CR-online.de Blog

Neuer Gesetzesentwurf aus dem BMWi: Cookie-Einwilligung per Browsereinstellung und Cookie-Einsatz auf vertraglicher Grundlage

avatar  Niko Härting

In Berlin kursiert ein Referentenentwurf aus dem Bundeswirtschaftsministerium (BMWi), der ein neues Datenschutzgesetz plant und auch online abrufbar ist – nicht mit einem modischen Titel („Gute-Daten-Gesetz“), sondern altbacken-sperrig: „Telekommunikations-Telemedien-Datenschutz-Gesetz – TTDSG“. Der Entwurf verdient Beachtung, da er für Cookies und andere Identifier neue Wege öffnet. Die Entwurfsverfasser sind von der Sinnhaftigkeit kleinlicher Cookie-Einwilligungen ersichtlich wenig überzeugt.

Reaktion auf Planet49

Vorgaben des EuGH:  Der Entwurf reagiert auf die Entscheidungen des EuGH und des BGH in dem Planet49-Fall, der jahrelang die Gerichte befasste. Der EuGH entschied den Fall vor einem knappen Jahr entschieden (EuGH, Urt. v. 1.10.2019 – C-673/17, CR 2020, 25; ausführlich dazu Engeler/ Marosi, CR 2019, 707 ff.). Die Entscheidung beschränkte sich auf wenige Punkte:

  • Opt-In:  Um wirksam in die Setzung von Cookies einzuwilligen, reiche es nicht aus, wenn die Einwilligung durch ein voreingestelltes Kästchen erlaubt wird, dass der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
  • Irrelevanz von Personenbezug:  Für die rechtlichen Anforderungen an die Setzung von Cookies sei es unerheblich, ob es sich bei den in den Cookies gespeicherten Daten um personenbezogene Daten handelt.
  • Notwendige Hinweise:  Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, gehören zu den Informationen, die ein Diensteanbieter dem Nutzer geben muss, bevor dieser in die Setzung der Cookies einwilligt.

Nicht vorgegeben:  In dem EuGH-Urteil ging es – ebensowenig wie in der nachfolgenden des BGH (Urt. v. 28.5.2020 – I ZR 7/18, CR 8/2020, 557 m.Anm. Stögmüller – Cookie-Einwilligung II) – darum,

  • Zeitpunkt:  wann eine Einwilligung in die Setzung von Cookies erforderlich ist und
  • Alternativen:  ob es neben einem aktiv angekreuzten Kästchen auch andere Möglichkeiten gibt, wirksam eine Einwilligung zu erteilen.

Vorgaben der E-Privacy-Richtlinie

Differenzierung nach Cookies:  Dass eine Einwilligung nicht bei allen Cookies erforderlich ist, ergibt sich aus Art. 5 Abs. 3 Satz 2 der E-Privacy-Richtlinie:

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
(Hervorhebungen hinzugefügt)

Somit ist eine Einwilligung entbehrlich bei

  • Nachrichtübertragung:  Cookies, die aus technischen Gründen zur „Übertragung einer Nachricht“ erforderlich sind, und bei
  • Nutzerwunsch:  Cookies, die erforderlich sind, um dem Nutzer einen Dienst zur Verfügung zu stellen, den sich der Nutzer „ausdrücklich gewünscht“ hat.

Dass es bei der Einwilligung Alternativen zu einem Ankreuzkästchen gibt, geht aus Erwägungsgrund 66 Satz 3 der „Cookie-Richtlinie“ 2009 hervor:

„Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“
(Hervorhebungen hinzugefügt)

BMWi-Entwurf: Das Unspektakuläre

Grundsatz:  Der BMWi-Entwurf regelt Cookies und andere Identifier in § 9 TTDSG-RefE („Einwilligung bei Endeinrichtungen“) und betont in § 9 Abs. 1 TTDSG-RefE zunächst das grundsätzliche Erfordernis einer Einwilligung:

„Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“
(Hervorhebungen hinzugefügt)

Modifikation:  Wenig spektakulär ist auch § 9 Abs. 3 TTDSG-RefE, der sich laut der Entwurfsbegründung auf eine Übernahme der Ergebnisse des Planet49-Falls beschränkt:

„Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,

1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und

2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.“
(Hervorhebungen hinzugefügt)

BMWi-Entwurf: Hier wird es spannend

Türöffner für den Einsatz von Cookies und anderen Identifiern finden sich in § 9 Abs. 2 und 4 TTDSG-RefE:

Ausnahmen von Einwilligung:  § 9 Abs. 2 TTDSG-RefE knüpft an Art. 5 Abs. 3 Satz 2 der E-Privacy-Richtlinie an und unterscheidet drei Fälle, in denen es keiner Einwilligung bedarf:

„Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,

2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder

3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“
(Hervorhebungen hinzugefügt)

Kreative Öffnung:  Während § 9 Abs. 2 Nr. 1 TTDSG-RefE eng am Wortlaut des Art. 5 Abs. 3 Satz 2 der E-Privacy-Richtlinie haftet, lösen sich § 9 Abs. 2 Nr. 2 und 3 TTDSG-RefE dagegen vom Wortlaut und sollen laut der Entwurfsbegründung „klarstellen“, dass die vertraglich vereinbarte oder gesetzlich vorgeschriebene Setzung von Cookies rechtlich verbindlich und vor allem unwiderruflich ist (vgl. Art. 7 Abs. 3 DSGVO). Dies ist insbesondere ein Türöffner für die Vertragsgestaltung.

Merke:  Der vertraglich vereinbarte Einsatz von Cookies würde nach § 9 Abs. 2 Nr. 2 TTDSG-RefE die Einholung einer Einwilligung entbehrlich machen.

Erleichterte Einwilligung:  § 9 Abs. 4 TTDSG-RefE knüpft an Erwägungsgrund 66 Satz 3 der „Cookie-Richtlinie“ 2009 an und soll laut der Entwurfsbegründung insbesondere kleinen und mittleren Unternehmen die Einholung von Einwilligungen erleichtern:

„Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“
(Hervorhebungen hinzugefügt)

Boost für Alternativen:  Diese Bestimmung könnte viele der Cookie-Einwilligungen entbehrlich machen, die sich derzeit auf deutschen Websites finden. Die Einwilligung per (aktiver) Browser-Einstellung hatte bereits in der Vergangenheit viele Freunde in Deutschland und könnte in Zukunft wieder zu einem Gestaltungsinstrument werden, das den Einsatz von Cookies und anderen Identifiern erleichtert.

Ausblick

„Cookie-Einwilligung“ – Ja oder nein? Umständlich für jeden Cookie oder einfach per Browsereinstellung? Einsatz von Cookies auf vertraglicher Grundlage? Wenige Fragen des Internetrechts werden schon so lange (seit mehr als 20 Jahren), so emotional und so kontrovers geführt wie der Einsatz von Cookies im Netz.

Höchstrichterliche Leitplanken:  Wer glaubte, EuGH und BGH hätten die Diskussion mit ihren Planet49-Entscheidungen erst einmal beendet, wird eines Besseren belehrt. Der (noch nicht „offizielle“) Entwurf aus dem BMWi wird in den nächsten Monaten die Gemüter bewegen:

  • Wer an die Macht der Einwilligung glaubt („Ich will gefragt werden“), wird die Konformität der BMWi-Vorschläge mit der DSGVO und der E-Privacy-Richtlinie bezweifeln.
  • Wer keine Cookie-Fenster mag, wird die Vorschläge begrüßen und auf eine schnelle Verabschiedung hoffen.

Markt der Möglichkeiten:  Für die Beratung weiten die Vorschläge aus dem BMWi den Horizont:

  • Einzelne Einwilligungen:  Fraglos bleibt die für jeden Cookie erteilte (informierte) Einwilligung die klare „Nummer Sicher“.
  • Browsereinstellung:  Eine Einwilligung per Browsereinstellung ist jedoch nach der Lesart des BMWi ein europarechtlich gangbarer Weg und daher eine mögliche Alternative.
  • Vertragliche Regelungen  zum Einsatz von Cookies könnten eine interessante weitere Möglichkeit sein, um Cookie-Einwilligungen zu vermeiden, wenn der (registrierte) Nutzer Vertragspartner eines Diensteanbieters ist.

 

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.