Das neue Datenschutzgesetz für Telemedien und Telekommunikation:
Der Einsatz von Cookies nach dem TTDSG
Bisher waren die datenschutzrechtlichen Anforderungen für Telemedien und die Telekommunikation noch unübersichtlich verteilt: Nicht nur in der DSGVO, sondern auch im TKG sowie im TMG fanden sich Spezialregelungen für den Datenschutz. Um diese in einem einheitlichen Gesetzeswerk zusammenfassen und darüber hinaus an europarechtliche Vorgaben anzupassen, ist am 1. Dezember 2021 das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) in Kraft getreten. Zentraler Baustein des TTDSG ist die Einwilligungspflicht für Cookies, die wir Ihnen neben den wichtigsten anderen Neuerungen durch das Gesetz in diesem Beitrag vorstellen.
I. Einführung: Wen das TTDSG adressiert
Das TTDSG richtet sich an alle Anbieter von Telemedien- und Telekommunikationsdiensten und bestimmt, dass und wie diese die personenbezogenen Daten ihrer Nutzer:innen zu schützen haben. Die Frage, was ein Telemedienanbieter und was Telemedien nach dem Gesetz sind, beantwortet das TTDSG in § 2 Abs. 2 Nr. 1 in gleicher Weise wie bisher: Es handelt sich um „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“. Telemedien sind dabei alle elektronischen Informations- und Kommunikationsdienste sind, soweit es sich nicht um Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk handelt. Es bleibt also dabei, dass darunter die meisten Internetangebote fallen, von Suchmaschinen und Blogs über E-Mail-Newsletter bis hin zu Onlineshops.
Neu ist hingegen die Erweiterung des Begriffs der Telekommunikationsanbieter beziehungsweise der Telekommunikationsdienste. Zusätzlich zu den herkömmlichen Telekommunikationsdiensten gehören nun auch durch den Begriff der „interpersonellen Kommunikationsdienste“ Over-the-Top-Dienste (OTT-Dienste) dazu. Von der gesetzlichen Definition umfasst sind diejenigen OTT-Dienste, die über das Internet angeboten werden, ohne dass der Internetanbieter dabei beteiligt ist. Gemeint sind in erster Linie E-Mail-Dienste, Instant-Messenger wie WhatsApp oder Telegram und Internettelefonie-Angebote.
II. Die Einwilligungspflicht für Cookies nach dem TTDSG
Der neue § 25 TTDSG beendet die unklare Rechtslage für Cookies, nach der in § 15 Abs. 3 TMG entgegen dem Wortlaut ein Einwilligungserfordernis hineingelesen wurde, da die Norm anderenfalls dem Europarecht widerspräche. § 25 TTDSG formuliert nun eine klare Einwilligungspflicht mit einigen Ausnahmen. § 25 Abs. 1 S. 1 TTDSG:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“
Die Formulierung ist bewusst neutral gehalten, damit sich die Regelung nicht nur auf Cookies, sondern auch auf alle anderen vergleichbaren Technologien erstreckt, mit denen Informationen auf Endgeräten gespeichert und ausgelesen werden. Hier geht es etwa um Browser-Fingerprinting, wenn Informationen über Browser-Einstellungen genutzt werden, Nutzer:innen zu identifizieren. Ebenfalls wird der Begriff der Endeinrichtung weit gefasst, um über die herkömmlichen Endgeräte wie Notebooks und Smartphones hinaus alle internetfähigen Geräte mit in den Anwendungsbereich einzuschließen; unter anderem also Smart-Geräte und Internet of Things („IoT“).
Die Art und Weise, wie die Einwilligung eingeholt werden muss, zeigt die DSGVO an. Es gelten also die bekannten Voraussetzungen: Die Nutzer:innen müssen über alle Umstände informiert werden und aktiv einwilligen, etwa durch Opt-In. Wichtig ist zudem, dass die Einwilligung freiwillig erteilt wird und dabei ist insbesondere von Bedeutung, dass die Erbringung des Dienstes nicht von der Erteilung der Einwilligung abhängig gemacht wird (vgl. Art. 7 Abs. 4 DSGVO).
III. Zwei Ausnahmen vom Einwilligungserfordernis
In Absatz 2 des § 25 TTDSG wurden zwei Konstellationen festgelegt, in denen keine Einwilligung erforderlich ist. Die erste Ausnahme greift dann, wenn ausschließlich zu dem Zweck, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen, Informationen auf Endeinrichtungen gespeichert werden beziehungsweise auf sie zugegriffen wird. Die zweite Ausnahme ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Für die sogenannten technisch erforderlichen Cookies gibt es die zweite Ausnahme. Sie dienen, anders etwa als optionale Cookies für Werbe-Tracking, dem Betrieb einer Webseite, für die technische Sicherheit oder auch die Speicherung von Warenkörben in Onlineshops.
IV. Neue Möglichkeiten zur Verwaltung von Einwilligungen
Die immer neue Aufforderung auf Webseiten, sich über die Nutzung von Cookies zu entscheiden, wird von vielen Besucher:innen als störend empfunden. Technisch war es längst möglich, eine Entscheidung darüber einmalig zu treffen und mittels einer Anwendung zu speichern, um die Information nicht jedes Mal wieder erteilen zu müssen. Bislang fehlte aber der entsprechende rechtliche Rahmen, der nun mit § 26 TTDSG gezogen wurde. Personal Information Management Devices (PIMS) und sonstige Dienste zum Einwilligungsmanagement werden nun erlaubt, müssen allerdings erst von einer unabhängigen Stelle anerkannt werden. Die Entscheidung darüber ist von den im Gesetz genannten Voraussetzungen abhängig, die alle zugleich gegeben sein müssen.
a) Das Verfahren und die technische Anwendung zur Einwilligungsverwaltung ist nutzerfreundlich und wettbewerbskonform.
b) Der Dienst hat kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung sowie den damit verbundenen Daten und es besteht keine Abhängigkeit zu Unternehmen mit solchen Interessen.
c) Die personenbezogenen Daten werden nur zum Zweck der Einwilligungsverwaltung verarbeitet.
d) Es gibt ein Sicherheitskonzept, das eine Qualitäts- und Zuverlässigkeitsbewertung ermöglicht und alle technisch-organisatorischen Maßnahmen für Datenschutz und Datensicherheit aus der DSGVO werden erfüllt.
V. Was das TTDSG noch beinhaltet
Von den weiteren Bestimmungen des TTDSG sind noch weitere relevant – zum einen befindet sich in § 3 TTDSG eine neue Regelung des Fernmeldegeheimnisses. Dass sich dieses auf den Inhalt der Kommunikation und ihre näheren Umstände, etwa ob jemand an einem Telekommunikationsvorgang beteiligt war oder es erfolglose Verbindungsversuche gegeben hat, erstreckt, ist alte wie neue Rechtslage. Allerdings ist der Adressatenkreis, der zur Einhaltung des Fernmeldegeheimnisses verpflichtet ist, neu gefasst worden. Er beinhaltet mit dem neuen TTDSG alle Anbieter öffentlich zugänglicher und ganz oder teilweise geschäftsmäßig angebotener Telekommunikationsdienste; darüber hinaus alle natürlichen und juristischen Personen, die an der Erbringung dieser Dienste beteiligt sind und schließlich alle Betreiber öffentlicher Telekommunikationsnetze sowie von Telekommunikationsanlagen, mit denen geschäftsmäßig Telekommunikationsdienste erbracht werden. Eine neue klarstellende Regelung ist § 4 TTDSG, die die Rechte des Erben des Endnutzenden und andere berechtigte Personen betrifft. Während der Zugriff des Erben auf die stattgefundene Kommunikation anerkannt ist, herrschte Rechtunklarheit darüber, ob der Erbe auch Zugriff auf die Daten des verstorbenen Endnutzers habe. Der neue § 4 TTDSG stellt nun klar, dass Erben hinsichtlich der Daten des Verstorbenen zugriffsberechtigt sind und ihnen das Fernmeldegeheimnis des Endnutzers nicht entgegensteht, wenn diese Rechte gegenüber einem Anbieter von Telekommunikationsdiensten geltend machen möchten.
Des Weiteren sind alle Personen, die geschäftsmäßig Telemediendienste erbringen, dazu verpflichtet, unter bestimmten Voraussetzungen Bestands- und Nutzungsdaten an öffentliche Stellen herauszugeben. Nach § 22 bzw. § 24 Abs. 3 TTDSG geht es dabei allerdings allein um besonders schwerwiegende Gründe im öffentlichen Interesse. Dazu gehört etwa die Verfolgung einiger Straftaten oder der Schutz von Leib und Leben Einzelner oder der öffentlichen Sicherheit. Hierbei sind Bestandsdaten personenbezogene Daten, die zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Telemedienanbieter und Nutzer:in über die Nutzung von Telemedien verarbeitet werden müssen. Nutzungsdaten sind personenbezogene Daten über Telemediennutzer:innen, die verarbeitet werden müssen, damit die Telemedien genutzt und abgerechnet werden können. Vor allem gehören dazu Merkmale zur Identifikation, Angaben über Beginn, Ende und Umfang der Nutzung sowie über die in Anspruch genommenen Telemedien (§ 2 Abs. 2 Nr. 2 und 3 TTDSG).
§ 27 TTDSG regelt Straftatbestände. Dabei werden vor allem die Verbotsnormen, die ein gesetzliches Verbot darstellen, mit einer Freiheitsstrafe bis zu zwei Jahren oder einer Geldstrafe bestraft. Bei der Strafbarkeit bzgl. des Missbrauchs von Telekommunikationsanlagen aus § 8 TTDSG liegt der Bezugspunkt künftig nicht mehr beim Besitz eines solchen Spionagegerätes, sondern nur bei der Herstellung und dem Bereitstellen auf dem Markt. Dadurch soll die Rechtssicherheit von Verbraucher:innen erhöht werden. Bußgeldvorschriften finden sich in § 28 TTDSG. Insbesondere die Verletzung der Verpflichtungen, die Cookies betreffen (vgl. § 25 TTDSG), können mit einem Bußgeld von bis zu 300.000 € geahndet werden, was sich aus § 28 Abs. 1 Nr. 13 i.V.m. Abs. 2 TTDSG ergibt. Die Aufsicht regelt § 29 TTDSG und benennt den oder die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als Aufsichtsbehörde, soweit es sich um die Verarbeitung personenbezogener Daten natürlicher oder juristischer Personen handelt. Mit dieser Regelung soll sichergestellt werden, dass die Aufsicht umfassend, auch was die Verhängung von Sanktionen angeht, durch den BfDI als unabhängige Datenschutzaufsichtsbehörde erfolgt. Für Datenschutz und Schutz der Privatsphäre in der Telekommunikation ergibt sich eine Regelzuständigkeit der Bundesnetzagentur aus § 30 Abs. 1 TTDSG. Nur wenn ausdrücklich der Bundesbeauftrage für Datenschutz und Informationsfreiheit benannt wird, ist dieser die zuständige Aufsicht.
VI. Ausblick
Mit dem TTDSG ergeben sich vor allem Fortschritte in der Übersichtlichkeit der datenschutzrechtlichen Vorgaben für Telemedien- und Telekommunikationsdienste. Die umständliche unionsrechtskonforme Auslegung des § 15 Abs. 3 TMG ist nunmehr ebenso Geschichte wie das Nebeneinander von Regeln in unterschiedlichen Gesetzen. Unternehmen sollten allerdings beachten, dass nach wie vor die ePrivacy-Verordnung geplant ist, nach deren Inkrafttreten erneute Änderungen anstehen, die zumindest teilweise auch das TTDSG betreffen werden dürften. Inhaltlich hält das TTDSG wenig Änderungen bereit und belässt es leider auch bei einigen Unklarheiten. Beispielsweise muss erst die Rechtspraxis zeigen, wie Cookies, die zwar nicht zum Tracking, aber immerhin zur Optimierung des Webseitenbetriebs eingesetzt werden, eingeordnet werden.