Die Frage, ob Cookies als personenbezogene Daten gelten, ist aktuell von großer Relevanz im Kontext des Datenschutzes. Wie der Artikel auf dr-dsgvo.de ausführt, behandelt die DSGVO den Umgang mit personenbezogenen Daten generell, jedoch nicht speziell mit Cookies. Ab dem 1. Dezember 2021 trat das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft, das bestimmte Regelungen für den Umgang mit Cookies in Deutschland festlegte.
Gemäß der neuen Regelung dürfen Cookies nur mit ausdrücklicher Einwilligung des Nutzers gespeichert oder abgerufen werden, außer bei technisch notwendigen Cookies. Ein entscheidendes Urteil des Bundesgerichtshofs aus dem Jahr 2020, bekannt als das Planet49-Urteil, stellte fest, dass Cookies personenbeziehbare Daten darstellen, da sie an das Endgerät des Nutzers gebunden sind und somit einen Personenbezug implizieren.
Auswirkungen und rechtliche Grundlagen
Das TTDSG ergänzt die bestehenden Datenschutzregelungen der DSGVO und bietet spezifische Regelungen für den Zugriff auf Daten auf Endgeräten. Dies schließt ein, dass der Zugriff auf Daten ohne ausdrückliche Zustimmung des Nutzers unzulässig ist. Vor der Einführung des TTDSG gab es erhebliche Unklarheiten bezüglich der Gesetzgebung zu Cookies, insbesondere im Hinblick auf Opt-in- und Opt-out-Regelungen. Der frühere § 15 Abs. 3 des Telemediengesetzes (TMG) forderte ein Opt-out für die Einwilligung, während die ePrivacy-Richtlinie ein Opt-in verlangt.
Das neue TDDDG (Telekommunikation-Digital-Dienste-Datenschutz-Gesetz), das im Mai 2024 unter dem inhaltlich unveränderten Titel TDDDG implementiert wird, übernimmt diese Regelungen und muss sicherstellen, dass Cookie-Banner klare Informationen und eine Opt-in-Option bieten. Viele Webseiten nutzen zur Benutzerführung sogenannte „Nudging“-Techniken oder „Dark Patterns“, die darauf abzielen, die Nutzer zur Einwilligung zu bewegen, was jedoch rechtlich unzulässig ist.
Praktische Implikationen für Webseitenbetreiber
Webseitenbetreiber sind verpflichtet, Cookie-Banner zu verwenden, wenn sie einwilligungsbedürftige Cookies einsetzen. Diese Banner müssen den Nutzern die Möglichkeit bieten, Widerspruch einzulegen und transparent über die Art der gespeicherten Daten zu informieren, wie etwa Nutzer-IDs, Zeitstempel und Standortdaten. Ein Verstoß gegen die Vorgaben des TDDDG kann ernste rechtliche Konsequenzen nach sich ziehen, einschließlich Bußgeldern von bis zu 300.000 Euro.
Die Aufsicht über die Einhaltung des Gesetzes obliegt den Landesdatenschutzbehörden. In der Tat gab es bereits eine erste Verurteilung wegen eines rechtswidrigen Cookie-Banners, die auf die Notwendigkeit der strengen Einhaltung der neuen Regelungen hinweist.
Zusammenfassend lässt sich feststellen, dass Cookies, die im Endgerät der Nutzer gespeichert werden und oft mit der IP-Adresse verknüpft sind, als personenbezogene Daten behandelt werden sollten. Dies führt nicht nur zu einem erhöhten Rechtsschutz für die Nutzer, sondern zwingt auch die Betreiber, ihre Datenschutzpraktiken zu überdenken und anzupassen. Die Entwicklungen in diesem Bereich bleiben weiterhin ein zentrales Thema im digitalen Zeitalter.