Die Übergangszeit und das TTDSG
Für die Übergangszeit von derzeit vorgesehenen 24 Monaten ab dem Datum ihres Inkrafttretens bis zur Geltung der ePrivacy-VO (Artikel 29 Absatz 2) wurde bislang teilweise vertreten, dass es bei der parallelen Anwendbarkeit der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) bleibe. Zwar regelt die DSGVO in Artikel 95 ausdrücklich das Verhältnis zur bestehenden Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) und lässt deren Regelungen unberührt. Doch ergeben sich aus dem Zusammenspiel der Gesetze gleichwohl erhebliche Rechtsunsicherheiten. Dies hatte zur Folge, dass unterschiedliche Auffassungen etwa zur Rechtmäßigkeit des Website-Trackings vertreten wurden. Diese reichten von der Notwendigkeit einer Einwilligung bis hin zum bloßen Vorhalten einer Widerspruchsmöglichkeit (§ 15 Absatz 3 TMG).
Mit Blick auf die Rechtslage in Deutschland war umstritten, ob die für Online-Tracking maßbeglichen Regelungen des Telemediengesetzes (§§ 11 ff. TMG) eine Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation darstellen und daher neben der DSGVO weiterhin gelten oder ob die DSGVO seit dem 25. Mai 2018 allein maßgeblich ist.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Län-der hatte dazu im April 2018 und im März 2019 Position bezogen. Ihrer Auffassung nach sind die Regelungen der §§ 11 ff. TMG seit der Geltung der DSGVO nicht mehr anwendbar. Das bedeutet, dass sich auch das Online-Tracking ausschließlich an der DSGVO messen muss. Hinsichtlich Tracking-Mechanismen, insbesondere zu Werbezwecken, vertreten die Behörden die Auffassung, dass diese einer Einwilligung der Betroffenen im Sinne der Artikel 6 Absatz 1 Buchstabe a), Artikel 7 DSGVO bedürfen.
Spätestens seit dem EuGH-Urteil vom 1. Oktober 2019 (Planet49 – Rs. C-673/17) lassen sich eine gegenteilige Auffassung und die Anwendbarkeit von §§ 11 ff. TMG kaum noch vertreten. Auch der EuGH hat geurteilt, dass für das Setzen von Cookies, die technisch für die Nutzung nicht erforderlich sind, also insbesondere für Cookies zu Werbezwecken, eine Einwilligung im Sinne einer aktiven Zustimmung des Nutzers erforderlich sei. Vorangekreuzte Kästchen oder Ähnliches seien nicht ausreichend. Damit hat der EuGH dem bloßen Vorhalten einer Widerspruchsmöglichkeit bei Cookies für Werbezwecke (§ 15 Absatz 3 TMG) eine Absage erteilt. Mit Urteil vom 28. Mai 2020 (Cookie-Einwilligung II – I ZR 7/16) hat sich der BGH, der die Frage in diesem Verfahren dem EuGH zur Vorabentscheidung vorgelegt hatte, der Rechtsprechung des EuGH angeschlossen und geurteilt, dass § 15 Absatz 3 TMG dahingehend richtlinienkonform auszulegen ist, dass eine aktive Zustimmung erforderlich ist, während ein voreingestelltes Ankreuzkästchen nicht ausreicht.
Für das Setzen von Cookies ist auf Bundesebene – und bis zum Inkrafttreten der ePrivacy-VO – das TTDSG (Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien) relevant, das am 28. Mai 2021 die Zustimmung des Bundesrats erhielt und seit dem 1. Dezember 2021 gilt. Die entsprechenden Regelungen im TTDSG ersetzen seitdem die datenschutzrechtlichen Regelungen des TMG.
§ 25 Absatz 1 TTDSG verlangt für das Speichern von Informationen auf dem Endgerät eines Nutzers, also den Einsatz von Cookies und ähnlicher Speichermethoden, wie z.B. Local Storage, dessen vorherige Einwilligung auf Grundlage einer klaren und umfassenden Information. Die Anforderungen an diese Information und Einwilligung richten sich nach der DSGVO. Das Einholen einer Einwilligung ist gemäß § 25 Absatz 2 TTDSG nur ausnahmsweise dann nicht erforderlich, wenn die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz den alleinigen Zweck des Setzens von Cookies darstellt oder wenn das Setzen von Cookies unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Das Speichern von oder der Zugriff auf Informationen entgegen § 25 Absatz 1 TTDSG kann gemäß § 28 Absatz 1 Nr. 13, Absatz 2 TTDSG ein Bußgeld in Höhe von bis zu 300.000 Euro nach sich ziehen.
Für unabhängige Dienste zur Einwilligungsverwaltung (Personal Information Management Services, PIMS) ist in § 26 TTDSG auch die Möglichkeit einer Anerkennung u.a. dahingehend vorgesehen, dass sie sowohl technisch als auch organisatorisch die rechtlichen Anforderungen der DSGVO erfüllen. So soll die Nutzung von Diensten zur Einwilligungsverwaltung, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern von Informationen auf Endeinrichtungen und in den Zugriff auf bereits auf ihren Endeinrichtungen gespeicherten Informationen ermöglichen, gefördert werden. Die Ausgestaltung der genauen Anforderungen u.a. der Endnutzereinstellungen obliegt der Bundesregierung durch eine Rechtsverordnung, der sog. Einwilligungsverwaltungsverordnung („EinwVO“).
TTDSG – Aufsichtsbehörden konkretisieren Anforderungen an Telemedienanbieter
Die DSK hat das seit Dezember 2021 geltende TTDSG zum Anlass genommen,...
TTDSG part I: Telekommunikationsdatenschutz 2.0?
Der Beitrag widmet sich den wesentlichen Neuerungen des TTDSG im Bereich...
Digital Regulation
Ein neuer Rechtsrahmen für die digitale Welt
Datenschutz-Grundverordnung (DSGVO)
Das CMS-Datenschutzteam bietet Mandanten umfassende Rechtsberatung zur...
%20(2).jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.