Wir informieren Sie über das Gesetz zum Schutz der Privatsphäre im digitalen Raum.
TTDSG-Entwurf wurde beschlossen
Einführung
Lange war er im Gespräch und nun wurde er endlich beschlossen, der Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutzgesetz, TTDSG). Den Gesetzestext finden Sie hier. Am 01.12.2021 wird das Gesetz in Kraft treten.
Das Gesetz hat praktische Relevanz. Das durch das TTDSG neu geregelte Telemediendatenschutzrecht betrifft fast sämtliche Angebote im Web: Meinungsforen, Weblogs, Newsgroups und elektronische Bestell-, Buchungs- und Maklerdienste, das Telefon- und Internetbanking, mobile Bezahlsysteme, Handelsplattformen, Internet-Suchmaschinen und manches mehr.
Für Onlinediensteanbieter werden die neuen Regelungen bereits deshalb relevant sein, weil der Einsatz von Cookies und anderen Tracking-Mechanismen neu geregelt wird.
Die Neufassung des nationalen Telekommunikationsdatenschutzrechts bleibt in diesem Beitrag außer Betracht.
Ziel des TTDSG
Ein wesentliches Ziel der Verfasser des TTDSG ist es, die Rechtsunsicherheit zu beseitigen, die durch die Koexistenz verschiedener Rechtsvorschriften auf europäischer und nationaler Ebene und ihren unklaren Vorrangverhältnissen zueinander entstanden sind. Auf europäischer Ebene sind dies die in den Mitgliedsstaaten der EU unmittelbar geltende DS-GVO und die ePrivacy-Richtlinie. Letztere gilt, weil es sich um eine Richtlinie und nicht um eine Verordnung handelt, nicht unmittelbar in den EU-Mitgliedstaaten. Vielmehr sind die Inhalte von EU-Richtlinien erst in nationale Gesetze zu transformieren, bevor sie gegenüber den juristischen und natürlichen Personen Wirkung entfalten. Das hatte der deutsche Gesetzgeber durch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) erledigt. Das TKG (dort die §§ 91 ff.) und das TMG (dort die §§ 11 ff.) enthalten Datenschutznormen, die – nicht nur, aber unter anderem – Rechtsvorschriften der ePrivacy-RL umsetzen (für das TMG ist das umstritten. Allerdings vertritt der BGH diese Auffassung. Für das TKG lässt sich etwas verkürzt sagen, dass Regelungen zu den sogenannten Verkehrsdaten aus dem EU-Recht abgeleitet sind). Teilweise schießen sie über die Mindestanforderung der ePrivacy-RL hinaus, teilweise bleiben sie dahinter zurück – was das Rangverhältnis der Rechtsvorschriften DS-GVO, TKG und TMG zueinander erschwert. Und: Soweit nationale Gesetze die ePrivacy-RL umsetzen, gehen sie der DS-GVO vor, weil die ePrivacy-RL als das speziellere Gesetz wiederum der DS-GVO vorgeht, was aus Art. 95 DSGVO abzuleiten ist. Der Gesetzgeber will Unsicherheiten in der Anwendung der vorgenannten Rechtsvorschriften bereinigen, indem er die Datenschutzgesetze (aus dem 5. Abschnitt) des TMG und die Datenschutzgesetze (aus den Abschnitten 1 und 2 des 7. Teils) des TKG in einem Gesetz, dem TTDSG, konsolidiert und teilweise modifiziert (Bsp.: die Anforderungen an Tracking-Mechanismen, etwa dem Einsatz von Cookies). Für die nähere Zukunft stehen also die DS-GVO und das TTDSG nebeneinander – und zur Auslegung der Rechtsnormen des TTDSG ist die ePrivacy-RL heranzuziehen, soweit einzelne Rechtsnormen des TTDSG Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben. Vorschriften des TTDSG, die Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben, gehen wiederum Rechtsvorschriften der DS-GVO vor.
Neuregelungen
Im Folgenden werden ausgewählte Neureglungen vorgestellt.
Over-The-Top-Dienste (OTT-Dienste)
OTT-Dienste ermöglichen interpersonelle Fern-Kommunikation über (fremde) Telekommunikationsnetze, wobei der Sender, der den Kommunikationsvorgang anstößt, den oder die Empfänger bestimmt (genauer: § 2 Abs. (1) TTDSG iVm § 3 Nr. 24 des TKG in der Fassung vom 23. Juni 2021 ). Gemeint sind damit E-Mail- und Instant-Messenger-Dienste sowie die Internet-Telefonie. Bisher war umstritten, ob diese Dienste Telekommunikationsdienste sind und damit dem Regulierungsregime des TKG und ebenfalls dem Telekommunikationsdatenschutz unterfallen. Für den E-Mail-Service von Gmail hatte der EuGH noch entschieden, dass es sich entgegen der Rechtsauffassung z.B. der Bundesnetzagentur nicht um einen Telekommunikationsdienst handele. Das TKG in seiner Fassung vom 23. Juni 2021 stellt durch Übernahme der OTT in seine Gesetze klar, dass sie als interpersonelle Telekommunikationsdienste, § 3 Nr. 24 TKG, also Telekommunikationsdienste, § 3 Nr. 61 TKG, diversen Regelungen des TKG unterworfen sind. Der deutsche Gesetzgeber setzt damit den Europäischen Kodex für Elektronische Kommunikation (EKEK – Richtlinie 2018/1972) um, der bereits die Aufnahme der interpersonellen Kommunikationsdienste in die Welt der elektronischen Kommunikation vorsieht (der europäische Begriff der elektronischen Kommunikation entspricht im Wesentlichen dem deutschen Begriff der Telekommunikation). Damit steht fest, dass OTT-Dienste nicht länger als Telemediendienst der DS-GVO sondern als Telekommunikationsdienst dem TKG und dem TTDSG unterliegen.
Cookies – Schutz der Privatsphäre von Endeinrichtungen (§ 25 TTDSG)
§ 15 Abs.(3) des TMG in seiner bis Ende November 2021 geltenden Fassung erlaubt die Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, sofern der Nutzer dem nicht widerspricht. Eine Opt-out-Regelung also. Anbieter von Telemedien haben in der Vergangenheit häufig in Anwendung dieser Rechtsnorm Cookies auf Endgeräten von Nutzern zu vorgenannten Zwecken abgelegt – ohne die Einwilligung des jeweiligen Nutzers einzuholen. Die Speicherung von Cookies auf Endgeräten gestattet Art. 5 Abs. (3) der höherrangigen europäischen ePrivacy-RL demgegenüber nur nach Einwilligung. Eine Opt-in-Regelung also. EuGH und BGH haben in Urteilen zuletzt der Cookie-Praxis ohne Einwilligung ein Ende bereitet, indem sie Art. 5 Abs. (3) der ePrivacy-RL bestätigten, ein aktives Einwilligungs-Handeln des jeweiligen Nutzers für den Cookie-Einsatz einfordern und § 15 Abs. (3) TMG gegen seinen Wortlaut in eine Opt-in-Regelung umdeuteten. Das TTDSG bereinigt die Diskrepanz zwischen dem Wortlaut des § 15 Abs. (3) TMG auf der einen Seite und dem des Art. 15 Abs. (3) der ePrivacy-RL und der Rechtsprechung auf der anderen, indem es in § 25 TTDSG fast wortgleich Art. 5 Abs. (3) der ePrivacy-RL übernimmt. Der noch geltende § 15 TMG wird mit der Aufhebung des TMG-Datenschutzes zum 01. Dezember 2021 abgeschafft. Eine Opt-out-Lösung beim Einsatz von Cookies zu Marketing-Zwecken wird dann auch der Wortlaut des Gesetzes nicht mehr vorsehen. An die Einwilligung (Opt-in) sind die hohen Anforderungen der DS-GVO zu stellen, auf die § 25 Abs. (1) TTDSG verweist.
Keine Einwilligung zum Einsatz von Tracking-Maßnahmen, etwa bei dem Einsatz von Cookies, ist gemäß § 25 Abs. (2) TTDSG dann erforderlich, wenn „1. der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist oder 2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst stellen kann“. Ziffer 1 soll nicht weiter betrachtet werden. In der Anwendung ist dagegen die Regelung aus Ziffer 2, die Art. 5 Abs. (3) S. 2 Fall 2 der ePrivacy-RL fast wortgleich übernimmt, unsicher: Welche Maßnahme ist „zwingend erforderlich“, damit der Anbieter seinen Dienst erbringen kann? Üblicherweise werden z.B. Warenkorb-Cookies als zwingend qualifiziert. Cookies anderer als die des Anbieters sind nicht zwingend erforderlich. Was aber für Tracking-Mechanismen zur Webanalyse- und Reichweitenmessung des Anbieters selbst gilt, bleibt unklar.
Personal Information Management System – PIMS
Mit § 26 TTDSG ermöglicht der Gesetzgeber die Einführung von PIMS – Personal Information Management Systemen. Durch diese Systeme sollen u.a. die lästigen Cookie-Banner abgeschafft werden. Nutzer erhalten die Möglichkeit, bei einem zentralen Dienst ihre Cookie-Präferenzen zu hinterlegen. Dieser Dienstleister registriert, ob und unter welchen Voraussetzungen der jeweilige Nutzer seine Zustimmung zum Einsatz von Cookies erteilt. Ruft der Nutzer eine Webseite auf, liest der Betreiber dieser Seite die Präferenz des Nutzers bei dem zentralen Dienst aus und setzt diese um. Anbieter solcher PIMS-Dienste gibt es bislang aber nicht. Vielmehr sieht § 26 TTDSG vor, dass erst eine Rechtsverordnung zu schaffen ist, die wiederum die Akkreditierung solcher Dienstleister durch eine „unabhängige Stelle“ regeln soll. Bis dahin wird es auch weiterhin Cookie-Banner geben müssen.
Bußgeldvorschriften
Den Katalog der Ordnungswidrigkeiten enthält § 28 Abs. (1) TTDSG. Gemäß Abs. (2) können die Ordnungswidrigkeiten mit Bußgeldern – gestaffelt je nach Ordnungswidrigkeit – von bis zu zehn-, fünfzig-, hundert- oder dreihunderttausend Euro beschieden werden. Das TTDSG bleibt damit weit unter den Obergrenzen der DS-GVO zurück.
Wer unerlaubt Cookies verwendet, muss immerhin ein Bußgeld von bis zu 300.000 Euro befürchten, §§ 25 Abs. (1) S. 1, 28 Abs. (1) Nr. 13, Abs. (2) TTDSG.
Fazit und Ausblick
Auf europäischer Ebene hätte die ePrivacy-Verordnung (ePrivacy-VO) zur Regelung des Datenschutzes in der elektronischen Kommunikation gleichzeitig mit der DS-GVO beschlossen werden sollen. Dazu ist es bis heute nicht gekommen. Die Verabschiedung einer ePrivacy-VO ist aktuell nicht abzusehen. Mit der ePrivacy-VO werden die alte ePrivacy-RL und einige nationale Gesetze aufgehoben oder durch vorrangiges EU-Recht unanwendbar, was nicht nur zur Harmonisierung des EU-Datenschutzrechts führen, sondern auch zur Vereinfachung der Datenschutzrechtslage beitragen wird. Für die Zeit bis zur Verabschiedung der ePrivacy-VO, die ebenso wie die DS-GVO unmittelbar in der EU anwendbares Recht sein wird, hat der deutsche Gesetzgeber u.a. zur Übersichtlichkeit beigetragen und den Einsatz von Tracking-Mechanismen an die EU-Rechtslage angepasst.
Abzuwarten bleibt die Entwicklung einer ePrivacy-VO. Ihr Anwendungsbereich wird sich weitgehend mit dem des TTDSG decken – mit dem Ergebnis, dass die als EU-Recht Vorrang genießende ePrivacy-VO weitgehend zur Unanwendbarkeit des TTDSG führen wird.
Wir werden Sie über die künftigen Entwicklungen informieren.-