Tracking nach ePrivacy-Richtlinie und deutschem Recht
Tracking nach der ePrivacy-Richtlinie und nach deutschem Recht
Bislang wurde für die Übergangszeit bis zum Inkrafttreten der (nun mehr gescheiterten) ePrivacy-VO teilweise vertreten, dass es bei der parallelen Anwendbarkeit der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des inzwischen außer Kraft getretenen Telemediengesetzes (TMG) bleibe. Zwar regelt die DSGVO in Artikel 95 ausdrücklich das Verhältnis zur bestehenden Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) und lässt deren Regelungen unberührt. Doch ergeben sich aus dem Zusammenspiel der Gesetze gleichwohl erhebliche Rechtsunsicherheiten. Dies hatte zur Folge, dass unterschiedliche Auffassungen etwa zur Rechtmäßigkeit des Website-Trackings vertreten wurden. Diese reichten von der Notwendigkeit einer Einwilligung bis hin zum bloßen Vorhalten einer Widerspruchsmöglichkeit (§ 15 Absatz 3 TMG).
Mit Blick auf die Rechtslage in Deutschland war umstritten, ob die für Online-Tracking maßbeglichen Regelungen des Telemediengesetzes (§§ 11 ff. TMG) eine Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation darstellen und daher neben der DSGVO weiterhin gelten oder ob die DSGVO seit dem 25. Mai 2018 allein maßgeblich war.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte dazu im April 2018 und im März 2019 Position bezogen. Ihrer Auffassung nach waren die Regelungen der §§ 11 ff. TMG seit der Geltung der DSGVO nicht mehr anwendbar. Das bedeutete, dass sich auch das Online-Tracking ausschließlich an der DSGVO messen musste. Hinsichtlich Tracking-Mechanismen, insbesondere zu Werbezwecken, vertreten die Behörden die Auffassung, dass diese einer Einwilligung der Betroffenen im Sinne der Artikel 6 Absatz 1 Buchstabe a), Artikel 7 DSGVO bedürfen.
Spätestens seit dem EuGH-Urteil vom 1. Oktober 2019 (Planet49 – Rs. C-673/17) ließ sich eine gegenteilige Auffassung und die Anwendbarkeit von §§ 11 ff. TMG kaum noch vertreten. Auch der EuGH hat geurteilt, dass für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind, also insbesondere für Cookies zu Werbezwecken, eine Einwilligung im Sinne einer aktiven Zustimmung des Nutzers erforderlich sei. Vorangekreuzte Kästchen oder Ähnliches seien nicht ausreichend. Damit erteilte der EuGH dem bloßen Vorhalten einer Widerspruchsmöglichkeit bei Cookies für Werbezwecke (§ 15 Absatz 3 TMG) eine Absage. Mit Urteil vom 28. Mai 2020 (Cookie-Einwilligung II – I ZR 7/16) hat sich der BGH, der die Frage in diesem Verfahren dem EuGH zur Vorabentscheidung vorgelegt hatte, der Rechtsprechung des EuGH angeschlossen und geurteilt, dass § 15 Absatz 3 TMG dahingehend richtlinienkonform auszulegen war, dass eine aktive Zustimmung erforderlich war, während ein voreingestelltes Ankreuzkästchen nicht ausreichte.
Das TMG trat nunmehr aufgrund des Digitale-Dienste-Gesetzes (DDG) außer Kraft. Zudem werden weitere Gesetze durch das Mantelgesetz angepasst, da in diesen der Begriff „Telemedien“ in „Digitale Dienste“ geändert wird.
Für das Setzen von Cookies auf Bundesebene ist das TDDDG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten) relevant, das am 28. Mai 2021 die Zustimmung des Bundesrats erhielt und seit dem 1. Dezember 2021 (zunächst als TTDSG, seit dem 14. Mai 2024 als TDDDG) gilt.
§ 25 Absatz 1 TDDDG verlangt für das Speichern von Informationen auf dem Endgerät eines Nutzers, also den Einsatz von Cookies und ähnlicher Speichermethoden, wie z.B. Local Storage, dessen vorherige Einwilligung auf Grundlage einer klaren und umfassenden Information. Die Anforderungen an diese Information und Einwilligung richten sich nach der DSGVO. Das Einholen einer Einwilligung ist gemäß § 25 Absatz 2 TDDDG nur ausnahmsweise dann nicht erforderlich, wenn die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz den alleinigen Zweck des Setzens von Cookies darstellt oder wenn das Setzen von Cookies unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann. Das Speichern von oder der Zugriff auf Informationen entgegen § 25 Absatz 1 TDDDG kann gemäß § 28 Absatz 1 Nr. 13, Absatz 2 TDDDG ein Bußgeld in Höhe von bis zu 300.000 Euro nach sich ziehen.
Für unabhängige Dienste zur Einwilligungsverwaltung (Personal Information Management Services, PIMS) ist in § 26 TDDDG auch die Möglichkeit einer Anerkennung u.a. dahingehend vorgesehen, dass sie sowohl technisch als auch organisatorisch die rechtlichen Anforderungen der DSGVO erfüllen. So soll die Nutzung von Diensten zur Einwilligungsverwaltung, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern von Informationen auf Endeinrichtungen und in den Zugriff auf bereits auf ihren Endeinrichtungen gespeicherten Informationen ermöglichen, gefördert werden. Die Ausgestaltung der genauen Anforderungen u.a. der Endnutzereinstellungen obliegt der Bundesregierung durch eine Rechtsverordnung, der sog. Einwilligungsverwaltungsverordnung („EinwVO“).
Lokale Marktkenntnisse. Globale Perspektive.
Wir bieten zukunftsorientierte Rechtsberatung für den Erfolg Ihres Unternehmens. Durch die Kombination lokaler Marktkenntnis mit globaler Perspektive und Anwälten an Standorten auf der ganzen Welt, profitiert Ihr Unternehmen von der Expertise, die Sie benötigen - auch über Grenzen hinweg.
Über CMS