Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.

Das TTDSG setzt die europäischen Vorgaben aus der ePrivacy-Richtlinie in das deutsche Recht um und hat damit auch erhebliche Auswirkungen darauf, wann und unter welchen Umständen Website- und App-Betreiber Cookies und vergleichbare Technologien (d. h. Instrumente, die auf das Endgerät zugreifen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückverfolgen können) einsetzen dürfen.

Konkret wird es gemäß § 25 Abs. 2 TTDSG in Zukunft nur in streng geregelten Ausnahmefällen möglich sein, Cookies, Pixel, Fingerprints und ähnliche Trackingtechnologien ohne Einholung einer Einwilligung einzusetzen. Grundsätzlich sieht das TTDSG nach § 25 Abs. 1 TTDSG vor, dass für jeden Zugriff auf ein Endgerät der Nutzer (z.B. deren Smartphone oder Computer) eine individuelle Einwilligung eingeholt werden muss und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Während es nach Auffassung der Datenschutzaufsichtsbehörden z.B. bislang möglich war, den Einsatz von Cookies zur Reichweitenmessung (also für Zwecke der statistischen Analyse) auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO zu stützen, ist noch offen, ob mit Geltung des TTDSG hierfür eine Einwilligung eingeholt werden muss.

Eine Ausnahme für die Einholung einer Einwilligung sieht das TTDSG gemäß § 25 Abs. 2 Nr. 2 TTDSG nur dann vor, wenn der Einsatz von Cookies unbedingt erforderlich ist, um die Website oder App selbst oder einen darin eingebundenen Dienst (der Informationsgesellschaft) bereitzustellen, soweit dies vom Nutzer ausdrücklich gewünscht wird. Diese Ausnahme wird von den europäischen Aufsichtsbehörden eng ausgelegt. Der Einsatz von Cookies für verhaltensbasierte Werbung wird sich daher voraussichtlich nicht durch § 25 Abs. 2 Nr. 2 TTDSG rechtfertigen lassen.

Relevanz kommt § 25 Abs. 2 Nr. 2 TTDSG vor allem in den Fällen zu, in denen der Einsatz von Cookies technisch erforderlich ist. Wann ein Cookie als technisch erforderlich gilt, ist in Deutschland noch nicht abschließend geklärt. Nach einer älteren Ansicht der Art. 29-Datenschutzgruppe können Cookies beispielsweise technisch erforderlich sein, um eine gewünschte Spracheinstellung zu speichern oder eine Warenkorbfunktion anzubieten. Der deutsche Gesetzgeber hat im Rahmen der Verabschiedung des TTDSG allerdings darauf verzichtet, konkrete Beispiele für eine technische Erforderlichkeit gemäß § 25 lit. 2 Nr. 2 TTDSG zu benennen. Entsprechend muss praktisch im Einzelfall geprüft werden, ob der Zugriff auf Informationen oder das Auslesen von Informationen aus dem Endgerät eines Nutzers wirklich technisch erforderlich ist. Prüfbedarf besteht vor allem auch in Fällen, in denen Informationen vom Endgerät der Nutzer dazu verwendet werden, um den Missbrauch eines Dienstes auszuschließen.

Mit der Einführung des TTDSG steigt außerdem vor allem das Bußgeldrisiko für den unrechtmäßigen Einsatz von Trackingtechnologien, da es für die Behörden erheblich leichter wird, eine bußgeldbewehrte Ordnungswidrigkeit nachzuweisen. Während die Aufsichtsbehörden nach aktuell noch geltender Rechtslage für den Erlass eines Bußgeldes nachweisen müssen, dass es zu einer unrechtmäßigen Verarbeitung von personenbezogenen Daten durch den Website-Betreiber gekommen ist (was sich rein technisch gesehen als ausgesprochen schwierig darstellt), muss die Behörde in Zukunft nur noch belegen können, dass Cookies gesetzt wurden, keine Einwilligung dafür vom Nutzer eingeholt wurde und der o. g. Ausnahmetatbestand nicht einschlägig ist. Entsprechend haben auch diverse andere europäische Aufsichtsbehörden in der Vergangenheit ihre Bußgelder im Zusammenhang mit dem Einsatz von Cookies häufig auf die jeweils nationale Umsetzung der Vorgaben aus der ePrivacy-Richtlinie gestützt (siehe z.B. das Bußgeldverfahren der französischen Aufsichtsbehörden gegen Amazon). Für Verstöße gegen das TTDSG können Bußgelder in Höhe von bis zu 300.000 Euro verhängt werden.

Wir empfehlen daher Website- und App-Betreibern dringend bis Dezember zu überprüfen:

1. Inwieweit werden auf den Unternehmens-Websites oder Apps Cookies, Pixel, Fingerprints und ähnliche Technologien derzeit noch auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO eingesetzt?
2. Ist für den Einsatz dieser Instrumente zukünftig eine Ausnahmeregelung nach § 25 Abs. 2 TTDSG einschlägig?
3. Kann in den Fällen, in denen die Ausnahme nach § 25 Abs. 2 TTDSG nicht anwendbar ist, ab Dezember 2021 eine Nutzereinwilligung für den Zugriff auf das Endgerät der Nutzer eingeholt werden?