Am 21. Mai 2021 hat der Bundestag das neue „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) beschlossen. Die neuen Vorschriften zum Datenschutz sind auch für Webseiten-Betreiber von Bedeutung und nach ihrem Inkrafttreten einzuhalten. Was ändert sich?
Das TTDSG fasst bisherige Regelungen zum Datenschutz zusammen, die für Anbieter von Telemedien bereits schon aufgrund der Datenschutzgrundverordnung (DSGVO) und dem Telemediengesetz (TMG) bestanden. Diese Regelungen bleiben inhaltlich weiter in Kraft und die bisher entwickelte Rechtsprechung hat folglich ebenfalls weiter Bestand.
Für wen gilt das TTDSG?
In Bezug auf Webseiten ist der Anwendungsbereich auf Anbieter von Telemedien begrenzt. Der Begriff Telemedien ist im TTDSG nicht definiert, so dass auf die Begriffsdefinition des TMG zurückgegriffen werden muss. Nach § 1 TMG sind Telemedien „elektronische Informations- und Kommunikationsdienste“. Dabei kommt es nicht darauf an, ob für den Dienst ein Entgelt genommen wird. Aus dem Begriff Dienst ist abzuleiten, dass rein private Webseitenbetreiber, die keine Gewinnerzielungsabsicht haben und auch sonst keine unentgeltlichen Dienste für andere bereitstellen, nicht unter das TMG und damit auch nicht unter das TTDSG fallen. Ein Blog mit reinen Meinungsäußerungen beispielsweise wäre damit nicht vom TTDSG erfasst, weil die Äußerung von Meinungen keine Leistung für Dritte darstellt. Gleichwohl gelten auch für rein private Webseiten, die sich an die Öffentlichkeit wenden, die allgemeinen Bestimmungen der DSGVO, die ähnliche Anforderungen wie das TTDSG aufstellt.
Damit ist der Anwendungsbereich praktisch sehr weit und das TTDSG gilt für die meisten Webseiten, insbesondere wenn sie geschäftsmäßig betrieben werden oder einen Informationsdienst bereitstellen.
Erfasst sind jedoch nicht nur Webseiten, sondern auch alle anderen Telemedien. Beispielsweise fallen auch Apps für das Smartphone unter das TTDSG, wenn sie im weitesten Sinne Informationen bereitstellen oder die Kommunikation mit anderen ermöglichen. Dies könnten etwa Messenger-Dienste sein (siehe BGH, Beschluss vom 24.9.2019 – VI ZB 39/18).
Welche Regelungen gelten für Webseiten und Apps?
Zunächst sieht § 19 TTDSG den grundlegenden Datenschutz für Nutzer vor, der aufgrund der DSGVO ohnehin einzuhalten ist. Die bisher in § 13 Absatz 6 TMG enthaltene Regelung zur Anonymität findet sich nun in § 19 Absatz 2 TTDSG:
Anbieter von Telemedien haben die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer von Telemedien ist über diese Möglichkeit zu informieren.
Diese Regelung widerspricht der häufig geforderten Klarnamenpflicht. Dem Datenschutz kommt die anonyme bzw. pseudonyme Anmeldung von Nutzern und Kunden natürlich zugute. Daten, die gar nicht erst erhoben werden, können nicht kompromittiert werden. In der Praxis hat die Vorschrift keine besondere Bedeutung erlangt, weil die Gerichte bislang das Recht auf ein Pseudonym abgelehnt haben (OLG München, Urteil v. 08.12.2020 – 18 U 2822/19 Pre). Ob diese Rechtsprechung nach nochmaliger gesetzgeberischer Bestätigung der Vorschrift aufrechterhalten werden kann?
In den §§ 21 bis 24 TTDSG folgen Regelungen zur Überwachung durch staatliche Stellen. Diesen ist unter engen Voraussetzungen Auskunft über Bestandsdaten und Passwörter zu geben. Die staatliche Überwachungswut widerspricht naturgemäß dem Recht auf anonyme Nutzung. Konsequente Gesetze sind bereits seit langem ein Ding der Vergangenheit.
Was gilt für Cookies?
Mit Spannung haben Webseitenbetreiber auf die Neuregelungen für Cookies gewartet. Sie hatten sich Erleichterungen bei Cookie-Bannern und beim Einsatz von Tracking-Cookies erhofft. Daraus ist nichts geworden. Die wesentlichen Regelungen verweisen auf die bestehende Rechtslage:
§ 25 – Schutz der Privatsphäre bei Endeinrichtungen
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich, (…)
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
§ 25 Absatz 1 TDDSG regelt die bisher durch die Rechtsprechung vorgesehene Verpflichtung, vor Setzen eines dauerhaften Cookies oder ähnlicher Methoden zur Speicherung von Informationen das Einverständnis des Nutzers einzuholen. Dabei wird auf die DSGVO verwiesen und somit auf die Rechtsprechung des Europäischen Gerichtshofs zum Komplex Cookies (siehe zur bestehenden Rechtslage der Artikel „Datenschutzrechtliche Anforderungen an Cookies in 2020“). Neu ist der Anwendungsbereich: erfasst sind alle Endgeräte im öffentlichen Internet und damit zum Beispiel auch Smart-Home-Geräte.
Die Ausnahme zur Einwilligung nach Absatz 2 ist wie bisher sehr eng zu verstehen. Die Speicherung von Daten in Cookies muss für den Dienst „unbedingt erforderlich“ sein. Das ist bei Tracking-Diensten nie der Fall. Dauerhafte Cookies, die bei einem erneuten Besuch der Webseite abgerufen werden können, sind nur dann unbedingt erforderlich, wenn sich der Nutzer registriert hat und das Wiedererkennen ausdrücklich wünscht. Die Zustimmung kann und sollte jedoch bei der Registrierung abgefragt werden. Ein Cookie-Banner benötigt man dafür nicht.
In der Regel bleibt die Möglichkeit eines Session-Cookies, das nach Schließen des Browsers gelöscht wird. Session-Cookies sind zum Beispiel für Warenkörbe eine berechtigte und erforderliche technische Umsetzung. Für Session-Cookies wird keine Zustimmung benötigt. Sämtliche Cookie-Varianten sind in die Datenschutzerklärung aufzunehmen.
Single-Sign-On-Lösungen
Mit § 26 TTDSG wurde eine neue Regelung für „anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“ geschaffen. Es bleibt völlig unklar, was dieses Bürokratiemonster sein soll. Die Cookie-Einstellungen in Browsern hätten bislang schon für eine Willenserklärung des Nutzers ausgereicht. Dies wurde jedoch nicht anerkannt. Denkbar wäre ein neu zu schaffender Standard für einen HTTP-Header, der Zustimmungen für alle Webseiten zum Tracking und zum Speichern von dauerhaften Cookies enthält. Allerdings bestünde mit einer solchen Lösung die Unsicherheit, welche Anbieter welche Daten erhalten können. Eine vollständige Aufklärung des Nutzers ist so kaum möglich.
Gleiches dürfte für neue „anerkannte Dienste zur Einwilligungsverwaltung“ gelten. Die Regelung wurde vom Wirtschaftsausschuss des Bundestages eingefügt, der Single-Sign-On-Lösungen im Blick hatte. Wie diese Lösungen das Cookie-Banner vermeiden sollen, wenn ein Nutzer noch nicht auf einer Seite angemeldet ist, bleibt aber im Dunkeln. Der Ausschuss stellte zudem heraus, dass solche Dienste rechtlich schon möglich sind, aber praktisch noch keine Verbreitung gefunden haben. Der neue Rechtsrahmen soll dies ändern. Dass die mangelnde Verbreitung an der mangelnden Nachfrage liegen könnte, kam dem Ausschuss nicht in den Sinn.
Die Nutzung solcher Dienste dürfte noch umständlicher sein als die Abwahl von Cookie-Bannern. Webseitenbetreiber könnten sich zudem nicht darauf verlassen, dass alle Nutzer einen solchen Dienst nutzen und müssten die Cookie-Banner nach wie vor implementieren.
Der deutsche Gesetzgeber hätte besser auf die neue ePrivacy-Verordnung der EU gewartet, die bereits ausgearbeitet wird.
Fazit
An dem Bedarf und der Gestaltung von Cookie-Bannern ändert sich durch das TTDSG nichts. Nach wie vor gilt:
- Dauerhafte Cookies und Tracking-Cookies sind nur nach ausdrücklicher Zustimmung erlaubt und dürfen nicht erzwungen werden.
- Technisch notwendige Session Cookies, die nach Schließen des Browsers gelöscht werden, sind ohne Zustimmung möglich.
- Alles Cookies müssen in der Datenschutzerklärung erwähnt werden.
Genaueres zur Gestaltung von Cookie-Bannern findet sich in dem Artikel „Wie werden Cookie-Banner DSGVO-konform gestaltet?“.
Rechtlicher Hinweis
Die Darstellungen auf dieser Seite sollen rechtlichen Laien eine erste Orientierung bieten, können aber eine Rechtsberatung im Einzelfall nicht ersetzen. Für verschiedene Lebensbereiche gelten unterschiedliche Regelungen und es kann nicht ausgeschlossen werden, dass eine Norm sich nach Veröffentlichung verändert oder hier übersehen bzw. falsch interpretiert wurde.