Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) hat die Bundesregierung den Zugriff auf Endeinrichtungen und somit auch die Cookie-Nutzung nun gesetzlich geregelt. Das Gesetz ist am 01.12.2021 in Kraft getreten.
Ziel des neuen TTDSG
Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz werden die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst und in einem Gesetz zusammengefasst, auch unter Berücksichtigung der E-Privacy-Richtlinie 2002/58/EU.
Welche Neuerungen bringt das Gesetz?
Sowohl der Europäische Gerichtshof (EuGH) als auch der Bundesgerichtshof (BGH) haben über Fragen zum Einsatz von Tracking-Cookies (oder ähnlichen Technologien) bereits zu einem früheren Zeitpunkt entschieden. (EuGH, Urteil vom 01.10.2019 – C -673/17; BGH, Urteil vom 28.05.2020 – Az. I ZR 7/16).
Mit § 25 Abs. 1 TTDSG wird die ausdrückliche Einwilligung für das Speichern und Lesen von Informationen auf Endeinrichtungen nun im deutschen Recht fest verankert:
„§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679zu erfolgen.“
§ 25 TTDSG verweist damit für die Anforderungen an eine wirksame Einwilligung auf die Vorschriften der DSGVO.
Gibt es Ausnahmen zur Einwilligung?
Gemäß § 25 Abs. 2 TTDSG ist die Speicherung von Informationen auf einem Endgerät oder der Zugriff auf diese auch ohne Einwilligung zulässig, wenn
- der alleinige Zweck die Durchführung und Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist (z.B. Textnachrichten über Messenger oder E-Mails)
oder
- dies unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (z.B. Funktionen wie ein „Warenkorb“ oder die Authentifizierung von Nutzern).
Welchen sachlichen Anwendungsbereich erfasst § 25 TTSDG?
Der sachliche Anwendungsbereich des § 25 TTDSG wird durch die Legaldefinition der Endeinrichtung in § 2 Abs. 2 Nr. 6 TTDSG und des Endnutzers in § 3 Nr. 13 TKG neue Fassung umschrieben.
„Endeinrichtung“ ist jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten.„ Nach dem aktuellen Stand der Technik sind das neben Laptops, Tablets, Smartphones, Smart TVs, E-Mail- und Messenger-Dienste, Sprachassistenten auch Connected Devices des Internet of Things, die mit dem Internet verbunden sind und somit Daten übertragen können.
Als „Endnutzer“ wird ein Nutzer definiert, „der weder öffentliche Telekommunikationsnetze betreibt noch öffentlich zugängliche Telekommunikationsdienste erbringt“, d.h., jede natürliche oder juristische Person, die einen öffentlichen Telekommunikationsdienst in Anspruch nimmt, ohne ihn bereitzustellen.
Steht § 25 TTDSG in Konkurrenz mit der DSGVO?
Das TTDSG schützt Informationen unabhängig von ihrem Personenbezug, wie etwa auch Geschäftsinformationen einer juristischen Person. Werden durch Speichern und Auslesen zugleich personenbezogene Daten verarbeitet, so stellt sich die Frage, in welchem Verhältnis steht § 25 TTDSG zu Art. 6 Abs. 1 DSGVO und wie ist damit umzugehen? Die E-Privacy-RL und damit auch das TTDSG ergänzen als bereichsspezifisches Datenschutzrecht die allgemeinen Bestimmungen der DSGVO. Sie gelten für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung elektronischer Kommunikationsdienste. Art. 95 DSGVO stellt den Vorrang der E-Privacy-RL und der Umsetzungsvorschriften der Mitgliedstaaten, wie etwa § 25 TTDSG fest, soweit sie dasselbe Ziel verfolgen wie die DSGVO.
Demgegenüber vertritt die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) die Meinung, dass das Verhältnis von § 25 TTDSG zur DSGVO nicht eindeutig sei. Soweit ein Ausnahmetatbestand nach § 25 Abs. 2 TTDSG vorliegt, wird laut GDD in der Regel eine Rechtfertigung nach Art. 6 Abs. 1 DSGVO vorliegen. Bedarf es jedoch nach § 25 TTDSG der Einwilligung, so könne diese die personenbezogene Datenverarbeitung mitabdecken.
Enthält das TTDSG eine überraschende Neuerung?
§ 26 TTDSG regelt „Anerkannte Dienste der Einwilligungsverwaltung“ (PIMS, Personal Information Management-Systeme). Internetnutzer sollen einmalig gegenüber entsprechend anerkannten Diensten angeben können, welchen Kategorien von Cookies sie generell unter welchen Voraussetzungen zustimmen. Der Diensteanbieter leitet die Informationen anschließend automatisch im Hintergrund an die Webseiten weiter. Lästige Cookie-Banner sollen so entbehrlich werden. PIMS ermöglichen Endnutzern die Verwaltung ihrer Einwilligung über die von ihnen genutzten Telemedien hinweg.
Die Ausgestaltung dieser neuen Strukturen soll im Wege einer Regierungsverordnung erfolgen. § 26 Abs. 2 Nr. 3 lit. a) aa) TTDSG verpflichtet die Bundesregierung, durch eine Rechtsverordnung sicherzustellen, dass Software zum Abrufen und Darstellen von Informationen aus dem Internet (bspw. Browser) die Einwilligungsentscheidungen der Endnutzer befolgen. Derzeit gibt es keine Anbieter, die eine von § 26 Abs. 1 TTDSG geforderte Zertifizierung für ihren Dienst vornehmen lassen.
Welche Folgen hat die Nichtbeachtung des TTDSG?
Wer entgegen § 25 Abs. 1 S. 1 TTDSG ohne informierte Einwilligung eine Information speichert oder auf eine Information zugreift handelt ordnungswidrig (§ 28 Abs. 1 Nr. 13 TTDSG). Die Ordnungswidrigkeit kann mit bis zu 300.000 EUR geahndet werden. Zudem können auch Bußgelder wegen Verstoßes gegen die DSGVO verhängt werden, die viel höher ausfallen können (bis zu 20 Millionen EUR oder bis zu 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes). Auch kann die zuständige Aufsichtsbehörde eine Abmahnung aussprechen, sollte kein ordnungsgemäßer Cookie-Banner im Einsatz sein. Unternehmen sollten deshalb prüfen, inwieweit für Tracking- und Werbe-Cookies oder Third-Party-Cookies eine ordnungsgemäße informierte Einwilligung eingeholt wird. Mit dem neuen TTDSG ist diese Pflicht nun gesetzlich festgeschrieben. Aufsichtsbehörden werden spätestens jetzt genauer hinschauen.
Aussichten
Die DSK (Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) bereitet eine Anpassung ihrer Orientierungshilfe für Telemedienanbieter zum Anwendungsbereich der TTDSG, insbesondere zum Erfordernis der Einwilligung nach § 25 Abs. 1 TTDSG vor. Wir freuen uns, Sie über deren Inhalt in einem neuen Newsletter zu informieren.
Autorin: Rosemarie Popa