Das Bundesministeriums für Wirtschaft und Energie (BMWi) hat jüngst einen „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt, der in Datenschutzkreisen (TTDSG-E) lebhaft diskutiert wird. Der Gesetzesentwurf (hier abrufbar) enthält auch eine neue Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien. Grund genug also sich einmal genauer anzuschauen, welche Anforderungen möglicherweise zukünftig durch Anbieter von Websites und Apps beachtet werden müssen.

Glaskuppel Bundestag

Überblick zu dem Referentenentwurf

 Das TTDSG-E verfolgt das Ziel, aus dem Nebeneinander von Datenschutz-Grundverordnung (DSGVO), Telekommunikations-Gesetz (TKG) und Telemedien-Gesetz (TMG) resultierende Rechtsunsicherheiten zu beseitigen. Hierzu werden die Datenschutz-Bestimmungen des TMG und des TKG aufgehoben und in dem neuen Gesetz zusammengeführt. Im Ergebnis soll hierdurch Rechtsklarheit und ein wirksamer Datenschutz und Schutz der Privatsphäre von Endnutzern gewährleistet werden.

In § 22 TTDSG-E findet sich eine Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien. Der Wortlaut der Regelung spricht insoweit technikneutral vom Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Durch die Neuregelung soll die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer zu erleichtern.

Hintergrund der Regelung

Die Neuregelung des § 22 TTDSG-E dient dazu, die Vorgaben der ePrivacy-Richtlinie in deutsches Recht umzusetzen. In Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie ist insofern ein Einwilligungserfordernis vorgesehen:

„Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.“

In Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie ist geregelt, in welchen Fällen dieses grundsätzliche Einwilligungsbedürfnis nicht bestehen soll:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Gleichzeitig reagiert die Regelung des § 22 TTDSG-E auf zwei jüngere höchstgerichtliche Entscheidungen. Zum einen hat der Europäische Gerichtshof vor knapp einem Jahr mit seinem Urteil in der Sache Planet 49 (EuGH, Urt. v. 1.10.2019 – C-673/17) die gesetzlichen Anforderungen an eine wirksame Einwilligung weiter konkretisiert. Zum anderen hat der Bundesgerichtshof jüngst mit dem sog. Cookie-II-Urteil (BGH, Urt. v. 28.5.2020 – I ZR 7/16) entschieden, dass das europarechtliche Einwilligungserfordernis auch durch die in ihrem Wortlaut insoweit undeutliche Vorschrift des § 15 Abs. 3 TMG in Deutschland umgesetzt wurde und damit der Einwilligungsvorbehalt für deutsche Unternehmen unmittelbar geltendes Recht ist. Durch die Regelung des § 15 Abs. 3 TMG werden aber insbesondere die Ausnahmemöglichkeiten des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie nur unzureichend ausgeschöpft.

Regelungsinhalte des § 9 TTDSG-E

Die Neuregelung des § 22 TTDSG-E ist im Hinblick auf die Diskussion um das Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies, sowie die Rechtsprechung des Europäischen Gerichtshofes dazu eng an den Wortlaut des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie angelehnt. Sie ist in drei Absätze untergliedert.

22 TTDSG-E

Einwilligung bei Endeinrichtungen

  1. Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG zu erfolgen.
  2. Absatz 1 gilt nicht, wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen die Durch-führung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.
  3. Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können.

Die Regelung setzt das grundsätzliche Einwilligungserfordernis des Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie in deutsches Recht um. Zugleich wird mit dem Verweis auf die DSGVO (Verordnung (EU) 2016/679) die aktuelle Rechtslage antizipiert und damit dem Rechtsanwender transparent dargestellt. Auch die beiden Ausnahmen des Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie werden im Wesentlichen wortgetreu umgesetzt.

Anders als die ePrivacy-Richtlinie spricht die Neureglung des § 22 TTDSG-E nicht von Endgeräten, sondern von der Endeinrichtung eines Endnutzers. Der Begriff „Endeinrichtung“ ist in § 2 Abs. 2 Nr. 6 TTDSG-E definiert als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Umfasst ist in anderen Worten also jedes Gerät mit einer Internetverbindung. In der Begründung weist der Gesetzgeber darauf hin, dass durch diese Begriffsbestimmung ein weiter Anwendungsbereich eröffnet wird. So sollen nicht bloß Telefonie oder Internetkommunikation, sondern auch im Internet der Dinge an das öffentliche Kommunikationsnetz angeschlossen Gegenstände wie etwa Smarthome-Anwendungen von dem Einwilligungserfordernis erfasst sein.

Das Einwilligungserfordernis des § 22 TTDSG-E greift aber nur hinsichtlich Endeinrichtungen von Endnutzern. Die Gesetzesbegründung stellt insoweit klar, dass es sich bei Endeinrichtungen, die Beschäftigten in Unternehmen oder Behörden zum Zwecke der beruflichen Tätigkeit zur Verfügung gestellt werden, um solche des Arbeitgebers handelt. Dieser soll durch § 22 TTDSG nicht daran gehindert sein auf diesen Endeinrichtungen Informationen zu speichern und auszulesen, etwa um Software-Updates vornehmen zu können.

Auch neue Technologien wie Smartmeter oder das automatisierte und vernetzte Fahren, die nicht allein der Bestimmung eines Einzelnen unterliegen, sollen durch § 22 TTDSG-E nicht in jedem Fall berührt sein.

 

Weitere Entwicklungen

Der vorliegende Entwurf zum TTDSG wurde durch die Bundesregierung noch nicht beschlossen. Die durch das BMWi eingeleitete Länder- und Verbändeanhörung läuft bis zum 24. Januar 2021. Das TTDSG muss außerdem mit zwei weiteren, parallel laufenden Gesetzgebungsvorhaben inhaltlich abgestimmt werden. Aktuell steht daher nicht fest, welches der drei Vorhaben zu welchem konkreten Zeitpunkt verabschiedet werden kann.

Gleichzeitig wird auf der europäischen Ebene weiterhin am Erlass der E-Privacy-Verordnung gearbeitet. Durch diese würde die Regelung des § 22 TTDSG-E verdrängt. Nachdem auch der Vorschlag der deutschen Ratspräsidentschaft abgelehnt wurde, liegt der Ball nun bei der aktuellen Ratspräsidentschaft von Portugal. Mit Blick auf das seit mehr als drei Jahren andauernde Gesetzgebungsverfahren sind belastbare Prognosen über den Abschluss der Verhandlungen schwierig. Klar ist, dass sich das Gesetzgebungsverfahren noch über Monate oder gar Jahre hinziehen wird.

Einschätzung der Datenschutzkanzlei

 Die Neuregelung des § 22 TTDSG-E passt das deutsche Recht im Wesentlichen an die europarechtlichen Vorgaben an und sorgt damit für Rechtsklarheit. Die Regelung bildet insoweit auch die schon bisher durch die Aufsichtsbehörden vertretene Rechtsaufassung und Praxis ab. Es wird klargestellt, dass außerhalb der aufgeführten Ausnahmeregelungen für den Einsatz von Cookies und vergleichbaren Technologien eine Einwilligung grundsätzlich notwendig ist. Bei dem Entwurf handelt es sich insoweit um eine Minimallösung, welche die Regelungsvorgabe der ePrivacy-Richtlinie nahezu eins zu eins in deutsches Recht umsetzt.

Mit Blick auf den Schutz der Privatsphäre ist die gesetzgeberische Klarstellung, dass neben klassischen Endgeräten wie Computer und Smartphone grundsätzlich auch alle anderen mit dem Internet verbundenen Gegenstände von dem Einwilligungserfordernis erfasst sind, zu begrüßen. Gleichzeitig stellt der Entwurf in seiner Begründung klar, dass die Regelung neuere Technologien wie Smartmeter oder das automatisierte Fahren nicht grundlegend einschränkt und erweist sich so als zukunftsfähig.

Aus den Neuregelungen des TTDSG-E hinsichtlich des Einsatzes von Cookies und vergleichbaren Technologien ergeben sich für Anbieter von Websites und Apps im Vergleich zur aktuellen Rechtslage und der erfolgten praktischen Umsetzung keine wesentlichen Änderungen.

Individuelle Beratung für Ihre Website oder App

Jede Website oder App, jedes Unternehmen und jede Branche sind anders und bringen eigene Anforderungen mit. Bei der Beratung zur Cookie-Strategie müssen die verfolgten Ziele, die individuelle Risikobereitschaft und das technische Setup berücksichtigt werden. Gerne unterstützen wir Sie dabei, Ihre passende Lösung zu entwickeln und aufzusetzen. Hier geht´s zum Kontaktformular.

Marinus J. Stehmeier ist Rechtsanwalt und berät Unternehmen im Datenschutz-, E-Commerce- und Wettbewerbsrecht.

Wie hat Ihnen dieser Beitrag gefallen?
(Bewertungen: 4, Ø: 4.8 von 5)