bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsg

TTDSG passiert Bundesrat – endlich verbindliche Regelungen für Cookies

Es hat dann doch deutlich länger gedauert, als wir erwartet hätten. Bereits am 31.07.2020 war der Referentenentwurf eines neuen Gesetzes geleakt worden. Es handelte sich um das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien“, kurz „Telekommunikations-Telemedien-Datenschutz-Gesetz“ oder TTDSG. Mit diesem Gesetz sollen die für den Datenschutz relevanten Teile des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) in einem zentralen Gesetz gebündelt werden. Unter anderem will der Gesetzgeber damit auch erste Vorbereitungen treffen für die immer noch als Zukunftsmusik zu bezeichnende ePrivacy-Verordnung (ePVO).

Seit dem Bekanntwerden des Referentenentwurfs ist mittlerweile einige Zeit verstrichen. In der Zwischenzeit gab es einen offiziellen Entwurf, der zur Kommentierung veröffentlicht worden war. Und selbst der Kabinettsbeschluss datiert bereits vom 10.02.2021, ist also auch schon ein paar Tage älter.

Am 20.05.2021 hat der Gesetzentwurf nun endlich den Bundesrat passiert.

Da wir in der Vergangenheit bereits recht ausführlich auf den damals geleakten Referentenentwurf des TTDSG eingegangen waren (siehe hier), beschränken wir uns in diesem Abschnitt auf die nun verabschiedete Version und gehen nicht intensiv auf diese Änderungen ein.

Vorab aber ein paar allgemeine Informationen zu dem Gesetz:

Das TTDSG soll hauptsächlich der Neustrukturierung der datenschutzrechtlichen Regelungen dienen, welche bislang in Telekommunikations- und Telemediengesetz (TKG, TMG) geregelt waren. Diese Regelungen sollen aus den beiden vorgenannten Gesetzen extrahiert und in einem eigenen Gesetz zusammengefasst werden. Darüber hinaus werden Regelungen insbesondere im Bereich der Telemedien ergänzt, die entweder die Gesetzgebung an die zahlreichen höchstrichterlichen Entscheidungen der vergangenen zwei bis drei Jahre anpassen oder neue Sachverhalte regeln. Insbesondere die Regelung neuer Sachverhalte könnte teilweise im Vorgriff auf die immer noch ausstehende ePrivacy-Verordnung erfolgen.

Nachfolgend gehen wir nun kurz auf die neuen Regelungen (teilweise zusätzlich, teilweise geändert) des verabschiedeten Gesetzes ein und beleuchten dabei insbesondere die für unsere Mandanten relevanten Themen:

Geltungsbereich gegenüber TKG leider unverändert.

Die erste unschöne Feststellung haben wir direkt im Geltungsbereich gemacht. Er ist gegenüber dem bisherigen TKG leider unverändert. Der Referentenentwurf sah noch vor, dass das Gesetz nur für Unternehmen und Personen anwendbar wäre, „die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen Kommunikationsnetzen, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken“, sowie für die Diensteanbieter von Telemedien. Wichtig war hierbei das kleine Wörtchen „öffentlich“. Die Geltung in Unternehmensnetzwerken wäre damit zumindest nicht mehr eindeutig eingeschlossen gewesen.

Bedauerlicherweise ist der Gesetzgeber hier wieder auf die “alte” Formulierung des TKG zurückgegangen. Damit ist weiterhin nicht 100% klar, ob beispielsweise das Fernmeldegeheimnis zukünftig im Rahmen der privaten Nutzung von Unternehmensinfrastruktur für den Arbeitgeber gilt. Um hier eine eindeutige Regelung zu haben, werden wir vermutlich auch zukünftig die umständliche Regelung mit allgemeinen Verboten der privaten Nutzung und nachfolgenden einzelvertraglichen Vereinbarungen einschließlich einer Freigabe des bedingten Zugriffs des Arbeitgebers auf die dem Fernmeldegeheimnis unterliegenden Daten der Beschäftigten empfehlen müssen.

Keine Klarnamenpflicht

Fast im Nebensatz wird in § 19 Abs. 2 TTDSG eine Klarnamenpflicht für Telemedien verboten. Sofern es dem Betreiber zumutbar ist (so die Formulierung), müssen die Nutzung und auch die Bezahlung unter Pseudonym oder anonym ermöglicht werden.

Es ist nicht sofort erkennbar, aber diese Regelung bezieht sich auch auf Newsletter. Die Angabe des Klarnamens muss also freiwillig sein. Für uns eigentlich aufgrund des Prinzips der Datensparsamkeit ohnehin selbstverständlich, aber nun mit explizitem Bezug zu Telemedien klar gesetzlich geregelt.

Einführung von Datentreuhändern – doch nicht – doch.

Ja, die Überschrift ist schwer verständlich. Wir versuchen damit, das abzubilden, was zwischen dem geleakten Gesetzesentwurf, dem offiziellen Gesetzesentwurf, dem im Bundestag verabschiedeten Gesetzesentwurf und dem im Bundesrat verabschiedeten und damit jetzt gültigen Gesetzestext passiert ist. Der damals geleakte Entwurf sah etwas vor, das wir als Datentreuhänder bezeichnen würden. Diese damals als „anerkannte Dienste zur Verwaltung persönlicher Informationen“ bezeichneten Unternehmen hätten beispielsweise die Anmeldung über zentrale Dienstleister („Login with Facebook“ oder „… Apple“ oder „… Google“ etc.) geregelt.

Darüber hinaus hätten diese Datentreuhänder aber auch die Möglichkeit der zentralen Speicherung von Einwilligungen oder Widersprüchen gegeben, welche dann durch Webseitenbetreiber hätten abgerufen werden können (oder müssen?). Hier hätte sich ein gesetzlich geregelter neuer Wirtschaftszweig bilden können, welcher unseres Erachtens ein höheres Vertrauen genossen hätte als die bisherigen Anbieter, deren Ziele natürlich(!) auch auf die Sammlung weiterer Daten über das Nutzerverhalten ausgerichtet sind.

Bei einem unabhängigen Datentreuhänder, der per Gesetz keine eigenen Ziele verfolgen darf, wäre das anders gewesen. Geregelt war dies im damaligen § 3 Abs. 3 TTDSG-RefE. Dieser war dann im offiziellen Gesetzesentwurf und auch dem vom Bundestag verabschiedeten Text ersatzlos entfallen.

Offenbar hatten sich die Mitglieder des Bundesrats mit dem alten Referentenentwurf beschäftigt und vermissten diesen Teil ebenso wie wir. Deshalb gibt es nun nach dem Beschlussverfahren im Bundesrat einen neuen § 26 TTDSG, welcher den Titel „Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“ trägt.

Dieser führt die in der Zwischenzeit aus dem Gesetz geflogenen Datentreuhänder wieder ein. Diese können sowohl Zugangsdaten als auch – und das könnte bei den Nutzern für Komfort bei gleichzeitiger erhöhter Datensparsamkeit sorgen – das Einwilligungsmanagement z. B. für Cookies übernehmen. Der § 26 Abs. 3 lit. b TTDSG sieht ein solches Einwilligungsmanagement ausdrücklich vor.

Unschön ist, dass § 26 TTDSG lediglich vorsieht, dass es solche Datentreuhänder geben soll, aber das gesamte „regulatorische Drumherum“ auf eine zukünftige und nicht näher terminierte Rechtsverordnung verschiebt. Mit etwas Pech könnte diese Verordnung von der ePrivacy-Verordnung überholt werden. Oder (noch schlimmer) es könnte so laufen, wie im BDSG-aF. Dort war auf ähnliche Weise in § 9a BDSG-aF ein Datenschutz-Audit vorgesehen. Der hierfür notwendige Gesetzgebungsakt hat im Zeitraum zwischen der Einführung in 2009 und dem Außerkrafttreten des alten BDSG in 2018 aber nie stattgefunden.

Hoffen wir also, dass es hier besser läuft.

Cookies

Der 25 TTDSG beschäftigt sich mit dem Einsatz von Cookies. Im damaligen Gesetzesentwurf waren diese Regelungen noch in § 24 TTDSG geregelt. Allerdings wurden durch den Bundesrat Änderungen am Entwurf vorgenommen. So wurde unter anderem das Auskunftsverfahren zu Nutzerdaten, welches im Regierungsentwurf noch in § 23 TTDSG mitgeregelt war, in einen eigenen § 24 TTDSG „ausgelagert“. Alle nachfolgenden Paragraphen haben sich damit gegenüber dem damaligen Entwurf um eine Position nach hinten verschoben.

Streng genommen ist die Aussage, dass sich § 25 TTDSG auf Cookies beziehe, nicht ganz korrekt. Häufig wird übersehen, dass sich die diesbezüglichen Regelungen sowohl in der ePrivacy-Richtlinie und deren bisherigen Umsetzung im TMG sowie im nun verabschiedeten TTDSG mit dem Speichern und Abrufen von Daten auf den Endeinrichtungen (so die Begriffswahl im TTDSG) beschäftigen. Cookies sind hier nur eine Möglichkeit, solche Verfahren umzusetzen. Zum einen gibt es aber heute bereits die Möglichkeit zum Beispiel im Browser Cache oder im lokalen Speicher Daten abzulegen und abzufragen. Zum anderen könnten zukünftig durch die Browserhersteller weitere Technologien für solche Speicherzwecke eingeführt werden. Eine solche Möglichkeit, die als Experiment bereits Realität ist, beschreiben wir in unserem Artikel zu Google FloC. Daher kommt in allen gesetzlichen Regelungen zum Thema „Cookies“ der Begriff „Cookie“ sinnvollerweise nicht einmal vor.

Letztlich setzt das TTDSG die vergangene Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) zum Thema Cookies um und bildet ein Stück weit die weiterhin in weiter Ferne erscheinende ePrivacy-Verordnung ab.

Wann dürfen Cookies gesetzt werden?

Cookies dürfen gemäß § 25 Abs. 1 TTDSG nur gesetzt werden, sofern der Endnutzer eingewilligt hat. Auf eine Einwilligung kann gem. § 25 Abs. 2 TTDSG verzichtet werden, „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann“. Dies bedeutet, dass technisch notwendige Cookies auch weiterhin ohne Einwilligung genutzt werden können, beendet aber auch jede Diskussion, ob Tracking für den Betrieb eines Internetangebots notwendig sei. Selbst wenn diese Notwendigkeit angenommen würde, lässt sich unseres Erachtens nicht mehr verargumentieren, dass die Nutzer*innen Tracking ausdrücklich wünschen.

Darüber hinaus wird keine Einwilligung benötigt, „wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist“. Was der Gesetzgeber hiermit bezweckt, ist uns offen gesagt nicht ganz klar. Wir wollten die Regelung dennoch nicht unerwähnt lassen.

Wie sieht eine wirksame Einwilligung aus?

Entgegen dem Referentenentwurf sieht der verabschiedete Gesetzestext vor, dass die Modalitäten der Einwilligung sich nach den Regelungen der DSGVO zu richten haben. Eine aus unserer Sicht erfreuliche Vereinheitlichung. Interessant ist, dass diese Regelung sich explizit unter die Cookie-Regelungen einordnet und nicht übergreifend getroffen wurde.

Standortdaten nur nach Einwilligung

Der § 13 TTDSG regelt die Verarbeitung von Standortdaten, welche nicht nur Verkehrsdaten sind (also für die Erbringung der Kommunikation technisch notwendig sind). Diese dürfen nur nach Einwilligung des Endnutzers verarbeitet werden und dies auch nur soweit und solange dies für die Bereitstellung von entsprechenden Diensten mit Zusatznutzen notwendig ist.

Heimliche Ortung verboten

Zwar dürfen anonymisierte Standortdaten auch ohne Einwilligung genutzt werden. Bei jeder Ortung muss der Endnutzer allerdings über diesen Umstand informiert werden. Wir gehen davon aus, dass diese Regelung aus Sicht der Endnutzer eine deutliche Verbesserung (weil Verringerung) der Nutzung der Ortungsdienste mit sich bringen wird. Die Erstellung äußerst genauer Bewegungsprofile durch Apps, von denen man dies nicht unbedingt erwarten würde, sollte damit der Vergangenheit angehören.

Weitergabe von Ortungsdaten nur nach ausdrücklicher Einwilligung

Sofern Ortungsdaten an Dritte weitergegeben werden sollen, muss der Endnutzer hierfür seine ausdrückliche Einwilligung erklären. Es ist also nicht möglich, diese Einwilligung in einem langen Satz weiterer Einwilligungen zu verstecken. Sie muss auf jeden Fall mit einer gesonderten Checkbox versehen werden und unabhängig von den restlichen Einwilligungen abgegeben werden.

Die Pflicht zur Anzeige einer Weitervermittlung

Wir fragen uns, ob die in § 19 Abs. 3 TTDSG versteckte, gegenüber dem § 13 Abs. 5 TMG unverändert übernommene, Anzeigepflicht einer Weitervermittlung zu einem anderen Anbieter von Telemedien noch zeitgemäß und notwendig ist. Diese führt auch weiterhin dazu, dass beispielsweise externe Links entsprechend gekennzeichnet werden müssen. Wie diese Kennzeichnung aussehen muss, legt der Gesetzgeber allerdings weiterhin nicht fest.

Auskunftsverfahren für Zugangsdaten (Passwörter)

Mit § 23 TTDSG wird die Erlaubnis (Achtung: Nicht die Verpflichtung) für Anbieter von Telemediendiensten geschaffen, Zugangsdaten der Endnutzer an Behörden der Strafverfolgung sowie an eine für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständige Behörde weiterzugeben. In beiden Fällen ist allerdings eine richterliche Anordnung nötig, damit diese Behörden überhaupt fragen dürfen. Der § 23 Abs. 3 TTDSG regelt dann auch gleich noch, dass die betroffenen Personen über eine solche Herausgabe ihrer Zugangsdaten an die Behörden nicht informiert werden dürfen.

Dieses Herausgaberecht liest sich erst einmal erschreckend, allerdings scheint die Regelung eher eine Einschränkung des § 22 TTDSG zu sein, welcher die Herausgabe von Zugangsdaten an Dritte verbietet. Es wird also eher klargestellt, dass eine entsprechende richterliche Anordnung zu befolgen ist.

Eine Pflicht zur Abspeicherung von Passwörtern im Klartext, bzw. in verschlüsselter Form ist hiermit nicht verbunden. Somit könnte unter Umständen eine Herausgabepflicht von Passwörtern durch das Abspeichern von Passwort-Hashs verhindert werden. Wir meinen ohnehin, dass genau diese Art der Speicherung von Passwörtern (bzw. eben deren Nicht-Speicherung) Stand der Technik ist und damit gemäß Art. 32 Abs. 1 DSGVO in Verbindung mit Art. 25 DSGVO („privacy by design“) eine entsprechende Verpflichtung hierzu besteht, zumindest für alle neu entwickelten Anwendungen.

Wann geht’s los?

Der Termin des Inkrafttretens wurde vom Bundesrat auf den 01.12.2021 gelegt. Es ist also noch etwas – wenn auch nicht viel – Zeit für die Umsetzung durch die Unternehmen. Die Prüfung, inwieweit Sie von den durch dieses Gesetz eingeführten Änderungen und Neuregelungen betroffen sind, sollten Sie auf jeden Fall kurzfristig durchführen. Je nach Umfang der notwendigen Änderungen kann ein kurzfristiges Handeln notwendig sein.

Fazit

Im Großen und Ganzen begrüßen wir die neuen Regelungen, da insbesondere mit § 25 endlich eine Einheitlichkeit und damit Sicherheit in Bezug auf den in der Vergangenheit eher schlecht geregelten Komplex der Cookies geschaffen wird. Auch die Konsolidierung der datenschutzrechtlichen Regelungen in Sachen Telekommunikation und Telemedien halten wir für sinnvoll. Schade ist aus unserer Sicht, dass der Gesetzgeber an einigen Stellen über das Ziel hinausschießt und an anderen Stellen wiederum die Möglichkeiten zur Neuregelung nicht nutzt.

Insbesondere die Regelungen zum Umgang mit Standortdaten halten wir für gelungen, praxistauglich und gleichzeitig nutzerfreundlich. Hier sehen wir auch den größten Anpassungsbedarf bei den Unternehmen. Die Regelungen zum Thema Cookies sollten aktuell bereits in den Unternehmen umgesetzt sein, sind die Regelungen doch bereits seit Monaten aufgrund der Urteile von EuGH und BGH „gelebte Praxis“.

Wie schon geschrieben: Wir empfehlen, kurzfristig zu prüfen, ob Sie den Anforderungen des TTDSG genügen können. Sofern Sie hier Abweichungen feststellen, kann es je nach Thema notwendig sein, diese schnellstmöglich anzugehen. Insbesondere das „von außen“ sehr leicht erkennbare Thema Cookies sollten Sie möglichst sofort angehen.

Benötigten Sie Unterstützung oder Beratung zum TTDSG? Melden Sie sich gerne bei uns!

[Update 1, 28.06.21: Wir hatten den Geltungsbereich falsch dargestellt und haben den Abschnitt vollständig überarbeitet.]

 


Diesen Beitrag teilen