TTDSG: Regelungslücke für Cookies könnte sich schließen
Mit dem neuen Gesetz soll endlich die Cookie-Lücke im deutschen Recht geschlossen werden. Parlament und Regierung wollen gegen nervige Cookie-Banner vorgehen.
Nach langem Warten soll in der Nacht auf Freitag das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in erster Lesung im Bundestag behandelt werden. Mit dem Gesetz soll unter anderem die Cookie-Regelungslücke geschlossen werden, die die Planet-49-Entscheidung des BGH offengelegt hatte.
Marketing-Cookies nur nach Klick
Konkret geht es darum, ob und wann Website-Betreiber Nutzer um Erlaubnis fragen müssen, wenn sie Cookies im Web-Browser der Nutzer abspeichern. Die Europäische Union hatte diese Frage eigentlich spätestens im Jahr 2009 mit der sogenannten Cookie-Richtlinie geklärt – die Vorschriften dafür waren aber nie in deutsches Recht übernommen worden. Bis zum vergangenen Jahr hatten deshalb viele Website-Betreiber lediglich eine Pflicht gesehen, Nutzer durch diskrete Hinweise auf den Cookie-Gebrauch aufmerksam zu machen. Der Bundesgerichtshof machte jedoch im Mai 2020 klar: Bei Cookies zu Werbezwecken müssen die Nutzer explizit um Erlaubnis gefragt werden. Dazu interpretierten die Richter das deutsche Gesetz im Sinne des EU-Rechts um.
In Paragraph 24 des nun auf der Tagesordnung stehenden Gesetzentwurfs soll diese Regel explizit in deutsches Recht übernommen werden: Demnach müssen Cookies von den Nutzern "auf der Grundlage von klaren und umfassenden Informationen" genehmigt werden. Ausnahmen gibt es, wenn Cookies "unbedingt erforderlich" sind, um den ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.
Unzufrieden mit Bannern
Eigentlich wären mit dem Gesetz damit die seit Herbst vergangenen Jahres in Deutschland verbreiteten Praxis der Cookie-Banner abgesegnet, doch vorab machen Politiker deutlich, dass sie mit dem jetzigen Zustand alles andere als zufrieden sind. "Viel zu häufig werden Verbraucherinnen und Verbraucher im Netz mit undurchsichtigem Web-Design, langen Texten und komplizierten Browserfenstern konfrontiert, wenn es um das Einwilligen zum Sammeln und Verarbeiten von Daten geht", sagte Justizstaatssekretär Christian Kastrop dem Handelsblatt. Nach Kastrops Auffassung erfüllen damit viele heute verbreiteten Cookie-Banner nicht die Vorgaben des Gesetzentwurfs. "Wer nicht im Netz mit Cookies getrackt werden will, muss das im Browser-Fenster genauso leicht wegklicken können, wie das Einwilligen angeklickt werden kann", erklärte der Staatssekretär.
Browser sollen Cookie-Banner überflüssig machen
Zur einer ähnlichen Bilanz kommt Tankred Schipanski, der Sprecher für Digitale Agenda der CDU/CSU-Fraktion. "Der derzeitige Dschungel an Cookie-Bannern im Internet ist nervig und führt zu weniger statt mehr Datensouveränität, Datenschutz und Klarheit. Als Lösung schlägt er vor, den Gesetzentwurf noch zu überarbeiten. Konkret will er Browser-Hersteller verpflichten, eine Funktion in ihre Programme aufzunehmen, mit der Nutzer einmalig und zentral über solche Cookie-Einverständnisse entscheiden können.
Browser sind dem Gesetzgeber voraus
Damit sticht Schipanski in ein netzpolitisches Wespennest. Die Browser-Hersteller haben längst ihre eigenen Wege beschritten. Apple und Mozilla zum Beispiel sind auf einem rigiden Kurs, Tracking-Techniken pauschal zu blockieren. Eine gesetzliche Verpflichtung, Cookies eventuell doch durchzulassen, wenn die Nutzer zustimmen, dürfte auf Widerstand stoßen. Google hingegen baut seinen Browser Chrome zu einer Datensammelstelle aus, die nur noch aggregierte Daten über Nutzer an die Werbeindustrie freigeben soll. Wie sich dieser Ansatz mit lokal sehr unterschiedlichen Datenschutzgesetzen verträgt, ist eine der ungeklärten Fragen. So berichtet das Fachmedium Ad Exchanger, dass Google die ersten Praxis-Tests mit der "FloC"-Technik nicht im Geltungsraum der Datenschutz-Grundverordnung durchführen will.
Entsprechende Änderungen im Gesetzgebungsprozess könnten den bereits engen Zeitplan aus der Bahn werfen. Bereits im Februar hatte der Bundesdatenschutzbeauftragte Ulrich Kelber eine Beschwerde über das langsame Vorgehen veröffentlicht. "Auch nach 1000 Tagen der vollen Anwendbarkeit der DSGVO fehlen bei TKG und TMG dringende Klarstellungen" beklagte Kelber. Mit dem TTDSG müsse auch das ebenfalls geplante Telekommunikationsmodernisierungsgesetzes (TKModG) gleichzeitig in Kraft treten. "Andernfalls wäre die Privatheit der elektronischen Kommunikation gefährdet", schreibt Kelbers Behörde.
(anw)