01.12.2021 | IT-Recht und Datenschutz
1. Zweck des Gesetzes
In dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) sollen einerseits die bereichsspezifischen Regelungen zum Datenschutz aus dem Telekommunikationsgesetz („TKG“) und dem Telemediengesetz („TMG“) zusammengefasst werden. Dies soll Rechtsunsicherheit im Bereich datenschutzrechtlicher Fragestellungen durch das Nebeneinander der Datenschutz-Grundverordnung („DSGVO“), des TMG und des TKG beseitigen.
Ferner wird durch das TTDSG endlich die ePrivacy-Richtlinie umgesetzt (Richtlinie 2002/58/EG in der durch die Richtlinie 2009/136/EG geänderten Fassung).
2. Anwendungsbereich
Der persönliche Anwendungsbereich des TTDSG ist in § 1 TTDSG geregelt. Runtergebrochen umfasst das TTDSG
- alle Unternehmen und Personen, die in Deutschland eine Niederlassung haben oder Dienstleistungen erbringen bzw. daran mitwirken bzw. Waren auf dem Markt bereitstellen und
- Dienste der Telemedien oder der Telekommunikation bereitstellen.
3. Wesentliche Neuerungen für Anbieter von Telekommunikationsdiensten
Das TTDSG übernimmt zum Großteil Regelungen aus dem TMG und TKG. Jedoch ergeben sich insbesondere für Telekommunikationsanbieter einige Neuerungen, die man beachten muss.
a) Digitales Erbe, § 4 TTDSG
In § 4 TTDSG wird geregelt, dass das Fernmeldegeheimnis im Todesfalle eines Endnutzers die Erben oder sonstige Berechtigten nicht daran hindert, Rechte gegenüber Anbietern von Telekommunikationsdiensten geltend zu machen.
Das bedeutet, dass Erben, Testamentsvollstrecker, Nachlasspfleger, Nachlassverwalter oder Nachlassinsolvenzverwalter Zugriff auf die Telekommunikation des Verstorbenen nehmen können, ohne dass das Fernmeldegeheimnis dem entgegenstehen kann.
Interessant wird die Anwendung dieser Regelung in der Praxis werden, da sie einige Interessenkonflikte mit sich bringen kann. Einerseits kann nicht in jedem Falle davon ausgegangen werden, dass ein Zugriffsrecht der Erben oder sonstigen Berechtigten auf die Telekommunikation im Interesse des Verstorbenen liegt. Außerdem schützt das Fernmeldegeheimnis neben dem Verstorbenen auch geraden den anderen Teilnehmer an der Kommunikation. Ob dieses Spannungsverhältnis immer zu Gunsten der Erben bzw. des Berechtigten entschieden wird, wird sich erst in der Praxis zeigen.
b) Erweiterter Anwendungsbereich auf OTT-Dienste
Im Zuge des Erlasses des TTDSG wurden auch Änderungen an den Definitionen des TKG vorgenommen. Hierdurch wurde der Anwendungsbereich des TKG und damit auch indirekt derjenige des TTDSG auf Dienste, welche über das Internet erbracht werden und deren Nutzung nicht an bestimmte Festnetz- oder Mobilfunkanschlüsse gebunden sind (sog. „Over-the-top“ Dienste, kurz „OTT“), erweitert. Klassische OTT-Dienste sind zum Beispiel Messenger Dienste wie Facebook Messenger oder WhatsApp.
Konsequenz: Für Anbieter von OTT-Diensten gelten höhere Anforderungen als bisher. Es sind nicht nur die allgemeinen datenschutzrechtlichen Vorgaben der DSGVO zu beachten, sondern ebenfalls die für Telekommunikationsanbieter geltenden Regelungen des TTDSG.
4. Auswirkungen auf Cookies und sonstige Technologien bei Telemedien
a) Grundsätzliches Einwilligungserfordernis
In § 25 Abs. 1 TTDSG ist nunmehr ein ausdrückliches Einwilligungserfordernis geregelt für den Fall, dass
- Informationen in der Endeinrichtung des Endnutzer gespeichert werden oder
- auf in der Endeinrichtung bereits gespeicherte Informationen zugegriffen wird.
§ 25 TTDSG löst damit die richtlinienkonforme Auslegung des § 15 Abs. 3 TMG ab, welche durch den BGH im Urteil vom 28.05.2020 (Az. I ZR 7/16 - „Planet 49“) vorgenommen wurde.
Zu beachten ist, dass § 25 TTDSG technologieneutral ist. Das bedeutet, dass sowohl Cookies, Plugins, Pixel, Browser Fingerprinting und sonstige Technologien erfasst sind. Zudem beschränkt sich der Anwendungsbereich nicht auf personenbezogene Daten, sondern erfasst sämtliche Informationen, losgelöst davon, ob ein Personenbezug herstellbar ist oder nicht. Geschützt durch die Regelungen wird nämlich die Privatsphäre der Endnutzer und nicht die Integrität personenbezogener Daten.
Die Informationen an den Endnutzer und die Einwilligung selbst muss gemäß den Anforderungen der DSGVO, insbesondere Art. 4 Nr. 11, Art. 7 DSGVO, erfolgen. Dies ergibt sich aus § 25 Abs.1 S. 2 TTDSG.
b) Ausnahmen von der Einwilligung
Die Ausnahmen von dem grundsätzlichen Erfordernis der Einholung einer Einwilligung sind in § 25 Abs. 2 TTDSG geregelt. Demnach ist eine Einwilligung nicht erforderlich, wenn
- der Zugriff auf in der Endeinrichtung gespeicherte Informationen oder die Speicherung von Informationen in der Endeinrichtung allein zu dem Zweck erfolgt, um eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen (Nr. 1)
- der Zugriff auf in der Endeinrichtung gespeicherte Informationen oder die Speicherung von Informationen in der Endeinrichtung unbedingt erforderlich ist, damit der Anbieter des Telemediendienstes dem Nutzer einen ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2).
Die Praxis hatte auf die Benennung von Fallgruppen oder Beispielen für die Entbehrlichkeit der Einwilligung gehofft, dem ist der Gesetzesgeber jedoch nicht nachgekommen. Damit wird auch das TTDSG die Unsicherheiten im Einwilligungsdschungel bei Cookies und sonstigen Technologien nicht beseitigen können. Am praxisrelevantesten wird die zweite Ausnahme sein, welche in § 25 Abs.2 Nr. 2 TTDSG geregelt ist.
Wann von einer sogenannten „unbedingten Erforderlichkeit“ auszugehen ist, bleibt jedoch weiterhin ungewiss. Dieses Merkmal wird erst durch die Praxis der Aufsichtsbehörden und die Rechtsprechung in Deutschland konturiert werden.
Praxistipp: Da § 25 Abs. 2 TTDSG eine Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie ist, macht es Sinn einen Blick in die Auslegung und Anwendung der Norm durch andere Aufsichtsbehörden der EU zu werfen. Zwar ist zu erwarten, dass deutsche Aufsichtsbehörden zu § 25 Abs. 2 TTDSG eigene Orientierungshilfen veröffentlichen werden. Bis dahin hat man jedoch zumindest eine gute Argumentationsgrundlage gegenüber deutschen Aufsichtsbehörden, wenn man sich an der bisherigen Praxis anderer europäischen Aufsichtsbehörden zu Art. 5 Abs. 3 der ePrivacy-Richtlinie bei der Umsetzung im eigenen Unternehmen orientiert.
c) Verhältnis zwischen § 25 TTDSG und der DSGVO
Werden durch das Speichern von Informationen in die Endeinrichtung oder bei dem Zugriff auf gespeicherte Informationen in Endeinrichtungen zugleich personenbezogene Daten verarbeitet, so konkurriert § 25 TTDSG mit der DSGVO. Damit stellt sich in der Praxis die Frage, wie damit umzugehen ist.
Das Verhältnis der DSGVO zu der ePrivacy-Richtlinie und damit auch dem TTDSG als nationales Umsetzungsgesetz, ist in Art. 95 DSGVO geregelt. Demnach gehen die besonderen Pflichten des TTDSG vor, soweit sie dasselbe Ziel verfolgen wie die DSGVO. Nach Ansicht der Gesellschaft für Datenschutz und Datensicherheit e.V. („GDD“) ist das Verhältnis zwischen § 25 TTDSG und der DSGVO jedoch nicht eindeutig.
Die GDD empfiehlt in ihrer GDD-Praxishilfe „Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) im Überblick“ für die Fälle in denen personenbezogene Daten natürlicher Personen verarbeitet werden und damit sowohl das TTDSG als auch die DSGVO anwendbar wären, eine zweistufige Prüfung.
Stufe 1: Zugriff auf die Endeinrichtung
Werden im Rahmen des Zugriffs auf die Endeinrichtung ebenfalls personenbezogene Daten natürlicher Personen verarbeitet, so sollte zunächst geprüft werden, ob ein Ausnahmetatbestand von dem Erfordernis einer Einwilligung nach § 25 Abs. 2 TTDSG vorliegt. Ist dies der Fall, so wird in der Regel ebenfalls eine Rechtfertigung nach Art. 6 Abs. 1 DSGVO in Frage kommen.
Ist eine Einwilligung hingegen nach § 25 Abs.1 TTSGG erforderlich, so kann diese die Verarbeitung der personenbezogenen Daten mitabdecken.
Stufe 2: Weiterverarbeitung personenbezogener Daten
Die weitere Verarbeitung von personenbezogenen Daten, welche durch Zugriff auf die Endeinrichtung erlangt wurden, richtet sich allein nach den Anforderungen der DSGVO und den nationalen Datenschutzgesetzen, wie bspw. dem Bundesdatenschutzgesetz (BDSG).
d) Schicksal der Cookie-Banner
Spannend bleibt weiterhin die Frage, ob Cookie-Banner eine Zukunft haben. In § 26 TTDSG wurde eine Regelung zu anerkannten Diensten zur Einwilligungsverwaltung aufgenommen. In der Praxis ist dies unter dem Schlagwort Personal-Information-Management-System („PIMS“) bekannt.
Ambitioniertes Ziel ist die Schaffung eines website-übergreifenden Einwilligungsmanagementsystems, in dem die Nutzer einmalig angeben können, zu welchen Diensten sie ihre Einwilligung erteilen bzw. ihre Einwilligung versagen, sodass Cookie-Banner obsolet wären.
Würde sich ein PIMS durchsetzen, könnte dies das Ende der Cookie-Banner-Flut bedeuten und sowohl für Behörden und Unternehmen als auch für die jeweiligen Website-Besucher eine erhebliche Erleichterung mit sich bringen. Wie solch ein PIMS funktionieren soll, welche Anforderungen an technische und organisatorische Maßnahmen zu stellen sind, wie die unterschiedlichen Beteiligten wie z.B. der Browseranbieter und der Anbieter des Telemediendienstes zusammenarbeiten müssen und wie das Verfahren für die Anerkennung auszusehen hat, wird gemäß § 26 Abs. 2 TTDSG die Bundesregierung mit Zustimmung des Bundestages und des Bundesrates jedoch erst durch eine Rechtsverordnung konkretisieren. Das TTDSG selbst trifft hierzu keinerlei Aussagen.