von RA Phil Salewski

Cookie-Einwilligungspflicht wird gesetzlich verankert: Bundestag beschließt neues Telemedien-Datenschutzgesetz

News vom 01.06.2021, 10:54 Uhr | Keine Kommentare

Nachdem der EuGH zum 01.10.2019 eine Einwilligungspflicht für alle technisch nicht notwendigen Cookies bestätigt hatte, schloss sich am 28.05.2020 auch der BGH an. Problem dabei: die geltenden deutschen Vorschriften geben eine ausdrückliche Cookie-Einwilligungspflicht nicht her. Der BGH musste sich also des Kunstgriffs der „unionsrechtskonformen Auslegung“ bedienen. Dies soll sich nun ändern. Am 20.05.2021 hat der Deutsche Bundestag das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) beschlossen, das mit Geltung ab dem 01.12.2021 eine Einwilligungspflicht für technisch nicht erforderliche Cookies kodifiziert.

I. Status Quo: Cookie-Einwilligungspflicht über unionsrechtskonforme Auslegung

Ob in Deutschland der Einsatz von technisch nicht notwendigen Cookies, also solchen, die für den Betrieb einer Internetpräsenz zur Gewährleistung ihrer Funktionalitäten zwingend erforderlich sind, von einer vorherigen Nutzereinwilligung abhängig gemacht werden muss, hatte deutsche Gerichte seit 2014 beschäftigt.

Maßgeblicher rechtlicher Streitpunkt war hierbei, dass die europäische Cookie-Richtlinie 2002/58/EG in ihrer letzten Fassung von 2009 in Art. 5 Abs. 3 eine Pflicht der Mitgliedstaaten vorsah, den Einsatz von technisch nicht notwendigen Cookies von einer individuellen Nutzereinwilligung abhängig zum machen:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Diese Opt-In-Pflicht für Cookies war und ist in Deutschland aber nicht ordnungsgemäß umgesetzt worden. Vielmehr ging und geht das deutsche Pendant, der § 15 Abs. 3 TMG, davon aus, dass Cookies generell ohne Einwilligung gesetzt werden dürfen und nur ein Opt-Out ermöglicht werden muss:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.

Auf Vorlage des BGH erklärte der EuGH mit Urteil vom 01.10.2019 (Az. C-673/17) alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, für nach EU-Recht einwilligungspflichtig.

Das ausgesetzte Verfahren hatte der BGH mit Verhandlungstermin vom 30.01.2020 wieder aufgenommen und schließlich am 28.05.2020 – unter Berücksichtigung der Leitsätze des EuGH – sein Urteil gefällt.

In seiner Grundsatzentscheidung vom 28.05.2020 (I ZR 7/16) erklärte der BGH abschließend alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, auch in Deutschland für unbeschränkt einwilligungspflichtig.

Hierfür bediente sich der BGH des sog. Grundsatzes der unionsrechtkonformen Auslegung. Der BGH bestätigte, dass § 15 Abs. 3 TMG in seinem Wortlaut mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG) nicht zu vereinbaren sei. Während die Richtlinie eine Opt-In-Pflicht für technisch nicht notwendige Cookies vorsehe, gehe § 15 Abs. 3 TMG vom Ausreichen eines bloßen Cookie-Opt-Outs (also eines Widerspruchs) aus.

Der BGH entschied daher, dass § 15 Abs. 3 TMG richtlinienkonform dahingehend ausgelegt werden müsse, dass für den Einsatz von technisch nicht notwendigen Cookies die Einwilligung des Nutzers erforderlich sei. Der fehlenden erforderlichen Einwilligung sei der gemäß § 15 Abs. 3 TMG dem Cookie-Tracking entgegenstehende Widerspruch gleichzusetzen.

Der wortlautgemäßen Anwendung der Vorschrift sprach der Senat damit seine Gültigkeit ab und überschrieb sie unter Beachtung des Unionsrechts.

Seit dem 28.05.2020 muss § 15 Abs. 3 TMG richtlinienkonform so angewendet werden, als setze er für den Einsatz technisch nicht erforderlicher Cookies eine Nutzereinwilligung voraus.

Banner Unlimited Paket

II. Ausdrückliche Cookie-Einwilligungspflicht im neuen TTDSG ab dem 01.12.2021

Den vom BGH festgestellten eklatanten Widerspruch zwischen der Regelung des § 15 Abs. 3 TMG und der unionsrechtlichen Cookie-Einwilligungspflicht nahm sich der deutsche Gesetzgeber zum Anlass, sich schließlich doch an die gesetzliche Verankerung der Zustimmungspflichtigkeit von technisch nicht notwendigen Cookies zu machen.

Kodifiziert werden soll sie in einem neuen Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), in das zusätzlich auch bereichsspezifische Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) überführt werden.

Ein erster Gesetzesentwurf war bereits im August 2020 erstmalig präsentiert worden. Am 10.02.2021 hatte das Bundeskabinett den offiziellen Regierungsentwurf veröffentlicht.

Am 20.05.2021 ist das Gesetz sodann vom Bundestag beschlossen wurden.

Nach Passieren des Bundesrat soll es mit Wirkung zum 01.12.2021 in Kraft treten.

Die erstmalig gesetzlich verankerte Cookie-Einwilligungspflicht wird sich aus dem neuen § 25 TTDSG ergeben und sich inhaltlich abweichungslos an die Vorgaben der Cookie-Richtlinie anlehnen.

Nach dem neuen § 25Abs. 1 TTDSG wird fortan gesetzlich Folgendes vorgegeben sein:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [DSGVO] zu erfolgen.

Die Ausnahmen von der Einwilligungspflicht für technisch zwingend notwendige Cookies und für Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen, werden in § 25 Abs. 2 TTDSG geregelt sein:

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

III. Neue Bußgeldvorschriften

Auch wenn die Ausgestaltung und der Inhalt der Einwilligungspflicht für technisch nicht notwendige Cookies durch deren Kodifizierung in § 25 TTDSG nicht berührt wird (es gilt das, was bereits 2019 durch den EuGH entschieden und 2020 vom BGH bestätigt wurde), drohen bei Missachtung der Grundsätze ab dem 01.12.2021 erstmalig finanzielle Konsequenzen.

Mit § 28 TTDSG wird nämlich ein eigener Bußgeldtatbestand für Verstöße gegen die Cookie-Einwilligungspflicht eingeführt, der Geldbußen von bis zu 300.000 Euro vorsieht:

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […]
13. entgegen § 25 Absatz 1 Satz 1 eine Information speichert oder auf eine Information zugreift.
(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2, 3, 9, 11, 12 und 13 mit einer Geldbuße bis zu dreihunderttausend Euro, in den Fällen des Absatzes 1 Nummer 4 und 5 mit einer Geldbuße bis zu hunderttausend Euro, in den Fällen des Absatzes 1 Nummer 8 mit einer Geldbuße bis zu fünfzigtausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu zehntausend Euro geahndet werden.

Damit drohen Akteuren im Internet, die ohne die erforderliche Einwilligung technisch nicht notwendige Cookies setzen, erstmalig konkrete verwaltungsrechtliche Konsequenzen.

Bisher waren Verstöße gegen die allein höchstrichterlich beschlossene Einwilligungspflicht für technisch nicht notwendige Cookies behördlich mit Geldbußen nicht ahndbar.

IV. Neue Anerkennungsverfahren für Cookie-Consent-Tools

Die notwendigen Cookie-Einwilligungen werden über spezielle, in Internetpräsenzen integrierte Dienste (sog. „Cookie-Consent-Tools“) eingeholt, die als Interface Cookies solange blockieren, bis der Nutzer per Klick seine individuelle Akzeptanz erklärt.

Bisher ist der Markt für Cookie-Consent-Tools aber kaum reguliert. Neben rechtskonformen Diensten tummeln sich auch eine Vielzahl von unzureichenden technischen Lösungen im Angebotssegment.

Dem will ein neuer § 26 TTDSG entgegenwirken, welcher dem deutschen Gesetzgeber die Kompetenzen zugesteht, per Rechtsverordnung Anerkennungsverfahren für Consent-Tools zu definieren. Eine unabhängige Stelle soll damit auf Basis dieser Rechtsverordnung(en) in der Lage sein, technische Einwilligungslösungen als gesetzeskonform zu zertifizieren und so für Marktakteure mehr Rechtssicherheit bei der Auswahl von Consent-Tools zu schaffen.

Bislang stecken entsprechende Verordnungsvorgaben aber allenfalls in den Kinderschuhen. Entsprechende Entwürfe sind noch nicht bekannt.

V. Fazit

Was länge währt …

In einem neuen TTDSG wird auch in Deutschland die auf EU-Seite schon 2009 beschlossene und höchstrichterlich bestätigte Einwilligungspflicht für technisch nicht notwendige Cookies mit Wirkung zum 01.12.2021 letztendlich kodifiziert.

Bislang fehlte – ganz zur Missbilligung führender Datenschützer – eine entsprechende ausdrückliche Regelung im deutschen Recht. Dem deutschen Gesetzgeber war daher lange Zeit vorgeworfen worden, gegen EU-Recht zu verstoßen und seinen EU-Harmonisierungspflichten nicht nachzukommen.

Da seit dem Urteil des BGH vom 28.05.2020 eine Cookie-Einwilligungspflicht identischen Inhalts bereits in § 15 Abs. 3 TMG „hineingelesen“ werden muss, ändert sich für Online-Akteure inhaltlich durch den neuen § 25 TTDSG zwar nichts. Vielmehr gilt die Zustimmungsbedürftigkeit für technisch nicht notwendige Cookies in selber Manier fort.

Neu wird aber ein eigener Bußgeldtatbestand sein, nach dem unzureichende oder fehlende Einwilligungsmechanismen mit Geldbußen von bis zu 300.000€ geahndet werden können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2021 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller