Update 16.2.2021: Das Bundeskabinett hat den Gesetzentwurf am 10.2.2021 beschlossen und den entsprechenden Regierungsentwurf veröffentlicht. Die Regelung zu Cookies enthält nun § 24 TTDSG-E. Der Wortlaut wurde noch einmal leicht angepasst:
§ 24 Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Über das weitere Gesetzgebungverfahren werden wir Sie auf dem Laufenden halten. Den Regierungsentwurf zum TTDSG können Sie hier abrufen.
Bereits im August 2020 ist ein Gesetzentwurf des Bundesministeriums für Wirtschaft bekannt geworden, der u.a. den Einsatz von Cookies regeln sollte. Nun wurde der Referentenentwurf hierzu, der noch einmal stark verändert wurde, offiziell veröffentlicht. Es handelt sich um den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ (TTDSG-E).
Die entsprechende Regelung zum Einsatz von Cookies enthält § 22 TTDSG-E. Zudem sieht der Entwurf vor, dass § 15 TMG komplett aufgehoben werden soll.
Hintergrund
Durch die neue Regelung soll Art. 5 Abs. 3 der ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG) in nationales Recht umgesetzt werden. Das Telemediengesetz (TMG), dass diese Umsetzung wiederspiegeln sollte, hätte schon vor Jahren angepasst werden müssen. In seinem Planet 49-Urteil entschied der EuGH bereits, dass eine Einwilligung gemäß Art. 5 Abs. 3 RL 2002/58 ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf seinem Endgerät voraussetze. Zudem besteht Regelungsbedarf, da die Vorschriften des TMG sich auf die Verarbeitung personenbezogener Daten beziehen. Der EuGH hat in seinem Urteil jedoch festgestellt, dass es bei Art. 5 Abs. 3 ePrivacy-RL nicht darauf ankomme, dass es sich um personenbezogene Daten handelt. Im Anschluss hieran hatte der BGH entschieden, dass § 15 Abs. 3 TMG im Hinblick auf Art. 5 Abs. 3 S. 1 e-Privacy-RL dahingehend richtlinienkonform auszulegen sei, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung die Einwilligung des Nutzers erforderlich ist, da der deutsche Gesetzgeber die Vorgaben der Cookie-RL nicht umgesetzt hat.
Grundsatz: Einwilligung
§ 22 Abs. 1 TTDSG-E sieht zunächst vor, dass Dritte Informationen auf Endeinrichtungen des Endnutzers nur speichern oder auf gespeicherte Informationen zugreifen dürfen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat. Die Information und die Einwilligung haben nach den Vorschriften der DSGVO zu erfolgen, insbesondere Art. 4 Nr. 11 und Art. 7 DSGVO. Eine Endeinrichtung ist nach der Begriffsbestimmung in § 2 Nr. 6 TTDSG-E jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten und entspricht damit der Definition der RL 2008/63/EG.
§ 22 Einwilligung bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer klar und umfassend unter anderem über die Zwecke der Verarbeitung informiert wurde und er seine Einwilligung erteilt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG zu erfolgen.
Ausnahmen vom Einwilligungserfordernis
Das Einwilligungserfordernis gilt jedoch nicht ausnahmslos. Abs. 2 und 3 sehen entsprechende Ausnahmen vor. Hierbei orientiert sich § 22 TTDSG-E am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) in der Fassung der Cookie-RL (RL 2009/136/EG).
Eine Einwilligung ist nach Abs. 2 nicht notwendig, wenn die Speicherung von oder der Zugriff auf die Informationen nur erfolgt, um eine Nachricht zu übermitteln.
(2) Absatz 1 gilt nicht, wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.
Die Ausnahme in Abs. 3 sieht vor, dass keine Einwilligung erforderlich ist, wenn die Speicherung von oder der Zugriff auf die Informationen unbedingt erforderlich ist, um vom Endnutzer nachgefragte Telemedien bereitzustellen. Diese Ausnahmeregelung betrifft insofern das Setzen und Auslesen technisch notwendiger Cookies, damit der Anbieter die vom Endnutzer gewünschten Dienste durchführen kann.
(3) Absatz 1 gilt nicht, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf diese Informationen unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können.
Bußgeld
Wenn gegen das Einwilligungserfordernis nach § 22 TTDSG-E verstoßen wird, handelt es sich nach § 24 TTDSG-E um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 300.000 Euro geahndet werden kann.
Fazit
Bisher handelt es sich erst um einen Referentenentwurf. Es bleibt abzuwarten, ob die Regelungen tatsächlich so in Kraft treten werden. Vom bereits im letzten Jahr bekannt gewordenen Entwurf ist nicht mehr viel übrig geblieben. So sind die ursprünglich vorgesehenen Anforderungen an die Einwilligung nicht mehr enthalten, ebenso wie die Nutzung entsprechender Browsereinstellungen zur Einholung der Einwilligung oder die vertragliche Vereinbarung über das Setzen von Cookies, die das Einholen von Einwilligungen entfallen lassen sollte. Bis heute, den 22.1.2021 läuft zunächst noch die Länder- und Verbändeanhörung. Mit dem TTDSG-E laufen parallel noch zwei weitere Gesetzesvorhaben, was den Gesetzgebungsprozess wahrscheinlich noch weiter hinauszögern wird.
Wesentliche Änderungen sind mit dem veröffentlichten Referentenentwurf nicht verbunden. Bereits jetzt setzen die Gerichte die Rechtsprechung des BGH und des EuGH zur Einwilligung für Cookies um. Zuletzt entschied das LG Köln, dass es sich beim Setzen von Cookies ohne die erforderliche Einwilligung um einen Wettbewerbsverstoß handelt, und das LG Rostock, das ein Cookie-Banner, in dem Tracking- und Drittanbieter-Cookies bereits vorausgewählt sind, nicht genügt, um eine wirksame Einwilligung einzuholen.
Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bietet der Trusted Shops Consent-Manager.
Den Referentenentwurf zum TTDSG können Sie hier abrufen.
r.classen/Shutterstock.com
Es wäre alles viel einfacher, wenn man technisch notwendige Cookies als gegeben voraussetzen und hierfür weder Anzeige- noch Einwilligungspflichten bestehen würden. Wenn etwas darüber hinaus geht, ok, dann kann man immer noch Einwilligung anfordern, aber das Surfen im Internet machen keinen Spaß mehr, seit man auf jeder Seite, egal welche Cookies da verwendet werden, irgendwelche Banner und Hinweise weg geklickt werden müssen. In Zeiten, wo es allen Nutzern klar sein sollte, dass sie online beobachtet werden, ist es völlig überflüssig, den User auf jeder einzelnen Webseite noch damit zu nerven, zumal er im Browser schon entsprechende Vorauswahlen treffen kann, dass nichts gespeichert wird…
Muß ein Keks-Banner auch gesetzt werden, wenn die Statistik z.B. auf dem eigenen Server hier in D gehostet wird und es keinerlei Drittanbieter gibt? Ist leider immer etwas unklar.
Viel wichtiger wäre einmal, was mein Vorredner schon geschrieben hat und wenn man Cookies deaktivieren möchte, daß man es auch kann.
Es ist eine absolute Unverschämtheit, wie wir “kleinen Händler” einen ordentlichen Banner einsetzen sollen, aus dem klar und ohne farbliche Kennzeichnung hervorgeht, daß man “Ablehnen” oder “Zustimmen” kann, aber die großen Unternehmen brauchen es wohl nicht.
Mal versucht, bei Google die Cookies abzulehnen? Nicht möglich!
Dann gibt es Banner, bei den kann man gar nichts abwählen, weil die Schaltflächen deaktiviert sind, keine Bildlaufleiste anzeigen (da gibt es gefühlt 100derte Anbieter…) usw. Viel zu komplex gestaltet.
Ich verstehe auch die Bevölkerung nicht: Die Corona-App wird nicht mit Daten gefüttert, da ist plötzlich der Datenschutz ganz ganz groß geschrieben, aber das Handy mit all seinen feinen Programmen (hach, heißt ja jetzt “Apps”), der eigene PC oder Cloudbasierte Software… da spielt plötzlich alles gar keine Rolle und es wird alles freigegeben und die nächsten AGBs von Whatsapp werden bestimmt nur weggeklickt, damit man bloß nicht von der Welt abgeschnitten ist.
Warum traut sich da keiner rann?
Man erzeugt doch nur eines, wie mit den AGBs & Co.-Texten: Es ist zu komplex, die Leute klicken lieber drauf, damit die blöde Anzeige verschwindet.
Und “das” soll Datenschutz für den Kunden sein?
Armes Deutschland. 😉
Dankeschön für den spannenden Beitrag, ich freue mich schon auf das Ergebnis.
Herzliche Grüße
Nils
Sehr interessanter und aufschlussreicher Artikel. Finde es erstaunlich wie wenig von letztjährigen Entwurf übrig geblieben ist. Wird wohl nicht die letzte Änderung für die Regelung von Cookies sein!
Danke für den spannenden Artikel!