Aktuell in der CR
Werbe-Tracking nach Inkrafttreten des TTDSG (Nebel, CR 2021, 666)
Der Bundestag hat am 20.5.2021 das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) mit Zustimmung des Bundesrates verabschiedet, das am 1.12.2021 in Kraft tritt. Das Gesetz trägt der Planet49-Entscheidung des EuGH und der Cookie-Einwilligung-II-Entscheidung des BGH Rechnung und setzt die Anforderungen an das Setzen sog. Cookies gemäß der ePrivacy-Richtlinie endlich – mehr als 10 Jahre nach Ablauf der Frist – in deutsches Recht um. Die jetzt vorgenommene, nahezu wortlautgetreue Transformation der Richtlinienvorgabe ins deutsche Recht lässt aber insbesondere für den praxisrelevanten Fall des Trackings zu Werbezwecken viele Fragen offen. Der Beitrag beleuchtet das Verhältnis zwischen § 25 TTDSG und DSGVO und geht der Frage nach, ob cookiefreie Tracking-Technologien wie das Browser-/Device-Fingerprinting nach Inkrafttreten des TTDSG ohne Einwilligung zulässig sind.
Zum einwilligungsfreien Browser- und Device-Fingerprinting
INHALTSVERZEICHNIS:
I. Hintergrund
II. Verhältnis zur DSGVO
1. Erster Befund: Andere Datenverarbeitungsphasen fallen nicht in den Anwendungsbereich des TTDSG
2. Zweiter Befund: DSGVO und TTDSG sind nebeneinander anwendbar
a) Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen?
b) Pflichten, die dasselbe Ziel verfolgen
c) Zwischenergebnis
III. Speicherung von Informationen und Zugriff auf gespeicherte Informationen
1. Begriff der „Endeinrichtung“
2. Begriff des „Endnutzers“
3. Speicherung und Zugriff
a) Anwendung auf Cookies
b) Anwendung auf Browser-/Device-Fingerprints
aa) Informationen, die bereits in der Endeinrichtung gespeichert sind
bb) Zugriff
IV. Tracking als einwilligungsfreie Nutzung?
1. Unbedingt erforderlich
2. Ausdrücklich gewünschter Dienst
3. Nutzung für Browser-/Device-Fingerprint
V. Anforderungen an die TTDSG-Einwilligung
VI. Zusammenfassung und Ausblick
Leseprobe:
|
I. Hintergrund |
1 |
Bekanntlich sah die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) vom 12.7.2002 (ePrivacy-RL)1 in ihrer ursprünglichen Fassung in Art. 5 Abs. 3 grundsätzlich ein Opt-out-Modell für die Speicherung von Informationen oder den Zugriff auf Informationen vor, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind. Diese Vorgabe wurde erstmals im Jahre 2007 vom deutschen Gesetzgeber in § 15 Abs. 3 TMG umgesetzt.2 Mit der Richtlinie 2009/136/EG 3 erfuhr die europarechtliche Vorgabe in Art. 5 Abs. 3 der ePrivacy-RL jedoch eine Modifikation von der Widerspruchslösung (opt-out) hin zur Einwilligungslösung (opt-in). Die Richtlinie sah eine Umsetzungsfrist bis zum 25.5.2011 vor.4 Freilich sah der deutsche Gesetzgeber über Jahre hinweg keinerlei Veranlassung, dieser Änderung Rechnung zu tragen. Verschiedene Anfragen wurden von der Bundesregierung (in wechselnder Zusammensetzung), zuletzt noch im Jahre 2011, dahingehend beschieden, dass auch der geänderte Art. 5 Abs. 3 ePrivacy-RL mit seinem Einwilligungserfordernis in § 15 Abs. 3 TMG zutreffend abgebildet sei.5 Fraglos spielte dabei die seinerzeitige Auslegung der datenschutzrechtlichen Einwilligung eine zentrale Rolle, die der BGH in seinen Entscheidungen zu Payback 6 und Happy Digits 7 konturiert hatte. Denn nach dieser Rechtsprechung konnte eine datenschutzrechtliche Einwilligung auch dadurch wirksam erklärt werden, dass ein Betroffener einer vorformulierten Einwilligung nicht widersprach bzw. diese nicht aktiv strich.8 |
2 |
Mit der Entscheidung in der Rechtssache Planet49 schloss sich der EuGH9 indes dem an, was in Stellungnahmen der Literatur und der Aufsichtsbehörden herrschende Auffassung war:10 Die europäische Vorgabe sehe eine aktive Einwilligung im Sinne eines opt-in vor. § 15 Abs. 3 TMG , der lediglich eine Widerspruchslösung vorsehe (opt-out), genüge dem nicht.11 Der BGH, der die Sache dem EuGH vorgelegt hatte, legte in seiner Entscheidung Cookie-Einwilligung II folgerichtig § 15 Abs. 3 TMG dahingehend europarechtskonform so aus, dass für das Setzen von Cookies für Werbezwecke eine aktive Einwilligung (opt-in) erforderlich sei.12 Damit war für den Gesetzgeber endlich der Zeitpunkt gekommen, den – nur mit grenzwertigen Auslegungsmitteln13 europarechtskonform interpretierbaren – Wortlaut des TMG dieser Vorgabe anzupassen.14 |
3 |
Das TTDSG sieht nun in § 25 eine Umsetzung der Anforderungen aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Regelung orientiert sich zwar recht stark am Wortlaut der ePrivacy-RL, wirft aber – insbesondere mit Blick auf den für die Praxis relevanten Fall des Trackings für Werbezwecke – dennoch eine Reihe von Fragen auf.15 |
|
II. Verhältnis zur DSGVO |
4 |
Dies beginnt mit der Frage, ob § 25 TTDSG eine – auch datenschutzrechtlich – abschließende Regelung darstellt, oder ob daneben noch die Vorgaben der DSGVO einzuhalten sind, soweit sich Speicherung oder Zugriff zugleich auf personenbezogene Daten beziehen. An einem der wohl umstrittensten und praxisrelevantesten Beispiele – dem Tracking von Nutzern mittels Cookies für Werbezwecke – festgemacht: Benötigt der verantwortliche Anbieter neben einer nach § 25 TTDSG ggf. erforderlichen Einwilligung zusätzlich eine datenschutzrechtliche Rechtfertigung, falls (was wohl meist der Fall sein wird) das Setzen und Auslesen von Cookies zugleich die Verarbeitung personenbezogener Daten beinhaltet? |
|
1. Erster Befund: Andere Datenverarbeitungsphasen fallen nicht in den Anwendungsbereich des TTDSG |
5 |
§ 25 TTDSG regelt ausschließlich das Speichern von Informationen in der Endeinrichtung und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind. Jedenfalls nicht in den Anwendungsbereich des TTDSG fallen damit alle (…) |
Hier direkt weiterlesen im juris PartnerModul IT-Recht
