Update 16.2.2021: Das Bundeskabinett hat den Gesetzentwurf am 10.2.2021 beschlossen und den entsprechenden Regierungsentwurf veröffentlicht. Die Regelung zu Cookies enthält nun § 24 TTDSG-E. Der Wortlaut wurde noch einmal leicht angepasst:
§ 24 Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Über das weitere Gesetzgebungverfahren werden wir Sie auf dem Laufenden halten. Den Regierungsentwurf zum TTDSG können Sie hier abrufen.
Bereits im August 2020 ist ein Gesetzentwurf des Bundesministeriums für Wirtschaft bekannt geworden, der u.a. den Einsatz von Cookies regeln sollte. Nun wurde der Referentenentwurf hierzu, der noch einmal stark verändert wurde, offiziell veröffentlicht. Es handelt sich um den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ (TTDSG-E).
Die entsprechende Regelung zum Einsatz von Cookies enthält § 22 TTDSG-E. Zudem sieht der Entwurf vor, dass § 15 TMG komplett aufgehoben werden soll.
Durch die neue Regelung soll Art. 5 Abs. 3 der ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG) in nationales Recht umgesetzt werden. Das Telemediengesetz (TMG), dass diese Umsetzung wiederspiegeln sollte, hätte schon vor Jahren angepasst werden müssen. In seinem Planet 49-Urteil entschied der EuGH bereits, dass eine Einwilligung gemäß Art. 5 Abs. 3 RL 2002/58 ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf seinem Endgerät voraussetze. Zudem besteht Regelungsbedarf, da die Vorschriften des TMG sich auf die Verarbeitung personenbezogener Daten beziehen. Der EuGH hat in seinem Urteil jedoch festgestellt, dass es bei Art. 5 Abs. 3 ePrivacy-RL nicht darauf ankomme, dass es sich um personenbezogene Daten handelt. Im Anschluss hieran hatte der BGH entschieden, dass § 15 Abs. 3 TMG im Hinblick auf Art. 5 Abs. 3 S. 1 e-Privacy-RL dahingehend richtlinienkonform auszulegen sei, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung die Einwilligung des Nutzers erforderlich ist, da der deutsche Gesetzgeber die Vorgaben der Cookie-RL nicht umgesetzt hat.
§ 22 Abs. 1 TTDSG-E sieht zunächst vor, dass Dritte Informationen auf Endeinrichtungen des Endnutzers nur speichern oder auf gespeicherte Informationen zugreifen dürfen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat. Die Information und die Einwilligung haben nach den Vorschriften der DSGVO zu erfolgen, insbesondere Art. 4 Nr. 11 und Art. 7 DSGVO. Eine Endeinrichtung ist nach der Begriffsbestimmung in § 2 Nr. 6 TTDSG-E jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten und entspricht damit der Definition der RL 2008/63/EG.
§ 22 Einwilligung bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG zu erfolgen.
Das Einwilligungserfordernis gilt jedoch nicht ausnahmslos. Abs. 2 und 3 sehen entsprechende Ausnahmen vor. Hierbei orientiert sich § 22 TTDSG-E am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG).
Eine Einwilligung ist nach Abs. 2 nicht notwendig, wenn die Speicherung von oder der Zugriff auf die Informationen nur erfolgt, um eine Nachricht zu übermitteln.
(2) Absatz 1 gilt nicht, wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.
Die Ausnahme in Abs. 3 sieht vor, dass keine Einwilligung erforderlich ist, wenn die Speicherung von oder der Zugriff auf die Informationen unbedingt erforderlich ist, um vom Endnutzer nachgefragte Telemedien bereitzustellen. Diese Ausnahmeregelung betrifft insofern das Setzen und Auslesen technisch notwendiger Cookies, damit der Anbieter die vom Endnutzer gewünschten Dienste durchführen kann.
(3) Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können.
Wenn gegen das Einwilligungserfordernis nach § 22 TTDSG-E verstoßen wird, handelt es sich nach § 24 TTDSG-E um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann.
Bisher handelt es sich erst um einen Referentenentwurf. Es bleibt abzuwarten, ob die Regelungen tatsächlich so in Kraft treten werden. Vom bereits im letzten Jahr bekannt gewordenen Entwurf ist nicht mehr viel übrig geblieben. So sind die ursprünglich vorgesehenen Anforderungen an die Einwilligung nicht mehr enthalten, ebenso wie die Nutzung entsprechender Browsereinstellungen zur Einholung der Einwilligung oder die vertragliche Vereinbarung über das Setzen von Cookies, die das Einholen von Einwilligungen entfallen lassen sollte. Bis heute, den 22.1.2021 läuft zunächst noch die Länder- und Verbändeanhörung. Mit dem TTDSG-E laufen parallel noch zwei weitere Gesetzesvorhaben, was den Gesetzgebungsprozess wahrscheinlich noch weiter hinauszögern wird.
Wesentliche Änderungen sind mit dem veröffentlichten Referentenentwurf nicht verbunden. Bereits jetzt setzen die Gerichte die Rechtsprechung des BGH und des EuGH zur Einwilligung für Cookies um. Zuletzt entschied das LG Köln, dass es sich beim Setzen von Cookies ohne die erforderliche Einwilligung um einen Wettbewerbsverstoß handelt, und das LG Rostock, das ein Cookie-Banner, in dem Tracking- und Drittanbieter-Cookies bereits vorausgewählt sind, nicht genügt, um eine wirksame Einwilligung einzuholen.
Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bietet der Trusted Shops Consent-Manager.
Den Referentenentwurf zum TTDSG können Sie hier abrufen.
r.classen/Shutterstock.com