bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsg

TTDSG – Das Telekommunikations-Telemedien-Datenschutz-Gesetz

/von

Am 31.07.2020 wurde der Referentenentwurf eines neuen Gesetzes geleaked. Es handelt sich um das “Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien”, kurz (naja…) “Telekommunikations-Telemedien-Datenschutz-Gesetz” oder TTDSG. Dieses Gesetz soll die für den Datenschutz relevanten Teile des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem zentralen Gesetz bündeln. Unter anderem will der Gesetzgeber damit auch erste Vorbereitungen treffen für die immer noch als Zukunftsmusik zu bezeichnende ePrivacy-Verordnung (ePVO). Den Referentenentwurf mit Stand vom 14.07.2020 finden Sie zum Beispiel mittlerweile auch bei Heise, leider bislang jedoch nicht auf offiziellen Seiten des Bundesgesetzgebers. Wir hoffen, dass sich das in den nächsten Wochen noch ändert, vielleicht sogar mit einem überarbeiteten Entwurf – wer weiß.

Neben dem einfachen „Auslagern“ zahlreicher Regelungen von TKG und TMG in das TTDSG sieht der Referentenentwurf auch einige sehr interessante und begrüßenswerte neue Regelungen und Klarstellungen vor. Auf diese möchten wir nachfolgend eingehen.

Geltungsbereich geändert

Los geht es direkt mit § 1 Abs. 1 TTDSG-RefE. Anders als bisher soll das TTDSG den Schutz personenbezogener Daten nur noch für “Unternehmen und Personen, die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen  Kommunikationsnetzen, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken, und von Telemedien” regeln.

Wichtig ist hierbei das kleine Wörtchen „öffentlich“. Die Geltung in Unternehmensnetzwerken wäre damit zumindest nicht eindeutig eingeschlossen. Der § 2 Nr. 2 TTDSG-RefE definiert „öffentliches elektronisches Kommunikationsnetz“ als „ein Kommunikationsnetz, das ganz oder überwiegend der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste dient, die die Übertragung von Informationen zwischen Netz abschlusspunkten ermöglichen“. Sofern also ein Unternehmensnetzwerk nicht mindestens überwiegend der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste dient, würde das TTDSG keine Geltung entfalten. Damit wäre die beim bisherigen TKG umstrittene Frage, ob auch Unternehmensnetzwerk unter den Geltungsbereich fallen, künftig nicht mehr relevant.

Einführung von Datentreuhändern

Etwas überraschend aber durchaus begrüßenswert ist die in § 3 TTDSG-RefE vorgenommene Einführung von „anerkannten Diensten zur Verwaltung persönlicher Informationen“. Wir würden die kurz als Datentreuhänder bezeichnen, in der Literatur werden sie auch als „Personal Information Manager“ (PIM) bezeichnet. Wir kennen so etwas heute bereits als „Dienstleistung“ von Facebook, Google oder Apple. Mithilfe dieser und weiterer Anbieter kann man sich bereits heute auf zahlreichen Webseiten anmelden. „Login with Facebook“ heißt das dann.

Vermutlich sind auch eben diese bisherigen Anbieter der Grund für die Aufnahme der Datentreuhänder in den Gesetzesentwurf. Mindestens Facebook und Google unterstellen wir einen sehr großen Eigennutz im Rahmen dieses für den Nutzer zweifellos sehr praktischen und bequemen Login-Verfahrens. Es ist nicht mehr notwendig, sich jeweils eigene Passworte zu merken. Es können einfach die Anmeldedaten von Facebook genutzt werden, die Webseite (oder App oder sonstiger Dienst) lässt sich die korrekte Anmeldung bestätigen und man ist „drin“. Als Nebeneffekt erfährt Facebook nun aber eben noch mehr über die Nutzungsgewohnheiten des Nutzers als ohnehin schon. Bei einem unabhängigen Datentreuhänder, der per Gesetz keine eigenen Ziele verfolgen darf, wäre das anders. Daher sieht § 3 Abs. 3 TTDSG-RefE vor, dass die Datentreuhänder kein wirtschaftliches Eigeninteresse an den Daten der Nutzer haben dürfen und von den anderen Unternehmen unabhängig sein müssen. Sicherheit soll hier eine Zertifizierung durch den oder die Bundesbeauftragte(n) für den Datenschutz und die Informationsfreiheit (BfDI), also die oberste deutsche Datenschutzbehörde bieten.

Cookies – schon wieder… (oder endlich?)

Tja, und dann beschäftigt sich der Gesetzentwurf endlich(!) explizit mit dem Thema Cookies. Das stimmt so eigentlich nicht, denn häufig wird übersehen, dass sich sowohl die ePrivacy-Richtlinie, als auch das (bisherige) TMG als auch der Entwurf des TTDSG mit dem Speichern und dem Abrufen von Daten auf dem Nutzer-Endgerät beschäftigen. Cookies sind eine Möglichkeit, dies umzusetzen. Zum einen gibt es aber heute bereits die Möglichkeit zum Beispiel im Browser Cache oder im lokalen Speicher Daten abzulegen und abzufragen. Zum anderen könnten zukünftig durch die Browserhersteller weitere Technologien für solche Speicherzwecke eingeführt werden. Daher kommt in allen gesetzlichen Regelungen zum Thema „Cookies“ der Begriff „Cookie“ nicht einmal vor. Jetzt aber zur Regelung: 

Hier wird letztlich die vergangene Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) in ein Gesetz gegossen. Das bedeutet: Wir haben endlich einen Gesetzestext, nach dem wir uns bei der Umsetzung richten können und müssen nicht auf (höchstrichterliche) Urteile warten. Auch die Meinungen der Aufsichtsbehörden für den Datenschutz sollten damit zumindest in Deutschland einheitlicher werden.

Wann dürfen Cookies gesetzt werden?

Cookies dürfen gemäß § 9 Abs. 1 und 2 TTDSG-RefE immer gesetzt werden, sofern der Endnutzer eingewilligt hat. Auf eine Einwilligung kann verzichtet werden, sofern Cookies technisch notwendig sind, um die Kommunikation möglich zu machen oder um Telemedien technisch bereitzustellen. Darüber hinaus dürfen Cookies zur Erfüllung gesetzlicher Verpflichtungen genutzt werden. Überraschend ist für uns § 9 Abs. 2 Nr. 2 TTDSG-RefE. Dort wird die Nutzung von Cookies erlaubt, sofern diese „vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen“. Offen gesagt können wir uns keine Situation vorstellen, in der für die Erreichung eines Vertragszwecks die Vereinbarung von Cookies notwendig wäre. Aber wir lassen uns da gerne (vermutlich mal wieder von den Gerichten) überraschen.

Wie sieht eine wirksame Einwilligung aus?

Auch in Bezug auf die Einwilligung überrascht uns der Entwurf. Wie Einwilligungen im Bereich des Datenschutzes auszusehen haben und zu handhaben sind, haben wir hier ausführlich beschrieben. Dort gehen wir auch auf die Informationspflichten im Zuge von Einwilligungen ein. Diese sind letztlich in Art. 13 (gegebenenfalls 14) DSGVO geregelt. Interessant ist nun, dass in § 9 Abs. 3 TTDSG-RefE von diesen sehr umfassenden Informationspflichten für Telemedien (also hauptsächlich Webseiten jeglicher Art, in seltenen Fällen auch Apps auf einem Smartphone) abgewichen wird. Dort wird nur noch gefordert, dass der Diensteanbieter den Endnutzer darüber zu informieren hat, „welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten“. In Bezug auf Cookies, welche keine personenbezogenen Daten speichern oder darstellen sollte das so passen. Sobald jedoch eine Verarbeitung personenbezogener Daten im Rahmen der Cookies vorliegt, kann unseres Erachtens eine solche Einschränkung nicht zulässig sein. Zwar erlaubt Art. 23 DSGVO die Einschränkung der Informationspflicht. Diese Einschränkungen sind jedoch nur in Fällen anwendbar, in denen es um Fragen der öffentlichen oder nationalen Sicherheit, Strafverfolgung und weitere ähnliche Gründe geht. Aufgrund welcher Rechtsgrundlage hier die Informationspflichten eingeschränkt werden, ist uns nicht verständlich.

Die automatische Einwilligung

Die nächste (erfreuliche) Überraschung lauert in § 4 TTDSG-RefE. Hier wird die Möglichkeit, Einwilligungen per Voreinstellung im Browser zu erklären, eröffnet. Zwar wäre dies sicher auch ohne eine entsprechende Regelung im Gesetz möglich, aber vielleicht bringt es den einen oder anderen Browserhersteller dazu, eine solche Funktionalität künftig bereitzustellen. Vielleicht wird sogar zukünftig ein Industriestandard hierfür geschaffen. Wünschenswert wäre es – haben wir nicht alle mittlerweile eine „Cookie-Fatigue“? Da wäre ein Automatismus wirklich eine Verbesserung.

Standortdaten nur nach Einwilligung

§ 14 TTDSG-RefE regelt die Verarbeitung von Standortdaten, welche nicht nur Verkehrsdaten sind (also für die Erbringung der Kommunikation technisch notwendig sind). Diese dürfen nur nach Einwilligung des Endnutzers verarbeitet werden und dies auch nur soweit und solange dies für die Bereitstellung von entsprechenden Diensten mit Zusatznutzen notwendig ist.

Heimliche Ortung verboten

Zwar dürfen anonymisierte Standortdaten auch ohne Einwilligung genutzt werden. Bei jeder Ortung muss der Endnutzer allerdings über diesen Umstand informiert werden. Wir gehen davon aus, dass diese Regelung aus Sicht der Endnutzer eine deutliche Verbesserung (weil Verringerung) der Nutzung der Ortungsdienste mit sich bringen wird. Die Erstellung äußerst genauer Bewegungsprofile durch Apps, von denen man dies nicht unbedingt erwarten würde, sollte damit der Vergangenheit angehören.

Weitergabe von Ortungsdaten nur nach ausdrücklicher Einwilligung

Sofern Ortungsdaten an Dritte weitergegeben werden sollen, muss der Endnutzer hierfür seine ausdrückliche Einwilligung erklären. Es ist also nicht möglich, diese Einwilligung in einem langen Satz weiterer Einwilligungen zu verstecken. Sie muss auf jeden Fall mit einer gesonderten Checkbox versehen werden und unabhängig von den restlichen Einwilligungen abgegeben werden.

Kein Wort zu den Informationspflichten

Anders als in § 9 TTDSG-RefE wird in § 14 nicht auf die Informationspflichten im Zuge der Einwilligungen eingegangen. Damit dürften die vollen Informationspflichten des Art. 13 DSGVO zu erfüllen sein. Aus unserer Sicht ist das begrüßenswert, bieten Standortdaten doch ein hohes Missbrauchspotenzial.

Die “Weitervermittlungsanzeigepflicht”

Fraglich ist, ob die die in § 20 Abs. 2 TTDSG-RefE gegenüber dem § 13 Abs. 5 TMG unverändert übernommene Anzeigepflicht einer Weitervermittlung zu einem anderen Diensteanbieter noch zeitgemäß ist. Diese führt auch weiterhin dazu, dass beispielsweise externe Links entsprechend gekennzeichnet werden müssen. Der Mehrwert dieser Regelung erschließt sich uns im Jahr 2020 nicht mehr wirklich.

Auskunftsverfahren für Zugangsdaten (Passwörter!)

§ 24 TTDSG-RefE führt die Erlaubnis (Achtung: Nicht die Verpflichtung) für Anbieter von Telemediendiensten ein, Zugangsdaten der Endnutzer an Behörden der Strafverfolgung sowie an eine für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständige Behörde weiterzugeben. In beiden Fällen ist allerdings eine richterliche Anordnung nötig, damit diese Behörden überhaupt fragen dürfen. § 24 Abs. 3 TTDSG regelt dann auch gleich noch, dass die betroffenen Personen über eine solche Herausgabe ihrer Zugangsdaten an die Behörden nicht informiert werden dürfen.

Inkrafttreten

Im Referentenentwurf wird als Zieldatumder 21.12.2020  für das Inkrafttreten des TTDSG genannt. Das wäre vermutlich der letzmögliche Termin in diesem Jahr. Dennoch halten wir diesen Termin für sportlich, befinden wir uns doch aktuell noch in der Sommerpause. Was nach der Sommerpause kommen mag, weiß aktuell vermutlich niemand. In den letzten Monaten war die Bundesregierung allerdings eher getrieben durch die COVID-19-Pandemie und die hierdurch notwendigen Regelungen. Wir werden sehen…

Fazit

Im Großen und Ganzen begrüßen wir den Gesetzesentwurf, schafft er doch insbesondere mit § 9 endlich Sicherheit in Bezug auf den in der Vergangenheit eher schlecht geregelten Komplex der Cookies. Auch die Konsolidierung der datenschutzrechtlichen Regelungen in Sachen Telekommunikation und Telemedien halten wir für sinnvoll. Schade ist aus unserer Sicht, dass der Gesetzgeber an einigen Stellen über das Ziel hinausschießt und an anderen Stellen wiederum die Möglichkeiten zur Neuregelung nicht nutzt.

Insbesondere die Regelungen zum Umgang mit Standortdaten halten wir für gelungen, praxistauglich und gleichzeitig nutzerfreundlich. Hier sehen wir auch den größten Anpassungsbedarf bei den Unternehmen – vorausgesetzt, dass die Regelungen zum Thema Cookies bereits aktuell umgesetzt werden und nicht auf das TTDSG gewartet wird. Und so sollte es unseres Erachtens sein, denn die Aufsichtsbehörden für den Datenschutz haben entsprechende Prüfungen und gegebenenfalls anschließende Sanktionen bereits angekündigt.

Wir meinen auch, dass die Unternehmen aus den Erfahrungen mit der DSGVO gelernt haben sollten und dieses Mal frühzeitig mit der Umsetzung des TTDSG beginnen sollten. Spätestens wenn sich ein finaler Stand des Gesetzesentwurfs abzeichnet, sollte mit der Umsetzung begonnen werden.

Benötigen Sie Unterstützung im Zuge der Einführung des TTDSG? Melden Sie sich bei uns, unsere Spezialisten sind für Sie da.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAllgemeines Bundesdatenschutzgesetz – ABDSG
brexit datenschutzBrexit – weitere Möglichkeiten ohne Abkommen. Handeln Sie jetzt!
mail verschlüsselung einwilligungIst eine Einwilligung für unverschlüsselten Versand von E-Mails überhaupt möglich?
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenStrengeres Koppelungsverbot nach der DSGVO
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungStandortbestimmung – ist Ihr Unternehmen fit für die DSGVO?