Cookies, TTDSG und ePrivacy-Verordnung: Was erwartet uns 2022 beim Datenschutz im Online-Bereich?

Autoren: Thanos Rammos und Max Harttrumpf

Während das Jahr zu Ende allmählich geht, zeichnet sich für 2022 ein deutlicher Trend im Datenschutz ab: Es dürfte das Jahr von ePrivacy werden. Der Online-Bereich ist bisher nicht einheitlich geregelt. Die Datenschutz-Grundverordnung hat insoweit eine Lücke gelassen. Diese sollte die sog. ePrivacy-Verordnung schließen. Sie ist sehr lange diskutiert worden. Nun steht ein Entwurf, der aber final verhandelt werden muss. Daneben hat es viele Urteile und Entwicklungen zu Cookies & Co. gegeben. Es besteht immer noch große Unsicherheit. Ein neues Gesetz in Deutschland macht es nicht einfacher. 

Die aktuelle Situation

Aufsichtsbehörden prüfen inzwischen Cookie Banner regelmäßig. Auch Verbraucherschützer sind nicht untätig und mahnen scheinbar reihenweise Unternehmen wegen Cookie Bannern ab. Ob sie überhaupt dazu legitimiert wird, muss der Europäische Gerichtshof („EuGH“, C-319/20) 2022 entscheiden. Der Bundesgerichtshof („BGH“, App-Zentrum“ - I ZR 186/17) hat ihm diese Frage vorgelegt. Der EuGH muss also prüfen, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen oder die Datenschutz-Grundverordnung abschließend die Aufsicht durch die Datenschutzbehörden regelt. Am 2. Dezember 2021 hat der Generalanwalt des EuGH dazu Stellung genommen. Er kommt zum Ergebnis, dass Verbraucherschützer aktiv werden können. Wenn der EuGH ihm folgt, dürfte es eine noch größere Abmahnwelle in Bezug auf sog. Tracking-Tools geben. Am 1. Dezember 2021 ist zudem das neue Telekommunikations-Telemedien-Datenschutzgesetz („TTDSG“) in Kraft getreten. Es soll unter anderem Webseiten-Betreiber zur Einhaltung neuer Vorschriften verpflichten und Besucher:innen mehr Kontrolle über die von ihnen erhobenen personenbezogenen Daten geben. In jedem Fall birgt es neue Bußgeldrisiken. Wird es das Ende der Cookie-Banner bedeuten?

Ausblick auf 2022

Wird 2022 auch die ePrivacy-Verordnung verabschiedet, sodass zukünftig EU-weit eine klarere Linie bestehen könnte? Seit Veröffentlichung des ersten Entwurfs der ePrivacy-Verordnung im Januar 2017 ist inzwischen viel Zeit vergangen. Ursprünglich war ein gemeinsames Inkrafttreten mit der DSGVO geplant. Während Letztere seit Mai 2018 gilt, waren die Verhandlungen über die ePrivacy-Verordnung bisher zäh. Zuletzt gab es Fortschritte: Der EU-Ministerrat hatte sich am 10. Februar 2021 auf eine Version verständigt. Damit begann der sog. Trilog, die informelle Verhandlung zwischen Vertretern der drei am EU-Gesetzgebungsprozess beteiligten Organe: EU-Kommission, Parlament und Ministerrat.  

Kernpunkte der ePrivacy-Verodnung

Der Entwurf der ePrivacy-Verordnung soll Datenschutz im Online-Kontext neu regeln. Die wesentlichen Punkte: 
Anwendungsbereich und Verhältnis zur DSGVO
In sachlicher Hinsicht soll die ePrivacy-Verordnung die Verarbeitung elektronischer Kommunikationsdaten, die bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste anfallen, regeln. Elektronische Kommunikationsdienste umfassen Internetzugangsdienste, interpersonelle Kommunikationsdienste sowie Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Auch M2M, VoIP und das IoT unterfallen somit grundsätzlich der ePrivacy-Verordnung.
Daneben enthält die ePrivacy-Verordnung auch Vorschriften betreffend 

• Informationen zu und auf Endgeräten von Nutzern (insbes. Cookies), 
• die Bereitstellung öffentlich zugänglicher Verzeichnisse der Nutzer elektronischer Kommunikationsdienste sowie
• das Übermitteln von Direktwerbung an Endnutzer mittels elektronischer Kommunikation.

Die ePrivacy-Verordnung hat als Spezialgesetz gegenüber der DSGVO Vorrang. Deren Bestimmungen ergänzen und präzisieren die DSGVO durch spezifischere Vorschriften.

Rechtsgrundlagen für Datenverarbeitungen

Der ePrivacy-Verordnung liegt das Prinzip der Vertraulichkeit elektronischer Kommunikationsdaten zugrunde: Jede Einflussnahme (das Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens und Verarbeitens) auf Kommunikationsdaten durch eine andere Person als den Endnutzer ist verboten, sofern keine der in der ePrivacy-Verordnung vorgesehenen Ausnahmen greift (sog. Verbot mit Erlaubnisvorbehalt).
Als zentraler Erlaubnistatbestand dürfte sich die Einwilligung erweisen. Dafür wird im Wesentlichen auf die Regelungen der DSGVO verwiesen. Darüber hinaus sind allgemeine Erlaubnistatbestände für die Verarbeitung elektronischer Kommunikationsdaten enthalten (Art. 6): 

• Eine solche ist etwa dann zulässig, wenn sie zur Bereitstellung des Kommunikationsdienstes, zur Aufrechterhaltung oder Wiederherstellung der Sicherheit elektronischer Kommunikationsnetze, zur Erkennung und Verhinderung von Sicherheitsrisiken oder Angriffen auf die Endgeräte der Nutzer oder zur Einhaltung rechtlicher Verpflichtungen im Kontext von Straftaten oder Gefahren für die öffentliche Sicherheit erforderlich ist.
• Es wird zudem zwischen elektronischen Kommunikationsinhaltsdaten und Kommunikationsmetadaten unterschieden. Kommunikationsinhaltsdaten sind Daten, die mithilfe elektronischer Kommunikationsdienste ausgetauscht werden (z.B. Texte, Sprache, Videos, Bilder, Ton). Dagegen sind Kommunikationsmetadaten solche, die für die Zwecke der Übertragung, der Verteilung oder des Austauschs elektronischer Kommunikationsinhalte verarbeitet werden.  Auch Daten zur Verfolgung und Identifizierung der Quelle und des Ziels der Kommunikation (z.B. Standortdaten des Geräts, Datum, Uhrzeit, Dauer und Art der Kommunikation) fallen hierunter. 
• In Bezug auf Kommunikationsinhaltsdaten dürfte regelmäßig eine Einwilligung vonnöten sein. Im Hinblick auf Kommunikationsmetadaten könnte hingegen eine Reihe weiterer Erlaubnistatbestände greifen, etwa für Zwecke des Netzwerkmanagements und der Netzwerkoptimierung, der Durchführung eines Vertrages oder des Schutzes lebenswichtiger Interessen.
  Bemerkenswert ist, dass der derzeitige Entwurf keine mit der DSGVO vergleichbare Regelung zur Datenverarbeitung auf Grundlage einer Interessenabwägung enthält.

Zweckfremde Weiterverarbeitung und Vorratsdatenspeicherung

Zwei Regelungen, die in den Trilog-Verhandlungen für Diskussionsstoff sorgen dürften: 

• Eine Verarbeitung von Kommunikationsmetadaten für andere, mit dem ursprünglichen Zweck kompatible Zwecke ist ohne Einwilligung der Endnutzer möglich, sofern bestimmte Sicherheitsmaßnahmen (z.B. Verschlüsselung oder Pseudonymisierung) getroffen werden. Die Kritik des Europäischen Datenschutzausschusses (EDSA) ließ nicht lange auf sich warten: Der EDSA vertrat in seiner Erklärung 03/2021 vom 9. März 2021 die Auffassung, dass die Weiterverarbeitungsmöglichkeit zu kompatiblen Zwecken das Schutzniveau der Verordnung untergraben könne.
• Für Kommunikationsmetadaten im Kontext von EU- oder mitgliedsstaatlichem Recht zur Verhütung, Ermittlung, Erkennung oder Verfolgung von Straftaten sowie zum Schutz vor und zur Verhütung von Gefahren für die öffentliche Sicherheit besteht eine Ausnahme von dem Grundsatz, dass diese zu löschen oder zu anonymisieren sind, wenn sie nicht mehr benötigt werden. Dies eröffnet faktisch die Möglichkeit einer Vorratsdatenspeicherung. Der EDSA merkte nachdrücklich an, dass eine solche Regelung gegen jüngste Rechtsprechung des EuGH verstoße.

Vor Veröffentlichung des Ratsentwurfs hatte sich bereits der BfDI gegenüber dem BMWi für die Streichung beider Regelungen ausgesprochen. Die Vorschriften wurden jedoch wieder in den Verordnungstext eingefügt und vom Rat angenommen.

Cookie-Walls, Einwilligung durch Browsereinstellungen, Reichweitenmessung

Die Regelungen zu Cookies sind bisher einer der großen Reibungspunkte gewesen. Es wurde lange diskutiert, wie – neben der Einwilligung – eine taugliche Rechtsgrundlage aussehen könne. Aus den Erwägungsgründen ergibt sich, dass auch sog. Cookie-Walls zulässig sind, sofern der Nutzer eine echte Wahlmöglichkeit hat, also auf Grundlage klarer, präziser und benutzerfreundlicher Informationen über die Zwecke von Cookies oder ähnlichen Technologien zwischen verschiedenen Diensten wählen kann. Als alternative Dienste kommen beispielsweise eine kostenpflichtige, cookiefreie Version desselben Anbieters oder ein vergleichbarer, cookiefreier Dienst eines anderen Anbieters in Betracht.
Cookie-Einwilligungen können auch mithilfe von Browsereinstellungen (z.B. mittels einer konfigurierbaren Positivliste für einen oder mehrere Anbieter) erteilt werden. Eine direkt erklärte Einwilligung des Endnutzers geht nach dem aktuellen Entwurf einer Einwilligung mittels Browsereinstellungen jedoch stets vor.

Darüber hinaus können sog. First-Party-Cookies, die zur Reichweitenmessung erforderlich sind, vom Anbieter (bzw. von dessen Auftragsverarbeiter oder einem gemeinsamen Verantwortlichen) eingesetzt werden, ohne dass es einer Einwilligung der Endnutzer bedarf.

Unerwünschtes Direktmarketing

Die Verwendung elektronischer Kommunikationsdienste zum Zwecke des Direktmarketings ist grundsätzlich verboten, sofern die Endnutzer nicht zuvor eingewilligt haben. Eine Ausnahme greift jedoch dann, wenn der Anbieter aufgrund einer bestehenden Kundenbeziehung und in DSGVO-konformer Weise über Kontaktdaten des Endnutzers verfügt. In diesem Fall darf der Nutzer in Bezug auf ähnliche Produkte oder Dienste kontaktiert werden, wenn ihm zuvor klar und deutlich die Möglichkeit gegeben worden ist, einer solcher Verwendung kostenlos und auf einfache Weise zu widersprechen. Die Regelungen entsprechen also im Wesentlichen dem Gedanken und den aktuellen Vorgaben der deutschen Rechtsprechung zur Opt-Out-Regelung im Wettbewerbsrecht (§ 7 Abs. 3 UWG).

Kein One-Stop-Shop

Im Einklang mit den Regelungen zur Aufsicht in der DSGVO sollen die Mitgliedsstaaten vorsehen, dass unabhängige öffentliche Behörden (welche die Voraussetzungen der Art. 51-54 DSG-VO erfüllen) für die Überwachung der Anwendung der ePrivacy-Verordnung zuständig sind. 
Allerdings kann die Überwachung der Vorschriften zu den Kontrollrechten der Endnutzer sowohl auf die vorgenannten Aufsichtsbehörden als auch auf andere Aufsichtsbehörden mit entsprechender Fachkenntnis übertragen werden. Dies widerspricht der Empfehlung des EDSA, wo-nach allein Datenschutzaufsichtsbehörden für Durchsetzung der ePrivacy-Verordnung zuständig sein sollten.
Entgegen der Regelungen zur Aufsicht in der DSGVO enthält der Entwurf der ePrivacy-Verordnung keinen mit dem One-Stop-Shop-Prinzip vergleichbaren Mechanismus. Unternehmen könnten also mit Maßnahmen durch Aufsichtsbehörden verschiedener Mitgliedsstaaten konfrontiert werden.

ePrivacy-Verordnung und TTDSG

In Deutschland gilt seit dem 1. Dezember 2021 das TTDSG gelten. Es enthält u.a. Vorschriften, die der harmonisierenden Umsetzung der ePrivacy-Richtlinie aus dem Jahr 2002 dienen (Details hier). Damit holt der deutsche Gesetzgeber nach, was viele bereits gefordert hatten. Sobald die unmittelbar geltende ePrivacy-Verordnung kommt, werden auch die Vorschriften des TTDSG obsolet, weil es die alte ePrivacy-Richtlinie umgesetzt hat. In Bezug auf Cookies würde beispielsweise die Regelung zum „Schutz der Privatsphäre bei Endeinrichtungen“ (§ 25 TTDSG) durch die o.g. Vorschriften der ePrivacy-Verordnung (Art. 8) verdrängt werden.

Was kommt als Nächstes in Sachen ePrivacy?

Der aktuelle Entwurf der ePrivacy-Verordnung wird in den Trilog-Verhandlungen voraussichtlich für eine Menge Diskussionsstoff sorgen. Insbesondere beschränkt sich die bereits angesprochene Kritik des EDSA nicht auf die Möglichkeiten zur Weiterverarbeitung zu kompatiblen Zwecken und zur Vorratsdatenspeicherung. Vielmehr moniert der EDSA auch, dass Cookie-Walls nicht mit den im Einwilligungskontext anzuwendenden Vorschriften der DSGVO vereinbar seien. Die Ausnahme für Cookies zur Reichweitenmessung sei zu weit gefasst. Eine Fragmentierung der Durchsetzung und Anwendung der Verordnung sei aufgrund fehlender Vorschriften bzgl. des Verfahrens für die Zusammenarbeit und Kohärenz zu befürchten.

Angesichts der diversen potenziellen Streitpunkte sind eher zähe Trilog-Verhandlungen zu erwarten. Mit einem Inkrafttreten der ePrivacy-Verordnung vor 2023 kann also nicht ohne Weiteres gerechnet werden. Das würde also eine Geltung ab 2025 bedeuten, da auf Grundlage des aktuellen Entwurfs eine Übergangsfrist von 24 Monaten gilt. 

Für deutsche Unternehmen bedeutet dies, dass die richtlinienumsetzenden Vorschriften des TTDSG daher vorerst relevant sind. Dennoch sollten Unternehmen in Sachen ePrivacy-Verordnung auf dem Laufenden bleiben. Nach Inkrafttreten der Verordnung müssen zeitnah Umsetzungsmaßnahmen ergriffen werden, weil es häufig um die Software- bzw. Produktentwicklung gehen wird. Das Risiko im Falle einer unzulänglichen Umsetzung ist immens. Wie bei der DSGVO drohen Geldbußen von bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.