R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
K&R 2021, I
Rauer 

Cookies, PIMS & andere digitale Feinheiten

Abbildung 1

RA Dr. Nils Rauer, MJI

Es ist da! Also, bald jedenfalls. Zum 1. 12. 2021 soll das Telekommunikation-Telemedien-Datenschutzgesetz (“TTDSG”) in Kraft treten. Lange hat man um dieses Gesetz gerungen. Vergleicht man zudem den Referentenentwurf vom Juli 2020 mit dem Text, der nun Gesetz werden wird, so zeigt sich, dass manche Regelung über die Zeit ihr Gesicht deutlich verändert hat. Bundestag und Bundesrat hätten also auch ein deutlich anderes Gesetz erlassen können, oder etwa nicht? Der Fairness halber muss man attestieren, dass die Rechtsetzungskompetenz gerade im Bereich des Datenschutzes mittlerweile andernorts liegt und mit der DSGVO bereits ein komplexes Regelungswerk auf europäischer Ebene existiert, ganz zu schweigen von der noch ausstehenden E-Privacy-Verordnung.

Einiges von dem, was im TTDSG eine Regelung erfährt, kann man sicherlich unter dem Stichwort “aufräumen” verbuchen. Im Zuge der Zusammenführung der datenschutzrechtlichen Bestimmungen des TMG und des TKG werden nicht mehr relevante Normen gestrichen. Überdies kommt der Gesetzgeber der – zu Recht – vielstimmig geforderten Umsetzung von Art. 5 Abs. 3 der E-Privacy-Richtline 2002/58/EG endlich nach – wenn auch ersichtlich Jahre zu spät. Dafür ist § 25 TTDSG nun eng an die unionsrechtliche Vorgabe angelehnt, sicher ist sicher. Der durchaus bemerkenswerte, wenn nicht gar verzweifelte, Versuch des BGH, im Wege unionsrechtskonformer Auslegung des § 15 Abs. 3 S. 1 TMG das Einwilligungserfordernis bei Tracking-Mechanismen, welche personenbezogene Daten betreffen, auch in der deutschen Rechtsordnung zu verankern (“Cookie-Einwilligung II”), kann damit getrost zu den Akten gelegt werden. Gut so.

Ohne Frage enthält das TTDSG mehr als “nur” Cookie-Regularien. So werden etwa die Rechte von Erben gegenüber Telekommunikationsdiensteanbietern geregelt, die Verarbeitung von Verkehrs- und Standortdaten neu gefasst und der Begriff des “Anbieters von Telemedien” ausgeweitet. Aus praktischer Sicht am spannendsten ist aber am Ende doch, wie das Cookie-Banner von morgen aussehen wird. Gerade dazu schweigt § 25 TTDSG aber leider. Erfreulich ist dagegen, dass die Norm, trotz des Verweises in Abs. 1 S. 2 auf die DSGVO, nicht allein für personenbezogene Daten gilt. Denn das Setzen eines Cookies auf dem Endgerät des Nutzers ist per se ein Eingriff in die Privatsphäre, welcher der Einwilligung bedarf. Dies jedenfalls dann, wenn kein anderweitiger Erlaubnistatbestand greift. Erst im zweiten Schritt ist dann zu prüfen, welche Daten konkret gespeichert und verarbeitet werden.

Keiner Einwilligung bedarf es, wenn Speicherung und/oder Zugriff einzig der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dienen oder selbiges unbedingt erforderlich ist, damit dem Nutzer ein ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann. Ob diese Formulierung neben den technisch notwendigen auch die sogenannten “funktionalen” Cookies erfasst, wird zu klären sein. Konsequenterweise muss man dies bejahen, sofern dem Nutzer die Zusammenhänge adäquat erläutert werden. Gerade hier wäre dem Anwender mit einer gesetzlichen Regelung geholfen gewesen, die verdeutlicht hätte, welche Informationen und Auswahlmöglichkeiten schon im Banner selbst und welche – ordnungsgemäß verlinkt – in der Cookie oder Privacy Policy bereitgehalten werden müssen respektive können. Letztlich kann jedoch niemand ein Interesse an überfrachteten Cookie-Bannern haben, die ohnehin kaum das nötige Maß an Information abschließend zur Verfügung stellen können.

Positiv zu bewerten ist schließlich die Aufnahme des § 26 TTDSG und damit einer Regelung zu sogenannten Personal-Information-Management-Systemen (“PIMS”) in den Gesetzestext. Das anwendungsübergreifende Verwalten von Einwilligungskonfigurationen ist eine Erleichterung für jeden einzelnen Nutzer. Die in § 26 Abs. 1 TTDSG aufgeführten Kriterien, an denen sich ein Diensteanbieter messen lassen muss, überzeugen weitestgehend. Auch die angedachte Konkretisierung mittels einer Rechtsverordnung macht Sinn. Das Erfordernis behördlicher Anerkennung ist angesichts der Bedeutung von PIMS als Schnittstelle für eine Vielzahl von Anwendungen nachvollziehbar. Ob es sich mittelfristig halten lassen wird, muss aber in Abhängigkeit vom weiteren Gesetzgebungsprozesses auf Unionsebene und damit konkret mit Blick auf die Ausgestaltung der E-Privacy-Verordnung bewertet werden. Generell gilt, dass dieses sich ebenfalls schon allzu lange hinziehende Gesetzgebungsprojekt an verschiedenen Stellen ein Nachjustieren am TTDSG erforderlich machen könnte. Aber lassen wir den 1. 12. 2021 nun erst einmal kommen …

RA Dr. Nils Rauer, MJI

 
stats