Handel und KonsumgüterIT-Recht und Datenschutz11.03.2021 Newsletter
Neues Telekommunikation-Telemedien-Datenschutzgesetz: Wichtige Neuerungen für Webseiten-Betreiber
Das Bundeskabinett hat sich am 10. Februar 2021 auf einen gemeinsamen Entwurf des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG-RegE) geeinigt. Das geplante Gesetz, das schon in Kürze verabschiedet werden soll (die erste Lesung im Bundestag wird am 25. März 2021 stattfinden), dient der Anpassung datenschutzrechtlicher Regelungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie der Umsetzung wesentlicher Teile der Richtlinie 2002/58/EG (ePrivacy-Richtlinie).
Besonders praxisrelevant ist § 24 TTDSG-RegE, welcher die „Cookie-Vorschrift“ des Art. 5 Abs. 3 der ePrivacy-Richtlinie mit fast zehn Jahren Verspätung nahezu wortgleich in nationales Recht überträgt. Die Vorschrift stellt endgültig klar, was sich vorher schon aus der Rechtsprechung des Bundesgerichtshofs ergab: Webseiten-Betreiber müssen eine aktive und informierte Einwilligung von jedem Besucher einholen, wenn sie auf ihrer Webseite Cookies oder vergleichbare Tracking-Tools verwenden, sofern keine der eng gefassten Ausnahmen greift.
Deutschland rund 10 Jahre in Verzug
Auf EU-Ebene besteht schon seit 2009 die Vorgabe, dass die Verwendung von Cookies oder ähnlicher Tracking-Technologien dem Grundsatz nach nur mit ausdrücklicher Einwilligung der Endnutzer zuzulassen ist, was sich aus Art. 5 Abs. 3 der ePrivacy-Richtlinie ergibt. Der deutsche Gesetzgeber hätte die Vorschrift eigentlich bis Mai 2011 in deutsches Recht überführen müssen. In § 15 Abs. 3 S. 1 TMG, mit dem der Gesetzgeber zumindest Teile des Art. 5 Abs. 3 der ePrivacy-Richtlinie umsetzen wollte, ist jedoch geregelt, dass Telemedienanbieter Nutzungsprofile zu Marketing-Zwecken anlegen dürfen, wenn der jeweilige Nutzer des Telemedienangebots dem nicht widerspricht. Solche Nutzungsprofile werden regelmäßig unter Nutzung von Cookies erstellt.
Der Bundesgerichtshof urteilte in seiner Entscheidung „Cookie-Einwilligung II“ trotzdem, dass § 15 Abs. 3 S. 1 TMG (letztlich entgegen seines Wortlauts) richtlinienkonform dahingehend auszulegen sei, dass Anbieter von Telemedien eine ausdrückliche Einwilligung einzuholen hätten, bevor sie die Speicherung von Cookies auf dem Endgerät des jeweiligen Nutzers auslösten (BGH, Urt. v. 28.05.2020 – I ZR 7/16 Rn. 54, 55).
Setzung von Cookies nur mit informierter und aktiver Einwilligung zulässig
Diese verworrene Rechtslage möchte die Bundesregierung nun mit § 24 TTDSG-RegE auflösen. Die Vorschrift entspricht nahezu wortwörtlich Art. 5 Abs. 3 der ePrivacy-Richtlinie. Die §§ 11 ff. TMG (und damit auch § 15 Abs. 3 S. 1 TMG) sollen gleichzeitig aufgehoben werden.
Was vorher schon über den Umweg einer richtlinienkonformen Auslegung des § 15 Abs. 3 S. 1 TMG galt, würde sich dann unmittelbar aus dem TTDSG ergeben: Anbieter von Telemedien müssen (wenn nicht eine Ausnahme greift) eine Einwilligung einholen, bevor sie eine Speicherung von Cookie-Dateien auf Endgeräten von Endnutzern auslösen oder sie auf Endgeräten gespeicherte Daten auslesen. Letzteres ist regelmäßig bei Tracking-Technologien wie dem sog. Fingerprinting der Fall.
Ausnahmen gelten für Cookies, die für die Funktion einer Webseite, welche durch den Webseiten-Besucher angefordert wird, anhand der vernünftigen Erwartungen des Durchschnittsnutzers unbedingt erforderlich sind. Hierunter können z. B. Cookies fallen, die zum Betrieb eines Consent-Management-Tools notwendig sind oder Cookies, die die Warenkorbfunktion in einem Online-Shop ermöglichen.
Ist eine Einwilligung erforderlich, muss diese nach den relevanten Regelungen der DSGVO (insbesondere Art. 7 DSGVO) aktiv durch den Webseiten-Besucher erteilt werden. Daher genügt es nicht, wenn Webseiten-Betreiber in die „Weiternutzung“ ihrer Seite trotz eines Hinweises auf die Nutzung von Cookies eine implizite Zustimmung hineindeuten. Regelmäßig muss die Einwilligung etwa durch einen aktiven Klick des Nutzers auf einen entsprechend beschrifteten Button eingeholt werden. Im Rahmen des jeweiligen Banners/Fensters, in das der Button integriert ist, ist mit in klarer und verständlicher Sprache über die Nutzung und Funktionsweise von Cookies aufzuklären, wobei bzgl. der Details auf eine ausführlichere Policy bzw. die Webseiten-Datenschutzhinweise verwiesen werden kann. Nur soweit und sobald eine aktive informierte Einwilligung erteilt worden ist, darf die Speicherung auf dem Endgerät des Nutzers ausgelöst werden. Um die Freiwilligkeit der Einwilligung sicherzustellen, muss es möglich sein, die Webseite auch ohne eine Einwilligung in nicht unbedingt notwendige Cookies zu nutzen.
Verstärkte Ahndung durch Bußgelder zu erwarten
Webseiten-Betreiber, die gegen die beschriebenen Grundsätze verstoßen, sollten dringend tätig werden. Ansonsten drohen Bußgelder und Abmahnungen durch Wettbewerber.
Zwar haben sich die deutschen Aufsichtsbehörden – wohl wegen der in Deutschland jahrelang unklaren Rechtslage – bei der Ahndung von Verstößen im Zusammenhang mit Cookies bisher zurückhaltend gezeigt. Jedoch hatten sie nach Bekanntwerden des genannten BGH-Urteils bereits Ende 2020 eine länderübergreifende Datenschutz-Prüfung zu Tracking-Technologien auf Webseiten von Zeitungsverlagen öffentlich gemacht. Wir erwarten, dass die Aufsichtsbehörden die Sanktionspraxis ab Inkrafttreten des TTDSG spürbar intensivieren werden.
Nach § 26 Abs. 1 Nr. 13 i. V. m. Abs. 2 TTDSG-RegE können für Verstöße gegen § 24 TTDSG-RegE Geldbußen bis zu 300.000 € verhängt werden. Für unzulässige Verarbeitungen personenbezogener Daten von Webseiten-Besuchern im Anschluss an die Speicherung eines Cookies auf dem jeweiligen Endgerät oder die Auslesung dort gespeicherter Daten sind die Regeln der DSGVO anwendbar, wodurch deutlich höherer Geldbußen verhängt werden können (vgl. Art. 83 Abs. 4, 5 DSGVO).
Hinzu kommt, dass in der Praxis immer häufiger Abmahnungen von Webseiten-Betreibern durch Wettbewerber auf der Grundlage von § 3a UWG erfolgen. Zwar ist lebhaft umstritten, inwieweit datenschutzrechtliche Regeln als Marktverhaltensregeln im Sinne der Vorschrift angesehen werden können. Allerdings haben mittlerweile eine Reihe von Instanzgerichten die Abmahnfähigkeit bejaht.
Europäische Nachfolgeregelungen nehmen Gestalt an
Auch nach der Umsetzung der beschriebenen Grundsätze sollten Webseiten-Betreiber die Entwicklung der Rechtslage auf EU-Ebene im Auge behalten.
Zum einen hat die seit langem geplante ePrivacy-Verordnung eine wichtige Hürde genommen. Der Rat der EU einigte sich (am selben Tag wie das Bundeskabinett zum TTDSG) auf einen Text, der nun die Grundlage für die Trilogverhandlungen zwischen Rat, Parlament und Kommission der EU bildet. Nach der ursprünglichen Planung sollte die Verordnung zeitgleich mit der DSGVO in Kraft treten und die ePrivacy-Richtlinie ersetzen. Die EU-Mitgliedstaaten rangen jedoch jahrelang um einzelne Artikel, wobei gerade auch die Voraussetzungen der Verwendung von Tracking-Technologien eines der Streitthemen war.
Der jüngst veröffentlichte Entwurf enthält wesentliche Änderungen zu Art. 5 Abs. 3 der ePrivacy-Richtlinie und § 24 TTDSG-RegE. Insbesondere soll es unter bestimmten Voraussetzungen möglich sein, den Zugang zu einer Webseite von der Einwilligung in nicht notwendige Cookies für weitere Zwecke abhängig zu machen (sog. Cookie-Wall), etwa wenn alternativ ein kostenpflichtiger Zugang ohne solcher Cookies möglich bleibt (Erwägungsgrund (20aaaa) des Entwurfs). Die deutschen Aufsichtsbehörden, insbesondere der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) ist dieser Entwicklung entschieden entgegengetreten. Es bleibt abzuwarten, wann und in welcher Form die ePrivacy-Verordnung letztlich in Kraft treten wird.
Wichtig ist schließlich der geplante Data Governance Act, der derzeit ebenfalls in Entwurfsform vorliegt. In Art. 9 des Entwurfs ist ein Anmeldeverfahren für Anbieter von sogenannten Personal Information Management Systemen (PIMS) vorgesehen. PIMS ermöglichen es Nutzern insbesondere, Einwilligungen in die Verarbeitung von Nutzungsdaten mittels Cookies einmal in informierter Weise für eine Mehrzahl konkreter Fälle zu treffen (bspw. für einen bestimmten Typ von Cookies). Dies könnte das derzeitige Prozedere, nämlich die ständige Aufforderung der Webseiten-Besucher zur Abgabe einer Einwilligungserklärung, in Zukunft nachhaltig ändern und auch eine technische Anpassung durch Webseiten-Betreiber notwendig machen.
Empfehlungen für die Praxis
Mit Inkrafttreten des TTDSG ändert sich für Webseiten-Betreiber auf den ersten Blick wenig. Schon seit dem erwähnten Urteil des Bundesgerichtshofs war klar, dass bei der Verwendung nicht technisch notwendiger Cookies eine ausdrückliche und informierte Einwilligung der Webseiten-Besucher notwendig war. Allerdings hatten die Aufsichtsbehörden – möglicherweise wegen der unklaren Gesetzeslage – davon abgesehen zahlreiche Bußgelder nach den Regeln des TMG zu verhängen. Diese Schonfrist dürfte spätestens ab Inkrafttreten des TTDSG vorbei sein. Webseiten-Betreiber sollten daher dingend überprüfen, ob – je nach konkretem Einsatz von Cookies/Tracking-Tools – eine Einwilligung notwendig ist und ob diese wirksam eingeholt wird. Zusätzlich sollten Webseiten-Betreiber die auf EU-Ebene geplanten Gesetzgebungsverfahren im Auge behalten, die nachhaltige Änderungen für die Modalitäten der Einholung von Einwilligungen mit sich bringen könnten.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994