Das Datenschutz-Gesetz für Telekommunikation und Telemedien (TTDSG)

Seit dem 1. Dezember 2021 gilt in Deutschland das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien – kurz TTDSG. Ein neues Gesetz bringt in aller Regel Veränderungen mit sich – eine neue Norm bedeutet neue Spielregeln, die fortan gelten. Wer mit dieser Erwartungshaltung an das TTDSG herangeht, wird jedoch enttäuscht werden. Denn für die meisten Unternehmen ändert sich in der Praxis nur wenig bis gar nichts.

Mit dem TTDSG werden Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) zusammengeführt und überarbeitet. Dabei schafft der Gesetzgeber nur wenig Neues.

Vielmehr setzt er vor allem die europäische ePrivacy-Richtlinie 2002/58/EG, 2009, ergänzt um die Regelungen zu Cookies durch die Richtlinie 2009/136/EG, welche Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation trifft, in nationales Recht um. Ziel war es laut Bundesministerium für Wirtschaft und Energie (BMWI) „mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt“ zu schaffen.

Für alle die sich jetzt berechtigterweise fragen „Warum erst jetzt?“ – ein kleiner Exkurs:

Anders als Verordnungen (wie z.B. die DSGVO), entfalten Richtlinien keine unmittelbare Regelungswirkung. Richtlinien müssen von den Mitgliedsstaaten erst in nationales Recht umgesetzt werden.

In Deutschland war jedoch die Umsetzung der ePrivacy-Richtlinie nicht wie vorgeschrieben erfolgt. Ein formeller Umsetzungsakt der ePrivacy-Richtlinie in der Fassung der Änderung durch die Richtlinie 2009/136/EG ist im 4. Abschnitt des – nun alten – Telemediengesetzes (TMG) nicht inkludiert. Insbesondere fehlte es bisher an einem Umsetzungsakt für Art. 5 Abs. 3 der ePrivacy-Richtlinie (darin geht es um Cookies) im deutschen Recht insgesamt. Der bisherige Streit, ob eine richtlinienkonforme Auslegung des TMG möglich sei oder nicht, wurde vom BGH mit einer sehr kreativen Auslegung (Widerspruchslösung meint Einwilligungserfordernis) für beendet erklärt. Befriedigend war diese Lösung aber nicht. Diese Situation wurde vom Gesetzgeber nun mit dem TTDSG aufgegriffen.

Gerade was die relevanten Regelungen zum Einsatz von Cookies oder ähnlichen Technologien angeht, ergibt sich daher nichts Neues. Wer solche Technologien bisher nach alter Rechtslage (wichtig: Das schließt die Berücksichtigung der BGH- und EuGH-Rechtsprechung mit ein!) einsetzt, wird nichts ändern müssen.

Die wenigen wirklichen Neuerungen sind vor allem:

  • Die Modernisierung des TKG. Erfasst wird nun auch sogenannter „over-the-top content“ (OTT). Das wohl bekannteste Beispiel für einen solchen Dienst ist der Streaming Service Netflix.
  • Die Aufnahme einer Regelung über Dienste zur Einwilligungsverwaltung für Cookies und ähnliche Technologien. Bekannter unter dem Begriff „Personal Information Management-Systems“ (PIMS). Warum es sich dabei aber noch um Zukunftsmusik handelt, wird weiter unten im Text erläutert.

Inhalt des TTDSG

Aufgrund der höheren Relevanz für einen Großteil der Unternehmen, beschränken wir uns hier auf eine Betrachtung des Telemediendatenschutzes und der Regelungen zu Endeinrichtungen aus Teil 3 des Gesetzes und klammern den Datenschutz in der Telekommunikation in diesem Beitrag aus.

Im Folgenden erläutern wir kurz die wichtigsten Normen. Wer sich nur für das Thema Cookies und ähnliche Technologien interessiert, kann direkt zum Kapitel Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TTDSG) springen.

Hinweis: Sie finden das TTDSG, wie von der DSGVO und dem BDSG bereits gewohnt, auf der Website der activeMind.legal im Volltext übersichtlich dargestellt.

Telemediendatenschutz (§§ 19 – 24 TTDSG)

  • § 19 TTDSG: Dieser Paragraph enthält nicht auf den Datenschutz bezogene technische und organisatorische Maßnahmen (im TTDSG Vorkehrungen genannt) für Telemedienanbieter. Diese haben unter anderem sicherzustellen, dass
    • der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
    • die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym möglich ist, soweit dies technisch möglich und zumutbar ist und
    • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Störungen gesichert sind, auch soweit solche durch äußere Angriffe bedingt sind.
  • § 20 TTDSG: Daten, die zum Zweck des Jugendschutzes erhoben werden, dürfen nicht für andere, kommerzielle Zwecke, verarbeitet werden. In dieser Regelung besteht kein Mehrwert zur Zweckbindung nach DSGVO, womit sie im Grunde obsolet ist.
  • § 21-24 TTDSG: Herausgabepflichten bei Bestands- und Nutzungsdaten an Behörden oder nach gerichtlicher Anordnung (z.B., wenn es um Rechte des geistigen Eigentums oder um rechtswidrige Inhalte geht).

Schutz der Privatsphäre bei Endeinrichtungen (§ 25 TTDSG)

  • § 25 TTDSG ist die wohl wichtigste Norm des neuen TTDSG, da hier das Einwilligungserfordernis für Cookies und ähnliche Technologien geregelt wird. Wie weiter oben schon geschrieben, ergibt sich im Grunde nichts Neues zur bisherigen Rechtslage, die sich auf höchstrichterliche Rechtsprechung gestützt hat. Die nachstehenden Ausführungen sind daher im Kern eine Wiederholung der vor dem Inkrafttreten des TTDSG schon geltenden Rechtslage.

Die Norm ist technologieneutral formuliert („Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“). Das heißt, dass nicht nur Cookies erfasst sind, sondern zum Beispiel auch Fingerprint-Tracking. Es kommt auch nicht auf einen Personenbezug an. Erfasst sind alle Informationen, auch wenn sie nicht der Identifizierung einer Person dienlich sind. Anknüpfungspunkt der Norm ist die Endeinrichtung. Dabei ist Endeinrichtung ein sehr weiter Begriff, unter den nicht nur der klassische Computer, sondern auch Smartphones und andere smarte Geräte fallen. Letzteres kann vom mit dem Internet verbundenen Auto, über den smarten Kühlschrank und die Uhr bis zum Toaster reichen (Stichwort: Internet of Things).

  • § 25 TTDSG statuiert in diesem Anwendungsbereich ein explizites Einwilligungserfordernis, erlaubt aber zwei Ausnahmen. Vor allem die zweite Ausnahme ist dabei von hoher Relevanz. Nach dieser besteht kein Einwilligungserfordernis, „wenn die Speicherung […] oder der Zugriff […] unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Erforderlich heißt in diesem Kontext technisch erforderlich. Für eine Nützlichkeits- oder Bequemlichkeitsabwägung bleibt kein Raum. Ein klassisches Beispiel für eine Fehlannahme wäre hier der Google Tag Manager. Dieser ist technisch nicht erforderlich, wird aus Bequemlichkeit aber gerne verwendet und von Websitebetreibern dann kurzerhand als essenziell eingestuft. Hier drohen Bußgelder – und das nicht erst seit Inkrafttreten des TTDSG.

Etwas offener – und wohl nicht immer trennscharf – zu beantworten ist die Frage nach der ausdrücklichen Erwünschtheit eines Dienstes vom Nutzer. Man wird sich dabei aber auf die bisherige behördliche und gerichtliche Einschätzung stützen dürfen. Demnach wären zum Beispiel der Warenkorb eines Onlineshops oder der Login auf einer Website oder in einer App gewünschte Funktionen, für die folglich Cookies auch ohne Einwilligung verwendet werden dürfen. Auch das Cookie für einen auf einer Website eingebundenen Videoplayer kann darunterfallen, wenn der Nutzer mit dem Player interagiert hat. Jedoch nicht davor. Hier ist eine Zwei-Klick-Lösung essentiell.

Nicht unter gewünschte Dienste fallen ganz klar und unstrittig jegliche Tracking- und Marketingtools. Sei es über Cookies oder über andere Technologien wie Fingerprinting. Dass solche Funktionen ausdrücklich vom Nutzer gewünscht werden, darf nicht angenommen werden. Es bedarf daher in solchen Fällen immer einer ausdrücklich erteilten Einwilligung.

Dienste zur Einwilligungsverarbeitung (§ 26 TTDSG)

In seinem § 26 regelt das TTDSG die sog. Personal Information Management Systems (PIMS). Die oben unter § 25 TTDSG beschriebene Einwilligung in das Speichern oder Auslesen von Informationen, z.B. zu Marketingzwecken, soll gegenüber bestimmten Diensten (Datentreuhändern) erteilt werden können, die diese dann für den Nutzer verwaltet. Vereinfacht kann man sich darunter ein alle oder zumindest sehr viele Websits umfassendes Cookie-Consent-Banner vorstellen.

Der Grundgedanke hinter der Regelung ist einleuchtend und das Vorgeben eines solchen Systems erscheint an sich sinnvoll. Die Umsetzung im TTDSG ist jedoch kritikwürdig. Zum einen wäre da der Umstand, dass es zunächst einer Rechtsverordnung bedarf, die die genaueren Umstände regelt. Zum anderen die Unklarheit bezüglich der technischen und damit praktischen Umsetzung eines solchen Systems. Wir haben es hier daher mit Zukunftsmusik zu tun. Momentan und in absehbarer Zeit ist die Regelung noch nicht von Relevanz. Was angesichts dessen, dass hier eine Lösung für die allseits ungeliebten Cookie-Consent-Banner, die einem auf fast jeder Website begegnen, geboten wäre, schade ist.

Kein großer Wurf und ein Gesetz mit Ablaufdatum

Das TTDSG bringt, wie aufgezeigt, wenig Neues. Wer in Bezug auf den Einsatz von Cookies oder ähnlichen Technologien, wie z.B. dem Fingerprint-Tracking, bisher schon konform war, wird das auch nach Inkrafttreten des TTDSG sein und hat keinen Handlungsbedarf. Für alle anderen sollte das TTDSG ein Weckruf sein. Spätestens jetzt ist damit zu rechnen, dass die Aufsichtsbehörden den mit dem TTDSG erweiterten Bußgeldrahmen ausschöpfen werden.

Schade ist, dass der Gesetzgeber die Chance vertan hat, neue sinnvolle Regelungen von Relevanz zu schaffen. Der Ankündigung von mehr Rechtssicherheit und Rechtsklarheit durch das TTDSG wurde der Gesetzgeber in unseren Augen nicht gerecht. Klarheit bestand in vielen Punkten schon durch die verbindlichen Vorgaben der höchstrichterlichen Rechtsprechung. Vor allem aber bleibt das, was vorher unklar war, immer noch unklar. Normadressaten müssen sich nach wie vor auf eine Konkretisierung durch Rechtsprechung und Aufsichtsbehörden verlassen.

Bei aller Kritik muss man aber fairerweise berücksichtigen, dass das neue Gesetz nur eine Übergangslösung sein wird. Wenn die sich seit längerem in Brüssel im Entwurf befindliche ePrivacy Verordnung in absehbarer Zeit finalisiert wird, kann es gut sein, dass ein Großteil der Regelungen des TTDSG, insbesondere in Bezug auf Cookies und ähnliche Technologien, überholt sein wird. Vermutlich wird das jetzt bestehende Schutzniveau des TTDSG dann sogar unterlaufen werden. Darauf deuten die momentan verfügbaren Informationen zur Entwicklung der Verordnung hin. Vor diesem Hintergrund erscheint der pragmatische Ansatz des Gesetzgebers wiederum sehr verständlich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.