Ab dem 01.12.2021 in Kraft: das TTDSG und die “neu­en” Cookie-Regeln

Das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) führt die Daten­schutz­vor­schrif­ten des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes (TKG) und Tele­me­di­en­ge­set­zes (TMG) zusam­men und dient der Umset­zung euro­pa­recht­li­cher Vor­ga­ben, ins­be­son­de­re der ePrivacy-Richtline. Das neue Gesetz tritt zum 1. Dezem­ber 2021 in Kraft. Ste­hen Unter­neh­men dadurch vor neu­en recht­li­chen Her­aus­for­de­run­gen? Wir stel­len die Ände­run­gen vor.

Neue Rege­lung für den Ein­satz von Cookies?

Am meis­ten Auf­merk­sam­keit erhielt in der öffent­li­chen Dis­kus­si­on § 25 TTDSG. Die­ser ent­hält Rege­lun­gen für die Spei­che­rung und Nut­zung von Daten auf End­ein­rich­tun­gen der Benut­zer. Wel­che Vor­aus­set­zun­gen für die Ver­wen­dung die­ser soge­nann­ten Coo­kies, etwa durch Betrei­ber von Inter­net­sei­ten, gel­ten, hat in Deutsch­land eine län­ge­re Vorgeschichte.

Es war lan­ge Zeit umstrit­ten, ob Deutsch­land die dahin­ge­hen­den Anfor­de­run­gen der ePrivacy-Richtlinie über­haupt hin­rei­chend umsetzt. Deren Art. 5 Abs. 3 stellt klar, dass die Spei­che­rung von und der Zugriff auf Infor­ma­tio­nen auf End­ge­rä­ten der Nut­zer, meist als Coo­kies bezeich­net, grund­sätz­lich nur mög­lich sind, wenn die­se vor­her eine Ein­wil­li­gung ertei­len oder der Coo­kie tech­nisch unbe­dingt erfor­der­lich ist.

Euro­päi­sche Richt­li­ni­en, die pri­va­te Akteu­re ver­pflich­ten, sind jedoch nicht unmit­tel­bar anwend­bar, son­dern bedür­fen der Umset­zung durch natio­na­les Recht. Die im deut­schen Recht maß­geb­li­che Rege­lung fand sich in dem bis dato gel­ten­den § 15 III 1 des Tele­me­di­en­ge­set­zes. Die­ser bil­de­te die Vor­ga­be des Art. 5 Absatz 3 der ePrivacy-Richtlinie jedoch nur unzu­rei­chend ab. Der Bun­des­ge­richts­hof (BGH) bedien­te sich daher der richt­li­ni­en­kon­for­men Aus­le­gung und leg­te die Vor­schrift des Tele­me­di­en­ge­set­zes ent­ge­gen dem Wort­laut im Sin­ne der euro­pa­recht­li­chen Vor­ga­ben aus. § 25 TTDSG sorgt hier nun für Klar­heit, indem er die Erfor­der­nis­se der ePrivacy-Richtlinie ein­deu­tig umsetzt und sich auch in sei­nem Wort­laut eng an der Richt­li­nie ori­en­tiert. Im Hin­blick auf die Rechts­si­cher­heit ist dies gegen­über einer Aus­le­gung über die Gren­ze des Wort­lauts hin­aus zu begrüßen.

Dar­aus ergibt sich jedoch gleich­zei­tig, dass sich die Rechts­la­ge gegen­über dem Sta­tus quo ante in die­ser Fra­ge wei­test­ge­hend nicht ver­än­dert. Viel­mehr wur­de die durch die soge­nann­ten “Cookie-Urteile” des BGH bereits her­bei­ge­führ­te Rechts­la­ge nur ein­deu­ti­ger fest­ge­hal­ten. Auch eine wei­ter­ge­hen­de Kon­kre­ti­sie­rung hin­sicht­lich der Fra­ge, wie genau die Ein­wil­li­gung aus­ge­stal­tet sein muss, ent­hält das TTDSG nicht.

Ein­wil­li­gungs­diens­te

Eine über­ra­schen­de Neue­rung ent­hält jedoch § 26 TTDSG. Danach sind Diens­te zur Ein­wil­li­gungs­ver­wal­tung unter bestimm­ten Vor­aus­set­zun­gen zuläs­sig. Die­se Personal-Information-Management-Systeme (PIMS) erlau­ben eine vor­he­ri­ge Ein­wil­li­gung durch einen unab­hän­gi­gen Dienst. Über die­sen könn­te ein Nut­zer im Vor­feld ange­ben, wel­chen Kate­go­rien von Coo­kies er gene­rell unter wel­chen Vor­aus­set­zun­gen zustimmt. Die Diens­te tei­len den Web­sites die gewünsch­ten Ein­stel­lun­gen mit. Dies könn­te sich per­spek­ti­visch als wir­kungs­vol­les Instru­ment zur Ein­däm­mung der von vie­len als Belas­tung wahr­ge­nom­me­nen Flut an Ein­wil­li­gungs­ban­nern erweisen.

Jedoch müss­te nach § 26 Abs. 2 TTDSG die Bun­des­re­gie­rung zuerst mit Zustim­mung des Bun­des­ra­tes die genaue­ren Vor­aus­set­zun­gen in einer Rechts­ver­ord­nung fest­le­gen. Zusätz­lich müss­ten sich Anbie­ter fin­den, die eine ent­spre­chen­de von § 26 Abs. 1 TTDSG gefor­der­te Zer­ti­fi­zie­rung für ihren Dienst vor­neh­men lassen.

Erwei­ter­ter Anwendungsbereich

Eine Ände­rung, die für Pro­duk­t­her­stel­ler von Inter­es­se sein dürf­te, betrifft den Anwen­dungs­be­reich der Rege­lun­gen. Abwei­chend von der ePrivacy-Richtlinie spricht § 25 TTDSG nicht von End­ge­rä­ten, son­dern von End­ein­rich­tun­gen des Nut­zers. Nach § 2 Abs. 2 Nr. 6 TTDSG ist die­ser Begriff als jede direkt oder indi­rekt an die Schnitt­stel­le eines öffent­li­chen Tele­kom­mu­ni­ka­ti­ons­net­zes ange­schlos­se­ne Ein­rich­tung zum Aus­sen­den, Ver­ar­bei­ten oder Emp­fan­gen von Nach­rich­ten defi­niert. Die Geset­zes­be­grün­dung spricht davon, dass die­se For­mu­lie­rung einen wei­ten Anwen­dungs­be­reich abde­cken soll. Die Vor­aus­set­zun­gen des § 25 TTDSG gel­ten somit nicht nur für die Inter­net­kom­mu­ni­ka­ti­on, son­dern auch für die Ver­wen­dung ver­netz­ter Gerä­te (Inter­net of Things) wie bei­spiels­wei­se von SmartHome-Geräten.

Fazit

Für Unter­neh­men ändert sich durch die Ein­füh­rung des TTDSG wenig. Die Rege­lun­gen zu soge­nann­ten Coo­kies waren bis­her schon gel­ten­des Recht. Begrü­ßens­wert erscheint, dass der Gesetz­ge­ber den Ein­satz von PIMS ermög­li­chen möch­te. Wann und ob es auf der Grund­la­ge des § 26 TTDSG über­haupt zu einem Ein­satz sol­cher Diens­te kom­men wird, ist jedoch frag­lich. Zumal das TTDSG in den kom­men­den Jah­ren von der bereits seit eini­ger Zeit in Arbeit befind­li­chen euro­päi­schen ePrivacy-Verordnung ver­drängt wer­den wird. Unter­neh­men, wel­che die Vor­ga­ben der ePrivacy-Richtlinie noch nicht hin­rei­chend umge­setzt haben, soll­ten dies jedoch in jedem Fall zeit­nah nachholen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.