Im Schweinsgalopp zum Tele-Daten-Dies-und-Das-Gesetz
Lieber Leserinnen und Leser,
Vor einem halben Jahrzehnt trat die DSGVO in Kraft – doch haben wir in diesen Tagen die Geburt eines weiteren Datenschutzgesetzes zu verzeichnen: Der Bundestag hat am 20. Mai das Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG) beschlossen. Wie auch der DSGVO ging dem TTDSG eine lange rechtspolitische Debatte über das Für und Wider der Regulierung von Datenflüssen im Internet voran. Und wie bei der DSGVO ging es am Ende ganz schnell. Nicht die letzte Ähnlichkeit: Wieder sind viele Fragen offen.
Mit dem ab Dezember 2021 geltenden Gesetz führt der deutsche Gesetzgeber die Datenschutzvorschriften von TKG und TMG zusammen. Im Fokus der Debatte stand jedoch die „Cookie-Problematik“: § 25 TTDSG behebt das bisherige Umsetzungsdefizit und setzt die ePrivacy-Richtlinie quasi wortwörtlich um. Nach erwähnter Vorschrift bedürfen Cookies stets der Einwilligung des Nutzers, es sei denn, das Cookie ist unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.
Im Vorfeld hatten mehrere Sachverständige – ich selbst eingeschlossen – dafür plädiert, klare Ausnahmen von der Einwilligungspflicht zu normieren. Diesen Empfehlungen ist jedoch nicht gefolgt worden. Während Session-Cookies wohl unstreitig zur Verfügungstellung des Diensts erforderlich sind, reine Marketing-Cookies hingegen der Einwilligung bedürfen, stellt sich im Übrigen die Frage, ob auch ohne Einwilligung des Nutzers funktionale Cookies (z.B. Speicherung von Website-Einstellungen), Sicherheits-Cookies und Cookies zur Reichweitenmessung eingesetzt werden können. Die damit einhergehende Rechtsunsicherheit lässt befürchten, dass die „Einwilligeritis“ weiter grassiert.
Überraschend findet sich in § 26 TTDSG eine Regelung zu sogenannten „Personal Information Management Systemen“ (PIMS). Mittels PIMS haben Nutzer die Möglichkeit, ihre Einstellungen zu Einwilligungen und Datenfreigaben zu verwalten. PIMS-Anbieter müssen nach einem von der Bundesregierung festgelegten Verfahren akkreditiert werden. Webseitenbetreiber müssen dann bei Nutzern, die sich eines PIMS-Anbieters bedienen, die dort vorgenommenen Einstellungen zur Einwilligung berücksichtigen. Der Grundgedanke ist gut, die Regelung erstreckt sich aber nicht allgemein auf Nutzereinwilligungen, sondern ist auf Cookies beschränkt. Zudem enthält die (nur mühsam lesbare) Norm in Bezug auf Webseitenbetreiber keine Befolgungs-, sondern lediglich eine Berücksichtigungspflicht – und wieder ist unklar, was hierunter zu verstehen ist.
Die Unklarheiten beginnen aber schon viel früher, genauer gesagt: Beim Anwendungsbereich des Gesetzes. So soll ein Telemedienanbieter – In Abweichung von der TMG-Definition – jede natürliche oder juristische Person sein, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder Zugang hierzu vermittelt. Bei weiter Auslegung könnte selbst der Host-Provider und sogar dessen Beschäftigte – als natürliche Personen, die an der Erbringung fremder Telemedien „mitwirken“ – erfasst sein. Dies kann erkennbar nicht gewollt sein. Das Gewollte bleibt jedoch: unklar.
Wir werden in diesem Heft nicht die Antworten auf all jene Fragen geben können. Ich wünsche Ihnen gleichwohl eine unterhaltsame Lektüre und verspreche Ihnen: Wir bleiben am Ball!
Ich wünsche Ihnen hierbei viel Vergnügen.
Ihr
AlexanderGolland
Dieser Beitrag erschien als Editorial in der Ausgabe 06/2021 des Datenschutz-Berater.