TTDSG: Schärfere Regeln fürs Online-Tracking

§ 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt in Abs. 1 Satz 1 die „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder [den] Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“. Er erfasst damit u.a. das viel diskutierte Setzen und Auslesen von Cookies.

„Informationen“: Es kommt nicht auf den Personenbezug an

Die Regelung stellt ganz allgemein auf „Informationen“ ab. § 25 TTDSG ist dabei anwendbar unabhängig davon, ob der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten verarbeitet oder ob es um nicht personenbezogene Daten geht. Das hatte der Europäische Gerichtshof (EuGH) in seinem Urteil vom 01.10.2019 (Az. C-673/17 – Verbraucherzentrale Bundesverband e.V. gegen Planet49 GmbH) aufgrund einer Vorlage des Bundesgerichtshofs (BGH) bereits klargestellt.

„Endeinrichtung“: Ebenfalls ein weit gefasster Begriff

Den Begriff „Endeinrichtung“ definiert § 2 Abs. 2 Nr. 6 TTDSG. Die Entwurfsbegründung zum Regierungsentwurf des TTDSG (Bundestags-Drucksache 19/27441) spricht hierzu an, dass es sich damit um einen sehr weiten Anwendungsbereich handelt.

Er erfasst demnach nicht nur Telefonie oder Internetkommunikation, sei es mobil oder über das Festnetz, sondern auch die Vielzahl von Gegenständen im Internet der Dinge (IoT), die inzwischen – direkt oder über einen WLAN-Router – an das öffentliche Kommunikationsnetz angeschlossen sind. Das betrifft beispielsweise den Bereich der Smart-Home-Anwendungen, also Küchengeräte, Heizkörperthermostate, Alarmsysteme etc.

Nicht darunter fallen sollen Einrichtungen, die nicht an ein öffentliches Telekommunikationsnetz angeschlossen sind, also z.B. in einem geschlossenen Firmennetzwerk kommunizieren.

Einwilligung als Zulässigkeitsvoraussetzung

Die – personenbezogenen oder nicht personenbezogenen – Daten zu speichern bzw. auszulesen, ist „nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat“ (§ 25 Abs. 1 Satz 1 TTDSG).

Der Begriff „Endnutzer“ ist nicht im TTDSG definiert. Die Definition findet sich in § 3 Nr. 41 Telekommunikationsgesetz (TKG), die aufgrund der Verweisung in § 2 Abs. 1 TTDSG anwendbar ist.

Für die Anforderungen an die Einwilligung verweist § 25 Abs. 1 Satz 2 TTDSG auf die Datenschutz-Grundverordnung (DSGVO) und damit auf Art. 4 Nr. 11, Art. 7 und Art. 8 (und soweit besondere Kategorien personenbezogener Daten betroffen sind, auf Art. 9 DSGVO).

Aus der oben erwähnten Planet49-Entscheidung des EuGH ergibt sich, dass eine aktive Einwilligung erforderlich ist. Ein voraktiviertes Häkchen genügt nicht.

Ausnahmen vom Einwilligungserfordernis

§ 25 Abs. 2 TTDSG sieht Ausnahmen vom Einwilligungserfordernis vor. Das bedeutet allerdings, dass derjenige, der sich auf die Ausnahmen beruft, ihre Voraussetzungen darlegen und beweisen können muss.

Die Art.-29-Gruppe hat sich bereits im Jahr 2012 in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“ mit den Ausnahmen befasst (WP 194 vom 07.06.2012, abrufbar unter https://ogy.de/wp194). Sie hat sich dabei natürlich nicht mit § 25 TTDSG beschäftigt Doch lässt sich das Working Paper als Auslegungshilfe heranziehen. Die Ausnahme in § 25 Abs. 2 TTDSG Nr. 1 bezieht sich auf Telekommunikation, während die Nr. 2 einen weitergehenden Anwendungsbereich hat.

Ausnahmen vom Einwilligungs­erfordernis in der Telekommunikation

Nach § 25 Abs. 2 Nr. 1 TTDSG ist eine Einwilligung nicht erforderlich, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“.

Der Begriff „öffentliches Telekommunikationsnetz“ ist definiert als „ein Telekommunikationsnetz, das ganz oder überwiegend der Erbringung öffentlich zugänglicher Telekommunikationsdienste dient, die die Übertragung von Informationen zwischen Netzabschlusspunkten ermöglichen“ (§ 3 Nr. 42 TKG).

Den Begriff „Nachricht“ definiert § 2 Abs. 2 Nr. 4 TTDSG als „jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; …“.

Die Ausnahme ist damit eng begrenzt. Nach dem Wortlaut greift sie schon dann nicht mehr, wenn der Verantwortliche auch nur einen einzigen weiteren, anderen Zweck verfolgt.

Ausnahmen vom Einwilligungserfordernis bei Telemedien

Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TTDSG des Weiteren dann nicht erforderlich, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Was „unbedingt erforderlich“ bedeutet, definiert das TTDSG nicht näher. Insbesondere diskutiert die Fachwelt, ob eine technische Erforderlichkeit bestehen muss oder ob eine wirtschaftliche Erforderlichkeit genügen kann. Sowohl § 25 TTDSG als auch Art. 5 Abs. 3 der ePrivacy-Richtlinie enthalten hierzu keine eindeutige Aussage.

Die Richtlinie 2009/136/EG, die Art. 5 Abs. 3 ePrivacy-Richtlinie geändert hat, enthält in Erwägungsgrund 66 einen Anhaltspunkt hierfür: „… sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen.“ Das spricht für eine technische Erforderlichkeit.

Die Art.-29-Gruppe fasst das in ihrer Stellungnahme recht griffig so zusammen: „Wenn Cookies deaktiviert sind, funktioniert der Dienst nicht.“ Das Erfordernis „ausdrücklich gewünscht“ umschreibt die Art.-29-Gruppe so: „Der Nutzer (oder Teilnehmer) hat selbst etwas unternommen, um einen Dienst mit einem klar definierten Umfang anzufordern.“ Diese Auslegungen der Art.-29-Gruppe muss man nicht zwingend teilen, und erst der EuGH wird das letztverbindlich entscheiden. Teilt man die Ansicht, ist dies jedoch eine griffige Umschreibung.

Dem Wortlaut nach gilt diese Ausnahme nur für Telemediendienste. Im Bereich des „Internet der Dinge“ würde diese Ausnahme also nicht gelten. Hierzu ist daher zu beachten, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie eben nicht von „Telemedien“ spricht, sodass es sich im Wege einer richtlinienkonformen Auslegung von § 25 Abs. 2 Nr. 2 TTDSG vermeiden lässt, die Ausnahme auf „Telemedien“ zu beschränken. Hierzu beginnt aber die Diskussion jetzt erst richtig. Behalten Sie daher die weitere Auslegung im Auge!

Fazit: Klare Verschärfung

Der Anwendungsbereich geht über das hinaus, was Verantwortliche üblicherweise mit dem Schlagwort „Cookie-Regelung“ verbinden, und die Ausnahmen vom Einwilligungserfordernis sind recht eng begrenzt. Für Online-Tracking-Technologien ergeben sich damit auch in Deutschland klare gesetzliche Verschärfungen.