Referententwurf: Neue Regeln für Cookies

Update: Der Gesetzentwurf wurde noch einmal stark überarbeitet und nun offiziell veröffentlicht. Den Beitrag finden Sie hier.

Das Bundesministerium für Wirtschaft arbeitet an einem Gesetzentwurf, der u.a. den Einsatz von Cookies regelt. Es geht um den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG-E). Der Gesetzentwurf ist noch nicht offiziell veröffentlicht, aber bereits vorab bekannt geworden.

Die entsprechende Regelung zum Einsatz von Cookies enthält § 9 TTDSG-E.

Grundsatz: Einwilligung

Abs. 1 regelt zunächst das Erfordernis einer entsprechenden Information und Einwilligung. Dritte dürfen auf Endeinrichtungen des Endnutzers nur mit dessen Einwilligung zugreifen, um dort Informationen zu speichern oder um dort gespeicherte Informationen auszulesen.

Einwilligung bei Endeinrichtungen

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

Ausnahmen vom Einwilligungserfordernis

§ 9 Abs. 2 TTDSG-E nennt drei Fälle, in denen keine Einwilligung notwendig ist.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

1.technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,

2.vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder

3.zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

Die Ausnahme in Nr. 1 greift die Ausnahme des Einwilligungserfordernisses in Art. 5 Abs. 3 e-Privacy-RL (RL (2002/58/EG) auf, wenn die Tätigkeit technisch erforderlich ist, um eine Kommunikation zu übermitteln oder vom Endnutzer nachgefragte Telemedien bereitzustellen.

Nr. 2 setzt eine vertragliche Vereinbarung über das Setzen Cookies voraus – eine entsprechende Vereinbarung ließe das Einholen entsprechender Einwilligungen entfallen. Eine Einwilligung des Endnutzers ist also dann nicht erforderlich, wenn der Endnutzer mit einem Anbieter im Zusammenhang mit der Erbringung von Dienstleistungen ausdrücklich vertraglich vereinbart hat, dass der Diensteanbieter dazu Informationen auf der Endeinrichtung des Endnutzer speichern und auf dort gespeicherte Informationen zugreifen kann.

Ebenso sollen die in Abs. 1 genannten Anforderungen nach Nr. 3 nicht bei der Erfüllung einer entsprechenden gesetzlichen Verpflichtung bestehen.

Anforderungen an die Wirksamkeit der Einwilligung

Abs. 3 stellt bestimmte Anforderungen an die Wirksamkeit der Einwilligung und übernimmt diese aus dem Planet-49-Urteil des EuGH.

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung

in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,

1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und

2.der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.

Einwilligung durch Browser-Einstellung?

§ 9 Abs. 4 TTDSG-E nimmt Bezug auf Erwägungsgrund 66 der Cookie-Richtlinie (RL 2009/136/EG), durch die Art. 5 Abs. 3 e-Privacy-RL geändert wurde. Danach kann die Einwilligung auch durch die Nutzung entsprechender Einstellungen, die der Endnutzer in seinem Browser vornimmt, oder durch eine andere Anwendung erfolgen, wenn es technisch durchführbar und wirksam ist.

(4) Der Endnutzer kann die Einwilligung auch erklären, indem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.

Das Ziel ist nach der Entwurfsbegründung die größtmögliche Nutzerfreundlichkeit.

Erhöhung des Bußgeldes

Zudem sieht § 25 Abs. 3 Nr. 1 TTDSG-E vor, dass Art. 83 Abs. 4 DSGVO Anwendung findet, wenn gegen das Verbot nach § 9 TTDSG-E, ohne Einwilligung des Endnutzers Informationen auf dessen Endeinrichtungen zu speichern oder auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, zuzugreifen, verstoßen wird. Damit werden die Bußgelder entsprechend angehoben. Danach könnten im Falle eines Verstoßes Geldbußen von bis zu 10 Millionen EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Fazit

Noch ist dies ein erster Entwurf. Es bleibt abzuwarten, ob die Regelungen tatsächlich so in Kraft treten werden. Fraglich ist bereits, ob es technisch durchführbar ist, eine aktive Einwilligung durch Browsereinstellung einzuholen. Die sicherste Lösung ist nach wie vor der Einsatz eines Consent-Managers.

peterschreiber.media/Shutterstock.com

24.08.20