Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Rechtswidriger Cookie-Banner

Das Landgericht Köln hat mit Beschluss vom 13.04.2021, Az.: 31 O 36/21, entschieden, dass die „alten“, aber zum Teil immer noch gebräuchlichen Cookie-Banner rechtswidrig sind.

Bei dem Beschluss handelt es sich um eine einstweilige Verfügung des Landgerichts Köln, welche nur kurz begründet ist. Aus der Begründung geht hervor, dass ein nach dem Unterlassungsklagegesetz berechtigter Verband einen Unterlassungsanspruch gegen einen Webseitenbetreiber geltend gemacht hatte. Dieser nutzte noch einen – zwischenzeitlich veralteten – Cookie-Banner mit folgendem Text:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung.“

Nach dem Urteil des BGH zur Gestaltung von Cookie-Bannern aus dem Mai 2020 war klar, dass eine solche Cookie-Banner-Gestaltung nicht mehr den gesetzlichen Erfordernissen entspricht, weswegen das Landgericht im Wege der einstweiligen Verfügung die weitere Nutzung eines solchen Banners untersagt hatte. Der Streitwert wurde auf EUR 2.500,00 festgesetzt, so dass zumindest die dadurch entstehenden Kosten einigermaßen übersichtlich blieben.

Vorgaben für die Gestaltung von Cookie-Einwilligungen

Soweit ersichtlich, hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az.: 3 O 762/19, erstmals detailliert dazu Stellung genommen, wie eine Einwilligung für das Setzen von Tracking-/Marketing-Cookies zu gestalten ist.

Liest man sich die Entscheidungsgründe des Urteils durch, so zeigt sich, dass danach zahlreiche derzeit verwendete Cookie-Einwilligungserklärungen unwirksam sein dürften.

Zunächst geht das Landgericht auf die häufig zu sehende Gestaltung ein, wonach im Rahmen der Einwilligungserklärung das Häkchen für den Nutzer mit dem Text „Alle Cookies ausgewählt“ bereits gesetzt ist und der Nutzer, wenn er nicht in alle Cookies einwilligen will, aktiv das Häkchen wegklicken muss. Hier zieht das Landgericht eine Parallele zur Rechtsprechung des BGH zur rechtswirksamen Einwilligung in den Erhalt von E-Mail-Werbung wie z.B. Newsletter. Danach sind sog. Opt-Out-Lösungen unzulässig. Eine wirksame Einwilligung setzt also grundsätzlich voraus, dass der Nutzer aktiv das Häkchen selbst setzen muss.

Im Folgenden ist das Landgericht der Auffassung, dass die Gestaltung der Einwilligung mittels einer grünen Schaltfläche „Alle Cookies zulassen“ dann problematisch ist, wenn zugleich keine Schaltfläche z.B. mit dem Hinweis „Nur notwendige Cookies zulassen“ existiert. Auch hier bezieht sich das Landgericht auf die Grundsätze des BGH zur rechtswirksamen Einwilligungserklärung in den Erhalt von Werbung per E-Mail.

Sofern sich diese strenge Auffassung des Landgerichts durchsetzt – dafür spricht durchaus Einiges – müssten Cookie-Banner künftig vermutlich so gestaltet werden, dass der Nutzer selbst anklicken muss, ob er nur technisch notwendige Cookies oder auch Marketing/Tracking-Cookies akzeptieren möchte, wobei die Gestaltung der beiden Erklärungen neutral gehalten sein müsste. Bereits die unterschiedlich farbliche Gestaltung in z.B. „grün“ für alle Cookies und „rot“ für die notwendigen Cookies wäre damit problematisch.

Auch in einem weiteren, im Gerichtsverfahren streitigen Punkt vertrat das Landgericht eine strenge Auffassung.

Es ging noch um die Frage, ob derjenige, der auf seiner Webseite Social-Media- und Analyse-Tools einsetzt, hier im speziellen Google Analytics, jedenfalls in seiner Datenschutzerklärung darüber belehren muss, dass zwischen dem Webseitenbetreiber und z.B. Google eine sog. gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. In dem beim Landgericht Rostock anhängigen Fall stellte sich der beklagte Webseitenbetreiber auf den Standpunkt, dass Google lediglich als Auftragsverarbeiter tätig sei.

Ähnlich wie bereits der Europäische Gerichtshof (EuGH), der entschieden hatte, dass derjenige, der auf Facebook eine Seite betreibt, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist, soll dies nach Auffassung des Landgerichts Rostock auch bei Einsatz von Google Analytics so sein. Denn beim Einsatz von Google Analytics bestimme der Webseitenbetreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Demzufolge sei es auch nicht ausreichend, dass der Webseitenbetreiber mit Google Analytics den von Google selbst angebotenen Auftragsverarbeitungsvertrag abschließe. Vielmehr handelt es sich eben bei Google nicht um einen Auftragsverarbeiter, weil eine gemeinsame Verantwortlichkeit bestehe. Diese gemeinsame Verantwortlichkeit müsse auch vertraglich geregelt werden.

Das bedeutet:

Ähnlich wie das Betreiben einer Facebook-Seite dürfte nun sowohl der Einsatz von Tracking- und Marketing-Cookies, insbesondere der Einsatz von Google Analytics, datenschutzrechtlich problematisch werden. Dabei bleibt zu hoffen, dass Google in nicht allzu ferner Zukunft ein Vertragsmuster für die gemeinsame Verantwortlichkeit zur Verfügung stellt.

BGH konkretisiert Anforderungen an eine Einwilligung für Werbung

Wie in der Newsmeldung vom 28. Mai 2020 berichtet, hatte der BGH mit Urteil vom selben Tag (Az.: I ZR 7/16 – „Cookie-Einwilligung II“) über Anforderungen zu Einwilligungserklärungen entschieden. Die an diesem Tag veröffentlichte Pressemitteilung des BGH beschäftigte sich vor allem mit der Frage, welche Anforderungen an eine Einwilligung zur Setzung sog. Cookies zu stellen sind.

Nachdem der BGH nun die Entscheidungsgründe veröffentlicht hat, zeigt sich, dass in der Entscheidung auch wichtige Vorgaben für die Gestaltung einer Einwilligungserklärung für Werbezwecke enthalten sind.

In dem vom BGH entschiedenen Fall ging es um die Gestaltung einer entsprechenden Einwilligungserklärung in Zusammenhang mit der Durchführung eines Gewinnspiels. Jeder Nutzer von Freemail-Diensten wie web.de oder gmx.de kennt solche E-Mails: Es wird ein Gewinnspiel veranstaltet und im Zusammenhang mit der Teilnahme am Gewinnspiel soll der Verbraucher auch darin einwilligen, dass ihm künftig von „Partnern und Sponsoren“ des Gewinnspiels Werbe-E-Mails zugesendet werden.

Im vorliegenden Fall war die vorformulierte Einwilligung wie folgt gestaltet:

„[ ] ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E-Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“

Das Häkchen in die Einwilligungserklärung musste jeder Nutzer durch Anklicken selbst setzen. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn ein Nutzer auch tatsächlich das Häkchen gesetzt hat. Die Worte „Sponsoren und Kooperationspartner“ sowie „hier“ waren mit einem Link versehen. Bei Anklicken des Links gelangt man auf eine Liste von Partnern und Sponsoren, insgesamt 57 Unternehmen, die mit Namen, Adresse, Geschäftsbereich und die für die Werbung beabsichtigte Kommunikation genannt waren. Bei jedem der 57 Unternehmen war das Wort „abmelden“ angebracht. In der Sponsorenliste war dazu folgender Hinweis enthalten:

„Durch Anklicken auf dem Link „abmelden“ entscheide ich, dass dem genannten Partner/Sponsor kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt …. (Name des Gewinnspielveranstalters, Anm.d.Unterz.) für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“

Der BGH ist der Auffassung, dass die so gestaltete Einwilligungserklärung unwirksam war. In dem Urteil des BGH heißt es dazu u.a.:

„Daran fehlt es im Streitfall, weil nach den revisionsrechtlich nicht zu beanstandenden Feststellungen des Berufungsgerichts die vom Kläger angegriffene Gestaltung der Einwilligungserklärung darauf angelegt ist, den Verbraucher mit einem aufwendigen Verfahren der Abwahl von in der Liste aufgeführten Partnerunternehmen zu konfrontieren, um ihn zu veranlassen, von der Ausübung dieser Wahl Abstand zu nehmen und stattdessen der Beklagten die Wahl der Werbepartner zu überlassen. Weiß der Verbraucher mangels Kenntnisnahme vom Inhalt der Liste und ohne Ausübung des Wahlrechts nicht, die Produkte oder Dienstleistungen welcher Unternehmer die Einwilligung erfasst, liegt keine Einwilligung für den konkreten Fall vor.“

Auch wenn der BGH dies nicht explizit ausführt: In dem vorliegenden Fall war die Liste der Partner/Sponsoren mit insgesamt 57 Unternehmen zu umfangreich. Darüber hinaus waren zahlreiche Branchen in der Sponsoren- und Partnerliste erfasst. Eine bestimmte Höchstzahl von zulässigen Sponsoren oder Partnern ist der Entscheidung zwar nicht zu entnehmen. Sicherlich kann man aber sagen: Je kürzer desto besser. So hat z.B. das OLG Frankfurt/Main mit Urteil vom 27.06.2019 (Az.: 6 U 6/19) entschieden, dass eine Auflistung von insgesamt acht „Sponsoren“ wirksam ist.

Irgendwo zwischen 8 und 57 dürfte damit die zulässig mögliche Anzahl der „Sponsoren“ liegen.

Der Schwerpunkt allerdings, weshalb die Einwilligungserklärung unwirksam war, lag aber sicherlich darin begründet, dass das Verfahren für Verbraucher, Werbung von Sponsoren oder Partner „abzuwählen“, kompliziert ausgestaltet war und in Fällen, in denen der Verbraucher von seinem „Abwahlrecht“ nicht Gebrauch gemacht hatte, der Gewinnspielveranstalter bis zu 30 Sponsoren und Partner selbst auswählen konnte und durfte. Damit wurde nach Auffassung des BGH der Umfang der Einwilligung für Verbraucher intransparent.