TTDSG: Regelung des Datenschutzes in der Telekommunikation und bei Telemedien
04.11.2021
[IITR – 04.11.21] „Ich freue mich über die Zustimmung des Bundesrats. Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Gleichzeitig müssen wir digitale Geschäftsmodelle ermöglichen. Die neuen Regelungen schaffen hier eine Balance und sind damit zukunftsweisend. Mit Blick auf die viel diskutierten Cookies eröffnet das Gesetz die Möglichkeit, ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement zu entwickeln, das Verbraucherinnen und Verbrauchern, Unternehmen und Start-ups gleichermaßen nutzt. Die Arbeiten hieran werden wir jetzt im Austausch mit allen Akteuren aufnehmen.“ (so Bundeswirtschaftsminister Peter Altmaier).
Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz: TTDSG), von dem der Bundesminister spricht, steht kurz davor, in Kraft zu treten. Ab 1. Dezember 2021 werden die neuen Regelungen gelten. Im Wesentlichen soll das deutsche Recht mit den europäischen Vorgaben harmonisiert werden, vor allem in Bezug auf die Verwendung von Cookies.
Den Anwendungsbereich des Gesetzes kann man dem § 1 TTDSG entnehmen.
„Dieses Gesetz regelt
1. das Fernmeldegeheimnis (…),
2. besondere Vorschriften zum Schutz personenbezogener Daten (…),
3. die Anforderungen an den Schutz der Privatsphäre (…),
4. die Anforderungen an die Aufnahme in Endnutzerverzeichnisse und die Bereitstellung von Endnutzerdaten (…),
5. die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen,
6. die Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien,
7. den Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen (…), und
8. die Aufsichtsbehörden und die Aufsicht im Hinblick auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation (…).“
Die wichtigsten Begriffsbestimmungen – „Anbieter von Telemedien“, „Bestandsdaten“, „Nutzungsdaten“, „Nachricht“, „Dienst mit Zusatznutzen“, „Endeinrichtung“ – findet man in § 2 TTDSG.
Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates
Einer der Gründe, weswegen nun dieses neue Gesetz eingeführt wird, ist die „e-Privacy-Richtlinie“ der Europäischen Union vom 25. November 2009. Der fortkehrende Streit darüber, inwieweit diese Richtlinie in Deutschland umgesetzt sei, sollte durch Gesetzgebung endgültig beendet werden. Somit überrascht auch nicht, dass das neue Gesetz stellenweise die Richtlinie nahezu wortlautgemäß zitiert.
Nicht zu verwechseln ist die Richtlinie mit der „e-Privacy-Verordnung“, die seitens der Europäischen Union eigentlich zeitlich mit der Datenschutzgrundverordnung angedacht war und nun in den nächsten Jahren verabschiedet werden soll. – Durch die Rechtsform einer europäischen Verordnung würde diese wiederum unmittelbar gelten und als „lex superior“ das nationale Recht „TTDSG“ ersetzen. Doch dazu dann in Zukunft…
Neuerungen durch das TTDSG
…zurück zum baldigen Status-quo: Zunächst einmal wurde der Anwendungsbereich erweitert. So ist von nun an – so § 1 Abs. 3 TTDSG – wie schon in der Datenschutzgrundverordnung das „Marktortprinzip“ vorgesehen:
„Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen.“
Die §§ 3 bis 18 TTDSG enthalten Bestimmungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, insbesondere hinsichtlich des Fernmeldegeheimnisses. Dies ist aber für den Anwender keinesfalls neu – lediglich der Anwendungsbereich wurde um sogenannte „Over-the-top“-Dienste erweitert.
„Over-the-top-Dienste sind Dienste, die über eine Internetverbindung angeboten werden, ohne dass die Internetanbieter selbst Einfluss auf den Dienst oder Kontrolle hätten. OTT-Dienste sind also entkoppelt von den Infrastrukturanbietern.“ (aus der Praxishilfe zum TTDSG von der Gesellschaft für Datenschutz und Datensicherheit e.V.)
Darüber hinaus hat der Gesetzgeber die bestehende Möglichkeit genutzt und Regelungen für den Eintritt eines Erbfalls in § 4 TTDSG geschaffen:
„Das Fernmeldegeheimnis steht der Wahrnehmung von Rechten gegenüber dem Anbieter des Telekommunikationsdienstes nicht entgegen, wenn diese Rechte statt durch den betroffenen Endnutzer durch seinen Erben oder eine andere berechtigte Person, die zur Wahrnehmung der Rechte des Endnutzers befugt ist, wahrgenommen werden.“
„Was ist denn jetzt mit diesen Cookie-Bannern?“
Ein viel beachteter Bereich – so trifft er nämlich auf alle Webseitenbetreiber zu – ist die Frage der Regelung zu Cookies und im Zuge dessen der Cookie-Banner. Welche Änderungen oder gar Verbesserungen sind hier zu erwarten?
Kurz gesagt: im Kern ändert sich zur derzeit herrschenden Auffassung nichts. Denn wirft man einen Blick in § 25 Abs. 1 TTDSG, so stellt man fest, dass weiterhin eine Einwilligung für Cookies grundsätzlich vorzuliegen hat:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [= EU-Datenschutzgrundverordnung] zu erfolgen.“
Ein Webseitenbetreiber muss also auch unter der Geltung des neuen TTDSG nach Einwilligungen der Nutzer fragen. An die Einwilligung werden die hohen Anforderungen der DSGVO (ausreichend informiert, ausdrücklich, freiwillig) gestellt – inwieweit dies im Einzelfall (Stichwort: „Was passiert mit meinen Daten bei Google genau?“) überhaupt möglich ist, ist eine andere Frage, die sich aber bereits unabhängig des neuen Gesetzes gestellt hat.
„Die Einwilligung nach Absatz 1 ist nicht erforderlich,
(…)
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Während in der Nummer 1 ein Sonderfall der reinen Telekommunikation abgebildet ist, bedarf es bei der zweiten Ausnahmeregelung der Auslegung der unbestimmten Rechtsbegriffe „ausdrücklich erwünscht“ und „unbedingt erforderlich“.
Darunter sind sicherlich Cookies zu fassen, die der späteren Authentifizierung dienen sollen oder den gefüllten Warenkorb sichern wollen.
Cookies, die über die reine Funktionalität der Webseite hinausgehen, fallen auf der anderen Seite nicht unter die Ausnahmeregelung und bedürfen der Einwilligung.
Als kleine Orientierungshilfe für Webseitenbetreiber: Im Umgang – insbesondere mit Tracking oder Analysetools – ändert sich am 1. Dezember 2021 nichts. Die Cookie-Banner werden uns alle also noch ein Stück weit begleiten.
Schutzzweck des TTDSG
Während die DSGVO lediglich personenbezogene Daten umfasst, steht beim neu-geschaffenen TTDSG der Schutz der informationellen Integrität des Endgerätes im Mittelpunkt. Ein Personenbezug spielt somit keinerlei Rolle. Sollten also durch Cookies Daten erhoben werden, die keine Rückschlüsse auf den Endnutzer zulassen, ist trotzdem der Anwendungsbereich des TTDSG eröffnet.
Was passiert aber, wenn bei der Analyse der Nutzer gänzlich auf Cookies verzichtet werden sollte? – Bei einer solchen Analyse gibt es seitens der Webseitenbetreiber keinerlei Eingriff – wie eben bei Cookies – in die Integrität der Endgeräte. Der Schutzzweck des TTDSG ist nicht berührt und damit der Anwendungsbereich gar nicht erst eröffnet. Die Beurteilung der Rechtmäßigkeit orientiert sich in solchen Fällen also nach der DSGVO. Werden also Daten anonym ausgewertet, die sich bereits auf dem eigenen Server befinden – und nicht auf dem Endgerät – ist eine einwilligungsfreie Analyse nach unserer Auffassung auch künftig möglich (vertiefend hier). Im Zuge eines solchen Vorgehens ist noch auf das Widerspruchsrecht hinzuweisen sowie ein Hinweis in der Datenschutzerklärung anzubringen.
PIMS als Lösungsansatz?
„PIMS“: darunter versteht man „Privacy Information Management System“. Der deutsche Gesetzgeber hat in § 26 TTDSG dieser Lösungsidee einen Weg ins Gesetz geebnet. Auf Grundlage einer noch zu schaffenden nationalen Rechtsverordnung soll es ermöglicht werden, Einwilligungen über Managementsysteme zu verwalten. Hat man als Endnutzer also Voreinstellungen getroffen, werden bestimmte Dienste (bspw. Cookies) umgehend blockiert, ohne dass ein Cookie-Banner durchgeklickt werden muss. – Eigentlich eine gute Idee.
Fraglich wird hier jedoch die Umsetzung. Gelingt es dem Verordnungsgeber, derartige PIMS so zu fassen, dass sich verschiedene Seitenbetreiber dem unterwerfen, kann es einen echten Mehrwert für den einzelnen Endnutzer haben. Der User hat dann tatsächlich die Möglichkeit, für ihn übersichtlich zu entscheiden, wo welche seiner Daten landen dürfen.
Auf der anderen Seite besteht die Gefahr, dass sich diese Idee als nationaler Sonderweg eben nicht durchsetzt und Seitenbetreiber weiterhin nach einer Einwilligung für bestimmte Datenverarbeitungen fragen. Auch wird die Befürchtung geäußert, derartige PIMS könnten durch große Unternehmen wie Google angeboten werden, so dass letztlich zwar eine Einwilligungsverwaltung gegeben wäre, man aber nicht weiß, wo letztlich die personenbezogenen Daten überall landen könnten.
Welche Aufsicht ist zuständig?
Am Ende des neuen Gesetzes finden sich auch neue Zuständigkeiten für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), § 29 Abs. 1, 2 TTDSG:
„Soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen verarbeitet werden (…).“
Da das TTDSG die Chance nicht ergriff, das Thema „Private Nutzung unternehmenseigener Geräte“ nicht abschließend zu klären, könnte ein Arbeitgeber, der eine solche Privatnutzung zulässt, Gefahr laufen, weiterhin als Anbieter von Telekommunikationsdienstleistungen zu gelten. Die daraus folgenden Fragestellungen (Stichwort: Fernmeldegeheimnis) unterfielen nun allesamt der Zuständigkeit des BfDI.
„Erfolgt die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, durch Anbieter von Telekommunikationsdiensten oder durch öffentliche Stellen des Bundes (…).“
Fazit
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien hat aus Sicht vieler die Chance verpasst, auf konkrete Probleme der Praxis einzugehen und in diesen Fällen für Rechtssicherheit zu sorgen. Stattdessen hat man sich auf das notwendige Maß begrenzt, um eine Harmonisierung mit europäischen Vorgaben zu erreichen. Große Neuerungen sind daher allenfalls auf europäischer Ebene durch die Schaffung einer e-Privacy-Verordnung zu erwarten.