Im Blickpunkt: Das neue Telekommunikation-­Telemedien-Datenschutzgesetz (TTDSG)

Beitrag als PDF(Download)

Einleitung
Am 10.02.2021 hat die Bundesregierung einen Gesetzentwurf zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien beschlossen (abrufbar auf der Seite des ­Bundesministeriums für Wirtschaft und Energie, hier). Der Entwurf des neuen Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommuni­kation und bei Telemedien (kurz: ­TTDSG-E) soll zum einen die Datenschutzbestimmungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) an die seit dem 25.05.2018 geltende DSGVO anpassen. Zum anderen wird gleichzeitig unter besonderer Berücksichtigung von höchstrichterlicher Rechtsprechung des EuGH und des BGH das in der ePrivacy-Richtlinie enthaltene Einwilligungserfordernis zum Schutz der Privatsphäre in Endeinrichtungen in nationales Recht umgesetzt und ­damit zu den klarstellenden Urteilen ein gesetzliches ­Fundament geschaffen, das diese Rechtsprechung untermauert.
Die Schaffung des TTDSG-E bezweckt, die Rechtsunsicherheit, die durch das Nebeneinander von Datenschutzbestimmungen hervorgerufen wird, auszuräumen. Diese intendierte Rechtsklarheit soll den Verbrauchern, den Betreibern von Telemedien und elektronischen Kommunikationsdiensten und den Aufsichtsbehörden zugutekommen. Im Folgenden werden die wesentlichen Änderungen in einem kurzen Überblick zusammengefasst.

Die wesentlichen Regelungen im Überblick
Schutz der Privatsphäre bei Endeinrichtungen (Cookie-Regelung)
Die wohl wichtigste Regelung im neuen Gesetzesvorhaben ist im Grunde keine Neuheit, sondern eher eine Klarstellung und betrifft den Schutz der Privatsphäre bei Endeinrichtungen. Der neue § 24 TTDSG-E hat folgenden Wortlaut:
„(1) die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [Datenschutz-Grundverordnung; Anmerkung der Verfasser] zu erfolgen.
(2) Die Einwilligung nach Abs. 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte ­Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Diese nahezu wortlautgetreue Übernahme des Art. 5 Abs. 3 der ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der durch die RL 2009/136 geänderten Fassung) dient nicht nur der Umsetzung der Richtlinie in nationales Recht. Der Regierungsentwurf berücksichtigt zudem die vielbeachteten „Cookie-Entscheidungen“ des EuGH (C-673/17 – „Planet49“) und des BGH (BGH, Urteil vom 28.05.2020 – I ZR 7/16). Der EuGH entschied in seinem Urteil seinerzeit, dass keine wirksame Einwilligung vorliegt, wenn durch ein voreingestelltes Ankreuzkästchen Cookies auf Endgeräten gespeichert werden. Vielmehr bedarf es eines aktiven Tuns für die wirksame Erteilung der erforderlichen Einwilligung in die Speicherung von Informationen auf den Endgeräten. Der BGH befasste sich ebenfalls mit dem Einwilligungserfordernis und entschied unter anderem, dass der nunmehr aufzuhebende § 15 Abs.  3 Satz 1 richtlinienkonform auszulegen sei, und für den „Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.“ (BGH, Urteil vom 28.05.2020 – I ZR 7/16). Der derzeitige § 15 Abs. 3 Satz 1 ließ den Einsatz von Cookies zum Einsatz von Werbung und zum Zwecke der Marktforschung zu, solange der Nutzer nicht widersprach. Diese durch die Urteile geschaffene Rechtsklarheit wird durch den neuen Gesetzentwurf nochmals untermauert.
Im Übrigen wird durch die Verwendung des Begriffs Einrichtung der Anwendungsbereich des § 24 TTDSG-E nicht nur auf Endgeräte beschränkt, sondern – nach der Legaldefinition gemäß § 2 Abs. 2 Nr. 6 TTDSG-E – auch auf „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ ausgeweitet. Durch den erweiterten Anwendungsbereich sind insbesondere auch Fälle des Internet of Things (IoT; deutsch: Internet der Dinge) von der Norm erfasst. Dieser deckt somit auch über das Internet vernetzte (und kommunizierende) Gegenstände ab.

Keine Regelung zum Personal-Information-Management-System (kurz: PIMS)
Anders als noch im Referentenentwurf vom 14.07.2020 sieht der Regierungsentwurf keine Regelung zum ­sogenannten Personal-Information-Management-System (kurz: PIMS) vor. PIMS’ sind – wie der Name schon zeigt – Systeme, die den Nutzern das Verwalten ihrer persönlichen Informationen erleichtern sollen. Dabei fungieren sie als Intermediäre zwischen den Nutzern und Dienstanbietern.
Endnutzer sollten nach § 3 Abs. 1 des Referentenentwurfs vom 14.07.2020 die Möglichkeit erhalten, über PIMS’ insbesondere „Einwilligung[en] in die Verarbeitung von Verkehrs- und Standortdaten sowie in das Speichern von Informationen auf ihren Endeinrichtungen und den Zugriff auf Informationen, die bereits auf ihren Endeinrichtungen gespeichert sind“, zu verwalten. Dass diese Regelung aus dem aktuellen Regierungsentwurf verschwunden ist, dürfte an dem am 25.11.2020 von der Europäischen Kommission veröffentlichen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance liegen (deutsche Version abrufbar unter folgenden Link (siehe hier), der diesen Bereich künftig abdecken wird.

Over-the-Top-Kommunikationsdienste (kurz: OTT-Dienste)
Ein weiterer Aspekt, der in dem Regierungsentwurf leider unklar ist, betrifft die sogenannten Over-the-Top(OTT)-Kommunikationsdienste. Bei diesen Kommunikationsdiensten handelt sich – anders als bei den klassischen Telekommunikationsdiensten – um internetbasierte Kommunikationswege wie etwa E-Mail-Dienste oder Messenger-Dienste. Während im Referentenentwurf OTT-Dienste noch klar durch die Begriffsbestimmung in § 2 Nr. 15 TTDSG-E umfasst waren, ist diese Begriffsbestimmung nun ersatzlos gestrichen. Laut § 2 Nr. 15 TTDSG-E wurden die OTT-Dienste als „interpersonelle Kommunikationsdienste“ bezeichnet und waren folgendermaßen definiert: „Ein gewöhnlich gegen Entgelt erbrachter Dienst, der die Übermittlung von Informationen über elektronische Kommunikationsnetze an vom Absender bestimmte Personen ermöglicht.“
§ 2 Nr. 15 TTDSG-E ist im aktuellen Entwurf nicht mehr enthalten, obwohl im Regierungsentwurf weiterhin Regelungen zu interpersonellen Kommunikationsdiensten getroffen werden. Warum § 2 Nr. 15 TTDSG-E gestrichen wurde, ist nicht nachvollziehbar, führt es doch zu Unsicherheiten im Anwendungsbereich des neuen Gesetzes. Dass dieser Themenbereich noch nicht vollumfassend vom TTDSG-E abgedeckt ist, könnte daran liegen, dass diese Dienste künftig von der ePrivacy-Verordnung erfasst werden sollen, die nach dem ursprünglichen Plan mit der Datenschutz-Grundverordnung in Kraft treten sollte. Immerhin gab es zuletzt Bewegung in diesem Zusammenhang, so dass berechtigte Hoffnung besteht, dass das Verfahren wieder Fahrt aufnimmt.

Behördliche Zuständigkeiten
Abschließend soll nicht unerwähnt bleiben, dass die behördlichen Zuständigkeiten mit dem neuen Regierungsentwurf umgestaltet werden sollen. Demnach regelt § 27 TTDSG-E, dass künftig der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) als zuständige Aufsichtsbehörde fungiert, soweit für „die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen verarbeitet werden“ (§ 27 Abs. 1 TTDSG-E). Dies gilt ebenfalls, wenn „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, durch Anbieter der Telekommunikationsdienste oder durch öffentliche Stellen“ erfolgt (§ 27 Abs. 2 TTDSG-E). Als Auffangnorm sieht § 28 Abs. 1 TTDSG-E eine Zuständigkeit der Bundesnetzagentur vor, soweit eine Zuständigkeit des BfDI nicht vorliegt.

Ausblick
Mit den beiden zitierten höchstrichterlichen Cookie-Entscheidungen waren heißdiskutierte Fragen rund um das Thema Einwilligungserfordernis bei Anwendung von Cookies bereits geklärt worden. Gleichwohl ist die Schaffung einer soliden gesetzlichen Grundlage begrüßenswert. Dies gilt auch für die Erweiterung des Anwendungsbereichs von § 24 TTDSG-E, der laut Gesetzesbegründung ausdrücklich auch insbesondere über das Internet vernetzte Gegenstände aus dem Bereich IoT mit umfasst.
Gerade im Hinblick auf die geplante ePrivacy-Verordnung, die ursprünglich zeitgleich mit der DSGVO in Kraft treten sollte, und die Data-Governance-Verordnung kann man bereits jetzt festhalten, dass das TTDSG-E keine allzu lange Lebensdauer haben wird. Da aber immer noch nicht absehbar ist, wann diese Verordnungen das TTDSG-E ablösen werden, wird das TTDSG zumindest als Zwischenlösung eine nicht unwesentliche Rolle spielen für Dienstanbieter.

nils.gruske@kallan-legal.de

david.tekin@kallan-legal.de

Aktuelle Beiträge