Paragraph 25 TDDDG ist die zentrale Vorschrift für Cookies, Tracking und ähnliche Technologien auf Websites und in Apps. Er regelt, wann auf das Endgerät des Nutzers zugegriffen werden darf.
Der Grundsatz: Einwilligung erforderlich
Jede Speicherung von Informationen auf dem Endgerät des Nutzers oder jeder Zugriff auf dort bereits gespeicherte Informationen erfordert grundsätzlich eine vorherige informierte Einwilligung (Paragraph 25 Abs. 1 TDDDG). Die Einwilligung muss nach DSGVO-Standard erfolgen (Art. 4 Nr. 11, Art. 7 DSGVO).
Besonderheit: Paragraph 25 TDDDG schützt nicht nur personenbezogene Daten, sondern JEDE Information auf dem Endgerät - auch Geräte-IDs, Hardware-Informationen oder gespeicherte Dateien. Dies geht über den Schutzbereich der DSGVO hinaus.
Zwei Ausnahmen (Paragraph 25 Abs. 2 TDDDG)
Keine Einwilligung ist erforderlich, wenn:
- Die Speicherung/der Zugriff außchließlich der Nachrichtenübertragung über ein öffentliches Telekommunikationsnetz dient.
- Die Speicherung/der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen.
Konkrete Beispiele:
- Einwilligungsfrei: Warenkorb-Cookies, Session-Cookies, Spracheinstellungen, Load-Balancing-Cookies
- Einwilligungspflichtig: Google Analytics, Facebook Pixel, Werbe-Cookies, Social-Media-Plugins
Zweistufige Prüfung
In der Praxis gilt eine zweistufige Prüfung (OH Digitale Dienste der DSK):
- Stufe 1 (Paragraph 25 TDDDG): Ist eine Einwilligung für den Zugriff auf das Endgerät erforderlich?
- Stufe 2 (DSGVO): Besteht für die anschließende Verarbeitung der erlangten personenbezogenen Daten eine Rechtsgrundlage nach Art. 6 DSGVO?
Cookie-Banner
Die Ablehnoption im Cookie-Banner muss auf gleicher Ebene wie die Zustimmung stehen. Nudging und Dark Patterns sind unzuläßig. Bußgelder für Verstöße gegen Paragraph 25 TDDDG: bis zu 300.000 Euro (Paragraph 28 Abs. 2 TDDDG).