Am 20.05.2021 beschloss die deutsche Bundesregierung das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“, kurz das TTDSG. Das Gesetz trat im Großen und Ganzen am 01.12.2021 in Kraft, während einzelne Bestimmungen bereits am Tag nach der Beschlussfassung in Kraft traten, welche jedoch keine nennenswerten Auswirkungen hatten.
Hintergrund zu diesem Gesetzesbeschluss war zum einen die Umsetzung der ePrivacy-Richtlinie der Europäischen Union, nachdem eine mangelnde Umsetzung festgestellt wurde. Hierzu ergingen Urteile vom EuGH und vom BGH in hierzu relevanten Fällen. Weiters war es Ziel der Bundesregierung, die datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes und des Telemediengesetzes in einem Regelwerk zu vereinen und übersichtlicher zu gestalten und gleichzeitig eine Anpassung der Regelungen durchzuführen.
Das Gesetz wird als Zwischenschritt zwischen der Umsetzung der ePrivacy-Richtlinie und der ePrivacy-Verordnung der Europäischen Union gesehen, weshalb gesetzliche Klarstellungen erfolgten und vereinzelt Neuerungen eingeführt wurden, jedoch umfassende Änderungen ausblieben. Nichts desto trotz enthält das Gesetz Regelungen, die nicht außer Acht gelassen werden sollten und nachfolgend dargestellt werden.
Geänderter Anwendungsbereich
Der Anwendungsbereich orientiert sich analog zu den Bestimmungen der DSGVO am Niederlassungs- und Marktortprinzip. Das bedeutet, dass die Regelungen des TTDSG wie die Regelungen der DSGVO auch für Anbieter in Ländern außerhalb Deutschlands relevant sind.
Neuerungen bezüglich der Bestimmungen des TKG
Überführt wurden die datenschutzrechtlichen Regelungen aus dem Telekommunikationsgesetz (§§ 88 ff TKG) in den Teil II des TTDSG, der die Paragraphen 3 bis 18 beinhaltet. Im Wesentlichen wurden keine neuen materiellen Regelungen eingeführt, was zu keinen Änderungen an bestehenden Prozessen führt.
Der Anwendungsbereich der Bestimmungen des TKG wurde durch das Telekommunikationsmodernisierungsgesetz ausgedehnt und umfasst nun auch sogenannte „Over-The-Top-Dienste“ wie beispielsweise WhatsApp, diverse E-Mail-Dienste und weitere Nachrichtenübertragungsdienste, welche die Kommunikation über Internet bereitstellen. Anbieter solcher Dienste unterstehen nun auch den strengeren Regelungen des TTDSG in den betroffenen Bereichen.
Das Fernmeldegeheimnis vormals geregelt in § 88 TKG findet Eingang in § 3 TTDSG, weshalb verwendete Mustervorlagen zu erneuern sind, sofern dies nicht bereits durchgeführt wurde. Ein Aktualisiertes Muster wurde rechtzeitig über das Online-Formular-Center durch die UIMC bereitgestellt.
Eine echte Neuerung die aber nur für Diensteanbieter von Telekommunikationsdiensten Relevanz besitzt ist die Einführung eines „digitalen Erben“ im § 4 TTDSG. Gegenüber von Erben oder anderen befugten Personen eines Erblassers, steht das Fernmeldegeheimnis nicht entgegen, weshalb davon betroffene Daten an solche Personen herauszugeben sind.
Neuerungen bezüglich der Bestimmungen des TMG
Die Bestimmungen des Telemediengesetzes (TMG) wurden ebenso in das TTDSG überführt, welche durch die §§ 19 bis 26 abgebildet wurden. Die Regelungen zu den technischen und organisatorischen Maßnahmen für Telemedien wurden bei der Neugestaltung übersichtlicher geregelt, während der Inhalt gleich blieb. Dies betrifft auch die Regelungen zu Bestands- und Nutzungsdaten sowie den zugehörigen Auskunftsverfahren, die sich nun in den §§ 21 bis 24 TTDSG wiederfinden.
Im Bereich der Bestimmungen des TMG befinden sich „echte Neuerungen“, wie sie in der Einleitung zur Umsetzung der ePrivacy-Richtlinie beschrieben wurden. Betroffen von den Regelungen sind vordergründig Cookies und ähnliche Tracking-Methoden, die entweder auf Daten auf Endgeräten von Nutzern zugreifen oder Daten auf die Endgeräte von Nutzern speichern. Nachfolgend werden die echten Neuerungen dargestellt.
Schutz der Privatsphäre von Endeinrichtungen (§ 25 TTDSG)
Durch die Neuformulierung des vormaligen § 15 Abs. 3 TMG wurde eine Anpassung der Regelung an die ePrivacy-Richtlinie vorgenommen. Wichtig ist in diesem Zusammenhang die technologieneutrale Formulierung, welche letztlich nicht nur Cookies betrifft, sondern generell alle „Endeinrichtungen“ von Nutzern vor Zugriffen auf vorhandene Daten oder vom Abspeichern von Daten darauf schützen soll. Die Bestimmung hat somit auch Auswirkungen auf Funktionen oder Geräte im Bereich des IoT (Internet of Things) oder anderen Smart-Home-Anwendungen.
Der Wortlaut der Bestimmung orientiert sich dabei eng an den Formulierungen der ePrivacy-Richtlinie und enthält ein explizites Einwilligungserfordernis.
Die Besonderheit zu anderen datenschutzrechtlichen Regelungen ist, dass diese Bestimmung sowohl personenbezogene als auch nicht-personenbezogene Daten schützt!
Die geforderte Einwilligung hat nach dem TTDSG den Vorgaben der DSGVO zu entsprechen, weshalb eine Einwilligung nur rechtswirksam ist, wenn diese freiwillig, informiert und aktiv abgegeben wird.
Nur zwei Ausnahmen vom Einwilligungserfordernis sind enthalten, wonach keine Einwilligung notwendig sein soll, wenn
- der alleinige Zweck der Speicherung/des Zugriffs von/auf Informationen auf Endeinrichtungen der Nutzer die Durchführung einer Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist.
- die Speicherung/der Zugriff von/auf Informationen auf der Endeinrichtung ist unbedingt erforderlich für die Zurverfügungstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienst
Wichtig ist zu erkennen, dass eine zweistufige Prüfung dann zu erfolgen hat, wenn bei einer Datenerhebung auch personenbezogene Daten betroffen sind. Richtet sich die Einwilligung nach dem TTDSG vorerst nur darauf, ob ein Zugriff auf das Endgerät eines Nutzers rechtmäßig ist, so benötigen nachfolgende Datenverarbeitungen stets einer Rechtsgrundlage nach der DSGVO.
Hinweis: Die Erlaubnistatbestände des TTDSG können nachfolgende Verarbeitungen mitabdecken, was insbesondere auf Einwilligungen zutrifft.
Anerkannte Dienste zur Einwilligungsverwaltung (§ 26 TTDSG)
Das Gesetz ermöglicht den Einsatz von sogenannten „PIMS“ (Personal Information Management System) zur zentralen Verwaltung von Nutzereinwilligungen bei unabhängigen Dienstleistern. Hierdurch sollen Cookie-Banner überflüssig werden, indem bei einem Webseitenbesuch der Seitenbetreiber die Einstellungen des Nutzers bei einem „PIMS“ abruft und die Seite entsprechend den Einstellungen gestaltet.
Strafvorschriften des TTDSG
Bei bestimmten Delikten gegen Bestimmungen aus dem TKG verbleibt die Möglichkeit, auch Freiheitsstrafen bis zu zwei Jahren zu verhängen oder alternativ Geldbußen auszusprechen, was aber nur das Abhörverbot und den Missbrauch von Telekommunikationsanlagen betrifft. Die Bußgelder gegen die restlichen Bestimmungen sind in abgestufter Form enthalten. Die Abstufungen sind 300.000 Euro, 100.000 Euro, 50.000 Euro und 10.000 Euro, abhängig vom begangenen Verstoß.
Beachte: Verstöße aus datenschutzrechtlicher Sicht (insb. § 25 TTDSG) können mit bis zu EUR 300.000 nach dem TTDSG und zusätzlich nach den Strafbestimmungen der DSGVO geahndet werden!