Wer kontrolliert die Cookie-Regeln?

Wenn Unternehmen auf ihren Webseiten, Plattformen oder anderen Online-Angeboten Cookies oder andere PlugIns nutzen, um ihre Nutzer zu erreichen, gilt das ePrivacy-Recht. Verstöße gegen das ePrivacy-Recht sind weniger streng geahndet als Datenschutzverstöße, es gibt keine vergleichbaren Bußgelder. Das ändert sich ab dem 1. Dezember. Aber welche Behörde setzt die Cookie-Regeln dann gegenüber den Unternehmen durch und verhängt Bußgelder?

Zur Erinnerung: Das ePrivacy-Recht gilt ganz unabhängig davon, ob personenbezogene Daten verarbeitet werden. Verstöße gegen das ePrivacy-Recht sind bislang insbesondere durch Wettbewerber im Wege von Abmahnungen geltend gemacht worden. Bußgeldrisiken, wie wir sie aus dem Datenschutzrecht kennen, gab es nicht. Dies ändert sich mit Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) zum 1. Dezember. Aber dann können auch Verstöße gegen die „Cookie-Regeln“ deutlich einfacher mit erhöhten Bußgeldern von bis zu 300.000 Euro belegt werden.

Aber: Welche Behörde ist hierfür zuständig? Und was gilt, wenn eine Webseite in vielen Ländern aktiv ist – greift dann die deutsche Behörde oder aber jene in Italien, den USA oder Australien ein?

Cookie-Regeln

Art. 5 Abs. 3 ePrivacy-Richtlinie bildet die rechtliche Grundlage für alle Endgerätezugriffe durch Online-Angebote, also z.B. Cookies, Nutzung des lokalen Speichers, finger printing und andere Tags und PlugIns. Alle solche Zugriffe auf die Endgeräte der Nutzer erfordern eine Einwilligung. Das Einwilligungserfordernis gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Eine Ausnahme vom Einwilligungserfordernis gilt nur dann, wenn die entsprechenden Tools unbedingt erforderlich sind, um den vom Nutzer angefragten Dienst auch bereitzustellen.

Bislang war Art. 5 Abs. 3 ePrivacy-Richtlinie in Deutschland nur suboptimal umgesetzt. Der unbefangene Leser konnte in der bisherigen Umsetzungsnorm § 15 Abs. 3 TMG kein Einwilligungserfordernis finden (dort war die Rede von „Widerspruch“). Dies war Anlass der Planet49-Entscheidung des EuGH (wir berichteten im Newsletter aus Oktober 2019 ausführlich) und der nachfolgenden BGH-Entscheidung im Mai 2020 (hierzu ausführlich in unserem Newsletter aus Juni 2020).

Ab dem 1. Dezember ist dies Geschichte und es gilt § 25 TTDSG: Dieser regelt dann klar – und beinahe wortgleich mit Art. 5 Abs. 3 ePrivacy-Richtlinie –, dass eine Einwilligung i.d.R. erforderlich ist. Hält sich ein Unternehmen nicht an dieser Vorgabe, ist dies eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 300.000 Euro geahndet werden kann (§ 28 TTDSG). 

Komplexe Rechtslage in Deutschland

Wer aber kontrolliert die Einhaltung der Cookie-Regeln des TTDSG und verhängt ein Bußgeld? Das TTDSG klärt dies nicht. Die Aufsichtszuständigkeiten für Einhaltung die der Cookie-Regelungen im deutschen Recht bleiben damit komplex. 

Die ePrivacy-RL gibt in ihren Art. 15 und Art. 17 nur vor, dass die Mitgliedsstaaten Vorschriften schaffen müssen, die die Aufsicht über die Einhaltung der Vorgaben der Richtline sowie rechtliche Konsequenzen bei Verstößen bestimmen. Regelungen, wann welche nationale Aufsichtsbehörde zuständig ist, enthält die ePrivacy-Richtline nicht, sodass jeder Mitgliedstaat eigene Bestimmungen über die Zuständigkeit treffen muss. 

Im deutschen Recht fehlt es an einer ausdrücklichen Zuweisung der Aufsichtszuständigkeiten. Das TTDSG selbst regelt nur die Aufsicht über Telekommunikationsunternehmen, die sich BfDI und Bundesnetzagentur teilen (§§ 29, 30 TTDSG). Im Übrigen heißt es lapidar: „bei Telemedien bleiben die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 Bundesdatenschutzgesetz unberührt“ (§ 1 Abs. 1 Nr. 8 TTDSG).

Sind also die Datenschutzaufsichtsbehörden berufen, die Cookie-Regeln durchzusetzen? 

So klar ist das nicht: Die Zuständigkeit der Bundes- und Landesdatenschutzaufsichtsbehörden für die Einhaltung der DSGVO nach Art. 58 DSGVO kann nicht auf die Aufsicht über die Einhaltung der ePrivacy-RL übertragen werden – es handelt sich immerhin um zwei unterschiedliche Rechtsakte. Zudem muss auch zwischen der allgemeinen datenschutzrechtlichen Aufsicht über die Einhaltung der nationalen Umsetzungsvorschriften der ePrivacy-RL und der Zuständigkeit für die Verhängung von Bußgeldern und Sanktionen unterschieden werden sowie zwischen Telemedien und Telekommunikationsdiensten. Dabei gilt sowohl Bundes- wie auch Landesrecht und insofern 17 unterschiedliche Rechtsregime zu beachten. Das Fehlen eindeutiger gesetzlicher Vorschriften in Deutschland ist damit ein sehr praxisrelevantes Problem.

Zusammenfassen lässt sich die Gemengelage unter Berücksichtigung des ab dem 1. Dezember geltenden TTDSG wie folgt: 

Neue Rechtslage (TTDSG)Allgemeine ZuständigkeitZuständigkeit für Bußgelder 
DSGVODatenschutzaufsichtsbehörden (Art. 58 Abs. 1, 2 DSGVO)Datenschutzaufsichtsbehörden (Art. 58 Abs. 2 lit. i, Art. 83 DSGVO)
Cookie-Regeln (§ 25 TTDSG)Für Telemedien: ?Für Telemedien:?
 Für Telekommunikationsdienste:BfDI (§ 29 Abs. 2 TTDSG)Für Telekommunikationsdienste:BfDI (§ 28 Abs. 1 Nr. 13, Abs. 3 Nr. 2 TTDSG)
  • Allgemeine Aufsicht: Die Einhaltung „allgemeiner Datenschutzbestimmungen“ durch Telemedienanbieter wird nach § 113 Satz 1 Medienstaatsvertrag (MStV) von den Datenschutzaufsichtsbehörden kontrolliert. Dabei bleibt es nach § 1 Abs. 1 Nr. 8 TTDSG, der zudem auf § 40 BDSG verweist. 

Aber sind die Cookie-Regeln „allgemeine Datenschutzbestimmungen“? So klar ist dies nicht: Die Cookie-Regeln gelten unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Der „Datenschutz“ aber gilt nur für personenbezogene Daten. Ob dann tatsächlich die Datenschutzaufsichtsbehörden auch dann zuständig sein sollen, wenn über Cookies und vergleichbare Technologien keine personenbezogenen Daten verarbeitet werden, kann berechtigterweise in Frage gestellt werden. Die Cookie-Regeln dienen schon ausweislich des Wortlauts des § 25 TTDSG dem „Schutz der Privatsphäre“. Dies ist nicht mit dem Datenschutz gleichzusetzen. 

Für eine Einordnung als „Datenschutzbestimmungen“ spricht allerdings, dass es ansonsten zu einer Zersplitterung der Zuständigkeiten kommen könnte: Werden über Cookies & Co. personenbezogene Daten verarbeitet, wären die Datenschutzaufsichtsbehörden zuständige, ansonsten nicht. Dies ist kaum praktikabel. 

Eindeutig geklärt ist diese Zuständigkeit indes nicht. Sie wird zu überprüfen sein – in der Praxis wohl spätestens dann, wenn eine Datenschutzaufsichtsbehörde ihre Zuständigkeiten unter Bezugnahme auf die Cookie-Regelungen ausübt, womöglich sogar in einem Anwendungsfall, der nicht mit der Verarbeitung personenbezogener Daten einhergeht. 

Außen vor gelassen sei hierbei, dass die Herleitung der nach § 113 S. 1 MStV zuständigen Behörde ebenfalls nicht trivial ist: Greift nun § 40 BDSG über den Verweis in § 1 Abs. 1 Nr. 8 BDSG? Oder bedarf es weiterhin einer Zuständigkeit nach den Landesgesetzen? Diese ist oft nicht gegeben. Eine Ausnahme bildet etwa Nordrhein-Westfalen: § 1 Abs. 2 S. 1 Telemedienzuständigkeitsgesetz NRW bestimmt ausdrücklich, dass der Landesbeauftragte für Datenschutz die nach § 113 S. 1 MStV zuständige Behörde ist. 

Wenn Telekommunikationsdienste auf die Endgeräte ihrer Nutzer zugreifen, klärt das TTDSG die Zuständigkeit: Diese liegt gem. § 29 beim BfDI. 

  • Bußgelder: So weit, so (un-) eindeutig. Noch komplexer wird es bei der Bestimmung der Zuständigkeiten für die Sanktionierung von Verstößen mit Bußgeldern. Die Erläuterung bedarf einen Blick in auf die Bußgeldtatbestände des TTDSG sowie in das Ordnungswidrigkeitengesetz (OWiG). 

Nach § 28 TTDSG können Verstöße gegen die Cookie-Regeln bei Vorsatz oder Fahrlässigkeit mit Bußgeldern belegt werden (bis zu 300.000 Euro). Der Gesetzgeber kann für die Verhängung dieser Sanktionen zuständige Verwaltungsbehörde nach § 36 Abs. 1 Nr. 1 OWiG ausdrücklich in einem Gesetz bestimmen. Im TTDSG selbst ist dies indes nur für Verstöße durch Telekommunikationsunternehmen erfolgt – dann ist der BfDI nach §§ 28 Abs. 3,  29 TTDSG zuständig. 

Wer für die Verhängung von Bußgelder wegen Cookie-Regelverstößen durch Telemedienanbieter (also etwa den Websitebetreiber) zuständig ist, bestimmt das TTDSG nicht.

Wenn es an einer ausdrücklichen Bestimmung der zuständigen Verwaltungsbehörde fehlt, ist auf § 36 Abs. 1 Nr. 2 lit. a OWiG zurückzugreifen, wonach bei Fehlen einer ausdrücklichen Bestimmung die oberste Landesbehörde zuständig ist. Dabei muss die Zuweisung der Zuständigkeit aber nicht in dem Gesetz erfolgen, in dem der Bußgeldtatbestand geregelt ist. Insbesondere können die Länder, soweit sie Bundesgesetze ausführen, in ihren Landesgesetzen regeln, wer zuständige Vollzugsbehörde sein soll. Das stellt dann eine Zuständigkeitsbestimmung im Sinne des § 36 Abs. 1 Nr. 1 OWiG dar.

Für § 16 Abs. 2 TMG nahmen einige Länder diese Möglichkeit wahr und wiesen die Zuständigkeit ausdrücklich den Landesdatenschutzaufsichtsbehörden zu (so etwa für NRW in § 1 Abs. 3 Satz 3 Nr. 2 TMZ-Gesetz NRW). 

Ob – fehlt es an einer solchen Zuweisung – auch die allgemeine Aufsichtszuständigkeit die Verhängung von Bußgeldern umfasst, ist dagegen höchst umstritten. Der Streit gilt jetzt auch für Länder wie NRW, da eine Zuweisung für § 28 TTDSG noch nicht erfolgt ist. Für einen Gleichlauf der Zuständigkeiten spricht, dass so die Zuständigkeit für die Aufsicht und Sanktionierung über die datenschutzrechtlichen Vorschriften bei den Landesdatenschutzaufsichtsbehörden gebündelt wäre. Dagegen sprechen verfassungsrechtliche Bedenken: Der Bestimmtheitsgrundsatz nach Art. 20 Abs. 3 GG kann so verstanden werden, dass die Zuständigkeit für die Verhängung von Bußgeldern ausdrücklich bestimmt sein muss und nicht in eine andere Zuständigkeitsnorm über die allgemeine Aufsicht „hineingelesen“ werden darf. 

Andernfalls verbleibt es bei der allgemeinen Regelung des OWiG: Zuständig wären dann obersten Landesbehörden, d.h. die Landesinnenministerien (§ 36 Abs. 1 Nr. 2 lit. a OWiG). 

Es bleibt zu hoffen, dass der Gesetzgeber in diesem Zuständigkeits-Wirr-Warr noch Abhilfe schafft. Die erste Chance einer klaren Regelung im TTDSG hat er verpasst. Spätestens mit der ePrivacy-Verordnung auf EU-Ebene kommt die nächste Chance (dazu noch sogleich).

Auch auf internationaler Ebene bleiben Unklarheiten: EDSA-Beschluss

Nicht nur auf nationaler, sondern auch auf EU-Ebene führt die Beurteilung der Zuständigkeiten über die Aufsicht der ePrivacy-RL zu Kopfzerbrechen. Wie der Europäische Datenschutzausschuss (EDSA), der Zusammenschluss der europäischen Datenschutzaufsichtsbehörden, jüngst in einem internen Beschluss feststellte (veröffentlicht auf dem Blog des Kollegen RA Carlo Piltz, delegedata.de), unterscheiden sich die Regeln der Mitgliedsstaaten über die territoriale Zuständigkeiten der Aufsichtsbehörden erheblich. 

Der EDSA hat nun einheitliche Kriterien zur Beurteilung der territorialen Zuständigkeit festgelegt. Zuständig sein soll die nationale Behörde, wenn 

  • der für die Verarbeitung Verantwortliche oder Dienstleister in ihrem Hoheitsgebiet niedergelassen ist 
  • und die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung im Hoheitsgebiet erfolgt, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der EU bei einer Niederlassung in einem anderen Mitgliedsstaat liegt.

Hat der Verantwortliche keine Niederlassung in einem Mitgliedsstaat der EU, kann sich die Zuständigkeit der nationalen Aufsichtsbehörden aus dem nationalen Recht ergeben, wenn dieses an ein anderes Kriterium als die Niederlassung anknüpft. 

Klärung durch die ePrivacy-Verordnung?

Klärung könnte die seit langem erwartete ePrivacy-Verordnung bringen. Diese wird – wie die DSGVO – unmittelbar geltende Regelungen zum ePrivacy-Recht und auch der Aufsicht enthalten und so die rechtlichen Vorgaben in der Union vereinheitlichen (wir berichteten über den Verlauf des Gesetzgebungsprozesses und den jüngsten Entwurf in unserem Newsletter aus Februar). Nach diesem jüngsten Entwurf sollen die Mitgliedsstaaten nach Art. 18 unabhängige Aufsichtsbehörden nach den Maßstäben der Art. 51-54 DSGVO schaffen. Dies können die Datenschutzaufsichtsbehörden nach der DSGVO oder auch neu geschaffene Stellen sein, die dann mit den Datenschutzaufsichtsbehörden zusammenarbeiten müssen. 

Ob dies nun aller Fragen Lösung sein wird, ist noch offen: So kritisierte etwa der EDSA in einem Beschluss aus März 2021, dass die Aufsichtszuständigkeit nicht – wie in früheren Entwürfen beabsichtigt – den nach der DSGVO zuständigen Behörden zugewiesen wurde und dass auch Vorschriften zur Zusammenarbeit und Kohärenz zwischen den Aufsichtsbehörden gestrichen wurden. Ob die Auffassung des EDSA nun im Laufe des weiteren Gesetzgebungsverfahrens berücksichtig wird und wie die endgültige Bestimmung der Aufsichtszuständigkeiten über die ePrivacy-Verordnung ausgestaltet sein werden, bleibt abzuwarten. Wir werden berichten.