Update Datenschutz Nr. 83
Lösung für das Cookie-Chaos? – Geplante Neuregelung des Datenschutzes im Bereich der Telemedien und Telekommunikation
Das Bundesministerium für Wirtschaft und Energie (BMWi) hat im Juli einen – bislang nicht-offiziell veröffentlichten - Entwurf für ein neues Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien (sogenanntes Telekommunikations-Telemedien-Datenschutz-Gesetz, „TTDSG“) erarbeitet. Darin enthalten sind unter anderem neue Regelungen zum Einsatz von Cookies, weitergehende Sanktionsmöglichkeiten im Falle von Verstößen gegen die Vorgaben des TTDSG, sowie geänderte Zuständigkeitsregelungen der Aufsichtsbehörden
Die zentralen Regelungen des Entwurfs
Ziel des Referentenentwurfes ist es, die bisher im Telekommunikationsgesetz („TKG“) und Telemediengesetz („TMG“) verstreuten Datenschutzbestimmungen im Bereich der Telekommunikation und der Telemedien in einem Gesetz zusammenzuführen. Gleichzeitig sollen die bisherigen gesetzlichen Regelungen des TKG und TMG aufgrund von technischen Entwicklungen und rechtlichen Unklarheiten angepasst werden.
Nachfolgend soll auf einzelne, wesentliche Regelungen des neuen Entwurfs eingegangen werden:
Regelungen zum Einsatz von Cookies und ähnlichen Technologien
Die Grundlage für die „Erkennung“ von Nutzern im Internet (Tracking) sind Cookies und andere Daten, die in einem Endgerät des Nutzers gespeichert oder dort ausgelesen werden. Die Frage, ob und inwieweit hierfür eine Einwilligungserklärung erforderlich ist und welche Anforderungen an eine solche Einwilligung zu stellen sind, ist seit langem Gegenstand verschiedener gerichtlicher und behördlicher Auseinandersetzungen. In Deutschland stellte sich dabei die besondere Problematik zur Anwendbarkeit und Auslegung des § 15 Abs. 3 TMG, der abweichend von den Vorgaben in Art. 5 Abs. 3 der E-Privacy-RL keine explizite Einwilligung beim Einsatz von Cookies und ähnlicher Technologien, sondern eine Widerspruchslösung vorsah. In den letzten Monaten haben sowohl der EuGH als auch der BGH die Anforderungen an den Einsatz von Cookies, einschließlich der Vorgaben an eine wirksame Einwilligung und zur Auslegung von § 15 Abs. 3 TMG, weiter spezifiziert (siehe dazu Update Datenschutz Nr. 76 und Update Datenschutz Nr. 66).
Hieran anknüpfend will der Referentenentwurf mit § 9 TTDSG nunmehr eine klare Rechtslage schaffen, gleichzeitig Unternehmen aber auch neue Gestaltungsmöglichkeiten an die Hand geben. So sieht § 9 Abs. 1 TTDSG vor, dass das Setzen oder Auslesen von Cookies auf einem Endgerät nur zulässig sein soll, wenn der Nutzer darüber informiert wurde und eingewilligt hat. Bezüglich der Information und der Einwilligung sollen die Anforderungen der DSGVO (Art. 4 Nr. 11, Art. 7) gelten. Speziell bei der Inanspruchnahme von Telemedien enthält § Abs. 3 TTDSG genauere Anforderungen an die Information und die Einwilligung: Der Diensteanbieter muss darüber informieren, welche Informationen zu welchem Zweck und wie lange auf dem Endgerät des Nutzers gespeichert werden und ob Dritte Zugriff darauf erhalten. Der Endnutzer muss zudem, um wirksam einzuwilligen, die Information mittels einer Funktion aktiv bestätigen und das Telemedium in Anspruch nehmen. Hier knüpft das BMWi an die Vorgaben des Art. 5 Abs. 3 der E-Privacy-RL sowie die Rechtsprechung des EuGH an.
Demgegenüber sieht § 9 Abs. 2 TTDSG verschiedene Ausnahmen vor, in denen keine Einwilligung in das Setzen oder Auslesen von Cookies oder ähnlicher Technologien erteilt werden muss. Nach § 9 Abs. 2 Nr. 1 TTDSG ist keine Einwilligung des Nutzers erforderlich, wenn das Setzen oder Auslesen technisch erforderlich ist, um Kommunikation zu übermitteln oder ein Telemedium bereitzustellen, dessen Inanspruchnahme der Endnutzer gewünscht hat. Dies entspricht ebenfalls den bisherigen Vorgaben in Art. 5 Abs. 3 E-Privacy-RL. Darüber hinaus enthält § 9 Abs. 2 TTDSG weitere Ausnahmetatbestände, die über die Regelungen in Art. 5 Abs. 3 E-Privacy-RL hinausgehen. So ist nach § 9 Abs. 2 Nr. 2 eine Einwilligung auch dann nicht erforderlich, wenn das Setzen oder Auslesen ausdrücklich mit dem Endnutzer vereinbart wurde. Das ist insbesondere für Dienste von Interesse, bei denen eine vertragliche Vereinbarung mit den Nutzern besteht. Nach § 9 Abs. 2 Nr. 3 TTDSG ist schließlich auch keine Einwilligung erforderlich, wenn das Setzen oder Auslesen eines Cookies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Der Referentenentwurf nennt in der Begründung als Beispiele Smartmeter, die Verpflichtungen aus dem Messstellenbetriebsgesetz unterliegen.
Ebenfalls hervorzuheben ist in diesem Zusammenhang § 9 Abs. 4 TTDSG. Danach kann eine Einwilligung auch dadurch erklärt werden, dass der Nutzer eine dafür vorgesehene Einstellung seines Browsers oder einer anderen Anwendung auswählt. Das soll laut Entwurfsbegründung dazu beitragen, dass kleine und mittlere Unternehmen sowie Start-Ups gegenüber Anbietern mit Marktdominanz nicht benachteiligt werden. Dies würde somit letztlich bedeuten, dass der Nutzer seine Einwilligung nicht mehr über ein gesondertes Cookie-Einwilligungs-Banner erteilen muss, sondern dies auch aktiv über seine persönlichen Browsereinstellungen tun kann.
Die Regelung ist – wie zuvor § 15 Abs. 3 TMG und Art. 5 Abs. 3 der E-Privacy-RL - technikneutral, so dass der Tatbestand nicht auf „Cookies“ oder andere konkrete Methoden abstellt, sondern auf die Speicherung von Informationen in Endeinrichtungen (z.B. Computern, Smartphones oder SmartTvs) oder den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind. Dies ist nicht unwichtig, wie z.B. das Tracking innerhalb von Smartphone Apps kaum über Cookies erfolgt, sondern eher über „Device-IDs“ oder ähnliche Identifier.
Datenschutz im Bereich der Telekommunikation
Die Änderungen, die den ehemaligen Datenschutz im Bereich der Telekommunikation betrifft, sind weniger spektakulär. Hier scheint es dem deutschen Gesetzgeber hauptsächlich darum zu gehen, diejenigen Umsetzungen, die in Deutschland neben der DSGVO noch möglich sind, möglichst rechtssicher zu fassen. Ein eigener Spielraum eröffnet sich dem deutschen Gesetzgeber ausschließlich im Rahmen der Umsetzung der E-Privacy-RL, da die DSGVO ansonsten Anwendungsvorrang vor nationalem Recht genießet. Die älteren §§ 91ff TKG gingen in verschiedenen Aspekten über die E-Privacy-RL hinaus, so dass in vielen Einzelfällen unklar war, ob eine spezielle Regelung aus dem TKG oder eine allgemeine Regelung aus der DSGVO Anwendungsvorrang hatte. Insoweit besteht die Hoffnung, dass es dem Gesetzgeber gelingt, Rechtssicherheit zu schaffen.
Darüber hinaus wird eine Vorschrift, die erst vor wenigen Jahren aus ihrem „Dornröschenschlaf“ erwachte, aus dem alten TKG in das neue TTDSG überführt – obwohl es hier streng genommen nicht um personenbezogene Daten geht: das Verbot von „Spionagegeräten“. Der entsprechende § 7 TTDSG verfügt – wie sein im Wesentlichen gleich formulierter Vorgänger in § 90 TKG – über einen relativ weiten Wortlaut, so dass hier die Gefahr besteht, dass viele vernetzte Smart-Devices, die (auch) über ein Mikrofon und/oder eine Kamera verfügen, unter die neue Norm fallen. Je eher eine Kamera oder ein Mikrofon „versteckt“ angebracht sind, umso eher fallen die entsprechenden Geräte unter § 7 TTDSG. Dieses Schicksal ereilte in der Vergangenheit etwa auch die sprechende Puppe „Kayla“, in der notwendigerweise ein Mikrofon verbaut war. Dies zeigt, dass viele Hersteller smarter Geräte den neuen § 7 TTDSG berücksichtigen müssen.
Bußgelder
Der Referentenentwurf überträgt das aus der DSGVO bekannte Bußgeldmodell (Art. 83 DSGVO) auf die Bestimmungen des TTDSG. Beispielsweise sollen nach § 25 Abs. 3 Nr. 1 TTDSG bei Verstößen gegen die Bestimmungen aus § 9 TTDSG die Regelungen des Art. 83 Abs. 4 DSGVO zur Anwendung kommen. Demnach könnten im Falle eines Verstoßes Geldbußen von bis zu 10 Millionen EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Insoweit unterscheidet sich das Risiko für Unternehmen damit wesentlich von den relativen geringen Sanktionsmöglichkeit des TMG, die Bußgelder lediglich in Höhe von bis zu 50.000 EUR vorsehen.
Zuständigkeit der Aufsichtsbehörden
Der Entwurf regelt zudem die Zuständigkeiten der Aufsichtsbehörden neu. Im Bereich des Telekommunikationsdatenschutzrechts waren bisher der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Bundesnetzagentur (BNetzA) in Kooperation zuständig. Nunmehr soll ausschließlich der BfDI für die Aufsicht im Telekommunikationsdatenschutz zuständig sein, soweit die Verarbeitung von personenbezogenen Daten betroffen ist. Ebenso ist er für den Datenschutz bei Telemedien zuständig. Das betrifft somit die §§ 9-12, 16 TTDSG und somit insbesondere die Einwilligung bei Cookies. Das ist eine relevante Änderung für Unternehmen, da bisher für Telemedien der/die jeweilige Landesdatenschutzbeauftragte zuständig war. Für Bestimmungen des TTDSG bezüglich Telekommunikation, die keine personenbezogenen Daten betreffen (§§ 4-8, 13-15, 19 TTDSG), ist weiterhin die BNetzA zuständig.
Bewertung und Ausblick
Die geplanten Regelungen zum Einsatz von Cookies sind grundsätzlich zu begrüßen, da sie die bislang zersplitterten Regelungen zum Datenschutz zentralisieren würden. Weiterhin enthält der Entwurf nunmehr eine verständliche Regelung zum Einsatz von Cookies. Gleichzeitig werden Unternehmen hier neue (vertragliche) Gestaltungsräume eröffnet, um die Einholung von Einwilligungen zu vermeiden. Hier stellt sich allerdings dann die Frage, inwieweit diese vertraglichen Gestaltungsräume in der Praxis tatsächlich genutzt werden können und wo hier die Grenzen der Zulässigkeit zu ziehen sind.
Nach aktuellem Plan soll das neue TTDSG bereits am 21. Dezember 2020 in Kraft treten. Das ist ein ehrgeiziger Zeitplan, da der deutsche Gesetzgeber bis dahin noch die Richtlinie 2018/1972 über den europäischen Kodex für die elektronische Kommunikation umsetzen muss und das TTDSG laut Referentenentwurf hiermit verknüpft ist. Es bleibt daher abzuwarten, ob der Gesetzgeber diese Umsetzung noch in diesem Jahr vornehmen wird. Zu beachten ist zudem, dass der Entwurf noch weiteren Änderungen unterliegen kann. Insofern gilt es, die weitere Entwicklung bezüglich des TTDSG im Auge zu behalten. Gleichzeitig sollten auf europäischer Ebene weiterhin die Entwicklungen im Zusammenhang mit der nach wie vor in Planung befindlichen E-Privacy-VO, die die bisherige E-Privacy-RL in Zukunft einmal ablösen soll, beobachtet werden. Diese würden die neuen Regelungen des TTDSG dann wiederum ersetzen.