Am 9. März 2025 beleuchtet ein aktueller Artikel auf der Webseite der Friedrich-Alexander-Universität Erlangen-Nürnberg die komplexen gesetzlichen Rahmenbedingungen rund um Cookies und deren rechtliche Einstufung als personenbezogene Daten. Im Mittelpunkt steht dabei die Frage, welche Bedeutung die Datenschutz-Grundverordnung (DSGVO) sowie das Telemedien- und Datenschutzgesetz (TTDSG) für die Speicherung und Verarbeitung dieser kleinen Datenspeicher haben.
Cookies sind, vereinfacht gesagt, kleine Textdateien, die Informationen über Nutzer und deren Interaktionen mit Webseiten speichern. Die Einordnung von Cookies als personenbezogene Daten ist seit dem wegweisenden Planet49-Urteil des Bundesgerichtshofs (BGH) im Jahr 2020 unstrittig. In diesem Urteil stellte das Gericht fest, dass Cookies oft personenbezogene Daten enthalten, was die Notwendigkeit einer ausdrücklichen Einwilligung der Nutzer für deren Einsatz nach sich zieht. Dies bedeutet, dass Webseitenbetreiber Cookies nur mit Zustimmung der Nutzer speichern oder auf diese zugreifen dürfen, ausgenommen sind jedoch technisch notwendige Cookies.
Das TTDSG im Kontext der DSGVO
Das TTDSG trat am 1. Dezember 2021 in Kraft und ergänzte die DSGVO, indem es spezifische Regelungen für den Zugriff auf Daten auf Endgeräten festlegte. Es setzt die ePrivacy-Richtlinie um, die zuvor nur unzureichend in deutsches Recht übertragen wurde. Während die EU ein Opt-In-Prinzip vorschreibt, galt vor Inkrafttreten des TTDSG in Deutschland ein Opt-Out-Prinzip, was erhebliche rechtliche Unsicherheiten für Webseitenbetreiber mit sich brachte.
Mit dem TTDSG müssen Webseitenbetreiber sicherstellen, dass Cookies, die nicht technisch notwendig sind, nur mit klarer und informierter Zustimmung der Nutzer verwendet werden. Diese Zustimmung muss durch ein Cookie-Banner eingeholt werden, das den Nutzern alle erforderlichen Informationen, eine Opt-in-Funktion sowie die Möglichkeit zum Widerspruch bietet. Techniken wie „Nudging“ und „Dark Patterns“, die Nutzer zu einer Einwilligung drängen, sind unzulässig.
Rechtliche Konsequenzen und Durchsetzung
Die Durchsetzung der neuen Vorschriften liegt in der Verantwortung der Landesdatenschutzbehörden, die bei Verstößen empfindliche Bußgelder verhängen können – bis zu 300.000 Euro. Erste Urteile in diesem Bereich haben bereits gezeigt, dass rechtswidrige Cookie-Banner zur Sanktionierung führen können. Der bundesweite rechtliche Rahmen für Cookies bleibt kritisch, da nach wie vor Unsicherheiten hinsichtlich seiner praktischen Anwendung bestehen.
Zusammenfassend lässt sich festhalten, dass Cookies in der Flut digitaler Datenströme nicht nur als technische Elemente betrachtet werden sollten, sondern auch als personenbezogene Daten, die rechtlich geschützt sind. Die Entwicklung der gesetzlichen Rahmenbedingungen in Deutschland folgt dabei eng den Vorgaben der europäischen Datenschutzbestimmungen. Aktuelle Debatten und Aufsichtsmaßnahmen zeigen, dass der Schutz der Privatsphäre im digitalen Raum unerlässlich ist und continuer nachdrücklich verfolgt wird.
