„Cookie-Gesetz“ und neue Standardvertragsklauseln

27.10.2021
Datenschutzrecht
3 Minuten

I. „Cookie-Gesetz“ ab 01.12.2021 – Aktive Einwilligung in Datenspeicherung zwingend!

Das Setzen von Cookies (Speichern oder Abrufen von Informationen) ist auf jeglichem Gerät mit Internetverbindung grundsätzlich nur unter freiwilliger und informierter Einwilligung zulässig.

Was ändert sich?

Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) setzt insbesondere Art. 5 Abs. 3 der aus 2009 (!) stammenden „Cookie-Richtlinie“ um und übernimmt aus dieser Regelung fast wortlautgleich das Erfordernis der informierten, aktiven Einwilligung für jedes Speichern oder Abrufen von Informationen auf internetfähigen Endgeräten.
In praktischer Hinsicht ändert sich jedoch nichts, da lediglich die derzeit gängige Praxis zur Einholung von Cookie-Einwilligungen gesetzlich verankert wird. Im Wesentlichen trägt die Neuregelung daher zur Rechtssicherheit bei und verschafft Klarheit.

Ab wann gilt die Neuregelung?

Das Gesetz tritt am 1. Dezember 2021 in Kraft.

Wann genau ist eine Einwilligung erforderlich?

Eine Einwilligung ist erforderlich, wenn der Anbieter der Website oder App Informationen auf dem Gerät des Nutzers speichern oder darauf zugreifen möchte. Der Begriff „Gerät“ ist dabei weit auszulegen, so dass die Internetfähigkeit die einzige Voraussetzung ist (Bsp.: Smartphones, Notebooks).

Welche Anforderungen sind an die Einwilligung zu stellen?

Eine Einwilligung des Nutzers hat nach den Vorgaben der DSGVO unter folgenden Voraussetzungen zu erfolgen: (1) Freiwillig: Die Einwilligung darf nicht unter Zwang erfolgen. Das bedeutet, dass der Nutzer die Einwilligung auch verweigern oder zurückzuziehen dürfen muss, ohne Nachteile zu erleiden. (2) Aktiv: Der Nutzer muss unmittelbar einwilligen durch Setzen eines Hakens bzw. eigenständiges Handeln, das nicht im bloßen Unterlassen liegt. Voreingestellte Ankreuzkästchen sind demzufolge unzulässig. (3) Informiert: Dem Nutzer muss die Datenverarbeitung (insbesondere die Rechtsgrundlagen), der Verarbeitungszweck, die Funktionsdauer der Cookies und der Zugriff von Dritten klar umfassend vorab erläutert werden.

Was passiert, wenn ich nichts mache?

Der Verstoß gegen das Einwilligungserfordernis stellt eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann.

Was sollte ich jetzt tun?

Jeder Anbieter einer Website oder App, die Daten ihrer Nutzer speichert oder darauf zugreift, sollte überprüfen, ob die Anforderungen an die Einwilligung gewahrt werden. Ist dies der Fall, besteht kein Handlungsbedarf. Ist dies hingegen nicht der Fall, sollte angesichts der neu geschaffenen Klarheit schnell gehandelt werden, da die rechtliche Verfolgung von Verstößen nun deutlich leichter sind.
Wir überprüfen gerne Ihre Website oder sonstige Applikation auf rechtskonforme Umsetzung der Vorgaben und helfen gegebenenfalls bei der Optimierung.

II. „Standardvertragsklauseln“

Ab sofort sind neue Standardvertragsklauseln bei internationalen Datentransfers zu verwenden.

Warum gibt es neue Standardvertragsklauseln?

Der Europäische Gerichtshof (EuGH) hat im Juli 2020 das sog. EU-US Privacy Shield, das als Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA fungierte, für ungültig erklärt („Schrems II – Entscheidung“). Vor diesem Hintergrund hat die EU-Kommission die Standardvertragsklauseln an die Vorgaben des EuGH-Urteils angepasst, um eine rechtssichere Übertragung von personenbezogenen Daten in die USA zu ermöglichen.

Was ist Inhalt der neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln bestehen aus verschiedenen Modulen, die unterschiedliche Konstellationen abdecken. So finden sich Regelungen zu Datenübermittlungen zwischen datenschutzrechtlich Verantwortlichen. Auch Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter sowie von diesen an weitere Auftragsverarbeiter sind erfasst.
Die unterschiedlichen Module können je nach konkreter Ausgestaltung des zugrundeliegenden Datentransfers verwendet oder weggelassen werden, so dass die Standardvertragsklauseln daher flexibel eingesetzt werden können. Inhaltlich sehen die neuen Standardvertragsklauseln u.a. eine obligatorische Risikoeinschätzung vor. Demnach müssen die jeweiligen Parteien dokumentiert versichern, dass sie keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben. Nach einem Zusatz zu den Standardvertragsklauseln soll der Datenimporteur zudem versichern, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag einer Behörde auf Herausgabe personenbezogener Daten erhält.

Welche Umsetzungsfristen gelten?

Seit dem 27.06.2021 können die neuen Standardvertragsklauseln verwendet werden. Seit dem 27.09.2021 dürfen bei Vertragsabschluss nur noch die neuen Standardvertragsklauseln verwendet werden. Bei Alt-Verträgen müssen spätestens zum 27.12.2022 die bisherigen Standardvertragsklauseln auf die neuen umgestellt werden.

Was müssen Unternehmer jetzt machen?

Unternehmer sind gehalten, nunmehr alle einzelnen auf Standardvertragsklauseln gestützte Datentransfers zu prüfen. Eine Aktualisierung der Verträge sollte erforderlichenfalls in die Wege geleitet werden.

Immer bestens informiert mit den Newslettern von SCHOMERUS

Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
Hamburg
Deichstraße 1
20459 Hamburg
Pixel