Der Einsatz von Cookies unter dem neuen Telemediendatenschutz nach dem TTDSG.
Das neue Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG – eine sperrige Abkürzung, ein ebenso sperriger Inhalt?
Seit dem 1. Dezember 2021 gilt das TTDSG, das neue Regelungen zum Einsatz von Cookies und ähnlichen Technologien beinhaltet. Das TTDSG soll nun endlich Rechtssicherheit schaffen und Ordnung in das Durcheinander von Datenschutz-Grundverordnung (DSGVO), ePrivacy-Richtlinie 2002/58/EG (ePrivacy-RL), noch ausstehender ePrivacy-Verordnung (ePrivacy-VO) sowie Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) bringen.
Das neue TTDSG hält insbesondere für Webseiten- und Online-Shop-Betreiber einige Änderungen parat.
TTDSG mit besonderen Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telemedien und zum Schutz der Privatsphäre bei Endeinrichtungen
Das TTDSG vereint Regelungen zum Datenschutz bei Telekommunikation und Telemedien. Die bisherigen datenschutzrechtlichen Vorgaben aus dem TKG und TMG werden durch das TTDSG ersetzt und an die DSGVO angepasst. Zugleich soll endlich die in die Jahre gekommene ePrivacy-RL umgesetzt werden.
Dreh- und Angelpunkt ist der Schutz der Privatsphäre in der Telekommunikation und bei der Nutzung von Telemedien. Entsprechend ist das TTDSG in vier Teile untergliedert: Auf den allgemeinen ersten Teil folgen Bestimmungen zum Datenschutz und Schutz der Privatsphäre in der Telekommunikation (Teil 2), zum Telemediendatenschutz und zu Endeinrichtungen (Teil 3), gefolgt vom Schlussteil zu Straf- und Bußgeldvorschriften sowie zur Aufsicht (Teil 4).
Dieser Beitrag widmet sich dem Telemediendatenschutz und den Endeinrichtungen.
Ziel des neuen Gesetzes in puncto Telemedien ist es, für Rechtsklarheit zu sorgen und einen wirksamen Datenschutz und Schutz der Privatsphäre der Endnutzer zu gewährleisten. Das TTDSG liefert deshalb besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telemedien (vgl. § 1 Nr. 2 TTDSG) und dem Schutz der Privatsphäre bei Endeinrichtungen. Es geht dabei um den Schutz vor unbefugten Zugriffen Dritter. Genauso wenig wie wir wollen, dass Unbefugte unser Büro oder Schlafzimmer betreten, wollen wir, dass unbefugt auf unser Tablet oder Smartphone zugegriffen wird.
Verpflichtete nach dem TTDSG: Anbieter von Telemedien
Das TTDSG verpflichtet Anbieter von Telemedien, d.h. jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt (§ 2 Abs. 2 Nr. 1 TTDSG). Telemedien sind alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind (§ 1 Abs. 1 Satz 1 TMG).
Damit ist der Adressatenkreis des TTDSG weit gefasst und richtet sich an Online-Angebote jeglicher Art, also ebenso an den Betreiber einer rein informatorischen Webseite als auch eines Online-Shops oder einer Internetsuchmaschine.
Ein kurzer Blick zurück: Einwilligung vs. Widerspruch
Fast schon Rechtsgeschichte, für das Verständnis dennoch wichtig: Art. 5 Abs. 3 Satz 1 ePrivacy-RL sah für den Einsatz von Cookies und ähnlichen Technologien grundsätzlich eine informierte Einwilligung vor, während § 15 Abs. 3 TMG a.F. einen Widerspruch (sog. Opt-out) ausreichen ließ.
Die Einführung der DSGVO machte es nur noch komplizierter, über das Verhältnis der Gesetze zueinander wurde viel diskutiert. Lange Zeit wurden deshalb unterschiedliche Auffassungen zum Einsatz von Cookies oder zur Rechtmäßigkeit des Webseiten-Trackings vertreten. Diese reichten von der Notwendigkeit einer Einwilligung nach Maßgabe der DSGVO (so die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder im April 2018 und März 2019) bis hin zum bloßen Vorhalten einer Widerspruchsmöglichkeit (§ 15 Abs. 3 TMG a.F.) für den Einsatz von Cookies.
Und dann kam der EuGH und erteilte der Widerspruchsmöglichkeit eine Absage: Nach dessen Urteil vom 1. Oktober 2019 (Planet49 – Rs. C 673/17) war klar, dass für das Setzen von technisch nicht erforderlichen Cookies, also insbesondere für Cookies zu Werbe- und Trackingzwecken, eine aktive Einwilligung des Nutzers erforderlich ist. Vorangekreuzte Kästchen oder Ähnliches sind unzulässig. Dem hat sich auch der BGH mit Urteil vom 28. Mai 2020 (Cookie-Einwilligung II – I ZR 7/16) angeschlossen.
§ 25 TTDSG – Cookies grundsätzlich nur noch mit Einwilligung
Was verlangt das TTDSG nun von Telemedienanbietern beim Einsatz von Cookies?
In Anlehnung an die ePrivacy-RL sieht § 25 TTDSG ein grundsätzliches Einwilligungserfordernis für den Einsatz von Cookies und ähnlichen Technologien vor. Der irreführende § 15 Abs. 3 TMG wird aufgehoben, das Vorhalten einer Widerspruchsmöglichkeit ist insoweit nicht mehr ausreichend.
Bereits aus der DSGVO bekannt, gilt auch hier ein Verbot mit Erlaubnisvorbehalt. Nach § 25 Abs. 1 Satz 1 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen in die Speicherung eingewilligt hat. Wie der Endnutzer informiert werden muss und was eine wirksame Einwilligung ausmacht, richtet sich gemäß § 25 Abs. 1 Satz 2 TTDSG nach den Vorgaben der DSGVO. Dieses explizite Einwilligungserfordernis gilt unabhängig davon, ob die auf den Endgeräten ausgelesenen Informationen anonyme oder personenbezogene Daten enthalten.
Damit erfordert das Setzen von Cookies grundsätzlich eine informierte Einwilligung. Ob aber auch andere Methoden, wie etwa das device fingerprinting, ebenfalls unter das Einwilligungserfordernis fallen, wird durch § 25 TTDSG nicht eindeutig geklärt.
Ausnahme vom Einwilligungserfordernis: die unbedingte Erforderlichkeit
Jeder Grundsatz kennt Ausnahmen: Nach § 25 Abs. 2 TTDSG ist eine Einwilligung nicht erforderlich, wenn der alleinige Zweck des Einsatzes von Cookies und ähnlichen Technologien die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist (Nr. 1) oder der Einsatz von Cookies und ähnlichen Technologien unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr.2).
Auch diese Ausnahmeregelungen sind an Art. 5 Abs. 3 ePrivacy-RL angelehnt – ihr genauer Anwendungsbereich bleibt jedoch auch im TTDSG unklar.
Der „ausdrücklich gewünschte Telemediendienst“ (Nr. 2) wäre etwa die Bereitstellung des Inhalts einer Webseite. Ob aber auch die Analyse der Nutzung der Webseite ausdrücklich von den Nutzern gewünscht wird? Fraglich. Damit diese Ausnahme greift, müsste der Cookie zur Bereitstellung des Webseiteninhalts unbedingt erforderlich sein. Dies wird etwa beim bekannten Warenkorb- oder Session-Cookie anerkannt. Weitere Cookies, die unter die Kategorie „unbedingt erforderlich“ fallen, sind etwa Cookies zur Sprachauswahl oder Speicherung von Nutzereingaben.
Was aber ist mit Cookies, die auch zum Schutz des Webseitenbetreibers eingesetzt werden, z.B. zur Betrugsprävention, an denen der Betreiber selbst auch ein berechtigtes Interesse hat? Ist die Webseite mit Maßnahmen zur Betrugsprävention (Stichwort brute force attack) auch noch ein vom Nutzer ausdrücklich gewünschter Telemediendienst? Leider bringt das neue TTDSG nicht die erhoffte Klärung.
Eindeutig nicht mehr erforderlich sind – im Einklang mit dem Planet49-Urteil des EuGH – Analyse- und Werbe-Cookies zu Tracking- bzw. Retargeting-Zwecken.
§ 26 TTDSG – was sind eigentlich PIMS?
Eine der umstrittensten Neuerungen ist § 26 TTDSG, der Regelungen zu anerkannten Diensten zur Einwilligungsverwaltung oder auch Personal Information Management Services (PIMS), enthält. PIMS sollen der Flut von Cookie-Bannern im Internet entgegenwirken, indem Nutzer einmalig über den Einsatz von Cookies auf verschiedenen Webseiten entscheiden und diese Entscheidungen automatisch über eben diese PIMS im Hintergrund an die jeweiligen Webseitenbetreiber weitergegeben werden. Cookie-Banner würden damit entbehrlich.
§ 26 Abs. 1 TTDSG sieht ein konkretes Verfahren für die Anerkennung von PIMS vor. Die dort aufgezählten Voraussetzungen, wie etwa kein wirtschaftliches Eigeninteresse und kein anderer Verarbeitungszweck als die Einwilligungsverwaltung, müssen kumulativ vorliegen und dienen insbesondere dazu, die Unabhängigkeit der PIMS zu wahren.
So gut, so neu. Aber unabhängig davon, dass entsprechende Services überhaupt erst einmal angeboten werden und die Webseitenanbieter die Möglichkeit der Anbindung dieser PIMS schaffen müssen, fehlt es noch an einer unabdingbaren Voraussetzung: Die Bundesregierung muss gemäß § 26 Abs. 2 TTDSG zunächst einmal Näheres zu PIMS in einer noch zu erlassenden Rechtsverordnung bestimmen, die auch von europäischer Seite noch abgesegnet werden müsste. Insbesondere müsste diese Rechtsverordnung die noch völlig unklaren Rechtsfolgen einer Anerkennung dieser Dienste festlegen.
Solange diese Rechtsverordnung nicht erlassen ist, können PIMS zur Ablösung der Cookie-Banner auch nicht zum Einsatz kommen.
Verstöße gegen die Einwilligungspflicht nach dem TTDSG
Es lässt sich also festhalten, dass ein Cookie-Banner auch nach dem TTDSG nur dann entbehrlich ist, wenn keine Einwilligung eingeholt werden muss, also eine Ausnahme nach § 25 Abs. 2 TTDSG greift. Kommen auf einer Webseite tatsächlich lediglich unbedingt erforderliche Cookies zum Einsatz, bedarf es eines Cookie-Banners ausnahmsweise nicht. Über den Einsatz dieser Cookies muss dennoch informiert werden. Im Fall des Einsatzes einwilligungsbedürftiger Cookies, also Analyse- und Tracking-Cookies, muss eine wirksame Einwilligung eingeholt werden. An einem entsprechend granular gestalteten Cookie-Banner führt (noch) kein Weg vorbei.
Sollten die erforderlichen Einwilligungen nicht eingeholt werden, egal ob vorsätzlich oder fahrlässig, liegt zum einen eine Ordnungswidrigkeit nach § 28 Abs. 1 Nr. 13 TTDSG vor. Zum anderen kann auch ein Verstoß gegen die DSGVO vorliegen. Den Aufsichtsbehörden steht dann das datenschutzrechtliche Instrumentarium von Maßnahmen wie dem Erlass einer Untersagungsverfügung oder eines Bußgeldes zur Verfügung. Zudem können Abmahnungen von Nutzern, Mitbewerbern und klagebefugten Organisationen drohen.
Die ePrivacy-VO lässt weiterhin auf sich warten
Also alles neu durch das neue TTDSG mit Blick auf Telemediendatenschutz? Nein, die Regelung des § 25 TTDSG zum grundsätzlichen Einwilligungserfordernis beim Einsatz von Cookies und anderen Technologien war aufgrund zwischenzeitlich ergangener Rechtsprechung erwartbar und mit Blick auf die ePrivacy-RL vorhersehbar.
Das TTDSG und die Vorgaben zum Einsatz von Cookies gelten, bis sich auf europäischer Ebene geeinigt und die ePrivacy-VO verabschiedet wird. So bleibt die Hoffnung, dass es dann der europäische Gesetzgeber mit der ePrivacy-VO schaffen wird, die noch offenen Fragen im Zusammenhang mit dem Einsatz von Cookies und ähnlichen Technologien zu beantworten und Rechtsunsicherheiten zu beseitigen. Nähere Informationen hierzu finden Sie auf unserer Insight-Seite zur ePrivacy-VO.
In unseren Beiträgen zum TTDSG sind wir auf den Bereich des Telekommunikationsrechts und den des Telemediendatenschutzes und der Endeinrichtungen eingegangen.
