Nutzertracking: Regierung beschließt eigene Cookie-Regelung

Die Bundesregierung will die Zustimmung zum Nutzertracking im Internet neu regeln. Dazu beschloss das Kabinett am Mittwoch in Berlin den Entwurf für ein Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG). Demnach ist das Speichern von Cookies nur erlaubt, wenn die Endnutzer darüber gemäß der EU-Datenschutz-Grundverordnung (DSGVO) informiert wurden und sie eingewilligt haben. Die Regierung setzt damit mit jahrelanger Verspätung eine Novelle der E-Privacy-Richtlinie aus dem Jahr 2009 um. Eine solche Zustimmung war im Mai 2020 auch vom Bundesgerichtshof (BGH) gefordert worden.

Laut Paragraf 24 des neuen TTDSG (PDF) ist die Speicherung von Informationen auf Endgeräten oder der Zugriff darauf nur zulässig, "wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat". Die Einwilligung muss nach den Vorgaben der DSGVO erfolgen. Ausnahmen sind zulässig, wenn deren alleiniger Zweck "die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist" oder wenn dies "unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann".

Auch Smart-Home-Geräte betroffen

Laut Gesetzesbegründung betrifft der Paragraf nicht nur Computer und Smartphones, sondern auch "die Vielzahl von Gegenständen im Internet der Dinge, die inzwischen - sei es direkt oder über einen WLAN-Router - an das öffentliche Kommunikationsnetz angeschlossen sind, etwa im Bereich von Smarthome-Anwendungen (z. B. Küchengeräte, Heizkörperthermostate, Alarmsysteme)". Nicht betroffen sind hingegen Einrichtungen, "die nicht an ein öffentliches Telekommunikationsnetz angeschlossen sind, also etwa in einem geschlossenen Firmennetzwerk kommunizieren".

Gestrichen wurde hingegen die Formulierung eines früheren Entwurfs, wonach der Endnutzer die Einwilligung auch erklären kann, "indem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt". In dem Entwurf wurde dieser Passus noch wie folgt begründet: "Ziel ist die größtmögliche Nutzerfreundlichkeit: Der Endnutzer sollte sein Recht auf einfachste Weise wahrnehmen können."

Doch keine Regelung für Datentreuhänder

Eine solche Voreinstellung wollte die EU-Kommission eigentlich mit der E-Privacy-Verordnung verpflichtend machen, doch dagegen haben sich die Werbewirtschaft und die Verlage erfolgreich gewehrt. Möglicherweise haben sich deren Lobbyverbände auch nun wieder erfolgreich dafür eingesetzt, dass der Passus gestrichen wurde.

Ebenfalls gestrichen wurde eine geplante Regelung für "anerkannte Dienste zur Verwaltung persönlicher Informationen". Für die Zulassung solcher Datentreuhänder oder Personal Information Management Services (PIMS) sollte der Bundesdatenschutzbeauftragte zuständig sein.

Neu hinzugekommen ist eine Regelung in Paragraf 4, wonach Erben oder andere berechtigte Personen die Rechte eines Nutzers gegenüber Telekommunikationsdiensten wahrnehmen können. Das Fernmeldegeheimnis stehe dieser Wahrnehmung nicht entgegen. Der BGH hatte im September 2020 entschieden, dass Facebook den Eltern eines gestorbenen Mädchens den kompletten Zugang zu deren Account ermöglichen musste.

Der Bundestag muss dem Gesetzesentwurf noch zustimmen.