Ab dem 01.12.2021 in Kraft: das TTDSG und die "neuen" Cookie-Regeln

Stefan Hessel

Das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) führt die Datenschutzvorschriften des Telekommunikationsgesetzes (TKG) und Telemediengesetzes (TMG) zusammen und dient der Umsetzung europarechtlicher Vorgaben, insbesondere der ePrivacy-Richtline. Das neue Gesetz tritt zum 1. Dezember 2021 in Kraft. Stehen Unternehmen dadurch vor neuen rechtlichen Herausforderungen? Wir stellen die Änderungen vor.

Neue Regelung für den Einsatz von Cookies?

Am meisten Aufmerksamkeit erhielt in der öffentlichen Diskussion § 25 TTDSG. Dieser enthält Regelungen für die Speicherung und Nutzung von Daten auf Endeinrichtungen der Benutzer. Welche Voraussetzungen für die Verwendung dieser sogenannten Cookies, etwa durch Betreiber von Internetseiten, gelten, hat in Deutschland eine längere Vorgeschichte.

Es war lange Zeit umstritten, ob Deutschland die dahingehenden Anforderungen der ePrivacy-Richtlinie überhaupt hinreichend umsetzt. Deren Art. 5 Abs. 3 stellt klar, dass die Speicherung von und der Zugriff auf Informationen auf Endgeräten der Nutzer, meist als Cookies bezeichnet, grundsätzlich nur möglich sind, wenn diese vorher eine Einwilligung erteilen oder der Cookie technisch unbedingt erforderlich ist.

Europäische Richtlinien, die private Akteure verpflichten, sind jedoch nicht unmittelbar anwendbar, sondern bedürfen der Umsetzung durch nationales Recht. Die im deutschen Recht maßgebliche Regelung fand sich in dem bis dato geltenden § 15 III 1 des Telemediengesetzes. Dieser bildete die Vorgabe des Art. 5 Absatz 3 der ePrivacy-Richtlinie jedoch nur unzureichend ab. Der Bundesgerichtshof (BGH) bediente sich daher der richtlinienkonformen Auslegung und legte die Vorschrift des Telemediengesetzes entgegen dem Wortlaut im Sinne der europarechtlichen Vorgaben aus. § 25 TTDSG sorgt hier nun für Klarheit, indem er die Erfordernisse der ePrivacy-Richtlinie eindeutig umsetzt und sich auch in seinem Wortlaut eng an der Richtlinie orientiert. Im Hinblick auf die Rechtssicherheit ist dies gegenüber einer Auslegung über die Grenze des Wortlauts hinaus zu begrüßen.

Daraus ergibt sich jedoch gleichzeitig, dass sich die Rechtslage gegenüber dem Status quo ante in dieser Frage weitestgehend nicht verändert. Vielmehr wurde die durch die sogenannten "Cookie-Urteile" des BGH bereits herbeigeführte Rechtslage nur eindeutiger festgehalten. Auch eine weitergehende Konkretisierung hinsichtlich der Frage, wie genau die Einwilligung ausgestaltet sein muss, enthält das TTDSG nicht.

Einwilligungsdienste

Eine überraschende Neuerung enthält jedoch § 26 TTDSG. Danach sind Dienste zur Einwilligungsverwaltung unter bestimmten Voraussetzungen zulässig. Diese Personal-Information-Management-Systeme (PIMS) erlauben eine vorherige Einwilligung durch einen unabhängigen Dienst. Über diesen könnte ein Nutzer im Vorfeld angeben, welchen Kategorien von Cookies er generell unter welchen Voraussetzungen zustimmt. Die Dienste teilen den Websites die gewünschten Einstellungen mit. Dies könnte sich perspektivisch als wirkungsvolles Instrument zur Eindämmung der von vielen als Belastung wahrgenommenen Flut an Einwilligungsbannern erweisen.

Jedoch müsste nach § 26 Abs. 2 TTDSG die Bundesregierung zuerst mit Zustimmung des Bundesrates die genaueren Voraussetzungen in einer Rechtsverordnung festlegen. Zusätzlich müssten sich Anbieter finden, die eine entsprechende von § 26 Abs. 1 TTDSG geforderte Zertifizierung für ihren Dienst vornehmen lassen.

Erweiterter Anwendungsbereich

Eine Änderung, die für Produkthersteller von Interesse sein dürfte, betrifft den Anwendungsbereich der Regelungen. Abweichend von der ePrivacy-Richtlinie spricht § 25 TTDSG nicht von Endgeräten, sondern von Endeinrichtungen des Nutzers. Nach § 2 Abs. 2 Nr. 6 TTDSG ist dieser Begriff als jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten definiert. Die Gesetzesbegründung spricht davon, dass diese Formulierung einen weiten Anwendungsbereich abdecken soll. Die Voraussetzungen des § 25 TTDSG gelten somit nicht nur für die Internetkommunikation, sondern auch für die Verwendung vernetzter Geräte (Internet of Things) wie beispielsweise von SmartHome-Geräten.

Fazit

Für Unternehmen ändert sich durch die Einführung des TTDSG wenig. Die Regelungen zu sogenannten Cookies waren bisher schon geltendes Recht. Begrüßenswert erscheint, dass der Gesetzgeber den Einsatz von PIMS ermöglichen möchte. Wann und ob es auf der Grundlage des § 26 TTDSG überhaupt zu einem Einsatz solcher Dienste kommen wird, ist jedoch fraglich. Zumal das TTDSG in den kommenden Jahren von der bereits seit einiger Zeit in Arbeit befindlichen europäischen ePrivacy-Verordnung verdrängt werden wird. Unternehmen, welche die Vorgaben der ePrivacy-Richtlinie noch nicht hinreichend umgesetzt haben, sollten dies jedoch in jedem Fall zeitnah nachholen.

[November 2021]