Am 1. Dezember 2021 tritt das Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG, in Kraft. Die Vorgaben der europäischen E-Privacy-Richtlinie werden damit in deutsches Recht umgesetzt. Der externe Datenschutzbeauftragte Henning Zander hat zusammengefasst, was mit dem neuen Gesetz auf Sie zukommt.
Es hat etwas länger gedauert. Schon im Jahr 2009 wurde die europäische E-Privacy-Richtlinie in ihrer aktuellen Form erlassen. Nach Artikel 5 Absatz 3 E-Privacy-Richtlinie müssen Webseitenbetreiber von ihren Nutzern eine aktive Einwilligung zum Setzen von Cookies einholen. Das wurde allerdings nie in deutsches Recht umgesetzt, was zu zahlreichen Streitfällen geführt hat. Diesen Missstand behebt das neue TTDSG, das am 1. Dezember 2021 in Kraft tritt.
Auf eine Neuordnung der Regeln für Cookies verzichtet das Gesetz allerdings. Ein Ende der Cookie-Banner ist deshalb noch lange nicht in Sicht, auch wenn das Gesetz nun auch die Grundlagen für Personal Information Management Systeme (PIMS) legt, die dabei helfen sollen, die Flut von Cookie-Bannern einzudämmen.
Nutzer müssen mit wenigen Ausnahmen in Cookies einwilligen
Das TTDSG bestätigt im Wesentlichen die schon jetzt vorherrschende Praxis, über ein Consent Management beim Nutzer die Einwilligung für das Setzen von Cookies einzuholen. Diese Praxis hat sich spätestens mit dem Urteil des I. Zivilsenats des Bundesgerichtshofs vom 28.5.2020 (I ZR 7/16 ) durchgesetzt. Der BGH hatte das Einwilligungserfordernis aus § 15 Absatz 3 Telemediengesetz (TMG) im Zusammenspiel mit den europarechtlichen Vorgaben aus der E-Privacy-Richtlinie abgeleitet. Perfekt war das allerdings nicht. So begründete der BGH die Entscheidung wie folgt:
Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
BGH – Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II
Das ist nicht nur kompliziert ausgedrückt, sondern auch kein besonders überzeugender Weg, die Umsetzung der europäischen Vorgaben im nationalen Recht herzuleiten. Das TTDSG will es jetzt besser machen. In § 25 TTDSG heißt es nun ausdrücklich:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
- 25 Absatz 1 Satz 1 TTDSG
Von dieser Regel gibt es zwei Ausnahmen:
Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
- 25 Absatz 2 TTDSG
Die alte Frage der Erforderlichkeit ist durch das neue Gesetz nicht unbedingt klarer geworden. Nach Ansicht der Gesellschaft für Datenschutz und Datensicherheit (GDD) darf dies wohl weiterhin beispielsweise für Warenkorbfunktionen gelten, aber auch für Cookies die wichtig für die technische Sicherheit und die Integrität der Webseite sind. Für diese Cookies ist keine Einwilligung erforderlich, für alle anderen hingegen schon.
Das TTDSG umfasst das Internet der Dinge
In seinem Anwendungsbereich geht § 25 TTDSG über die E-Privacy-Richtlinie hinaus. In dem deutschen Gesetz wird nun von Endeinrichtungen eines Endnutzers gesprochen. Kurz gesagt handelt es sich hierbei nicht mehr nur um Computer oder Smartphones, sondern um alle Geräte mit einer Internetverbindung. Der Gesetzgeber wollte explizit den Anwendungsbereich sehr weit fassen und den großen Bereich des Internets der Dinge mit regeln – allerdings nur in Bezug auf die Einwilligung. Wenn es darum geht, was danach mit den Daten passiert, gilt weiterhin das Datenschutzrecht aus DSGVO und Bundesdatenschutzgesetz.
PIMS – Nutzer sollen Einwilligungen managen lassen können
Die Befürchtung ist nicht von der Hand zu weisen, dass bei Nutzern eine gewisse Müdigkeit eintritt, je öfter sie ein Fenster sehen, über das sie nach ihrer Einwilligung für die Datenerhebung gefragt werden. In der Regel führt das dazu, dass die Nutzer die entsprechenden Informationen gar nicht mehr richtig wahrnehmen und nur noch die entsprechenden Buttons drücken, um an die für sie gewünschte Information zu kommen. Zudem kann die Bannerflut dazu führen, dass die Akzeptanz der Nutzer gegenüber dem Datenschutz deutlich abnimmt. Diese Befürchtung teil auch die Datenethikkommission (DEK) , die sich schon 2019 in einem Gutachten dafür ausgesprochen hat, zukünftig Datenmanagement- und Datentreuhandsysteme (Seite 22) zu fördern.
Ziel ist die Befähigung des Einzelnen zur Kontrolle über seine personenbezogenen Daten sowie die Entlastung des Einzelnen von Entscheidungen, die ihn überfordern. Die DEK empfiehlt, Forschung und Entwicklung im Bereich von Datenmanagement- und Datentreuhandsystemen intensiv zu fördern, mahnt aber auch an, dass eine die Rechte und Interessen aller Beteiligten wahrende Entwicklung ohne eine begleitende europäische Regulierung nicht zu erwarten ist. Diese Regulierung müsste zentrale Funktionen absichern, ohne die Betreiber solcher Systeme nur sehr eingeschränkt tätig werden können. Andererseits geht es um den Schutz des Einzelnen vor vermeintlichen Interessenwaltern, die in Wahrheit vorrangig wirtschaftliche Eigeninteressen oder Interessen Dritter vertreten. Sofern dieser Schutz auch in der Praxis garantiert werden kann, kann Datentreuhandmodellen die Funktion einer wichtigen Schnittstelle zwischen Belangen des Datenschutzes und der Datenwirtschaft zukommen.
DEK Gutachten 2019
Das TTDSG hat diesen Aspekt aufgenommen. Personal Information Management Services (PIMS) sind nun in § 26 TTDSG geregelt. Diese Dienste sollen es Nutzern ermöglichen, einmalig die Voraussetzungen für die Einwilligung oder die Ablehnung einer Datenerhebung festzulegen. Die PIMS könnten dann die gespeicherten Informationen automatisch an die Webseiten weitergeben. Cookie-Banner wären theoretisch nicht mehr nötig.
Die Dienste sollen durch eine unabhängige Stelle anerkannt werden. Die Dienste müssen dafür
- nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung haben,
- kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen [sein], die ein solches Interesse haben können,
- die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und
- ein Sicherheitskonzept vorlegen, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, die sich insbesondere aus der Verordnung (EU) 2016/679 ergeben, erfüllt
- 26 Absatz 1 TTDSG
Weitere Details sollen durch eine Rechtsverordnung bestimmt werden.
Ob sich PIMS tatsächlich durchsetzen werden und ob dies tatsächlich im Sinne des Nutzers wäre, ist noch nicht ausgemacht. Der Verbraucherzentrale Bundesverband (vzbv) sieht neben den Chancen der PIMS auch Risiken:
So müssen die Dienste beispielsweise für eine hervorragende Datensicherheit Sorge tragen, da diese – insbesondere wenn die Daten zentral gespeichert werden – ein attraktives Ziel für Angreifer darstellen können. Außerdem müssen die Dienste sicherstellen können, dass die Daten, die über sie an Datennutzer zur Verfügung gestellt werden, auch nur entsprechend der Präferenzen der Nutzer und der vereinbarten Zwecke verarbeitet werden. Ferner können die Rechte der Nutzer auch beeinträchtigt werden, wenn PIMS von anderen Unternehmen übernommen werden.
vzbv – Personal Information Management Systems (PIMS): Chancen, Risiken und Anforderungen
Als Fazit bleibt festzustellen, dass das Gesetz zwar die Rechtslage konkretisiert und mit den PIMS neue Tools ins Spiel bringt, die das Consent Management erleichtern. Von der ursprünglichen Idee, die Vorgaben zur Einwilligung zu entschlacken und tatsächlich ein Ende des Bannerwahns herbeizuführen, ist das Gesetz allerdings weit entfernt.
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32009L0136&from=DE
https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=107623&pos=6&anz=672
https://www.gdd.de/aktuelles/startseite/gdd-veroeffentlicht-praxishilfe-das-neue-telekommunikation-telemedien-datenschutz-gesetz-ttdsg-im-ueberblick
https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6
https://www.vzbv.de/sites/default/files/downloads/2020/04/06/20-02-19_vzbv-positionspapier_pims.pdf