Neuer Rechtsrahmen für Cookies beschlossen
Strafrechtsschutzversicherung für Unternehmer
Die wichtigsten Regeln der neuen Cookie-Richtlinie im Überblick
In dieser Woche tagte nicht nur das Corona-Kabinett. Abseits der gleichbleibend gültigen Kontaktbeschränkungen verabschiedete die Koalition außerdem den Entwurf für ein Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG). Neu ist dieser Entwurf nicht. Bereits 2009 wurde die EU-Cookie-Richtlinie (2009/136/EG) verabschiedet, um europaweit einheitliche Regeln für den Einsatz von Cookies durchzusetzen.
Tatsächlich angewandt wurde die EU-Richtlinie in Deutschland bis zum vergangenen Mittwoch jedoch nicht. In der Praxis bedeutete dies in der Vergangenheit vor allem juristische Auseinandersetzungen aufgrund unterschiedlicher nationaler Bestimmungen über deren Trag- und Reichweite.
Es bedurfte erst einer Forderung des Bundesgerichtshofs (BGH) im Mai 2020, um die Verhandlungen wieder aufzunehmen und zum Abschluss zu führen. Vorbehaltlich der Zustimmung des Bundestags wird die Cookie-Richtlinie doch noch in deutsches Recht umgesetzt.
Was müssen Unternehmen beim Einsatz von Cookies beachten?
Gemäß TTDSG dürfen Cookies nur dann gespeichert werden, wenn die Endnutzer darüber gemäß der EU-Datenschutz-Grundverordnung (DSGVO) informiert wurden und ausdrücklich eingewilligt haben:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
Es drohen empfindliche Geldbußen, falls Unternehmen dagegen verstoßen:
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 24 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift. Die Ordnungswidrigkeit kann (...) mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.
- § 26 TTDSG Bußgeldvorschriften
Du musst Nutzern die einfachste Option zur Einwilligung ermöglichen bzw. zum Widerspruch. Im ursprünglichen Entwurf der Cookie-Richtlinie war die Möglichkeit vorgesehen, dass Nutzer die Einwilligung durch eine spezifische Einstellung im Browser oder eine andere Anwendung erteilen können. Diese Option wurde im neuen Entwurf des Telemediengesetzes gestrichen.
Weitere aktuelle sicherheitsrelevante Beschlüsse für Unternehmen
Bestandsdatenauskunft gemäß "Reparaturgesetz" in der Kritik
Am 28. Januar wurde ein weiteres umstrittenes Gesetz im Bundestag beschlossen. Das "Reparaturgesetz" passt die Regeln für die Bestandsdatenauskunft an die Vorgaben des Bundesverfassungsgerichts (BVerfG) an. Die gesamte Opposition lehnte den Entwurf ab und stimmte dagegen.
Strittige Punkte sind besonders die weit gefassten Befugnisse von BKA, Bundespolizei und Zollfahndung, die bei Anbietern von Telemediendiensten wie WhatsApp, eBay, Facebook, Google mit Gmail und YouTube bis hin zu Tinder sensible Daten abfragen dürfen.
Ganz konkret wenn es "zur Verfolgung besonders schwerer Straftaten nach § 100b Absatz 2 der Strafprozessordnung" notwendig ist, aber auch, "zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand des Bundes oder eines Landes".
Kennungen, mit denen der Zugriff auf Nutzerkonten, Endgeräte und auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, müssen Dienstleister auf Forderung der genannten Auskunftsberechtigten ab sofort offenlegen. Namen hinter IP-Adressen dürfen BKA und Bundespolizei nur dann ersuchen, wenn eine aktuelle oder drohende "Gefahr für ein Rechtsgut von hervorgehobenem Gewicht" vorliegt. Für das Zollkriminalamt (ZKA) gelten vergleichbare Bedingungen. (vgl. den Original-Beitrag von Heise am 29. Januar 2021)
"IT-Sicherheitsgesetz 2.0" für KRITIS-Sektoren
Hauptsächlich für Betreiber Kritischer Infrastrukturen (KRITIS-Sektoren) sowie für Unternehmen im besonderen öffentlichen Interesse gilt das neue IT-Sicherheitsgesetz 2.0. Dessen im Bundeskabinett bereits zum Jahresende 2020 beschlossener Entwurf wird nach Kritik aus einzelnen Wirtschaftsverbänden aktuell überarbeitet. Nach Auskunft des Bundesinnenministeriums (BMI) ist u.a. geplant, in einer Rechtsverordnung Schwellenwerte auszuweisen, anhand derer Unternehmen feststellen können, ob sie von den geplanten Neuregelungen betroffen sind.
Das IT-Sicherheitsgesetz will systemkritische Unternehmen und Wirtschaftszweige besser vor Industriespionage und Hacking schützen. Dafür werden auch die Unternehmen selbst in die Pflicht genommen. Die 100 umsatzstärksten Firmen in Deutschland sollen u.a. dazu verpflichtet werden, alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) abzugeben.
Bild-Urheber:
iStock.com/3alexd