DSGVO & TTDSG – put your website to the test!
Erhalten Sie in 60 Sekunden das Ergebnis vom Cookie-Scanner # 1 in Deutschland!
Die zentrale Aussage des TTDSG zu Cookies
"Eine Ausnahme von einer Einwilligungspflicht nach Abs. 2 TTDSG besteht, wenn....die Speicherung und der Zugriff unbedingt erforderlich ist, damit der Telemediendienst zur Verfügung gestellt werden kann...."
TTDSG
Das neue Datenschutzgesetz - TTDSG
Die Abkürzung TTDSG steht für das neue Telekommunikation-Telemedien Datenschutz-Gesetz, welches ab dem 01.12.2021 in Kraft tritt. Durch das TTDSG werden die Vorgaben der europäischen E-Privacy-Richtlinie in deutsches Recht umgesetzt.
Das Ziel des neuen Gesetzes ist es Rechtsunsicherheiten zu beseitigen, die durch die Co-existenz von DS-GVO, TMG und TKG entstanden sind. Aufgrund dessen wird eine erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DS-GVO) vorgenommen. Demnach werden die Datenschutzbestimmungen von TKG und TMG in einem neuen Gesetz (TTDSG) zusammengefasst.
Laut § 25 Abs. 1 TTDSG benötigt man grundsätzlich eine Einwilligung bei Zugriff auf Verkehrsdaten oder einer Datenspeicherung auf dem Endgerät des Endnutzers (wie der PC, das Smartphone oder Tablet).
Diese Regelungen sind eng an die Vorgaben der DSGVO geknüpft und setzen die RICHTLINIE 2002/58/EG (Art. 5 Abs. 3) in deutsches Recht um. Eine weitere Verarbeitung über die in § 9 Abs. 1 TTDSG genannten Zwecke hinaus schließt der Gesetzgeber in § 17 Abs. 1 S. 3 TTDSG nun – anders als das TKG – ausdrücklich aus und begrenzt somit mögliche Handlungsspielräume von Dienstanbietern.
Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung jedoch unberührt.
Sie wollen Ihre Webseite Compliant machen?
Dann sind Sie bei uns richtig! Füllen Sie unseren kurzen Fragebogen aus und wir erstellen Ihnen ein für Ihre Anforderungen passendes Angebot zusammen.
DSGVO Website Check
Häufige Fragen zum DSGVO Website Check
Der Cookiebox Quickcheck ist ein Analyse Tool, welches Webseiten durch einen simulierten realen Websitebesuch scannt, um darin integrierte Cookies und Drittanbieterservices zu detektieren.
Das Tool aktiviert durch scrollen und klicken wie es ein realer Websitenutzer tun würde sämtliche Cookies und Tracker auf der Seite – ohne seine Zustimmung zu erteilen. Dabei werden alle gefundenen Links, Drittanbieter-Anfragen und gesetzen Cookies für jeden Link abgespeichert und auf ihre technischen Eigenschaften hin kategorisiert und analysiert, auf welche NutzerInnen hingewiesen werden müssen.
Wenn Sie die Meldung „Es besteht Handlungsbedarf!“ sehen, ist das erstmal kein Grund zur Panik. Das bedeutet, dass Sie auf Ihrer Website einen oder mehrere Services eingebunden haben, die Cookies auf den Endgeräten Ihrer WebsitebesucherInnen setzen. Für die meisten dieser Services benötigen Sie die explizite Einwilligung Ihrer WebsitebesucherInnen, welche Sie sich ganz einfach über eine Consent-Management-Plattform (auch als Cookie Banner bekannt) einholen können.
Wenn es sich um einen Service handelt, für den Sie keine Einwilligung benötigen, müssen Sie dennoch darüber informieren und diesen in Ihrer Datenschutzerklärung aufführen (Stichwort: Informationspflicht). Auch wenn diese Services auf Ihrer Website nicht sichtbar sind, verarbeiten sie im Hintergrund Daten.
Nein, unser automatisches Cookie Quick Audit überprüft Ihre Website nicht vollumfänglich bzw. in der kostenlosen Variante werden bis zu drei URLs gescannt. Deshalb können wir – auch bei positivem Ergebnis des Quick Audits – nicht ausschließen, dass Ihre Website nicht datenschutzkonform betrieben wird.
Das Quick Audit soll und kann keine datenschutzrechtliche Beratung ersetzen, da die Prüfung ohne weitere Angaben automatisiert und somit softwarebasiert erfolgt. Wir können jedoch – anders als bei unseren vertraglichen Serviceleistungen – keine Haftung für unser Cookiebox Quick Audit übernehmen.
Es kann vorkommen, dass der Cookiebox-Scanner nicht alle URL erfassen kann. Das liegt daran, dass manche Seiten Ihrer Website aufgrund eines 404 Fehlers nicht erreichbar sind.
Sprechen Sie uns an.
Wir beraten Sie gerne
+49 251 95 20 37 - 40
Ihr Ansprechpartner
Jörg ter Beek
+49 251 95 20 37 - 40
[email protected]
Ihr Datenschutzbeauftragter
- zehnjährige Praxiserfahrung
- TÜV-zertifizierter Datenschutzbeauftragter
- ISMS-Auditor
- Expertise in Datenschutzberatung und IT-Security
Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.
CMP vs. DSE
Informationspflicht vs. Einwilligungspflicht
Alle Services, die wir durch den Scan finden, werden aufgeteilt in einwilligungspflichtig und informationspflichtig. Dies ist die Grundlage für die Erstellung einer rechtssicheren CMP (Consent-Management-Platform) und DSE (Datenschutzerklärung). Einwilligungspflichtige bzw. Opt-In-pflichtige Services gehören in die CMP.
Häufige Fragen zu Cookies und Cookie Kategorien
Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden. Diese Informationen werden bei späteren Besuchen wieder ausgelesen und dienen dazu, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.
Der wichtigste Part ist die rechtliche Zuordnung der Cookies in Cookie-Kategorien, sodass Sie die Balance zwischen Recht und Marketing halten können. Die gefundenen Services kategorisieren wir auf Grundlage der europäischen Datenschutzgrundverordnung (EU-DSGVO). Unsere TÜV-zertifizierten Datenschutzexperten und -expertinnen berücksichtigen dabei aktuelle Rechtsprechungen und Cookie Richtlinien.
Diese Unterteilung soll den Zweck der Datenverarbeitung deutlich machen, denn dieser ist außerdem entscheidend dafür, ob ein Opt-In (also die Zustimmung durch das Setzen eines Häkchens) im Cookie Banner voreingestellt sein darf oder nicht. Denn bei den essentiellen Cookies ist es so, wie der Name schon sagt, dass die Website ohne diese Cookies nicht funktionsfähig ist.
Diese müssen zwar im Cookie Banner auftauchen, benötigen jedoch keine Einwilligung. Alle anderen Kategorien sind jedoch aus unserer Sicht datenschutzrechtlich kritischer zu betrachten.
Die Zuordnung zu den unterschiedlichen Cookie Kategorien ist außerdem sinnvoll, da NutzerInnen so die Möglichkeit haben, Ihre Einwilligung granular zu erteilen. Das bedeutet, dass sie beispielsweise der Nutzung von YouTube-Videos zustimmen, aber die Datenverarbeitung durch Facebook ablehnen können – anstatt alles akzeptieren oder ablehnen zu müssen.
Den NutzerInnen wird somit mehr Selbstbestimmung zugestanden und Sie als WebsitebetreiberIn profitieren von jedem Service, der erlaubt wird. Ein Cookie Banner mit granularer Zustimmungsfunktion ist also entscheidend.
Cookie Banner Konfiguration und Cookie Kategorien
Damit das Consent Management korrekt verläuft und keine Nutzerdaten unerlaubt erhoben werden, muss das Consent-Management-Tool korrekt konfiguriert werden. Dafür ist es zunächst wichtig, ein CMP-Tool zu wählen, welches über alle wichtigen Funktionen verfügt, die für die Einhaltung der Datenschutzrichtlinien notwendig sind.
Auf einen Bick: Diese Kriterien muss ein Cookie Banner erfüllen
Die Rechtsgrundlage zu den Cookie Richtlinien kann hier nachgelesen werden.
Darüber hinaus ist es wichtig, die vorhandenen datenverarbeitenden Services den richtigen Kategorien zuzuordnen.
Kategorien der verwendeten Cookies
Welche Arten von Cookies gibt es eigentlich? Und über welche Cookies muss mein Cookie Banner informieren?
Technisch notwendige Cookies
Unbedingt erforderliche Cookies sind dafür da, dass die Website, beziehungsweise der Dienst funktionsfähig und nutzbar ist. Diese Cookies werden von dem Websitebetreiber ausgespielt (First Party Cookies) und die gesammelten Informationen werden nur an diese Website gesendet.
Performance Cookies
Mit den Performance Cookies wird das Nutzerverhalten analysiert. So kann z.B. festgestellt werden, welche Unterseiten auf einer Website besucht werden.
Funktionale Cookies
Die Funktonalen Cookies ermöglichen dem User einer Website verbesserte und personalisierte Funktionen zu nutzen, zum Beispiel indem der Benutzername oder die Sprachauswahl gespeichert werden; diese Cookies sammeln und speichern ausschließlich anonymisierte Informationen.
Marketing- / Third Party-Cookies
Marketing- / Third Party -Cookies werden unter anderem auch von externen Werbeunternehmen verwendet, um zielgruppenorientierte Werbung für die User zu erstellen; die Cookies werden genutzt, um Informationen über den Nutzer zu sammeln.
Weitere häufige Fragen zum Thema Web-Compliance
Bereits ein einziger datenverarbeitender Drittanbieter-Service kann dazu führen, dass Ihre Website laut unserem Scan-Report nicht datenschutzkonform ist. Dabei handelt es sich um die Einschätzung unserer Datenschutzexperten und -expertinnen auf der Grundlage der europäischen Datenschutzgrundverordnung sowie der nationalen Gesetze und aktuellen Rechtssprechungen.
Für Drittanbieter Services, die Daten Ihrer WebsitebesucherInnen verarbeiten, gibt es zwei mögliche Rechtsgrundlagen: die informierte Einwilligung der NutzerInnen via Cookie Banner oder das "berechtigte Interesse", über welches Sie in der Datenschutzerklärung informieren müssen.
Wenn Sie auf Ihrer Website beispielsweise durch den Einsatz bestimmter PlugIns Drittanbieter-Services wie Google Analytics, Mailchimp oder Typeform (um ein paar zu nennen) verwenden, ermöglichen Sie diesen durch die Hintertür den Zugang zu Ihrer Website – wo sie personenbezogene Daten verarbeiten.
Wenn Sie verhindern möchten, dass zahlreiche bekannte Drittanbieter gefunden wurden, die ohne Einwilligung der NutzerInnen Daten verarbeiten sollten Sie zunächst einmal nach dem Prinzip der Datensparsamkeit überlegen, welche Services Sie wirklich benötigen und ob es datenschutzfreundlichere Alternativen gibt. Als nächstes sollten Sie diese in Ihr CMP integrieren. Dafür ordnen Sie die Services den entsprechenden Kategorien zu.
Es kommt vor, dass ein Service mehreren anderen Diensten (unerlaubt) die Tür öffnet. Das Youtube-Cookie bringt beispielweise gerne weitere Service mit auf die (3rd) Party. Das liegt daran, dass YouTube ein Google-Dienst ist. Die gute Nachricht: Binden Sie den initialen Service richtig in Ihr Consent Management ein, verschwinden automatisch alle anderen Webservices – und das Ergebnis sieht sofort viel freundlicher aus.
Externer Datenschutzbeauftragter
Beratung durch den Datenschutzexperten
Die Ergebnisse bilden den möglichen Aufbau einer Consent-Management-Platform ab. So können Sie auf dieser Grundlage Ihren Cookie Banner erstellen und anpassen.
Mithilfe des kostenlosen Best Practice Guide erhalten Sie weitere Handlungsempfehlungen, Tipps zur Auswahl des Consent Management Tools , zur Datenschutzerklärung und vieles mehr.
Wir beraten Unternehmen an folgenden Standorten
Wir unterstützen Sie als externer Datenschutzbeauftragter unter anderem in folgenden Städten und den dazugehörigen Regionen (remote und/oder vor Ort):
Berlin, München, Hamburg, Münster, Düsseldorf, Köln, Frankfurt, Leipzig, Dortmund, Bochum, Bielefeld, Bonn, Bremen, Essen, Freiburg, Hannover, Osnabrück, Würzburg, Dresden, Stuttgart uvm.
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte