Mit dem am 1. Dezember 2021 in Kraft tretenden Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird ein jahrelanger Schwebezustand in der deutschen Gesetzgebung zum Datenschutz bei Telemediendiensten beendet sowie die in Teilen unübersichtliche nationale Rechtslage zu datenschutzrechtlichen Vorschriften im Bereich Telemedien und Telekommunikation behoben. Anbieter von Telemedien müssen bei der Speicherung von und dem Zugriff auf Informationen in Endeinrichtungen von Endnutzern, worunter insbesondere das Setzen von Cookies fällt, Vorgaben beachten, die aus der „Planet49“-Rechtsprechung von EuGH und BGH bereits bekannt sind. Auch für das Telekommunikationsrecht hält das Gesetz Neuerungen bereit

Das neue TTDSG fasst die bestehenden datenschutzrechtlichen Vorschriften aus dem Telekommunikationsgesetzes (TKG) und dem Telemediengesetz (TMG) in einem Gesetz zusammen und beinhaltet auch die seit langem überfällige Umsetzung von Art. 5 Abs. 3 der ePrivacy-RL (RL 2002/58/EG in der durch die RL 2009/136/EG geänderten Fassung). Die Regelung ist in Deutschland vor allem durch die Rechtssache „Planet49“ bekannt (EuGH-Urteil v. 01.10.2019, Az. C-673/17, und BGH-Urteil v. 28.05.2020, Az. I ZR 7/16), in welcher der BGH die Vorgängerregelung zu § 25 TTDSG (§ 15 Abs. 3 TMG) auf gewöhnungsbedürftige Art und Weise richtlinienkonform ausgelegt hat (hier können Sie das Webinar von Corinna Grasmück und Martin Schirmbacher zum Thema ansehen). Mit dem TTDSG soll das Verhältnis der auf der ePrivacy-RL basierenden nationalen Vorschriften zur DSGVO klarer gefasst werden und die Rechtsanwendung durch ein einheitliches Gesetz erleichtert werden.

Abgelöst wird das TTDSG mittelfristig durch die ePrivacy-Verordnung, deren Gesetzgebungsprozess auf unionaler Ebene jedoch seit längerem stockt und deren Inkrafttreten (noch) nicht absehbar ist. Insgesamt wird das TTDSG jedoch nur eine begrenzte Geltungsdauer besitzen.

Anwendungsbereich

Aus datenschutzrechtlicher Sicht bei Telemedien sind beim (sachlichen) Anwendungsbereich des TTDSG vor allem § 1 Nr. 2 sowie Nr. 5 TTDSG von Relevanz. Demnach beinhaltet das TTDSG zum einen „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien“ sowie zum anderen „die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen“. Anbieter von Telemedien ist nach der Definition in § 2 Abs. Nr. 1 TTDSG „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“. Dem räumlichen Anwendungsbereich unterliegen alle Unternehmen oder Personen, die im Geltungsbereich des TTDSG eine Niederlassung haben, Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen (§ 1 Abs. 3 TTDSG).

Die Telemedien-Definition ergibt weiterhin aus § 1 Abs. 1 S. 1 TMG, wonach unter Telemedien alle elektronischen Informations- und Kommunikationsdienste zu verstehen sind, soweit sie nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind. Hierunter fallen z.B. alle Online-Angebote mit unmittelbarer Bestellmöglichkeit von Waren oder Dienstleistungen, Video-on-Demand-Dienste oder einfache informatorische Websiten von Unternehmen.

Die „Cookie-Regelung“ in § 25 TTDSG

25 TTDSG regelt die „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“. Hauptanwendungsfall der Regelung ist das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting). Aufgrund der technologieneutralen Formulierung der Vorschrift und der Begriffsdefinition zur Endeinrichtung (§ 2 Abs. 2 Nr. 6 TTDSG) können aber auch andere Konstellationen erfasst sein, beispielsweise die Speicherungen von oder der Zugriff auf Informationen in Autos, Fernsehern oder smarten Haushaltsgeräten. Der Anwendungsbereich der Vorschrift ist zudem nicht wie in der DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.

Die Regelung führt das bereits aus der ePrivacy-RL und Rechtsprechung bekannte Konzept fort, wonach die Speicherung von oder der Zugriff auf Informationen in der Endeinrichtung einwilligungsbedürftig ist, wenn die Speicherung oder der Zugriff nicht unbedingt für die Zurverfügungstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes erforderlich ist (§ 25 Abs. 2 Nr. 2 TTDSG). Der andere Ausnahmefall von der Einwilligungsbedürftigkeit ist die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.

Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.

Durch die in § 25 Abs. 1 TTDSG geregelte Einwilligungsbedürftigkeit ergeben sich hinsichtlich der eingangs erwähnten EuGH- und BGH-Rechtsprechung in Sachen „Planet49“ keine Neuerungen, bis auf den Umstand, dass die Einwilligungsbedürftigkeit erstmals im nationalen Recht ausdrücklich gesetzlich verankert wurde. Für die konkreten Bedingungen der Einwilligung verweist § 25 Abs. 1 S. 2 TTDSG auf die bekannten Grundsätze von Art. 7 DSGVO, d.h. Freiwilligkeit, Informiertheit, Ausdrücklichkeit und jederzeitige Widerruflichkeit, während § 25 Abs. 1 S. 1 TTDSG lediglich vorgibt, dass die Einwilligung des Endnutzer auf Grundlage klarer und umfassender Informationen erfolgen muss. Vorteile ergeben sich dadurch insofern, als dass eine Einwilligung nach dem TTDSG mit zusätzlichen Einwilligungen zur Verarbeitung von personenbezogenen Daten kombiniert werden kann, um weitere Datenverarbeitungsvorgänge nach Art. 6 Abs. 1 S. 1 lit. a DSGVO zu rechtfertigen.

Umstritten bleibt auch unter Geltung von § 25 TTDSG weiterhin die Frage, inwiefern wirtschaftliche Interessen des Telemedienanbieters dazu geeignet sind, eine unbedingte Erforderlichkeit zur Bereitstellung des Telemediendienstes zu begründen. Unternehmen, die einen solchen Weg beabsichtigen einzuschlagen, sollten dies unter Zuhilfenahme interner oder externer juristischer Fachexpertise prüfen und entsprechende Argumentationsstrukturen aufbauen, um Prüfungen von Aufsichtsbehörden oder sonstigen Verfahren begegnen zu können. Ähnlich verhält es sich mit Konstellationen, in denen eine auf die Speicherung oder den Zugriff von Informationen aufbauende Datenverarbeitung durch berechtigte Interessen (vgl. Art. 6 Abs. 1 S. 1 lit. f DSGVO) gerechtfertigt ist, da diese Möglichkeit im Entweder-oder-Schema des § 25 TTDSG nicht vorgesehen ist.

Weitere Vorgaben zum Setzen von Cookies, beispielsweise die im Rahmen des Gesetzgebungsverfahrens diskutierte Idee der Aufnahme von Vorgaben für die (optische) Gestaltung von „Cookie-Bannern“ bzw. Consent-Management-Systemen, enthält die Regelung nicht.

Im Rahmen von § 25 TTDSG statuiert das Gesetz neben dem DSGVO-Verweis für die Bedingungen der Einwilligung keine weiteren Pflichten für Anbieter von Telemediendiensten. Zu beachten ist aber, dass jegliche Datenverarbeitungen, die auf der Speicherung von Informationen in der Endeinrichtung oder auf dem Zugriff auf bereits in der Endeinrichtung gespeicherten Informationen beruhen, die Anforderungen der DSGVO (insbesondere das Vorliegen einer tragfähigen Rechtsgrundlage nach Art. 6 DSGVO sowie die Einhaltung der Informationspflichten) beachten und einhalten müssen.

Was sind sog. „Personal Information Management Systeme“ (§ 26 TTDSG)?

26 des TTDSG beinhaltet eine Vorschrift für sog. „Anerkannte Dienste zur Einwilligungsverwaltung“, auch „Personal Information Management Systeme“ oder kurz „PIMS“ genannt. Diese Dienste können von einer unabhängigen Stelle anerkannt werden, wenn sie nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung von Einwilligung zur Verfügung stellen und kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben. Sie dürfen die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen zudem für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten und müssen ein Sicherheitskonzept vorlegen, das aus Sicht der Datensicherheit insbesondere die Vorgaben der DSGVO erfüllt.

Absatz 2 der Vorschrift ermächtigt die Bundesregierung zum Erlass einer Rechtsverordnung, in welcher die konkreten Anforderungen an die anerkannten Dienste zur Einwilligungsverwaltung festgelegt werden können. Aufgrund der Verfahrensanforderungen (Einholung von Gutachten, Verbändeanhörung, Notifizierungsverfahren bei der EU-Kommission, Ressortabstimmung sowie Zustimmung von Bundestag und Bundesrat) ist nach Aussage von Rolf Bender vom Bundesministerium für Wirtschaft und Energie auf dem Datentag der Stiftung Datenschutz (3. November 2021) frühestens Ende 2022 mit dem Erlass der Rechtsverordnung zu rechnen.

Abzuwarten bleibt, ob und inwiefern die umstrittenen PIMS für Nutzer und Unternehmen Erleichterungen bringen, ebenso wie die Frage, ob browserseitige Signale unter die Regelung von § 26 TTDSG fallen können.

Zuständigkeiten und Bußgeldrahmen

Teil 4 des TTDSG (§§ 27 bis 30) regelt die Straf- und Bußgeldvorschriften sowie die entsprechenden Zuständigkeiten für die Aufsicht und Ahndung von Verstößen gegen Vorschriften des Gesetzes.

Für die Anbieter von Telemediendiensten sind vor allem § 28 Abs. 1 Nr. 13 und Abs. 2 von Bedeutung. Ein Verstoß gegen § 25 Abs. 1 S. 1 TTDSG kann als Ordnungswidrigkeit mit einer Geldbuße in Höhe von bis zu 300.000 Euro geahndet werden. Zuständige Aufsichtsbehörden sind die entsprechend in den Bundesländern für zuständig erklärten Landesbehörden (vgl. § 1 Abs. 1 Nr. 8 TTDSG).

Eine Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ergibt sich für Telekommunikationsdiensteanbieter sowie für öffentliche Stellen des Bundes, soweit keine Zuständigkeit der Bundesnetzagentur nach § 30 TTDSG begründet ist.

Weitere Regelungsinhalte

Parallel zur Schaffung des TTDSG hat der Bundesgesetzgeber auch das TKG modernisiert. Mit der Novellierung des TKG und der Schaffung des TTDSG werden bestehende Schutzlücken geschlossen und auch der europäische Kodex für die elektronische Kommunikation umgesetzt (RL (EU) 2018/1972).

Teil 2 (§§ 3 bis 18) des TTDSG enthält spezielle Vorschriften zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, welche überwiegend aus den §§ 88 ff. TKG in das neue TTDSG überführt werden. Kerninhalte sind insbesondere Bestimmungen zum Fernmeldegeheimnis und Abhörverboten (Stichwort „Vertraulichkeit der Kommunikation“) sowie zur Verarbeitung von Verkehrs- und Standortdaten.

Mit der Umsetzung des europäischen Kodex für die elektronische Kommunikation (RL (EU) 2018/1972) werden vom TTDSG und TKG auch sogenannte „Over-the-top“ (OTT)-Dienste erfasst, die als nummernunabhängige interpersonelle Kommunikationsdienste, die über elektronische Kommunikationsnetze angeboten werden, definiert sind. Hierunter fallen alle Dienste, die Kommunikation ermöglichen, wie beispielsweise Voice-over-IP (VoIP-)Telefonie, Messaging, Videokonferenzen oder webbasierte E-Mail-Dienste. Der Anwendungsbereich des Fernmeldegeheimnisses und ihm unterfallenden Unternehmen wird also erheblich ausgeweitet.

Bisher nicht geklärt ist hingegen die Frage, ob nunmehr auch Arbeitgeber, welche die private Nutzung von dienstlichen Kommunikationsmitteln gestatten, unter die Regelungen des TTDSG zum Fernmeldegeheimnis fallen.

Die bisher in Abschnitt 5 des TMG geregelten Vorschriften für Telemedienanbieter (insbesondere zu Auskunftsverfahren und -pflichten bei Bestands- und Nutzungsdaten sowie Passwörtern und anderen Zugangsdaten) finden sich nunmehr in den §§ 21 ff. TTDSG. Technische und organisatorische Vorkehrungen, die Anbieter von Telemediendiensten erfüllen müssen, sind in § 19 TTDSG geregelt.

Handlungsempfehlungen

  • Aufstellung bzw. Überprüfung sämtlicher eingesetzter Cookies und vergleichbarer Maßnahmen auf Websites
  • Identifizierung weiterer Sachverhalte, in den Informationen in Endeinrichtungen gespeichert werden oder auf dort gespeicherte Informationen zugegriffen werden soll
  • Klassifizierung und Einordnung der unterschiedlichen Vorgänge in „unbedingt erforderlich“ und „einwilligungsbedürftig“
  • Anpassung von Rechtsgrundlagen und des Einwilligungsmanagements
  • Überprüfung der auf das Speichern oder den Zugriff von Informationen aufbauenden Datenverarbeitung aus DSGVO-Sicht
  • Überprüfung, ob und inwieweit die sonstigen Telemediendatenschutz- und Telekommunikationsdatenschutzregelungen auf das eigene Business anwendbar sind