Das Telekommunikation-Telemedien-Datenschutzgesetz

Webseitenbetreiber, App-Anbieter und Telekommunikationsunternehmen müssen ab dem 1. Dezember 2021 die Neuregelungen des Telekommunikation-Telemedien-Datenschutzgesetzes, kurz TTDSG, beachten. Der Gesetzgeber zieht damit die bislang versprengten datenschutzrechtlichen Sonderregelungen für Telekommunikationsunternehmen und Telemedienanbieter – also z.B. Websitebetreiber und App-Anbieter – zentral in einem Gesetz zusammen.

Zum Hintergrund des neuen Gesetzes

Das Datenschutzrecht ist für privatwirtschaftliche Unternehmen zuvörderst in der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) und der nationalen Ergänzung, dem Bundesdatenschutzgesetz (BDSG), geregelt. Schon vor Inkrafttreten beider Regime im Mai 2018 galten Spezialregelungen für den Umgang mit Daten durch Telekommunikationsunternehmen im Telekommunikationsgesetz (TKG) und – im Fokus des vorliegenden Artikels – durch Telemedienanbieter im Telemediengesetz (TMG). Vom TMG erfasst sind Unternehmen immer dann, wenn sie eine Website betreiben oder ein anderes Online-Angebot, z.B. eine App, bereitstellen. Das TMG regelt u.a., unter welchen Voraussetzungen Cookies und vergleichbare Techniken genutzt werden dürfen, um auf die Endgeräte der Nutzer zuzugreifen.

Die Regelungen des TMG sind in Anwendung und Geltung höchst unklar: Ihr Verhältnis zur DSGVO ist seit jeher umstritten. Eigentlich hätten die Regelungen des TMG schon mit Inkrafttreten der DSGVO durch eine abgestimmte neue EU-Verordnung, die ePrivacy-Verordnung, abgelöst werden sollen. Eine Einigung zur ePrivacy-Verordnung konnte indes bis heute nicht gefunden werden. In den letzten zwei Jahren folgte dann eine Auseinandersetzung vor dem Europäischen Gerichtshof (EuGH) und dem Bundesgerichtshof (BGH), in deren Folge es zu einer richtlinienkonformen Auslegung des TMG kam.

Das neue TTDSG soll hier mehr Klarheit bringen. Ob dies gelingt, ist zweifelhaft:

Einwilligungspflicht für Cookies & Co.

Seit dem BGH-Urteil in Sachen „Planet49“ gilt (Urt. v. 28. Mai 2020 – I ZR 7/16): Auch in Deutschland dürfen Cookies und vergleichbare Technologien nur mit Einwilligung eingesetzt werden, unabhängig von der Verarbeitung personenbezogener Daten. Anderes gilt nur dann, wenn die Cookies & Co. für die technische Bereitstellung des jeweiligen Dienstes „unbedingt erforderlich“ sind oder sie allein der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dienen. Das TMG hat dies so klar indes nicht geregelt. Bei unbefangenem Lesen wurde dort keine Einwilligung gefordert, sondern eine Widerspruchsmöglichkeit als ausreichend angesehen (opt-in vs. opt-out). Der BGH las dies in seiner Entscheidung im letzten Jahr in richtlinienkonformer Auslegung anders und erkannte ein Einwilligungserfordernis (opt-in).

Das TTDSG regelt dies nun klar und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie beinahe 1:1 ins deutsche Recht um: Keine Cookies ohne Einwilligung, von den vorbeschriebenen Ausnahmen abgesehen. Dies gilt auch für alle anderen Technologien, mit denen auf Endgeräte zugegriffen werden kann, etwa die Nutzung des lokalen Speichers. Endgeräte in diesem Sinn sind, technologieneutral, alle denkbaren Einrichtungen, von Laptops über Smartphones bis hin zu Sprachassistenten oder Connected Cars.

Spätestens jetzt sollten danach Webseiten und andere Online-Angebote angepasst werden: Ohne Einwilligung dürfen nicht erforderliche Cookies – z.B. zu Marketing-Zwecken – nicht gesetzt werden.

Nutzer werden künftig ihrer Einwilligungen in sog. Einwilligungsverwaltungssystemen („Personal Information Management Systems“ – „PIMS“) hinterlegen können. Browser und Webseiten müssen solche in „PIMS“ hinterlegten Einwilligungen künftig beachten und auslesen.

Ein spezifischer Schutzmaßstab

Das TTDSG bringt zudem Sonderregelungen für den technischen und organisatorischen Schutz der Nutzer von Telemedien. Websitebetreiber haben sicherzustellen, dass ein Nutzer die Nutzung des Dienstes jederzeit beenden kann und seine Nutzung von Dritten nicht ohne weiteres zur Kenntnis genommen werden kann. Eine Nutzung muss anonym oder unter Pseudonym möglich sein – dies spricht gegen eine Klarnamenpflicht, wie sie etwa Facebook durchzusetzen versucht. Eine Weiterleitung zu einem anderen Anbieter muss erkennbar sein. Schließlich ist, dies ist aus dem allgemeinen Datenschutzrecht bekannt, abzusichern, dass kein unerlaubter Zugriff möglich ist und eine angemessene Absicherung gegen Störungen und äußere Angriffe implementiert ist. Bei alledem ist der Stand der Technik zu berücksichtigen, allerdings nur im Rahmen des technisch Möglichen und wirtschaftlich Zumutbaren.

Auskünfte für Strafverfolgung & Co.

Auf Anordnung von Strafverfolgungsbehörden dürfen (und müssen) Telemedienanbieter, also auch Websitebetreiber, Informationen über Nutzerdaten bereitstellen. Dies können etwa Name und E-Mail-Adresse sein, die für ein Login in einen geschlossenen Benutzerbereich hinterlegt wurden. Relevant wird dies, wenn die Angaben erforderlich sind, um z.B. Urheberrechtsverletzungen zu ahnden oder mögliche Straftaten aufzuklären.

Sogar Passwörter und vergleichbare Zugangsinformationen, anhand derer auf Endgeräte oder externe Speichereinheiten, z.B. Cloud-Speicher, der Nutzer zugegriffen werden kann, müssen unter bestimmten Anforderungen von den Telemedienanbietern herausgegeben werden. Dies gilt allerdings nur unter verschärften Voraussetzungen, wenn besonders schwere Straftaten in Rede stehen oder eine konkrete Gefahr etwa für Leib, Leben oder Freiheit einer Person besteht.

Mit diesen Regelungen einher geht die Notwendigkeit für Websitebetreiber und App-Anbieter, diese Beauskunftungen auch zu ermöglichen. Ob daher nun Passwörter in Klarform abgespeichert werden müssen, ist nun höchst umstritten. Dies wurde bislang als eklatanter Verstoß gegen die Datensicherheit gewertet und führte zu einem der ersten Bußgelder unter der DSGVO in Deutschland. Bislang entspricht es der herrschenden Meinung, dass Passwörter von Nutzern in gehashter Form bevorratet werden müssen, so dass der Anbieter das Passwort nicht kennt und auch nicht nutzen kann.

Neuigkeiten für den Jugendschutz

Schließlich enthält § 20 TTDSG Pflichten in Sachen „Jugendschutz“: Wenn ein Angebot für einen besonderen Jugendschutz Daten der Nutzer erhebt, etwa, um den Zugriff auf die Entwicklung gefährdende Angebote zu verhindern oder abzusichern, dass ein Erziehungsberechtigter für den Jugendlichen einwilligt, dann dürfen diese Daten auch nur für die Erfüllung der Jugendschutzziele erhoben werden. Eine Weiterverwendung z.B. für Werbezwecke ist untersagt. Selbst mit Einwilligung dürfte eine solche nicht mehr zulässig sein.

Risiko bei Verstößen

Ein Verstoß gegen Vorschriften von DSGVO und BDSG ist bekanntlich seit 2018 mit hohen Bußgeldern bis zu 20 Mio. Euro bzw. 4% des Jahresgruppenumsatz (der höhere Wert ist maßgeblich) belegt. Verstöße gegen das TMG waren dagegen bislang weniger kritisch, es drohten Abmahnungen von Wettbewerbern, aber keine nennenswerten Bußgelder.

Dies ändert sich nun, das TTDSG sieht Bußgelder von bis zu 300.000 Euro vor. Nur, wer diese durchsetzt, ist nach wie vor nicht klar geregelt: Für Telekommunikationsunternehmen ist der Bundesbeauftragte für Datenschutz (BfDI) zuständig. Für Telemedienanbieter wie Websitebetreiber oder App-Anbieter enthält das TTDSG keine eigene Zuständigkeitsregelung. Hier bleibt es beim bisherigen Flickenteppich: Werden personenbezogene Daten verarbeitet, sind die Datenschutzaufsichtsbehörden der Länder eindeutig zuständig. Werden keine personenbezogenen Daten verarbeitet, ist dies unklar: Nach Ansicht einiger sollen die  Datenschutzaufsichtsbehörden der Länder auch dann zuständig sein, andere plädieren für einen Rückgriff auf die Zuständigkeitsregelung des Ordnungswidrigkeitengesetzes, nach der es auf die landesrechtlichen Regelungen ankommt. Diese wiederum sind uneinheitlich, in NRW etwa sind nach dem Telemedien-Zuständigkeits-Gesetz die Landesmedienanstalt des Landes NRW sowie – für „Datenschutzregelungen“ – die Landesdatenschutzaufsicht zuständig. Hier bleibt mithin einige Rechtsunsicherheit bestehen.

Webinar zum Thema: Mehr zu alledem …

… gibt es in unserem Lunch@Loschelder-Webinar am 8.12.2021 von 12 Uhr bis 12.30 Uhr – präzise, kurz und bündig erläutern wir die wichtigsten Neuerungen für Unternehmen und ihre Online-Angebote, natürlich kostenfrei (Anmeldung unter webinare@loschelder.de), weitere Infos hier:

https://loschelder.de/de/webinare.html