Editorial : Cookies – Vorhang zu und alle Fragen offen
„Mit § 15 Abs. 3 TMG wird Art. 5 Abs. 3 der Richtlinie 2002/58 umgesetzt“. So der Generalanwalt Szpunar in Rn. 21 (vgl. auch Rn. 101) seiner Schlussanträge zur Rechtssache C-673/17 (Planet49 GmbH) vom 21.03.2019. Diese Aussage hat weitreichende Konsequenzen. Nach der fast einhelligen Auffassung in Deutschland setzen die Datenschutznormen im 4. Abschnitt des TMG die durch die DS-GVO aufgehobene Datenschutzrichtlinie und gerade nicht die ePrivacy-RiLi um. Nach der Kollisionsregelung des Art. 95 DS-GVO ist die DSGVO maßgeblich. (Dazu Schwartmann/Klein, Art. 6 DS-GVO, Rn. 141 in Schwartmann/Jaspers/Thüsing/Kugelmann, HKDS-GVO/BDSG).
Was bedeutet dieser Widerspruch? § 15 Abs. 3 TMG sieht vor, dass man in die Erstellung von pseudonymen Nutzerprofilen durch Onlinedienste unter anderem zu Werbezwecken einwilligen kann, indem man dem als Nutzer nicht widerspricht („opt out“). Das reicht nach der DS-GVO nicht aus. Art. 6 Abs. 1 S. 1 a) DS-GVO, der ErwG 32 auslegt, verlangt für eine Einwilligung eine eindeutige bestätigende Handlung. Stillschweigen oder vorangekreuzte Kästchen reichen nicht („opt in“). Beim Einsatz von Tools zur Reichweitenmessung („Cookies“) ist dieser Widerspruch zwischen dem Datenschutzrecht (DS-GVO) und dem Recht des elektronischen Geschäftsverkehrs (ePrivacy-RiLi/TMG) bedeutsam. DS-GVO bedeutet „opt in“. Ob ePrivacy-RiLi in der Umsetzung des TMG „opt out“ bedeuten kann, muss in Sachen Planet49 der Europäische Gerichtshof entscheiden.
Der Generalanwalt hält in Rn. 122 für eine wirksame Einwilligung ein „opt in“ für erforderlich. Das war zu erwarten. Überraschend ist aber, dass er den 4. Abschnitt des TMG als Umsetzung der Richtlinie 2002/58 begreift. Ob die Kommission die Richtlinie in dieser Form in Deutschland als umgesetzt betrachtet, ist gerade bezogen auf ein „opt out“ offen. (COCOM11-20 v. 04.10.2011, S. 5). Folgt der EuGH dem Generalanwalt, dann würde die Kollisionsregel des Art. 95 DS-GVO Anwendung finden. Die DSGVO träte zurück, weil sie im Regelungsbereich der Richtlinie 2002/58 keine zusätzlichen Pflichten, wie das „opt in“-Erfordernis auferlegen darf. Es bliebe bei der Anwendbarkeit des 4. Abschnitts des TMG.
Konsequenz: Cookies sind bis zu einer anders lautenden Entscheidung des EuGH oder der ePrivacy-VO per „opt out-Einwilligung“ zulässig. Zum einen wäre die Diskussion von Schwartmann/Benedikt/Jacquemain in PinG 2018, 150 ff., ob es nach der DS-GVO für die Zulässigkeit von Cookies auf „opt in“ oder Interessenabwägung ankommt, damit hinfällig. Zum anderen käme im Rahmen des TMG nur noch die „opt out-Einwilligung“ nach § 15 Abs. 3 in Betracht, weil weder ePrivacy-RiLi noch TMG eine Interessenabwägung vorsieht.
Die schlüssige Auffassung der DSK, wonach die Datenschutzvorschriften des TMG und damit § 15 Abs. 3 TMG durch die DS-GVO abgelöst sind, ist aus berufenem Munde qualifiziert bestritten. Rechtsanwender können sich aus gutem Grund fragen, ob ihre „Cookie-Praxis“ bis zur Klärung im Anwendungsfall an den Großzügigen Vorgaben des TMG ausgerichtet werden kann. So müsste es auch die Datenschutzerklärung wiedergeben. Die ausführliche Darstellung in den Schlussanträgen zu den Anforderungen an eine ‚opt in-Einwilligung‘ wäre für Deutschland also zunächst ohne Bedeutung. Bei Cookies ist es ein wenig wie in Brechts ‚Der gute Mensch von Sezuan‘. Dort heißt es: ‚Wir stehen selbst enttäuscht und sehn betroffen. Den Vorhang zu und alle Fragen offen.‘ Auch bei Cookies schien der Vorhang zu. Nun sind alle Fragen offen. Enttäuscht und betroffen dürfte nicht jeder sein.