Update zum TTDSG: Neues Datenschutzrecht für Tele­kommunikation & Telemedien

Update: 01. April 2021

Ein nächster Schritt im Gesetzgebungsprozess für das geplante TTDSG: Ein neuer Entwurf des Gesetzes wurde am 10.02.21 durch die Bundesregierung beschlossen und am 26.03. im Bundesrat beraten, der anschließend eine Stellungnahme zum Gesetzesentwurf abgab. Zu den geplanten Änderungen, die im Entwurf enthalten sind, gehören eine Neufassung der Einwilligungspflicht für den Einsatz von Cookies, aber auch Vorgaben für technisch-organisatorische Maßnahmen und zur Bestandsdatenauskunft. Nicht in den Entwurf geschafft hat es hingegen die im Vorfeld diskutierte Ausweispflicht zur Identifizierung für Nutzer von Telekommunikationsdienste wie Messenger- oder E-Mail-Angeboten.

Der Entwurf sieht in § 24 TTDSG-E eine Einwilligungspflicht für den Einsatz von Cookies, aber auch aller anderen vergleichbaren Technologien vor, die Informationen in der Endeinrichtung des Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen. Der Begriff der Endeinrichtung ist ausdrücklich technologieneutral gefasst und umfasst laut Gesetzesbegründung neben klassischen Endgeräten wie Smartphones und Notebooks auch Gegenstände des „internet of things“.

Bereits vor der Beratung im Bundesrat waren der Ausschussempfehlung einige Änderungswünsche zu entnehmen, die sich jetzt in der Stellungnahme wiederfinden. Unter anderem soll die im alten Entwurf noch vorhandene und im neuen ausgelassene Einwilligungsmöglichkeit über eine Voreinstellung im Browser wieder mit in das Gesetz aufgenommen werden. Zudem soll die Ausnahme vom Einwilligungserfordernis, wenn die Speicherung von oder der Zugriff auf Informationen zur Erfüllung gesetzlicher Pflichten erforderlich ist, wieder ihren Weg in das Gesetz finden. Auch diese Regelung war nur im ersten Referentenentwurf vorhanden gewesen. Besonders praxisrelevant dürfte die Aufnahme von Vorgaben für die Gestaltung der Banner in das TTDSG sein. Nach der Ausschussempfehlung soll es beispielsweise eine gesetzliche Pflicht geben, die Banner so auszugestalten, „dass der Nutzer seine Einwilligung oder seine Ablehnung durch Nutzung von Schaltflächen, die gut lesbar mit nichts anderem als den Wörtern ‚Einwilligung‘ und ‚Ablehnung‘ beschriftet sind, erklären kann“.

Wie das TTDSG letztgültig aussehen wird, lässt sich daher noch nicht genau sagen. Über weitere Neuigkeiten werden wir Sie an dieser Stelle daher umgehend informieren.


Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Beitrag: 20. Dezember 2020

Noch immer besteht im Bereich Telemedien und Telekommunikation ein Nebeneinander von datenschutzrechtlichen Vorschriften aus Datenschutz-Grundverordnung (DSGVO), Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG), das für Rechtsanwender schnell unübersichtlich werden kann. Mittelfristig soll der Rechtsrahmen für Telemedien und Telekomunikation in der ePrivacy-Verordnung (Nachfolger einer gleichnamigen Richtlinie) europarechtlich einheitlich geregelt werden. Bis diese verabschiedet wird, bestehen aufgrund der diversen, nicht aufeinander abgestimmten Regelungen jedoch teils erhebliche Rechtsunsicherheiten. Ein öffentlich gewordener Entwurf des Bundeswirtschaftsministeriums vom 14.07.2020 soll die vorhandenen Regelungen aus TKG und TMG reformieren und in einem neuen, eigenen Gesetz zusammenführen, das etwas sperrig „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien“ (TTDSG) heißen soll. Dieses soll Rechtsklarheit schaffen und das zentrale Gesetz für den Schutz der Privatsphäre und Datenschutz bei Telemedien und in der Telekommunikation werden. Neben Neuregelungen beim Anwendungsbereich des Gesetzes, bei den Zuständigkeiten und Bußgeldvorschriften spielt die Vorschrift über Cookies und die Einwilligungspflicht eine zentrale Rolle, die wir in diesem Beitrag für Sie zusammenfassen.

I. Ein erweiterter Anwendungsbereich

Sogenannte OTT (Over-the-top)-Dienste sind vom Anwendungsbereich des TTDSG-Entwurfs erstmals explizit erfasst. Darunter fallen Kommunikationsdienste, wie beispielsweise E-Mail- oder Messenger-Dienste, die der Anbieter über das offene Internet erbringt. Diese finden sich in § 2 Nr. 15 TTDSG-E wieder, der von „interpersonellen Kommunikationsdiensten“ spricht:

„Ein gewöhnlich gegen Entgelt erbrachter Dienst, der die Übermittlung von Informationen über elektronische Kommunikationsnetze an vom Absender bestimmte Personen ermöglicht.“

II. Einwilligungen in Cookies und vergleichbare Technologien – § 9 TTDSG-E

Eine wichtige Rolle spielt § 9 TTDSG-E, der für die Anbieter von Telemedien eine Einwilligungspflicht in das „Speichern von Informationen auf Endeinrichtungen des Endnutzers“ bzw. für den „Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind“, vorschreibt. Hiervon ist vor allem auch das Setzen von Cookies und vergleichbaren Technologien erfasst.

1. Hintergrund der Neuregelung

Am 28. Mai 2020 traf der Bundesgerichtshof (BGH, Az.: I ZR 7/16) eine Grundsatzentscheidung zum Thema Cookies, die auf einem vorherigen Urteil des Europäischen Gerichtshofs (EuGH, Rechtssache „Planet49“, Az.: C-673/17) beruhte. Dabei ging es vor allem um die Anforderungen, die Telemedienanbieter beachten müssen, wenn sie auf ihrer Website Cookies einsetzen wollen. Der EuGH hatte zuvor betont, dass die ePrivacy-Richtlinie ein weitgehendes Einwilligungserfordernis vorsieht. Problematisch war allerdings, dass die ePrivacy-Richtlinie nie wörtlich in deutsches Recht überführt wurde. Der BGH entschied daraufhin, das Problem zunächst durch eine richtlinienkonforme, weite Auslegung des § 15 Abs. 3 S. 1 TMG zu lösen:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Obwohl das deutsche Gesetz hier dem Wortlaut nach nur vorsieht, dass dem Einsatz von Cookies kein Widerspruch des Website-Besuchers entgegenstehen darf, hatte der BGH in die Vorschrift im Sinne der ePrivacy-Richtlinie ein Einwilligungserfordernis hineingelesen. Eine Einwilligung (Opt-In) sei dementsprechend immer dann notwendig, wenn die Cookies für den Zweck der Werbung oder Marktforschung eingesetzt werden. Die Anforderungen an diese Einwilligung richten sich nach Art. 4 Nr. 11 DSGVO, insbesondere vorangekreuzte Häkchen sind demnach unzulässig. Diese Lösung erschien dem Gesetzgeber offensichtlich unzulänglich, wie der Entwurf für das TTDSG zeigt. Er greift die Thematik in § 9 auf.


Mehr zum Thema

Ratgeber für Nutzertracking und Cookies – mit Ausblick auf TTDSG und ePrivacy-VO


2. Das Einwilligungserfordernis und seine Ausnahmen

§ 9 Abs. 1 TTDSG-E orientiert sich stark an Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie und ist folgendermaßen gefasst:

„Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“

Wichtig ist, dass hiervon nicht nur Cookies betroffen sind – die Regelung betrifft alle Speichervorgänge von Daten auf Endgeräten sowie alle Zugriffe auf Daten, die auf Endgeräten gespeichert sind (z.B. durch Tracking-Pixel und bestimmte Formen des Fingerprintings). Weitere Details finden sich in Abs. 3 des TTDSG-E, das sich am Planet 49-Urteil des EuGH orientiert. Zu den Informationen, die dem Nutzer bereitgestellt werden müssen, gehören demnach auch Angaben zu möglichen Zugriffen Dritter auf die Daten sowie über die Funktionsdauer von Cookies. Ferner wird hervorgehoben, dass die Einwilligung aktiv erteilt wird. Sie ist nach § 9 Abs. 3 TTDSG-E zudem nur wirksam,

a) „wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
b) der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.“

Darüber hinaus weicht der Entwurf in § 9 Abs. 2 TTDSG-E von der ePrivacy-Richtlinie ab, indem sich er die Ausnahmen von der Pflicht zur Einwilligung konkretisiert. Einer Einwilligung bedarf es danach nicht, wenn die Speicherung oder der Zugriff

a) „technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
b) vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
c) zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

Vor allem die letzten beiden Ausnahmen lassen Interpretationsspielräume zu, die über die Vorgaben der ePrivacy-Richtlinie hinausgehen, auch wenn die Gesetzesbegründung des Entwurfs lediglich von Klarstellungen spricht. Die genaue Reichweite der Ausnahmen in der Praxis ist noch offen. Websitebetreiber sind gut beraten, hierzu die weitere Entwicklungen zu beobachten.

3. Einwilligung durch eine Anwendung

Ein spannender Aspekt, der in der ePrivacy-Richtlinie nur in den Erwägungsgründen angedacht war, hat es ebenfalls in den Entwurf geschafft. So soll die Möglichkeit des Endnutzers, die Einwilligung zu erklären, indem er eine „dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt“, nach § 9 Abs. 4 TTDSG-E gesetzlich festgeschrieben werden. Ziel dieser Vorschrift ist laut Gesetzesbegründung „die größtmögliche Nutzerfreundlichkeit“, indem Endnutzer ihr Recht schnell und unkompliziert wahrnehmen können. Problematisch an der Vorschrift dürfte jedoch vor allen Dingen ihre praktische Umsetzbarkeit sein. Denn alle Browser müssten einen gemeinsamen Standard unterstützen und müssten zunächst auf das „Ablehnen“ von Cookies zur Werbe- und Analysezwecken voreingestellt sein. Es existiert zwar bereits das HTTP-Header-Feld „Do Not Track“ (DNT), welches die Website darüber informiert, ob das Tracking akzeptiert oder abgelehnt wurde. Allerdings wird DNT nicht von allen Browsern vollständig unterstützt und nicht von allen eingebundenen Tools und Plugins akzeptiert. Die Möglichkeit der Einwilligung über einen Browser führt daher wohl eher zu neuen ungeklärten Folgefragen.

III. Neue Zuständigkeiten und Bußgelder

Teil 1 und 2 des Entwurfs beinhalten allgemeine Regelungen sowie solche über den Datenschutz und den Schutz der Privatsphäre in der öffentlichen Kommunikation. Für Vorschriften, die darin dem Schutz personenbezogener Daten dienen, soll künftig der Bundesdatenschutzbeauftragte (BfDI) für die Aufsicht zuständig sein. Für solche Vorschriften aus Teil 1 und 2, die nicht den Zweck des Schutzes personenbezogener Daten haben, soll die bisherige Aufsicht der Bundesnetzagentur (BNetzA) bestehen bleiben (§ 27 TTDSG-E). Eine genaue Abgrenzung aller Vorschriften fehlt ebenso wie eine Zuteilung der Aufsicht für Teil 3 des Entwurfs, die daher weiterhin vor allem bei den Landesdatenschutzbehörden liegen dürfte. Da eine eindeutige Zuordnung der Zuständigkeiten nicht immer möglich ist, wäre eine klarere Zuteilung begrüßenswert.

Fazit

Noch lassen sich nicht alle praktischen Auswirkungen des Entwurfs abschätzen. Laut dem ersten Zeitplan des BMWi soll das TTDSG bereits am 21. Dezember 2020 in Kraft treten. Ob noch entscheidende Änderungen in die finale Version aufgenommen werden, lässt sich erst nach Abschluss des Gesetzgebungsprozesses sagen. Sollten Fragen ungeklärt bleiben, wird erst die Praxis Einzelheiten klarstellen. Grundlegende Änderungen sind allerdings eher nicht zu erwarten, weshalb betroffene Unternehmen sich am besten schon jetzt mit den Vorgaben beschäftigen sollten. Insgesamt dürfte der Entwurf aber dennoch ein Schritt in die richtige Richtung sein und zunächst die grenzwertige richtlinienkonforme Auslegung des BGH beenden. Vor allem, da das Datum für die geplante ePrivacy-Verordnung weiterhin nicht absehbar ist, dürfte das TTDSG mittelfristig ein zentrales Gesetz für Datenschutz von Telemedien- und Telekommunikationsunternehmen sein.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.