Gesetz
Cookies
Am 28. Mai 2021 beschloss der Bundesrat das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG). Es soll zum 1. Dezember 2021 in Kraft treten.
Ziel des Gesetzes sei es, „Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt zu schaffen“, so das federführende Bundesministerium für Wirtschaft und Energie. Auch die Diskrepanz zwischen deutschem Recht und EU-Vorgaben soll mit dem TTDSG geschlossen werden.
Gesetzlicher Rahmen
Gegenüber der DSGVO wird das TTDSG, sofern beide zur Anwendung kommen, eine sogenannte abdrängende Sonderzuweisung darstellen und die kollidierenden Normen der DSGVO verdrängen oder um spezifische Regelungen erweitern.
Hinsichtlich bestehender, deutscher Regelungen bündelt das TTDSG Datenschutzvorgaben des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem Gesetz. Die grundsätzlich vom deutschen Recht vorgenommene Unterscheidung zwischen Kommunikationsdiensten und Telemedien (z.B. Messenger oder E-Mails) bleibt demnach weiterhin bestehen: Während für Telekommunikationsdienste die Signalübertragung über Telekommunikationsanlagen wesentlich ist (z.B. Telefon oder SMS), fokussieren sich Telemediendienste auf elektronische Information oder Kommunikation (z.B. E-Mails, Messanger oder Websites). Das TTDSG ist damit für alle anwendbar, die eine Website oder App betreiben.
Der Anwendungsbereich umfasst nach § 1 Abs. 3 TTDSG alle Unternehmen und Personen, die im Geltungsbereich des TTDSG über eine Niederlassung verfügen, Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Verstöße können nach § 28 Abs. 2 TTDSG mit einem Bußgeld von bis zu 300.000€ oder nach § 27 TTDSG mit Freiheitsstrafen von bis zu zwei Jahren geahndet werden. Erstere würden dabei durch die BNetzA oder durch den BfDI verhängt werden. Auffällig ist, dass der Bußgeldrahmen im Vergleich zur DSGVO (bis zu 20.000.000€ oder 4% des Jahresumsatzes) deutlich niedriger ausfällt.
Fernmeldegeheimnis, Verkehrs- und Standortdaten
Ähnlich der ePrivacy-Richtlinie betrifft das TTDSG nicht nur personenbezogene Daten, sondern vielmehr sämtliche Informationen, welche im Rahmen der Nutzung von Telemedien- und Telekommunikationsdiensten erhoben werden. Hierbei ist im Gegensatz zu § 96 TKG i. V. m. § 9 TTDSG eine Verarbeitung von Verkehrsdaten künftig nur noch erlaubt, sofern diese für die in § 9 Abs. 1 TTDSG genannten Zwecke erforderlich ist (etwa zur Aufrechterhaltung der Telekommunikation oder zu Abrechnungszwecken). Eine darüberhinausgehende Verarbeitung schließt der Gesetzgeber in § 9 Abs. 1 S. 3 TTDSG mit der neuen Regelung ausdrücklich aus.
Die Pflicht zur Verarbeitung von Verkehrsdaten aufgrund von anderen Rechtsvorschriften bleibt von dieser Regelung allerdings unberührt. Weiterhin werden in § 9 Abs. 2 TTDSG durch den direkten Bezug zur DSGVO nunmehr die Anforderungen an die erforderliche Einwilligung festgelegt.
Mit dem TTDSG wird außerdem das Fernmeldegeheimnis auf bestimmte Telemedien (z.B. E-Mails, Messenger, Internettelefonie) erweitert. Künftig wird es Technologiedienstleistern wie Google oder Facebook demnach nicht länger grundsätzlich erlaubt sein, die auf ihren Plattformen stattfindende Kommunikation zu analysieren. Was diese Regelung in der Praxis bedeuten wird, bleibt abzuwarten.
Bestandsdatenauskunft
Ferner müssen Erbringer geschäftsmäßiger Telemediendienste künftig unter Umständen (siehe hierzu § 22 Abs. 3 und § 24 Abs. 3 TTDSG) öffentlichen Stellen auf Anfrage Auskunft zu Bestands- und Nutzerdaten erteilen. Passwörter oder andere Daten, welche einen Zugriff auf Endgeräte oder Speichereinrichtungen erlauben würden, sind von dieser Auskunftspflicht allerdings nach § 22 Abs. 1 S. 1 TTDSG ausgenommen.
§ 24 Abs. 2 TTDSG sieht vor, dass Auskunftsgesuche in der Regel schriftlich oder elektronisch und nur unter Nennung der einschlägigen gesetzlichen Bestimmung beantwortet werden, obgleich bei Gefahr im Verzug nach § 24 Abs. 2 S. 3 TTDSG eine Rechtsgrundlage nachgereicht werden kann. In solchen Fällen trägt das Risiko jedoch die Auskunft ersuchende Stelle.
Regelungen zu Cookies und Tracking-Technologien
Mit beinah zehnjähriger Verzögerung überträgt § 25 TTDSG die „Cookie-Vorschrift“ des Art. 5 Abs. 3 der seit 2009 bestehenden, europäischen ePrivacy-Richtlinie in nationales Recht. Damit wird endgültig klargestellt, was sich zuvor bereits aus der Rechtsprechung des BGH ergab: Sofern keine der eng gefassten Ausnahmen greift (z.B. für den Betrieb der Seite technisch erforderliche Cookies), müssen Webseiten-Betreiber eine aktive und informierte Einwilligung von jedem Besucher einholen, wenn sie auf ihrer Webseite Cookies oder vergleichbare Technologien wie z.B. local Storage oder Session Storage verwenden. Entsprechend sind auch Anbieter von Telemedien zur Einholung einer Einwilligung verpflichtet, bevor Cookies auf Nutzerendgeräten gespeichert bzw. bereits gespeicherte Daten ausgelesen werden dürfen.
Einwilligungsmanagement
Des Weiteren enthält § 26 TTDSG Anforderungen an „Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“ (sogenannte „Personal Information Management Services“ – PIMS), welche gemäß § 26 Abs. 1 TTDSG von einer unabhängigen Stelle anerkannt werden. PIMS sollen dazu dienen, den Erfolg des Einwilligungsmanagements zu überwachen und evaluieren zu können.
Anbieter von PIMS-Diensten müssen sich akkreditieren lassen und dürfen kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung haben. Dafür würden beispielsweise Stiftungen infrage kommen. Webseitenbetreiber müssen dann bei Nutzern, die sich eines PIMS-Anbieters bedienen, die dort vorgenommenen Einstellungen zur Einwilligung berücksichtigen. Ziel dessen ist, die informationelle Selbstbestimmung und Kontrolle über personenbezogene Daten von Internetnutzern zu stärken.
Auswirkungen auf Unternehmen
Zunächst einmal enthält das TTDSG zahlreiche übearbeitete Regelungen für die Telekommunikationsbranche. Dort tätige Unternehmen haben bereits heute die Vorgaben des TKG zu beachten, müssen aber ihre internen Prozesse entsprechend auf das TTDSG anpassen.
Die Änderungen zu Telemedien betreffen fast jedes Unternehmen, denn wer eine Webseite oder App betreibt, wird die datenschutzrechtlichen Vorgaben zukünftig nach dem TTDSG messen müssen. Dabei ist der Anwendungsbereich weit gefasst, sodass Unternehmen auch dem TTDSG verpflichtet sind, wenn Dienstleistungen in Deutschland erbracht werden, ohne dabei eine Niederlassung in Deutschland zu haben (ausführlich dazu Carlo Piltz).
In § 19 Abs. 4 TTDSG stellt der Gesetzgeber klar, dass technische und organisatorische Maßnahmen gegen Störungen getroffen werden müssen, die den Stand der Technik berücksichtigen müssen. Dabei werden anerkannte Verschlüsselungsverfahren genannt, sie sind aber nur ein Beispiel. Unternehmen werden daher nicht nur hinsichtlich des Datenschutzes verpflichtet, sondern müssen auch geeignete Maßnahmen in Hinblick auf die Informationssicherheit implementieren.
Im Zusammenhang der technischen und organisatorischen Maßnahmen betont der Gesetzgeber auch noch einmal das Prinzip der Datenminimierung, das bereits aus der DSGVO bekannt ist: Nach § 19 Abs. 2 TTDSG soll die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym ermöglicht werden, soweit dies technisch zumutbar ist.
Eine lang erwartete Akutalisierung findet sich in den Regelungen zu § 25 TTDSG: Danach wird festgestellt, dass Webseiten-Betreiber eine aktive und informierte Einwilligung von jedem Besucher einholen müssen, wenn sie auf ihrer Webseite Cookies oder vergleichbare Technologien zum Speichern oder Abrufen von Daten auf den Endgeräten verwenden. Wer also solche Technologien einsetzt, die nicht für die technische Umsetzung erforderlich sind, muss mittels Consent-Banner auf der Webseite (oder eines entsprechenden Äquivalents in Smartphone-Apps) die vorherige Einwilligung einholen.