Der Bundestag hat am 20.05.2021 den „Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) in der Beschlussempfehlung des Ausschusses für Wirtschaft und Energie mehrheitlich angenommen. Das neue Gesetz, das am 1. Dezember 2021 in Kraft tritt, enthält auch eine Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien und setzt damit die entsprechende Vorgabe der ePrivacy-Richtlinie in deutsches Recht um. Grund genug also sich einmal genauer anzuschauen, welche Anforderungen zukünftig durch Anbieter von Websites und Apps beachtet werden müssen.
Überblick zum TTDSG
Das TTDSG verfolgt das Ziel, die aus dem Nebeneinander von Datenschutz-Grundverordnung (DSGVO), Telekommunikations-Gesetz (TKG) und Telemedien-Gesetz (TMG) resultierende Rechtsunsicherheiten zu beseitigen. Hierzu werden die Datenschutz-Bestimmungen des TMG und des TKG aufgehoben und in dem neuen Gesetz zusammengeführt. Im Ergebnis soll hierdurch Rechtsklarheit und ein wirksamer Datenschutz und Schutz der Privatsphäre von Endnutzern gewährleistet werden.
In § 25 TTDSG findet sich eine Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien. Der Wortlaut der Regelung spricht insoweit technikneutral vom Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Durch die Neuregelung soll die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer, erleichtert werden.
Zusätzlich enthält § 26 TTDSG eine Regelung über Dienste zur technischen Verwaltung solcher Einwilligungen.
Hintergrund der Regelung
Die Neuregelung des § 25 TTDSG dient dazu, die Vorgaben der ePrivacy-Richtlinie in deutsches Recht umzusetzen. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist insofern ein Einwilligungserfordernis vorgesehen:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“
In Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie ist geregelt, in welchen Fällen dieses grundsätzliche Einwilligungsbedürfnis nicht bestehen soll:
„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Gleichzeitig reagiert die Regelung des § 25 TTDSG auf zwei jüngere höchstgerichtliche Entscheidungen. Zum einen hat der Europäische Gerichtshof vor knapp einem Jahr mit seinem Urteil in der Sache Planet 49 (EuGH, Urt. v. 1.10.2019 – C-673/17) die gesetzlichen Anforderungen an eine wirksame Einwilligung weiter konkretisiert. Zum anderen hat der Bundesgerichtshof jüngst mit dem sog. Cookie-II-Urteil (BGH, Urt. v. 28.5.2020 – I ZR 7/16) entschieden, dass das europarechtliche Einwilligungserfordernis auch durch die in ihrem Wortlaut insoweit undeutliche Vorschrift des § 15 Abs. 3 TMG in Deutschland umgesetzt wurde und damit der Einwilligungsvorbehalt für deutsche Unternehmen unmittelbar geltendes Recht ist. Durch die Regelung des § 15 Abs. 3 TMG werden aber insbesondere die Ausnahmemöglichkeiten des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie nur unzureichend ausgeschöpft.
Regelungsinhalte des § 25 TTDSG
Die Neuregelung des § 25 TTDSG ist im Hinblick auf die Diskussion um das Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies, sowie die Rechtsprechung des Europäischen Gerichtshofes dazu eng an den Wortlaut des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie angelehnt. Sie ist in zwei Absätze untergliedert.
§ 25 TTDSG
Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Die Regelung setzt das grundsätzliche Einwilligungserfordernis des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie in deutsches Recht um. Zugleich wird mit dem Verweis auf die DSGVO (Verordnung (EU) 2016/679) die aktuelle Rechtslage antizipiert und damit dem Rechtsanwender transparent dargestellt. Diese Einwilligung muss dem Maßstab der DSGVO genügen, also freiwillig und auf der Grundlage klarer Informationen erfolgen und jederzeit widerruflich sein. Auch die beiden Ausnahmen des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie werden im Wesentlichen wortgetreu umgesetzt.
Für die Praxis stellt sich damit insbesondere weiterhin die Frage, in welchen Fällen der Zugriff auf eine Endeinrichtung unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Anhaltspunkte für die Bewertung im Einzelfall kann dabei immer noch die gut 10 Jahre alte Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht der Artikel-29-Datenschutzgruppe liefern.
Anders als die ePrivacy-Richtlinie spricht die Neureglung des § 25 TTDSG nicht von Endgeräten, sondern von der Endeinrichtung eines Endnutzers. Der Begriff „Endeinrichtung“ ist in § 2 Abs. 2 Nr. 6 TTDSG definiert als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Umfasst ist in anderen Worten also jedes Gerät mit einer Internetverbindung. In der Begründung weist der Gesetzgeber darauf hin, dass durch diese Begriffsbestimmung ein weiter Anwendungsbereich eröffnet wird. So sollen nicht bloß Telefonie oder Internetkommunikation, sondern auch im Internet der Dinge an das öffentliche Kommunikationsnetz angeschlossen Gegenstände wie etwa Smarthome-Anwendungen von dem Einwilligungserfordernis erfasst sein. Neue Technologien wie Smartmeter oder das automatisierte und vernetzte Fahren, die nicht allein der Bestimmung eines Einzelnen unterliegen, sollen durch § 25 TTDSG allerdings nicht in jedem Fall berührt sein.
Das Einwilligungserfordernis des § 25 TTDSG greift aber nur hinsichtlich des Zugriffs auf Endeinrichtungen. Die Gesetzesbegründung stellt insoweit klar, dass die Frage der Rechtmäßigkeit der nachfolgenden Verwendung von personenbezogenen Daten, die auf diese Weise erlangt und verarbeitet werden und die den Anforderungen des Datenschutzrechts unterliegen, nicht berührt wird.
Dienste zur Einwilligungsverwaltung nach § 26 TTDSG
Anders als noch der Gesetzesentwurf der Bundesregierung ergänzt das nunmehr angenommene TTDSG das Einwilligungserfordernis des § 25 TTDSG mit § 26 TTDSG um eine Vorschrift über Dienste zur Verwaltung solcher Einwilligungen, etwa sog. „Personal Information Management Services“ (PIMS) oder Single-Sign-on-Lösungen. Über solche Dienste soll es den Endnutzern ermöglicht werden, Voraussetzungen für ihre Einwilligung oder Ablehnung zum Setzen von Cookies anzugeben und diese Anweisung dann automatisch auf Websites weiterzugeben. Damit wären Consent-Banner auf jeder einzelnen Website obsolet.
Mit dieser neuen Bestimmung soll ein Rechtsrahmen geschaffen werden, der zu einer gesteigerten Akzeptanz solcher Verfahren durch die Endnutzer führt und damit zu ihrer weiteren Verbreitung beiträgt. Dies soll gem. § 26 Abs. 1 TTDSG durch eine Anerkennung von Diensten zum Einwilligungsmanagement durch eine unabhängige Stelle erreicht werden. Um eine solche Anerkennung zu erreichen, muss ein solcher Dienst
- nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
- kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sein, die ein solches Interesse haben können,
- die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
- ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit der DSGVO erfüllt.
Die weiteren Anforderungen an diese Vorgaben und das Verfahren der Anerkennung werden nach § 26 Abs. 2 TTDSG durch die Bundesregierung mit Zustimmung des Bundestages und des Bundesrates im Wege einer Rechtsverordnung bestimmt. Dazu gehören die konkreten Anforderungen an den Antrag und das Sicherheitskonzept und die die für die Anerkennung zuständigen unabhängigen Stellen.
Außerdem soll die Rechtsverordnung Anforderungen an technische und organisatorische Maßnahmen festlegen, über die Browser dazu veranlasst werden, Einstellungen der Endnutzer hinsichtlich der Einwilligung zu berücksichtigen. Diese Anforderungen sollen außerdem ermöglichen, dass Browser und Telemedienanbieter beim Einwilligungsmanagement anerkannte Dienste zur Einwilligungsverwaltung einbinden.
Durchsetzung der Regelung
Die Überwachung der Einhaltung des § 25 TTDSG obliegt nach Art. 29 Abs. 2 TTDSG gegenüber Telekommunikationsdiensten und öffentlichen Stellen des Bundes als zuständige Aufsichtsbehörde, dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Dem Bundesbeauftragten kommen dabei gem. § 29 Abs. 3 TTDSG die Untersuchungs- und Abhilfebefugnisse aus Art. 58 DSGVO zu. Für die Aufsicht im privatwirtschaftlichen Bereich bleibt es damit bei Zuständigkeit der Landesbehörden. Die notwendigen Zuständigkeits- und Befugnisnormen müssen durch die Bundesländer noch bis zum 01.12.2021 geschaffen werden.
Ein Verstoß gegen das Einwilligungserfordernis des § 25 Abs. 1 TTDSG erfüllt den Bußgeldtatbestand des § 28 Abs. 1 Nr. 13 TTDSG und kann mit einer Geldbuße bis zu 300.000 EUR geahndet werden. Die zuständige Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist im Fall der Speicherung von oder dem Zugriff auf Informationen durch Anbieter von Telekommunikationsdiensten oder durch Bundesbehörden der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Für die Aufsichtsbehörden der Länder müssen die Zuständigkeitsregelungen noch angepasst werden.
Weitere Entwicklungen
Das TTDSG tritt am 1. Dezember 2021 in Kraft. Es steht in engem Zusammenhang mit dem bereits beschlossenen Entwurf eines Telekommunikationsmodernisierungsgesetzes (TKModG). Beide Vorhaben sollen gemeinsam in Kraft treten.
Gleichzeitig wird auf der europäischen Ebene weiterhin am Erlass der E-Privacy-Verordnung gearbeitet. Durch diese würde die Regelung des § 25 TTDSG verdrängt. Nachdem sich der Europäische Rat nach zähen Verhandlungen am 10. Februar 2021 auf einem Entwurf für die E-Privacy-Verordnung und damit ein Verhandlungsmandat einigen konnte, wird der endgültige Wortlaut der Verordnung nun im sog. Trilog zwischen Rat und Parlament ausgehandelt. Nach dem gegenwärtigen Entwurf würde die Verordnung 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und zwei Jahre später zur Anwendung gelangen. Die Regelung des § 25 TTDSG wird uns also jedenfalls noch bis in das Jahr 2023 begleiten.
Einschätzung der Datenschutzkanzlei
Die Neuregelung des § 25 TTDSG passt das deutsche Recht im Wesentlichen an die europarechtlichen Vorgaben an und sorgt damit nach gut 12 Jahren endlich für Rechtsklarheit. Die Regelung bildet insoweit auch die schon bisher durch die Aufsichtsbehörden vertretene Rechtsaufassung und Praxis ab. Es wird klargestellt, dass außerhalb der aufgeführten Ausnahmeregelungen für den Einsatz von Cookies und vergleichbaren Technologien eine Einwilligung grundsätzlich notwendig ist. Bei dem Entwurf handelt es sich insoweit um eine Minimallösung, welche die Regelungsvorgabe der ePrivacy-Richtlinie nahezu eins zu eins in deutsches Recht umsetzt.
Mit Blick auf den Schutz der Privatsphäre ist die gesetzgeberische Klarstellung, dass neben klassischen Endgeräten wie Computer und Smartphone grundsätzlich auch alle anderen mit dem Internet verbundenen Gegenstände von dem Einwilligungserfordernis erfasst sind, zu begrüßen.
Aus den Neuregelungen des TTDSG hinsichtlich des Einsatzes von Cookies und vergleichbaren Technologien ergeben sich für Anbieter von Websites und Apps im Vergleich zur aktuellen Rechtslage und der erfolgten praktischen Umsetzung keine wesentlichen Änderungen.
Es bleibt abzuwarten, ob der neue Rechtsrahmen des § 26 TTDSG tatsächlich zur weiteren Verbreitung von Diensten zur Einwilligungsverwaltung wie etwa PIMS führt. Bisher gibt es solche Dienste noch nicht. Auch muss die entsprechende Rechtsverordnung zunächst überhaupt erlassen werden. In der nahen Zukunft sollte also nicht mit solchen Diensten gerechnet werden. Consent-Banner bleiben uns also noch eine Weile erhalten.
Individuelle Beratung für Ihre Website oder App
Jede Website oder App, jedes Unternehmen und jede Branche sind anders und bringen eigene Anforderungen mit. Bei der Beratung zur Cookie-Strategie müssen die verfolgten Ziele, die individuelle Risikobereitschaft und das technische Setup berücksichtigt werden. Gerne unterstützen wir Sie dabei, Ihre passende Lösung zu entwickeln und aufzusetzen. Hier geht´s zum Kontaktformular.
Dieser Beitrag ist erstmals am 09.05.2021 erschienen und wurde aktualisiert.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.