Cookie Consent und das TTDSG
Am 1.12.2021 ist in Deutschland das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft getreten. Das Gesetz verfolgt verschiedene Zwecke auf einmal, vor allem aber schafft es endgültige Klarheit zur Notwendigkeit von Einwilligungen für die Verwendung von Cookies.
Die Pflicht zur Cookie-Einwilligung wurde zwar bereits 2002 in der ePrivacy-Richtlinie der Europäischen Union eingeführt, die Umsetzung in deutsches Recht ließ jedoch lange viel Interpretationsspielraum offen, ob z.B. wirklich eine aktive Einwilligung erforderlich ist oder eine Widerspruchsmöglichkeit ausreichend ist. Erst 2019 wurde durch ein Urteil des Europäischen Gerichtshofs (und dann 2020 durch den BGH) klargestellt, dass die deutschen Gesetze in Hinblick auf die ePrivacy-Richtlinie auszulegen sind. Mit dem neuen TTDSG ist nun die Zeit der Grauzonen endgültig vorbei und es gibt keinen Zweifel: Ein nicht-notwendiges Cookie darf nur noch gesetzt werden, wenn der Nutzer dazu eine Einwilligung gegeben hat.
Wir haben dies zum Anlass genommen, uns ein weiteres Mal ausführlich mit der Nutzung von Cookies in pretix zu beschäftigen und weitere Werkzeuge zur Verfügung zu stellen, die die Einhaltung der Gesetze erleichtern.
Erforderliche Cookies bleiben erlaubt
Das TTDSG gilt, wie alle vorherigen Regelungen auch, nicht ohne Einschränkung für alle Cookies. § 25 Abs. 2 Nr. 2 TTDSG sagt vereinfacht:
Die Einwilligung […] ist nicht erforderlich, wenn [das Cookie] unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann
Wir sind der Auffassung, dass alle Cookies, die in der Standardkonfiguration von pretix verwendet werden, in diese Kategorie fallen. Standardmäßig setzt pretix folgende Typen von Cookies ein:
-
Session-Cookies, die z.B. verwendet werden, um dem Benutzer die entsprechenden Warenkörbe zuzuordnen oder um zu speichern, dass der Benutzer gerade eingeloggt ist.
-
Ein Sprachen-Cookie, mit dem wir uns merken, in welcher Sprache der Kunde den aufgerufenen Ticketshop sehen möchte.
-
Sicherheits-Cookies, wie z.B. zum Schutz gegen CSRF-Attacken oder zur Implementierung von Rate-Limiting, die jedoch nie mit personenbezogenen Daten verknüpft werden.
Alle diese Cookies sind unbedingt erforderlich, um vom Nutzer ausdrücklich gewünschte Funktionalitäten anzubieten. Wer pretix in einer Standard-Konfiguration nutzt, braucht also keinen Cookie-Banner und muss nichts weiter tun.
Wir gehen davon aus, dass auch alle Cookies, die z.B. von in pretix eingebunden Zahlungsdienstleistern gesetzt werden, als nicht-einwilligungspflichtige Cookies gelten.
Unser neues Cookie-Consent-Management
Es gibt jedoch Anwendungsfälle, in denen ein Cookie-Banner notwendig ist. Beispielsweise können mit dem pretix-Plugin Externes Tracking externe Dienste wie Google Analytics eingebunden werden. Bisher gab es hier (nur auf pretix Hosted) einen Mechanismus, der in diesem Fall automatisch einen dezenten Cookie-Banner eingeblendet hat und Nutzern die Möglichkeit gegeben hat, dem Tracking nachträglich zu widersprechen (Opt-Out). Dies ist nach der neuen Regelung nicht mehr zulässig.
Wir haben pretix daher um eine native Cookie-Consent-Funktion erweitert. Ist diese aktiv und wird eine mit der Cookie-Consent-Funktion integrierte Erweiterung genutzt, erscheint beim ersten Besuch des Ticketshops ein Cookie-Banner, über den der Besucher seine Einwilligung erteilen oder verweigern kann:
Über einen Link in der Fußzeile kann der Besucher die Einwilligung jederzeit zurücknehmen oder im Detail anpassen.
Diese neue Funktion ist für alle seit Anfang Dezember auf pretix Hosted neu registrierten Veranstalter standardmäßig aktiv. Als Hosted-Bestandskunde müssen Sie die Funktion in Ihren Veranstalter-Einstellungen aktiv einschalten:
Für Nutzer von pretix Community und pretix Enterprise steht die Funktion ab dem nächsten pretix-Update (vsl. Ende Januar) zur Verfügung.
Das neue Consent Management kann bei Nutzung unseres Widgets auch programmatisch angesteuert werden, um doppelte Dialoge zu vermeiden. Mehr dazu finden Sie in unserer Dokumentation.
Folgende Erweiterungen sind bereits mit dem neuen Consent-Management kompatibel:
-
„Externes Tracking“ zur Einbindung der Dienste Google Analytics, Google Ads, Facebook, LinkedIn, HubSpot und GoSquared.
-
Die Hotel-Kartendienste „closer2event“ und „Stay22“, wobei hier statt dem Cookie-Banner ein Click-to-Load-Verhalten angewendet wird.
Folgende Erweiterungen nutzen bekanntermaßen ebenfalls nicht-erforderliche Cookies, sind jedoch bisher nicht abgedeckt:
-
„Externes Tracking“ zur Einbindung von Google Tag Manager oder Piwik PRO Tag Manager. Hier haben wir keinen Einblick, welche Cookies gesetzt werden und können das daher nicht automatisch behandeln. Wir empfehlen die Einbindung einer externen Cookie-Consent-Lösung über den jeweiligen Tag-Manager.
-
„Kampagnen“, da hier eine signifikante Änderung der Funktionsweise notwendig ist, die bisher noch nicht umgesetzt wurde (aber geplant ist).