Das Bundeswirtschaftsministerium (BMWi) hat ein Gesetz erarbeitet, das die datenschutzrechtlichen Regelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) unter Berücksichtigung der DSGVO in einem einheitlichen Gesetz bündeln soll: das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG).
Wann kommt das neue TTDSG?
Das TTDSG tritt am 01.12.2021 in Kraft. Maßgeblicher Treiber für das zeitnahe Inkrafttreten dürfte der Ablauf der Umsetzungsfrist der EU-Vorgaben zum 21.12.2020 sein. Daher sieht das Gesetz auch keine Übergangsregelung vor. Das bedeutet, dass alle Regelungen unmittelbar ab Inkrafttreten gelten und von Unternehmen umgesetzt werden müssen.
Regelwirrwar zu Cookies
Mit dem Inkrafttreten der DSGVO im Jahr 2018 ist das Thema Datenschutz bei Unternehmern und Verbrauchern gleichermaßen ins Blickfeld gerückt. Neben der DSGVO als "Grundregelung" enthalten aber auch viele weitere Gesetze datenschutzrechtlich relevante Vorgaben. Dazu gehören z. B. die datenschutzrechtlichen Bestimmungen für Telemedien und Telekommunikation im TKG und TMG, die jedoch nur gelten, wenn die DSGVO eine entsprechende Öffnung für speziellere Normen vorsieht. Das Nebeneinander einer Vielzahl an gesetzlichen Regelungen sorgt nicht nur bei Juristen, sondern auch bei Verbrauchern, Unternehmen und sogar Aufsichtsbehörden für Rechtsunsicherheit.
Darüber hinaus soll ein Gleichlauf mit dem europäischen Recht erreicht werden. Auf europäischer Ebene sind die allgemeinen rechtlichen Rahmenbedingungen für elektronische Kommunikationsdienste einerseits und die Regelungen zum Datenschutz und zum Schutz der Privatsphäre andererseits in separaten Regelungswerken enthalten, nämlich in der ePrivacy-Richtlinie und im bis zum 21.12.2020 umzusetzenden europäischen Kodex für die elektronische Kommunikation sowie in der DSGVO. Sie bestehen nebeneinander und werden unabhängig voneinander fortentwickelt, zum Beispiel im Rahmen der laufenden Verhandlungen zur ePrivacy-Verordnung.
Was galt bisher für die Verwendung von Cookies?
Bisher war das Setzen und Auslesen von Cookies in § 15 Abs. 3 TMG geregelt, der nach seinem Wortlaut eine Widerspruchslösung vorsieht. Das würde bedeuten, dass Cookies ohne explizite Einwilligung des Website-Nutzers bei diesem gespeichert werden dürften. Will der Nutzer Cookies und die Datensammlung darüber verhindern, müsste er selbst tätig werden und aktiv widersprechen.
Dagegen sieht Art. 5 Abs. 3 der ePrivacy-Richtlinie vor, dass eine Speicherung von Informationen auf Endgeräten und der Zugriff auf gespeicherte Informationen, u .a. durch Cookies, grundsätzlich nur erlaubt ist, wenn der Nutzer seine aktive und informierte Einwilligung zur Datenverarbeitung gegeben hat. Um diese beiden Vorgaben miteinander in Einklang zu bringen, hat der Bundesgerichtshof (BGH) im Mai 2020 einen Kunstgriff angewendet: § 15 Abs. 3 TMG sei europarechtskonform dahingehend auszulegen, dass der Widerspruch bereits in der fehlenden Einwilligung zu sehen sei. De facto sei also auch nach dem TMG eine Einwilligung erforderlich.
Lesetipp: DSGVO, BDSG-neu & ePrivacy-VO
Für Cookies, mit denen personenbezogene Daten verarbeitet werden, ist zudem grundsätzlich auch der Anwendungsbereich der DSGVO eröffnet. Diese sieht in Art. 95 DSGVO vor, dass die ePrivacy-Richtlinie bzw. deren nationale Umsetzungen vorrangig anzuwenden sind. Die Richtlinie verweist für die Anforderungen an die Einwilligung aber wiederum auf die Bestimmungen der DSGVO, so dass die Vorgaben der DSGVO für die Einwilligung zu beachten sind. Gleiches gilt für § 15 Abs. 3 TMG, der die ePrivacy-Richtlinie umsetzen soll. Die Entscheidung des EuGH im Fall Planet49 gibt Leitlinien für die rechtskonforme Nutzung von Cookies vor. Demnach gilt, unabhängig davon, ob die Cookies Personenbezug haben:
Opt-Out-Lösung ist unzulässig: Der Nutzer muss aktiv in das Setzen von Cookies einwilligen. Ein vorangekreuztes Kästchen genügt hierzu nicht.
Informierte Einwilligung: Der Nutzer kann nur wirksam einwilligen, wenn er entsprechend informiert ist. Erforderlich sind Angaben zumindest zu Umfang, Zweck und Dauer der Speicherung, ob Dritte Zugriff haben und dass eine Widerrufsmöglichkeit besteht. Weitere Informationspflichten der DSGVO bleiben daneben bestehen.
Was ändert sich für die Verwendung von Cookies?
Das neue Gesetz sieht eine differenzierende Regelung vor. Maßgebliches Ziel der Regelung ist die Umsetzung der ePrivacy-Richtlinie unter Berücksichtigung der Rechtsprechung von EuGH und BGH. Demnach gilt im Grundsatz, dass Cookies nur mit informierter und ausdrücklich erteilter Einwilligung zulässig sind (§ 25. Abs. 1 TTDSG). Diesbezüglich gelten die vom EuGH aufgestellten Grundsätze.
Die Regelung erlaubt jedoch eng begrenzte Ausnahmen von dem grundsätzlichen Informations- und Einwilligungserfordernis. Die Ausnahmen gelten dabei generell für die Speicherung von Informationen auf Endgeräten und den Zugriff auf gespeicherte Informationen und sind nicht zwingend nur auf Cookies als eine Methode von vielen beschränkt. Im Vergleich zu einem frühen Gesetzesentwurf, der noch Ausnahmen z.B. für Verträge vorgesehen hatte, orientiert sich das finale Gesetz nun enger an der ePrivacy-Richtlinie und lässt lediglich in den folgendenFällen eine Ausnahme von Einwilligungserfordernis zu:
Keine Einwilligung bei technisch erforderlichen Cookies: Soweit das Setzen und Auslesen von Cookies unbedingt erforderlich ist, um Telemediendienste (z. B. Webseiten) bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, muss keine Einwilligung eingeholt werden. Diese Ausnahme ist bereits in der ePrivacy-Richtlinie vorgesehen. Hierunter dürften insbesondere technische Cookies fallen, z. B. zur korrekten Darstellung der Website oder auch zur Gewährleistung der IT-Sicherheit.
Keine Einwilligung bei der Übertragung von Nachrichten: Die zweite Ausnahme erfasst die Übertragung einer Nachricht über ein öffentiches Telekommunikationsnetz. Sofern dies der einzige Zweck der Speicherung oder des Zugriffs von Informationen auf der Endeinrichtung des Nutzers ist, ist keine Einwilligung des Nutzers erforderlich. Dies betrifft insbesondere die Nachrichtenübermittlung.
PIMS: Weg mit Cookie-Bannern?
Das Gesetz sieht vor, dass die Einwilligung auch über alternative Verfahren zum derzeit gängigen Cookie-Banner bzw. Consent-Management erteilt werden kann. Das Ziel dieser Regelung ist die größtmögliche Nutzerfreundlichkeit: der Endnutzer solle sein Recht auf einfachste Weise wahrnehmen können. So soll die Möglichkeit gegeben werden, die Einwilligung über anerkannte Dienste zur Verwaltung persönlicher Informationen, sog. Personal Information Management Services (PIMS) zu erteilen (vgl. § 26 TTDSG). Diese sollen dem Endnutzer die zentrale Verwaltung seiner datenschutzrechtlichen Einwilligungen ermöglichen und ihm die Kontrolle seiner Online-Identität erleichtern (z.B. durch Geltendmachung von Auskunftsrechten).
Datenschützer sehen das PIMS jedoch kritisch, da damit das Risiko der interessenwidrigen Beeinflussung, Fremdbestimmung oder sogar eine weitere kommerzielle Verwendung für personenbezogene Daten einhergehen könne (Daten für Geld).
Das TTDSG soll diese Risiken abmindern, indem die Anforderungen an Vereinbarungen zwischen Endnutzern und PIMS-Anbietern, die Unabhängigkeit von wirtschaftlichen Interessen an der Verarbeitung von Daten und die Anforderungen an die Qualität und Zuverlässigkeit von PIMS geregelt werden. PIMS-Anbieter sollen insbesondere durch ein Sicherheitskonzept nachweisen, dass sie zur Einhaltung der gesetzlichen Anforderungen an Datenschutz und Datensicherheit in der Lage sind. Zukünftig soll der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für die Anerkennung von PIMS zuständig sein. Spezifischere Anforderungen werden zudem in einer noch zu verabschiedenden Rechtsverordnung festgelegt.
Lesetipp: WannaCry und Co. - Rechtliche Verpflichtungen nach einem Cyber-Security-Vorfall
Unternehmen müssen sich damit zukünftig - neben Cookie-Bannern - auch mit diesen alternativen Einwilligungsmöglichkeiten auseinandersetzen. Hier ist insbesondere zu beachten, dass der Nutzer weiterhin ausreichend und transparent informiert wird und die Einwilligung zwecks Nachweis dokumentiert wird.
Es bleibt zudem abzuwarten, ob dies zu einem Verzicht auf die allseits ungeliebten Cookie-Banner führen kann. Denn der Website-Betreiber muss weiterhin den Nutzer über den Einsatz von Cookies rechtzeitig, d.h. beim ersten Setzen eines Cookies, über die Einzelheiten der Datenverarbeitung informieren. Hierzu bietet sich auch bei alternativen Einwilligungsmöglichkeiten grundsätzlich ein Cookie-Banner mit entsprechenden Informationen an - nicht zuletzt auch, weil manche Nutzer möglicherweise auf solche Alternativen verzichten oder sie schlichtweg nicht kennen und weiterhin Cookie-Banner nutzen werden.
Weitere geplante Änderungen?
Die datenschutzrechtliche Aufsicht, die momentan von der Bundesnetzagentur (BNetzA, im Bereich des TKG) und dem BfDI wahrgenommen wird, wird neu geordnet werden. Der BfDI ist danach zukünftig die allein zuständige Datenschutzbehörde für Bestimmungen zum Schutz der personenbezogenen Daten, soweit natürliche Personen betroffen sind und der Anwendungsbereich des TTDSG eröffnet ist.
Für die Aufsicht über die Einhaltung der übrigen Bestimmungen, die nicht dem Schutz der personenbezogenen Daten natürlicher Personen dienen, ist die BNetzA zuständig.
Im Vergleich zu einem früheren Gesetzesentwurf wurde der Bußgeldrahmen deutlich reduziert: Statt sich, wie in der DSGVO, am Umsatz eines Unternehmens zu orientieren und so potenziell Bußgelder in Millionenhöhe nach sich zu ziehen, bewegen sich Bußgelder nun - abhängig vom jeweiligen Verstoß gegen das TTDSG - nach § 28 TTDSG in einem Rahmen von 10.000 Euro bis 300.000 Euro je Verstoß. Originäre Verstöße gegen die DSGVO - die bei dem engen Zusammenhang mit dem TTDSG oftmals naheliegen - bleiben jedoch weiterhin auch nach DSGVO sanktionierbar.
Lesetipp: Die teuersten Datenschutz-Fails
Das neue TTDSG soll sich zukünftig auch, neben öffentlichen Telekommunikationsdiensten und -netzen sowie Telemedien, an sogenannte Over-the-Top Dienste richten (OTT). Darunter fallen beispielsweise Chat- und E-Mail-Dienste. Anbieter solcher OTT-Dienste unterfallen nun auch den bisherigen Regelungen des TKG unterfallen. Nicht in den Anwendungsbereich des TTDSG fallen hingegen nicht öffentlich zugängliche Kommunikationsnetze wie etwa Unternehmensnetze sowie Telekommunikationsdienste, die nicht über öffentliche Netze erbracht werden (z.B. innerhalb eines geschlossenen Firmen-Intranets). Der Anwendungsbereich hat insbesondere Auswirkung auf die Geltung der Regelungen zum Fernmeldegeheimnis, den Schutz der Verkehrsdaten und die Einschränkung der Datenspeicherung zur Störungsbeseitigung und zur Missbrauchsbekämpfung.
Empfehlungen mit Blick auf die ePrivacy-Verordnung
Die derzeit ebenfalls im Entwurfsstadium befindliche ePrivacy-Verordnung soll für den Bereich der Cookie-Nutzung vorrangig vor TTDSG, DSGVO & Co. gelten und damit Abhilfe hinsichtlich der Rechtsunsicherheit schaffen. Derzeit lässt sich jedoch nicht abschätzen, ob und wann es zu einer Einigung bezüglich der ePrivacy-Verordnung kommt und wann die neuen Regelungen gegebenenfalls in Kraft treten werden. Wiederholte Verstöße durch verschiedene Beteiligte in den auf EU-Ebene zuständigen Gremien und entsprechende Einigungsversuche blieben bisher erfolglos. Teilweise wird ein Inkrafttreten der ePrivacy-Verordnung nicht vor 2025 angenommen. Sollte es schlussendlich doch zu einer Einigung kommen, müsste der Gesetzgeber dann jedoch nur das TTDSG anpassen und könnte sich eine aufwändige Anpassung des TMG und des TKG ersparen. Für Unternehmen hätte dies den Vorteil, dass auch sie nur von einem Gesetz auf ein anderes umstellen und nicht eine Vielzahl von verschiedenen Regelwerken im Glick behalten müssten.
Bis zur Geltung der ePrivacy-Verordnung müssen Unternehmen, die Telemedien betreiben oder in diese Bereich tätig sind, sich aber ab dem 01.12.2021 vorerst am TTDSG sowie an der DSGVO orientieren. Der Einsatz von Cookies sollte zu diesem Anlass idealerweise noch einmal überprüft und rechtskonform ausgestaltet werden. Auch der Umgang mit PIMS und ähnlichen Systemen sollte geklärt und in den eigenen Prozessen gegebenenfalls schon berücksichtigt werden. Das TMG selbst wird für den Einsatz von Cookies und ähnlichen Technologien - wenn überhaupt - nur noch eine untergeordnete Rolle spielen. Gleichwohl müssen Anbieter von Telemediendiensten auch weiterhin die Pflichten aus dem TMG beachten (z.B. zum Impressums). Die Regulierung von digitalen Angeboten wird dadurch noch komplexer. (bw)