartnern etc. einsetzen? Es bleiben viele Fragen offen, gerade bei der technischen Realisierung.
Mich würde es auf jeden Fall freuen, wenn die unsäglichen Einwilligungs-Popups wieder verschwinden und man eine zentralere Verwaltung der Einwilligung erreicht. Dennoch habe ich so meine Zweifel, dass die neuen Regelungen kurzfristig dazu führen.
Nun doch mit Cookie-Consent?
Ich habe beim Inkrafttreten der Datenschutz Grundverordnung für mich die Entscheidung getroffen, keine Cookies mehr auf meinen Websites zu setzen (außer dem VG Wort Cookie).
Ich habe damals also nicht nur Google Analytics ausgebaut, sondern auch jegliche Affiliate Marketing Werbemittel und andere Dritt-Services, die über Scripte etc. ggf. Cookies auf meinen Websites gesetzt haben. In meinem Artikel Website ohne Cookies und Tracking – DS-GVO-Anpassung Extrem-Beispiel habe ich genau das geschildert. Darin habe ich gezeigt, was ich alles angepasst habe, um das Ziel zu erreichen.
Meine Erfahrungen waren soweit positiv, denn meine Einnahmen sind nicht spürbar zurückgegangen, was aber auch daran liegt, dass ich schon vorher kein Cookie-Spamming oder übermäßigen Einbau von Bannerscripten oder ähnliches vorgenommen habe.
Manch andere Affiliates haben ja so viele Scripte bei sich eingebaut, dass jeder Nutzer der Website schon beim Lesen der Artikel mit Cookies überschwemmt wird. Das fand ich schon immer unseriös und deshalb war die Veränderung für mich zu so groß und relativ schmerzlos.
Mit dem TTDSG wird es nun noch etwas strenger und ich werde mal schauen, ob ich ab Dezember für die VG Wort nun doch eine Consent-Lösung integriere. Wobei ich es evtl. auch einfach darauf ankommen lasse.
Ich nun aber ganz froh, dass ich damals schon den (fast) cookielosen Weg gegangen bin, denn langfristig soll das Gesetz natürlich dafür sorgen, dass Cookie nicht mehr genutzt werden.
Fazit zum TTDSG
Grundsätzlich finde ich gut, dass nun wirklich eine gesetztliche Regelung definiert, was bisher nur über BGH-Urteile als gegeben angesehen wurde. Zumindest kann man sich so bei der Beurteilung von Ausnahmen etc. auf einen deutschen Gesetzestext beziehen.
Problematisch finde ich dagegen, dass es keine konkrete Ausnahme für Cookies gibt, die ausschließlich Betrug etc. verhindern sollen, also expliziert keine Tracking-Cookies sind. Auch im TTDSG werden Cookie unter Generalverdacht gestellt, obwohl es diese schon ewig gibt und für viel mehr eingesetzt werden, als Tracking. Ebenso problematisch finde ich, dass der Cookie-Consent von den Affiliate-Netzwerken und Online-Shops auf die Affiliates abgewälzt wird, selbst wenn diese nur normale Text-Affiliatelinks nutzen.
Zudem ist die Formulierung der Ausnahmen leider wieder so allgemein gehalten, das man da vieles reininterpretieren könnte. So bleibt auch hier abzuwarten, wie sich die Rechtssprechung entwickelt und was da am Ende genau definiert werden wird.
Des Weiteren wird vom BMWi darauf hingewiesen, dass beim nutzerfreundlichen und wettbewerbskonformen Einwilligungsmanagement die genaue Ausgestaltung dieser neuen Strukturen im Wege einer Regierungsverordnung erfolgen soll. Heißt also konkret, dass hier noch gar nicht seitens des Gesetzgebers genau definiert ist, wann ein Einwilligungsservice (PIMS) okay ist und wann nicht. Es bleibt hier also spannend, wann solche Services wirklich zur Verfügung stehen und ob man bis dahin die bisherigen Cookie-Plugins weiterhin einsetzen darf (bzw. muss).
Zudem wird darauf hingewiesen, dass es weitere Anpassungen des TTDSG an die kommende ePrivacy-Verordnung geben wird.
Wie geht ihr mit Cookies auf eurer Website um? Setzt ihr diese ohne Einwilligung, holt ihr euch die Einwilligung ein oder verzichtet ihr auf Cookies?
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Soviel Gerede um den heißen Brei – der VG Wort Cookie ist nach TTDSG einwilligungspflichtig. Und DSGVO Abwägungen haben damit keinesfalls etwas zu tun.
Die VG Wort spricht davon, dass auch cookiefreies Tracking funktioniert, nur ungenauer… wo ist diese cookiefreie Lösung?
Weil, einfach das Cookie setzen ohne Zustimmung ist ohne Frage ab 01.12. ein Gesetzesverstoß.
Kann man so sehen. Mal schauen, wie es die meisten umsetzen werden.
Meiner Meinung nach werden in Kapitel 2 (§ 25 -2 ) die meist technischen Cookies beschrieben für die es auch heute keine Einwilligung Bedarf. Und damit sind wirklich technische Dinge gemeint, und keine Argumentation a la “ohne Adsense kann ich die Serverrechnung” nicht bezahlen. Daher wäre meiner Meinung nach auch ein Cookie von VG Wort nur nach Einwillung zu setzen. Den auch hier handelt es sich nicht um eine technische Notwendigkeit – sondern um deinen “Business Case”.
I
Das Wort “technisch” lese ich da aber nicht. Allerdings stimme ich dir soweit zu, dass die VG Wort ja selbst schreibt, dass der Cookie nicht “unbedingt notwendig” ist
Da wäre es aber schön, wennn due VG Wort eine Consent-Lösung zumindest mal zeigen würde, die den Cookie als Opt-In löst, den Zählpixel aber dennoch einbaut, egal wie sich der Nutzer beim Cookie entscheidet.
Ich bin gerade dabei diese technische Möglichkeiten zu prüfen.
Hi Peer,
mit dem Ausbau von Tracking-Diensten wie zum Beispiel Google-Analytics kannst du ja folglich keinerlei Messungen mehr an SIN.de vornehmen. Hast Du nun eine andere Lösung, oder trackst Du gar nicht mehr?
VG
Ferhat
Ich nutze einfache Statistik Plugins, wie Statify und Koko Analytics, die keinerlei persönliche Daten sammeln und auch keine Cookies setzen. Diese sind natürlich viel eingeschränkter als Google Analytics, aber für meine Zwecke reicht das.
https://www.selbstaendig-im-netz.de/web-analytics/koko-analytics-vs-statify-erfahrungen-vergleiche-probleme-und-tipps-der-statistik-plugins/
Hallo Peer,
wenn User in Chrome über die “Datenschutz und Sicherheit” – Einstellungen die Drittanbieter-Cookies blockieren, sind automatisch auch die VG Wort Cookies gesperrt. Hat die VG Wort dazu eine Meinung oder noch besser künftig eine andere technische Lösung? Oder gibt es sonst eine Möglichkeit, dieses Problem zu umgehen?
Mit dieser Einstellung wird die Diskussion, ob vorherige Einwilligung einholen oder nicht, eh hinfällig.
Gruß,
Christa
Leider scheint die VG Wort da recht langsam zu sein. Dass die gängigen Browser in Zukunft Third Party Cookies standardmäßig blockieren werden, ist ja schon länger bekannt. Ich nehme an, dass man hinter den Kulissen daran arbeitet, aber bekannt ist mir eine Änderung der Vorgehensweise bisher nicht.
Mit wurde geschrieben, dass ich den Newsletter abonnieren soll, denn dann steht da was drin, wenn es Änderungen gibt.
Der Anspruch im UrhG ist gesetzlich – die VG Wort nicht. Das ist eine x-beliebige private Institution. Ein Zufall, dass es genau eine Verwertungsgesellschaft gibt. Der Cookie dort ist genauso notwendig oder eben nicht wie Cookies von AdSense und Co. von anderen privaten Institutionen wie Google.
Die meisten werden mit VG Wort, Adsense & Co. weitermachen wie bisher, ist ja klar.
Die VG Wort mit Google AdSense zu vergleichen ist sehr fraglich, unterscheiden sie sich doch extrem.
Nein – tun sie nicht. Das sind beides keine staatlichen Behörden oder in anderer Weise herausgehoben. Theoretisch kann jeder eine eigene Verwertungsgesellschaft gründen, eigene Arten der Verteilung bestimmen, eigene Arten der Erfassung bestimmen. Zur Durchsetzung des UrhG sind Cookies nicht notwendig – das ist eine von vielen Optionen, welche hier ein privatwirtschaftlicher Verein getroffen hat.
Ob Cookies tracken oder nicht, spielt im TTDSG keine Rolle. Nach dem TTDSG ist der VG Wort Cookie nicht anders zu behandeln als der AdSense-Cookie. Entweder technisch erforderlich (“unbedingt notwendig”) oder eben nicht. Und wirtschaftlich notwendig wäre der AdSense-Cookie ja auch. Nach dieser Argumentation wären ja alle Tracking-Cookies notwendig. Genauso notwendig wie eben der VG Wort Cookie.
Vielleicht sollte VG Wort die Kappungsgrenze bei der Sonderausschüttung abschaffen. Dann könnten wir die Zählpixel entfernen und unsere Seiten bei der Sonderausschüttung melden.
Die Sonderausschüttung ist aber weit geringer pro Artikel, als die normale Vergütung. Das ist keine Option für mich. Ich denke, dass die VG Wort hier schon reagieren wird, es dauert nur ein wenig.
Schon schlimm die ganze Cookie Entwicklung. Völlig über das Ziel hinaus. Bei vielen großen Seiten gibt es völlig überladene Cookie Popups mit Hunderten von Schaltern für Dienste, die man noch nie gehört hat. Gerade die älteren Generationen können damit überhaupt nichts anfangen und werden klicken auf Zustimmen, um auf die Seite zu kommen.
Warum ist denn eigentlich auf dieser Seite trotzdem noch ein Cookie Banner im Einsatz, obwohl du alle Cookies entfernt hast?
Wie man bei erecht24 ließt, sind ja gerade diese Banner nur mit Okay Button nicht mehr in Ordnung?
Ja, das sind teilweise dreistellige Anzahl von Services, die auf großen Portalen eingebunden sind. Genau wegen sowas gibt es überhaupt den Kampf gegen das Tracking und Cookies. Hätten solche Websites es in der Vergangenheit nicht so dermaßen übertrieben, wären wir heute wohl nicht an dem Punkt. Und wie man leider sieht, werden auch die neuen Regeln wohl nichts ändern und die meisten Menschen einfach allem zustimmen.
Was das Cookie-Hinweis hier im Blog angeht, so ist dieser ja nicht grundsätzlich verboten. Man darf nur keine zustimmungspflichtigen Tracking-Cookies und ähnliches setzen und dann nur ein Cookie-Hinweis nutzen. Ich habe hier keine Cookies im Blog, bis auf den der VG Wort und der war nach DSGVO bisher auch ohne Zustimmung okay.
Ab dem 1.12. sieht das mit dem TTDSG wohl anders aus. Wie die Gerichte dann ggf. entscheiden, muss man abwarten, aber ich werde bis dahin ein richtiges Consent Banner hier einbinden. Außer auf Nischenwebsites, wo ich gar keine Cookies nutze.
Also hier erscheint jetzt doch plötzlich so ein Consent Banner. Ich dachte auf dieser Seite bleibt man davon verschont?
Und trotz Ablehnung wurden zwei Cookies gesetzt. Und Ghostery meldet trotzdem drei Tracker. Ich würde das Consent Ding wieder ausbauen, so bringt es nicht und nervt nur 🙂
Mich nervt es auch, aber aktuell geht es nicht anders. Die 2 essenziellen Cookies sind vom Consent Banner und von der VG Wort.
Nach einmal akzeptieren sollte das Consent Banner so schnell nicht mehr kommen. 🙂