12.02.2021

Neuer Rechtsrahmen für Cookies beschlossen

Das Bundeskabinett beschließt das Telekommunikations-Telemedien-Datenschutz-Gesetz. Alles über die neue Cookie-Richtlinie. Das Speichern von Cookies ist künftig nur dann erlaubt, wenn Endnutzer darüber gemäß EU-Datenschutz-Grundverordnung (DSGVO) informiert wurden und ausdrücklich eingewilligt haben.

Strafrechtsschutzversicherung für Unternehmer

Die wichtigsten Regeln der neuen Cookie-Richtlinie im Überblick

In dieser Woche tagte nicht nur das Corona-Kabinett. Abseits der gleichbleibend gültigen Kontaktbeschränkungen verabschiedete die Koalition außerdem den Entwurf für ein Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG). Neu ist dieser Entwurf nicht. Bereits 2009 wurde die EU-Cookie-Richtlinie (2009/136/EG) verabschiedet, um europaweit einheitliche Regeln für den Einsatz von Cookies durchzusetzen. 

Tatsächlich angewandt wurde die EU-Richtlinie in Deutschland bis zum vergangenen Mittwoch jedoch nicht. In der Praxis bedeutete dies in der Vergangenheit vor allem juristische Auseinandersetzungen aufgrund unterschiedlicher nationaler Bestimmungen über deren Trag- und Reichweite.

Es bedurfte erst einer Forderung des Bundesgerichtshofs (BGH) im Mai 2020, um die Verhandlungen wieder aufzunehmen und zum Abschluss zu führen. Vorbehaltlich der Zustimmung des Bundestags wird die Cookie-Richtlinie doch noch in deutsches Recht umgesetzt.

Was müssen Unternehmen beim Einsatz von Cookies beachten?

Gemäß TTDSG dürfen Cookies nur dann gespeichert werden, wenn die Endnutzer darüber gemäß der EU-Datenschutz-Grundverordnung (DSGVO) informiert wurden und ausdrücklich eingewilligt haben:

Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen. 

- vgl. Paragraf 24 des neuen TTDSG (S. 25/43 im PDF)

Es drohen empfindliche Geldbußen, falls Unternehmen dagegen verstoßen:

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 24 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift. Die Ordnungswidrigkeit kann (...) mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.

- § 26 TTDSG Bußgeldvorschriften 

Du musst Nutzern die einfachste Option zur Einwilligung ermöglichen bzw. zum Widerspruch. Im ursprünglichen Entwurf der Cookie-Richtlinie war die Möglichkeit vorgesehen, dass Nutzer die Einwilligung durch eine spezifische Einstellung im Browser oder eine andere Anwendung erteilen können. Diese Option wurde im neuen Entwurf des Telemediengesetzes gestrichen.

Weitere aktuelle sicherheitsrelevante Beschlüsse für Unternehmen

Bestandsdatenauskunft gemäß "Reparaturgesetz" in der Kritik

Am 28. Januar wurde ein weiteres umstrittenes Gesetz im Bundestag beschlossen. Das "Reparaturgesetz" passt die Regeln für die Bestandsdatenauskunft an die Vorgaben des Bundesverfassungsgerichts (BVerfG) an. Die gesamte Opposition lehnte den Entwurf ab und stimmte dagegen.

Strittige Punkte sind besonders die weit gefassten Befugnisse von BKA, Bundespolizei und Zollfahndung, die bei Anbietern von Telemediendiensten wie WhatsApp, eBay, Facebook, Google mit Gmail und YouTube bis hin zu Tinder sensible Daten abfragen dürfen. 

Ganz konkret wenn es "zur Verfolgung besonders schwerer Straftaten nach § 100b Absatz 2 der Strafprozessordnung" notwendig ist, aber auch, "zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand des Bundes oder eines Landes". 

Kennungen, mit denen der Zugriff auf Nutzerkonten, Endgeräte und auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, müssen Dienstleister auf Forderung der genannten Auskunftsberechtigten ab sofort offenlegen. Namen hinter IP-Adressen dürfen BKA und Bundespolizei nur dann ersuchen, wenn eine aktuelle oder drohende "Gefahr für ein Rechtsgut von hervorgehobenem Gewicht" vorliegt. Für das Zollkriminalamt (ZKA) gelten vergleichbare Bedingungen. (vgl. den Original-Beitrag von Heise am 29. Januar 2021)

"IT-Sicherheitsgesetz 2.0" für KRITIS-Sektoren

Hauptsächlich für Betreiber Kritischer Infrastrukturen (KRITIS-Sektoren) sowie für Unternehmen im besonderen öffentlichen Interesse gilt das neue IT-Sicherheitsgesetz 2.0. Dessen im Bundeskabinett bereits zum Jahresende 2020 beschlossener Entwurf wird nach Kritik aus einzelnen Wirtschaftsverbänden aktuell überarbeitet. Nach Auskunft des Bundesinnenministeriums (BMI) ist u.a. geplant, in einer Rechtsverordnung Schwellenwerte auszuweisen, anhand derer Unternehmen feststellen können, ob sie von den geplanten Neuregelungen betroffen sind. 

Das IT-Sicherheitsgesetz will systemkritische Unternehmen und Wirtschaftszweige besser vor Industriespionage und Hacking schützen. Dafür werden auch die Unternehmen selbst in die Pflicht genommen. Die 100 umsatzstärksten Firmen in Deutschland sollen u.a. dazu verpflichtet werden, alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) abzugeben. 

Rechtsgrundlagen für digitales Unternehmertum

Urheberrecht: Historische Reform oder Bärendienst?

Bundeskabinett verabschiedet Urheberrechtsreform. Alles über digitale Leistungsschutzrechte, Vergütungsansprüche für Kreative und Bagatellregeln. Die "größte europäische Urheberrechtsreform der letzten zwanzig Jahre" muss bis Juni 2021 in deutsches Recht umgesetzt werden. Branchenverband Bitkom bezweifelt den ganz großen Wurf.

Standardvertragsklauseln: Dein neues Privacy Shield

Der EuGH kippt das Privacy Shield Abkommen. Nutze Standardvertragsklauseln als Rechtsgrundlage für personenbezogenen Datentransfer in Drittstaaten. Erfahre hier, welche EU-Standardverträge Unternehmen jetzt nutzen können und worauf du bei Abschluss der Verträge besonders achten musst.

iStock-1025838426

Die EU-Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Sie ersetzt damit in den grundlegenden Bereichen das bis dato bestehende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Nationale Handlungsspielräume sind durch Öffnungsklauseln darüber hinaus weiterhin gegeben.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt. Neue Ideen und Konzepte, disruptive Technologien und nachhaltiges Unternehmertum bilden ihre Interessenschwerpunkte. Zuvor war Kathleen als Redakteur für die Social Startup-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig.

Bild-Urheber:
iStock.com/3alexd