Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Immer wieder Cookies

RA Prof. Dr. Marcus Helfrich ist Professor für Wirtschaftsrecht mit Schwerpunkt Europarecht sowie IT- und Datenschutzrecht an der FOM Hochschule für Oekonomie & Management in München.

ZD 2024, 481   Seit 12.7.2024 heißt das frühere Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) nunmehr Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Die Umbenennung erfolgte iRd Art. 8 Digitale-Dienste-Gesetz (DDG), das seinerseits ein weiterer Schritt der Anpassung und Ausgestaltung des nationalen Rechts vor dem Hintergrund der europäischen Digitalakte darstellt. Wer über die Änderung des Titels und redaktionelle Anpassungen hinaus wesentliche Gestaltungen erwartet, die sich auf den Umgang mit Cookies beziehen würden, wird enttäuscht. Die entsprechende Regelung des § 25 TTDSG bleibt auch als § 25 TDDDG unverändert. Dabei besteht durchaus Regelungs- und Klärungsbedarf.

Einwilligung als Erlaubnistatbestand für den Cookie-Einsatz

Die jüngste Entscheidung des OLG Frankfurt/M. (Urt. v. 27.6.2024 - 6 U 192/23; ZD wird die Entscheidung demnächst mAnm Hense veröffentlichen und sie soll hier nicht weiter erörtert werden) in einer Sache des einstweiligen Rechtsschutzes erfuhr bereits vor der Veröffentlichung der Entscheidungsgründe aufgrund einer Pressemitteilung des Gerichts große Aufmerksamkeit. Geht es doch um die Frage, ob und inwieweit ein Anbieter von Cookie-Technologie auch dann für die Einhaltung der Bestimmungen des TDDDG verantwortlich ist, wenn dritte Anbieter sich der in den Applikationen enthaltenen Cookie-Technologien bedienen.

Die mit dem Urteil angesprochene Problematik macht jedoch deutlich, dass auch nach dem Inkrafttreten des TTDSG im Dezember 2021 der Einsatz von Cookies in rechtlicher Hinsicht Probleme aufwirft: Das verkürzte Ergebnis der Entscheidung läuft darauf hinaus, dass bereits der Anbieter technischer Mittel, die es einem Unternehmen ermöglichen, Informationen in den Endgeräten von Nutzern zu speichern oder auf Informationen zuzugreifen, die im Endgerät gespeichert sind, als „Täter“ einer Verletzungshandlung gegen § 25 Abs. 1 TDDDG angesehen werden kann, sofern nicht dargelegt werden kann, dass er über eine wirksame Einwilligung des Endnutzers verfügt.

Auf den ersten Blick scheint die Entscheidung auf einer konsequenten Anwendung des § 25 Abs. 1 TDDDG zu beruhen, zumal dem Anbieter des Tools das Privileg einer Ausnahme nach § 25 Abs. 2 Nr. 2 TDDDG nicht zur Verfügung stehen konnte. Er erbrachte in einer der entschiedenen Fallvarianten keinen vom Endnutzer gewünschten digitalen Dienst. Die strenge Auslegung des Ausnahmetatbestands wird zudem durch die Auffassung der DSK bekräftigt, wonach allenfalls technisch für die Funktionsfähigkeit eines digitalen Dienstes notwendige Cookies ohne Einwilligung eingesetzt werden dürften (Orientierungshilfe Telemedien 2021, Version 1.1 vom Dezember 2022, Rn. 76).

Diese strenge Anwendung des § 25 TDDDG scheint zunächst zu überzeugen, steht doch die Autonomie des Besitzers eines Endgeräts im Vordergrund: Nur wenn dies für die Funktionsfähigkeit des vom Nutzer gewünschten digitalen Dienstes, der über das Endgerät genutzt werden soll, technisch erforderlich ist, sollen auch ohne Einwilligung des Endnutzers Informationen gespeichert oder auf gespeicherte Informationen zugegriffen werden können.

Zweifel an der strengen Auslegung des § 25 TDDDG

Nimmt man allerdings die Entscheidung des OLG Frankfurt/M. zum Anlass, über die Anwendung des § 25 TDDDG und dessen Tragweite zu reflektieren, kommen Zweifel daran auf, wie nach dem geltenden nationalen Recht mit dem Einsatz von Cookies und ähnlichen Technologien gegenwärtig umgegangen wird.

§ 25 TDDDG ist als Umsetzung der europarechtlichen Vorgaben des Art. 5 Abs. 3 RL 2002/58/EG idF der RL 2009/136/EG (sog. Cookie-RL) anzusehen. Die Richtlinie ihrerseits ist als speziellere Regelung zu der damals bestehenden EG-Datenschutzrichtlinie (RL 95/46/EG - DS-RL) zu verstehen (vgl. Erwägungsgrund 12 RL 2002/58/EG).

Diese Systematik muss man sich vergegenwärtigen, will man das hinter § 25 TDDDG stehende Problem klar herausarbeiten. Um es vorwegzunehmen, an der europarechtlichen Konformität des § 25 TDDDG sind erhebliche Zweifel angebracht.

Opt-in als Umsetzung der Richtlinienvorgaben

Bevor diese eingehender begründet werden, ist zunächst festzuhalten, dass der Bundesgesetzgeber mit der Schaffung des § 25 TDDDG durchaus gewillt war, eine europarechtlich konforme Umsetzung der Richtlinienvorgaben vorzunehmen, nachdem zuvor beharrlich davon ausgegangen wurde, die in § 15 Abs. 3 TMG enthaltene Opt-out-Lösung sei eine Umsetzung der Richtlinienforderung des Art. 5 Abs. 3 RL 2002/58/EG nach einem Opt-in. Um nicht mehr dem Vorwurf ausgesetzt zu sein, nationales Recht in Widerspruch zu europäischen Richtlinienvorgaben zu schaffen, wurde mit § 25 Abs. 1 TDDDG der Wortlaut der Richtlinie übernommen.

Der Bundesgesetzgeber hatte im Jahr 2021 davon abgesehen, sich mit der seit der Verabschiedung der RL 2002/58/EG erfolgten technischen Entwicklung und der ökonomischen Bedeutung von Tracking- und Profiling-Technologien, die regelmäßig auf Informationen beruhen, die über Cookies gesammelt werden, vertiefend auseinanderzusetzen. Im Fokus stand die Herstellung eines richtlinienkonformen Rechtsstands auf den Gebieten der Telemedien und der Telekommunikation. Ziel des Gesetzes war, Rechtsunsicherheiten, die sich aus einem „Nebeneinander von DS-GVO, TMG und TKG“ ergeben würden, durch die Schaffung von Rechtsklarheit zu beseitigen und so für einen wirksamen Datenschutz und Schutz der Privatsphäre der Endnutzer zu sorgen (vgl. Gesetzesbegründung BR-Drs. 163/21 v. 12.2.2021, 1).

Bedauerlich ist, dass bei der Schaffung des § 25 TDDDG der Bundesgesetzgeber augenscheinlich nicht nur von einem dogmatisch zweifelhaften „Nebeneinander“ zwischen europäischer Regelungsebene und nationalen Umsetzungsakten einer Richtlinie aus den Jahren 2002 bzw. 2009 ausging, sondern auch die datenschutzrechtlich einschlägige Rechtsprechung des EuGH „übersah“.

Das Problem der gegenwärtigen Cookie-Regelung im TDDDG

Das hinter der „Cookie-Regelung“ des § 25 TDDDG stehende Problem liegt im Wechselspiel zwischen der allgemeinen Regelungsebene, wie sie mit der DS-GVO verbunden ist, und der spezifischen Regelung zum Schutz personenbezogener Daten in der elektronischen Kommunikation der RL 2002/58/EG. Die DS-GVO anerkennt in Art. 95 DS-GVO die spezifischere Regelung, wie sie infolge der RL 2002/58/EG durch den europäischen Gesetzgeber geschaffen und auf nationaler Ebene umgesetzt wurde. Insoweit besteht zunächst auf den ersten Blick kein Konflikt zwischen DS-GVO und nationaler „Cookie-Regelung“.

Art. 95 DS-GVO stellt das Nebeneinander zwischen DS-GVO und nationalen Umsetzungsakten der RL 2002/58/EG unter den Vorbehalt, dass beide Regelungsebenen „dasselbe Ziel verfolgen“. Problematisch wird die nationale Umsetzung der Richtlinie damit dann, wenn im Hinblick auf die Zulässigkeit der Verarbeitung personenbezogener Daten auf nationaler Ebene strengere Voraussetzungen aufgestellt werden, als dies der europäische Gesetzgeber vorgenommen hat. So verfolgt nach Art. 1 DS-GVO diese nicht nur das Ziel, den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Der freie Verkehr solcher Daten ist in gleicher Weise Zielvorgabe der DS-GVO. Durch eine Einschränkung der zulässigen Verarbeitungssituationen durch den nationalen Gesetzgeber könnte es zu einem Zielkonflikt hinsichtlich der Freiheit des Datenverkehrs kommen.

Eine solche „Problemlage“ ist keineswegs rein akademischer Natur. Bereits in seiner Entscheidung „Breyer“ hatte der EuGH (ZD 2017, 24 mAnm Kühling/Klar - Breyer) die Frage zu klären, ob der damalige § 15 TMG strengere Anforderungen an die Verarbeitung personenbezogener Daten aufstellen dürfe, als dies der damals geltende Art. 7 DS-RL vorsah. Das Verdikt des EuGH ist dabei deutlich: Die Mitgliedstaaten dürfen „auch nicht durch zusätzliche Bedingungen die Tragweite der sechs in Art. 7 RL 95/46/EG vorgesehenen Grundsätze verändern“.

Der EuGH betont, dass die Erlaubnistatbestände, unter denen die Verarbeitung personenbezogener Daten zulässig ist, durch nationale Rechtsvorschriften nicht eingeschränkt werden dürften.

Vor diesem Hintergrund bedarf der Regelungsgehalt des § 25 TDDDG einer datenschutzrechtlichen (Neu-)Bewertung. § 25 TDDDG lässt lediglich die Einwilligung nach Art. 4 Ziff. 11 DS-GVO als Erlaubnistatbestand zu. Allenfalls die in § 25 Abs. 2 Nr. 2 TDDDG enthaltene Ausnahmeregelung könnte als weiterer Erlaubnistatbestand angesehen werden. Die weiteren Erlaubnistatbestände, wie sie in Art. 6 Abs. 1 lit. b-f DS-GVO angelegt sind, kommen nach dem Wortlaut des § 25 TDDDG nicht zum Tragen.

Übertragbarkeit der EuGH-Rechtsprechung in der Rs. Breyer auf die aktuelle Rechtslage

Vertritt man die Auffassung, dass der in der EuGH-Entscheidung „Breyer“ vertretene Rechtsgedanke auch auf das Verhältnis zwischen DS-GVO einerseits und RL 2002/58/EG bzw. TDDDG andererseits übertragbar ist, gelangt man zu dem Ergebnis, dass § 25 TDDDG entweder einem europarechtlichen Anwendungsverbot unterfällt oder jedenfalls so europarechtsfreundlich auszulegen wäre, dass neben der Einwilligung auch die Erlaubnistatbestände des Art. 6 Abs. 1 lit. b-f DS-GVO (jedenfalls) analog anzuwenden sind.

Einer solchen Einschätzung steht auch nicht die Entscheidung des EuGH (ZD 2019, 556 mAnm Hanloser = MMR 2019, 732 mAnm Moos/Rothkegel - Planet49) entgegen. In dem dort entschiedenen Verfahren stand die Frage der Wirksamkeit einer datenschutzrechtlichen Einwilligung im Vordergrund. Nicht thematisiert wurde durch das Gericht, ob eine Verarbeitung auch auf andere Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt werden könnte.

Eine datenschutzrechtlich und europarechtlich gebotene Neubewertung des § 25 TDDDG wäre letztlich auch interessengerecht. So könnte das Einwilligungserfordernis des § 25 TDDDG entfallen, wenn die Speicherung von Informationen oder der Zugriff auf gespeicherte Informationen zur Erfüllung eines Vertrags mit dem Endnutzer (zB zu Abrechnungszwecken in Fällen des Pay-Per-View) erforderlich ist. Auch der Rückgriff auf berechtigte Interessen des Verarbeiters würde grundsätzlich in Betracht kommen können, sofern die Güterabwägung nicht zugunsten des Endnutzers ausfallen würde. Dabei wäre, wie Erwägungsgrund 47 DS-GVO bereits nahelegt, darauf abzustellen, ob und inwieweit der Endnutzer eine solche Verarbeitung „vernünftigerweise“ absehen kann. Hier wird es insbesondere darauf ankommen, wie transparent der beabsichtigte Cookie-Einsatz vorab kommuniziert wird.

Der Gesetzgeber ist gefragt

Wie der dem OLG Frankfurt/M. vorgelegte Fall im eventuellen Hauptsacheverfahren entschieden wird, bleibt abzuwarten. Ebenso muss abgewartet werden, ob das zuständige Gericht von der Möglichkeit der Vorlage der hier aufgeworfenen Problematik an den EuGH Gebrauch macht. Bereits die mögliche Übertragbarkeit des Rechtsgedankens der „Breyer“-Entscheidung auf das Verhältnis zwischen DS-GVO und aktuellen nationalen Umsetzungen der RL 2002/58/EG könnte klärungsbedürftig sein.

Der Vorgang macht zudem deutlich, dass auf Seiten des Bundesgesetzgebers der Grundsatz „Sorgfalt vor Eile“ stärker berücksichtigt werden sollte. Die Auseinandersetzung mit europarechtlichen Rahmenbedingungen und insbesondere der Rechtsprechung des EuGH steht nicht im Belieben der am Gesetzgebungsverfahren beteiligten Personen oder Institutionen. Sie ist eine unabdingbare Pflicht, die nicht zuletzt auch gegenüber dem Bürger und Steuerzahler besteht.

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü