Aus Sicht der Stiftung Datenschutz 05/21: Das TTDSG als innovative Lösung für die Einwilligung?

In einer Zeit, wo neue Gesetze gerne mit eingängigen Bezeichnungen wie „GuteKita-Gesetz“ bedacht werden, darf natürlich auch der spröde Datenschutz nicht zurückstehen. So hatte der Bundesgesetzgeber erkannt, dass der „Entwurf zu einem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ keinen sehr griffigen Titel trägt und ihn freundlicherweise verkürzt zu „Telekommunikation-Telemedien-Datenschutzgesetz“. Während sich über das dort offiziell fehlende Fugen-S noch trefflich stolpern lässt, erleichtert die weitere Abkürzung zu „TTDSG“ die Befassung mit der Materie doch spürbar. Abgesehen davon: Wie innovativ ist es nun, das neue Gesetz?

Ein Gesetz mit wenig Spielraum

Manche sind von der Umsetzung zu Einwilligung und Cookies enttäuscht. Was jedoch von dieser arg verspäteten Umsetzung der alten ePrivacy-Richtlinie nichtmehr ernsthaft erwartet werden konnte, das waren substantielle Erleichterungen beim Setzen von Werbe-Cookies. Nach den Klarstellungen der in letzter Zeit ergangenen europäischen und bundesgerichtlichen Rechtsprechung zum Einwilligungserfordernis für nicht zur Diensterbringung erforderlichen Cookies konnte fast schon von einer „Ermessensreduzierung auf Null“ gesprochen werden. Ein Umsetzungsspielraum war – jedenfalls für einen richtlinientreuen Gesetzgeber – kaum mehr gegeben. Bereits der Wortlaut der Richtlinie in der Fassung von 2009 war unmissverständlich. Danach konnte auf eine Einwilligung der den Online-Dienst nutzenden Datensubjekte nur verzichtet werden, wenn das Setzen von Cookies „unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Der ErwG.66 unterstrich diese Klarheit nur noch, wenn er erklärte, dass auf eine nutzerseitige Entscheidung nur verzichtet werden dürfe, wenn die Cookie-Speicherung „unverzichtbar“ für die Nutzung des gewünschten Dienstes ist. Das Merkmal einer solchen Unverzichtbarkeit ist durchaus unterschiedlichen Auslegungen zugänglich. Für eine datenschutzsensible Nutzerschaft dürfte sehr vieles verzichtbar sein. Für eine zeitgenössisch bequemlichkeitsaffine Nutzerschaft schon weniger. Und die Anbieter gar werden bei wirtschaftlicher Betrachtung ihrer –formal kostenlos bereitgestellten – Internetdienste auch die meisten Werbe-Cookies als zur Finanzierung der Angebote unverzichtbar erachten.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.

Da eine Objektivierung des Merkmals der Unverzichtbarkeit schwierig ist, hätte der Umsetzungsgesetzgeber durchaus überklarstellende Regelbeispiele im TTDSG nachdenken können. Solche wurden in der Bundestagsanhörung verschiedentlich vorgeschlagen, an welcher auch der Autormitwirken durfte. Übernommen wurde die Anregung aber nicht, so dass es nun weiterhin den Interpretationen von Aufsichtsbehörden und den Entscheidungen von Gerichten überlassen bleibt, ob beispielsweise Cookies zu Warenkorbinhalten für die gewünschte Diensterbringung erforderlich sind (wohl schon) oder ob Reichweitenmessungen für das Angebot unverzichtbar sind (bei strenger Betrachtung wohl kaum).

Warten auf die große Lösung

Das komplette „Problem Einwilligung“ kann das TTDSG alleine nicht lösen. Jenes besteht aus einer Aufgabe mit mehreren Teilen. Die Grundfrage ist die nach dem Ob des Einwilligens, die Folgefrage ist die nach dem Wie. Bei diesem zweiten, eher technischen Punkt schafft der neue deutsche Vorstoß zumindest erste Maßgaben. Zugegeben: Wünschenswert wären große Schritte hinsichtlich des Ob, das heißt eine Weichenstellung zur Häufigkeit des Einwilligungserfordernisses. Denn die Praxis des vernetzten digitalen Lebenslässt über die Jahre immer deutlicher die Schwächen der allgegenwärtigen Einwilligungsfixierung hervortreten. Die vorgesehene „Informiertheit“ wird zunehmend zur wirklichkeitsfremden Annahme und verkommt zur bloßen Fiktion des Datenschutzrechts, nach dem Motto: Wenn wir die Anbieter verpflichten, die Nutzer mit –mehr oder weniger verständlichen – Informationen zu versorgen, dann werden die Nutzer das bestimmt auch alles lesen. Und die schiere Flut an Anfragen führt zur Entwertung der in einer Einwilligung eigentlich zu sehenden bewussten, selbstbestimmten Entscheidung. Die Folgen sind Inflation und Abstumpfung. Die Einwilligung mutiert vom stolzen Akt der Nutzerautonomie zum nervenden Formalklick. Bereits 2016 und 2018 hatte ich mir an dieser Stelle erlaubt, auf die kaum zu ignorierenden Missstände und Herausforderungenhinzuweisen. Geändert hat sich wenig. Ganz im Gegenteil: Für viele stellen unzählige Einwilligungsprozeduren anscheinend noch immer das Maß der Dinge dar und einen vermeintlichen Segen für Verbraucherinnen und Verbraucher. Anders ist kaum zu erklären, warum bei den Überlegungen zur ePrivacy-Verordnung die Einwilligung als ausschließliche Rechtsgrundlage für viele noch so hoch im Kurs steht. Mit Blick auf den digitalen Alltag halte ich dies für einen Irrweg. Das Ergebnis kann ein Schein-Datenschutz sein, der die Nutzenden mit ihrer schönen Einwilligung alleine lässt: Sie erteilen dann weiterhinaus Gewohnheit etliche nicht-informierte Einwilligungen und legalisieren damit etliche für sie nachteilige Datenverarbeitungsvorgänge.

Wie halten wir‘s mit harter Regulierung?

Zielführender wäre es, die Gesetzgeberinnen würden sich einmal ehrlich machen und die Sache eskalieren. Dies würde bedeuten, die Last zur faktischen Entscheidung über die Rechtmäßigkeit vieler Datenverarbeitungsvorgänge – also die Last zur Schaffung einer Rechtsgrundlage mittels Einwilligungserteilung – nicht mehr auf die damit oft überforderten, immer aber davon genervten Verbraucherinnen und Verbraucher abzuwälzen. Vielmehr müsste auf legislativer Ebene entschieden werden: Entweder weniger Regulierung von Datenverarbeitung im digitalen Raum durch Ausweitung der Möglichkeiten von Verarbeitungen auf Basis – dann weit verstandener – berechtigter Interessen. Oder aber echte, strenge Regulierung durch gesetzliche Verbote bestimmter potenziell oderkonkret invasiver Datenverwendung, Third-Party-Cookies und Tracking. Der weiterhin beschrittene Mittelweg dagegen, nämlich die im Effekt nur scheinbar strenge Regulierung durch ein ausuferndes Einwilligungserfordernis wird immer mehr zur schlechten Lösung bei ePrivacy.

Mehr Innovation im Recht wagen

Ob uns der Weg der reinen Einwilligungsregulierung erhalten bleiben wird, wird der Verlauf der Verhandlungen zur ePrivacy-Verordnung zeigen. Bis dahin lassen sich aber parallel Gedanken zur Umsetzung machen. Wenn es nämlich bei der Einwilligungsfixiertheit bleibt, dann kommen wir um neue Ideen zum Einwilligungsmanagement nicht umhin. Eine der Ursachen für eine solche Notwendigkeit benennt die Begründung des TTDSG selber: Vom Anwendungsbereich erfasst seien nicht nur klassische Endeinrichtungen wie Computer und Mobiltelefone, sondern auch das gesamte „Internet der Dinge“, so dass die Zahl von Einwilligungsanfragen weiter wachsen wird. Konsequent ist daher der lösungsorientierte Ansatz, den das TTDSG zumindest anreißt, nämlich die Schaffung eines Rechtsrahmens für Personal Information Management Systems/Services (PIMS). Bereits vor zwei Jahren hatte die Datenethikkommission Initiativen in dieser Richtung angeregt. In dieser Kolumne wurde die Idee einer nutzerzentrierten Datenverwaltung ebenfalls früh thematisiert. Bei einem Festhalten am System der Einwilligung sollte jedenfalls der Ansatz eines ihre Umsetzung erleichternden innovativen Einwilligungsmanagements weiterverfolgt werden. Zwei Dinge sind der Kritik an der durchaus innovativen PIMS-Regulierung im TTDSG zuzugestehen: Der vom Gesetzgeberbeschrittene Weg kann einerseits keine umfassende Lösung sein. Eine solche kann es wohl nur auf EU-Ebene geben. Im ePrivacy-Sektor können nur Anforderungen an Einwilligungen bezüglich des Setzens von Cookies und ähnlicher Vorgänge formuliert werden. Die Einwilligung in nachfolgende Datenverarbeitungen richtet sich dagegen wieder nach der DSGVO –und in deren Regelungsbereich muss die Einwilligung „für den bestimmten/konkreten Fall“ erfolgen – was Möglichkeiten einer Delegation von Einwilligungsentscheidungen an PIMS-Systeme stark einschränkt. Zu dieser Schwierigkeit kommt, dass das TTDSG den Weg zum fortschrittlichen Einwilligungsmanagement nur halb geht. Es werden sozusagen nur Leitplanken aufgestellt, während konkrete Vorgaben erst in einer die Rahmenvorschrift ausfüllenden Rechtsverordnung aufgestellt werden sollen. Ob und wann die neue Bundesregierung diese Rechtsverordnung erlassen wird und welchen Inhalt sie hat, ist naturgemäß noch unbekannt.