Sehr geehrte Leserinnen und Leser,

wir leben in aufgeregten Zeiten, in denen die COVID-19-Krise in vielerlei Hinsicht zu Stillstand führt.

Gemeinsamer Konsens ist, spätestens nachdem der EuGH das Erfordernis einer Einwilligung durch eine „aktive Erklärung“ für Art. 5 Abs. 3 S. 1 ePrivacy-RL klargestellt hat, dass § 15 Abs. 3 TMG diese Vorgaben nicht hinreichend umsetzt. Auch die „Auslegung im engeren Sinn“ am Wortlaut der Norm, gestattet nicht das Hineinlesen eines Opt-Ins. Verlangt die deutsche Vorschrift doch (nur) ein Opt-out der Nutzer. Aus diesem Widerspruch resultiert, aufgrund des Anwendungsvorrangs des europäischen Rechts, die Nichtanwendbarkeit des § 15 Abs. 3 TMG. Allein gegenüber öffentlichen Stellen ließen sich deshalb die Einwilligungsvorgaben unmittelbar aus Art. 5 Abs. 3 ePrivacy-RL heranziehen. Für Unternehmen wäre dieselbe Schlussfolgerung, zumindest durch unmittelbare Anwendung der Richtlinie, dogmatisch unzutreffend: Horizontal (Bürger zu Bürger) kann eine europäische Richtlinie schließlich keine Pflichten begründen.

Indem § 15 Abs. 3 TMG unanwendbar wäre, fehlt Art. 95 DSGVO die entscheidende Bezugsnorm. Auf den ersten Blick wäre die DSGVO daher in Deutschland vorrangig anzuwenden. Die DSGVO ermöglicht jedoch keine von Art. 5 Abs. 3 ePrivacy-RL abweichende Auslegung. Nach den Maßgaben des EuGH ist nämlich ein möglichst widerspruchsfreies Gesamtregime auszuformen und „jede Vorschrift des Gemeinschaftsrechts in ihrem Zusammenhang […] und im Lichte des gesamten Gemeinschaftsrechts, seiner Ziele und seines Entwicklungsstands“ auszulegen. Die Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO fiele daher, im Einklang mit Art. 5 Abs. 3 ePrivacy-RL, oftmals zugunsten der Betroffenen aus und es verbliebe zumeist nur die Einwilligung.

Dennoch wird nach meinem Dafürhalten der BGH diesen unübersichtlichen Ansatz nicht wählen. Im Gegenteil: Er wird § 15 Abs. 3 TMG in den Einklang mit der ePrivacy-RL bringen und ein Opt-In-Erfordernis hineinlesen. Jetzt fragen Sie sich zurecht, ob ich mich an dieser Stelle nicht widerspreche. Ich hatte angeführt, eine Vereinbarkeit mit dem Wortlaut sei im Rahmen der „Auslegung im engen Sinn“ nicht herzustellen. Seitdem das europäische Recht, nationales Recht weitgehend prägt, kennt der BGH aber einen weiteren Auslegungskunstgriff: die sogenannte „Richtlinienkonforme Rechtsfortbildung“. Hierfür verlangt er eine „verdeckte Regelungslücke im Sinne einer planwidrigen Unvollständigkeit des Gesetzes“ – welche vorliegend bilderbuchartig existiert.

Die DSGVO gilt (nur) für personenbezogene, Art. 5 Abs. 3 ePrivacy-RL dagegen auch für nicht personenbezogene Daten. Letzteres hat der EuGH im Planet49 Verfahren betont. Die alleinige Anwendbarkeit der DSGVO riefe daher offenkundig eine Regelungslücke hervor, die nicht im Interesse des Deutschen Gesetzgebers ist. Es erschiene daher nur konsequent, wenn der BGH für die Zukunft das Erfordernis einer aktiven Einwilligungserklärung direkt in § 15 Abs. 3 TMG hineinläse – dogmatisch scheint dies wie aufgezeigt möglich. Bis zur Verkündung dieser Entscheidung müssen Unternehmen derweil auf die Regelung des § 15 Abs. 3 TMG in ihrer wortlautgetreuen Form vertrauen dürfen. Schon bald erscheint die Einwilligung jedoch in diesem Zusammenhang vielfach unumgänglich. Obwohl, was genau meint eigentlich „unbedingt erforderlich“noch mal …?

Wir wünschen Ihnen mit dieser Ausgabe, trotz derzeitigen Einschränkungen, eine spannende Lektüre.

Ihr

Laurenz Strassemeyer

Dieser Beitrag erschien als Editorial in der Ausgabe 05/2020 des Datenschutz-Berater.