Warten auf ePrivacy: Cookie-Einwilligungspflicht und Weiteres soll in Deutschland vorab gesetzlich verankert werden
Die ePrivacy-Verordnung, welche zusammen mit der DSGVO in Kraft treten und vor allem den Umgang mit Informationen auf Nutzerendgeräten regeln sollte, lässt weiterhin auf sich warten. Das EU-Konsolidierungsverfahren befindet sich im dauerhaften Schwebezustand. Wohl aus diesem Grund hat das Bundesministerium für Wirtschaft und Energie nun den Entwurf eines Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) vorgelegt, der Teile der ePrivacy-Verordnung aufgreifen soll. Wir stellen die für Online-Händler relevanten Inhalte des Gesetzesentwurfs vor.
I. Was regelt der neue Gesetzesentwurf?
Der Gesetzesentwurf zum neuen Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) adressiert in erster Linie Anbieter elektronischer Kommunikationsdienste und Kommunikationsnetze und soll hier ein zusätzliches Schutzniveau für personenbezogene Daten bei der elektronischen Kommunikation erreichen. Dafür übernimmt das Gesetz wesentliche Vorschriften des geltenden Telekommunikationsgesetzes (TKG) und passt diese an den aktuellen Stand der Technik und neue Nutzungsarten an.
Das Gesetz soll insofern die Datenschutzgrundverordnung flankieren.
Neben den Auswirkungen auf die Telekommunikation wagt der Entwurf aber auch einen Vorstoß auf dem Gebiet von Telemedien und richtet sich in einzelnen Teilen an Seitenbetreiber im Allgemeinen.
Das Gesetz etabliert einerseits durch Übernahme diverser Vorschriften aus dem Telemediengesetz (TMG) einen Anforderungskatalog für technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten in Telemedien.
Andererseits – für Seitenbetreiber relevant – soll der Entwurf aber erstmals eine verbindliche und EU-rechtskonforme gesetzliche Regelung zu den Voraussetzungen der Cookie-Setzung auf Nutzer-Endgeräten einführen.
Eine derartige Vorschrift gibt es in Deutschland bislang nicht, der zugrunde liegende Art. 5 Abs. 3 der Cookie-Richtlinie (in der Fassung der Änderungsrichtlinie 2009/136/EG) wurde bislang nicht korrekt umgesetzt.
Die neue Vorschrift will dabei auch die EuGH-Rechtsprechung zu Cookies berücksichtigen.
II. Cookie-Einwilligungspflicht per Gesetz
Bislang gibt es in Deutschland keine gesetzliche Vorschrift, die eine aktive Nutzereinwilligungspflicht für das Setzen technisch nicht notwendiger Cookies postuliert.
Der bisher herangezogene § 15 Abs. 3 TMG ging vielmehr von einer bloßen Opt-Out- (statt einer Opt-In-) Anforderung aus.
Zwar hatte der BGH mit Urteil vom 28.05.2020 (Az. I ZR 7/16) klargestellt, dass § 15 Abs. 3 TMG richtlinienkonform hin zu einer Einwilligungspflicht für technisch nicht erforderliche Cookies ausgelegt werden muss. Dies ging dem vorlegenden Wirtschaftsministerium aber nicht weit genug.
Der neue TTDSG-Entwurf enthält eine detaillierte Regelung zur Cookie-Einwilligungspflicht, die wie folgt lautet:
§ 9 Einwilligung bei Endeinrichtungen
(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.
(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind
- 1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird
- 2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
- 3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.
(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.
§ 9 Abs. 1 des Entwurfes postuliert die grundsätzliche Einwilligungspflicht für das Speichern von Informationen oder deren Auslesen auf Nutzerendgeräten (Hauptanwendungsbereich: Cookies und Pixel).
Absatz 2 enthält Ausnahmen von der Einwilligungspflicht, geht hierbei aber weiter als die bisher bekannten Regelungen.
Eine Einwilligung soll fortan nicht nur dann entbehrlich sein, wenn die Informationsspeicherung oder -Auslegung technisch für den Betrieb einer Webseite oder die Übermittlung einer Kommunikation notwendig ist. Vielmehr werden auch Ausnahmetatbestände eingeführt, die eine Einwilligungspflicht bei einer ausdrücklichen vertraglichen Vereinbarung mit dem Nutzer und beim Erfüllen gesetzlicher Verpflichtungen aufheben.
Hintergrund ist, dass es auf eine Einwilligung nicht ankommen darf, wenn im Zusammenhang mit einer Leistungserbringung das Speichern oder Auslesen von Informationen Vertragsgegenstand ist. Weil die Einwilligung jederzeit widerruflich wäre, stünde damit die Wirksamkeit des Vertrages zur Disposition des Nutzers.
Die Aushebelung der Einwilligungspflicht bei gesetzlichen Verpflichtungen soll bestimmte Konstellationen berücksichtigen, in denen Anbieter aufgrund von gültigen Vorschriften zur Speicherung oder Auslesung von Informationen gehalten sind (etwa aus Gründen der Strafprävention oder -verfolgung, aus Gründen des Gesundheitsschutzes etc.). Um solche Gesetzespflichten nicht auszuhöhlen, darf es hier nicht auf eine Nutzereinwilligung ankommen.
Abs. 3, und Abs. 4 regeln die Anforderungen an die Wirksamkeit der Einwilligung und greifen hier die Leitsätze des EuGH auf. Eine Cookie-Einwilligung soll nur wirksam sein, wenn Sie nach den Grundsätzen der DSGVO eingeholt wurde und der Nutzer Sie aktiv und in Kenntnis von Zweck und Speicherdauer (also informiert) erteilt. Hierfür können nach Abs. 4 gerade Anwendungen wie „Cookie-Consent-Tools“ zur Anwendung kommen.
III. Ausblick
Bislang liegt das neue TTDSG nur als Entwurf vor. Bis es verabschiedet wird, muss es das ordentliche Gesetzgebungsverfahren, also Bundestag und Bundesrat passieren.
Für Seitenbetreiber bringt das Gesetz allerdings nur unwesentliche Änderungen mit sich.
Zwar soll mit ihm erstmals die Einwilligungspflicht für Cookies mit Ausnahmen kodifiziert werden. Deren wesentliche Regelungen gelten hierzulande aber spätestens seit dem Cookie-Urteil des BGH vom 28.05.2020 (Az. I ZR 7/16) ohnehin schon implizit.
Neu ist dahingegen, dass ein Absehen von der Cookie-Einwilligung zukünftig neben der technischen Notwendigkeit auch auf explizite vertragliche Vereinbarungen und gesetzliche Pflichten soll gestützt werden können.
Über neue Entwicklungen zum TTDSG wird die IT-Recht Kanzlei auf dem Laufenden halten.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare