Datenschutz: TTDSG und Cookiebanner aktualisieren?

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) wurde am 23. Juni 2021 vom Bundestag beschlossen und trat kürzlich am 1. Dezember 2021 in Kraft.

Zu finden ist das TTDSG u.a. unter folgenden Internetdressen:

Zweck des in Umsetzung der ePrivacy-Richtlinie (RL 2002/58/EG) und als Anpassung an die DSGVO (VO 2016/679/EU) erlassenen Bundesgesetzes ist die Zusammenfassung von Datenschutzregelungen, die vormals insbesondere im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) geregelt waren. Das Gesetz dient damit der Vereinheitlichung der von Unsicherheiten gekennzeichneten Rechtslage, die sich aus dem mehrschichten Regelungsgefüge und den verschiedenen Rechtsgrundlagen ergab. TMG und TKG enthalten fortan keine Datenschutzregeln mehr

Das TTDSG gliedert sich in die vier Teile „Allgemeine Bestimmungen“ (§§ 1-2), „Datenschutz und Schutz der Privatsphäre in der Telekommunikation“ (§§ 3-18), „Telemediendatenschutz, Endeinrichtungen“ (§§ 19-26) und „Straf- und Bußgeldvorschriften und Aufsicht“ (§§ 27-30). Das Gesetz gilt ausweichlich des § 1 für Anbieter von Telekommunikationsdiensten und Anbieter von Telemediendiensten. Erfasst sind damit nahezu alle Anbieter von Websites und Apps, sodass dem TTDSG eine hohe praktische Relevanz zukommt.

Was bedeutet der Erlass des TTDSG für die schon seit jeher hochumstrittenen Cookie-Banner?

Regelungsgehalt des TTDSG

§ 25 I TTDSG betrifft den Schutz der Privatsphäre bei Endeinrichtungen. Die Speicherung von oder der Zugriff auf Informationen in der Endeinrichtung des Endnutzers ist nur zulässig, „wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“. Die Information und Einwilligung des Endnutzers haben nach den Grundsätzen der DSGVO zu erfolgen. Speicherung und Zugriff in diesem Sinne werden im Regelfall durch Cookies (eine andere Methode ist das Device Fingerprinting) vorgenommen, d.h. Textdateien, die der Diensteanbieter auf dem Endgerät des Nutzers speichert und beim erneuten Aufruf der Website wieder aufrufen kann.

§ 25 II TTDSG enthält wiederum zwei Ausnahmen von dem Grundsatz der Erforderlichkeit einer ausdrücklichen Einwilligung. Eine betrifft den Fall, dass der Zweck der Speicherung oder des Zugriffs allein in der Übermittlung einer Nachricht über ein öffentliches Telekommunikationsnetz ist. Die andere – für den gewöhnlichen Verwender von Cookie-Bannern deutlich relevanter – erklärt die Einwilligung für entbehrlich, wenn Speicherung oder Zugriff „unbedingt erforderlich“ sind, damit der Anbieter seinen Telemediendienst dem Nutzer zur Verfügung stellen kann. Gemeint sind damit die sog. technisch erforderlichen Cookies.

§ 25 TTDSG dient der Umsetzung von Art. 5 III ePrivacy-RL. Diese fordert in Satz 1 des dritten Absatzes, dass Speicherung und Zugriff nur gestattet sind, wenn der Endnutzer eine klare und umfassende Information über die Verarbeitungszwecke erhalten hat und auf sein Recht hingewiesen wird, die Verarbeitung zu verweigern. Die Neufassung RL 2009/136/EG verlangt nunmehr weitergehend die Einwilligung des Nutzers. Satz 2 des dritten Absatzes enthält wiederum die beiden in § 25 II TTDSG umgesetzten Ausnahmen.

§ 26 TTDSG schafft eine Neuerung betreffend die sog. „Einwilligungsverwaltungssysteme“, die auch als „PIMS“ vom englischen „Personal Information Management System“ bezeichnet werden. Mit deren Hilfe können Nutzer auf ihren Endgeräten vorab Einstellungen über die erteilten Einwilligungen vornehmen, die für eine Vielzahl von Websites im Voraus getroffen werden und eine Entscheidung auf jeder einzelnen Seite künftig entbehrlich machen. So können Nutzer beispielsweise bestimmte Tracking-Cookies generell ablehnen, andere wiederum zulassen, was dann von Browsern und Websites automatisch ausgelesen wird und befolgt werden muss

Hintergrund des TTDSG

Hintergrund des § 25 TTDSG ist die Tatsache, dass die Vorgaben des Art. 5 III der ePrivacy-RL in Deutschland bisher nicht unionsrechtskonform umgesetzt worden waren. § 15 III TMG erlaubte es den Diensteanbietern, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung Nutzungsprofile zu erstellen, soweit der Nutzer nicht widerspricht. Auch wenn das zusätzliche Erfordernis der Pseudonymisierung aufgestellt wurde (d.h. die Trennung von Datum und dessen Zuordnung zu einer bestimmten Person), genügt das Erfordernis des „nicht Widersprechens“ nicht den Anforderungen des Art. 5 III ePrivacy-RL.

Dies stellte der BGH in seinem als „Cookie-Einwilligung II“ bekannten Urteil vom 28.05.2020 fest. Darin heißt es in Randnummer 47 u.a.: „§ 15 III 1 TMG ist […] dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist“. Dem BGH vorangegangen war eine Vorlage an den EuGH, die unter der Bezeichnung „Verbraucherzentrale/Planet 49“ bekannt wurde. Danach

„liegt eine wirksame Einwilligung […] nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss“ (Rn. 63).

Die Folge dieser Abkehr vom Opt-Out zum Opt-In war die manipulative Gestaltung von Cookie-Bannern (sog. dark patterns und nudging). Dabei sollen die Nutzer zu ihrer Einwilligung beispielsweise dadurch gedrängt werden, dass der „Akzeptieren“-Button farblich oder durch Gestaltung gegenüber dem „Ablehnen“-Button deutlich hervorgehoben ist oder das Ablehnen mit zusätzlichem Aufwand (z.B. über den Button „weitere Einstellungen“) verbunden ist. Dadurch wird die „Frustration“ des Nutzers ausgenutzt, der im Regelfall nur schnell die Website aufrufen will.

Änderungen durch das TTDSG

§ 25 TTDSG

§ 25 TTDSG hat nicht den Anspruch, an der Gestaltung der Cookie-Banner etwas zu ändern. Die Vorschrift will lediglich das Gesetz auf den Stand bringen, auf dem die Praxis spätestens nach der „Cookie-Einwilligung II“-Entscheidung des BGH seit dem 28.05.2020 bzw. dem EuGH-Urteil „Planet 49“ vom 01.10.2019 ohnehin schon ist – die Setzung nicht technisch erforderlicher Cookies bedarf der ausdrücklichen Einwilligung. Die Beantwortung der Frage, wann eine solche Einwilligung vorliegt und wann nicht, überlässt der Bundesgesetzgeber sogar ausdrücklich dem europäischen Gesetzgeber bzw. dem EuGH (vgl. § 24 I 2 TTDSG). So heißt es in der Begründung des Gesetzesentwurfs:

„Es lassen sich daher aus § 24 TTDSG [jetzt: § 25 TTDSG] keine Schlussfolgerungen dahingehend herleiten, ob und inwieweit diese Anforderungen rechtmäßig erfüllt sind. Die Frage, ob Webseitenbetreiber über Cookies, die nicht im Sinne von § 24 Absatz 2 TTDSG unbedingt erforderlich sind, hinreichend informieren und ob die Einwilligung wirksam erteilt wurde, beurteilt sich im Einzelfall gemäß den in der DSGVO geregelten Anforderungen.“
(BT-Drucksache 19/27441 S. 38)

Die umstrittenen Fragen, wie ein Cookie-Banner zu gestalten ist, damit es eine informierte und damit wirksame Einwilligung ermöglicht (z.B. Vereinheitlichung der Vorgaben, Verankerung eines Äquivalenzgebots), wird also nicht nur nicht adressiert, sondern sogar bewusst umgangen. Es bleibt diesbezüglich bei den Vorgaben der DSGVO.

Die Einwilligung sollte danach „durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betreffende Person mit der Verarbeitung […] einverstanden ist […]“ (Erwägungsgrund 32 der DSGVO). Ob dies der Fall ist oder wann manipulativ gestaltete Cookie-Banner die Grenze der Zulässigkeit überschreiten, obliegt weiter den Grundsätzen, die die Rechtsprechung entwickelt hat und noch entwickeln wird. Der Gesetzgeber hält sich aus dieser Frage mit § 25 TTDSG heraus, sodass sich die Anforderungen an Cookie-Banner hierdurch nicht ändern.

Ein Vorschlag des Bundesrats, eine einfache und standardisierte Ausgestaltung der Cookie-Banner vorzugeben, hat es nicht in den finalen Gesetzesbeschluss geschafft.

§ 26 TTDSG

Die Einführung von PIMS war lange umstritten und fand nach einigem Hin und Her im Gesetzgebungsverfahren Niederschlag in § 26 TTDSG. Es handelt sich hierbei um Dienste von Dritten, die die von den Nutzern geäußerten Interessen gegenüber den Diensteanbietern durchsetzen. Nach § 26 TTDSG können nunmehr Dienste zur Verwaltung von nach § 25 I TTDSG erteilten Einwilligungen von einer unabhängigen Stelle nach einer Rechtsverordnung nach § 25 II TTDSG anerkannt werden. Voraussetzungen der PIMS sind u.a. nutzerfreundliche und wettbewerbskonforme Verfahren, kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung, Datenverarbeitung ausschließlich zur Einwilligungsverwaltung und die Vorlage eines Sicherheitskonzepts.

Letztlich bedarf es also einer Regelung durch Rechtsverordnung der Bundesregierung, die Bereitstellung von PIMS durch den Markt und schließlich die Nutzung der PIMS durch die Nutzer, damit die Cookie-Banner für den jeweiligen Nutzer verschwinden. Damit würden PIMS zugleich den Streit über die Gestaltung von Cookie-Bannern entschärfen, da diese dann zumindest bei den Nutzern, die PIMS nutzen, nicht mehr angezeigt würden. Ob dies tatsächlich so kommen wird, wird die Zeit zeigen.

Fazit zum TTDSG

Mit der Einführung des § 25 TTDSG stellt der Gesetzgeber die Einhaltung der unionsrechtlichen Vorgaben sicher, ohne selbst inhaltliche Unsicherheiten beim Einsatz von Cookie-Bannern zu klären. Es wird lediglich die aufgrund der Gerichtsurteile von EuGH und BGH bereits herrschende Praxis in Gesetz gegossen, ohne neue Anstöße zu geben. Damit lässt der Gesetzgeber die Chance verstreichen, den in Grauzonen agierenden Diensteanbietern und den von Cookie-Bannern genervten Nutzern klare Konturen aufzuzeigen und die andauernde Rechtsunsicherheit zu beseitigen.

Ob die Relevanz von Cookie-Bannern durch die in § 26 TTDSG ermöglichten PIMS sinken wird, wird sich zeigen. Es bedarf zunächst einer Rechtsverordnung der Bundesregierung und der Bereitstellung entsprechender Angebote durch den Markt, die dann auch von den Nutzern verwendet werden, um Voreinstellungen über Cookies zu treffen. Auch hierdurch werden jedoch keine anderen als die jetzigen Anforderungen an die Cookie-Banner gestellt, sondern es wird lediglich versucht, das Problem abzumildern bzw. auf eine vorgelagerte Ebene zu verschieben. Ob dieser Versuch erfolgreich ist, bleibt abzuwarten.

Nicht zuletzt hängt die Frage, welche Relevanz die §§ 25, 26 TTDSG für die Gestaltung von Cookie-Bannern haben werden, von zwei Rechtsakten der Europäischen Union ab – dem Digital Service Act und der ePrivacy-Verordnung. Beide werden datenschutzrechtliche Vorgaben enthalten, die möglicherweise mehr Klarheit und mehr Gestaltungsvorgaben festschreiben und die §§ 25, 26 TTDSG schon bald überholen könnten.

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein?... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen