Management
shape UP Business 3/2022

Cookie-Frage geklärt

Neues Datenschutzgesetz schließt juristische Grauzone

Seit Dezember 2021 gilt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) – das Gesetz über Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien. Die junge Richtlinie sorgt nach Jahren in der Grauzone endlich für Rechtsklarheit. Mit der Umsetzung hinken viele Fitnessclubbetreiber jedoch hinterher.

Achim Barth
Lesezeit: ca. 7 Minuten
Rutmer Visser / shutterstock.com

Die Webseite deines Clubs ist deine digitale Visitenkarte. Ein Außenstehender kann sofort erkennen, ob du es mit dem Datenschutz ernst meinst. Ein datenschutzfreundlicher Internetauftritt schafft nicht nur Vertrauen, sondern sichert dich auch ab. Denn die Gefahr einer Abmahnung oder einem unangenehmen Brief der Datenschutzaufsichtsbehörde kann mit geringem Aufwand vermieden werden.

Inhaber und Geschäftsführer empfinden das Thema Datensicherheit oft als nervig. Die gesetzlichen Anforderungen klingen kompliziert und die Vorgaben ändern sich regelmäßig. Schließlich reicht es nicht, die Mitgliederverwaltung einmal sauber aufzustellen, um für alle Zeit auf der sicheren Seite zu sein. So schnell, wie die allgemeine Technik sich weiterentwickelt, neue Mobiltelefone auf den Markt kommen und innovative Technologien alte Systeme über Nacht verdrängen, so schnell verändern sich auch die Anforderungen an den Datenschutz – zum Glück. Denn Datenschutz ist Bürgerrecht. Nicht ohne Grund sorgt der Bund daher mit dem neuen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) für mehr informationelle Selbstbestimmung und digitale Privatsphäre der Verbraucher.

Mehr als stille Zustimmung: User müssen aktiv einwilligen

Das TTDSG gilt seit 1. Dezember 2021 parallel zur DSGVO. Ziel der Richtlinie ist es, zu verhindern, dass Systeme unerwünscht auf Informationen zugreifen können, die auf Computern, Tablets oder Smartphones gespeichert sind. Damit sorgt das neue Gesetz nach Jahren der Unsicherheit endlich für Rechtsklarheit. Zusammen mit dem TTDSG gelten seit Dezember auch das neue Telekommunikationsgesetz (TKG) und die Änderungen des Telemediengesetzes (TMG). Ab sofort enthält damit weder das neue TKG, noch das geänderte TMG Datenschutzvorschriften. Diese bündelt seitdem das TTDSG.

Die neuen Vorgaben verändern den beliebten Einsatz von Cookies sowie ähnlicher Tracking-Technologien. §25 TTDSG besagt: Verantwortliche haben ab sofort die Pflicht, Besuchern der eigenen Webseite die faire Wahl zu lassen: Möchten sie in die Nutzung von Cookies einwilligen oder sie verweigern? User müssen dem Tracking aktiv per Klick zustimmen, damit Unternehmen digitale Spuren sammeln dürfen. Es genügt nicht, dass Studiobetreiber es als stille Zusage deuten, wenn Menschen trotz Cookie-Warnung einfach weitersurfen. Das gilt für das gesamte Web. Jedes Fitnessstudio, jede Crossfit-Box und jeder Anbieter für Rehasport mit eigener Website – oder andere Telemedien wie einen Webshop, Blog, Podcast oder Chatroom – muss sich die Vorschriften des neuen TTDSG zu Herzen nehmen.

§25 TTDSG

Abs. 1: Grundsatz der Einwilligungsbedürftigkeit

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

Abs. 2: Eng begrenzte Ausnahmen

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Tracking als Wettbewerbsvorteil

Webtracking an sich bedeutet, Daten zu sammeln, zu speichern und zu nutzen. Entsprechende Programme wie Google Analytics können nahezu jede Aktivität, jede Bewegung, jeden Klick mitschneiden und verarbeiten. Aus diesen Informationen lassen sich individuelle Profile oder statistische Modelle erstellen, um Nutzern etwa personalisierte Werbeangebote auszuspielen. Obwohl dieses Vorgehen eher großen Internetfirmen zugesprochen wird, profitieren auch kleinere Fitnessstudios von diesen getrackten Daten. Betreiber lernen, die Bedürfnisse ihrer potenziellen Kunden und Mitglieder besser zu verstehen und können das eigene Online-Marketing optimieren. Mithilfe der Nutzerverfolgung erkennen Clubbetreiber beispielsweise, von wo Kunden und Mitglieder auf die eigene Seite klicken, ob Anzeigen und Newsletter funktionieren, wie lange sich jemand auf der Homepage umschaut oder welche Angebote er besonders spannend findet.

All diese Informationen dürfen aber eben nur gespeichert werden, wenn User ihr „Go“ geben.

Natürlich kannst du als Studiobetreiber jetzt beschließen, einfach keine Tracking-Tools zu verwenden und das Thema abzuhaken. Ob das klug ist, erscheint jedoch fraglich. Zum einen bleiben mit diesem Rückzug viele potenzielle Datenlecks übrig. Zum anderen verlieren Einrichtungen auf diese Weise schnell den Anschluss an den Wettbewerb und die technologische Entwicklung. Wer in Zukunft mit dem Markt mithalten oder ihm voraus sein will, kommt um Tracking nicht herum und muss sich mit der juristischen Lage auseinandersetzen. Das TTDSG bietet Verantwortlichen die einmalige Chance, Datenschutz und Privatsphäre der Kunden als Wettbewerbsvorteil in ihrer Unternehmens- und Marketingstrategie zu positionieren. Denn ohne Kundeneinwilligung wird es in Zukunft keine personalisierte Werbung und kein Tracking mehr geben, ob mit oder ohne Cookies.

Was Consent-Banner technisch leisten müssen

Nur falls eine aktive Einwilligung vorliegt, dürfen Systeme Verweildauer oder Klickverhalten auf dem Endgerät speichern. Dabei geht es sowohl um die klassischen Geräte wie Smartphones und Notebooks, aber auch um die gesamte Welt des „Internet der Dinge“, wie smarte Systeme zur Hygieneüberwachung, zur digitalen Mitgliederkommunikation oder alle anderen Geräte, die mit dem Internet verbunden sind. Die Zustimmung muss freiwillig, bestimmt, informativ, unmissverständlich sowie ausdrücklich erfolgen und jederzeit widerrufbar sein. Um die Freiwilligkeit sicherzustellen, müssen Webseiten auch ohne Einwilligung in nicht notwendige Cookies funktionieren. Zudem haben Fitnessstudios die Pflicht, ihre User in klarer und verständlicher Sprache über die Funktionsweise ihrer Cookies aufzuklären. Für Details können Systeme auf eine ausführlichere Policy beziehungsweise die Webseiten-Datenschutzhinweise verweisen.

Angekündigt wurde die Richtlinie bereits im Mai 2021, in Kraft getreten ist das TTDSG seit Dezember 2021, gelten wird es mindestens bis 2023. Trotzdem hinken noch immer viele Praxen und Einrichtungen mit der Umsetzung der neuen Anforderungen hinterher. Zwar gibt das neue TTDSG nicht vor, wie genau Unternehmen das Go technisch einholen sollen. Klar ist, dass jede Einwilligung der DSGVO entsprechen muss. Nach verschiedenen Stellungnahmen von Datenschutzbehörden und Verbraucherzentralen zeichnet sich jedoch ein klares Bild zur Umsetzung.

Ein rechtskonformer Consent-Manager sollte folgende Punkte garantieren:

  • Cookies bleiben technisch deaktiviert, bis User ihre Einwilligung erteilen.
  • „Annehmen“- und „Ablehnen“-Button stehen gleichwertig nebeneinander, es gibt hier keine Unterseiten.
  • Nutzer müssen aktiv und eigenständig zustimmen. Das System darf keine Checkbox vorauswählen.
    • Beide Buttons sind optisch neutral gestaltet, kein Button hat eine grellere Farbe oder exotischere Form.
  • User werden umfassend und verständlich informiert. Dazu gehören: Zwecke der einzelnen Tools, Anzahl und Sitz der Anbieter – falls dieser außerhalb der EU liegt.
  • Nutzer haben die Möglichkeit, ihr Einverständnis zu widerrufen.
  • Die Einwilligung ist nachweisbar.

Rundumcheck lohnt sich

Wer sich bisher nicht um eine rechtskonforme Lösung für Cookie-Consent-Banner gekümmert hat, steht spätestens jetzt vor der Pflicht. Und wenn Fitnessstudiobetreiber das Thema angehen, dann am besten vollständig. Ende Dezember 2021 hat die deutsche Datenschutzkonferenz (DSK) eine allgemeine Orientierungshilfe zur Umsetzung der TTDSG-Vorgaben veröffentlicht. Darin geht es um Transparenz, Kongruenz, um konkrete, sich nicht widersprechende Angaben und darum, technische Vorgänge klar zu differenzieren. Du solltest dir also rund um deine Website aktuell und regelmäßig folgende Fragen stellen:

Stimmen die Datenschutzhinweise mit dem überein, was auf der Webseite technisch passiert? Sind die angegebenen Rechtsgrundlagen noch korrekt? Informiert das System über Datentransfers in Drittstaaten, vor allem in die USA? Passen alle Formulare und/oder das verwendete Newsletter-Programm? Geben die Datenschutzhinweise die korrekten Rechtsgrundlagen an? Und ist die Webseite auf dem Stand der nötigen Sicherheitstechnik?

Wegen der komplexen technischen Vorgänge empfiehlt es sich, für diese Punkte Datenschutzprofis ans Werk zu lassen – die sowohl die aktuelle Gesetzeslage kennen, als auch die technische Umsetzung sichern können. Reine Webdesigner sind oft juristisch nicht sattelfest und Rechtsanwälte häufig keine IT-Experten.

Schonfrist für Sanktionen definitiv vorbei

Die neue Rechtsklarheit ruft auch Aufsichtsbehörden und Abmahnanwälte auf den Plan. Wahrscheinlich wegen der unklaren Gesetzeslage hielten sich Behörden mit Sanktionen in diesem Bereich bisher eher zurück. Inzwischen haben sie aber kommuniziert, dass die Schonfrist definitiv vorbei ist. Im schlimmsten Fall drohen bei Mängeln gleich mehrere Konsequenzen: 1. Bußgelder von bis zu 300.000 Euro wegen Verstoßes gegen das TTDSG. 2. Bußgelder wegen Verstoßes gegen die DSGVO. In diesem Fall drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes (vgl. Art. 83 Abs. 4, 5 DSGVO). 3. Abmahnung, wenn kein ordnungsgemäßer Consent-Banner im Einsatz ist. Immer häufiger prangern Wettbewerber andere Betriebe bei lückenhaften IT-Systemen an (§ 3a UWG – Gesetz gegen den unlauteren Wettbewerb).

Du solltest dir vor Augen halten: Deine Studio-Webseite dient als deine digitale Visitenkarte. Hier stellst du dein Angebot ins Schaufenster. Dieser Auftritt soll potenzielle Kunden begeistern, Vertrauen schaffen und Bedenken ausräumen. Damit die Onlineperformance überzeugt, müssen auch die sicherheitstechnischen und rechtlichen Komponenten stimmen. Wer sich nicht an die gesetzlichen Vorgaben hält, bewegt sich wie ein Schwarzfahrer durch das Internet – wobei die Wahrscheinlichkeit, erwischt zu werden und das Vertrauen auf mehreren Ebenen zu verspielen, stetig steigt.

Kostenlose Tools für eine sichere Firmenwebsite

Status-quo-Analyse

Viele Einrichtungen können die Qualität ihrer Website gar nicht bewerten: Erfüllt der Onlineauftritt die gesetzlichen Vorgaben? Reicht das Sicherheitsniveau? Widersteht die Seite Cyberangriffen? Wer es genau wissen will, macht einen kostenlosen Selbsttest, zum Beispiel hier: su.rpv.media/4d4

Alternativen liefern kostenpflichtige Sicherheitsscans, die verschiedene Attacken auf die Homepage simulieren.

DSGVO-Website-Check

Ein professioneller Website-Check gibt Sicherheit und erkennt Lücken. Mit einem kostenfreien Website-Scan der Startseite erhalten Verantwortliche ein klares Feedback und können bei Mängeln gezielt nachrüsten: su.rpv.media/4d3

Bei einem Komplettcheck erhalten Nutzer einen umfassenden Bericht für ihre Dokumentation, inklusive Datenschutzerklärung und Siegel.

Dieser Artikel ist erschienen in

shape UP Business 3/2022

Aktuelle Ausgabe
Erschienen am 22. September 2022