17. Dezember 2021 von Max Windisch
Am 1. Dezember 2021 tritt in Deutschland das sogenannte Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Mit Hilfe des TTDSG wird nun ein jahrelanger Schwebezustand in der deutschen Gesetzgebung zum Datenschutz bei Telemediendiensten beendet sowie die in Teilen unübersichtliche nationale Rechtslage zu datenschutzrechtlichen Vorschriften im Bereich Telemedien und Telekommunikation behoben.
Das TTDSG richtet sich an alle „Anbieter von Telemedien- und Telekommunikationsdiensten“ und beinhaltet unter anderem Vorschriften „zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien“ sowie zu den „von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen“ (§1 TTDSG). Somit sind hier auch sämtliche Betreiber einer gewerblichen Webseite unmittelbar betroffen.
Bereits am 01.10.2019 hatte der EuGH geurteilt (Az. C-673/17 – Planet49 GmbH [1]), dass Webseitenbesucherinnen und -besucher dem Setzen von Cookies aktiv zustimmen müssen, um somit eine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO zu erteilen. Ein sogenanntes Opt-Out-Verfahren ist nicht zulässig.
„Keine wirksame Einwilligung liegt vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.“
Der neue § 25 TTDSG sorgt nun für abschließende Klärung hinsichtlich eben dieser Problematik, indem die vom EuGH vorgegebene Logik aufgegriffen und finalisiert wird. Demnach ist die Speicherung von oder der Zugriff auf Informationen in der Endeinrichtung (also bspw. auf dem PC eines Webseitenbesuchers) zwingend einwilligungsbedürftig. Eine Ausnahme gilt bspw. wenn die Speicherung für die Zurverfügungstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes erforderlich ist (§ 25 Abs. 2 Nr. 2 TTDSG).
Das bedeutet, dass alle nicht-essentiellen Cookies einer Einwilligung bedürfen. Als solche nicht-essentiellen Dienste sind beispielsweise Dienste zu sehen, die das Nutzerverhalten zu Werbezwecken analysieren, tracken und/oder durch Dritte analysieren lassen (z.B. Google Analytics), da die hierbei erfolgte Verarbeitung keine notwendige (technische) Grundvoraussetzung für die Nutzung einer Webseite darstellt.
Erforderlich bleibt allerdings auch hier eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes/Webseitenanbieters (berechtigtes Interesse) berücksichtigt.
Beispiele für einwilligungsfreie Cookies sind weiterhin jene, die ausschließlich funktionale Eigenschaften für die grundsätzliche Nutzung einer Webseite aufweisen. Dazu zählen bspw. Cookies, die den „Warenkorb“ eines Online-Shops ermöglichen oder Einstellungen wie Schriftgrößen speichern. Voraussetzung ist hier, dass diese auch wirklich gezielt nur für diese Zwecke verwendet werden.
Zu der Ausgestaltung von Cookie-Bannern oder Consent-Management-Systemen enthält das neue TTDSG keine Regelungen, sondern verweist in § 25 Abs.1 S.2 TTDSG auf die DSGVO (Art. 7 DSGVO). Dabei sind die Kriterien maßgebend, die der BGH in seiner „Planet49“-Entscheidung im Mai 2020 [2] aufgestellt hat. Dazu zählen unter anderem:
Eine weitere Neuerung enthält § 26 TTDSG, und zwar die sogenannten „Dienste zur Einwilligungsverwaltung“. Diese Dienste, die auch als "Personal Information Management Systems" (PIMS) bezeichnet werden, sollen es Nutzerinnen und Nutzern zukünftig ermöglichen, Ihre Einwilligungen zu organisieren und somit mehr Kontrolle über personenbezogene Daten und den Zugriff Dritter darauf erlangen.
Für die Anerkennung eines Dienstes als PIMS enthält § 26 Abs. 1 TTDSG allerdings umfangreiche Zulassungsvorschriften, so zum Beispiel eine nutzerfreundliche und wettbewerbskonforme Ausgestaltung sowie keinerlei wirtschaftliches Eigeninteresse. Außerdem muss laut TTDSG zunächst ein detailliertes Anerkennungsverfahren für PIMS durch eine Rechtsverordnung mit Zustimmung von Bundestag und Bundesrat ins Leben gerufen werden, um die noch relativ allgemein gehaltenen Anforderungen zu konkretisieren.
Es bleibt deshalb abzuwarten, ob und wann PIMS bei der hohen Anzahl von Cookie-Bannern tatsächlich Abhilfe leisten werden.
Das neue TTDSG kann als Zwischenschritt auf dem Weg zur ePrivacy-Verordnung gesehen werden. Gerade mit Blick auf die Problematik der Cookies werden die derzeit (auf Basis von EuGH- und BGH-Rechtsprechung) bereits gelebten Mechanismen zusätzlich bestärkt und stabilisiert. Über weitere praxisrelevante Fallkonstellationen im Zusammenhang mit dem TTDSG werden wir Sie auf dem Laufenden halten.
Sind Sie sich bezüglich Ihrer Homepage unsicher oder planen Änderungen an dieser vorzunehmen? Zögern Sie nicht, uns zu kontaktieren. Gerne prüfen wir Ihre Webseite für Sie und unterstützen Sie bei der rechtssicheren Ausgestaltung Ihrer Inhalte.
Quellen:
[1] Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung" - „Planet49“-Entscheidung des BGH im Mai 2020
[2] Urteil des EU-Gerichtshofs (Große Kammer)" - „Planet49“-Entscheidung des EuGH im Oktober 2019