Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Rechtswidriger Cookie-Banner

Das Landgericht Köln hat mit Beschluss vom 13.04.2021, Az.: 31 O 36/21, entschieden, dass die „alten“, aber zum Teil immer noch gebräuchlichen Cookie-Banner rechtswidrig sind.

Bei dem Beschluss handelt es sich um eine einstweilige Verfügung des Landgerichts Köln, welche nur kurz begründet ist. Aus der Begründung geht hervor, dass ein nach dem Unterlassungsklagegesetz berechtigter Verband einen Unterlassungsanspruch gegen einen Webseitenbetreiber geltend gemacht hatte. Dieser nutzte noch einen – zwischenzeitlich veralteten – Cookie-Banner mit folgendem Text:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung.“

Nach dem Urteil des BGH zur Gestaltung von Cookie-Bannern aus dem Mai 2020 war klar, dass eine solche Cookie-Banner-Gestaltung nicht mehr den gesetzlichen Erfordernissen entspricht, weswegen das Landgericht im Wege der einstweiligen Verfügung die weitere Nutzung eines solchen Banners untersagt hatte. Der Streitwert wurde auf EUR 2.500,00 festgesetzt, so dass zumindest die dadurch entstehenden Kosten einigermaßen übersichtlich blieben.

Vorgaben für die Gestaltung von Cookie-Einwilligungen

Soweit ersichtlich, hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az.: 3 O 762/19, erstmals detailliert dazu Stellung genommen, wie eine Einwilligung für das Setzen von Tracking-/Marketing-Cookies zu gestalten ist.

Liest man sich die Entscheidungsgründe des Urteils durch, so zeigt sich, dass danach zahlreiche derzeit verwendete Cookie-Einwilligungserklärungen unwirksam sein dürften.

Zunächst geht das Landgericht auf die häufig zu sehende Gestaltung ein, wonach im Rahmen der Einwilligungserklärung das Häkchen für den Nutzer mit dem Text „Alle Cookies ausgewählt“ bereits gesetzt ist und der Nutzer, wenn er nicht in alle Cookies einwilligen will, aktiv das Häkchen wegklicken muss. Hier zieht das Landgericht eine Parallele zur Rechtsprechung des BGH zur rechtswirksamen Einwilligung in den Erhalt von E-Mail-Werbung wie z.B. Newsletter. Danach sind sog. Opt-Out-Lösungen unzulässig. Eine wirksame Einwilligung setzt also grundsätzlich voraus, dass der Nutzer aktiv das Häkchen selbst setzen muss.

Im Folgenden ist das Landgericht der Auffassung, dass die Gestaltung der Einwilligung mittels einer grünen Schaltfläche „Alle Cookies zulassen“ dann problematisch ist, wenn zugleich keine Schaltfläche z.B. mit dem Hinweis „Nur notwendige Cookies zulassen“ existiert. Auch hier bezieht sich das Landgericht auf die Grundsätze des BGH zur rechtswirksamen Einwilligungserklärung in den Erhalt von Werbung per E-Mail.

Sofern sich diese strenge Auffassung des Landgerichts durchsetzt – dafür spricht durchaus Einiges – müssten Cookie-Banner künftig vermutlich so gestaltet werden, dass der Nutzer selbst anklicken muss, ob er nur technisch notwendige Cookies oder auch Marketing/Tracking-Cookies akzeptieren möchte, wobei die Gestaltung der beiden Erklärungen neutral gehalten sein müsste. Bereits die unterschiedlich farbliche Gestaltung in z.B. „grün“ für alle Cookies und „rot“ für die notwendigen Cookies wäre damit problematisch.

Auch in einem weiteren, im Gerichtsverfahren streitigen Punkt vertrat das Landgericht eine strenge Auffassung.

Es ging noch um die Frage, ob derjenige, der auf seiner Webseite Social-Media- und Analyse-Tools einsetzt, hier im speziellen Google Analytics, jedenfalls in seiner Datenschutzerklärung darüber belehren muss, dass zwischen dem Webseitenbetreiber und z.B. Google eine sog. gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. In dem beim Landgericht Rostock anhängigen Fall stellte sich der beklagte Webseitenbetreiber auf den Standpunkt, dass Google lediglich als Auftragsverarbeiter tätig sei.

Ähnlich wie bereits der Europäische Gerichtshof (EuGH), der entschieden hatte, dass derjenige, der auf Facebook eine Seite betreibt, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist, soll dies nach Auffassung des Landgerichts Rostock auch bei Einsatz von Google Analytics so sein. Denn beim Einsatz von Google Analytics bestimme der Webseitenbetreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Demzufolge sei es auch nicht ausreichend, dass der Webseitenbetreiber mit Google Analytics den von Google selbst angebotenen Auftragsverarbeitungsvertrag abschließe. Vielmehr handelt es sich eben bei Google nicht um einen Auftragsverarbeiter, weil eine gemeinsame Verantwortlichkeit bestehe. Diese gemeinsame Verantwortlichkeit müsse auch vertraglich geregelt werden.

Das bedeutet:

Ähnlich wie das Betreiben einer Facebook-Seite dürfte nun sowohl der Einsatz von Tracking- und Marketing-Cookies, insbesondere der Einsatz von Google Analytics, datenschutzrechtlich problematisch werden. Dabei bleibt zu hoffen, dass Google in nicht allzu ferner Zukunft ein Vertragsmuster für die gemeinsame Verantwortlichkeit zur Verfügung stellt.