Entstehungsgeschichte
Auch wenn das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vom Namen her sperrig daherkommt, hat dessen Einführung vor allem für Websitebetreiber auch Positives: Es bringt endlich etwas Licht ins Dunkel der bislang nicht gesetzlich geregelten Anforderungen an den Einsatz von Cookies.
Vor Inkrafttreten des TTDSG war die Frage des Einsatzes von Cookies auf europäischer Ebene durch die Richtlinie 2002/58/EG (ePrivacy-Richtlinie) und die deutsche Umsetzung im TMG geregelt, wurde aber wegen der konkreten Art der Umsetzung in Deutschland primär durch Rechtsprechung geprägt. Mit der EuGH-Entscheidung Planet49 vom 01.10.2019 und der sich daran anschließenden BGH – Entscheidung vom 28.05.2020 (siehe hierzu auch unseren Newsletter vom 29.05.2020), in welcher über die Zulässigkeit des Setzens von Cookies aufgrund einer vorangekreuzten Schaltfläche zu befinden war, legten der EuGH und der BGH den Grundstein für diesen zuvor nur stiefmütterlich behandelten Komplex. Das Ergebnis: Der Einsatz von Cookies zu Werbezwecken ist nur nach vorheriger aktiver und informierter Einwilligung der Websitebesucher zulässig - ein „Opt-out“ ist dagegen nicht mehr zulässig. Die Begründung in der sich an das Planet49 Urteil anschließenden Entscheidung „Cookie-Einwilligung II“: § 15 Abs. 3 Satz 1 TMG sei im Einklang mit Art. 5 Abs. 3 der ePrivacy-Richtlinie europarechtskonform auszulegen.
Mit dem TTDSG wird nun nach langer Zeit die ePrivacy-Richtlinie, die den Schutz der Privatsphäre innerhalb der elektronischen Kommunikation und die Verwertung personenbezogener Daten zum Inhalt hat, umgesetzt und die Datenschutzvorschriften des TKG und des TMG in einem Gesetz konsolidiert. Die Zielrichtung des TTDSG ist auf den Schutz der Privatsphäre gerichtet und schließt eine bestehende Schutzlücke, da Cookies und vergleichbare Technologien mangels Personenbezug nicht in den Anwendungsbereich der DSGVO fallen.
Regelungsgehalt
Das TTDSG sieht bereichsspezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten vor, also insbesondere Anbieter von
Telefon- und Internetanschlüssen sowie Telemediendiensten, zu denen jeder Websitebetreiber zählt. Während die §§ 3 bis 18 TTDSG Vorschriften für den Telekommunikationsdatenschutz vorsehen, ergibt sich die für die Werbewirtschaft und Websitebetreiber relevanteste Regelung aus § 25 TTDSG.
Mit § 25 TTDSG wird die Pflicht von Websitebetreibern normiert, insbesondere beim Einsatz von Cookies eine vorherige, informierte und explizite Einwilligung der Nutzer einzuholen und gibt damit den Besuchern von Webseiten mehr Kontrolle über die von ihnen erhobenen Daten. § 25 TTDSG ist technologieneutral ausgestaltet, wodurch die Norm nicht nur Cookies, sondern sämtliche denkbaren Technologien erfasst, mithilfe derer eine Speicherung von Informationen in Endgeräten von Nutzern bzw. der Abruf von in diesen gespeicherten Informationen möglich ist. Eingeschlossen sind auch Techniken des Fingerprinting, die Verwendung von Identifiern und sonstigen Tracking-Technologien.
Eine Ausnahmeregelung von dem grundsätzlichen Erfordernis einer Einwilligung sieht § 25 Abs. 2 Nr. 2 TTDSG vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um dem jeweiligen Nutzer die ausdrücklich gewünschte Nutzung einer Webseite ermöglichen zu können. Es handelt sich dabei um eine eng auszulegende Ausnahmeregelung, so dass es nur wenige Fälle geben wird, in denen auf eine Einwilligung verzichtet werden kann. Zu den nicht der Einwilligung unterliegenden, sogenannten „technisch notwendigen Cookies“, gehören insbesondere solche zur Speicherung von Websiteeinstellungen bezüglich des Anzeigeformats oder der gewählten Sprache und im E-Commerce-Bereich die Speicherung des Warenkorbs. Zweifelhaft dürfte hingegen nach wie vor die Erforderlichkeit hinsichtlich First-Party-Analyse-Cookies für Zwecke der Websiteoptimierung sein.
Keine Vorgaben macht das TTDSG für die Gestaltung von Mechanismen und Technologien zur Einholung von Einwilligungen und deren Dokumentation. Hierbei kann man sich an den Best-Practices der Cookie-Banner orientieren. In diesem Zusammenhang sei nur darauf hingewiesen, dass bei der Gestaltung von Cookie-Bannern ein sogenanntes „Nudging“ vermieden wird. Die Ablehnung des Einsatzes von Cookies darf nicht durch entsprechende Farbgebung, die Verwendung unterschiedlicher Schriftgrößen oder Schriftarten erschwert werden.
Eine Neuregelung findet sich mit § 26 TTDSG auch zu Diensten der Einwilligungsverwaltung. Mit diesen als Personal Information Management Systemen („PIMS“) bezeichneten Lösungen wird es Nutzern ermöglicht, die über sie gespeicherten Daten zu überblicken, zu verwalten und die Entscheidung über die Speicherung für eine Vielzahl von Webseiten zu treffen, um so die Häufigkeit der Konfrontation mit Cookie-Bannern zu senken. § 26 Abs. 1 TTDSG sieht ein Verfahren für die Anerkennung von PIMS vor, wobei dieses noch unter dem Vorbehalt des Erlasses einer entsprechenden Rechtsverordnung durch die Bundesregierung steht.
Rechtsfolgen bei Verstößen
Auch wenn der für Verstöße gegen die Vorschriften des TTDSG vorgesehene Bußgeldrahmen (maximale Höhe bis EUR 300.000,-), welcher an die Reglungen des TKG angelehnt wurde, verglichen mit der Höhe möglicher Bußgelder nach der DSGVO vergleichsweise gering ist, sollte man sich doch vor Augen führen, dass das TTDSG und die DSGVO nebeneinander anwendbar sind. Sollten bei einer Verletzung des TTDSG also personenbezogene Daten betroffen sein, ist die DSGVO nicht gesperrt und es droht eine Kumulation der Bußgelder.
Ausblick
Nachdem die ePrivacy-VO bereits seit mehreren Jahren in den Startlöchern steht, bislang aber nicht verabschiedet wurde, bietet das TTDSG derzeit immerhin als „Übergangslösung“ einen gewissen Grad an Rechtssicherheit hinsichtlich der einzelnen Regelungsgegenstände. Vollständige Klarheit hinsichtlich der Nutzung von Cookies bringt aber auch das TTDSG speziell in Bezug auf den einwilligungsfreien Einsatz von technisch notwendigen Cookies nicht.