Cookie-Fenster sind nicht alternativlos
Prof. Niko Härting
Manche Datenschützer hatten erwartet, dass die Bundesregierung während der deutschen EU-Ratspräsidentschaft die Verabschiedung der E-Privacy-Verordnung vorantreiben wird. Diese Erwartung wird sich nicht erfüllen. Ein kürzlich „geleakter“ Referentenentwurf aus dem Bundeswirtschaftsministerium zeigt, dass man in Berlin nicht mit einem kurzfristigen Durchbruch bei den E-Privacy-Verhandlungen rechnet.
Im Januar 2017 hatte die Europäische Kommission den Entwurf einer E-Privacy-Verordnung vorgelegt, die vom Europäischen Parlament noch im selben Jahr beraten und mit einigen Änderungsvorschlägen gutgeheißen wurde. Seit knapp drei Jahren wurde der Entwurf im Europäischen Rat immer wieder diskutiert – ohne Ergebnis.
E-Privacy ist ein Thema, das sogar eingefleischte Experten nur mit spitzen Fingern anfassen. Ein Sammelsurium von Bestimmungen an der Schnittstelle von Datenschutz, Verbraucherschutz und dem Fernmeldegeheimnis, seit 2009 zudem garniert mit Bestimmungen zur Online-Werbung („Cookies“). 1997 wurde E-Privacy erstmals in einer EU-Richtlinie (Richtlinie 97/66/EG) geregelt. Die erste Richtlinie entstand parallel zu der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995, die 2018 durch die DSGVO abgelöst wurde.
Die Abgrenzung zwischen E-Privacy und Datenschutz sorgt immer wieder für Kopfzerbrechen. Sie rührt daher, dass Brüssel in den 1990er-Jahren beschloss, für den Datenschutz im Telekommunikationssektor eigenständige Regelungen zu schaffen. Aus diesem Beschluss entstand der eigenartige Regelungsmix, der sich hinter dem Begriff „E-Privacy“ verbirgt.
Mit der E-Privacy-Verordnung wollte die Europäische Kommission der jungen DSGVO eine zweite Verordnungssäule für E-Privacy zur Seite stellen. Der Kommissionsentwurf sorgte jedoch in den EU-Mitgliedstaaten vor allem für Verwirrung. Online-Werbung wird bereits durch die DSGVO reguliert. Es mutete daher befremdlich an, für ein und dieselben Sachverhalte die DSGVO-Regeln durch E-Privacy-Regeln zu ergänzen. Dies umso mehr, als die Regeln nicht widerspruchsfrei waren. E-Privacy sollte nach den Vorstellungen der Kommission auf die Einwilligung als zentrales Schutzinstrument setzen. Die DSGVO stellt dagegen hohe Hürden für eine wirksame Einwilligung auf und setzt damit Anreize für andere Gestaltungen, insbesondere vertragliche Grundlagen oder berechtigte Interessen.
Der Verwirrung nicht genug: Die Kommission schlug vor, für die gesamte Telekommunikation das Verbotsprinzip einzuführen. Für jede Mail, jede Messenger-Nachricht und jede Kommunikation mit einem Sprachassistenten sollte es einer Einwilligung oder einer gesetzlichen Erlaubnis bedürfen. Die Vorschrift des Kommissionsentwurfs, die die Erlaubnisse regelt, ist lang, kompliziert und kaum verständlich. Auch dies trug dazu bei, dass sich die EU-Mitgliedstaaten schwer von der Weisheit des Entwurfs überzeugen ließen.
Während in Brüssel in den letzten Jahren um E-Privacy gerungen wurde, blieben die §§ 11 ff. TMG in Kraft, obwohl sie – jedenfalls teilweise – durch die DSGVO obsolet geworden waren. Mit einer TMG-Novelle wollte man abwarten, bis die E-Privacy-Verordnung verabschiedet war.
Das Warten auf E-Privacy ist Vergangenheit. Der „geleakte“ Entwurf eines „Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG)“ sieht neue Bestimmungen vor, die an die Stelle der §§ 11 ff. TMG treten. Das „Leaken“ von Gesetzesentwürfen ist übrigens längst zur Regel geworden. Es steht zu vermuten, dass dies Methode hat, wenn Entwurfsverfasser die Stimmung des geneigten Publikums antesten möchten.
Von besonderer Relevanz ist § 9 des „geleakten“ Entwurfs, mit dem neue Wege zur Regulierung von Cookies beschritten werden. Statt auf Cookie-Fenster und -Banner setzt der Entwurf auf eine Zustimmung per Browsereinstellung oder auch auf eine Zustimmung auf vertraglicher Grundlage. Dies harmoniert wesentlich besser mit der DSGVO als die Regelungen, die die Europäische Kommission vorgeschlagen hatte.
Nach den Planet49-Entscheidungen des EuGH (01.10.2019 – C-673/17, WRP 2019, 1455 – Verbraucherzentale Bundesverband/Planet49) und des BGH (28.05.2020 – I ZR 7/16, WRP 2020, 1009 – Cookie-Einwilligung II) waren sich die meisten Berater einig, dass der Einsatz von Cookies jedenfalls in den meisten Fällen einer Einwilligung bedarf. Der Entwurf aus dem Wirtschaftsministerium weitet die Perspektive und zeigt Wege auf, wie sich die nach wie vor geltenden Anforderungen der E-Privacy-Richtlinie erfüllen lassen ohne nervige Cookie-Fenster.
Der Entwurf zeigt klipp und klar, dass Berlin nicht mehr mit einer E-Privacy-Verordnung rechnet. Selbst wenn der Entwurf in seiner jetzigen Fassung nie verabschiedet ist, ist er zudem eine wertvolle Hilfe bei der Beratung zum Einsatz von Tracking Tools und Analysewerkzeugen. Denn der Entwurf zeigt, dass Cookie-Fenster nicht alternativlos sind.
Prof. Niko Härting, Berlin