Bundestag beschließt Telekommunikation-Telemedien-Datenschutzgesetz
Am heutigen 20. Mai 2021 hat der Deutsche Bundestag mit Stimmen der großen Koalition das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) beschlossen. Dem Gesetzgebungsvorhaben ging eine lange rechtspolitische Debatte über das Für und Wider der Regulierung von Tracking und Cookies im Internet voran. Nun ist klar: Vieles bleibt wie gehabt – manch Änderung überrascht dennoch.
Neue Regelungen für Websites
Das Gesetz führt die Datenschutzvorschriften des Telekommunikationsgesetzes und des Telemediengesetzes zusammen und setzt die ePrivacy-Richtlinie um. Letzteres hätte eigentlich bis zum Jahre 2011 erfolgen müssen: Der Gesetzgeber sah sich hierzu aber erst nach dem Urteil des Bundesgerichtshofs (BGH), in dem das Gericht § 15 TMG entgegen des Wortlauts anwendete, genötigt. Die neue Vorschrift, § 25 TTDSG, entspricht quasi wörtlich Art. 5 Abs. 3 der ePrivacy-Richtlinie. Nach dieser Norm bedürfen Cookies stets der Einwilligung des Nutzers, es sei denn, das Cookie ist unbedingt erforderlich, damit ein vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung gestellt werden kann. Während Session-Cookies von dieser Ausnahme wohl unstreitig erfasst sind, reine Marketing-Cookies hingegen wohl der Einwilligung bedürfen, stellt sich für alle übrigen Cookies die Frage, ob eine Einwilligung des Nutzers nötig ist. Seit dem Urteil des BGH herrscht große Rechtsunsicherheit – in der Folge finden sich auf allen Webseiten Cookiebanner, die der Nutzer „wegklicken“ muss.
Dr. Alexander Golland, Rechtsanwalt für Datenschutzrecht bei PwC Legal, war vom Wirtschaftsausschuss des Deutschen Bundestags als Sachverständiger bestellt worden. Er regte an, vom Umsetzungsspielraum des deutschen Gesetzgebers Gebrauch zu machen. Alexander Golland plädierte in seiner Stellungnahme für ein Ende der „Einwilligeritis“ und forderte, klare Ausnahmen von der Einwilligungspflicht im Gesetz zu definieren. Diesen Empfehlungen ist die Bundesregierung jedoch nicht gefolgt. Für Unternehmen bedeutet das weiterhin Rechtsunsicherheit, unter welchen Bedingungen auch ohne Einwilligung des Nutzers funktionale Cookies (z.B. zur Speicherung von Website-Einstellungen), Sicherheits-Cookies und Cookies zur Reichweitenmessung eingesetzt werden können.
„Der Gesetzgeber hat heute die Möglichkeit verstreichen lassen, die Entwicklung des europäischen Rechts zu antizipieren und innovatives Recht für zukunftsfähige Telemedien zu setzen. Stattdessen korrigiert er alte Versäumnisse – die Rechtsunsicherheiten für Diensteanbieter und Nutzer bleiben insoweit bestehen.“
Überraschend findet sich in § 26 TTDSG eine Regelung zu sogenannten „Personal Information Management Systemen“. Personal Information Management-Systeme (kurz „PIMS“) sind Systeme, die natürlichen Personen mehr Kontrolle über ihre personenbezogenen Daten geben sollen. Mittels PIMS haben Nutzer die Möglichkeit, ihre personenbezogenen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie es wünschen. Der mit „Anerkannte Dienste zur Einwilligungsverwaltung“ betitelte § 26 TTDSG lässt es zu, dass sich PIMS-Anbieter nach einem von der Bundesregierung festgelegten Verfahren akkreditieren lassen. Webseitenbetreiber müssen dann bei Nutzern, die sich eines PIMS-Anbieters bedienen, die dort vorgenommenen Einstellungen zur Einwilligung berücksichtigen.
Fazit und Handlungsempfehlung
Für Anbieter von Telemedien ändert sich zunächst wenig: Sobald das Gesetz am 1. Dezember 2021 in Kraft tritt, müssen Unternehmen ihre Datenschutzerklärungen auf Websites sowie die entsprechenden Einträge in Ihrem Verzeichnis der Verarbeitungstätigkeiten anpassen. Ob es bis dahin schon akkreditierte PIMS-Anbieter geben wird, bleibt offen. Es sollten aber bereits jetzt die notwendigen technischen Schnittstellen geschaffen werden, damit Einstellungen von Nutzern, die diese bei ihrem PIMS-Anbieter vorgenommen haben, zukünftig berücksichtigt werden können.