Datenschutz im Internet: Kommt jetzt das Aus für die Cookie-Banner?

Unbeschwertes Surfen im Internet ist seit einigen Jahren kaum noch möglich. Auf jeder neu aufgerufenen Webseite erscheint ein Cookie-Banner. Mit ihm werden die Nutzer:innen um die Einwilligung in den Einsatz der verschiedensten Tools von Analyse bis Tracking gebeten. Wer eine genaue Auswahl treffen will, muss sich durch unzählige Anbieter und Verarbeitungszwecke klicken. Nicht selten sind hunderte Tools auf komplexeren Webseiten eingebaut. Ein Alptraum für User.

Die meisten von ihnen treffen keine individuelle Auswahl. Sie klicken schnell auf "Alle akzeptieren", um auf die Webseite zu kommen, die sie sehen wollen. Eine echte Entscheidung treffen sie nicht. Das eigentliche Ziel der Cookie-Banner wird so verfehlt: Die Nutzer:innen treffen keine freie Entscheidung, welche Anbieter und wozu die ihre Daten erheben und verwenden dürfen.

Regelung zur Einwilligungsverwaltung  

Das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) könnte hier Abhilfe schaffen: Der Gesetzgeber hat in letzter Minute eine Regelung zu sog. Einwilligungsverwaltungssystemen aufgenommen. Diese werden auch als "Personal Information Management System" oder kurz "PIMS" bezeichnet. Als PIMS werden Systeme und Softwareanwendungen bezeichnet, die Personen mehr Kontrolle über ihre personenbezogenen Daten geben.

Die User können mit Hilfe von PIMS auf ihren Endgeräten abspeichern, welche Einwilligungen sie erteilen wollen und welche nicht. Es lassen sich also mit PIMS Einstellungen für viele Webseiten vorab festlegen, so dass nicht auf jeder einzelnen Seite künftig eine Auswahl getroffen werden muss.

Nutzer:innen können z.B. generell in den Einsatz von Analysetools, die nicht von Google sind, einwilligen. Auch können sie Tracking-Tools zu Marketingzwecken insgesamt ablehnen und nur einzelne Ausnahmen vorsehen. Das alles wird dann in PIMS auf den Endgeräten der Nutzer gespeichert und von Browsern und Webseiten automatisiert ausgelesen.

"Nicht der große Wurf"

Der "große Wurf" für ein nutzerfreundlicheres Internet ist das leider nicht. Die Einführung einer Regelung zu PIMS war im Gesetzgebungsverfahren hoch umstritten. Die in der Endfassung in § 26 TTDSG enthaltene Regelung hat es erst in letzter Minute (wieder) ins Gesetz geschafft. Vorher war sie im Verlauf des Gesetzgebungsverfahrens schon einmal gestrichen worden. Die letztendlich kompromissfähige Regelung beschränkt sich auf Minimalvorgaben: Das Gesetz sieht ein Anerkennungsverfahren für PIMS vor. Das bedeutet, dass Anbieter vom PIMS künftig ein Siegel erhalten, wenn bestimmte Anforderungen eingehalten werden. PIMS müssen dafür insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Browser und Webseiten sollen dann verpflichtet sein, in einem anerkannten PIMS hinterlegte Angaben auszulesen und zu befolgen. Wie genau das umgesetzt wird, ist in einer Rechtsverordnung zu regeln.

Ob die Cookie-Banner verschwinden, hängt also von drei Faktoren ab: 1. Der Markt muss PIMS bereitstellen. 2. Die Nutzer müssen PIMS einsetzen. Und 3. Die Bundesregierung muss eine wirksame Rechtsverordnung erlassen, in der die verschiedenen Interessen zu einem praktikablen Ausgleich gebracht werden.

Nutzerfreundliche PIMS können helfen, Verbraucherinnen und Verbrauchern eine echte Entscheidung darüber zu ermöglichen, welche Daten sie von sich im Internet preisgeben wollen und welche nicht. Allerdings müssen sie auch bei einer Nutzung von PIMS umfangreiche Entscheidungen treffen, z.B. welche Tools während ihres Besuches auf verschiedenen Webseiten eingesetzt und welche Daten also von ihnen erfasst werden dürfen. Allerdings muss die Entscheidung nur einmal getroffen werden. Sie gilt dann für eine Vielzahl von Webseiten.

Einschränkungen für Unternehmen

Für die Werbewirtschaft und damit für alle Unternehmen, die wesentliche Umsätze über (personalisierte) Werbung im Internet machen, kann die Neuregelung zum Verhängnis werden: Sie profitieren von der aktuellen Praxis des schnellen Klicks auf "Alle akzeptieren". Die Zustimmungsrate kann beim Einsatz von PIMS sinken.

Ob das der Fall sein wird, wird der Markt zeigen. Die Datenschutzaufsichtsbehörden vermuten es: Sie kritisieren die Cookie-Banner-Gestaltung, die durch eine besondere Gestaltung Nutzer zu einer Einwilligung überlistet, etwa durch eine farblich und graphisch besonders ansprechende Hervorhebung des "Alle akzeptieren"-Buttons (sog. Nudging). Ob das den Tatsachen entspricht, ist umstritten. Der Einsatz von PIMS beendete diesen Streit.

In jedem Fall verlieren Unternehmen beim Einsatz von PIMS individuelle Gestaltungsmöglichkeiten: Cookie-Banner werden dem Nutzer nicht mehr angezeigt. Sie werden jetzt automatisiert über das PIMS beantwortet und geschlossen, bevor dem Nutzer die Webseite angezeigt wird.

Keine Cookies ohne Einwilligung

Das TTDSG bringt zudem klare Regelungen für den Einsatz von Cookies und vergleichbaren Technologien: Wollen Unternehmen mit Cookies, Skripten und anderen Technologien auf die Endgeräte ihrer Nutzer zugreifen, benötigen sie eine Einwilligung. Das regelt § 25 TTDSG künftig ausdrücklich. Eine Einwilligung ist dann unnötig, wenn die Technologie unbedingt erforderlich ist, um den Dienst überhaupt bereitzustellen. Das ist etwa der Fall bei Cookies, die einen Login ermöglichen. Ein weiteres Beispiel sind Cookies, die das Befüllen eines Warenkorbs im Online-Shop ermöglichen.

Der Gesetzgeber setzt mit § 25 TTDSG die ePrivacy-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/13/EG um. Dies war mit der vorherigen Regelung im Telemediengesetz (TMG) nicht optimal gelungen. Erst eine Entscheidung des Bundesgerichtshofs (BGH) vom 28. Mai 2020 hatte zu einer richtlinienkonformen Auslegung der TMG geführt.

Indes ist ein "großer Wurf" auch hier nicht gelungen. Die Richtlinienvorgabe wird beinahe 1:1 umgesetzt. Eine Konkretisierung, wann Technologien "unbedingt erforderlich" zur Bereitstellung des Dienstes sind, erfolgt nicht. In der Praxis bleibt also umstritten, wann Cookies und ähnliche Technologien auch ohne Einwilligung zulässig sind. Marketing-Tools, die Nutzer über verschiedene Angebote hinweg "tracken", um personalisierte Werbung anzuzeigen, sind sicher nicht unbedingt erforderlich. Sie dürfen nur mit Einwilligung eingesetzt werden. Für Analysetools aber kann diskutiert werden: Im aktuellen Entwurf einer ePrivacy-Verordnung etwa ist vorgesehen, dass datenschutzfreundliche Analysetools ohne Einwilligung eingesetzt werden dürfen.

Telekommunikationsdatenschutz in einem Gesetz

Darüber hinaus fasst das TTDSG die Regelungen zum Telekommunikationsdatenschutz und weitere Anforderungen an Telemedien wie Webseiten und Apps zusammen. Der Gesetzgeber hat die bisher in verschiedenen Gesetzen enthaltenen Vorschriften im TTDSG zusammengezogen. Das dient der Übersichtlichkeit und einfacheren Anwendung.

Für Webseiten und vergleichbare Angebote enthält das TTDSG Vorgaben für den technischen und organisatorischen Schutz der Nutzer:innen. Eine Nutzung muss anonym oder unter Pseudonym möglich sein. Das spricht gegen eine Klarnamenpflicht, wie sie etwa Facebook durchzusetzen versucht. Nutzer:innen müssen auch angemessen geschützt werden vor unbefugten Zugriffen und Angriffen von außen.

Zur Vermeidung und Aufklärung von Straftaten oder konkreten Gefahren für Leib und Leben, müssen Webseitenbetreiber Daten ihrer User an Strafverfolgungsbehörden herausgeben. Das können bei besonders schweren Straftaten und akuten Gefahren auch Passwörter sein. Ob deshalb solche Zugangsdaten künftig in Klarform abzuspeichern sind, ist ebenfalls hoch umstritten. Gerade das wird regelmäßig als eklatanter Verstoß gegen die Datensicherheit gewertet und führte zum Beispiel zu einem der ersten Bußgelder unter der Datenschutz-Grundverordnung (DSGVO) in Deutschland. Bislang ist die herrschende Meinung, dass Passwörter von Nutzern in gehashter Form bevorratet werden müssen. Der Anbieter kennt so das Passwort nicht und kann es auch nicht nutzen.

Autorin Dr. Kristina Schreiber ist Partnerin bei Loschelder Rechtsanwälte, Köln. Sie ist spezialisiert auf die rechtliche Beratung bei der Bereitstellung digitaler Produkte und bei Digitalisierungsprozessen, im Datenschutz- und verbundenen Regulierungsrecht.