Seit 1. Dezember letzten Jahres besteht Klarheit: Alle Diskussionen rund um die Umsetzung der Europäischen ePrivacy-Richtlinie in das deutsche TMG (Telemediengesetz) und die Folgen daraus für die Frage nach einem Widerruf oder einer Einwilligung für das Setzen von Cookies sind geklärt. Der deutsche Gesetzgeber hat das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) erlassen. Es regelt Themen wie das Fernmeldegeheimnis, Abhörverbote und das Digitale Erbe – aber eben auch den Umgang mit Cookies.
Dem TTDSG geht es zunächst nicht – wie der DSGVO – um den Schutz personenbezogener Daten, sondern um den Schutz der Privatsphäre. Hierzu sagte der ehemalige Bundeswirtschaftsminister Altmeier bei der Verabschiedung des Gesetzes: „Die Privatsphäre muss auch in der digitalen Welt geschützt werden.“ Mit dem TTDSG sollen Nutzer:innen von Computern und Smartphones etc. vor unerlaubten Zugriffen auf ihre Geräte – vor dem Eindringen in ihre Privatsphäre – geschützt werden. § 25 des TTDSG formuliert entsprechend: „Der Zugriff auf Informationen in der Endeinrichtung des Endnutzers bedarf der Einwilligung“.
Jein! Ausgehend von dem Erfordernis der Einwilligung lässt das TTDSG auch Ausnahmen zu. Cookies & Co. können demnach (weiterhin) ohne Einwilligung gesetzt werden, wenn sie „unbedingt erforderlich sind“. Wann sind nun aber Cookies „unbedingt erforderlich“? Lassen Sie uns das Orakel befragen! Dies ist in gewisser Weise leider sogar notwendig, weil sich die Idee, doch gleich Regelbeispiele in das Gesetz aufzunehmen, nicht durchgesetzt hat.
Das TTDSG sagt hierzu, dass der Zugriff auf die Endeinrichtung – also das Setzen eines Cookies – dann ohne eine Einwilligung möglich sein soll, wenn der Anbieter (also beispielsweise der Betreiber der Website) einen von Nutzer:innen ausdrücklich gewünschten Dienst nur auf diese Weise zur Verfügung stellen kann. Wie schon in der DSGVO lässt sich auch hier im TTDSG sehr trefflich darüber streiten, was denn nun (noch) unbedingt erforderlich ist und was nicht (mehr). Erst die Betrachtung einzelner Cookies – und die Zeit – werden weitere konkrete Antworten liefern. Was aber wissen wir heute schon?
Es gibt zwar keine Regelbeispiele im Gesetz und auch noch keine Gerichtsurteile, aber doch den ein oder anderen Hinweis aufgrund von Aussagen und Stellungnahmen europäischer Aufsichtsbehörden und dem Verlauf des Gesetzgebungsverfahrens:
Naja, wie schon im Rahmen der DSGVO, kommt es auch beim TTDSG auf den einzelnen Cookie und dessen Zweck, Einbindung und Speicherdauer an. Die Anzahl der Cookies und anderen Technologien, zu denen konkrete – bis hin zu gerichtsfesten – Aussagen verfügbar sein werden, wird über die Zeit hinweg zunehmen. Bis dahin müssen sich Datenschützer:innen den Kopf zerbrechen, Argumente finden und diese zum Nachweis ihrer Entscheidung dokumentieren.
Nicht unerwähnt bleiben soll, dass das TTDSG auf alle Zugriffe auf die Endeinrichtung Anwendung findet – nicht nur auf solche auf personenbezogene Daten in der Endeinrichtung. Sind dann auch noch personenbezogene Daten „betroffen“, dann kommt auch noch die DSGVO hinzu.
Rechtsanwalt mit den Schwerpunkten Datenschutzrecht, Gesellschaftsrecht und Projektmanagement. Er war langjährig betrieblicher Datenschutzbeauftragter und ist Lehrbeauftragter der Hochschule Aalen.