Bisher finden sich keine klaren Regelungen im Telemediengesetz oder im BDSG, die die Bestimmungen des Art 5 Abs. 3 der EU – „Richtlinie zum Datenschutz im Bereich der elektronischen Kommunikation“ normieren. Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 wurde trotz Ablauf der Umsetzungsfrist am 25.11.2011 bisher nicht in innerdeutsches Recht umgesetzt.
2011 beschloss der Bundesrat zuletzt die Novellierung des TMG. Der Gesetzesentwurf sah eine am Wortlaut des Art 5 Abs. 3 der RL 2002/58/EG orientierte, fast identische Regelung vor und normierte in § 13 Abs. 8 TMG-E, dass das Setzen von Cookies nur mit Einwilligung des Nutzers erlaubt ist. Die Bundesregierung hielt zwar den Schutz des Nutzers im Internet für nicht ausreichend, es sei mehr Transparenz bei der Erhebung von Daten notwendig, vor Änderungen des nationalen Rechts erwarte man jedoch Handlungsvorgaben auf Unionsebene. 2012 scheiterte eine weitere umfassende Gesetzesinitiative der SPD-Fraktion im Bundestag.
Dies führt bisweilen zu Rechtsunsicherheiten der Anbieter von Telemediendiensten.
Was regelt das Telemediengesetz?
Ziel des Telemediengesetzes sei, neben einem bereichsspezifischen Datenschutz auch durch wirtschaftlich orientierte Regelungen den Interessen eines freien Wettbewerb gerecht zu werden. Der Telemediendatenschutz sei wegweisend für ein modernes Datenschutzrecht, so die Gesetzesbegründung. Die Herausforderung liegt darin, einen Ausgleich zwischen den berechtigten wirtschaftlichen Interessen und den Nutzerbedürfnissen zu finden und eine funktionierende Handlungsgrundlage für öffentliche Ordnungsinteressen zu schaffen.
Nach der EU-Datenschutzrichtlinie Richtlinie 95/46/EG hatte der deutsche Gesetzgeber dabei die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten und insbesondere ihr Recht auf Privatsphäre sicher zu stellen, um in der Gemeinschaft den freien Verkehr personenbezogener Daten zu gewährleisten.
Und was ist nun mit den Cookies?
Cookies sind kleine Dateien, die auf dem Endgerät des Nutzers gespeichert werden und die Analyse des Nutzerverhaltens ermöglichen, wenn er diese nicht nach dem Beenden aus seinem Browser-Protokoll löscht. Cookie-Dateien konnten bisher unbemerkt auf dem Endgerät des Nutzers abgelegt werden, falls dieser nicht in seinen Einstellungen zum Datenschutz eine Warnfunktion oder deren Abwehr eingestellt hat.
Genügen die Regelungen im Telemediengesetz dem Datenschutz bzw. den Anforderungen der Cookie-Richtlinie?
Immer mehr Anbieter von Telemedien, also Betreiber von Internetseiten weisen darauf hin, dass ihre Seite Cookies setzt und man sich – bei Verbleib auf der Seite oder mit dem Schließen des Dialogfeldes – einverstanden erklärt.
Was nun Usus werden soll, ist rechtlich noch ungeklärt.
In der Fassung der RL 2009/36/EG vom 25. November 2009 bedarf es nach der RL 2002/58/EG (Datenschutzrichtlinie für die elektronische Kommunikation, EK-DSRL) für „das Speichern von Informationen auf Endgeräten eines Endnutzers oder der Zugriff auf Informationen, welche schon auf dem Endgerät des Endnutzers gespeichert sind“, der vorherigen Einwilligung des Endnutzers.
Richtlinienkonforme Auslegung des Telemediengesetzes?
Da die europarechtlichen Vorgaben der Richtlinien insoweit höherrangiges Recht darstellen, erscheint eine richtlinienkonforme Auslegung des § 13 Abs. 1 Satz 2 TMG und § 15 Abs. 3 TMG bis zur Umsetzung geboten.
Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
Dabei ist streitig, ob durch Cookies ein Personenbezug im Sinne des Telemediengesetzes ermöglichen. Dies ist zumindest dann anzunehmen, wenn eine Identifizierung über die Verknüpfung mit anderen personenbezogenen Daten, wie etwa einer (personenbezogenen) IP-Adresse oder einer Zugangskennung, möglich ist (so auch Hoeren, Multimediarecht 2015).
Nach § 15 Abs. 3 TMG darf der Diensteanbieter zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Was ändert die EU-Datenschutzgrundverordnung, DS-GVO?
Die EU-Datenschutzgrundverordnung, DS-GVO, welcher das EU-Parlament 2014 zugestimmt hat, kann aufgrund der Ausgestaltung als Verordnung im Sinne des Art. 288 AEUV, wenn sie vom EP und Rat verabschiedet wurde, unmittelbar in allen Mitgliedstaaten gelten. Seit dem 24. Juni 2015 finden nun die entscheidenen Triloggespräche in Brüssel statt.
Frühestens ab 2018 kann nach einer Übergangsfrist von 2 Jahren mit einer Geltung der abgestimmten Endfassung gerechnet werden. Damit könnten die Datenschutzvorschriften des TMG weitgehend durch die DS-GVO ersetzt werden.
Der derzeitige Entwurf der DS-GVO in der Version 21/04/15 – Council’s consolidated version of March 2015 schlägt unter Ziffer 25 „This could include ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subjects acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Where it is technically feasible and effective, the data subject´s consent to processing may be given by using the appropriate settings of a browser or other application“ vor.
Anm. der Verfasserin:
Der Artikel kann keine individuelle Rechtsberatung ersetzen, sondern stellt eine fachliche Auseinandersetzung und Zusammenfassung des Themas dar. Es ergeben sich Unterschiede in der rechtlichen Beurteilung zwischen den jeweiligen Inhalten und Dienstleistungen, die angeboten werden. So sind z.B. Anbieter von Messenger-Diensten auch nach dem TKG zu beurteilen.