Am 1. Dezember 2021 tritt das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG) in Kraft. Unter den Begriff der Telemedien fallen beispielsweise Websites und Apps. Dieses Gesetz tritt neben den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) und soll nicht erwünschte Zugriffe auf Informationen verhindern, die auf Computern, Tablets oder Mobiltelefonen gespeichert sind.
Was bedeutet das für den Einsatz von Cookies und Co.?
Künftig ist bei Nutzung von Technologien wie Cookies, Web Storage, Browser-Fingerprinting etc. – unabhängig von der Frage, ob dabei personenbezogene Daten verarbeitet werden – grundsätzlich eine Einwilligung der Nutzer:innen einzuholen. Hinzutreten kann eine weitere Einwilligung nach der DSGVO, wenn die Verarbeitung personenbezogener Daten in diesem Zusammenhang auf Art. 6 (1) a DSGVO gestützt wird. Dabei können beide Einwilligungen prinzipiell gleichzeitig eingeholt werden.
In § 25 Abs. 1 TTDSG ist der Grundsatz der Einwilligungsbedürftigkeit wie folgt festgelegt:
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
In § 25 Abs. 2 formuliert das TTDSG eng begrenzte Ausnahmen vom Erfordernis der Einwilligung:
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.
Warum ist überhaupt ein neues Gesetz zum Datenschutz erforderlich?
Mit dem TTDSG werden europarechtliche Vorgaben in nationales Recht umgesetzt. Zeitgleich mit der DSGVO sollte ursprünglich auch die ePrivacy-Verordnung als spezialgesetzliche Regelung für den Bereich der elektronischen Kommunikation in Kraft treten. Dies ist jedoch bis heute nicht erfolgt und dürfte wohl auch in absehbarer Zeit nicht umgesetzt werden. Das hat in der Vergangenheit im Bereich Telemedien zu erheblicher Rechtsunsicherheit geführt.
Es war lange unklar, ob und in welchem Umfang nationale datenschutzrechtliche Vorschriften in diesem Bereich noch zur Anwendung kommen konnten. Besonders deutlich zeigten sich die Unsicherheiten im Hinblick auf die rechtliche Bewertung beim Nutzertracking und der Frage, wann für den Einsatz von Cookies eine vorherige Einwilligung von Webseiten-Besucher:innen erforderlich ist.
Der Europäische Gerichtshof hat mit seiner Entscheidung „Planet49“ (EuGH, Urteil vom 1.10.2019 – C-673/17) diese Frage zwar beantwortet. Auch ist der Bundesgerichtshof (BGH) in der Sache „Cookie-Einwilligungen II“ (BGH, Urt. v. 28.5.2020 – I ZR 7/16) zu dem Ergebnis gekommen, dass vor dem Setzen und Auslesen von Cookies Einwilligungen einzuholen sind. Gleichwohl konnte der BGH zur Beantwortung der Frage eines Einwilligungserfordernisses nicht auf Art. 5 Abs. 3 ePrivacy-Richtlinie (Richtlinie 2009/136/EG des Europäischen Parlaments und Rates) zurückgreifen, da die Richtlinie in Deutschland nicht in nationales Recht umgesetzt war. Um den Vorgaben des EuGH zum Einwilligungserfordernis dennoch zu entsprechen, legte der BGH § 15 Abs. 3 TMG schließlich im Sinne der ePrivacy-Richtlinie unter hohem rechtlichen Aufwand aus.
Mit dem TTDSG ist dieser Anwendungskonflikt nun endlich aufgelöst worden.
Wo finde ich weitergehende Hinweise?
Die DSK (Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat ihre Orientierungshilfe für Anbieter:innen von Telemedien in Hinblick auf den Anwendungsbereich des TTDSG ergänzt. Nachstehend können diese Orientierungshilfe und die begleitende Pressemitteilung heruntergeladen werden:
- Orientierungshilfe “Telemedien” der DSK, Stand 20.12.2021 (PDF)
- Pressemitteilung der DSK zur OH Telemedien vom 20.12.2021 (PDF)
