Viele Unternehmen fragen sich, was bei der elektronischen Kommunikation, z.B. beim Einsatz von Cookies und Tracking-Tools auf Webseiten, aus datenschutzrechtlicher Sicht zu beachten ist.
Das Nebeneinander von EU-Datenschutz-Grundverordnung (DSGVO), Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) führte insbesondere bei Verbrauchern, die Telemedien und elektronische Kommunikationsdiente nutzen, bei Anbietern dieser Dienste und bei den Aufsichtsbehörden zu Rechtsunsicherheiten und Verwirrungen.
Der deutsche Gesetzgeber hat nun, wenn auch verspätet, auf diese Problematik reagiert: Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) trat am 01.12.21 in Kraft und führt die bisher bestehenden Telekommunikations- und Telemediengesetze zusammen.
Das TTDSG zielt laut Gesetzesbegründung darauf ab, die Datenschutzregelungen des TKG und des TMG an die DSGVO anzupassen und die ePrivacy-Richtlinie rechtssicher umzusetzen.[1] Es umfasst unter anderem Vorschriften zum Einsatz von Cookies und vergleichbaren Technologien, zum Fernmeldegeheimnis, zur Rufnummernanzeige und –unterdrückung sowie zu technischen und organisatorischen Vorkehrungen, die von Anbietern von Telemedien sicherzustellen sind. Das Gesetz soll also da ansetzen, wo seit Jahren vergeblich auf die ePrivacy-Verordnung gewartet wird.
Besonders erfreulich ist in diesem Zusammenhang, dass durch § 25 TTDSG eine eindeutige Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie erfolgt ist.[2] § 25 Abs. 1 TTDSG besagt nämlich, dass für Cookies und vergleichbare Technologien grundsätzlich eine vorherige Einwilligung der Nutzer erforderlich ist. Damit hat der Gesetzgeber die vom Bundesgerichtshof vertretene Rechtsauffassung (Urteil v. 28.5.2020, I ZR 7/16) ausdrücklich übernommen und für Klarstellung gesorgt.[3]
Unternehmen sind demzufolge verpflichtet, eine Einwilligungslösung auf Ihrer Webseite zu integrieren, falls sie dort bestimmte Cookies einsetzen oder Tracking-Tools verwenden. In der Praxis wird diese Anforderung einer sog. Consent Management Lösung in der Regel mittels der zwischenzeitlich allseits bekannten Cookie-Banner abgebildet.
Wichtig ist zu erwähnen, dass die Nutzer auf der Grundlage von klaren und umfassenden Informationen einwilligen müssen. Deshalb stellt sich die Frage, wie die Cookie-Einwilligung in Form eines Banners zu gestalten ist und welche umfassenden Informationspflichten bestehen. Diese wird allerdings vom TTDSG nicht beantwortet, sondern lediglich auf die DSGVO verwiesen.
Die Gestaltung der Cookie-Einwilligung
Da das TTDSG hinsichtlich der Einwilligung auf die DSGVO verweist, ist Art. 4 Nr. 11 DSGVO heranzuziehen, welcher den Begriff der Einwilligung näher bestimmt.
Danach ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Aufgrund dieser Definition wird zunächst deutlich, dass die Nutzer ihre Zustimmung aktiv, d.h. beispielsweise durch Anklicken eines „Zustimmen“-Buttons, erteilen müssen. Insbesondere voreingestellte Ankreuzkästchen entsprechen diesem Einwilligungserfordernis nicht und sind somit rechtswidrig (BGH Urteil v. 28.5.2020, I ZR 7/16; EuGH Urteil v. 1.10.2019, C-673/17). Insofern bedingt das TTDSG also schon einmal keine Änderung der bereits bestehenden Praxis.
Außerdem muss den Nutzern die Möglichkeit verschafft werden, die Einwilligung zu verweigern. Das bedeutet, dass zusätzlich zum „Zustimmen“-Button auch ein „Ablehnen“-Button bereitgestellt werden sollte, was eine zentrale Neuerung darstellt. Dabei sollten Unternehmen vor allem darauf achten, den „Zustimmen“-Button und den „Ablehnen“-Button gleichwertig zu gestalten.
Nach aktueller Rechtslage ist es zwar nicht gänzlich verboten, einzelne Schaltflächen mit Hilfe von unterschiedlichen Farben oder Schriftgrößen hervorzuheben.[4] Da allerdings eine solche Hervorhebung insbesondere seitens der Datenschutzbehörden in der Kritik steht,[5] sollten Unternehmen auch im Hinblick auf eine künftig mögliche Änderung der Rechtsprechung kein unnötiges Risiko eingehen, indem Sie beispielsweise den Button für „Zustimmen“ durch eine grellere Farbe hervorheben.
Unzulässig dürfte es allerdings nach der herrschenden Meinung sein, den „Ablehnen“-Button umständlicher zu gestalten als den „Zustimmen“-Button.[6] Eine umständliche Gestaltung des Buttons für „Ablehnen“ könnte beispielsweise dann vorliegen, wenn dem Nutzer auf der ersten Ebene des Cookie-Banners lediglich die Möglichkeit eingeräumt wird, zwischen den beiden Alternativen „Zustimmung“ oder „Weitere Einstellungen“ auszuwählen, wenngleich die Cookie-Banner vieler Unternehmenswebseiten noch immer so gestaltet sind.[7]
Schließlich sollten Unternehmen die Einwilligung zum Setzen eines Cookies bereits beim ersten Aufruf Ihrer Webseite einholen.[8] Liegt keine Einwilligung der Nutzer vor, so dürfen auch – bis auf wenige Ausnahmen – keine Cookies eingesetzt werden.
Ausnahmen vom Einwilligungserfordernis
Hinsichtlich der Ausnahmen von der Einwilligungspflicht hat sich grundsätzlich nichts geändert: Das Einwilligungserfordernis beim Einsatz von Cookies entfällt gem. § 25 Abs. 2 TTDSG ausnahmsweise dann, wenn sie der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dienen oder unbedingt erforderlich sind, um den Dienst – also etwa eine ordnungsgemäß funktionierende Website – zur Verfügung zu stellen. Ein Beispiel für Letzteres sind etwa Warenkorb-Cookies.
Verhältnis des TTDSG zur ePrivacy-Verordnung
Das Inkrafttreten des TTDSG bringt selbstverständlich auch die Frage mit sich, welche Auswirkungen die ePrivacy Verordnung, die sich ebenfalls mit der Achtung des Privatlebens und dem Schutz personenbezogener Daten in der elektronischen Kommunikation beschäftigt, auf das TTDSG haben wird.
Die ePrivacy-Verordnung sollte ursprünglich zeitgleich mit der DSGVO Inkrafttreten und die aktuell vorhandene ePrivacy-Richtlinie ablösen. Das Gesetzgebungsverfahren verzögert sich jedoch bis heute, sodass der deutsche Gesetzgeber sich gezwungen sah, in Form des TTDSG zu handeln, um bestehenden Rechtsunsicherheiten entgegenzuwirken.
Derzeit befindet sich das Gesetzgebungsverfahren für die ePrivacy-Verordnung in den Trilog-Verhandlungen, sodass angenommen wird, dass der deutsche Gesetzgeber mit dem TTDSG lediglich eine Übergangslösung schaffen wollte, die kurzfristiger Natur sein wird.[9]
Dies bezieht sich aber lediglich auf diejenigen Vorschriften des TTDSG, welche die Regelungen der ePrivacy-Richtlinie in deutsches Recht umgesetzt haben, wie beispielsweise § 25 TTDSG.[10] Demgegenüber werden alle anderen Vorschriften des TTDSG weiterhin Bestand haben.[11]
Fazit
Das TTDSG ist da und bringt vor allem im Hinblick auf notwendige Einwilligungen auf Webseiten mehr Rechtssicherheit und Rechtsklarheit für Unternehmen. Da der Gesetzgeber unterdies die vom
Bundesgerichtshof bereits vertretene Rechtsauffassung ausdrücklich übernommen hat, fungiert das TTDSG in vielen Bereichen primär als eine Klarstellung. Die deutlich konkreteren Vorgaben in Bezug auf die Möglichkeit einer Einwilligungsverweigerung für Nutzer stellen indessen eine wichtige
Neuerung dar. Für Unternehmen bedeutet dies, sich spätestens jetzt mit den Vorgaben des TTDSG zu befassen, um die erforderlichen Anpassungen im Unternehmen rechtssicher umzusetzen.
[1] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 1.
[2] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 2.
[3] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 3.
[4] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, § 25 TTDSG Rn. 30.
[5] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, § 25 TTDSG Rn. 30.
[6] contentmanager.de Redaktion, Cookie-Einwilligung nach TTDSG und DSGVO umsetzen – Tipps, 10.01.2022, https://www.contentmanager.de/nachrichten/ttdsg-dsgvo-cookie-einwilligung-checkliste/.
[7] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, § 25 TTDSG Rn. 30.
[8] contentmanager.de Redaktion, Cookie-Einwilligung nach TTDSG und DSGVO umsetzen – Tipps, 10.01.2022, https://www.contentmanager.de/nachrichten/ttdsg-dsgvo-cookie-einwilligung-checkliste/.
[9] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 12.
[10] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 13.
[11] Ettig, in Taeger/Gabel, DSGVO – BDSG – TTDSG, Einleitung Rn. 13.
Autor: Okan Karagöz, Consultant Data Protection Services, Creditreform Compliance Services GmbH
