TTDSG – ein Überblick mit Keksbeilage

Ziel des TTDSG ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DSGVO) sowie die – bereits lange ausstehende – Umsetzung der ePrivacy-Richtlinie.¹

Im Datenschutzrecht herrscht in der Praxis eine Ko-Regulierung durch Union und die Mitgliedstaaten.² Die Datenschutz-Grundverordnung (DSGVO)³ wird ergänzt durch bereichspezifische Rechtsakte auf Unions- und Nationalebene. Mitgliedstaaten nutzen bei der Erfüllung ihrer Regelungsaufträge nach der DSGVO sowie bei der Umsetzung von Richtlinien und Öffnungsklauseln ihre Umsetzungsspielräume aus. Zwei dieser spezifisch zu schärfende Regelungsbereiche sind der Datenschutz in der Telekommunikation und bei Internetdiensten. Hier wurde die DSGVO noch bis Ende letzten Jahres in Deutschland durch die datenschutzrechtlichen Regelungen im TKG und im TMG ergänzt. Mit der Einführung des TTDSG soll die Rechtsunsicherheit beseitigt werden, die durch das bisherige Nebeneinander von DSGVO, TMG und TKG bestand.⁴ Die Datenschutzbestimmungen aus dem TKG und aus dem TMG wurden daher in einem eigenen Gesetz zusammengefasst und überarbeitet. Unanwendbare Reglungen wurden gestrichen. Mit der Novellierung des TKG und der Schaffung des TTDSG wurden bestehende Schutzlücken geschlossen und der europäische Kodex für die elektronische Kommunikation umgesetzt (RL (EU) 2018/1972). Das TTDSG bündelt also die wesentlichsten Vorschriften für den Datenschutz bei Telekommunikations- und Telemediendiensten.⁵

Rechtsunsicherheit bleibt in diesem Normengebilde⁶ aber bestehen. Das Zusammenspiel von DSGVO und nationalen datenschutzrechtlichen Vorschriften, welche eine Umsetzung der RL 2002/58/EG („E-Privacy-RL“) darstellen, ist nicht abschließend geklärt.⁷ Im Regelungsbereich der DSGVO ist das Verhältnis von DSGVO, BDSG und TTDSG nach den allgemeinen Regeln über die Normenkollision aufzulösen. Insoweit geht die DSGVO als Verordnung iSd Art. 288 Abs. 2 AEUV mitgliedstaatlichen Vorschriften vor, es sei denn eine Öffnungsklausel zugunsten nationalen Rechts ist einschlägig. Die Aufsichtsbehörden legen die Öffnungsklausel in Art. 95 DSGVO dahingehend aus, dass in den Bereichen der Umsetzung von Art. 5 Abs. 3 E-Privacy-RL eine Anwendung der allgemeinen Zulässigkeitstatbestände der DSGVO unterbleibt.⁸

Das mit 30 Paragrafen recht überschaubare Gesetz ist in vier Teile untergliedert:

• Teil 1 verhält sich zu Anwendungsbereich und Begriffsbestimmungen.
• Teil 2 verhält sich sowohl zum Datenschutz als auch zum Schutz der Privatsphäre in der Telekommunikation und überführt vor allem Vorschriften die bisher im TKG enthalten waren (§§ 88-107 TKG aF). Er dient zugleich der Umsetzung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der Telekommunikation (E-Privacy-Richtlinie) sowie der Anpassung dieser Vorschriften des TKG an die DSGVO.
• Teil 3 verhält sich zu Telemediendatenschutz und Endeinrichtungen. Er umfasst Anpassung der Datenschutzbestimmungen für Telemedien an die DSGVO, die bisher in den §§ 11 bis 15c des TMG aF enthalten waren, die Anpassung der Regelung zur Einwilligung bei Endeinrichtungen an die E-Privacy-Richtlinie sowie Regelungen zur Auskunftserteilung und zum Auskunftsverfahren.
• Teil 4 verhält sich zu Straf- und Bußgeldvorschriften sowie zur Aufsicht.

Der sachliche Anwendungsbereich des Gesetzes ist über § 1 Abs. 1 TTDSG zu bestimmen und stellt sich als Gemengelage dar. So enthält das Gesetz zum Beispiel sowohl Bestimmungen zum Fernmeldegeheimnis⁹ als auch besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien.

Anbieter von Telemedien ist nach § 2 Abs. 2 Nr. 1 TTDSG jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. Telemedien sind nach § 1 Abs. 1 S. 1 TMG alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind (Telemedien).¹⁰

Für die Beantwortung der Frage, was ein Telekommunikationsanbieter ist, verweist das TTDSG in § 2 Abs. 1 auf das zeitgleich novellierte Telekommunikationsrecht (TKG). Orientiert am europäischen Kodex für die elektronische Kommunikation erfasst das novellierte TKG neben sog. nummerngebundenen interpersonellen Telekommunikationsdiensten nunmehr auch sog. nummernunabhängige interpersonelle Kommunikationsdienste (vgl. § 3 TKG). Damit stellen nunmehr auch sog. „Over-the-top-(OTT)“-Kommunikationsdienste, etwa webgestützte E-Mail-Dienste oder Messenger wie WhatsApp oder Threema, Telekommunikationsdienste dar. Klarstellend sei darauf hingewiesen, dass Telekommunikationsdienste entsprechend der Begriffsbestimmung in der Richtlinie (EU) 2018/1972 und damit des nationalen Telekommunikationsrechts nur solche sind, die in der Regel gegen Entgelt erbracht werden.¹¹

Das TTDSG ist ausweislich seines § 1 Abs. 3 TTDSG räumlich anwendbar auf „alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen“. Was der weite Anwendungsbereich von „erbringen oder daran mitwirken“ im Einzelnen bedeutet, ist bisher nicht bis ins letzte Detail geklärt.¹²

Teil 2 des TTDSG enthält Bestimmungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation. Das sind die Bestimmungen zum Fernmeldegeheimnis, zur Verarbeitung von Verkehrs- und Standortdaten, die rufnummernbezogenen Regelungen zum Schutz der Privatsphäre und zu Endnutzerverzeichnissen. Diese Vorschriften wurden §§ 88-107 TKG aF entnommen. Die §§ 3 bis 18 TTDSG enthalten kaum neue Regelungen, sondern stellen im Wesentlichen eine Überführung der bislang in §§ 88 ff. TKG enthaltenen Vorschriften und eine Anpassung derselben an die DSGVO dar. Die auffälligste Neuerung besteht darin, dass der Anwendungsbereich des speziellen Telekommunikationsdatenschutzes erweitert wird, indem „Over-the-Top-(OTT)“-Kommunikationsdienste einbezogen werden. Der Kreis der Anbieter, welche die – im Vergleich zur DSGVO strengeren Vorgaben des Telekommunikationsdatenschutzes zu beachten haben – hat sich hierdurch deutlich erweitert. Nicht neu ist hingegen, dass der Schutz des Fernmeldegeheimnisses und die speziellen Datenschutzregeln im Bereich der Telekommunikation auch juristische Personen schützen.

Kapitel 1 von Teil 2 enthält die erforderlichen Regelungen zur Vertraulichkeit der Kommunikation. Dabei handelt es sich um das Fernmeldegeheimnis sowie Abhörverbote und Geheimhaltungspflichten der Betreiber von Funkanlagen, die Verarbeitung von Nachrichteninhalten im Rahmen der Zwischenspeicherung und die Vorlage eines amtlichen Ausweises zur Überprüfung der Angaben des Endnutzers. § 3 TTDSG enthält die zuvor in § 88 TKG aF normierte Regelung zum Fernmeldegeheimnis, die – bis auf redaktionelle Anpassungen – unverändert übernommen wurde. Zur Wahrung des Fernmeldegeheimnisses sind wie bisher die öffentlich zugänglichen und alle geschäftsmäßig angebotenen Telekommunikationsdienste verpflichtet.¹³ § 4 TTDSG enthält jedoch eine neue Regelung für die Erben eines Endnutzers. Mit dieser Vorschrift stellt der Gesetzgeber klar, dass das Fernmeldegeheimnis nicht entgegensteht, wenn die Erben eines Endnutzers Rechte gegenüber einem Anbieter von Telekommunikationsdiensten geltend machen.

Kapitel 2 regelt die Verarbeitung von Verkehrsdaten zum Zweck der Nachrichtenübermittlung, zur Ermittlung des Entgelts, zur Aufnahme in Einzelverbindungsnachweise und zur Beseitigung von Störungen sowie von Standortdaten. Bis auf redaktionelle Änderungen, werden hier die §§ 96 bis 100 TKG aF übernommen.

Kapitel 3 enthält die besonderen Anforderungen an den Schutz der Privatsphäre bei rufnummerngebundenen interpersonellen Telekommunikationsdiensten zur Sprachkommunikation. Hier werden, teilweise bei sprachlicher Anpassung, die §§ 45m, 47, 101 bis 104 TKG aF übernommen. § 15 Abs. 2 TTDSG ermöglicht nun, ergänzend zu der in Absatz 1 wie bisher in § 102 TKG enthaltenen Regelung zum Ausschluss der Unterdrückung der Rufnummer des Anrufers bei bestimmten Notrufnummern, bestimmten Behörden die Möglichkeit, über die Aufnahme in eine von der Bundesnetzagentur zu führende und zu veröffentlichende Liste ebenfalls einen entsprechenden Ausschluss der Rufnummernunterdrückung des Anrufers herbeizuführen. Hier besteht zur schnellstmöglichen Reaktion dieser Behörden auf telefonisch eingehende Drohungen etwa mit Anschlägen, schweren Straftaten oder erweiterten Suiziden eine vergleichbare Sachlage wie bei Notrufnummern.¹⁴

Teil 3 enthält die Bestimmungen zum Telemediendatenschutz, die nicht durch die DSGVO verdrängt werden. Dabei handelt es sich um die Vorgabe bestimmter technischer und organisatorischer Vorkehrungen, die Regelung der Verarbeitung personenbezogener Daten von Minderjährigen nach den Vorgaben der geänderten RL 2010/13/EU¹⁵ sowie Vorgaben zur Auskunftserteilung und zu Auskunftsverfahren durch Diensteanbieter. Er umfasst Anpassung der Datenschutzbestimmungen für Telemedien, die bisher in den §§ 11 bis 15a des TMG aF enthalten waren. Der Teil 3 enthält außerdem die Regelung zum Schutz der Privatsphäre bei Endeinrichtungen.

Kapitel 1 regelt die technischen und organisatorischen Vorkehrungen für Anbieter von Telemedien, die Verarbeitung von aus Gründen des Jugendschutzes erhobenen personenbezogenen Daten Minderjähriger und die Auskunftserteilung und Auskunftsverfahren.

Kapitel 2 enthält neue Bestimmungen im Hinblick auf das Speichern und den Zugriff auf Informationen auf Endeinrichtungen des Endnutzers (§ 25 TTDSG) sowie Anerkannte Dienste zur Einwilligungsverwaltung (§ 26 TTDSG). Auf erstere Regelung wird unten vertieft eingegangen.

Teil 4 enthält in § 27 TTDSG Strafvorschriften und in § 28 TTDSG Bußgeldvorschriften. Die Strafvorschriften orientieren sich an § 148 TKG aF. § 25 Absatz 1 TTDSG enthält die bislang in § 148 Absatz 1 TKG geregelte Bestimmung und stellt bestimmte Verstöße gegen das Fernmeldegeheimnis unter Strafe. Die Bußgeldvorschriften orientiert sich am Bußgeldrahmen des TKG und den Vorgaben des Ordnungswidrigkeitengesetzes. Bußgelder von bis zu 300.000 € sind möglich bei Verstößen gegen die Regelungen zu Cookies (§ 25 TTDSG) und bei Verstößen gegen die kommerzielle Verarbeitung von Daten Minderjähriger (§ 20 TTDSG). Bei einem Verstoß gegen die in § 25 Abs. 1 TTDSG verankerte „Cookie-Regelung“ handelt es sich also um eine Ordnungswidrigkeit.¹⁶ Gem. § 28 Abs. 1 Nr. 13 TTDSG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig entgegen § 25 Abs. 1 S. 1 TTDSG eine Information speichert oder auf diese zugreift. Gegen Telemedien von Behörden oder sonstigen öffentlichen Stellen dürfen gem. § 28 Abs. 4 TTDSG keine Geldbußen verhängt werden.¹⁷ Praxisrelevant sind auch die Ermittlungs- bzw. Abhilfebefugnisse der Aufsichtsbehörden außerhalb des Ordnungswidrigkeitenrechts. Aufsichtsbehörden haben die Möglichkeit den Diensteanbieter zu verwarnen, Unterlassung zu fordern oder darauf hinzuweisen Vorgänge in den Einklang mit dem TTDSG zu bringen.¹⁸ Eine Ahndung derselben Zugriffshandlungen nach der DSGVO und dem TTDSG ist gem. Art. 83 DSGVO nicht möglich. Entweder schließt § 25 TTDSG eine parallele datenschutzrechtliche Verletzung aus (da zum Beispiel nur anonymisierte Daten verarbeitet werden) oder § 18 OWiG ist anwendbar.¹⁹ Verstößt ein Anbieter von Telemedien gegen die Vorgaben des TTDSG und der DSGVO, kann ein Bußgeld in Milliardenhöhe in Betracht kommen, s. § 19 Abs. 2 Nr. 1 OWiG.

29 TTDSG regelt die Zuständigkeit der oder des BfDI als Aufsichtsbehörde, soweit es sich um Anforderungen handelt, die auf die Verarbeitung personenbezogener Daten natürlicher oder juristischer Personen gerichtet sind. Die Vorschrift orientiert sich an den Regelungen, die bisher in § 9 Abs. 1 S. 1 BDSG und § 115 Abs. 4 S. 1 TKG enthalten waren. Die Aufsicht zur Einhaltung des § 25 TTDSG liegt gem. § 29 Abs. 2 TTDSG in der Zuständigkeit des oder der BfDI. Hinsichtlich der landes- und rundfunkrechtlichen Aufsichtszuständigkeiten hat das TTDSG keine vergleichbare Verweisung hervorgebracht.²⁰ Nach § 113 S. 1 MStV überwachen die zuständigen Aufsichtsbehörden der Länder für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen. Zu den „Allgemeinen Datenschutzbestimmungen“ i.S.v. § 113 S. 1 MStV zählen die geltenden Bestimmungen aus der DSGVO, dem BDSG und etwaige andere datenschutzrechtliche Normen, wobei das TTDSG von dieser Norm erfasst ist.²¹

§ 30 TTDSG bestimmt die Zuständigkeit der Bundesnetzagentur für Teil 2 im Übrigen. Für Teil 3 legt das Gesetz keine Aufsicht durch Bundesbehörden fest. Die Bundesnetzagentur ist zuständig, wenn nicht die Zuständigkeit der oder des BfDI gegeben ist. Es soll sichergestellt werden, dass die Wahrnehmung der Aufsicht über einen einheitlichen Sachverhalt entweder durch den oder die BfDI oder die BNetzA erfolgt. Ist in einem Aufsichtsfall der oder die BfDI zuständig, so kommt eine weitere Zuständigkeit der BNetzA dafür nicht in Betracht. Die Befugnisse der BNetzA orientieren sich an § 182 TKG.

Besonderes Augenmerk soll hier auf die neue Regelung zum Schutz der Privatsphäre bei Endeinrichtungen gelegt werden, da sie von hoher Praxisrelevanz ist und eine große Reichweite hat. § 25 TTDSG schützt die Integrität von Endeinrichtungen gegen das unbefugte Speichern und Auslesen von Informationen. Der in § 25 TTDSG normierte Schutz der Geräteintegrität, stellt die europarechtskonforme Umsetzung des Art. 5 Abs. 3 ePrivacy-RL dar, welcher den Einsatz von Cookies und ähnlicher Technologien erfasst.²²

§ 25 Abs. 1 S. 1 TTDSG formuliert eine klare Einwilligungspflicht. Die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf solche Informationen ist nur zulässig, soweit die Endnutzer eingewilligt haben. Für die Eröffnung des Anwendungsbereichs der Norm wird kein primärer datenschutzrechtlicher Bezug aufgebaut, sondern klar auf eine Endeinrichtung abgestellt.²³ Eine Endeinrichtung ist gem. § 2 Abs. 2 Nr. 6 TTDSG jede direkte oder indirekte Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten. Endeinrichtungen sind zum Beispiel Smartphones, PCs oder Tablets. Der Gesetzeswortlaut wurde bewusst technikneutral formuliert, sodass neben Cookies alle Techniken und Verfahren erfasst werden, mit welchen das Speichern und Auslesen von Informationen erfolgen kann.24 Ein Einwilligungserfordernis nach § 25 TTDSG zielt eindeutig nicht auf einen Personenbezug der Daten ab. Für den Einsatz von Cookies bedeutet dies, dass § 25 TTDSG unabhängig davon einschlägig ist, ob in dem Cookie personenbezogene Daten gespeichert sind oder auf diese zugegriffen werden soll.²⁵

§ 25 Abs. 1 S. 2 TTDSG verweist für das Einholen einer rechtskonformen Einwilligung auf die bekannten Grundsätze der DSGVO. Maßgeblich ist hierfür die Definition der Einwilligung gem. Art. 4 Nr. 11 DSGVO, sowie die weiteren Anforderungen aus Art. 7 und Art. 8 DSGVO.

Der Gesetzgeber normiert in § 25 Abs. 2 TTDSG eng gefasste Ausnahmen, in welchen eine Einwilligung gem. § 25 Abs. 1 TTDSG nicht erforderlich ist.

§ 25 Abs. 2 S. 1 TTDSG erlaubt das Speichern und Auslesen von Informationen auf Endeinrichtungen der Endnutzer. Durch die Formulierung „alleiniger Zweck“ ergibt sich, dass die Regelung nur greift, wenn die Übertragung der Nachricht ohne die Nutzung von Cookies oder anderer einwilligungseinholender Technologien nicht möglich ist. Eine bloße Unterstützung oder Regulierung der Nachrichtenübertragung ist nicht ausreichend.²⁶

Die zweite Ausnahme gem. § 25 Abs. 2 S. 2 TTDSG erlaubt das Speichern oder Auslesen von Informationen, soweit eine Nutzung von Cookies und weiteren von § 25 TTDSG erfassten Technologien unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können.²⁷ „Ausdrücklich gewünschter Telemediendienst“ meint, dass der Endnutzer eine aktive Handlung vornimmt, um einen Telemediendienst mit einem klar definierten Funktionsumfang anzufordern. ²⁸ „Ausdrücklich gewünscht“ bezieht sich nicht auf die ganze Benutzung des Dienstes, sondern auf eine spezifische Funktion der Benutzung, beispielsweise einer Webseite oder App.²⁹ Außerdem muss das Speichern oder Auslesen für die Bereitstellung des Telemediendienstes „unbedingt erforderlich“ sein. Das Merkmal wird weder im TTDSG noch in der ePrivacy-RL näher definiert. Aufgrund der Gesetzesbegründung zum TTDSG ist jedoch eine technische Erforderlichkeit naheliegend.³⁰ Ist der Telemediendienst bei Deaktivierung eines bestimmten Cookies nicht mehr in allen Funktionen verfügbar, so ist dieser für den Betrieb der Webseite zwingend erforderlich.³¹ Technisch unbedingt erforderliche Cookies bedürfen keiner Einwilligung. Der Umstand, dass die Speicherung oder der Zugriff auf Informationen in Endgeräten für ein Geschäftsmodell, wirtschaftlich notwendig ist, rechtfertigt keine Ausnahme.³²

Die Einwilligung in das Speichern und Auslesen von Informationen, welche nach § 25 Abs. 1 TTDSG erforderlich sind und die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO als Grundlage für die Rechtmäßige Verarbeitung personenbezogener Daten, können durch dieselbe Handlung gemeinsam erteilt werden. Voraussetzung dafür ist, dass die Anbieter des Telemediendienstes die Nutzenden bereits an der Stelle der Einwilligung darüber informieren, zu welchen Zwecken die Datenverarbeitung im Anschluss auf den Zugriff auf die Endeinrichtung erfolgen soll. Es muss eindeutig erkennbar gemacht werden, dass mit Betätigen der Schaltfläche eines Cookie-Banners mehrere Einwilligungen abgegeben werden. Die Weiter- oder Folgeverarbeitung muss angesprochen werden.³³

Die Regelung des § 25 TTDSG hat nach Art. 95 DSGVO bei einer inhaltlichen Überschneidung der Normen, die sich in ihrer Zielsetzung decken, sowie es sich um eine Datenverarbeitung im Zusammenhang mit Bereitstellung öffentlicher zugänglicher Kommunikationsdienste handelt, Anwendungsvorrang gegenüber der DSGVO.³⁴ In der Realität ist die Konkurrenzfrage für Anbieter von Telemedien kaum relevant, da in den meisten Fällen nach dem Speichern und Auslesen von Informationen, eine Verarbeitung personenbezogener Daten im Sinne der DSGVO stattfindet.³⁵

Durch § 25 TTDSG bestehen zwar klare Anforderungen an das Einholen der Einwilligung in das Speichern und Auslesen der Cookies auf dem Endgerät eines Nutzers. Die konkrete Gestaltung von Cookies wirft jedoch weiterhin Fragen auf.³⁶ Eine direkte gesetzliche Grundlage nur für die Gestaltung eines Cookie-Banners existiert nicht. Auch die Einführung des TTDSG bringt in dieser Hinsicht keine Neuerungen. § 25 Abs. 1 S. 2 TTDSG verweist auf die Grundsätze der Einwilligung nach den Erfordernissen der DSGVO. Die Anforderungen für die Einwilligung und die damit einhergehende Gestaltung der Cookie-Banner ergibt sich aus Art. 4 Nr. 11 DSGVO. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Einwilligung muss vor der Datenverarbeitung eingeholt werden, da bereits das Speichern von Informationen einer Einwilligung bedarf.³⁷ Daraus folgt, dass einwilligungsbedürftige Cookies nicht vor Abgabe der Einwilligung gesetzt werden dürfen.

Eine Einwilligung per Opt-out Gestaltungen, also beispielsweise durch voreingestellte Ankreuzkästchen, bei denen der Nutzer eine bereits eingestellte Option erst deaktivieren muss,³⁸ ist nicht wirksam. In dem Urteil „Planet49“ stellte der EuGH klar,³⁹ dass es für eine wirksame Einwilligung in eine Verarbeitung personenbezogener Daten gerade nicht ausreicht, wenn der Webseitennutzer ein voreingestelltes Kästchen lediglich bestätigt.⁴⁰ Der BGH legte in dem Urteil „Cookie-Einwilligung II“ § 15 Abs. 3 TMG aF, entgegen dem Wortlaut europarechtskonform aus und entschied, dass Diensteanbieter, also beispielsweise Webseitenbetreiber, Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung nur mit aktiver Einwilligung der Nutzer setzen darf.⁴¹

Der Webseitenbetreiber muss folglich durch das Opt-In Verfahren im Wege der Interaktion die aktive Einwilligung des Endnutzers einholen. Die kann durch Gestaltung einer Schaltfläche oder durch Auswahl bestimmter technischer Einstellungen geschehen.⁴² Nach Auffassung der EDSA stellt das bloße Scrollen oder Surfen durch Webseiteninhalte keine eindeutig bestätigende Handlung i.S. Art. 4 Nr. 11 DSGVO dar.⁴³ In der Weiternutzung einer Webseite liegt keine aktive Einwilligung in die Cookie-Nutzung.⁴⁴ Hinsichtlich der Unmissverständlichkeit verlangen die Datenschutzbehörden eine klare nicht irreführende Überschrift.⁴⁵ Bloße Beschreibungen wie, „Wir schützen ihre Daten“ oder „Wir nutzen Cookies, um Ihr Webseitenerlebnis zu verbessern“ reichen demnach nicht aus. Dies gilt auch für die Schaltflächen der Einwilligungsbanner. Laut DSK stellt ein „Okay“-Button keine unmissverständliche Erklärung dar.

Des Weiteren führt die DSK an, dass Endnutzer berechtigterweise erwarten könnten, untätig zu bleiben, wenn sie nicht einwilligen möchten. Cookie-Banner, welche den Inhalt des Telemedienangebotes weitestgehend blockieren, müssen ebenso leicht abgelehnt wie angenommen werden können (zumindest ohne Mehraufwand an Klicks). Für einen eine Webseite versperrenden Cookie-Banner bedeutet das, dass Ablehnungs- und Zustimmungsbutton gleich schnell durch dieselbe Anzahl von Klicks ausgewählt werden können.⁴⁶

Des Weiteren muss die Einwilligung gem. Art. 4 Nr. 11 DSGVO für einen bestimmten Fall eingeholt werden. Das Merkmal der Bestimmtheit ist dabei eng mit dem Merkmal der Informiertheit und dem der Freiwilligkeit verbunden. Dem Endnutzer müssen ausreichend Informationen über die Zwecke des Zugriffs und eine mögliche Weiterverarbeitung ihrer personenbezogen Daten zur Verfügung gestellt werden. Infolgedessen erlangen Webseitenbesucher erst vollständig Transparenz und Kontrolle, in welche Zwecke sie überhaupt einwilligen.⁴⁷

Cookie-Banner können grundsätzlich mehrschichtig aufgebaut werden. Nähere Informationen erlangt der Endnutzer dabei auf zweiter Ebene eines Cookie-Banners. Vage Angaben über die Zwecke verschiedener Cookies, wie „Werbezwecke“ oder „zukünftige Forschung“ können unangemessen sein und erfüllen in der Regel nicht das Bestimmtheitserfordernis gem. Art. 4 Nr. 11 DSGVO.⁴⁸ Kann der Endnutzer auf erster Ebene des Cookie-Banners bereits in alle Zwecke gemeinsam Einwilligen, so ist dort bereits über die unterschiedlichen konkreten Zwecke zu informieren.⁴⁹

Gemäß Art. 7 Abs. 2 S. 1 DSGVO muss die Einwilligung in einer klaren und einfachen Sprache erfolgen. Man sieht häufig Cookie-Banner, welche gegen das Gebot der Informiertheit verstoßen. Die Anforderung der Informiertheit ist eng mit dem Grundsatz der Transparenz und dem Grundsatz der Verarbeitung nach Treu und Glauben gem. Art. 5 Abs. 1 lit. a) DSGVO verbunden. Juristische Begriffe oder unbekannte Abkürzungen können dazu führen, dass die Einwilligung nicht in informierter Weise i.S. Art. 4 Nr. 11 DSGVO eingeholt wird.⁵⁰ Vage Formulierungen oder humorvolle Bezeichnungen wie „Ich will Kekse“ können die Bedeutung der Einwilligung weniger ernst wirken lassen. Diese Formulierungen sind nur zulässig, wenn dem Endnutzer weiterführende transparente Informationen zur Verfügung gestellt werden.⁵¹

Häufig werden ganze Datenschutzerklärungen in das Cookie-Banner kopiert oder auf Unmengen von Informationen in verschiedenen Untermenüs verwiesen. Eine solche „Überlastung“ mit an sich nicht unbedingt erforderlichen Informationen kann jedoch dazu führen, dass die Einwilligung nicht in informierter Weise gem. Art. 4 Nr. 11 DSGVO eingeholt wird.⁵²

Welche Informationen unbedingt notwendig sind, ergibt sich im Gegensatz zu den Erfordernissen gem. Art. 13 und 14 DSGVO nicht unmittelbar aus dem Gesetz.⁵³ Der EDSA setzt voraus, dass aus dem Einwilligungstext auf erster Ebene die Identität des Verantwortlichen, die Zwecke der Verarbeitung, Art der verarbeiteten Daten, Absicht einer ausschließlich automatisierten Entscheidung (Art. 22 Abs. 2 lit. c DSGVO), Absicht einer Datenübermittlung an Drittländer (Art. 49 Abs. 1 S. 1 lit. a DSGVO) hervorgehen müssen.⁵⁴ Spezifischere Informationen, vor allem solche nach Art. 13 und 14 DSGVO, können auf zweiter oder dritter Ebene platziert werden.⁵⁵

Weiterhin ist im Sinne der Transparenz zu empfehlen, dass Informationen innerhalb einer Webseite kongruent sind. Über Vorgänge und Rechtsgrundlagen entsprechend der DSGVO und des TTDSG ist getrennt zu informieren.⁵⁶ Die Pflicht zum Hinweis eines Widerrufsrechts ergibt sich unmittelbar aus Art. 7 Abs. 3 S. 3 DSGVO. Zudem muss beachtet werden, dass das Consent-Management-Tool den Zugriff auf Impressum und Datenschutzerklärung nicht versperrt. Häufig ist deshalb zu beobachten, dass Impressum und Datenschutzerklärung im Informationstext des Banners verlinkt werden.⁵⁷

Eine weitere wichtige Anforderung hinsichtlich der konformen Gestaltung eines Cookie-Banners stellt das Merkmal der Freiwilligkeit dar. Freiwillig bedeutet, dass betroffene Personen eine echte Wahl und Kontrolle haben müssen.⁵⁸ Der Endnutzer muss die Einwilligung verweigern oder zurückziehen können, ohne Nachteile zu erleiden.⁵⁹ Design-Varianten, welche das Ziel verfolgen die Verhaltensweise des Endnutzers zu beeinflussen, fallen unter den Sammelbegriff des „Nudging“ und „Dark Patterns“. Nudging bezeichnet einen positiven Steuerungseffekt, welcher eine leichtere Entscheidungsfindung unterstützen soll.⁶⁰ Dark Patterns bezeichnet dahingegen eine Art der Verhaltenssteuerung, welche den Endnutzer entgegen seinen eigenen Interessen verleitet eine Einwilligung anzunehmen.⁶¹

In der Praxis kann häufiger beobachtet werden, dass die farbliche Gestaltung von Schaltflächen eines Cookie-Banners den Webseitenbenutzer zur Erteilung einer Einwilligung verleiten soll. Oftmals wird die „Alles akzeptieren“-Schaltfläche von der „Ablehnen“-Schaltfläche deutlich hervorgehoben. Durch unterschiedliche Farbwahl, Fettschrift oder Hervorhebungen wird der Endnutzer unterbewusst beeinflusst, die „Alles Akzeptieren“-Schaltfläche zu betätigen.⁶²

Das Landgericht Rostock setzt in einem aktuellen Urteil einem derartigen Nudging deutliche Grenzen. Gegenstand des Urteils ist der Cookie-Banner der Internetplattform www.avocado.de. Die sich im Cookie-Banner unter dem Informationstext befindliche Schaltfläche „Cookies zulassen“ war grün hinterlegt, wobei der Button „Nur notwendige Cookies verwenden“ in einem schlichten Grau gestaltet war.⁶³ Das LG hat entschieden, dass die Erklärung einer wirksamen Einwilligung über das verwendete Cookie-Banner nicht möglich ist, da durch den grün hinterlegten Button bereits eine Vorauswahl für den Endnutzer getroffen wird.⁶⁴

Obwohl die Hervorhebung einzelner Schaltflächen nicht gänzlich unzulässig ist, wird dies von den Datenschutzbehörden durchaus kritisiert.⁶⁵ Für vollkommene Rechtssicherheit sollten Webseitenbetreiber den „Alles Akzeptieren“-Button und den „Nur Notwendige Cookies“ -bzw. „Alle Ablehnen“-Button einheitlich gestalten.

Das TTDSG soll Rechtsklarheit schaffen und damit einen wirksameren Schutz der Privatsphäre der Endnutzer gewährleisten. Dabei kann das TTDSG als mehr oder weniger harmonischer Zwischenschritt zu einer ePrivacy-Verordnung⁶⁶ gelten. In der praktischen Anwendung enthält das TTDSG aber nur wenige materiell-rechtliche Änderungen oder Neuerungen im Vergleich zu den alten Fassungen des TMG und des TKG. Der deutsche Gesetzgeber hat aber durch § 25 TTDSG mit zehnjähriger Verspätung Art. 5 Abs. 3 ePrivacy-RL in nationales Recht umgesetzt.⁶⁷ Trotzdem § 25 TTDSG bei dem Speichern und Auslesen von Endeinrichtungen nun eine klare Einwilligungspflicht fordert, fehlen genaue gesetzliche Vorgaben für eine Gestaltung der Cookie-Banner. Die themeneinschlägige Literatur, Rechtsprechung, sowie die aktuelle Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom 20.12.2021 bieten Orientierung.⁶⁸