DSGVO und Cookies | Das musst du wissen!

Wer wissen will was beim Umgang mit personenbezogenen Daten im Rahmen der DSGVO zu beachten ist, insbesondere bei der Verwendung von Cookies; welchen Informationspflichten man nachkommen muss und ob eventuell eine Zustimmung (vorherige Einwilligung oder nachträgliche Genehmigung, §§ 182 – 184 BGB) erforderlich ist, der muss sich leider mit vielen juristischen Themen (Gesetzen, Verordnungen und Richtlinien) auseinandersetzen.

Ich möchte Dir mit diesem Überblick über die aktuelle Gesetzeslage für Deutschland und der EU helfen, dir ein eigenes Verständnis für diese komplexe juristische Thematik aufzubauen, ohne dass du dich selber tagelang durch komplexe juristische Texte lesen musst.

Inhalte Anzeigen

Haftungsausschluss:
Die hier dargebrachten Informationen sind unverbindliche Hinweise und stellen insbesondere keine Rechtsberatung dar! Für die inhaltliche Richtigkeit und Vollständigkeit wird keine Gewähr übernommen. Daher wird auch jegliche Haftung ausgeschlossen! Für die verbindliche Klärung rechtlicher Fragen bitten wir dich, einen entsprechenden Fachanwalt zu konsultieren.

Welche Datenschutzgesetze es außerhalb der EU gibt, erfährst du hier.

Folgende europäische und deutsche rechtliche Regelwerke enthalten Vorschriften, die du bei Betreiben eines Blogs / einer Internetseite berücksichtigen solltest.

DSGVO – EU-Datenschutz-Grundverordnung (EU) 2016/679

Die am 25.05.2018 in Kraft getretene EU-Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, kurz DSGVO), soll die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union (EU) regeln.

Die DSGVO ist wie der Name schon sagt, eine Grundverordnung. Das bedeutet, sie legt nur die grundlegenden Regelungen zum Schutz von personenbezogenen Daten fest.

Nach der DSGVO ist ein Sammeln von personenbezogenen Daten nur in begrenzten Fällen zugelassen. Daneben werden noch bestimmte Anforderungen an die Speicherung und Verarbeitung dieser Daten gestellt.

Die Grundsätze, wie die rechtmäßige Verarbeitung der personenbezogenen Daten zu erfolgen hat, findest du in Kapitel II in den Art 5 ff. DSGVO. In der DSGVO ist ebenfalls legaldefiniert, was man juristisch unter „personenbezogenen Daten“ (Art. 4 Nr. 1 DSGVO), „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), „Einwilligung“ (Art. 4 Nr. 11 DSGVO) versteht.

Die Vorschriften der DSGVO findest du hier.

Die DSGVO ersetzt damit die Datenschutzrichtlinie 95/46/EG der EU, (Amtlicher Titel: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr), da die Richtlinie durch einen Gesetzgebungsakt zu einer Verordnung der EU umgewandelt wurde.

Die „alte“ Datenschutzrichtlinie auf der die DSGVO basiert, findest du hier.

Die DSGVO hat durch den erhaltenen Status der Verordnung nun eine unmittelbare Wirksamkeit in allen Mitgliedsstaaten der EU, somit natürlich auch in Deutschland. Seit dem 20.07.2018 gilt sie nun auch für die EWR-Staaten. Die unmittelbare Allgemeingültigkeit der DSGVO führt somit zu einer Harmonisierung des Datenschutzes auf europäischer Ebene.

Die DSGVO ist daneben auch ein sog. extraterritoriales Gesetz. Das bedeutet, dass die EU dieses Gesetz auch außerhalb der EU anwendet und durchsetzt, um die Rechte der EU-Bürger sicherzustellen. Somit müssen sich auch Unternehmen, die Ihren Sitz außerhalb der EU haben, aber die personenbezogenen Daten von Bürgern der EU verarbeiten, ebenso an diese Gesetze halten.

Nach Art 83 DSGVO steht auf eine Datenverarbeitung ohne wirksame Einwilligung eine Geldbuße von bis zu 4 % des Jahresumsatzes des Unternehmens.

Neben der unmittelbaren Wirkung für alle EU-Staaten, beinhaltet die DSGVO allerdings auch sog. Öffnungsklauseln (z.B. Art 6 Abs. 2 DSGVO), die es dem jeweiligen Mitgliedsstaat in einem bestimmten Rahmen erlauben, bestimmte Dinge selbst durch nationale Gesetze zu regeln. Einige dieser Öffnungsklauseln sind verpflichtend, andere wiederum nur optional durch die Mitgliedsstaaten umzusetzen.

Durch das Inkrafttreten dieser EU-Verordnung sind die Mitgliedsstaaten dazu aufgerufen, ihre bisherigen nationalen Gesetze anzupassen, als auch, die Regelungen im Rahmen der Öffnungsklauseln zu definieren.

Die Anpassung erfolgte in Deutschland im Jahre 2018 unter anderem durch die Überarbeitung des Bundesdatenschutzgesetzes (BDSG).

BDSG – Bundesdatenschutzgesetz

Das zeitgleich mit der DSGVO am 25.05.2018 in Kraft getretene, novellierte Bundesdatenschutzgesetz (BDSG) regelt ebenfalls wie die DSGVO, unter welchen Voraussetzungen personenbezogene Daten in Deutschland verarbeitet werden dürfen.

Die Überarbeitung des BDSG ist Teil des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). Das BDSG wurde am 26.11.2019 das letzte Mal durch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) angepasst.

Das BDSG setzt die Vorgaben der DSGVO in ein nationales Gesetz für Deutschland um.

Das bedeutet, die DSGVO gilt weiterhin in der gesamten EU, somit auch für Deutschland.

Das BDSG hat dagegen nur nationale Relevanz, gilt somit nur in Deutschland.

Im Kollisionsfall gilt daher immer das höherrangige Gesetz, die DSGVO (§ 1 Abs. 5 BDSG).

Warum gibt es den nun 2 Datenschutzgesetze, die auch noch beide in Deutschland gelten?

Die DSGVO ist als EU-Verordnung unmittelbar geltendes Recht in Deutschland. Das BDSG ist als deutsches Gesetz ebenfalls unmittelbar geltendes Recht, ja sogar ein (Bundes-)Gesetz und nicht „nur“ eine Verordnung wie die DSGVO. Ein Gesetz ist grundsätzlich höherrangiger als eine Verordnung und somit ginge das BDSG damit einer Verordnung vor. Jedoch gilt eine Verordnung der EU als „EU-Gesetz“, welches ein Akt des sekundären Unionsrecht darstellt. Dadurch ist es als „EU-Gesetz“ gegenüber dem Gesetz eines Mitgliedstaates immer höherrangiger.

Das BDSG steht damit „nur“ neben der DSGVO und erfüllt folgende Zwecke:

Ergänzungsfunktion
In der DSGVO gibt es sog. Öffnungsklauseln für die Mitgliedsstaaten der EU. Diese haben damit die Möglichkeit, bestimmte Dinge national regeln zu können. Die Bundesrepublik Deutschland hat dies z.B. durch die Neufassung des BDSG in Anspruch genommen und definiert darin eigene nationale Regelungen, aber natürlich nur in dem begrenzten Rahmen wie es die DSGVO erlaubt.

Konkretisierungsfunktion
Im BDSG werden auch bestimmte Dinge der DSGVO konkretisiert.

Beispielsweise unterscheidet die DSGVO nicht zwischen öffentlichen und nichtöffentlichen Stellen. Das BDSG hingegen unterscheidet diese Stellen und unterscheidet auch nochmal zwischen den öffentlichen Stellen des Bundes und der Länder (§ 1 Abs. 1 BDSG). Für die öffentlichen Stellen der Länder gibt es daher auch eigene Landesdatenschutzgesetze mit ihren jeweils eigenen konkretisierten Regeln.

Das Bundesdatenschutzgesetz (BDSG) findest du hier.

Da sowohl die DSGVO als auch das BDSG nur Grundlagen-Regelwerke sind, schauen wir uns als nächstes mal die spezielleren Gesetze (lex specialis) an, die Anwendungsvorrang haben. Da gibt es insbesondere das TKG (Telekommunikationsgesetz) und das TMG (Telemediengesetz).

TKG – Telekommunikationsgesetz

Das Telekommunikationsgesetz (TKG) trat am 01.08.1996 in Kraft und wurde zuletzt am 30.03.2021 geändert.

Der eigentliche Zweck des TKG ist es, den Wettbewerb und die Telekommunikationsinfrastrukturen zu fördern (§ 1 TKG). Jedoch wurde am 24.02.2007 die Telekommunikations-Kundenschutzverordnung (TKV) in das TKG integriert und damit erhielt auch der Datenschutz einen deutlich größeren Stellenwert innerhalb des TKG. In dem Abschnitt 2 -Datenschutz- des TKG wird nun der Schutz personenbezogener Daten umfangreich durch die §§ 91–107 TKG geregelt.

Gegenüber dem BDSG ist das TKG ein spezielleres Gesetz (sog. lex specialis) und hat damit Vorrang in diesem Spezialgebiet (§ 1 Abs. 2 BDSG). Der Anwendungsbereich des TKG wird in § 91 TKG legaldefiniert.

Die Anwendbarkeit des TKG zielt danach nur auf die Diensteanbieter ab, die ganz oder teilweise geschäftsmäßig Telekommunikationsdienste anbieten oder Personen, die an der Erbringung dieser Dienste mitwirken (§ 3 Nr. 6 TKG).

Relevanz für dich als Blogger/ Website-Betreiber:

Als Betreiber eines Blogs oder einer Website erbringst du nicht geschäftsmäßig einen Telekommunikationsdienst (§ 3 Nr. 24 TKG) und wirkst auch nicht an der Erbringung mit.
Somit ist dieses Gesetz für dich als normalen Blogger oder Betreiber einer Website nicht relevant.

Erst wenn du darüber hinaus noch Dienste anbietest, die einen Telekommunikationsdienst darstellen, dann musst du hier genauer hinschauen. Im Zweifel solltest du daher unbedingt einen Fachanwalt kontaktieren, um sicher zu gehen.

TMG – Telemediengesetz

Das Telemediengesetz (TMG) ist seit dem 01.03.2007 in Kraft. Es findet nach § 1 TMG Anwendung für alle elektronischen Informations- und Kommunikationsdienste, auch kurz als Telemedien bezeichnet. Das TMG betrifft sowohl die gewerbsmäßige (entgeltliche) als auch die private elektronische Information und Kommunikation.

Nach § 2 Nr. 1 TMG ist ein Diensteanbieter, jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.
Du als Betreiber einer Website fällst somit auch unter diesen persönlichen Geltungsbereich.

Relevanz für dich als Blogger/ Website-Betreiber:

Für dich als Betreiber einer Website ist das TMG somit ein zentrales Gesetz im Rahmen des Internetrechts.

Ebenfalls im TMG enthalten sind z.B. die Pflicht zur Verwendung eines Impressums nach § 5 TMG und die Bekämpfung von Spam nach § 6 Abs. 2 in Verbindung mit § 16 TMG.

Gegenüber dem BDSG ist das TMG hinsichtlich der Anwendung auf Telemedien ein spezielleres Bundesgesetz (sog. lex specialis), findet somit vorrangige Anwendung.

§ 13 TMG

In § 13 TMG sind die grundlegenden Pflichten eines jeden Dienstanbieters niedergelegt.

Die Datenschutzbestimmungen des Telemediengesetzes (TMG, §§ 11 bis 15a.) werden aber grundsätzlich seit dem 25.05.2018 durch die Bestimmungen der DSGVO verdrängt, soweit nicht Öffnungsklauseln der DSGVO den Mitgliedstaaten die Möglichkeit geben, eigene Regelungen zu treffen, und der Mitgliedsstaat dies umgesetzt hat.

Ob § 13 TMG jedoch eine solche eigene Regelung darstellt ist fraglich.

Es gibt mittlerweile 2 deutsche Gerichtsurteile dazu:

Das OLG Hamburg (Az.: 15 U 90/19) sieht den § 13 Abs. 1 TMG als vollständig verdrängt gegenüber der Regelung der DSGVO an. Zudem weist das Gericht auch darauf hin, dass dem § 13 Abs. 2 und Abs. 3 TMG ebenfalls kein Anwendungsbereich mehr gegeben sei.

Das OLG Stuttgart (AZ.: 2 U 257/19) sieht den § 13 Abs. 1 TMG ebenfalls als durch die DSGVO verdrängt an.

Da aber diese Ansichten nicht unumstritten sind, bleibt es abzuwarten, wie dies zukünftig bewertet wird.

§ 15 TMG

Die wirksame Einwilligung in die Speicherung von Cookies auf dem Endgerät ist im TMG in § 15 Abs. 3 Satz 1 TMG geregelt. Dies wäre dann die Rechtsgrundlage, welche die ePrivacy-Richtlinie national in Deutschland umsetzen sollte. Gemäß Art. 95 DSGVO hat die ePrivacy-Richtlinie auch Anwendungsvorrang vor den Regeln der DSGVO. Somit wäre die Regelung des TMG als nationales Gesetz auch das für Deutschland vorrangige Gesetz.

Problematisch ist aber, dass Deutschland nach § 15 Abs. 3 Satz 1 TMG folgendes geregelt hat:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Nach dieser Regelung wurde die erforderliche Einwilligung nach der Cookie-Richtlinie als Opt-Out Lösung ausgestaltet.

Dadurch ist Deutschland einen Sonderweg gegangen, denn alle anderen EU-Staaten haben das Erfordernis der Einwilligung als Opt-In Lösung in ihre nationalen Gesetze eingebracht und sorgen somit für einen höheren Schutz durch eine aktive Einwilligung statt durch eine reine Widerspruchslösung. Dieser deutsche Sonderweg wird daher von vielen Datenschutzbehörden als europarechtswidrig angesehen wird.

Der BGH ist wiederum der Meinung, dass der § 15 Abs. 3 TMG noch richtlinienkonform ausgelegt werden kann und sieht folglich auch keine Notwendigkeit das TMG anzupassen. Somit wird das TMG wohl vorerst weiter in der bisherigen Fassung bestehen bleiben.

„Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.“

BGH / Quelle: https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html

Fazit:

Es bleibt somit weiterhin auf den Erlass des neuen TTDSG zu warten, der die Regeln des TKG und TMG rechtskonform mit den bestehende EU-Richtlinien und Verordnungen neu regeln soll.

TTDSG – Telekommunikation-Telemedien-Datenschutz-Gesetz – Das neue zentrale deutsche Datenschutzgesetz für Telemedien und Telekommunikation

Das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“, kurz „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG), ist noch in der Entstehungsphase.

Der Gesetzesentwurf der Bundesregierung wurde am 10.02.2021 beschlossen, wurde aber bisher noch nicht erlassen. Das bedeutet, dieses Gesetz ist noch nicht in Kraft getreten. Es ist aber wichtig dieses weitreichende und bestimmt kommende Gesetz im Auge zu behalten. Den Gesetzentwurf der Bundesregierung und den aktuellen Stand des Verfahrens zum TTDSG findest du auf den Seiten des Bundesministeriums für Wirtschaft und Energie (BMWI).

Achtung:
Die Referentenentwürfe des Bundesministeriums für Wirtschaft und Energie vom 14.07.2020 und vom 12.01.2021 weichen stark voneinander ab! Insbesondere die Paragraphenstruktur, aber auch die Inhalte unterscheiden sich deutlich. Es kann daher sein, dass du in anderen Internet-Artikeln Informationen zum TTDSG insbesondere über den § 9 TTDSG findest. Dies liegt jedoch daran, dass sich diese Informationen auf die alte Fassung des Referentenentwurfs stützen. Ich nutze hier den Gesetzesentwurf der Bundesregierung vom 10.2.2021 als die aktuellste Version des Gesetzgebungsvorhabens. Also, lass dich nicht verwirren, wenn du andere Artikel dazu liest die auf § 9 TTDSG verweisen!

Der Grund, warum man eine Notwendigkeit sieht, ein weiteres Gesetz zum Datenschutz zu erlassen, liegt darin, dass aktuell in drei Gesetzen (DSGVO, TKG und TMG) Regelungen zum Datenschutz und der Privatsphäre niedergelegt sind. Dies führt zu viel Unsicherheit bei Internetseitenbetreibern, Internetnutzern, aber auch bei Aufsichtsbehörden, die die Einhaltung dieser Regelungen überprüfen und sanktionieren müssen.

Durch das neue TTDSG sollen daher die bisherigen Regelungen im TKG, TMG und der DSGVO in einem neuen überarbeiteten Gesetz zusammenfasst und damit die bisherigen teils widersprüchlichen Regelungen aufheben werden. Das neue TTDSG soll somit die bestehenden Rechtsunsicherheiten beseitigen. Daneben soll das TTDSG auch die Regelungen der ePrivacy-Richtlinie übernehmen. Der Vorteil, alle bestehenden Regelungen in ein neues Gesetz zu überführen, liegt darin, dass bei zukünftigen Änderungen nur noch ein Gesetz angepasst werden muss und nicht mehr mehrere, die dann eventuell zueinander wieder widersprüchlich sind.

„Die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, sollen an die DSGVO und die Richtlinie 2002/58/EG angepasst und in einem neuen Gesetz (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG) zusammengeführt werden. Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen sowie Regelungen zu Endeinrichtungen und zur Datenschutzaufsicht getroffen werden.“
Gesetzesentwurf der Bundesregierung / Quelle: https://www.bmwi.de/Redaktion/DE/Artikel/Service/Gesetzesvorhaben/gesetz-zur-regelung-des-datenschutzes-und-des-schutzes-privatsphaere.html

Der Gesetzesentwurf der Bundesregierung sieht 4 Teile vor:

Teil: Allgemeine Vorschriften
Teil: Datenschutz und Schutz der Privatsphäre in der Telekommunikation
Teil: Telemediendatenschutz, Endeinrichtungen
Teil: Straf- und Bußgeldvorschriften und Aufsicht

Somit ist erkennbar, dass der Regelgehalt des TKG nun im 2. Teil und der Regelgehalt des TMG im 3. Teil des TTDSG wiederzufinden ist.

Das TTDSG wäre für dich als Blogger oder Websitebetreiber auch anwendbar, da § 2 Abs. 2 Nr. 1 TTDSG den Anbieter von Telemedien als „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“ definiert. Als Blogger oder Betreiber einer Website bist du ein solcher Anbieter eins Telemediums.

Eine wichtige Regelung hinsichtlich der Verwendung von Cookies wäre dann insbesondere der § 24 TTDSG, der sich im Teil 3 – Telemediendatenschutz, Endeinrichtung befindet. Danach setzt die Verwendung von Cookies folgendes voraus:

eine klare und umfassende Informationspflicht und
das Einholen einer Einwilligung

Die Anforderungen an die Informationspflicht und die Einwilligung richten sich jedoch weiterhin nach der DSGVO, dies definiert § 24 Abs. 1 Satz 2 TTDSG.

Durch diese Regelung soll der Schutz der Privatsphäre der Internetnutzer durch das Speichern und Auslesen von Informationen (insbesondere in Cookies) auf seinem Endgerät (Computer, Tablet, Smartphone, etc.) sichergestellt werden. Die Regelung entspricht der Rechtsprechung des EuGHs (Europäischer Gerichtshof). Zudem orientiert sie sich stark am Wortlaut der ePrivacy-Richtlinie.

Wann das Gesetz erlassen wird, ist schwer vorherzusagen, du solltest aber die Entwicklungen zum TTDSG weiter beobachten und dir bei Erlass des Gesetzes die dort erlassenen Regelungen genau anschauen und berücksichtigen. Wir werden dir dann hier im Blog natürlich auch umfassende Informationen dazu liefern.

Update:
Das TTDSG ist seit Dezember 2021 in Kraft!
Das TTDSG beinhaltet nun die datenschutzrelevanten Regelungen des Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) und berücksichtigt ebenfalls das BGH-Urteil vom Mai 2020.

Gleichzeitig wurde durch das TTDSG auch die e-Privacy-Richtlinie – Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) – in nationales Recht umgesetzt.

Cookie-Policy-Richtlinie

Die Richtlinie 2009/136/EG wurde am 25.11.2009 erlassen und sollte bis 2011 von allen EU-Mitgliedsstaaten umgesetzt werden, was allerdings in Deutschland nicht geschah.

Der Grund liegt darin, dass nach dem BGH (Urteil vom Mai 2020) die Regelungen der Cookie-Richtlinie bereits im Telemediengesetz (TMG) enthalten sind. Jedoch wurde bisher das TMG so ausgelegt, dass es auch eine Opt-Out-Lösung als rechtmäßig ansah. Der BGH legte aber in seinem Urteil den im TMG enthaltenen Wortlaut so aus, dass auch nach dem TMG ein Opt-In-Verfahren notwendig sei.

In der Richtlinie wird zwischen 2 Arten von Cookies unterschieden:

Technisch notwendige Cookies
Technisch nicht notwendige Cookies

Nach der Richtlinie dürfen die technisch notwendigen Cookies auch ohne vorherige Zustimmung (Einwilligung) des Seitenbesuchers genutzt werden. Für die Verwendung von technisch nicht notwendigen Cookies wird allerdings die Einholung einer Einwilligung vorgeschrieben.

Mit dem Urteil des EuGH wurde allerdings auch eine bis daher herrschende Meinung ins Wanken gebracht. Denn im Urteil des EuGH wird ersichtlich, dass der EuGH auch eine Opt-In-Pflicht für die nicht personenbezogenen Daten enthaltenden Cookies sieht. Damit hat sich eine neue Diskussion eröffnet, ob nun auch bei der Verwendung von technisch notwendigen Cookies eine Einwilligung eingeholt werden muss.

ePrivacy-Richtlinie – Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG)

Seit dem 31.07.2002 ist die „Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Kurztitel: Datenschutzrichtlinie für elektronische Kommunikation)“ aktiv.

Die DSGVO legt die grundlegenden Regeln bei der Verarbeitung von personenbezogenen Daten fest.

Die ePrivacy-Richtlinie möchte den Schutz der DSGVO ergänzen und erweitern.

Die ePrivacy-Richtlinie setzt daher schon etwas vorher an, bei dem Erzeugen der personenbezogenen Daten. Zudem konkretisiert sie wie der Schutz speziell für die elektronische Kommunikation aussehen muss, um die Privatsphäre von Personen zu schützen.

Die ePrivacy-Richtlinie ist eine spezialgesetzliche Regelung gegenüber der DSGVO, sie ergänzt und konkretisiert somit die DSGVO und soll so für einen umfänglichen Schutz sorgen.

Die ePrivacy-Richtlinie wurde seit Inkrafttreten bereits mehrfach ergänzt. Die letzte große Ergänzung erfolgte im Jahr 2009, zeitgleich als die Cookie-Policy-Richtlinie in Kraft trat. Im Rahmen dieser Anpassung wurde auch die bis dahin geltende Vorschrift zum Umgang mit Cookies („Informationen, die im Endgerät eines Teilnehmers gespeichert werden“) angepasst. Seitdem wird die Verwendung von Cookies unter den Vorbehalt des Vorliegens einer Einwilligung gesetzt. Die bis dahin genügende Widerspruchsmöglichkeit bei Verwendung von Cookies wurde somit fallengelassen.

Die ePrivacy-Richtlinie findest du hier.

Die ePrivacy-Richtlinie ist allerdings nur eine Richtlinie und keine Verordnung, damit auch kein unmittelbar wirkendes Gesetz der EU. Um eine unmittelbare Wirkung zu entfalten, müsste sie in eine Verordnung überführt werden.

Exkurs: Unterschied Richtlinie und Verordnung

Eine Richtlinie gilt nicht automatisch als unmittelbares Recht in jedem Mitgliedsstaat der EU. Das bedeutet, du kannst nicht unmittelbar ein Recht oder eine Pflicht für dich daraus beanspruchen. Eine Richtlinie richtet sich an die Mitgliedsstaaten, und diese müssen die Richtlinie innerhalb einer Frist in nationales Recht umwandeln. Der nationale Gesetzgeber des Mitgliedsstaates darf bei der Umsetzung allerdings keine entgegenstehenden Änderungen mehr vornehmen.

Als unmittelbares Recht gilt die Richtlinie jedoch, wenn der jeweilige Mitgliedsstaat die Richtlinie nicht innerhalb der Frist oder nur unzureichend in nationales Recht überführt.

Aber auch bereits vor der Umsetzung der Richtlinie in nationales Recht, hat die Richtlinie in dem Sinne schon eine Wirksamkeit, dass die nationalen Gerichte bei der Auslegung der nationalen Gesetze die Richtlinie berücksichtigen müssen.

Erst der Erlass einer Verordnung stellt ein Gesetzgebungsakt dar, d.h. die Verordnung ist unmittelbares Recht mit allgemeingültiger Wirksamkeit.

Genau dies hat die EU vor, sie möchte diese Richtlinie aktualisieren und erweitern und dann, ebenso wie sie es mit der Datenschutzrichtlinie getan hat, in unmittelbar geltendes Recht umwandeln. Der Grund liegt darin, dass sich die elektronische Kommunikation seit der letzten großen Änderung im Jahr 2009 stark geändert hat und dies auch weiterhin tun wird. Durch den Erlass eine Verordnung könnten in der EU einheitliche Regelungen im Zusammenspiel mit der DSGVO erzielt werden. Dazu muss die EU die Richtlinie aber noch in eine europäische Verordnung umheben. Am 10.01.2017 hat die Europäische Kommission daher Entwurf für die ePrivacy-Verordnung vorgeschlagen.

Der Europäische Rat ist jedoch noch immer in der Diskussion über den Entwurf und hat sich noch nicht zu einer finalen Fassung der Verordnung einigen können. Somit liegt zurzeit immer noch nur die Richtlinie vor und noch keine erlassene Verordnung.

Da zurzeit „nur“ die Richtlinie besteht, besteht auch weiterhin „nur“ die Pflicht der Mitgliedsstaaten, die Bestimmungen der Richtlinie (ePrivacy-Richtlinie und Cookie-Richtlinie) in nationales Gesetz zu transformieren.

Dies wurde in Deutschland vor allem durch Neufassungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) umgesetzt.

Soweit die Regelungen im TKG und TMG die Bestimmungen der ePrivacy-Richtlinie umsetzen stellen sie eine spezialgesetzliche Regelung dar und sind damit vom Anwendungsvorrang der DSGVO ausgenommen (Art. 95 DSGVO).

Welches Gesetz ist denn nun hinsichtlich der Nutzung von Cookies zu beachten?

Grundsätzlich kann man für die Betrachtung der für einen Internetseitenbetreiber/Blogger relevanten Dinge, zwei Linien bei der Umsetzung der EU-Richtlinien/Verordnungen in Deutschland unterscheiden:

Allgemeine Regelungswerke zu den Datenschutz-Grundlagen (DSGVO, BDSG)
Spezialgesetzliche Datenschutz-Regelungen, hier insbesondere zur Verwendung von Cookies

Übersicht über die Allgemeinen Datenschutz- und Cookie-Spezialregeln in Deutschland und der EU — Übersicht über die Allgemeinen Datenschutz- und Cookie-Spezialregelungen in Deutschland und der EU.

In Deutschland wurde die Datenschutzrichtlinie und später die DSGVO durch die Modernisierung des BDSG in nationales Recht umgewandelt.

Die ePrivacy-Richtlinie wurde durch die Modernisierung des TKG und TMG in nationales Recht umgesetzt.

Da die Cookie-Richtlinie durch das TKG und TMG ebenfalls in nationales Recht umgewandelt wurde, sind hinsichtlich unserer Betrachtung „Nutzung von Cookies“ die Regelungen im TKG und TMG Spezialgesetze (lex specialis) und müssen somit vorrangig beachtet werden.

Grundsätzlich finden daher die Datenschutzregeln des TKG und des TMG bei der Nutzung von Cookies Anwendung.

EuGH- / BGH-Urteile – Bisherige Rechtsprechung

Insbesondere das Verfahren im Fall „Planet49“ sorgte für mehr Klarheit im Umgang mit der Auslegung der EU-Gesetze und Richtlinien und dem widersprüchlichen Wortlaut des TMG.

Der BGH hat das Verfahren im Fall „Planet49“ mit Beschluss vom 5. Oktober 2017 ausgesetzt und dem EuGH verschiedene Fragen zur Auslegung der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), der Richtlinie 95/46/EG (Datenschutzrichtlinie) sowie der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) hinsichtlich der Wirksamkeit einer Einwilligung in das Setzen von Cookies durch ein voreingestelltes Ankreuz-Kästchen vorgelegt. Diese Fragen hat der EuGH mit Urteil vom 01.10.2019 (Aktenzeichen: C-673/17 / ECLI:EU:C:2019:801) beantwortet.

Diesem Urteil des EuGHs folgte dann der Bundesgerichtshof (BGH) in seinem Urteil vom Mai 2020 (I ZR 7/16 – Cookie-Einwilligung II).

Seitdem ist nun klar, dass

das Einholen der Einwilligung zur Setzung von Werbecookies durch voreingestellte Häkchen nicht wirksam ist. Vielmehr muss der Internetnutzer die Einwilligung für diese Art von Cookies aktiv herbeiführen, und dies ist eben nicht durch voreingestellte Häkchen gegeben, da der Internetnutzer zur Verweigerung seiner Einwilligung diese aktiv abwählen muss. Nur der umgekehrte Fall wäre rechtens, der Internetnutzer muss die Häkchen aktiv setzten und dann einwilligen, damit sie als wirksam eingeholt gelten.
der Dienstanbieter zudem verpflichtet ist, Angaben zur Funktionsdauer der Cookies und der Zugriffsmöglichkeit durch Dritte zu machen.
es zudem es egal ist, ob es sich bei den gespeicherten und verarbeiteten Daten um personenbezogene Daten handelt oder nicht, da dies der Wortlaut der Cookie-Richtlinie auch nicht unterscheidet.

Um dennoch die Einwilligung zur Nutzung solcher Cookies zu erlangen, haben manche Internetseitenbetreiber versucht, die Einwilligung zu diesen Werbe-Cookies durch den Aufbau, die Beschriftung und die Gestaltung der Einwilligungserklärung diese Einwilligung herbeizuführen, obwohl der Internetnutzer diese eigentlich nicht geben wollte. Solch erlangte Einwilligungen durch „dark patterns“/„Cookie consent tricking“ werden aber ebenfalls nicht wirksam sein.

Haftungsausschluss:
Die hier dargebrachten Informationen sind unverbindliche Hinweise und stellen insbesondere keine Rechtsberatung dar! Für die inhaltliche Richtigkeit und Vollständigkeit wird keine Gewähr übernommen. Daher wird auch jegliche Haftung ausgeschlossen! Für die verbindliche Klärung rechtlicher Fragen bitten wir dich, einen entsprechenden Fachanwalt zu konsultieren.

Hinweis zur Werbung: 
Links die mit einem * gekennzeichnet sind, sind Partnerprogramm/Affiliate-Links. Kaufst du über diesen Link ein, erhalte ich eine kleine Provision. Der Preis für dich ändert sich nicht! Wenn dir mein Beitrag gefallen und hoffentlich sogar geholfen hat, würde ich mich freuen, wenn du mich auf diesem Wege unterstützt. Vielen Dank!

Datenschutzregelungen für Cookies in 2021 | DSGVO, BDSG, TKG, TMG, TTDSG, Cookie-Policy, ePrivacy + Rechtsprechung!