Brandi mbB - Logo

Beitrag

Aktuelle ThemenIT & Datenschutz

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz

Einleitung

Zum 01.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (im Folgenden: TTDSG) in Kraft getreten. Das TTDSG enthält insbesondere Regelungen zum Datenschutz bei Telekommunikationsdiensten sowie Telemedien und führt dabei die bislang einerseits im Telekommunikationsgesetz (im Folgenden: TKG) und anderereits im Telemediengesetz (im Folgenden: TMG) getrennt normierten Datenschutzbestimmungen in einem Gesetz zusammen. Mit dem TTDSG möchte der Bundesgesetzgeber die nationale Gesetzeslage stärker an die Vorgaben der DSGVO sowie der E-Privacy-Richtlinie anpassen und so die Rechtsanwendung vereinfachen. Im Folgenden wollen wir praxisrelevante Regelungen des neuen Gesetzes für Sie überblicksartig darstellen und ggf. bestehenden Handlungsbedarf aufzeigen.

Anwendungsbereich

Bereits die Bestimmung des Anwendungsbereichs des TTDSG stellt sich angesichts der insoweit zu berücksichtigenden Grundsätze als durchaus komplex dar.

Sachlicher Anwendungsbereich

In sachlicher Hinsicht dienen die Regelungen des neuen Gesetzes vor allem dem Schutz der Privatsphäre bei der Nutzung von Telemedien und Telekommunikationsdiensten sowie dem Schutz des Fernmeldegeheimnisses. Damit kann der Anwendungsbereich des TTDSG nicht erst bei einer Verarbeitung personenbezogener Daten eröffnet sein, sondern ggf. auch in Bezug auf die Verarbeitung von Einzelangaben über juristische Personen bzw. rechtsfähige Personengesellschaften. Dies hat u. a. Bedeutung für Datenschutzinformationen, die regelmäßig ausschließlich auf personenbezogene Daten abstellen und künftig partiell generischer zu formulieren sein werden.

Der Anwendungsbereich des TTDSG knüpft u. a. an den Begriff des Telekommunikationsdienstes an. Hierzu gehören auch sog. over the top-Dienste wie z. B. Skype-Out, also Kommunikationsdienste, die über das Internet erbracht werden. Unter Berücksichtigung der Ausweitung des Begriffs der Telekommunikationsdienste durch das Telekommunikationsmodernisierungsgesetz, welches parallel zu dem TTDSG in Kraft getreten ist, finden nunmehr auch auf Messenger-Dienste wie z. B. WhatsApp und Signal bestimmte Vorgaben des TTDSG Anwendung, vgl. § 2 Abs. 1 TTDSG. Soweit Unternehmen Ihren Mitarbeitenden und Kunden eigene Messenger-Dienste anbieten sollten, fallen diese Dienste damit künftig auch unter den Anwendunsbereich des TTDSG und damit gelten insbesondere auch die speziellen Informationspflichten und Erlausbnistatbestände nach dem Gesetz.

Personeller und räumlicher Anwendungsbereich

Gemäß § 1 Abs. 3 S. 1 TTDSG fallen alle Unternehmen und Personen, die im Geltungsbereich des TTDSG über eine Niederlassung verfügen oder Dienstleistungen erbringen oder auch nur daran mitwirken oder Waren auf dem hiernach relevanten Markt bereitstellen, unter den Anwendungsbereich des TTDSG. Da bereits das Mitwirken an einer Leistung ausreichen soll, um den personellen Anwendungsbereich des TTDSG zu eröffnen, ist dieser verhältnismäßig weit gefasst. Konkret ergibt sich hieraus, dass auch Dienstleister wie Hosting- oder Cloud-Anbieter, die an der Ausgestaltung der eigentlichen „Kernleistungen“, die durch das TTDSG datenschutzrechtlich reguliert werden sollen, nur mittelbar beteiligt sind, den Regelungen des Gesetzes unterfallen. Berücksichtigt man außerdem die weite Definition des Begriffs „Anbieter von Telemedien“ in § 2 Abs. 2 Nr. 1 TTDSG, ist davon auszugehen, dass auch die Mitarbeiter entsprechender Anbieter direkt von den Vorschriften des TTDSG erfasst werden. Dies wird künftig voraussichtlich insbesondere bei der vertraglichen Absicherung der Inanspruchnahme von Subdienstleistern verstärkt eine Rolle spielen, etwa bei der vertraglichen Abbildung von Haftungsregelungen.

Weiterhin legt das TTDSG in räumlicher Hinsicht für die Eröffnung seines Anwendungsbereichs das Marktortprinzip zugrunde, das bereits in der DSGVO normiert ist. Nach dem Marktortprinzip sind die Regelungen des TTDSG auch auf alle Anbieter außerhalb Deutschlands anwendbar, sofern deren Leistungen auf den deutschen Markt ausgerichtet sind. Daneben gilt für Anbieter von Telemedien aufgrund des Verweises in § 1 Abs. 3 S. 2 TTDSG weiterhin das in § 3 TMG normierte Herkunftslandprinzip. Hiernach unterliegen europäische Anbieter auch dann, wenn sie ihre Leistungen in einem anderen Land der EU als ihrem Sitzland erbringen, im Zweifelsfall den rechtlichen Bestimmungen ihres Herkunftslandes. Im Ergebnis dürfte es mindestens aus Gründen der Vorsicht allerdings auch für europäische Anbieter weiterhin erforderlich sein, die datenschutzrechtlichen Besonderheiten sowie die aufsichtsbehördliche Praxis in jedem Mitgliedstaat der Union zu berücksichtigen, in dem sie Telemedien anbieten.

Privatnutzung betrieblicher Kommunikationsmittel

Es stellt sich die Frage, inwieweit Arbeitgeber, die ihren Mitarbeitenden die Privatnutzung von betrieblichen Kommunikationsmitteln, etwa Smartphones oder E-Mail-Accounts, erlauben, unter Geltung des TTDSG zur Wahrung des Fernmeldegeheimnisses verpflichtet sind. Mit dem Fernmeldegeheimnis sind grundsätzlich strengere Anforderung an die Verarbeitung von Daten, etwa den Zugriff auf kommunikationsrelevante Daten im Rahmen eines betrieblichen IT-Sicherheitskonzepts, verbunden.

Der Adressatenkreis des Gesetzes umfasst nach § 3 Abs. 2 S. 1 Nr. 2 TTDSG auch Anbieter von „ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten sowie natürliche und juristische Personen, die an der Erbringung solcher Dienste mitwirken“. Der Begriff der Geschäftsmäßigkeit ist dabei im Telekommunikationsrecht bislang nicht ausdrücklich definiert. Auch kennen weder Art. 5 Abs. 1 der E-Privacy-RL, dessen Umsetzung § 3 TTDSG dient, noch der europäische Kodex für die elektronische Kommunikation das Kriterium der Geschäftsmäßigkeit. Allgemein wird unter dem Begriff der Geschäftsmäßigkeit mehrheitlich die Schaffung eines nachhaltigen Angebots und dies unabhängig von dem Vorliegen einer Gewinnerzielungsabsicht verstanden, was dazu führt, dass Unternehmen schon dann als geschäftsmäßige Anbieter von Telekommunikationsdiensten gelten, wenn sie ihren Mitarbeitenden die Privatnutzung dienstlicher Smartphones oder E-Mail-Accounts gestatten oder dieses Verhalten auch nur dulden. Soweit man von diesem Begriffsverständnis ausgeht, sind Unternehmen sodann prinzipiell auch zur Einhaltung der speziellen Vorschriften des TTDSG, die den Schutz des Fernmeldegeheimnisses betreffen, verpflichtet.

Die unionsrechtlichen Grundlagen, deren Umsetzung das TTDSG dient, betreffen lediglich öffentlich zugängliche elektronische Kommunikationsdienste sowie öffentliche Kommunikationsnetze. Betriebliche Kommunikationsmittel sind demgegenüber gerade nicht öffentlich in dem Sinne, dass sie der allgemeinen Öffentlichkeit zur Verfügung gestellt werden. Weiterhin liegt eine vergleichbare datenschutzrechtliche Gefährdungslage, wie sie innerhalb der E-Privacy-RL in Bezug auf die Inanspruchnahme öffentlicher Kommunikationsmittel beschrieben wird, im Verhältnis zwischen Arbeitgeber und Mitarbeitenden in der Regel nicht vor. Eine Ausweitung des Fernmeldegeheimnisses auf Arbeitgeber unter deutschem Recht läuft zudem grundsätzlich der Vereinheitlichung des Rechts in der EU zuwider.

Im Ergebnis sprechen damit gute Gründe dafür, von einer Europarechtswidrigkeit der Erstreckung des Fernmeldegeheimnisses auf die Privatnutzung betrieblicher Kommunikationsmittel gestattende Arbeitgeber auszugehen. Folgt man dieser Auffassung, haben Arbeitgeber bei der Gestattung der Privatnutzung betrieblicher Kommunikationsmittel allerdings in jedem Fall die Vorgaben der DSGVO einzuhalten, etwa in Bezug auf Speicherfristen und Informationspflichten. Unabhängig von dieser Einschätzung sollten Arbeitgeber die Nutzung betrieblicher Kommunikationsmittel in jedem Fall ausdrücklich regeln, etwa durch eine entsprechende Dienstanweisung, und diese nicht lediglich passiv dulden. Hierbei sind insbesondere auch die Mitbestimmungs- bzw. Beteiligungsrechte von Mitarbeitervertretungen zu berücksichtigen.

Endeinrichtungen

Schutz der Privatsphäre bei Endeinrichtungen

Dass eine Einwilligung der Nutzer in Bezug auf die Speicherung und Auswertung von Informationen in bzw. aus deren Endeinrichtungen insbesondere für technisch nicht zwingend erforderliche Cookies eingeholt werden muss, ergibt sich ausdrücklich aus Art. 5 Abs. 3 E-Privacy-RL. Welche Anforderungen Anbieter von Online-Angeboten bei der Einholung einer entsprechenden Nutzereinwilligung zu erfüllen haben, ist außerdem in Art. 4 Nr. 11 DSGVO normiert. Hiernach ist eine Einwilligung von der betroffenen Person freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung abzugeben.

Der EuGH hat diese Anforderungen u. a. in seiner Planet49-Entscheidung noch weiter konkretisiert, indem er ausdrücklich darauf hingewiesen hat, dass es grundsätzlich einer aktiven Einwilligung des Nutzers in die Nutzung von technisch nicht zwingend erforderlichen Cookies bedarf und eine bloße Opt-Out-Möglichkeit den Anforderungen an eine wirksame Einwilligung nicht gerecht wird. Der BGH hat sich mit Urteil vom 28.05.2020 dieser Auffassung angeschlossen und insbesondere ausgeführt, dass die wirksame Einholung einer datenschutzrechtlichen Einwilligung in die Speicherung von Cookies mittels einer voraktivierten Checkbox nicht möglich ist. Soweit die Regelung des § 15 TMG-alt so interpretiert wurde, dass eine Widerspruchslösung bei Cookies, die zu Werbezwecken eingesetzt werden, ausreichend sei, bedarf es nach Auffassung des BGH weiterhin einer europarechtskonformen Auslegung der Vorschrift.

§ 25 TTDSG greift diese Rechtsprechung nunmehr auf und soll damit der wortlautgetreuen Umsetzung der E-Privacy-Richtlinie dienen. Nach § 25 Abs. 1 S. 1 TTDSG erfordern die Speicherung von Informationen in den Endgeräten von Nutzern sowie der Zugriff auf in diesen gespeicherte Informationen, dass der Nutzer basierend auf einer klaren und umfassenden Information in Bezug auf diese Datenverarbeitungsprozesse eingewilligt hat, soweit keiner der Ausnahmetatbestände des § 25 Abs. 2 TTDSG erfüllt ist. Bezüglich der Anforderungen, die an die Information des Nutzers und dessen Einwilligung zu stellen sind, verweist § 25 Abs. 1 S. 2 TTDSG sodann auf die Vorgaben der DSGVO.

Personal Information Management-Systeme

§ 26 TTDSG sieht erstmalig eine Regelung für Dienste zur Einwilligungsverwaltung – sog. Personal Information Management-Systeme (im Folgenden: PIMS) – auf nationaler Ebene vor. Die zur Nutzung von Cookies ergangene Rechtsprechung von EuGH und BGH hat dazu geführt, dass Nutzer sich auf der überwiegenden Mehrzahl der Internetauftritte mit Einwilligungsabfragen sowie dazugehörigen Datenschutzinformationen auseinandersetzen müssen, bevor sie das betreffende Online-Angebot nutzen können. Dabei sind die Cookie-Banner und Hinweise häufig so gestaltet, dass sie die Nutzer in ihrer Entscheidung lenken oder Buttons zur Ablehnung technisch nicht notwendiger Cookies erst gar funktionieren. Soweit dies letztlich dazu führt, dass Nutzer die Banner und Hinweise möglichst schnell wegklicken, weil sie diese lediglich als lästiges Hindernis wahrnehmen, wird die eigentliche Idee – dem Nutzer die Selbstbestimmung über seine Daten zu ermöglichen – im Ergebnis unterlaufen. Dieser Problematik soll nunmehr durch die Einführung von PIMS entgegengesteuert werden, indem der Nutzer mittels der Systeme die Möglichkeit erhält, alle zugehörigen Informationen innerhalb einer einheitlichen Benutzeroberfläche abzurufen und entsprechende Einstellungen vorzunehmen, anstatt auf jeder Internetseite mit einer separaten Abfrage konfrontiert zu werden.

Es stellt sich an dieser Stelle jedoch die Frage, ob dieses Ansinnen des deutschen Gesetzgebers von dessen Gesetzgebungskompetenz gedeckt ist. Der Gestaltungsspielraum des Bundesgesetzgebers ist insoweit in Anbetracht der vorrangigen europarechtlichen Regelungen deutlich begrenzt. Selbst wenn man grundsätzlich zu dem Ergebnis kommt, dass entsprechende Regelungen prinzipiell auf nationaler Ebene erlassen werden können, stellt sich unweigerlich die weitergehende Frage, inwieweit Dienste zur Einwilligungsverwaltung überhaupt den Anforderungen der DSGVO an eine wirksame Einwilligung gerecht werden können. Insoweit ist zu berücksichtigen, dass die DSGVO Pauschaleinwilligungen verbietet und Einwilligungen demgegenüber nach Art. 4 Nr. 11 DSGVO ausdrücklich für den bestimmten Fall abzugeben sind. Da PIMS gerade dazu dienen sollen, dem Nutzer die Vielzahl an Einzelentscheidungen abzunehmen, erscheint die Europarechtskonformität in diesem Punkt bereits fraglich. Ein Abweichen von den Vorgaben der DSGVO muss aber wohl spätestens dort gesehen werden, wo die Prozesse im Einzelfall von den Regelfällen, denen der Nutzer zugestimmt hat, abweichen. Angesichts dieser rechtlichen und praktischen Herausforderungen ist wohl nicht damit zu rechnen, dass § 26 TTDSG bereits kurzfristig praktische Relevanz entfaltet. In jedem Fall ist die Rechtsverordnung, die der Konkretisierung der Anforderungen für PIMS dienen soll, abzuwarten. Wann diese Rechtsverordnung in Kraft tritt, ist derzeit noch ungewiss.

Fazit

Seinem eigentlichen Ziel – der durch die bisherigen Regelungen des TMG begründeten Rechtsunsicherheit im Bereich des Datenschutzes entgegenzuwirken – kann das TTDSG wohl nur in Teilen gerecht werden. Insbesondere die Frage nach der Unionsrechtskonformität bleibt in Bezug auf einige zentrale Regelungen des Gesetzes weiter bestehen.

Bereits die Bestimmung des konkreten Anwendungsbereiches des TTDSG stellt sich als durchaus komplex dar und wirft in Anbetracht der weiten Fassung des Gesetzes verschiedene neue Fragen auf. Selbst wenn man die Einbeziehung von Dienstleistern, die lediglich an der Erbringung von Leistungen im Kontext des TTDSG mitwirken, in den Anwendungsbereich des Gesetzes für prinzipiell begrüßenswert erachten mag, verbleibt insofern aber insbesondere die Frage, wie das neue Gesetz gegenüber Diensteanbietern außerhalb Deutschlands vollzogen werden sollen. Insoweit fehlt es nämlich an entsprechenden Regelungen und Mechanismen.

Ebenfalls unklar dürfte weiterhin sein, ob Arbeitgeber als Anbieter von Telekommunikationsdiensten anzusehen sind, wenn diese ihren Mitarbeitenden die private Nutzung von betrieblichen Kommunikationsmitteln erlauben. Sollten sich Unternehmen trotz der dargestellten Unwägbarkeiten dazu entschließen, ihren Mitarbeitenden die Nutzung von betrieblichen Kommunikationsmitteln auch zu privaten Zwecken zu erlauben, sollte auf eine konsequente rechtliche Absicherung dieses Prozesses geachtet werden. Insoweit ist also die Etablierung konkreter Regeln hinsichtlich der Privatnutzung in jedem Fall empfehlenswert.

Mittels des neuen § 25 TTDSG hat der Gesetzgeber nunmehr (endlich) die Anforderungen der E-Privacy-Richtlinie sowie der Rechtsprechung von EuGH und BGH zur Nutzung von Cookies bzw. diesen vergleichbaren Technologien in einer nationalen Regelung umgesetzt. Inwieweit die hieran anknüpfende Regelung zur Einwilligungsverwaltung von der Gesetzgebungskompetenz des Bundesgesetzgebers gedeckt ist, bleibt wiederum fraglich. Selbst wenn man dem nationalen Gesetzgeber die Kompetenz zur Einführung solcher Systeme grundsätzlich zugesteht, bleibt ungewiss, inwieweit PIMS überhaupt den durch die DSGVO statuierten Anforderungen an die Einholung einer wirksamen Einwilligung gerecht werden können. Diese Frage wird in Zukunft wohl erst noch durch die Rechtsprechung einer verbindlichen Klärung zugeführt werden.

Ein ausführlicher Fachbeitrag der Autorinnen zum neuen Telekommunikation-Telemedien-Datenschutz-Gesetz wird im nächsten Heft 1 der Zeitschrift Kommunikation & Recht veröffentlicht.

Autoren