Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Wer heutzutage als Webseitenbetreiber bei der Setzung und Deklarierung von Cookies nichts falsch machen möchte, hat es nicht leicht. Das Geflecht von europäischen Regelungen, deutschen Gesetzen und der Rechtsprechung zum Thema „Cookies“ ist seit Jahren undurchsichtig. Hieran hat auch das Inkrafttreten der DSGVO im Mai 2018 nicht viel geändert. Wer sich allerdings nicht an geltendes Recht hält, riskiert im schlimmsten Fall ein empfindliches Bußgeld.
Um diesen rechtlichen Unsicherheiten zum Datenschutz bei Telekommunikations- und Telemediendiensten Abhilfe zu schaffen, verabschiedete der deutsche Gesetzgeber im letzten Jahr den Entwurf für das „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG), das am 1. Dezember 2021 in Kraft trat.
Das TTDSG fasst bestehende datenschutzrechtliche Vorschriften aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zusammen. Zudem beinhaltet es eine längst überfällige Regelung zur Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie (RL 2002/58/EG; RL 2009/136/EG). Dieser erfordert die aktive Einwilligung der Nutzenden zum Setzen von Cookies. Bisher fehlte es an einer Umsetzung in nationales deutsches Recht. Diese Problematik wurde lediglich im Rahmen der deutschen Rechtsprechung thematisiert. Insbesondere sind die Entscheidungen des EuGH in der Rechtssache „Planet49“ und des BGH in der Rechtssache „Cookie-Einwilligung II“ (die vollständige Entscheidung finden sie hier) von Bedeutung.
Mit dem TTDSG soll nun rechtliche Klarheit für die Nutzung von Cookies geschaffen und durch ein einheitliches Gesetz die Rechtsanwendung erleichtert werden.
Cookies nur noch mit Einwilligung
Mit § 25 TTDSG wurde erstmals eine Regelung zur Einwilligung in Tracking z. B. durch Cookies geschaffen. Er fungiert praktisch als späte Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Der Wortlaut ist sehr weit gehalten, damit nicht nur der Standardfall „Cookies auf der Website“ erfasst wird, sondern auch neuere Formen von Tracking, z. B. durch Sprachassistenten, Smart-Home-Geräte, Web-Beacons, Pixel-Tags, Local Storage oder gar technische Einrichtungen, die erst noch entwickelt werden.
In Fortführung der bisherigen Rechtsprechung zur Cookie-Setzung sieht § 25 Abs. 1 TTDSG ein Einwilligungserfordernis vor. Das heißt in der Praxis, dass Tracking grundsätzlich nur erlaubt ist, wenn Nutzende diesem zustimmen. Die Einholung der Einwilligung muss erfolgen, bevor der Prozess des Trackings beginnt. Hier ist der Wortlaut von § 25 Abs. 1 Satz 1 TTDSG eindeutig: „sind nur zulässig, wenn […] eingewilligt hat“. Der zweite Absatz enthält demgegenüber allerdings Ausnahmen. Nach § 25 Abs. 2 TTDSG kann die Einholung einer Einwilligung ausnahmsweise entfallen,
- wenn der alleinige Zweck in der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz liegt oder
- wenn die Speicherung oder der Zugriff auf bereits gespeicherte Cookies oder andere Informationen auf dem Endgerät der Nutzenden unbedingt erforderlich ist, damit der Anbieter den Telemediendienst zur Verfügung stellen kann, der direkt vom Nutzenden angewählt wurde.
Nicht ganz eindeutig ist dabei, wie der Begriff der „unbedingten Erforderlichkeit“ des § 25 Abs. 2 Nr. 2 TTDSG ausgelegt werden soll. Sehr wahrscheinlich dürften z. B. Cookies, die allein die Funktionalität und Stabilität einer Website sichern („technisch notwendige Cookies“), hierunter fallen. Wie weit der Begriff der unbedingten Erforderlichkeit jedoch letztendlich geht, wird sich erst in der nächsten Zeit im juristischen Diskurs der Literatur und durch Ausgestaltung des Begriffs im Rahmen der Rechtsprechung zeigen.
Zu beachten ist außerdem, dass die Einwilligung nach § 25 Abs. 1 TTDSG nicht mit der Einwilligung zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Satz 1a) DSGVO zu verwechseln ist. § 25 Abs. 1 TTDSG umfasst nicht nur personenbezogene Daten, sondern jegliche Informationen, die in der Endeinrichtung des Endnutzers gespeichert sind. Diese neue Regelung ist damit wesentlich weiter als die der DSGVO. Im Cookie-Banner können trotzdem beide Einwilligungen in einen Zustimmungs-Button zusammengefasst werden. Dabei sollte jedoch deutlich werden, dass es sich tatsächlich um zwei Einwilligungen handelt und diese unabhängig voneinander widerrufen werden können.
Was ist noch neu?
Eine weitere Neuerung birgt § 26 TTDSG, der erstmals eine Regelung zu Diensten der Einwilligungsverwaltung („Personal Information Management“-Systeme, kurz PIMS) aufstellt. Hiermit können Nutzende bequem in einem Programm angeben, wie und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies geben möchten. Das PIMS kann diese Anweisung automatisch und im Hintergrund auf den Webseiten weitergeben und die richtigen Häkchen zu der Handhabung der Cookies setzen. Diese Einstellungen sollen in der Folge auch von den Browsern berücksichtigt werden.
Momentan werden PIMS noch nicht aktiv verwendet, es ist jedoch nur noch eine Frage der Zeit, bis sie eingesetzt werden. Diese Entwicklung könnte dann letztendlich Cookie-Banner überflüssig machen. Tatsächlich sitzt das BMJM an einem ersten Entwurf für ein solches System. Es wird also wieder Bewegung in das Thema „Cookies“ kommen.
Auf den Punkt gebracht:
- Anbieter sind nunmehr gesetzlich verpflichtet, die Einwilligung der Nutzenden beim Setzen von Cookies und der weiteren genannten, ähnlichen Technologien vor Beginn des Tracking-Prozesses einzuholen, § 25 Abs. 1 TTDSG.
- Nutzende von Webseiten müssen klar und umfassend informiert werden.
- Einwilligungen müssen freiwillig, informiert, ausdrücklich und jederzeit widerruflich sein, § 25 Abs. 1 Satz 2 TTDSG i. V. m. Art. 7 DSGVO.
- Ausnahmsweise kann von dem Einwilligungserfordernis abgesehen werden, wenn die Informationen unbedingt erforderlich sind, § 25 Abs. 2 TTDSG.
- Die Einwilligung kann zusammen mit der Einwilligung nach Art. 6 Abs. 1 Satz 1a) DSGVO abgegeben werden, muss aber unabhängig davon widerrufbar sein.
- Eine Regelung zur „optischen Gestaltung“ von Cookie-Bannern enthält die neue Vorschrift nicht.
Noch Fragen?