Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis?
WAS IST DIE ePRIVACY-VERORDNUNG?
Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.
Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.
WIE GEHT ES NUN WEITER?
Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.
WAS IST DAS TTDSG?
Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.
WAS WÜRDE SICH ÄNDERN?
Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.
Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält:
§ 9 Einwilligung bei Endeinrichtungen
(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.
(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.
(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.
Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden.
FAZIT
Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.