DAS NEUE TTDSG UND VIDEOKONFERENZDIENSTE

Das TTDSG heißt eigentlich „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) und soll am 01.12.2021 in Kraft treten. Bereits in unseren Beiträgen aus Dezember 2020 sowie Mai 2021 haben wir über die wesentlichen Inhalte des damaligen Gesetzesentwurfes berichtet. Dieser Blogbeitrag soll nun zur Information über das verabschiedete Gesetz dienen und zentrale Aspekte, insbesondere im Hinblick auf Videokonferenzdienste, kurz darstellen.


BRAUCHEN WIR NOCH EIN DATENSCHUTZGESETZ?

Der Gesetzgeber hat sich mit der Novellierung des bereits bestehenden Telekommunikations- (TKG) sowie Telemediengesetzes (TMG) dafür entschieden, für diesen Bereich ein eigenes Gesetz zur Konkretisierung der allgemeinen Datenschutzanforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) sowie Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetzen, zu schaffen. Übrigens etwas, worum Datenschützer und Unternehmen in Bezug auf den Beschäftigtendatenschutz seit Jahr(zehnt)en bitten. Eine Novellierung der bisherigen Regelungen war aufgrund der seit 2018 geltenden DS-GVO sowie der ePrivacy-Richtline von 2002 (geänderte Fassung von 2009) dringend geboten und soll nach dem Wunsch des Gesetzgebers die bestehenden Rechtsunsicherheiten – zumindest in diesem Bereich – beseitigen. Zentral ist sicherlich die explizite Regelung des Einwilligungserfordernisses bei Cookies, Browser Fingerprinting, Smarthome etc. und deren Ausnahmen (§ 25 TTDSG) sowie die Möglichkeit von Diensten zur entsprechenden zentralen Einwilligungsverwaltung (§ 26 TTDSG). Darüber hinaus wurden Regelungen z.B. zum lang umstrittenen „Digitalen Erbe“ aufgenommen. Sowohl das TMG als auch das TKG bleiben grundsätzlich bestehen, das TKG wurde jedoch im gleichen Zuge modernisiert.


FÜR WEN GILT DAS GESETZ?

Zunächst einmal gilt das Gesetz nur für Anbieter von Telemedien- bzw. Telekommunikationsdiensten. Zu den Telemediendiensten nach § 1 Abs. 1 S. 1 TMG zählen zum Beispiel Internetauftritte, Onlineshops sowie Werbe-E-Mails (siehe hierzu auch Praxishilfe der GDD zum TTDSG).

Wer ein Telekommunikationsanbieter ist, beantwortet sich nach dem neuen § 3 TKG. Hierzu gehören sogenannte nummerngebundene sowie – neu – nummernunabhängige interpersonelle Kommunikationsdienste. Letztere werden auch „Over-the-top-Dienste“ (OTT) genannt. Die Internetanbieter, deren Infrastruktur zur Erbringung genutzt werden, haben auf diese keinen Einfluss. Gemeint sind z.B. webbasierte E-Mail-Dienste oder Messenger- Dienste wie WhatsApp oder Threema. Diese wurden bisher nicht von den telekommunikationsrechtlichen Vorgaben (siehe hierzu auch EuGH-Urteil vom 13.06.2019 – C-193/18) erfasst, sodass allein die allgemeinen Datenschutzregeln, insbesondere der DS-GVO, galten. Dienste, welche allein die Weitergabe von Inhalten (z.B. Nachrichtenportale) zum Ziel haben, sind auch weiterhin keine Telekommunikationsanbieter.


HANDELT ES SICH BEI VIDEOKONFERENZDIENSTEN DANN NOCH UM AUFTRAGSVERARBEITER?

Ob es sich bei Videokonferenzdiensten um Telekommunikationsdienste handelt und welche Auswirkungen dies auf die datenschutzrechtliche Beurteilung hat, ist derzeit noch nicht abschließend geklärt. Hierbei muss sicherlich zwischen den verschiedenen Arten des Einsatzes (insbesondere SaaS/Online-Dienst bzw. on-Premise) unterschieden werden. Eine gute Darstellung hierzu findet sich in der DSK-Orientierungshilfe Videokonferenzsysteme. Derzeit wird von den Aufsichtsbehörden davon ausgegangen, dass es sich bei der Nutzung von Videokonferenzen und Messengern in Form von SaaS/Online-Diensten in der Regel um eine Auftragsverarbeitung handelt. Allerdings verweist die Berliner Aufsichtsbehörde im Rahmen der – zugegebenermaßen viel diskutierten – Prüfung der Verträge verschiedener Anbieter darauf, dass der deutsche Gesetzgeber diese eigentlich aufgrund der EU-Vorgaben bereits bis zum 21. Dezember 2020 im Rahmen neuer Regelungen für „Over-the-top-Dienste“ (OTT) hätte regeln müssen und es nur mangels einer deutschen Regelung bei der alten Rechtslage bleibt.

Anders sieht dies jedoch bisher bei Telekommunikationsanbietern aus, insofern diese keine hierüber hinausgehenden Zusatzdienste anbieten. Der Anbieter der Telekommunikationsleistungen (z.B. Telefon, Internet) wird insoweit nach dem Verständnis der Artikel-29-Gruppe als Verantwortlicher für die – technisch bzw. zur Sicherheitsabwehr notwendigen – Verkehrsdaten sowie für die Verarbeitung der Rechnungsdaten verantwortlich. Für die inhaltliche Komponente und diesbezügliche Datenverarbeitungen im Rahmen der Angebotsnutzung sind die Anwender allein verantwortlich. Entsprechend ist beispielsweise kein Auftragsverarbeitungsvertrag in Bezug auf die Nutzung eines E-Mail-Anbieters erforderlich.  Es gilt also zu hinterfragen, inwieweit diese Ausführungen noch – die Aussagen der Artikel-29-Gruppe entstammen aus der Zeit vor der DS-GVO und auch vor dem Urteil des EUGH – gelten können und beispielsweise auch auf Messenger- und Videokonferenzdienste anwendbar sind.


WAS UNTERSCHEIDET VIDEOKONFERENZDIENSTE VON KLASSISCHEN TELEKOMMUNIKATIONSANBIETERN?

Unstrittig ist sicherlich, dass ein Videokonferenzsystem in der Regel neben der reinen Videotelefonie noch weitere Funktionen beinhaltet. Denn neben der Möglichkeit der Aufzeichnung existieren häufig auch parallele Chatmöglichkeiten sowie die Möglichkeit des Austauschs von Daten. Insofern könnte man davon ausgehen, dass die Dienste über die „reine Telekommunikation“ hinausgehen. Zusammengefasst dienen diese Funktionen aber alle dem Ziel der Kommunikation zwischen den beteiligten Parteien. Aus einem Brief wurde eine E-Mail und aus dieser ein Messenger-Dienst. Und aus dem Telefon wurde die Videotelefonie und schließlich in Verbindung mit Messengern-Diensten – und der damit verbundenen Möglichkeit, neben Texten auch Dokumente zu teilen – das Videokonferenzsystem als Basis weiterer kollaborativer Systeme.

Entsprechend einem klassischen Telekommunikationsdienst werden die übertragenen Inhalte bei all diesen Systemen allein durch die Nutzer gesteuert. Demgegenüber hat der Nutzer keinen Einfluss auf die technische Datenübertragung, da diese häufig aus Gründen der Diensterbringung, Systemsicherheit oder Abrechnung durch den Systemanbieter gesteuert wird.


WAS SPRICHT NOCH FÜR EINE AUFTRAGSVERARBEITUNG ODER EINE GEMEINSAME DATENVERARBEITUNG?

Unter diesem Gesichtspunkt kann die Annahme einer Auftragsverarbeitung als Versuch gesehen werden, die möglicherweise höheren Risiken dieser Systeme zu minimieren. Gleichzeitig bietet ein Vertrag zur Auftragsverarbeitung vermeintliche Rechtssicherheit, da dieser gleichzeitig eine Rechtsgrundlage für die Verarbeitung der Daten durch den Dienstleister beinhaltet. Durch die Notwendigkeit einen geeigneten Dienstleister auszuwählen, soll sichergestellt werden, dass nur möglichst datenschutzfreundliche Dienste eingesetzt werden, wodurch wiederum seitens der Kunden Druck auf die Anbieter ausgeübt werden. Mit mäßigem Erfolg, wie man sieht…

Demgegenüber besteht bei Annahme einer gemeinsamen oder auch parallelen alleinigen Verantwortung von Anbieter und Anwender keine Privilegierung mehr, das heißt der Diensteanbieter würde gegenüber den Betroffenen mehr in die Pflicht genommen werden. Er muss insbesondere eine eigene Rechtsgrundlage für die systemimmanenten Datenverarbeitungen vorweisen können und ist für die Einhaltung der diesbezüglichen Betroffenenrechte allein verantwortlich. Eine ausführliche Darstellung der Datenverarbeitung durch beide Parteien wird auch unabhängig von einer Auftragsverarbeitung aus Gründen der Informiertheit zu fordern sein.

Daneben wird es auch hier Wettbewerbsdruck auf die Anbieter geben. Denn die Systeme müssen Funktionen vorweisen können, welche es dem Anwender als inhaltlich Verantwortlichen gestatten, selbst datenschutzfreundlich agieren zu können. Hierbei ist grundsätzlich auch zu prüfen, ob es mildere Mittel gibt oder die Datenverarbeitung eingeschränkt werden kann. Dabei muss auch berücksichtigt werden, dass die Systeme nicht nur ein höheres Risikopotenzial haben, sondern in weiten Teilen auch mehr technische Schutzmöglichkeiten (z.B. Moderationsrechte, Passwortschutz, Verschlüsselung) bieten, als dies beispielsweise bei Telefon, Fax und E-Mail möglich ist. Ob ein entsprechender Dienst durch den Nutzer im Rahmen eines beruflichen Kontextes (z.B. Webmeeting mit Geschäftspartnern, Studienberatung, digitale Lehre) nutzbar ist, wird sich daher auch weiterhin im Wesentlichen nach der Erforderlichkeit, der bestehenden Rechtsgrundlage und den spezifisch getroffenen technischen und organisatorischen Maßnahmen bestimmen. Hierbei ist stets auch zu berücksichtigen, inwieweit andere Kommunikationsteilnehmer verpflichtet sind, das entsprechende System zu nutzen und der Datenverarbeitung durch den Diensteanbieter zuzustimmen.


HAT DIES EINFLUSS AUF DIE ZULÄSSIGKEIT DER NUTZUNG US-AMERIKANISCHER DIENSTE?

Spannend dürfte auch der Einfluss auf die Problematik der Datenübermittlung in die USA oder andere datenschutzrechtliche Drittländer durch Nutzung entsprechender Dienste sein. Hier müsste konkret beleuchtet werden, inwieweit überhaupt Daten gemäß Art. 44 DS-GVO vom Verantwortlichen bzw. in dessen Einflussbereich übermittelt werden und inwieweit die Verarbeitung der Daten in den USA durch andere Rechtsgrundlagen und im Verantwortungsbereich des Dienstleisters gedeckt sein kann. Im Falle eines einfachen Telefonats unter Nutzung eines amerikanischen Telefonanbieters sowie der Nutzung eines amerikanischen E-Mail-Anbieters kann der Zugriff durch amerikanische Ermittlungsbehörden faktisch ebenfalls nicht ausgeschlossen werden. Insoweit – bei Abkehr von der bisherigen Annahme einer Auftragsverarbeitung – die Verantwortung bei dem jeweiligen Anbieter und nicht durch den Nutzer initialisiert wurde, liegt keine Übermittlung nach Art. 44 DS-GVO, sondern eine eigene Datenerhebung durch den Anbieter vor. Dem Anbieter obliegt jedoch unabhängig davon die Einhaltung der Anforderungen nach DS-GVO, da in der Regel der räumliche Anwendungsbereich nach Art. 3 DS-GVO eröffnet sein wird. Der Anwender wird seinerseits im Rahmen der oben genannten Punkte prüfen müssen, ob sich der Einsatz des Dienstes mit seinen rechtlichen Anforderungen in Einklang bringen lässt.


FAZIT

Es bleibt abzuwarten, ob und in welchem Umfang sich die Aufsichtsbehörden zum datenschutzrechtlichen Einfluss des TTDSG allgemein sowie in Bezug auf Videokonferenzdienste positionieren. Wir können nur hoffen, dass dies zeitnah und in Abstimmung aller deutschen Aufsichtsbehörden erfolgt. Alles andere würde dazu führen, dass verantwortliche Stellen neben den sonstigen bestehenden Corona-Unsicherheiten auch in Hinblick auf die Anwendung von Systemen, welche in weiten Bereichen ein Homeoffice erst möglich macht, allein gelassen werden.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auftragsverarbeitung
  • Drittlandübermittlung
  • Telemedien
  • TTDSG
  • Videokonferenzen
Lesen

NEUES ZUM TTDSG

Über einen im August des vergangenen Jahres geleakten Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) haben wir bereits früher berichtet. Seitdem hat die Entwicklung des TTDSG an Fahrt aufgenommen. Die Details:


WAS IST BISHER GESCHEHEN?

Im Januar dieses Jahres hat zunächst das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf zum „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt. Gleichzeitig wurde am 12. Januar das Anhörungsverfahren der Verbände eingeleitet. Bis zum Stichtag am 22. Januar sind 31 Stellungnahmen, u.a. des Branchenverbandes bitkom, des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., des Rundfunkdatenschutzbeauftragten, der Landesbeauftragten für den Datenschutz Niedersachsen und der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eingegangen. Am 10. Februar 2021 hat das Bundeskabinett sodann den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetzes – TTDSG)“ beschlossen. Hierbei drängt sich bereits die Frage auf, ob dieser verhältnismäßig kurze Zeitraum ausreichend war, um die entsprechenden Stellungnahmen gebührend Beachtung zu schenken. Die Stellungnahme des Bundesrates folgte nach einer Beratung am 26. März 2021.


WAS IST DAS TTDSG?

Das TTDSG soll laut Gesetzesentwurf in aller erster Linie für Rechtklarheit sorgen und bestehende Rechtsunsicherheiten durch das Nebeneinander von DS-GVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden beseitigen. Gewährleistet werden soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre der Endnutzer.

Das TTDSG führt die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, zusammen und versucht eine Anpassung der der Bestimmungen an die der DS-GVO sowie der Richtlinie 2002/58/EG, der sogenannten ePrivacy-Richtlinie.

Systematisch besteht das TTDSG aus vier Teilen: Allgemeine Vorschriften; Datenschutz und Schutz der Privatsphäre in der Telekommunikation, Telemediendatenschutz, Endeinrichtungen; Straf- und Bußgeldvorschriften und Aufsicht. Ersichtlich wird hierdurch, dass – neben dem „allgemeinen Datenschutzrecht“ aus der DS-GVO – auf nationaler Ebene weiterhin an der bisherigen sektorspezifischen Unterscheidung zwischen Datenschutz in Telemedien und Datenschutz in der Telekommunikation festgehalten wird, wohingegen es auf europäischer Ebene bei der klassischen Zweiteilung von DS-GVO und „ePrivacy-Recht“ als spezielles Datenschutzrecht verbleibt.


WAS SOLL SICH NUN ÄNDERN?

Berücksichtigung findet im TTDSG die aktuelle Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies. In Bezug genommen wird hier die Entscheidung des EuGH in der Rechtssache Planet 49 (EuGH, Urt. v. 01.10.2019 – C-673/17). Hierzu wird eine Regelung in das Gesetz aufgenommen, die sich eng am Wortlaut der ePrivacy-Richtlinie orientiert.

Zudem soll die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger Datenschutzaufsichtsbehörde erfolgen.


WELCHE REGELUNGEN VERDIENEN BESONDERE AUFMERKSAMKEIT?

Zunächst enthält § 2 Abs. 1 TTDSG-E Begriffsbestimmungen, welche an die Bestimmungen von TMG, TKG und DS-GVO anknüpfen. In § 2 Abs. 2 TTDSG-E sollen darüber hinaus Bestimmungen der ePrivacy-Richtline aufgenommen werden.

§ 2 Abs. 2 Nr. 6 TTDSG-E einhält dabei die Legaldefinition der Endeinrichtung. Hierunter ist „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ zu verstehen. Gewählt wird hier wohl bewusst eine technologieneutrale Formulierung und somit ein weiter Anwendungsbereich. Erfasst ist nicht nur die Telefonie oder die Internetkommunikation, sondern auch Gegenstände im Internet der Dinge.  

In § 3 TTDSG-E (Vertraulichkeit der Kommunikation – Fernmeldegeheimnis) sollen die derzeit in § 88 TKG enthaltenen Regelungen zum Fernmeldegeheimnis – bis auf redaktionelle Anpassungen – unverändert übernommen werden. Die Verpflichteten werden in § 3 Abs. 2 TTDSG-E aufgeführt. Kritische Stimmen zweifeln jedoch an einer Vereinbarkeit des Anwendungsbereiches des § 3 Abs. 2 Nr. 2 TTDSG-E mit der Öffnungsklausel des Art. 95 DS-GVO für öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Abzuwarten bleibt daher, ob der bekannte Streit über die Privatnutzung betrieblicher Informations- und Kommunikationstechnik durch die Mitarbeiter und der damit einhergehenden Frage nach der Wahrung des Fernmeldegeheimnisses durch den Arbeitgeber tatsächlich gelöst werden kann.

§ 19 Abs. 2 TTDSG-E (Technische und organisatorische Vorkehrungen) enthält darüber hinaus die Verpflichtung von Anbietern von Telemedien die Nutzung anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

§ 24 Abs. 1 TTDSG-E (Schutz der Privatsphäre bei Endeinrichtungen) setzt nunmehr für das Speichern oder den Zugriff – also bspw. das Auslesen – von Endgeräteinformationen die Pflicht zur klaren und umfassenden Information sowie die Abgabe einer Einwilligung des Endnutzers voraus. Die Regelung orientiert sich laut Gesetzesbegründung eng am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL. Abgestellt wird auf die Endgeräteinformationen, weshalb gerade kein Personenbezug erforderlich ist. Erfasst werden mithin Cookies, Fingerprints und vergleichbare Technologien. Die Einwilligung des Endnutzers muss dabei den Anforderungen der DS-GVO an die Einwilligung entsprechen.

Ausnahmen vom Einwilligungserfordernis werden durch § 24 Abs. 2 TTDSG-E für die Fälle vorgesehen, dass der alleinige Zweck der Speicherung oder des Zugriffs in der Endeinrichtung des Endnutzers die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist (Nr. 1) oder die Speicherung oder der Zugriff auf die Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einem vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2). Unberührt bleibt die Frage der Rechtmäßigkeit der an die Speicherung oder den Zugriff anschließenden Verarbeitung personenbezogener Daten.


FAZIT

Der Entwicklungsprozess des TTDSG-E schreitet sichtlich voran. Viele derzeitig vorgesehene Regelungen haben das Potenzial das Wirrwarr im Datenschutz für Telekommunikation und Telemedien etwas zu entzerren. Nicht absehbar ist, wann das TTDSG tatsächlich verabschiedet werden soll. Entsprechenden Einfluss dürfte hier ebenfalls die anstehende Bundestagswahl ausüben. Welche Normen letztendlich in das TTDSG aufgenommen werden, bleibt abzuwarten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Telekommunikation
  • Telemedien
  • TTDSG
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen