ORIENTIERUNGSHILFE DER AUFSICHTSBEHÖRDEN FÜR ANBIETER:INNEN VON TELEMEDIEN

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  


WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“


WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.


WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“
Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.


WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.


FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Orientierungshilfe
  • Telemedien
  • TTDSG
Lesen

BRINGT DAS TTDSG ÄNDERUNGEN FÜR DIE PRIVATNUTZUNG BETRIEBLICHER INFORMATIONS- UND KOMMUNIKATIONSTECHNIK?

Nun ist es (endlich) so weit: Seit dem 1. Dezember 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Über die Entwicklung und den Weg des TTDSG haben wir bereits früher berichtet (hier, hier und hier). Grob lässt sich zusammenfassen, dass das Gesetzgebungsverfahren, sagen wir recht zügig sein Ende fand. Eventuell lässt sich hierin der Auslöser entdecken, dass die Diskussionen über etliche rechtlichen und praktischen Fragestellungen, die das TTDSG mit sich bringt, an Fahrt aufgenommen haben.

Neben dem offensichtlichen Anwendungsfall für Internetseiten, zu denen die Landesaufsichtsbehörden zum einen verstärkte Kontrollen und zum anderen eine überarbeitete Orientierungshilfe in Aussicht gestellt haben, ergeben sich eine Reihe weitere Fragen. Eine neue rechtliche Betrachtung bedarf künftig unter anderem der Einsatz von Videokonferenzdienste, da diese als Telekommunikationsdienste im Sinne des TTDSG anzusehen sind. Hierüber haben wir ebenfalls bereits berichtet.

Eine weitere Problematik stellt sich mit Blick auf die Beschäftigtenverhältnisse. Die Rede ist von der Privatnutzung betrieblicher Informations- und Kommunikationstechnik (IuK) durch Beschäftigte, genauer gesagt die damit einhergehenden Kontroll- und Einsichtsrechte seitens der Arbeitgeber. Den Auslöser und die Behandlung der erneuten Dynamik dieser Problematik soll der nachfolgende Beitrag näher beleuchten.


WORUM GEHT ES EIGENTLICH?

Im Mittelpunkt der Diskussion steht die Frage, ob und inwiefern der Arbeitgeber seinen Beschäftigten die Privatnutzung betrieblicher IuK gestattet hat und ob er in diesen Fällen das Fernmeldegeheimnis zu wahren hat. Zunächst lohnt hierzu der Blick auf § 3 Abs. 1 TTDSG, welcher das vormals in § 88 TKG a.F. anzutreffende Fernmeldegeheimnis regelt:

„Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.“

Wer zur Wahrung des Fernmeldegeheimnis nach Abs. 1 verpflichtet ist, regelt § 3 Abs. 2 TTDSG:

„Zur Wahrung des Fernmeldegeheimnisses sind verpflichtet

1. Anbieter von öffentlich zugänglichen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

2. Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken,

3. Betreiber öffentlicher Telekommunikationsnetze und

4. Betreiber von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden.

Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.“

Wesentlich für die Betrachtung der Privatnutzungsproblematik sind die Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten nach § 3 Abs. 2 Satz 1 Nr. 2 TTDSG. Nach § 88 Abs. 2 Satz 1 TKG a.F. waren bisher zu Wahrung des Fernmeldegeheimnisses Diensteanbieter verpflichtet. Diensteanbieter war nach der Legaldefinition des § 3 Nr. 6 TKG a.F. jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt (lit. a)) oder an der Erbringung solcher Dienste mitwirkt (lit. b)). Unter Geschäftsmäßigkeit verstand man mit § 3 Nr. 10 TKG a.F. das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Nach der herrschenden Meinung zur bisher geltenden Rechtslage wurde ein Arbeitgeber, der den Beschäftigten seines Betriebes die Privatnutzung der betrieblichen IuK gestattet hatte, als ein solcher geschäftsmäßiger Diensteanbieter qualifiziert, da die Nutzung nachhaltig für private Zwecke erlaubt wurde. Dieser Ansicht folgten insoweit ebenfalls die Datenschutz-Aufsichtsbehörden.

Wie der Kollege Hansen-Oest in seinem Beitrag bereits treffend dargestellt hat, wäre die gesamte Situation vermeidbar gewesen, hätte denn der Gesetzgeber entsprechend den kritischen Stimmen aus der Fachwelt gelauscht, die bereits frühzeitig auf die Problematik hingewiesen haben.


WIESO IST DAS PROBLEMATISCH?

Die Entwurfsbegründung zum TTDSG ist zu § 3 zu entnehmen: „§ 3 enthält die derzeit in § 88 TKG enthaltene Regelung zum Fernmeldegeheimnis, die bis auf redaktionelle Anpassungen unverändert übernommen wird. Die Regelung setzt Artikel 5 Absatz 1 der E-Privacy-Richtlinie um.“ Und hier offenbart sich die tatsächliche Problemstellung: Art. 95 DS-GVO eröffnet das Verhältnis zwischen Datenschutz-Grundverordnung und ePrivacy-Richtlinie „nur“ für öffentlich zugängliche Kommunikationsdienste. Darüber hinaus bezieht sich Art. 3 Abs. 1 ePrivacy-RL auf die „Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen“. Der in der Entwurfsbegründung in Bezug genommene Art. 5 Abs. 1 ePrivacy-RL verpflichtet seinerseits die Mitgliedstaaten zur Sicherstellung der Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten. Für die in Rede stehenden geschäftsmäßigen angebotenen Telekommunikationsdienste findet sich insoweit kein Regelungsspielraum. Dies tritt noch deutlicher hervor, da in der vorbezeichneten Entwurfsbegründung offenkundig zwischen öffentlich zugänglichen und geschäftsmäßig angebotene Kommunikationsdiensten differenziert wird. Erschwerend tritt hinzu, dass mit Wirkung zum 1. Dezember 2021 die Regelungen des § 3 Nr. 6 und Nr. 10 TKG a.F., welche wie dargestellt Definitionen zu Diensteanbietern und Geschäftsmäßigkeit enthielten, entfallen. Das TTDSG definiert die Begrifflichkeiten nicht.

Es darf mithin bezweifelt werden, dass zur Regelung des Adressatenkreises unter Einbeziehung der Anbieter von geschäftsmäßig angebotenen Telekommunikationsdiensten und zur Anwendung des Telekommunikationsdatenschutzes auf diese Art von Anbieter seitens des deutschen Gesetzgebers ein entsprechender Regelungsspielraum bestand. Dogmatisches Ergebnis wäre eine Verdrängung der Regelungen durch die Datenschutz-Grundverordnung und eine Anwendung selbiger, insbesondere bei Datenverarbeitung im Rahmen von Kontrollrechten seitens des Arbeitgebers bei Fragen der Privatnutzung betrieblicher IuK.


WELCHE AUSWIRKUNGEN HÄTTE EINE ANWENDUNG DER DS-GVO AUF DIE PRIVATNUTZUNGSFÄLLE?

Argumentiert wird diesbezüglich, dass die betroffenen Beschäftigten bei einer Nichtanwendung des Fernmeldegeheimnisses keines Weges schutzlos gestellt würden. Unter anderem käme zum Tragen, dass bei den entsprechenden Datenverarbeitungen die Vorgaben der Datenschutz-Grundverordnung (und des Bundesdatenschutzgesetzes), insbesondere der Art. 5 und Art. 32 DS-GVO zu wahren wären. Bei einer Nichtbeachtung drohen gleichfalls empfindliche Strafen im Rahmen des Art. 83 DS-GVO.


FAZIT

Für die Praxis dürfte der dogmatische Streit vorerst weniger Auswirkungen haben, da die Regelungen des TTDSG und mithin auch § 3 zunächst einmal in Kraft sind und ihre Wirkung entfalten. Mit Blick auf die Brisanz der Thematik der Privatnutzung betrieblicher IuK erscheint es ratsam eine ausdrückliche Regelung zu treffen, um die Privatnutzung nicht zu dulden und mithin zu gestatten. Insofern die unternehmerische Entscheidung pro erlaubte Privatnutzung ausfällt sind gleichfalls Erlaubnisrahmen und Kontrollmöglichkeiten entsprechend zu regeln. Unter Beachtung datenschutzrechtlicher Gesichtspunkte erscheint es ferner ratsam die Privatnutzung (zumindest des betrieblichen E-Mail-Accounts) zu untersagen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • ePrivacy
  • Privatnutzung
  • Telemedien
  • TTDSG
Lesen

NEUES ZUM TTDSG

Über einen im August des vergangenen Jahres geleakten Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) haben wir bereits früher berichtet. Seitdem hat die Entwicklung des TTDSG an Fahrt aufgenommen. Die Details:


WAS IST BISHER GESCHEHEN?

Im Januar dieses Jahres hat zunächst das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf zum „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt. Gleichzeitig wurde am 12. Januar das Anhörungsverfahren der Verbände eingeleitet. Bis zum Stichtag am 22. Januar sind 31 Stellungnahmen, u.a. des Branchenverbandes bitkom, des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., des Rundfunkdatenschutzbeauftragten, der Landesbeauftragten für den Datenschutz Niedersachsen und der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eingegangen. Am 10. Februar 2021 hat das Bundeskabinett sodann den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetzes – TTDSG)“ beschlossen. Hierbei drängt sich bereits die Frage auf, ob dieser verhältnismäßig kurze Zeitraum ausreichend war, um die entsprechenden Stellungnahmen gebührend Beachtung zu schenken. Die Stellungnahme des Bundesrates folgte nach einer Beratung am 26. März 2021.


WAS IST DAS TTDSG?

Das TTDSG soll laut Gesetzesentwurf in aller erster Linie für Rechtklarheit sorgen und bestehende Rechtsunsicherheiten durch das Nebeneinander von DS-GVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden beseitigen. Gewährleistet werden soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre der Endnutzer.

Das TTDSG führt die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, zusammen und versucht eine Anpassung der der Bestimmungen an die der DS-GVO sowie der Richtlinie 2002/58/EG, der sogenannten ePrivacy-Richtlinie.

Systematisch besteht das TTDSG aus vier Teilen: Allgemeine Vorschriften; Datenschutz und Schutz der Privatsphäre in der Telekommunikation, Telemediendatenschutz, Endeinrichtungen; Straf- und Bußgeldvorschriften und Aufsicht. Ersichtlich wird hierdurch, dass – neben dem „allgemeinen Datenschutzrecht“ aus der DS-GVO – auf nationaler Ebene weiterhin an der bisherigen sektorspezifischen Unterscheidung zwischen Datenschutz in Telemedien und Datenschutz in der Telekommunikation festgehalten wird, wohingegen es auf europäischer Ebene bei der klassischen Zweiteilung von DS-GVO und „ePrivacy-Recht“ als spezielles Datenschutzrecht verbleibt.


WAS SOLL SICH NUN ÄNDERN?

Berücksichtigung findet im TTDSG die aktuelle Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies. In Bezug genommen wird hier die Entscheidung des EuGH in der Rechtssache Planet 49 (EuGH, Urt. v. 01.10.2019 – C-673/17). Hierzu wird eine Regelung in das Gesetz aufgenommen, die sich eng am Wortlaut der ePrivacy-Richtlinie orientiert.

Zudem soll die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger Datenschutzaufsichtsbehörde erfolgen.


WELCHE REGELUNGEN VERDIENEN BESONDERE AUFMERKSAMKEIT?

Zunächst enthält § 2 Abs. 1 TTDSG-E Begriffsbestimmungen, welche an die Bestimmungen von TMG, TKG und DS-GVO anknüpfen. In § 2 Abs. 2 TTDSG-E sollen darüber hinaus Bestimmungen der ePrivacy-Richtline aufgenommen werden.

§ 2 Abs. 2 Nr. 6 TTDSG-E einhält dabei die Legaldefinition der Endeinrichtung. Hierunter ist „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ zu verstehen. Gewählt wird hier wohl bewusst eine technologieneutrale Formulierung und somit ein weiter Anwendungsbereich. Erfasst ist nicht nur die Telefonie oder die Internetkommunikation, sondern auch Gegenstände im Internet der Dinge.  

In § 3 TTDSG-E (Vertraulichkeit der Kommunikation – Fernmeldegeheimnis) sollen die derzeit in § 88 TKG enthaltenen Regelungen zum Fernmeldegeheimnis – bis auf redaktionelle Anpassungen – unverändert übernommen werden. Die Verpflichteten werden in § 3 Abs. 2 TTDSG-E aufgeführt. Kritische Stimmen zweifeln jedoch an einer Vereinbarkeit des Anwendungsbereiches des § 3 Abs. 2 Nr. 2 TTDSG-E mit der Öffnungsklausel des Art. 95 DS-GVO für öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Abzuwarten bleibt daher, ob der bekannte Streit über die Privatnutzung betrieblicher Informations- und Kommunikationstechnik durch die Mitarbeiter und der damit einhergehenden Frage nach der Wahrung des Fernmeldegeheimnisses durch den Arbeitgeber tatsächlich gelöst werden kann.

§ 19 Abs. 2 TTDSG-E (Technische und organisatorische Vorkehrungen) enthält darüber hinaus die Verpflichtung von Anbietern von Telemedien die Nutzung anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

§ 24 Abs. 1 TTDSG-E (Schutz der Privatsphäre bei Endeinrichtungen) setzt nunmehr für das Speichern oder den Zugriff – also bspw. das Auslesen – von Endgeräteinformationen die Pflicht zur klaren und umfassenden Information sowie die Abgabe einer Einwilligung des Endnutzers voraus. Die Regelung orientiert sich laut Gesetzesbegründung eng am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL. Abgestellt wird auf die Endgeräteinformationen, weshalb gerade kein Personenbezug erforderlich ist. Erfasst werden mithin Cookies, Fingerprints und vergleichbare Technologien. Die Einwilligung des Endnutzers muss dabei den Anforderungen der DS-GVO an die Einwilligung entsprechen.

Ausnahmen vom Einwilligungserfordernis werden durch § 24 Abs. 2 TTDSG-E für die Fälle vorgesehen, dass der alleinige Zweck der Speicherung oder des Zugriffs in der Endeinrichtung des Endnutzers die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist (Nr. 1) oder die Speicherung oder der Zugriff auf die Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einem vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2). Unberührt bleibt die Frage der Rechtmäßigkeit der an die Speicherung oder den Zugriff anschließenden Verarbeitung personenbezogener Daten.


FAZIT

Der Entwicklungsprozess des TTDSG-E schreitet sichtlich voran. Viele derzeitig vorgesehene Regelungen haben das Potenzial das Wirrwarr im Datenschutz für Telekommunikation und Telemedien etwas zu entzerren. Nicht absehbar ist, wann das TTDSG tatsächlich verabschiedet werden soll. Entsprechenden Einfluss dürfte hier ebenfalls die anstehende Bundestagswahl ausüben. Welche Normen letztendlich in das TTDSG aufgenommen werden, bleibt abzuwarten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Telekommunikation
  • Telemedien
  • TTDSG
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen