Datenschutzrecht

TTDSG: Neues Datenschutzgesetz regelt erstmals die Verwendung von Cookies auf Websites

von Dipl.-Jur. Michelle Gaul

Am Donnerstag, den 20. Mai 2021, hat der Deutsche Bundestag nach einer Beschlussempfehlung des Wirtschaftsausschusses den Gesetzesentwurf „zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG-E) angenommen. Das TTDSG soll am 1. Dezember 2021 in Kraft treten. Wir haben für Sie die wichtigsten Änderungen zusammengefasst, die das neue Gesetz mit sich bringt.

Was ist passiert?

Durch die Einführung des TTDSG soll das Nebeneinander von datenschutzrechtlichen Regelungen im Zusammenhang mit Telemedien und Telekommunikationsdiensten im TKG, TMG und der DSGVO und die daraus resultierenden Rechtsunsicherheiten beseitigt und in ein kompaktes Regelungsregime überführt werden. Dies bedeutet, dass die datenschutzrechtlichen Vorschriften mit Inkrafttreten des TTDSG aus dem TKG und TMG ausgegliedert werden. Dies geschieht allerdings nicht ohne zahlreiche Änderungen dieser Ausgangsvorschriften.

Handlungsbedarf des Gesetzgebers für eine Reform bestand aus verschiedenen Gründen. Zum einen galt es die Vorgaben der ePrivacy-RL und der Cookie-RL europarechtskonform in nationales Recht umzusetzen. Hierfür bestand anfänglich kein großer Umsetzungsdruck, da zum einen das BMWE keinen weiteren Anpassungsbedarf sah und zum anderen ursprünglich mit der DSGVO im Jahr 2016 auch die ePrivacy-VO erlassen werden sollte. Diese würde nationale Datenschutzregelungen im Telekommunikations- und Telemedienbereich in weiten Teilen obsolet machen. Jedoch konnte bislang weder diese Frist eingehalten noch auf europäischer Ebene ein Konsens hinsichtlich der ePrivacy-VO erreicht werden. Wann diese kommt, steht immer noch in den europäischen Sternen.

Gesetzliche Regulierung von Cookie-Bannern

Gesetzgebungsdruck bestand letztlich auch aufgrund der Entscheidungen des BGH (Urteil vom 28. Mai 2020 I ZR 7/16 – Cookie Einwilligung II) und des BVerfG (Beschluss vom 27. Mai 2020 1 BvR1873/13, 1 BvR 2618/13 – Bestandsdatenauskunft II).

Nach dem Vorabentscheidungsverfahren vor dem EuGH urteilte der BGH, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die ausdrückliche Einwilligung des Nutzers erforderlich ist. Das TTDSG setzt die Vorgaben aus der Cookie-RL wortgetreu um, bildet mit § 26 TTDSG jedoch die Grundlage für die Implementierung von sog. Personal Information Management Services (PIMS).

Gem. § 25 TTDSG muss der Nutzer einwilligen, bevor ein Cookie gesetzt wird, welches technisch nicht „unbedingt erforderlich“ für die Nutzung des Dienstes ist. Eine technische Notwendigkeit besteht üblicherweise bei Session- oder Warenkorb-Cookies. Bei sog. „Tracking-Cookies“ (Werbung/ Social Media) ist eine Einwilligung folglich zwingend erforderlich.

Noch nicht gerichtlich geklärt ist zwar, ob Dienste zur Reichweiten-Messung, wie etwa Matomo, welche sich keiner Cookies bedienen, sondern das sog. „Browser Fingerprinting“ nutzen, unter diese Regelung fallen. Jedoch spricht der Wortlaut von § 25 TTDSG nicht lediglich von der „Speicherung von Informationen in der Endeinrichtung des Endnutzers“, sondern umfasst ist auch „der Zugriff auf Informationen“. Dies bedeutet, dass auch für die Verwendung eines solchen Dienstes die Einwilligung des Nutzers einzuholen sein wird.

Durch PIMS sollen Nutzer in Zukunft in die Lage versetzt werden ihre persönlichen Voreinstellungen im Browser zu speichern und dadurch soll den für Nutzern oft lästig empfundenen Cookie-Bannern Einhalt geboten werden. Die genauen Voraussetzungen zur Anerkennung von und die Funktionsweise von PIMS werden dagegen erst durch eine noch zu erlassene Rechtsverordnung bestimmt.

Umfangreiche Auskunftspflichten

Des Weiteren hatte das BVerfG mit seinem o.g. Beschluss die bestehenden Regelungen zur Bestandsdatenauskunft für verfassungswidrig erklärt, die bestehenden Regelungen bleiben lediglich bis zum 31.12.2021 anwendbar. Mit dem TTDSG wird nun versucht die Anforderungen und Befugnisse im Rahmen der Bestandsdatenauskunft nach den Vorgaben des BVerfG umfassend neu zu regeln, ob diese Umsetzung verfassungsrechtlich unbedenklich ist, wird allerdings durchaus kritisch gesehen.

Frische Bußgelder

Weitere Änderungen sind zum einen ein neuer Bußgeldrahmen (bis zu 300.000 Euro) für Verstöße gegen die Tracking-Vorgaben. Im Vergleich zur DSGVO (Bußgelder bis zu 20 Millionen Euro) fällt der Bußgeldrahmen im TTDSG also deutlich geringer aus. Ob dadurch dieselbe abschreckende Wirkung erzielt wird, ist fraglich.

Zum anderen findet eine Ausweitung des Fernmeldegeheimnisses auf Over-the-Top (OTT)-Dienste, wie Messenger, Internettelefonie und E-Mailing, statt. Zudem stellt § 4 des TTDSG, angelehnt an die Entscheidung des BGH zum digitalen Erbe, nun ausdrücklich klar, dass das Fernmeldegeheimnis dem Anspruch von Erben nicht entgegensteht.

Nicht in das TTDSG aufgenommen wurde die zuvor stark thematisierte Ausweispflicht zur Identifizierung von Nutzern von Telemediendiensten.

Was müssen Sie konkret tun?

Unternehmer sollten noch einmal eingehend überprüfen, ob für Ihre Websites tatsächlich Cookies gesetzt werden müssen, die nicht für den Betrieb der Seite zwingend notwendig sind. Kann darauf verzichtet werden, können auch die ungeliebten Hinweise wegfallen.

Werden über die technisch notwendigen Cookies hinaus weitere Cookies gesetzt, ist hierfür zwingend eine Einwilligung erforderlich. Unternehmen müssen hier prüfen, ob ihre „Cookie-Banner“ den gesetzlichen Vorgaben entsprechen. Hier sollten statt reinen Banner-Lösungen Consent-Management-Tools (CMT) eingesetzt werden, welche die Einwilligungen der Nutzer erfassen und nachweisbar vorhalten. Durch den Einsatz solcher CMT kann zudem sichergestellt werden, dass die Einwilligung den gesetzlichen Vorgaben entspricht und es nicht etwa zum sog. „Nudging“, also der bewussten Beeinflussung der Entscheidung durch die optische Darstellung, kommt, welches durch die Aufsichtsbehörden kritisiert wird.

Wir beraten Sie gerne bei der rechtlichen Beurteilung von Cookie-Lösungen und der rechtskonformen Umsetzung von Consent-Management Tools. Sprechen Sie uns gerne an!  

Marva Pirweyssian

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft…

2 Monaten ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago