In Datenschutzkreisen wird aktuell ein „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG-E) lebhaft diskutiert. Dieser noch nicht offiziell veröffentliche Gesetzesentwurf (hier abrufbar) des Bundesministeriums für Wirtschaft und Energie (BMWi) enthält auch eine neue Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien. Grund genug also sich einmal genauer anzuschauen, welche Anforderungen möglicherweise zukünftig durch Anbieter von Websites und Apps beachtet werden müssen.

Überblick zu dem Referentenentwurf

Das TTDSG-E verfolgt das Ziel, eine aus dem Nebeneinander von Datenschutz-Grundverordnung (DSGVO), Telekommunikations-Gesetz (TKG) und Telemedien-Gesetz (TMG) resultierenden Rechtsunsicherheiten zu beseitigen. Hierzu werden die Datenschutz-Bestimmungen des TMG und des TKG aufgehoben und in dem neuen Gesetz zusammengeführt. Im Ergebnis soll hierdurch Rechtsklarheit und ein wirksamer Datenschutz und Schutz der Privatsphäre von Endnutzern gewährleistet werden. In § 9 TTDSG-E findet sich eine Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien. Der Wortlaut der Regelung spricht insoweit technikneutral vom Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Durch die Neuregelung soll die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre für die Endnutzer sichergestellt werden. Die Gesetzesbegründung stellt außerdem ausdrücklich klar, dass funktionierende Geschäftsmodelle durch das Gesetz weder beeinträchtigt noch Innovationen in der digitalen Welt, insbesondere mit Blick auf die Marktposition kleiner und mittlerer Unternehmen sowie Start-Ups im Online-Handel, gegenüber den großen marktdominierenden Unternehmen behindert werden sollen.

Hintergrund der Regelung

Die Neuregelung des § 9 TTDSG-E dient dazu, die Vorgaben der E-Privacy-Richtlinie in deutsches Recht umzusetzen. In Art. 5 Abs. 3 S. 1 E-Privacy-Richtlinie ist insofern ein Einwilligungserfordernis vorgesehen:

„Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.“

In Art. 5 Abs. 3 S. 2 E-Privacy-Richtlinie ist geregelt, in welchen Fällen dieses grundsätzliche Einwilligungsbedürfnis nicht bestehen soll:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Gleichzeitig reagiert die Regelung des § 9 TTDSG-E auf zwei jüngere höchstgerichtliche Entscheidungen. Zum einen hat der Europäische Gerichtshof vor knapp einem Jahr mit seinem Urteil in der Sache Planet 49 (EuGH, Urt. v. 1.10.2019 – C-673/17) die gesetzlichen Anforderungen an eine wirksame Einwilligung weiter konkretisiert. Zum anderen hat der Bundesgerichtshof jüngst mit dem sog. Cookie-II-Urteil (BGH, Urt. v. 28.5.2020 – I ZR 7/16) entschieden, dass das europarechtliche Einwilligungserfordernis auch durch die in ihrem Wortlaut insoweit undeutliche Vorschrift des § 15 Abs. 3 TMG in Deutschland umgesetzt wurde und damit der Einwilligungsvorbehalt für deutsche Unternehmen unmittelbar geltendes Recht ist. Durch die Regelung des § 15 Abs. 3 TMG werden aber insbesondere die Ausnahmemöglichkeiten des Art. 5 Abs. 3 S. 2 E-Privacy-Richtlinie nur unzureichend ausgeschöpft.

Regelungsinhalte des § 9 TTDSG-E

Die Neuregelung des § 9 TTDSG-E ist in vier Absätze untergliedert, die im Folgenden erläutert werden. § 9 Abs. 1 TTDSG-E Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat. Der Absatz setzt das grundsätzliche Einwilligungserfordernis des Art. 5 Abs. 3 S. 1 E-Privacy-Richtlinie in deutsches Recht um. Zugleich wird mit dem Verweis auf die DSGVO (Verordnung (EU) 2016/679) die aktuelle Rechtslage antizipiert und damit für dem Rechtsanwender transparent dargestellt. § 9 Abs. 2 TTDSG-E Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

  1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
  2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
  3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

Der Absatz füllt den europarechtlichen Regelungsspielraum zur Abweichung des Einwilligungserfordernis aus. Es werden drei Fälle unterschieden, in denen eine Einwilligung der Endnutzer nicht notwendig sein soll. Dabei entspricht der Tatbestand des § 9 Abs. 2 Nr. 1 TTDSG von seinem Wortlaut dem in Art. 5 Abs. 3 S. 2 E-Privacy-Richtlinie durch den europäischen Gesetzgeber vorgesehenen Rahmen. Die Ausnahmen des § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG lösen sich von den europarechtlichen Vorgaben und gehen insoweit über den Wortlaut der E-Privacy-Richtlinie hinaus. Nach der Gesetzesbegründung soll die Regelung hier lediglich eine klarstellende Funktion haben und solche Konstellationen umfassen, in denen auf Grund einer vertraglichen Bindung oder gesetzlicher Verpflichtungen eine Einwilligung der Endnutzer insbesondere wegen der jederzeitigen Widerruflichkeit der Einwilligung als rechtliche Grundlage für einen Zugriff auf eine Endeinrichtung rechtstechnisch ausscheiden muss. Nach der Gesetzesbegründung meint dies Fälle, in denen vereinbarte Leistungen ohne den Zugriff auf Informationen in der Endeinrichtung nicht richtig erbracht werden kann. Ein Beispiel bilden vertraglich vereinbarte Softwareupdates oder andere Leistungen einer Software, die für bestimmte Funktionen einen solchen Zugriff zwingend voraussetzen. Als ein weiteres Beispiel werden Smartmeter und andere Geräte zur Versorgung mit Elektrizität, Gas, Wasser oder Wärme benannt, auf die ein Zugriff zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich und daher gesetzlich vorgeschrieben sein kann. § 9 Abs. 3 TTDSG-E Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,

  1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
  2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.

Durch diesen Absatz wird im Bereich der Telemedien, also für Websites und Apps, auf die Rechtsprechung Sache Planet 49 des EuGH Bezug genommen. Die Regelungen schreibt die durch den EuGH entwickelten Grundsätze zur Wirksamkeit einer Einwilligung im Bereich der Telemedien gesetzlich fest. § 9 Abs. 4 TTDSG-E Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. Durch diese Regelung nimmt der deutsche Gesetzgeber Bezug auf Erwägungsgrund 66 der Richtlinie 2009/136/EG, durch die Artikel 5 Absatz 3 der E-Privacy-Richtlinie geändert wurde und seinen aktuellen Regelungsinhalt erhalten hat. In Erwägungsgrund 66 wird durch den europäischen Gesetzgeber klargestellt, dass eine Einwilligung auch durch die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden kann. Nach der Gesetzesbegründung sollen neben Browsereinstellungen auch Online-Verfahren zum Einwilligungsmanagement – etwa über Datentreuhänder – denkbar sein. Im Ergebnis soll die Regelung also bewirken, dass der Nutzer seine Einwilligung nicht mehr hinsichtlich eines jeden Anbieters über ein gesondertes Cookie-Einwilligungs-Banner erteilen muss, sondern dies anbieterübergreifend auch aktiv über seine persönlichen Browsereinstellungen tun kann. Darüber hinaus wird durch die Neuerung auch die Verwendung von sog. Consent-Management-Banner rechtlich anerkannt.

Einschätzung der Datenschutzkanzlei

Die Neuregelung des § 9 TTDSG-E passt das deutsche Recht im Wesentlichen an die europarechtlichen Vorgaben an und sorgt damit für Rechtsklarheit. Die Regelung bildet insoweit auch die schon bisher durch die Aufsichtsbehörden vertretene Rechtsaufassung und Praxis ab. Es wird klargestellt, dass außerhalb der aufgeführten Ausnahmeregelungen für den Einsatz von Cookies und vergleichbaren Technologien eine Einwilligung grundsätzlich notwendig ist. Aus den Neuregelungen des TTDSG-E hinsichtlich des Einsatzes von Cookies und vergleichbaren Technologien ergeben sich für Anbieter von Websites und Apps im Vergleich zur aktuellen Rechtslage und der erfolgten praktischen Umsetzung keine signifikanten Änderungen. Nach dem Zeitplan des Gesetzgebers soll das TTDSG bereist am 21. Dezember 2020 in Kraft treten. Da sich der Entwurf erst in der internen Abstimmung der Bundesregierung befindet, bleibt abzuwarten, ob dieses Ziel tatsächlich erreicht wird. Gleichzeitig arbeitet Deutschland auf europäischer Ebene im Rahmen seiner Ratspräsidentschaft weiterhin am Erlass der E-Privacy-Verordnung und hat hierzu aktuell ein Diskussionspapier vorgelegt. Durch die E-Privacy-Verordnung würde die Regelung des § 9 TTDSG-E verdrängt. Hier ist die weitere Entwicklung im Blick zu behalten.

Individuelle Beratung für Ihre Website oder App

Jede Website oder App, jedes Unternehmen und jede Branche sind anders und bringen eigene Anforderungen mit. Bei der Beratung zur Cookie-Strategie müssen die verfolgten Ziele, die individuelle Risikobereitschaft und das technische Setup berücksichtigt werden. Gerne unterstützen wir Sie dabei, Ihre passende Lösung zu entwickeln und aufzusetzen. Hier geht´s zum Kontaktformular.

Marinus J. Stehmeier ist Rechtsanwalt und berät Unternehmen im Datenschutz-, E-Commerce- und Wettbewerbsrecht.

Wie hat Ihnen dieser Beitrag gefallen?
(Bewertungen: 2, Ø: 5 von 5)