Nachdem das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) am 23. Juni 2021 erlassen wurde, tritt es am 01.12.2021 in Kraft. Hierbei soll das Telekommunikationsgesetzes und des Telemediengesetzes Gan DSGVO angepasst werden und die ePrivacy-Richtlinie in nationales Recht umgesetzt werden.[1]
Ziel dieses Papiers ist es, herauszuarbeiten, was sich für Regelungen zu Cookie-Bannern finden lassen.
I Relevante Normen
Im Kern geht es um zwei Normen, §25 TTDSG und § 26 TTDSG:
§ 25 Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
§ 26 Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen
(1) Dienste zur Verwaltung von nach § 25 Absatz 1 erteilten Einwilligungen, die
- nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
- kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können,
- die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
- ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679ergeben, erfüllt,
können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach Absatz 2 anerkannt werden.
(2) Die Bundesregierung bestimmt durch Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates die Anforderungen
1.an das nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen nach Absatz 1 Nummer 1 und
2.an das Verfahren der Anerkennung, insbesondere
a) den erforderlichen Inhalt des Antrags auf Anerkennung,
b )den Inhalt des Sicherheitskonzepts nach Absatz 1 Nummer 4 und
c) die für die Anerkennung zuständige unabhängige Stelle, und
3.die technischen und organisatorischen Maßnahmen, dass
a) Software zum Abrufen und Darstellen von Informationen aus dem Internet,
aa) Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Absatz 1 befolgt und
bb) die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung berücksichtigt und
b)Anbieter von Telemedien bei der Verwaltung der von Endnutzern erteilten Einwilligung die Einbindung von anerkannten Diensten zur Einwilligungsverwaltung und Einstellungen durch die Endnutzer berücksichtigen.(3) Die Bundesregierung bewertet innerhalb von zwei Jahren nach Inkrafttreten einer Rechtsverordnung nach Absatz 1 die Wirksamkeit der getroffenen Maßnahmen im Hinblick auf die Errichtung nutzerfreundlicher und wettbewerbskonformer Einwilligungsverfahren und legt dazu einen Bericht an den Bundestag und den Bundesrat vor.
II Einordnung
Im Folgenden sollen explizite sowie implizite Vorgaben (und deren Herleitung) für Cookie Banner sowie das Verhältnis von Cookie-Bannern zu sog. PIMS herausgearbeitet werden.
II.1. Explizite Regelungen zur Ausgestaltung/Design von Cookies
Das TTDSG enthält bewusst keine konkreten Regelungen zur Gestaltung von Cookie-Bannern, da sich „[d]er Gesetzgeber […] entschieden [hat], der Forderung des Bundesrats nicht zu folgen“[2], dieser hatte noch explizite Regelungen vorgeschlagen.
Daraus lässt sich jedoch kein Umkehrschluss ziehen, dass die Maßnahmen nicht gewollt sind, da vertreten wird, dass dem Gesetzgeber für diese die Kompetenzen fehlen:
„Mit Blick darauf, dass dem deutschen Gesetzgeber für eine verbindliche gesetzliche Regelung zu den Voraussetzungen einer wirksamen Einwilligung nach DSGVO die Kompetenz fehlt, ist diese Zurückhaltung jedoch nachvollziehbar.“[3]
II.2. Implizite Regelungen
Fraglich ist daher, welche Regelungen für Cookie-Banner denn gelten, wenn keine expliziten Gestaltungshinweise gegeben sind.
II.2.a Verhältnis zur DSGVO und TTDSG
Dazu muss zunächst geklärt werden, in welchem Verhältnis das TTDSG zur DSGVO steht.
Anwendungsbereiche der Vorschriften
Die DSGVO ist nach Art. 2 I DSGVO grundsätzlich anwendbar nur bei personenbezogenen Daten, also auch nur bei Cookies mit personenbezogenem Bezug.
Das TTDSG schützt in §25 TTDSG (vgl auch Art. 5 III ePrivacy-RL) die Integrität von Endeinrichtungen, die über eine Schnittstelle an ein öffentliches TK-Netz angeschlossen sind, vor der gerätebezogenen Distanzgefahr eines Fernzugriffs durch Speichern oder Abrufen von Informationen, ganz ohne datenschutzrechtlichen Bezug[4], ist also anwendbar auf alle Cookies.
Geltende Vorschrift bei Cookies mit personenbezogenem Bezug
Für Cookies mit personenbezogenen Bezug ist dies umstritten[5], jedoch ist selbst wenn im Moment des Setzens des Cookies das TTDSG spezieller ist und daher greift, das Auslesen und Verarbeiten der Informationen des Cookies ist nicht vom TTDSG erfasst, daher greift dann die DSGVO[6].
Geltende Vorschrift bei Cookies ohne personenbezogenen Bezug
Für Cookies ohne personenbezogenen Bezug ist mangels Anwendungsbereichs der DSGVO nur das TTDSG anwendbar.
II.2.b Mögliche RGL der Verarbeitung
25 I Einwilligung
25 I TTDSG regelt den gesetzlichen Normalfall, die Einwilligung als Rechtsgrundlage zum Setzen von Cookies. §25 I 2 TTDSG verweist als Bedingung für eine wirksame Einwilligung auf das Regime der DSGVO, was bedeutet, dass alle Cookies, die auf Basis von Einwilligung gesetzt werden, für eine wirksame Einwilligung die Bedingungen der DSGVO hierfür erfüllen müssen, unabhängig vom personenbezogenen Bezug.
25 II sowie ‚Erfüllung einer gesetzlichen Pflicht‘
25 II TTDSG normiert Ausnahmetatbestände von dem Grundsatz der Einwilligung, wie dem alleinigen Zweck der Durchführung der Übertragungeiner Nachricht über ein öffentliches Telekommunikationsnetz oder der unbedingten Erforderlichkeit (was als erforderlich gilt, dürfte genauso zu bewerten sein wie bisher, also weiterhin unklar bleiben[7]) für das zur Verfügung stellen eines ausdrücklich gewünschten Telemediendienstes. Hierfür bedarf es keiner Einwilligung.
Die Erfüllung einer gesetzlichen Pflicht wird als ungeschriebene weitere Rechtsgrundlage zum Setzen von Cookies angesehen.[8]
Zu den Informationsobliegenheiten der Ausnahmen zu §25 I TTDSG:
„Die Informationsobliegenheit des § 25 Abs. 1 TTDSG ist eine Wirksamkeitsvoraussetzung für die Einwilligung und gilt nicht für die gesetzlichen Erlaubnistatbestände des § 25 Abs. 2 TTDSG. Eine freiwillige Information ist nicht an Art. 13 DS-GVO zu messen. Werden mit dem Speichern oder Auslesen zugleich personenbezogene Daten verarbeitet, bleiben die datenschutzrechtlichen Informationspflichten unberührt, es sei denn, man sieht eine Spezialität des TTDSG gegenüber der DS-GVO hinsichtlich der Informationspflichten.“[9]
II.2.c Zwischenergebnis
Aus dem Verhältnis zur DSGVO und TTDSG und dem daraus resultierenden Unterschied zwischen den geltenden Vorschriften bei Cookies mit und ohne personenbezogenen Bezug (Kapitel II.2.a) sowie den in §25 TTDSG genannten Rechtsgrundlagen für das Setzten eines Cookies (Kapitel II.2.b) lässt sich folgende Matrix ableiten, was für die Informationsplichten und Obliegenheiten bei Cookies gilt:
Rechtsgrundlage/Art von Daten | Personenbezogene Daten (DSGVO, TTDSG) | Keine Personenbezogene Daten (TTDSG) |
Einwilligung (§25 I) | Informationsobliegenheit der DSGVO als Bedingung der Einwilligung (Art. 7 DSGVO wegen Verweis aus §25 I TTDSG als Erfordernis für Einwilligung) sowie Informationspflichten der DSGVO (Artt. 12 ff. DSGVO wegen Pflicht aus DSGVO) | Informationsobliegenheit der DSGVO als Bedingung der Einwilligung (Art. 7 DSGVO wegen Verweis aus §25 I TTDSG als Erfordernis für Einwilligung)
|
Fälle des (§25 II) sowie Erfüllung einer gesetzlichen Pflicht | Informationspflichten der DSGVO (Artt. 12 ff. DSGVO wegen Pflicht aus DSGVO) | Keine Informationsobliegenheit/-pflicht.[10] |
II.3. Exkurs: Bewertung von PIMS
Eine weitere Regelung stellt Art. 26 TTDSG dar, mit dem er Personal Information Management-Systeme, sog. PIMS, regelt. „Mittels PIMS können Nutzer ihre personenbezogenen Daten in einem Dashboard einsehen, verwalten und mit anderen Stellen teilen“[11], es geht also darum, dass Nutzer*innen künftig selbst mithilfe eines Programms entscheiden können sollen, in was sie wie Einwilligen, ohne dies jedes Mal an ‚nervigen‘ Cookie-Bannern kundtun zu müssen.
Fraglich ist jedoch, wie sich das auf die Cookie-Banner auswirken wird:
„Anbieter von Telemedien haben die von Nutzern mittels PIMS getroffenen Einstellungen zu berücksichtigen (§ 26 II Nr. 3 Buchst. b TTDSG). Eine Befolgungspflicht lässt sich aus dem Normtext nicht unmittelbar – weder in Bezug auf PIMS-Einstellungen noch auf Browser-Einstellungen – ableiten. Offenbar soll die individuelle Nutzereinwilligung, die der Nutzer auf der Website erteilt, Vorrang gegenüber der PIMS-Einstellung genießen“ [12]
Was das konkret für das Design von Cookie-Bannern bedeutet, also ob die Informationen der PIMS verpflichtend sein werden und Cookie-Banner dies entsprechend by Design umsetzten müssen, bleibt offen; vor allem vor dem Hintergrund, dass die Bundesregierung nach § 26 II TTDSG zunächst eine Stelle durch Rechtsverordnung schaffen muss, die diese PIMS zertifiziert und diese dann auch noch zertifiziert werden müssen.
III Fazit
Darüber, wie die Obliegenheiten und Pflichten zur Information über das Setzten von Cookies (siehe Tabelle) zu gestalten sind, gibt das TTDSG keine Auskunft. Daher kann nur auf bisherige Rechtsprechung zur DSGVO sowie der ePrivacyRL zurückgegriffen werden.
Solange das Ob des Informierens (siehe Informationsmatrix) gewahrt ist, sehe ich für das Wie im Moment (Stand zum 01.12.2021) keinen Handlungsbedarf zur Neugestaltung von Cookie-Bannern, soweit diese bereits nach der aktuellen Rechtslage (im Lichte der Planet-49 Entscheidung sowie der Cookie II Entscheidung) designt und programmiert wurden.
Bezüglich der PIMS kann (nur) abgewartet werden, bis die ersten Zulassungen erfolgt sind.
IV Literaturverzeichnis
Deutscher Bundestag (2021). Gesetzentwurf der Bundesregierung. Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien. Drucksache 19/27441. 19. Wahlperiode. https://dserver.bundestag.de/btd/19/274/1927441.pdf.
Golland, Alexander (2021), Das Telekommunikation-Telemedien-Datenschutzgesetz. Cookies und PIMS als Herausforderungen für Website-Betreiber in NJW 2021, 31. S. 2238-2242.
Hanloser, Stefan (2021), Schutz der Geräteintegrität durch § 25 TTDSG. Neue Cookie-Regeln ab dem 1.12.2021 in ZD 2021, 8. S. 399-403.
Sesing, Andreas (2021), Cookie-Banner – Hilfe, das Internet ist kaputt! Ansätze zur Verbesserung der Nutzererfahrung in MMR 2021, 14. S. 544-548.
[1] ‚A. Problem und Ziel‘ in https://dserver.bundestag.de/btd/19/274/1927441.pdf.
[2] NJW 2021, 2238 Rn. 15, beck-online.
[3] MMR 2021, 544, beck-online.
[4] ZD 2021, 399, beck-online.
[5] Ibid.
[6] Ibid.
[7] NJW 2021, 2238 Rn. 35, beck-online.
[8] ZD 2021, 399, beck-online.
[9] Ibid.
[10] Zumindest lässt sich diese nicht gesetzlich normieren. Zweckdienlich wäre es m.M. dennoch, eine Informationspflicht auch in diesen Fällen für notwendig zu erachten, da sonst etwa die Ausnhame des Art. 25 II, „Erforderlichkeit“ beliebig ausgedehnt werden könnte und dem*der durchschnittlichen Nutzer*in defacto keine Kontrollmöglichkeit der Rechtsmäßigkeit eingeräumt wird, da m.M.n. gilt: Wer nicht informiert wird, wird auch nicht kontrollieren (technisch versierte Nutzer*innen ausgenommen).
[11] NJW 2021, 2238 Rn. 19, beck-online.
[12] NJW 2021, 2238 Rn. 24, beck-online.
Recent Comments