Der „Zugriff“ auf Endeinrichtungen nach § 25 TTDSG – ein historischer Blick auf den Schutzzweck der Norm

Mit der Neureglung des § 25 Abs. 1 TTDSG wird aktuell oft darüber diskutiert, wann eine tatbestandliche „Speicherung von Informationen“ oder ein „Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ vorliegt. Die Antwort auf diese Frage kann in der Praxis darüber entscheiden, ob ein bestimmter (technischer) Vorgang in den Anwendungsbereich des § 25 Abs. 1 TTDSG und damit dem Einwilligungsvorbehalt unterliegt.

Für das Verständnis dieser Begrifflichkeiten ist meines Erachtens elementar, den Sinn der europäischen Grundlage, Art. 5 Abs. 3 ePrivacy Richtlinie, und die dahinter liegende Intention des Gesetzgebers zu beleuchten. Nachfolgend möchte ich daher einen Überblick über die Entstehung der Vorschrift und die Begründungen des Gesetzgebers hierzu geben.

Ursprung – das Parlament

Im ursprünglichen Entwurf für die ePrivacy Richtlinie der EU Kommission war Abs. 3 des Artikel 5 noch gar nicht enthalten. In dem zweiten Bericht des LIBE-Ausschusses vom 24.10.2001 wurde mit Änderungsantrag 26 ein neuer Art. 5 Abs. 2a vorgeschlagen. Dieser lautete:

Die Mitgliedstaaten verbieten die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die auf dem Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ohne die vorherige ausdrückliche Einwilligung des betreffenden Teilnehmers oder Nutzers. Dies gilt nicht für eine technische Speicherung oder den Zugang zum alleinigen Zweck der Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.“

Für das Verständnis der Norm und vor allem ihres Schutzgedankens, ist die Begründung für diesen Vorschlag relevant. Danach sind Endgeräte der Nutzer elektronischer Kommunikationsnetze und etwaige dort gespeicherte Informationen Teil der Privatsphäre des Nutzers und schutzwürdig.

Weiter wird die Anpassung damit begründet, dass sogenannte cookies, spyware, web bugs, hidden identifiers (Software zum Ausspionieren im Internet) und ähnliche Systeme, die ohne ausdrückliches Wissen oder ausdrückliche Zustimmung des Nutzers in sein Endgerät eindringen, um Zugang zu Informationen zu bekommen, verborgene Informationen zu speichern oder die Aktivitäten des Nutzers zurückzuverfolgen, eine ernsthafte Verletzung der Privatsphäre darstellen können.

Daher, so die Begründung, sollte die Verwendung solcher Systeme deshalb verboten werden, es sei denn, der betreffende Benutzer hat ausdrücklich und in Kenntnis der Sachlage freiwillig seine Einwilligung gegeben.

Deutlich wird in dieser Begründung, dass der LIBE-Ausschuss die Privatsphäre der Nutzer vor „Software zum Ausspionieren“ schützen und eine Zurückverfolgung des Nutzers verhindern möchte. Gleichzeitig sieht Satz des Vorschlags aber bereits Ausnahmen von dem Einwilligungserfordernis vor.

Die Schutzrichtung des Vorschlags bezieht sich auf ein „Eindringen“ in das Endgerät. Man wollte hier also wohl die Privatsphäre nach außen schützen, jedoch nicht die Gegenrichtung, das Aussenden von Informationen von dem Endgerät selbst erfassen (vgl. „in sein Endgerät eindringen“).

Dieser Vorschlag wurde so auch durch das Parlament am 13.11.2001 angenommen.

Anpassungen im Rat

Am 30.11.2001 hat sich der Ausschuss der ständigen Vertreter (PDF) im Rat der Europäischen Union mit den Änderungsvorschlägen des Parlaments befasst. Dort wird zu dem neuen Art. 5 Abs. 2 a darüber informiert, dass nach Auffassung der Kommission diese Abänderung zwar neue und positiv zu bewertende Elemente, aber in ihrer Tragweite noch präzisiert werden müsste. Vor diesem Hintergrund hat der Ratsvorsitz zwei neue Erwägungsgründe 24 und 25 eingefügt, „um die unterschiedliche Behandlung einerseits von „Cookies – mit denen legitime Ziele verfolgt werden und die unter bestimmten Bedingungen verwendet werden dürfen – und andererseits von Spionageprogrammen – die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind – klarzustellen“. Zudem sollte der neue Abs. 2 a entsprechend angepasst werden.

Auch hier wird deutlich, dass die vorgeschlagene Regelung zum einen eine Balance ermöglichen sollte, gewissen Zugriffe bzw. das Speichern von Informationen (konkret werden Cookies genannt) ohne Einwilligung zuzulassen. Zum anderen grenzt der Rat diese, wenn man so will „guten“ Zugriffe von Spionageprogrammen ab, „die ihrer Art nach den Benutzer nicht informieren und daher zu untersagen sind“. Vor allem die Heimlichkeit des Zugriffs scheint hier ein wichtiger Faktor aus Sicht des Rates zu sein.

Auch diese Begründung spricht für eine Auslegung, dass die Norm einen Schutz nach außen schaffen möchte, jedoch nicht dazu gedacht war, das Aussenden von Informationen aus Endgeräten, die ohne vorherigen Einfluss von außen erfolgen, zu untersagen.

Frankreich wird etwas konkreter

Noch konkreter wurde am 4.12.2001 die französische Delegation, die einen Vorschlag (PDF) für Anpassungen, sowohl der Erwägungsgründe als auch des Art. 5 selbst vorlegte. Die Vorschläge Frankreichs basieren auf den neuen Entwürfen des Ratsvorsitzes.

Zum einen fällt natürlich auf, dass der Rat (und ohne Änderung Frankreichs) das Einwilligungserfordernis des Parlaments in ein Widerspruchsrecht umwandelte. Schlussendlich wurde die Einwilligung mit der RL 2009/136/EG in Art. 5 Abs. 3 verankert.

Zum anderen zeigen auch die Vorschläge Frankreichs ziemlich deutlich, welche Schutzrichtung der damalige Art. 5 Abs. 3 bezweckte. So führte Frankreich in ErwG 25 den Satz ein: „Die Information über die Verwendung mehrerer derartiger Instrumente durch Installierung im Endgerät des Nutzers…“. Hieraus wird deutlich, dass das Endgerät nach außen hin („durch Installierung im Endgerät“) geschützt werden soll. Auch in dem Vorschlag des Ratsvorsitzes zu dem neuen ErwG 25 wird dies klar. So heißt es dort „der Betreiber einer Website, der solche Instrumente versendet oder Dritten erlaubt, diese über seine Website zu versenden“. Der neue Art. 5 Abs. 3 sollte mithin Schutz gegen das Versenden von Instrumenten von außen bieten. Es wird jedoch nie erwähnt, dass auch ein Aussenden aus dem Endgerät für die Norm von Relevanz wäre.

Fazit

Ich denke, es sprechen sowohl der Wortlaut der jetzt gültigen Norm als auch die Erwägungen ihrer Entstehung recht klar für ein Verständnis, dass Art. 5 Abs. 3 Zugriffe (zB „Eindringen“) von außen von der Einwilligung abhängig machen möchte, wenn nicht eine Ausnahme vorliegt. Existiert aber schon kein solcher tatbestandlicher Vorgang des Zugriffs oder Eindringens von außen in das Endgerät, sondern werden zB von diesem Daten und Informationen ausgesendet, dürfte der Anwendungsbereich von Art. 5 Abs. 3 ePrivacy Richtlinie und § 25 TTDSG nicht eröffnet sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert