Das TTDSG setzt Vorgaben aus der europäischen Richtlinie 2002/58/EG (ePrivacy-Richtlinie) um. Die ePrivacy-Richtlinie schützt Endgeräte vor fremden Zugriffen unabhängig von der Art der dabei gespeicherten und gelesenen Daten. Das EKD-Datenschutzgesetz (DSG-EKD) schützt personenbezogene Daten, und zwar unabhängig davon, ob sie sich in Endgeräten oder außerhalb von Endgeräten befinden.

Nach der Auffassung des BfD EKD ist das TTDSG das speziellere und strengere Gesetz und geht daher dem DSG-EKD vor. Diese Auffassung hatte der BFD EKD bereits zum „alten“ Telemediengesetz (TMG) vertreten. Die erste Datenerhebung auf dem Endgerät, z.B. das Auslesen oder Schreiben von Daten, fällt daher in den Anwendungsbereich des TTDSG. Darüber hinausgehende Verarbeitungen von personenbezogenen Daten (z.B. die Bildung von Nutzerprofilen, Einbindung externer Dienste) fallen in den Anwendungsbereich des DSG-EKD.

Eine Endeinrichtung bzw. ein Endgerät ist jedes Gerät, das am Internet angeschlossen wird. Dazu gehören Computer, Laptops, Smartphones, aber auch Smart-TVs, Smart-Speaker-Systeme und Smart-Home-Geräte.

Wenn Endgeräte ausschließlich innerhalb eines geschlossenen Firmennetzwerkes genutzt werden, ist eine Einwilligung nicht erforderlich (z.B. Zugriff auf ein Intranetportal innerhalb des internen Netzwerkes). Sobald mit dem Internet kommuniziert wird, sind die Geräte wieder als Endeinrichtungen nach § 25 TTDSG zu behandeln, so dass ggf. eine entsprechende Einwilligung erforderlich ist.

Da das TTDSG dazu keine speziellen Vorschiften enthält, gelten in Bezug auf die Einholung der Einwilligung die allgemeinen Vorgaben aus § 11 DSG-EKD.

An dieser Stelle können wir nur auf einige wichtige Punkte hinweisen, die in der Praxis häufig nicht ausreichend berücksichtigt werden. Diese Punkte sind nicht abschließend.

Es braucht daher eine unmissverständliche und eindeutige Handlung. Stillschweigen oder Untätigbleiben kann keine Einwilligung darstellen. Das reine Surfen auf der Webseite stellt auch keine wirksame Einwilligung da, selbst wenn mittels eines Banners über die Prozesse informiert wird. Insbesondere das Anklicken einer „Okay“- Schaltfläche ist keine unmissverständliche Erklärung. Auch die Bezeichnung „Zustimmen“ oder „Ich willige ein“ kann im Einzelfall nicht ausreichend sein, wenn der begleitende Informationstext nicht eindeutig benennt, wozu die Einwilligung erteilt wird.

Es muss auf eine transparente Ausgestaltung des Cookies-Banners geachtet werden. Damit eng verbunden ist das Merkmal der Informiertheit. Den Nutzenden muss der Zweck des Zugriffs auf ihre Endgeräte und die beteiligten Akteure ausreichend erkennbar sein. Den Nutzenden muss durch die Gestaltung des Banners deutlich werden, welche Effekte sie durch das Klicken auf eine Schaltfläche erzielen. Der Aufwand einer Ablehnung eines einwilligungsbedürftigen Prozesses darf nicht höher sein als der Aufwand für die Erteilung der Einwilligung. Der Hinweis „Um Ihnen ein besseres Nutzererlebnis bieten zu können, verwenden wir Cookies“ ist zu allgemein.

Der Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung. Wird eine Einwilligung bei Nutzung einer Webseite erteilt, muss daher auch der Widerruf auf diesem Weg möglich sein. Ein Widerrufsweg über Fax, E-Mail oder per Brief entspricht in diesem Fall nicht den Vorgaben. Auch wenn zur Abgabe des Widerrufs eine Datenschutzerklärung aufgerufen werden muss, in der zu einem bestimmten Punkt gescrollt werden muss, während die Einwilligung über ein Banner erfolgte, entspricht diese Verfahrensweise nicht den Vorgaben.

Die Einwilligung ist nur dann freiwillig abgegeben, wenn die Nutzenden eine echte Wahl haben. Daher besteht keine Freiwilligkeit, wenn Nutzende sich zur Einwilligung gedrängt fühlen oder bei fehlender Einwilligung negative Auswirkungen erdulden müssen. Eine Einwilligung wird durch jede Form unangemessenen Drucks oder Einflussnahme auf die betroffene Person unwirksam.

In der Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021 wird sehr genau erläutert, was bei der Gestaltung eines Cookie-Banners beachtet werden muss.

Ja, auch kirchliche und diakonische Arbeitgeber können unter das Fernmeldegeheimnis fallen, wenn bestimmte Voraussetzungen vorliegen. Der Arbeitgeber ist Telekommunikationsanbieter, wenn sie ganz oder teilweise geschäftsmäßig Telekommunikationsdienste anbieten, also wenn sie ein nachhaltiges Angebot für Dritte mit oder ohne Gewinnerzielungsabsicht anbieten, z.B. die Bereitstellung von eigenen Messengerdiensten für externe Personen.

Aus technischer Sicht ist es möglich, erforderliche Cookies erst bei Inanspruchnahme des jeweiligen Dienstes zu setzen, also z.B. erst, wenn man sich auf einer Webseite anmeldet oder ein Produkt in den Warenkorb legt.

Im Folgenden werden einige Beispiele für erforderliche und nicht erforderliche Cookies zu bestimmten Zwecken aufgeführt. Für nicht erforderliche Cookies muss vor deren Speicherung eine Einwilligung eingeholt werden. Auch wenn technisch notwendige Cookies keiner Einwilligung bedürfen, müssen sie in der Datenschutzerklärung aufgeführt werden.

Basiszwecke einer Webseite:

Diese umfassen das Bereitstellen von Informationen für den Nutzenden wie Texte, Bilder und Videos auf einem Webserver.

Technisch erforderliche Voraussetzung ist nur die Übermittlung der IP-Adresse, ohne die der Informationsaustausch nicht funktionieren würde. Cookies sind für diesen Zweck grundsätzlich nicht erforderlich.

Technische Zwecke:

Lastverteilung

Die Funktion ist bei Webservern mit großen Internetauftritten und sehr vielen gleichzeitigen Besuchern sinnvoll. Wenn ein solches System zur Lastverteilung eingesetzt wird, können die Cookies technisch erforderlich sein.

Speicherung der erstmaligen Cookie-Entscheidung in einem Cookie

Es erfolgt eine Nutzungsoptimierung beim Vorhandensein von „einwilligungspflichtigen“ Cookies, damit die Abfrage bei einem erneuten Besuch nicht wiederholt werden muss. Ein solches Cookie ist nicht erforderlich.

Erweiterte Zwecke (Bereitstellung spezieller Funktionen und Dienste):

Optimierung der Webseite für Nutzende

Die Berücksichtigung von Präferenzen der Nutzenden (z.B. Spracheinstellung, Textgröße, leichte Sprache) ist das Setzen von Cookies realisierbar. Bei erneutem Aufruf der Seiten werden die Präferenzen abgerufen und zur Verfügung gestellt. Das können entweder „Sitzungs“ oder „permanente“ Cookies sein. Falls die Nutzenden eine solche Funktion verwenden möchte, ist der Cookie in diesem Fall erforderlich.

Bereitstellung spezieller Informationen und Dienste nach Anmeldung

Üblich ist ein „Session“-Cookie für die Dauer des Verweilens auf allen Seiten dieses geschützten Bereiches bis zur Abmeldung und zum Schließen des Browsers. Ein Session-Cookie ermöglicht dem Webserver die Unterscheidung der verschiedenen Nutzer, die gleichzeitig auf die Webseiten zugreifen. Der Browser sendet den Cookie bei jedem Zugriff vom Endgerät. Dadurch muss der Anwender zum Beispiel nicht bei jedem Seitenaufruf seine Anmeldedaten erneut eingeben. Der Cookie gilt nur für die aktuelle Browser-Sitzung. Während der Nutzung dieser zugangsbeschränkten Seiten ist ein solches Cookie erforderlich.

Warenkorb-Funktionen

Um das Einkaufsverhalten während des Surfens in einem Shop zu speichern, kann ein Warenkorb-Cookie bis zum erfolgreichen Abschluss einer Bestellung oder auch bis zur Abmeldung bzw. dem Schließen des Browsers gesetzt werden. Während des Einkaufes kann dieser Cookie erforderlich sein.

Formularfunktionen

Das Ausfüllen von mehrseitigen Formularen und das temporäres Speichern von Nutzereingaben kann über sogenannte „Session-Cookies“ gesteuert werden und ist damit auf diesen Formularseiten erforderlich.

Bezahlfunktionen (Spenden, Bezahlvorgang im Shop u.ä.)

Entsprechende Cookies können während des Bezahlvorgangs erforderlich sein.

Personalisierungsfunktionen

Diese sind z.B. für individuell angepasste Werbung grundsätzlich nicht erforderlich.

Analysefunktionen

Diese sind generell kein „Wunsch“ der Nutzenden, sondern der Anbieter u nicht erforderlich.

Einbindung vom „Drittanbietern“ (z.B. Youtube Videos, Google-Dienste wie Google Maps)

Cookies werden häufig durch diese Fremdanbieter gesetzt und ausgelesen. Diese Zusatzdienste sind nicht erforderlich.

Es gibt Softwareprodukte zur Webseitenanalyse, welche auch ohne Cookies auskommen, wie z.B. Matomo. Hier muss genau geprüft werden, welche Technologie dabei zum Einsatz kommt.

Eine weit verbreitete Methode ist das sogenannte „Fingerprinting“, hierbei werden verschiedene Daten des Endgerätes eines Webnutzers, etwa Betriebssystem-Version, installierte Plugins, Auflösung oder installierte Schriften genutzt. Ein Algorithmus kann daraus individuelle Nutzerprofile ableiten, so dass Nutzer eindeutig identifizierbar werden. Diese Methode bedarf einer Einwilligung nach § 25 TTDSG, wenn zusätzliche Informationen, die nicht standardmäßig bei jedem Aufruf einer Internetseite übermittelt werden, aus dem Endgerät ausgelesen werden.

Eine andere Möglichkeit ist die Logfile-Analyse. Standardmäßig schreibt jeder Webserver aus Sicherheitsgründen ein Logfile, in dem diverse Informationen zu jedem Aufruf jeder Internetseite abgelegt werden. Wenn eine Anonymisierung (Kürzung) der IP-Adressen vorgenommen wird, können diese Informationen für statistische Auswertungen über die Webseitennutzung datenschutzkonform genutzt werden. Eine Einwilligung der Webseitennutzer ist in diesen Fällen nicht erforderlich. Allerdings sollte die Webseitenanalyse in der Datenschutzerklärung aufgeführt werden.