Deutschland ist um ein weiteres Datenschutzgesetz reicher – denn am 01.12.2021 ist das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten. Es tritt neben die bereits umfangreichen Regelungen der DSGVO, des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze und richtet sich in erster Linie an die Anbieter von Telekommunikations- und Telemediendiensten. Zu diesem Zweck werden die bisherigen speziellen Datenschutzvorschriften aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) im TTDSG gebündelt, zusammengefasst und ergänzt. Deutschland setzt damit die EU-Vorgaben der s.g. „e-Privacy-Richtlinie“ um, die eigentlich bereits mit Inkrafttreten der DSGVO von einer „e-Privacy-Verordnung“ hätte abgelöst werden sollen. Lesen Sie hier alles zum Anwendungsbereich des neuen TTDSG sowie zu den neuen Pflichten, die vor allen Dingen Webseitenanbieter bei der Verwendung von Cookies und anderen Web-Technologien treffen.
Anwendungsbereich und Zweck des TTDSG
Im Gegensatz zur DSGVO und den anderen, nationalen Datenschutzgesetzen zielt das neue TTDSG nicht primär auf den “Schutz der Grundrechte und Grundfreiheiten bei der Erhebung und Verarbeitung personenbezogener Daten natürlicher Personen” ab. Anknüpfungspunkt ist vielmehr – im Einklang mit der e-Privacy-Richtlinie – der Schutz der Integrität von und die Beachtung der Privatsphäre bei der Nutzung von s.g. “Endgeräten”, bzw. “Endeinrichtungen” im Rahmen der Telekommunikation, bzw. der Verwendung von Telemedien. Die “Integrität und Vertraulichkeit informationstechnischer Systeme” soll im privatrechtlichen Bereich geregelt werden.
Der Begriff der “Endeinrichtung” ist dabei weit zu verstehen. Er ist in § 2 Abs. 2 Nr. 6 TTDSG definiert als
„jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet“
Umfasst sind also nicht nur „klassische“ Telefone, Faxgeräte oder Fernkommunikationseinrichtungen, sondern auch Smartphones und Tablets, PCs und Laptops, Smartwatches, Geräte aus den Bereichen des Internets der Dinge (Internet of Things, IoT), Smartcars und überhaupt jedes dem Endnutzer zur Verfügung stehende Gerät – solange und soweit dieses an das Internet angeschlossen ist. Auch lediglich zwischengeschaltete Geräte – wie etwa ein Router oder WLAN-Zugangspunkt – sind von der Definition umfasst.
Hinsichtlich des persönlichen und räumlichen Anwendungsbereiches deckt sich das neue Gesetz mit den diesbezüglichen Regelungen der DSGVO.
Persönlich betroffen ist grundsätzlich jeder, der Telekommunikations- oder/und Telemediendienste anbietet, wobei das TTDSG in seinen Begriffsbestimmungen unglücklicherweise weiter geht als beispielsweise das – parallel in Kraft befindliche – Telemediengesetz. Inwieweit dies künftig zu Abgrenzungsschwierigkeiten oder Rechtsunsicherheiten führen wird, muss die Praxis der nächsten Jahre zeigen.
In räumlicher Hinsicht gilt zunächst das Marktort- und Niederlassungsprinzip: An das TTDSG muss sich halten, wer Telemedien oder Telekommunikationsdienste betreibt und seinen Sitz in Deutschland hat oder auf dem deutschen Markt mit dem Angebot von Waren oder Dienstleistungen aktiv ist. Der Anwendungsbereich wird aber durch § 3 TMG durch das Herkunftslandprinzip zusätzlich auf die gesamte Europäische Union ausgeweitet, was letztlich de facto – wie schon bei der DSGVO – zu einer nahezu internationalen Geltung der neuen Datenschutzregeln führen dürfte.
Pflichten nach dem TTDSG
Wie eingangs beschrieben, bezweckt das neue Gesetz den Schutz der Privatsphäre von Endgeräten eines Nutzers, über die unter Zuhilfenahme öffentlicher Netze Telekommunikation betrieben, bzw. Telemedien konsumiert werden können.
Insbesondere sollen Informationen durch Anbieter oder Dritte nur noch dann auf Endgeräten gespeichert werden dürfen, wenn der Nutzer vorher rechtswirksam eingewilligt hat. Selbiges gilt für den Abruf von bereits auf einem Endgerät gespeicherten Informationen.
Dreh- und Angelpunkt des neuen Gesetzes ist in diesem Zusammenhang § 25 Abs. 1 TTDSG:
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [Datenschutzgrundverordnung] zu erfolgen.
Der Gesetzgeber hat somit dasjenige in positives Recht umgesetzt, das bereits durch die umfangreiche Rechtsprechung von EuGH und BGH u.a. zur Cookie-Technologie entschieden worden ist: Das Speichern oder Auslesen von Informationen auf oder aus Endgeräten des Nutzers ist nur mit dessen informierter und den Vorschriften der DSGVO entsprechender Einwilligung zulässig.
Betroffen sind daher neben Cookies vor allen Dingen andere Technologien, die in irgendeiner Art und Weise jegliche Informationen (nicht: personenbezogene Daten!) in den Devices der Nutzer hinterlegen oder auslesen – also etwa Skripe wie Java, Web-Storage-Anwendungen (wie Local Storage oder Session Storage), automatische Updatefunktionen für Hard- oder Software der Endgeräte, Hidden Identifiers, Spähsoftware und vieles andere mehr.
Was müssen Webseitenbetreiber nun beachten?
Was ändert sich mit dem neuen TTDSG nun also für Anbieter von Telekommunikationsdiensten und Telemedien, also hauptsächlich Betreiber von Webseiten und Apps?
Wichtig ist, zunächst einmal die grundsätzliche Unterscheidung zwischen den Pflichten aus dem allgemeinen Datenschutzrecht (also DSGVO und BDSG) und den – neuen – Pflichten aus dem Telekommunikation-Telemedien-Datenschutzgesetz zu verstehen. Diese Unterscheidung unterteilt das Erfordernis der Einwilligung in zwei grundlegend unterschiedliche Bereiche.
Nach dem neuen Gesetz müssen Anbieter die wirksame Einwilligung i.S.d. § 25 Abs. 1 TTDSG i.V.m. Art. 7 DSGVO bereits immer dann einholen, wenn Informationen irgendeiner Art auf den Geräten eines Nutzers gespeichert oder von dort ausgelesen werden. Dabei kommt es nicht darauf an, ob es sich dabei um personenbezogene Daten handelt oder ob ein Datenverarbeitungsvorgang im Sinne der DSGVO in Gang gesetzt wird oder Informationen, bzw. Daten an Dritte übertragen werden. Das Einwilligungserfordernis nach dem TTDSG geht daher wesentlich weiter als das der DSGVO.
Bewirkt eine zuvor beschriebene Technologie aber, dass zusätzlich zur Speicherung oder Auslesung von Informationen auf oder aus dem Endgerät auch Datenverarbeitungsvorgänge oder Datenübertragungen – auch und gerade an Dritte – stattfinden, ist eine weitere Einwilligung erforderlich, die ausschließlich den Vorgaben der DSGVO folgt.
Diese beiden Vorgänge sind technisch selbstverstädlich kaum zu trennen, sodass es in der Praxis für Anbieter darauf ankommt, beide Einwilligungen möglichst gleichzeitig – also „in bulk“ – einzuholen.
Das ist durchaus möglich und umsetzbar, setzt aber voraus, dass der Nutzer vor dem Speichern, Auslesen und Verarbeiten über alle wesentlichen technischen Vorgänge, die beabsichtigt sind, informiert wird. Ein rechtssicheres „Cookie-Banner“ muss daher künftig jedenfalls die Möglichkeit bieten, dass Nutzer alle wesentlichen Hinweise zur Speicherung und Auslesung von Informationen bezüglich des Endgeräts einerseits und zur Datenverarbeitung und -übertragung andererseits erhalten (oder zumindest erhalten können).
Nur wenn dies gewährleistet ist, steht der Betrieb eines Dienstes im Einklang mit den gesetzlichen Vorschriften.
Gibt es Ausnahmen?
Das TTDSG sieht in § 25 Abs. 2 TTDSG zwei wesentliche und praxisrelevante Ausnahmen vom Einwilligungserfordernis vor:
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Eine Einwilligung ist daher nicht erforderlich, wenn der Einsatz der Web-Technologie, die Informationen speichert oder abruft, zum Betrieb des entsprechenden Telemediums unbedingt technisch erforderlich ist (vgl. § 25 Abs. 2 Nr. 1 TTDSG).
Entbehrlich ist die Einwilligung auch dann, wenn nur deshalb auf Endgeräteinformationen zugegriffen wird, um eine Nachricht über ein öffentliches Telekommunikationsnetz „durchzuführen“.
Was passiert bei Verstößen?
Anbieter von Telemedien oder Telekommunikationsdiensten, die gegen das Einwilligungserfordernis nach § 25 Abs. 1 TTDSG verstoßen, handeln ordnungswidrig.
Die Ordnungswidrigkeit kann mit Bußgeld bis zu 300.000,00 EUR bebußt werden (§ 28 Abs. 2 TTDSG). Zuständige Behörde ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Neben ordnungswidrigkeits- und datenschutzrechtlichen Konsequenzen müssen Anbieter bei Verstößen mit Abmahnungen von Konkurrenten und Unterlassungs- und Schadenersatzansprüchen von Betroffenen rechnen.
Webseitenbetreiber sollten daher zügig handeln und sich bemühen, ihre Angebote zu überarbeiten und rechtskonform zu gestalten.
Diesbezüglich hat die „Datenschutzkonferenz DSK“ ein Orientierungspapier veröffentlicht, das entsprechende weitergehende Erläuterungen und Umsetzungshilfen enthält.
Sie benötigen Beratung im Datenschutz- oder IT-Recht oder haben allgemeine Fragen zum Thema? Dann freuen wir uns über Ihre Nachricht.