Das TTDSG setzt die E-Privacy Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung) in nationales Recht um. Denn neben der DSGVO ist auf europäischer Ebene auch die e-Privacy Richtlinie zu berücksichtigen. Zwar sollte die lange erwartete E-Privacy Verordnung die ältere E-Privacy Richtlinie ersetzen, allerdings können sich die Mitgliedsstaaten nun schon seit Jahren nicht auf einen gemeinsamen Konsens einigen.
Daher nahm die konkrete Idee für das TTDSG, das der nationalen Umsetzung der E-Privacy Richtlinie dient, seinen Lauf.
Das TTDSG tritt am 01.12.2021 in Kraft.
Mit dem neuen TTDSG werden die Datenschutzbestimmungen von TKG und TMG in einem Gesetz zusammengefasst und die Anpassungen umgesetzt, die aufgrund der europäischen Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Richtlinie notwendig waren. Damit sollen bestehende Rechtsunsicherheiten beseitigt werden.
Nach einem allgemeinen Teil (Teil 1) regelt Teil 2 (§§ 3-18 TTDSG) den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation, welchem wir uns bereits zuvor gewidmet haben. Teil 3 (§§ 19-26 TTDSG) enthält die für den Telemediendatenschutz und den Schutz der Endeinrichtungen relevanten Regelungen.
An dieser Stelle wollen wir die Änderungen für den Bereich der Telemediendienste näher beleuchten.
Hintergrund
Die Neu-Regelung war notwendig, denn die Datenschutzkonferenz (DSK) hält die aktuellen datenschutzrechtlichen Regelungen insbesondere hinsichtlich der Erhebung und Verwendung von Bestandsdaten und Nutzungsdaten im Abschnitt 4 (§ 11-15 d TMG) mit Geltung der DSGVO für nicht mehr anwendbar. Diese unterfallen nämlich dem Anwendungsvorrang der DSGVO.
besondere die wirksame Einholung einer Einwilligung und den damit verbunden Umgang mit Cookies und Tracking-Technologien. Hier konnten sich Unternehmen bislang nur auf die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien und auf die Urteile des EuGH (Urteil vom 01.10.2019, Rechtssache C‑673/17) und des BGH (BGH, 28.05.2020 – I ZR 7/16) stützen. Nun enthält das TTDSG eine direkte gesetzliche Regelung dazu.
TTDSG – Relevante Änderungen in Bezug auf TMG
1.Anwendbarkeit
Das TTDSG ist neben dem TMG einschlägig, wenn im Internet Leistungen angeboten oder Leistungen in Anspruch genommen werden (beispielsweise bei Onlineshops, Online-Pressedienste, Video on Demand aber auch „einfache“ Homepages zur Information über ein Unternehmen (= Telemedien)). Das TTDSG ist soweit anwendbar, wie hier die konkreten datenschutzrechtlichen Regelungen aus dem TMG ins TTDSG überführt wurden (technische und organisatorische Regelungen, Erteilung von Auskünften über Bestands- und Nutzungsdaten sowie Speicherung und Zugriff auf Informationen in Endeinrichtungen) und soweit entsprechende Bußgeldregelungen enthalten sind. ktortsprinzip aus Art. 3 DSGVO.
„mitwirken“ und nicht wie bisher, die nur eigene oder fremde Telemedien zur Nutzung „bereithalten“. Damit müssen gegebenenfalls auch Auftragnehmer und Dienstleister eines Anbieters von Telemedien die Vorgaben des TTDSG berücksichtigen.
2. Begrifflichkeiten
Grundsätzlich gelten hier die Begriffsbestimmungen aus dem TMG weiterhin.
Die für das TTDSG nun relevanten Definitionen zu den Bestandsdaten, Nutzungsdaten und dem Anbieter von Telemedien (ehemals: Diensteanbieter) sind nahezu gleichgeblieben.
3. Wichtige Änderungen
Während die Regelungen und Pflichten hinsichtlich der technischen und organisatorischen Maßnahmen, der Erteilung von Auskünften über Bestands- und Nutzungsdaten oder zum Umgang mit Daten Minderjähriger im Großen und Ganzen keine bis geringe Änderungen im Vergleich zu der Rechtslage vor dem TTDSG erfahren haben, ist der Schutz der Privatsphäre in den Endeinrichtungen neu aufgenommen worden.
Damit wird die Speicherung und der Zugriff auf Informationen in Endeinrichtungen nun konkret durch den Gesetzgeber geregelt. Statt sich wie bislang nur an den Einschätzungen der Aufsichtsbehörden und den Urteilen des EuGH und des BGH zu orientieren, erhalten Unternehmen nun eine verbindliche Vorgabe für die Überprüfung und gegebenenfalls für die Etablierung eigener Prozesse zur Einholung von notwendigen Einwilligungen.
Denn § 25 TTDSG enthält nun ein expliziertes Einwilligungserfordernis bei Speicherung von Informationen in der Endeinrichtung oder bei Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind.
Lediglich in zwei Ausnahmefällen ist eine (DSGVO-konforme) Einwilligung nicht erforderlich:
- wenn die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz alleiniger Zweck der Speicherung oder des Zugriffs ist oder
- wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, um den gewünschten Telemediendienst zur Verfügung stellen zu können.
Damit ergeben sich in der Praxis für die Einholung einer Einwilligung zunächst keine Änderungen zu den bisher durch die Urteile des BGH und des EuGH (siehe oben) statuierten Anforderungen für das Setzen beziehungsweise Auslesen von Cookies, und damit an die Gestaltung von Cookie – Bannern.
Neu ist jedoch, dass das Einwilligungserfordernis unabhängig davon gilt, ob bei der Speicherung oder dem Zugriff personenbezogene Daten anfallen oder nicht, denn § 25 TTDSG spricht nur von „Informationen“.
Neu ist jedoch, dass das Einwilligungserfordernis unabhängig davon gilt, ob bei der Speicherung oder dem Zugriff personenbezogene Daten anfallen oder nicht, denn § 25 TTDSG spricht nur von „Informationen“.
Zudem ist die Regelung technologieneutral formuliert, so dass nicht nur die (noch) gebräuchlichen Cookies, sondern jegliche Techniken, die ein Speichern und/oder Auslesen von Informationen auf Endeinrichtungen erfordern, betroffen sind. Dazu gehören beispielsweise die Browserwiedererkennung, die Nachverfolgung über Werbe-IDs, MAC-Adressen, IP-Adressen, IMEI-Nummern und weitere (interessant dazu auch die Praxishilfe des GDD zum neuen TTDSG).
Letztlich erfasst der Begriff der Endeinrichtung nicht nur PCs, Laptops, Tabletts oder Smartphones, sondern auch Gegenstände im Internet (IoT), die über einen WLAN-Router an das öffentliche Kommunikationsnetz angeschlossen sind (zum Beispiel Küchengeräte, Heizkörperthermostate, Alarmsysteme).
Das TTDSG eröffnet in Paragraph 26 die Möglichkeit, ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement zu entwickeln. Internetnutzer sollen dazu einmalig gegenüber sogenannten anerkannten Diensten (unter anderem unabhängig, ohne eigenes wirtschaftliches Interesse) angeben können, ob, wo und unter welchen Voraussetzungen sie ihre Einwilligung oder Ablehnung zum Setzen von Cookies etc. geben. Der anerkannte Diensteanbieter leitet die Informationen dann anschließend automatisch im Hintergrund an die beteiligten Webseiten weiter.
Dadurch würde die heutige Praxis, die gewünschten Cookie-Einstellungen für jede Webseite einzeln auswählen zu müssen, deutlich reduziert werden können. Nähere Details dazu müssen jedoch noch in einer Regierungsverordnung geregelt werden. Unklar ist hierbei, ob auch die Verwendung von nicht entsprechend der Regierungsverordnung anerkannten Diensten möglich sein soll, oder ob die Anerkennung vorausgesetzt wird.
Ausblick und Empfehlungen
Es ist nun wichtig, die Zeit bis zum 01.Dezember sinnvoll zu nutzen.
Daher sollten die auf den eigenen Webseiten vorhandenen Cookie – Banner auf Vollständigkeit und auf eine wirksame Einwilligung hin überprüft werden.
Überprüft werden sollte auch der Einsatz von sonstigen Tools, mit deren Hilfe die Speicherung von Informationen in Endeinrichtungen der Nutzer oder weitergehende Zugriffe auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgen.
Zukünftig können zwar Anpassungen des TTDSG nicht ausgeschlossen werden, denn wenn die e-Privacy Verordnung eines Tages ausverhandelt und beschlossen ist, wird sie europaweit einheitliche Vorgaben, auch für den aktuell mit dem TTDSG national geregelten Bereich enthalten. Eine Abkehr von dem Grundsatz der Einwilligung ist jedoch nicht zu erwarten.
Zur Autorin
Natalia Wozniak ist zugelassene Rechtsanwältin bei der Rechtsanwaltskammer Düsseldorf. Seit 2021 ist sie bei der migosens GmbH als Beraterin für Datenschutz und Teamleiterin für das Außendienstteam tätig. Ihre praktischen Erfahrungen sammelte Sie zunächst intern im Bereich Datenschutz & Compliance in der öffentlichen Verwaltung sowie später branchenübergreifend als externe Datenschutzbeauftragte für zahlreiche Unternehmen. Dem entsprechend greift Sie auf einen langjährigen und breiten Erfahrungsschatz zurück, der mit der Durchführung von Datenschutzaudits (als Datenschutz-Auditor (TüV)) und der Projektberatung im Telekommunikationsumfeld komplettiert wird.
