Verstöße gegen die Cookie-Vorschriften des TDDDG und der DSGVO können auf zwei Ebenen sanktioniert werden: nach dem TDDDG für den Zugriff auf Endeinrichtungen und nach der DSGVO für die anschließende Datenverarbeitung.
Die zweistufige Prüfung (DSK-OH Digitale Dienste):
- Paragraph 25 TDDDG: Regelt die Speicherung in und den Zugriff auf Endeinrichtungen (z.B. Cookies, Fingerprinting). Grundsatz: Einwilligungspflicht - es sei denn, die Speicherung ist technisch notwendig für die Nachrichtenübertragung oder die Bereitstellung des Dienstes (z.B. Warenkorb-Cookie).
- DSGVO: Regelt die anschließende Verarbeitung personenbezogener Daten.
Sanktionen nach TDDDG:
Paragraph 28 TDDDG sieht eigene Bußgeldvorschriften vor. Verstöße gegen Paragraph 25 (Cookie-Pflichten) können als Ordnungswidrigkeit geahndet werden. Die Aufsicht liegt bei den Landesdatenschutzbehörden und dem BfDI (Paragraph 29 TDDDG).
Sanktionen nach DSGVO:
Wenn durch die Cookies personenbezogene Daten ohne Rechtsgrundlage verarbeitet werden (z.B. Tracking ohne Einwilligung), drohen zusätzlich Bußgelder nach Art. 83 Abs. 5 DSGVO (Stufe 2: bis 20 Mio. EUR / 4%).
Besondere Anforderungen an Einwilligungsbanner (DSK-OH Digitale Dienste):
- Die Ablehnoption muss auf gleicher Ebene wie die Zustimmungsoption stehen
- Dark Patterns (manipulative Gestaltung, die zur Zustimmung drängt) sind unzuläßig
- Die Einwilligung muss so einfach widerrufbar sein wie ihre Erteilung
Die Aufsichtsbehörden haben in den letzten Jahren verstärkt Cookie-Banner geprüft und Bußgelder verhängt.