Am 1. Dezember 2021 trat das neue Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG) in Kraft. Unter den Begriff der Telemedien fallen beispielsweise Websites und Apps. Dieses Gesetz tritt neben den Anwendungsbereich der Datenschutzgrundverordnung (DS-GVO, Verordnung (EU) 2016/679) und soll nicht erwünschte Zugriffe auf Informationen verhindern, die auf Computern, Tablets oder Mobiltelefonen gespeichert sind.
Welche Regelungen sind für den Einsatz von Cookies und Co. zu beachten?
Künftig ist bei Nutzung von gewissen Technologien wie Cookies, Web Storage, Browser-Fingerprinting etc. grundsätzlich eine Einwilligung des Nutzers einzuholen. Dies geschieht unabhängig von der Sammlung, Bearbeitung, Verarbeitung oder Nutzung von personenbezogenen Daten. Hinzu kommt dann noch eine weitere Einwilligung nach der DS-GVO, wenn die Verarbeitung personenbezogener Daten in diesem Zusammenhang auf Art. 6 (1) a DS-GVO gestützt wird. Dabei können beide Einwilligungen prinzipiell gleichzeitig eingeholt werden.
In § 25 Abs. 1 TTDSG ist der Grundsatz der sogenannten „Einwilligungsbedürftigkeit“ wie folgt festgelegt:
(1) Die Speicherung von Informationen in der End-Einrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der End-Einrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
In § 25 Abs. 2 formuliert das TTDSG eng begrenzte Ausnahmen vom Erfordernis der Einwilligung:
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
a) wenn der alleinige Zweck der Speicherung von Informationen in der End-Einrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der End-Einrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
b) wenn die Speicherung von Informationen in der End-Einrichtung des Endnutzers oder der Zugriff auf bereits in der End-Einrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DS-GVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.
Warum war nach Aussagen des Gesetzgebers überhaupt ein neues Gesetz zum Datenschutz erforderlich?
Mit dem TTDSG werden europarechtliche Vorgaben in nationales Recht umgesetzt. Zeitgleich mit der DS-GVO sollte ursprünglich auch die ePrivacy-Verordnung als spezialgesetzliche Regelung für den Bereich der elektronischen Kommunikation in Kraft treten. Dies ist jedoch bis heute nicht erfolgt und dürfte wohl auch in absehbarer Zeit nicht umgesetzt werden. Das hat in der Vergangenheit im Bereich der Telemedien zu erheblicher Rechtsunsicherheit geführt.
Es war lange unklar, ob und in welchem Umfang nationale datenschutzrechtliche Vorschriften in diesem Bereich noch zur Anwendung kommen konnten. Besonders deutlich zeigten sich die Unsicherheiten im Hinblick auf die rechtliche Bewertung beim Nutzertracking und der Frage, wann für den Einsatz von Cookies eine vorherige Einwilligung von Webseiten-Besuchern erforderlich ist.
Der Europäische Gerichtshof hat mit seiner Entscheidung „Planet49“ (EuGH, Urteil vom 1.10.2019 – C-673/17) diese Frage zwar beantwortet. Auch ist der Bundesgerichtshof (BGH) in der Sache „Cookie-Einwilligungen II“ (BGH, Urt. v. 28.5.2020 – I ZR 7/16) zu dem Ergebnis gekommen, dass vor dem Setzen und Auslesen von Cookies Einwilligungen einzuholen sind. Gleichwohl konnte der BGH zur Beantwortung der Frage eines Einwilligungserfordernisses nicht auf Art. 5 Abs. 3 ePrivacy-Richtlinie (Richtlinie 2009/136/EG des Europäischen Parlaments und Rates) zurückgreifen, da die Richtlinie in Deutschland nicht in nationales Recht umgesetzt war. Um den Vorgaben des EuGHs zum Einwilligungserfordernis dennoch zu entsprechen, legte der BGH § 15 Abs. 3 TMG schließlich im Sinne der ePrivacy-Richtlinie unter hohem rechtlichen Aufwand aus.
Mit dem TTDSG soll nun dieser Anwendungskonflikt endlich aufgelöst sein.