Die Bundesregierung hat den Entwurf für ein Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG-E) beschlossen. Anlass des neuen Gesetzesentwurfs ist die Cookie-Einwilligung-II-Entscheidung des Bundesgerichtshofs (BGH, Urteil vom 28.5.2020 – I ZR 7/16), nach der die sog. Cookie-Richtlinie nicht vollständig in deutsches Recht umgesetzt wurde. Der Gesetzesentwurf soll diese Lücke schließen und unter anderem Rechtssicherheit beim Einsatz von Cookies bringen.
1. Ziel des TTDSG-Entwurfs
Ziel des Gesetzesentwurfs ist es, die durch das Nebeneinander von Telekommunikationsgesetz (TKG), Telemediengesetz (TMG) und Datenschutzgrundverordnung (DSGVO) entstandenen Rechtsunsicherheiten auszuräumen. Dafür sollen die Datenschutzbestimmungen des TMG und des TKG an die DSGVO angepasst und im Rahmen des neuen TTDSG einheitlich geregelt werden. Das TTDSG soll einen wirksamen Datenschutz sowie Schutz der Privatsphäre der Endnutzer gewährleisten.
2. Voraussetzungen für die Verwendung von Cookies und Tracking-Tools nach TTDSG-E
Der Bundesgerichtshof (BGH) hat in einer Entscheidung (BGH, Urteil vom 28.5.2020 – I ZR 7/16) ein Einwilligungserfordernis für den Zugriff bzw. die Speicherung von Endnutzerdaten durch den Einsatz von technisch nicht notwendigen Cookies und anderen Tracking-Tools angenommen. Ein ausdrückliches Einwilligungserfordernis fand sich bislang weder in der DSGVO noch im TMG.
Eine entsprechende gesetzliche Regelung zum Schutz der Privatsphäre bei der elektronischen Kommunikation ist jetzt in dem neuen Gesetzesentwurf in § 24 Abs. 1 TTDSG-E vorgesehen. Die Neuregelung soll dabei nicht nur für die Kommunikation über das Telefon oder das Internet, sondern auch für die Kommunikation über alle anderen Endgeräte, die an das öffentliche Kommunikationsnetz angeschlossen sind, gelten. Neben Computern und Smartphones können das unter Umständen auch Küchengeräte, Heizkörperthermostate oder Alarmsysteme sein.
a) Einwilligungserfordernis als Grundsatz
Nach § 24 Abs. 1 TTDSG-E soll die Speicherung bzw. der Zugriff auf Daten von Endnutzern grundsätzlich nur noch mit Einwilligung des jeweiligen Endnutzers erlaubt sein. Die Einwilligung hat dabei auf Grundlage von klaren und umfassenden Informationen zu erfolgen. In der Praxis kommen hierfür sogenannte Consent Management Plattformen zum Einsatz. Die Anforderungen an die gegenüber den Endnutzern zu erteilende Informationen und die Einwilligung sind im TTDSG-E selbst nicht geregelt. Diesbezüglich verweist der TTDSG-E auf die entsprechenden Regelungen der DSGVO. Ob die am Markt verfügbaren Consent Management Plattformen diese Anforderungen erfüllen können, wird sich noch zeigen müssen.
b) Ausnahmen vom Einwilligungserfordernis
Nach § 24 Abs. 2 TTDSG-E bedarf es hingegen keiner Einwilligung für den Einsatz technisch notwendiger Cookies. Um technisch notwendige Cookies handelt es sich, wenn diese Cookies zwingend erforderlich sind, um die Webseite bereitzustellen. Welche Cookies technisch notwendig sind, hängt dabei von der jeweiligen Webseite ab. Beispiele für technisch notwendige Cookies sind Session-Cookies oder Cookies für Login-Daten oder Warenkörbe. Unter technisch nicht notwendigen Cookies versteht man hingegen Cookies, die z.B. lediglich zu Werbezwecken oder der Profilbildung eingesetzt werden.
Darüber hinaus bedarf es gem. § 24 Abs. 2 TTDSG-E keiner Einwilligung, wenn Zweck des Zugriffs bzw. der Speicherung der Daten lediglich die Nachrichtenübertragung über ein öffentliches Telekommunikationsnetz ist.
3. Ausblick
Nachdem der Bundesgerichtshof (BGH) davon ausgeht, dass der Einsatz technisch nicht notwendiger Cookies zwingend einer ausdrücklichen Einwilligung der Endnutzer bedarf (BGH, Urteil vom 28.5.2020 – I ZR 7/16), soll dieses zwingende Einwilligungserfordernis nunmehr durch den Entwurf des TTDSG gesetzlich normiert werden.
Auch ein neuer Entwurf der ePrivacy-Verordnung vom 10.02.2021 sieht ein solches Einwilligungserfordernis vor.
Da innerhalb der Rechtsprechung und der Gesetzgebung ein klarer Trend in Richtung des „Einwilligungserfordernisses“ zu erkennen ist, sollten Webseitenbetreibern prüfen, ob auf ihrer Webseite auch Cookies zum Einsatz kommen, die zur Bereitstellung der Webseite nicht unbedingt erforderlich sind. Ist dies der Fall, sollte eine Consent Management Plattform implementiert werden.
