Ein Artikel von Rechtsanwalt Dr. Bahr 

Vorwort:
Das Europäische Parlament hat vor einiger Zeit die EU-Cookie-Richtlinie erlassen. Der deutsche Gesetzgeber hätte diese EU-Richtlinie bereits bis spätestens zum 25.05.2011 umsetzen müssen. Dies ist bislang nicht geschehen.

Der Gesetzgeber hat jedoch vor kurzem einen Gesetzentwurf (PDF) zur Änderung des Telemediengesetzes (TMG) vorgelegt, der neben den Neuerungen zur EU-Cookie-Richtlinie auch Änderungen zum sonstigen Online-Datenschutz (insbesondere im Bereich Social Media) vorsieht. Der folgende Artikel beleuchtet beide Bereiche.


A. Umsetzung der EU-Cookie-Richtlinie:

In dem geplanten Gesetzesvorhaben finden sich nur an einer einzigen Stelle die angedachten Änderungen durch die EU-Cookie-Richtlinie, nämlich in § 13 Abs.8 TMG n.F. 

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten,die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

1. Anwendungsbereich: Weit über Cookies hinausgehend
Die Norm betrifft alle Formen von mobilen und nicht mobilen Endgeräten (z.B. PC, Smartphones, Tablet-Computer) und alle Arten von Daten, die auf dem Endgerät gespeichert werden. Die Regelung ist demnach nicht begrenzt auf bloße Cookies, sondern betrifft jede Form von personenbezogenen Daten, die lokal auf dem Gerät des Users gespeichert werden und auf die der Betreiber Zugriff nimmt. 

2. Zukünftige Voraussetzungen für eine Speicherung:
Damit ein Webseiten-Betreiber zukünftig personenbezogene Daten speichern und nutzen darf, muss 

- eine Unterrichtung des Nutzers erfolgen und
- eine Einwilligung des Nutzers vorliegen.

a) Unterrichtung des Nutzers:
Die Unterrichtung des Nutzers muss vor Beginn der Speicherung erfolgen, eine spätere, nachträgliche Genehmigung ist nicht ausreichend.

b) Einwilligung des Nutzers:

aa) Der Grundfall: Einwilligung des Nutzers
Grundsätzlich muss eine Einwilligung des Nutzers vorliegen. Hierfür gelten die allgemeinen datenschutzrechtlichen Regelungen wie sie bisher in § 4 a BDSG und § 13 TMG festgelegt sind. Teilweise wird behauptet, dass diese Form der Einwilligung nicht in den AGB platziert werden darf, sondern es einer eigenständigen Zustimmungshandlung bedürfe. Diese Rechtsansicht ist falsch. Sowohl das Gesetz (§ 4 a Abs.1 S.3 BDSG) als auch die ständige höchstrichterliche Rechtsprechung erlaubt die Platzierung derartiger Einwilligungen z.B. in AGB. Einzige Bedingung: Die Einwilligung muss dann optisch besonders hervorgehoben sein, z.B. durch Fett-Druck, Umrandung etc.

Anders als im Direktmarketing bedarf es keiner gesonderten Einwilligungserklärung, da in diesem Fall nur die Daten datenschutzrechtlich genutzt werden. Der Nutzer erhält jedoch keine Nachricht in Form von E-Mail- oder Telefonwerbung.

Die große Gretchenfrage ist nun: Wann liegt online eine solche Einwilligung vor? 

Normalerweise bedarf eine Einwilligung einer ausdrücklichen Zustimmungshandlung des Nutzers. Dies würde bedeuten, dass der Nutzer bei Betreten einer jeden Webseite zuvor zugestimmt haben müsste. In der Praxis ein ziemlich schwachsinniges und kontra-produktives Unterfangen. Zumal sich in einem solchen Fall zahlreiche Nachfolgeprobleme ergeben: Gilt die Einwilligung des Sohnes auch für den Vater, weil beide den gleichen Rechner benutzen? 

Hier ist nun die Frage: Reicht es unter Umständen bereits aus, wenn der Browser des Nutzers so eingestellt ist, dass er standardmässig Cookies akzeptiert? Dann könnte man ja die Ansicht vertreten, der Nutzer hätte durch diese Browser-Einstellung eine ausdrückliche Zustimmung erteilt.

Die deutsche Regelung schweigt sich dazu aus. Im Gesetzestext findet sich hierzu kein Wort. Auch die Gesetzesbegründung äußert sich hierzu nicht, sondern beschränkt sich auf die kurze Aussage, dass die Neuregelung der Umsetzung der EU-Cookie-Richtlinie dient. Wenigstens die EU-Richtlinie selbst äußert sich dazu:

Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.

Der EU-Normgeber sagt, dass - zumindest theoretisch - in einer entsprechenden Browser-Einstellung eine Einwilligung liegen kann. Dies jedoch aber nur dann, wenn es "technisch durchführbar und wirksam ist."

Aha. Alles klar?

Wann eine solche "technische Durchführbarkeit und Wirksamkeit" vorliegt, darüber schweigt sich aber auch der EU-Gesetzgeber beharrlich aus.

bb) Die Ausnahmen: Wann keine Einwilligung vorliegen muss
Kein modernes deutsches Gesetz kommt natürlich ohne Ausnahmen aus, andernfalls würde der Gesetzestext auch Gefahr laufen, vom juristischen Laien verstanden zu werden. Nach § 13 Abs.8 TMG n.F. muss in zwei Ausnahmefällen keine Einwilligung vorliegen:

- wenn allleiniger Zweck die Nachrichtenübertragung ist oder
- wenn dies unbedingt erforderlich ist, um einen Informations- oder Kommunikationsdienst zur Verfügung zu stellen

(1) Erste Ausnahme: Alleiniger Zweck die Nachrichtenübermittlung
Einer Einwilligung bedarf es nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist. Hier hat der Gesetzgeber insbesondere an E-Mails gedacht. Die Formulierung ist jedoch mehr als misslungen, da nach dem Wortlaut auch Chat-Nachrichten, private Nachrichten in einem Forum oder einer Social Media-Plattform hierunter fallen.

(2) Zweite Ausnahme: Unbedingt erforderlich für Informations- oder Kommunikationsdienst
Noch schwachsinniger ist die zweite Ausnahme. Danach bedarf es keiner Einwilligung, wenn "dies unbedingt erforderlich ist, um einem vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können."
Auch an dieser Stelle versagt der Gesetzgeber auf ganzer Linie.  Bereits die Einschränkung ("unbedingt erforderlich") offenbart, dass es so gut wie keine Fälle gibt, in denen eine solche Speicherung zwingend notwendig ist. Im Hinterkopf hatte man hier vermutlich die Warenkorb-Cookies, die im Rahmen einer Shop-Bestellung gespeichert werden. Diese Form der Speicherung ist jedoch keineswegs "unbedingt erforderlich", die Warenkorb-Funktion und der Bestellprozess kann auch auf andere technische Weise abgebildet werden.

3. Rechtsfolgen im Falle des Verstoßes:
Ein Verstoß gegen die Regelung ist eine Datenschutzverletzung. Die zuständige Aufsichtsbehörde kann zwar die Beseitigung des Verstoßes vom Unternehmer verlangen, jedoch kein Bußgeld verhängen.

Ob Mitbewerber eine Abmahnung aussprechen können, ist in der Rechtsprechung umstritten. Zu dieser Frage fehlt jede höchstrichterliche Rechtsprechung. Die instanzgerichtliche Rechtsprechung entscheidet uneinheitlich. So gibt es Gerichte, die einen Wettbewerbsverstoß ablehnen (z.B. OLG Hamburg, AfP 2004, 554 [555]; LG Frankfurt a.M., MMR 2001, 259 [259 f.]). Vor kurzem erst hat das KG Berlin (Beschl. v. 29.04.2011 - Az.: 5 W 88/11) im Falle des "Gefällt mir"-Buttons von Facebook entschieden, dass es an einer Marktbezogenheit fehlt. Jedoch gibt es genauso viel Rechtsprechung, die bei Datenschutzverletzungen ein wettbewerbswidriges Handeln bejahen (OLG Stuttgart, GRUR-RR 2007, 330 [331]; LG Stuttgart, DuD 1999, 294 [294]).

4. Unsere Einschätzung:
Auch im Jahre 2011 gelingt dem Gesetzgeber nicht, praktikable Regelungen im Bereich des Online-Datenschutzes einzuführen. Vielmehr versagt er - wieder einmal - auf voller Linie. Durch die Neuregelungen werden keine Fragen geklärt, sondern es werden vielmehr Dutzende von neuen, rechtlichen Baustellen eröffnet. Das Nachsehen hat wieder einmal der Unternehmer, der Webseiten betreibt.

Auch wenn das Gesetz noch nicht in Kraft getreten ist: Es ist kaum zu erwarten, dass sich hier noch entscheidende Verbesserungen ergeben werden.

Auch wenn die Neuregelungen viele Ungewissheiten und Unklarheiten enthalten, von einem Ende der Cookies zu sprechen, wäre weit übertrieben. Vielmehr dürfte es so weitergehen wie bereits in den letzten fünfzehn Jahren Online-Datenschutzrecht: Aufgrund der Schwachsinnigkeit der Bestimmungen werden die Regelungen geflissentlich von allen Beteiligten ignoriert.

 

B. Sonstige Änderungen im Online-Datenschutzrecht:

Neben den Änderungen zum Cookie-Bereich beinhaltet der  Gesetzentwurf (PDF) auch zahlreiche Änderungen zum sonstigen Online-Datenschutz (insbesondere im Bereich Social Media). Diese werden im folgenden kurz dargestellt.

1. Erweiterte allgemeine Informationspflichten:
Das Gesetz verlangt zukünftig vom Telemedien-Betreiber erweiterte, allgemeine Informationspflichten, u.a. muss er dem Nutzer die zuständige Aufsichtsbehörde für den Datenschutz nennen.

2. Nutzer muss Account selbst löschen können:
Das Gesetz bestimmt nunmehr, dass der Nutzer seinen Account bei dem Telemedienbetreiber selbst löschen können muss. Dies war in der Vergangenheit anders, vgl. dazu unser Video Law-Vodcast "Löschungspflichten im Internet bei Ausscheiden eines Forum-Mitglieds"

Auch soll zukünftig der Betreiber überwachen, ob der Account noch aktiv ist. Nach Ablauf von maximal 24 Monaten Inaktivität muss der Betreiber selbst die Löschung vornehmen, muss jedoch den User vier Wochen zuvor über die Beseitigung informieren.

Zukünftig muss der Betreiber grundsätzlich technisch sicherstellen, dass der Nutzer die Löschung selbst vornehmen kann.

3. Betreiber von Telemedien mit nutzergenerierten Inhalten:
Die größten rechtlichen Probleme bereitet der angedachte § 13 a TMG n.F.: 

§ 13a Zusätzliche Pflichten des Diensteanbieters von Telemediendiensten mit nutzergenerierten Inhalten
(1) Soweit der Diensteanbieter dem Nutzer die Möglichkeit bietet, den Telemediendienst durch eigene Inhalte mit personenbezogenen Daten zu erstellen und zu gestalten und diese Inhalte anderen Nutzern zugänglich zu machen (Telemediendienst mit nutzergenerierten Inhalten), hat der Diensteanbieter die Sicherheitseinstellungen auf der höchsten Sicherheitsstufe gemäß dem Stand der Technik voreinzustellen. Der Diensteanbieter hat den Nutzer bei der erstmaligen Erhebung von personenbezogenen Daten in allgemein verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar darüber zu unterrichten, welche Sicherheitseinstellungen zum Schutz der Privatsphäre des Nutzers voreingestellt sind. Der Diensteanbieter muss dem Nutzer die Einstellungsmöglichkeit bieten, dass das Nutzerkonto sowie sonstige vom Nutzer erstellte Inhalte mittels anderer, nicht in diesen Telemediendienst integrierter Telemediendienste, welche die Suche von Inhalten ermöglichen (externe Suchmaschinen), nicht gefunden oder ausgelesen werden können; der Diensteanbieter hat dies entsprechend Satz 1 voreinzustellen. Satz 3 gilt nicht, soweit der Zweck des Telemediendienstes bei objektiver Betrachtung die Auffindbarkeit oder Auslesbarkeit von Inhalten mittels externer Suchmaschinen umfasst. Einem Nutzer, der bei der Erhebung seiner personenbezogenen Daten ein Alter von unter 16 Jahren angegeben hat, darf eine Änderung der Voreinstellung nach Satz 3 erst ermöglicht werden, wenn er das Alter von 16 Jahren erreicht hat.
(2) Der Diensteanbieter des Telemediendienstes mit nutzergenerierten Inhalten hat den Nutzer 1. über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte und 2. darüber, dass durch das Zugänglichmachen von personenbezogenen Daten, insbesondere von Foto-, Video-, Ton- oder Textinhalten, weder die Persönlichkeitsrechte noch sonstige Rechte einer anderen natürlichen Person verletzt werden dürfen, in für den Nutzer verständlicher Form, leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu unterrichten.
(3) Im Falle der Löschung eines Nutzerkontos nach § 13 Absatz 4 Satz 1 Nummer 4 oder Satz 2 ist der Diensteanbieter eines Telemediendienstes mit nutzergenerierten Inhalten verpflichtet, auch alle nutzergenerierten Inhalte eines Nutzers zu löschen. Soweit es sich um nutzergenerierte Inhalte handelt, die in Zusammenhang mit nutzergenerierten Inhalten anderer Nutzer stehen, tritt an die Stelle der Löschung die Anonymisierung. Eine Pflicht zur Löschung oder Anonymisierung besteht nicht, soweit eine Löschung oder Anonymisierung nach dem Verwendungszweck nicht möglich ist oder einen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
(4) § 13 bleibt unberührt.
(5) Das Bundesministerium für Wirtschaft und Technologie wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit dem Bundesministerium des Innern zu bestimmen, welche Anforderungen gemäß dem Stand der Technik an die höchste Sicherheitsstufe der Sicherheitseinstellungen gemäß Absatz 1 Satz 1 zu stellen sind.

Die Regelung betrifft nicht nur den Bereich der Social Media-Dienste (Facebook, Xing, Google+), sondern auch klassische Web 1.0-Dienste wie ein Forum oder ein Gästebuch, denn auch dort werden nutzergenerierte Inhalte gespeichert. Die angedachte Regelung schießt somit vom Anwendungsbereich weit über das Ziel hinaus.

Zukünftig soll nun der Betreiber die "Sicherheitseinstellungen auf der höchsten Sicherheitsstufe" voreinstellen. Was genau die "höchste Sicherheitsstufe" ist, was sie beinhaltet und wann sie überhaupt vorliegt, darüber wird kein Wort verloren. Mit Grausen liest der Jurist die Regelung, dass Näheres durch eine Verordnung des Bundeswirtschaftsministeriums bestimmt werden kann. Es ist keine Schwarzmalerei, wenn man hier behauptet, dass in dieser Verordnung kaum Praxistaugliches stehen dürfte.

Klar ist hingegen nur, dass der Betreiber dem Nutzer die Möglichkeit bieten muss, seine Inhalte vor dem Zugriff Dritter, wie z.B. Suchmaschinen, zu schützen. In der Grundeinstellung muss dies voreingestellt sein. Der Nutzer kann diese Einstellung später abändern, jedoch erst dann, wenn er 16 Jahre alt ist. Darüber hinaus treffen ihn umfangreiche Informationspflichten nach § 13 a Abs.2 TMG a.F., die gut gemeint, aber inhaltlich vollkommen überflüssig sind.

4. Unsere Bewertung:
Wie schon die Umsetzung der Cookie-Richtlinie sind auch die sonstigen angedachten Änderungen im Online-Datenschutzrecht ein echter Schuss in den Ofen. Wer auf die grandiose Idee gekommen ist, noch umfangreichere Informationspflichten einzuführen, der dürfte in den letzten fünf Jahren nicht online gewesen sein. Anders ist nämlich der absolut sinnentleerte Vorschlag nicht zu verstehen.

Ebenso lächerlich sind die Vorhaben zu den Social Media-Diensten. Ganz abgesehen davon, dass die Altersbeschränkung von 16 Jahren jeder gesetzlichen Grundlage entbehrt, gehen auch die sonstigen Ansätze fehl, da sie praxisfern und absolut untauglich sind, die kritisierten Missstände zu beseitigen.

Aber seien wir ehrlich: Wer sich die letzten 15 Jahre des Online-Datenschutzrechts in Deutschland anschaut, der hat nicht wirklich mit einem besseren Gesetzesentwurf gerechnet. Vielmehr bestätigt der Gesetzgeber mit dem neuen Vorhaben das, was seit langem bekannt ist: Nämlich seine absolute Inkompetenz in Sachen Datenschutzrecht online.