Am 27. Februar 2025 stellt sich die rechtliche Landschaft rund um Cookies und den Schutz personenbezogener Daten in Deutschland erneut als komplex und vielschichtig dar. Die Datenschutz-Grundverordnung (DSGVO) sowie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) spielen hierbei eine entscheidende Rolle. Diese Gesetze regeln nicht nur, wie mit personenbezogenen Daten umgegangen wird, sondern auch, welcher Art von Einwilligungen Nutzer bedürfen, um Cookies zu speichern und darauf zuzugreifen.
Die DSGVO legt den Grundstein für den Schutz personenbezogener Daten, behandelt jedoch nicht explizit den Umgang mit Cookies. Das TTDSG, welches am 1. Dezember 2021 in Kraft trat, hat die europäische Vorgabe zur ePrivacy-Richtlinie in nationales Recht umgesetzt. Dieses Gesetz regelt unter anderem, dass Cookies nur mit Einwilligung des Nutzers gespeichert werden dürfen, sofern es sich nicht um technisch notwendige Cookies handelt. Die Rechtslage ist klar: Cookies, die personenbezogene Daten beinhalten, unterliegen strengen Regelungen.
Die Rolle der Cookies im Datenschutz
Cookies sind Datenspeicher, die Informationen im Endgerät des Nutzers über Webseitenaufrufe hinweg verwalten. Sie bestehen aus einem Datenpaar (Name und Wert) und werden bei jedem Aufruf einer Webseite an diese zurückgesendet. Jedoch sind Cookies nicht dasselbe wie gewöhnliche Textdateien; sie sind vielmehr komplexe Datensätze. Die Art der in Cookies gespeicherten Daten kann unterschiedlich sein und umfasst potenziell personenbezogene Informationen, die auf eine identifizierbare Person zurückzuführen sind.
Ein wegweisendes Urteil des Bundesgerichtshofs (BGH) im Planet49-Fall von 2020 hat deutlich gemacht, dass Cookies als personenbezogene Daten gelten. Der EuGH hat darüber hinaus entschieden, dass dynamische IP-Adressen ebenfalls personenbeziehbar sind. Dies verstärkt den Personenbezug der Cookies, da sie immer mit der IP-Adresse des Nutzers verbunden sind.
Änderungen durch das TDDDG
Mit der Umwandlung des TTDSG in das TDDDG im Mai 2024 wurden neue Regelungen in Kraft gesetzt. Diese umfassen auch eine präzisere Regelung für den Zugriff auf Endeinrichtungen, die an Netzwerke angeschlossen sind, beispielsweise Smart Home Geräte. Die Rechtslage zu Cookies bleibt jedoch unverändert: Cookies, die nicht technisch notwendig sind, bedürfen einer ausdrücklichen Einwilligung der Nutzer.
Eine klare Einteilung der Cookies zeigt, für welche Zwecke eine Einwilligung nötig ist: Sitzungsverwaltungs-Cookies benötigen keine Einwilligung, während Cookies zur Nutzerverfolgung und zur Werbung nur mit ausdrücklicher Zustimmung gespeichert werden dürfen. Diese Differenzierung ist essenziell für Webseitenbetreiber, die sicherstellen müssen, dass sie im Einklang mit dem Gesetz handeln.
Zusammenfassend lässt sich festhalten, dass die Rechtslage rund um Cookies und personenbezogene Daten in Deutschland durch verschiedene Gesetze geregelt wird, die sich ständig weiterentwickeln. Die Empfehlungen, keinen Diensten von Unternehmen mit fragwürdigen Geschäftspraktiken zu vertrauen, und die Notwendigkeit, alle verwendeten Cookies zu identifizieren, um rechtskonform zu handeln, sind von zentraler Bedeutung für den Schutz der Privatsphäre der Nutzer.