Um das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) zu vereinheitlichen, stand bereits seit einiger Zeit eine Novellierung im Raum. Dieses neue „Telekommunikations- und Telemedien-Datenschutzgesetz“ (TTDSG) wurde nunmehr verabschiedet und tritt im November in Kraft. Wesentliche Neuerungen für die Onlinemarketing-Branche ergeben sich aus dem Gesetz nicht – zumindest vorerst.
Was ist geschehen?
Vorrangig wurde mit dem viel diskutierten neuen § 25 TTDSG die bereits 2009(!) von der EU überarbeitete ePrivacy-Richtlinie umgesetzt. Hintergrund ist unter anderem, dass der deutsche Bundesgerichtshof im Mai 2020 im so genannten „Planet49“-Urteil entschieden hatte, dass die alte deutsche Vorschrift zur Frage der Cookie-Einwilligung in § 15 Abs. 3 TMG ihrem Wortlaut nach Art. 5 Abs. 3 ePrivacy-Richtlinie widerspreche (siehe auch unseren ausführlichen Beitrag zum damaligen Urteil).
Art. 5 Abs. 3 ePrivacy-Richtlinie lautet (mit Auslassungen zur besseren Lesbarkeit):
„[D]ie Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines […] Nutzers gespeichert sind, [ist] nur gestattet […], wenn der betreffende […] Nutzer […] seine Einwilligung gegeben hat. Dies steht einer […] Speicherung oder dem Zugang nicht entgegen, […] wenn dies unbedingt erforderlich ist, damit der Anbieter […], [den] Dienst zur Verfügung stellen kann.“
Was ist neu (oder auch nicht)?
Die Anforderungen aus Art. 5 Abs. 3 ePrivacy-Richtlinie werden nun in § 25 TTDSG (endlich) in nationales Recht umsetzt. Der Wortlaut ist weitestgehend gleichlaufend (mit Auslassungen zur besseren Lesbarkeit) :
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer […] eingewilligt hat. […] Die Einwilligung […] ist nicht erforderlich, […] wenn die Speicherung von Informationen […] oder der Zugriff auf […] gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter […] einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Praktisch relevante Änderungen (gegenüber der Rechtslage vor dem Erlass des neuen Gesetzes) ergeben sich hieraus nicht. Denn bereits seit dem „Planet49“-Urteil ist § 15 Abs. 3 TMG so auszulegen, dass die Vorgaben aus Art. 5 Abs. 3 ePrivacy-Richtlinie eingehalten werden. Die neue Regelung in § 25 TTDSG folgt dieser Linie. Insbesondere schreibt sie das Einwilligungserfordernis aus der ePrivacy-Richtlinie fort.
Weiter bestehende Rechtsunsicherheiten
Auch bezüglich der für die Praxis äußerst relevanten Ausnahme, nach der eine Einwilligung nicht erforderlich ist, wenn die Informationsverarbeitung „unbedingt erforderlich“ ist, damit der Anbieter den aufgerufenen Dienst zur Verfügung stellen kann, enthält das TTDSG keine Neuerungen. Die Ausnahme entspricht nahezu wortgleich der Regelung aus Art. 5 Abs. 3 ePrivacy-Richtlinie.
Es bleibt somit weiterhin unklar, wann genau eine Informationsverarbeitung zur Erbringung eines Dienstes „unbedingt erforderlich“ ist (diskutiert wird diese Ausnahme für Analytics-Dienste, aber auch für das Affiliate-Marketing). Diese Debatte wird bereits seit der Novelle der ePrivacy-Richtlinie im Jahr 2009 geführt. Die beinahe wortgleiche Umsetzung der Richtlinie im TTDSG verpasst die Chance, für Rechtsklarheit in der Praxis zu sorgen.
Zur Verdeutlichung der schlichten Übernahme nachstehend der nebeneinander gestellte Wortlaut der Ausnahmeregelung (mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):
Art. 5 Abs. 3 ePrivacy-Richtlinie (2009) | § 25 Abs. 2 TTDSG (2021) |
„[D]ie Speicherung von Informationen oder de[r] Zugriff auf Informationen, die im Endgerät eines […] Nutzers gespeichert sind, [ist] nur […] gestattet […], wenn der […] Nutzer […] seine Einwilligung gegeben hat, [außer] wenn dies unbedingt erforderlich ist, damit der Anbieter [den] Dienst zur Verfügung stellen kann.“ | „Die Einwilligung […] ist nicht erforderlich, […] wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter [..] einen vom Nutzer ausdrücklich gewünschten [D]ienst zur Verfügung stellen kann.“ |
Der deutsche Gesetzgeber wollte mit dem § 25 TTDSG schlicht die vom EuGH angemahnte Korrektur vorzunehmen, versäumt dabei jedoch, aus den in der Praxis gesammelten Erfahrungen mit der schwer greifbaren Formulierung der „unbedingten Erforderlichkeit“ zu lernen und Klarstellungen aufzunehmen. Die Begründung des Regierungsentwurfs sagt dazu (S. 35 und 40 f., mit Hervorhebungen und Auslassungen zur besseren Lesbarkeit):
„§ 2[5] TTDSG […] orientiert sich […] eng am Wortlaut von Artikel 5 Absatz 3 der E-Privacy-Richtline.“
Es bleibt zu hoffen, dass der Praxis durch eine Positionierung der Datenschutzkonferenz (DSK) in naher Zukunft eine Orientierungshilfe an die Hand gegeben wird, wie es die Aufsichtsbehörden in Großbritannien und in Frankreich vorgemacht haben.
Tatsächliche Neuerungen beim „Wie“ der Einwilligung
Eine nennenswerte Neuerung könnte sich hingegen aus § 26 TTDSG ergeben. Nach dieser Vorschrift können „Dienste zur Verwaltung von […] erteilten Einwilligungen“, also Consent Management Platform-Dienste (CMPs), von einer unabhängigen Stelle anerkannt werden, wenn sie gewisse Voraussetzungen erfüllen. Eine solche Anerkennung soll zu einer erhöhten Rechtssicherheit der Art und Weise der Einholung der Einwilligung führen.
Das Gesetz ermächtigt die Bundesregierung, durch Rechtsverordnung die dafür geltenden Anforderungen näher auszugestalten. Es ist zu hoffen, dass hierdurch eine erhöhte Rechtsklarheit in Bezug auf (un-)zulässiges „Nudging“ erreicht wird. (Unter Nudging werden Gestaltungen von Cookie-Bannern verstanden, die Website-Besucher zur Abgabe einer Einwilligung bewegen sollen.) Mit einer solchen Verordnung ist aber frühestens Anfang 2022 zu rechnen.