Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

01. Oktober 2020

TTDSG: Neues Datenschutzrecht für Telekommunikation & Telemedien

TTDSG: Neues Datenschutzrecht für Telekommunikation & Telemedien
Bild: iStock.com / tortoon
4,67 (3)
Gesetzgebung
Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.

Der deutsche Gesetzgeber nimmt nun Anlauf, den Datenschutz im Bereich Telekommunikation und Telemedien neu zu regeln. Hierfür spricht der aktuell kursierende geleakte Referentenentwurf des Bundesministeriums für Wirtschaft und Energie (BMWE) zu einem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien – das sogenannte „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“.

Wichtig
Update vom 11. Februar 2021: Nun liegt der Regierungsentwurf zum TTDSG vor.

Möglicherweise bekommt die Geschäftsleitung oder die Belegschaft davon etwas mit und fragt sich, was da jetzt schon wieder im Datenschutz auf sie zukommt. Damit Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter diesen inoffiziellen Entwurf einordnen und Fragen beantworten können, geben wir einen kurzen Abriss dazu.

Warum das alles so kompliziert ist in Deutschland

Das deutsche Datenschutzrecht war von einem Dreiklang der Datenschutzregelungen geprägt:

  • Telekommunikationsgesetz (TKG)
  • Telemediengesetz (TMG)
  • Bundesdatenschutzgesetz in der Fassung bis zum 24.05.2018 (BDSG a.F.)

Das EU-Datenschutzrecht kannte und kennt einen solchen Dreiklang nicht.

Das Festhalten des deutschen Gesetzgebers am Dreiklang hat in der Vergangenheit Rechtsunsicherheit gebracht: Gilt das TMG, das TKG oder das BDSG? Und es bringt weiterhin Unsicherheit: Gilt das TMG neben der DSGVO?

Seit dem Anwendungsbeginn der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ergibt sich nämlich ein Konflikt zwischen DSGVO und den Datenschutzbestimmungen von TKG und TMG. Denn die DSGVO hat als EU-Verordnung Anwendungsvorrang und gilt technologie-neutral (siehe Erwägungsgrund 15 der DSGVO).

Die Datenschutzbestimmungen des TMG werden – wie Aufsichtsbehörden und Rechtsprechung bestätigen – verdrängt. Die Datenschutzbestimmungen des TKG gelten nicht mehr für alle „geschäftsmäßigen Erbringer von Telekommunikationsdiensten“, sondern nur für „öffentlich zugängliche“ Telekommunikationsdienste (siehe hierzu z.B. Datenschutz PRAXIS 04/2020, S. 1–4).

TTDSG als Zwischenschritt zur ePrivacy-Verordnung

Nimmt das BMWE nun einen Gesetzesentwurf in Angriff, lässt sich das als Zeichen werten, dass es nicht so schnell mit einer ePrivacy-Verordnung rechnet, dass es die bestehende Rechtsunsicherheit weiterhin in Kauf nehmen möchte.

Den letzten Ausschlag gab wohl die Entscheidung des Bundesgerichtshofs „Cookie-Einwilligung II“. Danach setzt das TMG – entgegen der Ansicht des deutschen Gesetzgebers – die Cookie-Regelung in Art. 5 Abs. 3 ePrivacy-Richtlinie nicht um.

Der Referentenentwurf

Schon ein erster Blick zeigt: Der bisher noch nicht offizielle Referentenentwurf zum TTDSG (TTDSG-RefE) enthält eine Reihe von Inkonsistenzen im Anwendungsbereich und in den Definitionen (Teil 1 des TDDSG-RefE). Sie lassen den Entwurf als gedankliche Fortschreibung der bisherigen Regelungen erscheinen.

Der Anwendungsbereich des TTDSG-RefE deckt sich nicht mit dem der ePrivacy-Richtlinie und von Art. 95 DSGVO („öffentlich zugängliche“). Er klammert sich mit dem Merkmal der Geschäftsmäßigkeit („geschäftsmäßige elektronische Kommunikationsdienste“) an alte Überlegungen aus der Anfangszeit des TKG. Was nach kleinkarierter Kritik klingt, hat in der Vergangenheit in der Praxis immer wieder zu Rechtsunsicherheiten geführt.

Auch die Unterscheidung von elektronischer Kommunikation (Teil 2 des TTDSG-RefE) und Telemedien (Teil 3 des TTDSG-RefE) ist nicht sinnvoll, da sie im EU-Datenschutzrecht unbekannt ist.

Ein erster Blick auf die Inhalte

Die Datenschutzbestimmungen des TTDSG dürfen aufgrund der Bestimmungen von Art. 95 DSGVO eigentlich nicht mehr auf die private Nutzung von Telekommunikation im Unternehmen zur Anwendung kommen.

Doch hier besteht im Entwurf noch erheblicher Klarstellungsbedarf. Denn der Anwendungsbereich des TTDSG-RefE und die Regelung zum Schutz des Telekommunikationsgeheimnisses entsprechen nicht eindeutig dem Anwendungsbereich der umzusetzenden ePrivacy-Richtlinie.

Sollte der Gesetzgeber das nicht noch glattziehen, wäre das TTDSG kein Fortschritt, sondern nur die Fortschreibung alter Probleme in neuem Gewand.

Nach dem derzeitigen Entwurf würde die Verarbeitung von Bestandsdaten – das sind die Kundendaten der Teilnehmer – nach der DSGVO geregelt werden. Das ist stimmig mit der ePrivacy-Richtlinie und der Rechtsprechung des deutschen Bundesverfassungsgerichts.

Erstmalig würde das die Verarbeitung dieser Daten auf der Grundlage einer Interessenabwägung und damit beispielsweise eine erleichterte Werbenutzung ermöglichen.

Die Aufsichtsbehörde soll der bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit werden. Damit entzieht der Entwurf den Landesbehörden die Zuständigkeit für Telemedien.

Die Cookie-Regelung

§ 9 TDDSG-RefE soll die Cookie-Regelung von Art. 5 Abs. 3 ePrivacy-Richtlinie umsetzen. § 9 Abs. 1 TDDSG-RefE übernimmt weitgehend den Wortlaut von Art. 5 Abs. 3 Satz 1 ePrivacy-Richtlinie: Danach setzt das Speichern von Informationen auf Endeinrichtungen des Nutzers oder der Zugriff auf Informationen, die dort gespeichert sind, eine informierte Einwilligung voraus.

§ 9 Abs. 3 TTDSG-RefE enthält eine Ausgestaltung der Einwilligung, die sich nach der Entwurfsbegründung aus der Entscheidung des Europäischen Gerichtshofs zu „Planet49“ (siehe dazu Datenschutz PRAXIS 12/2019, S. 10–13) ergeben soll, aber auf „Telemedien“ beschränkt ist.

Danach liegt „eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor,

  • wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und
  • der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt.“

§ 9 Abs. 4 TTDSG-RefE sieht eine Ausgestaltung der Einwilligung vor, die für die Praxis spannender ist. Sie geht auf Erwägungsgrund 66 der Richtlinie 2009/136/EG zurück und hat zudem einen Ansatz in Erwägungsgrund 32 S. 2 DSGVO: „Der Endnutzer kann die Einwilligung auch erklären, in dem [sic!] er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“ Die Regelung kann einen Weg ebnen, um auf die ausführlichen Cookie-Consent-Banner zu verzichten.

§ 9 Abs. 2 TTDSG-RefE regelt, in welchen Konstellationen keine Einwilligung erforderlich ist. Aber nur die erste der drei Ausnahmen ergibt sich unmittelbar aus Art. 5 Abs. 3 ePrivacy-Richtlinie:

„Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

  • technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
  • vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
  • zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

Spannend ist die Nr. 2. Nach der Gesetzesbegründung soll dieser Punkt sicherstellen, dass sich der Nutzer nicht von seinem Vertrag lösen kann, indem er seine Einwilligung widerruft. Aber: Greift in diesem Fall nicht schon die Ausnahme in Nr. 1?

Ist das nicht der Fall, stellt sich die Frage, ob die DSGVO Spielraum für diese Regelung lässt. Denn sie lässt sich nicht mehr auf Art. 95 DSGVO in Verbindung mit Art. 5 Abs. 3 ePrivacy-Richtlinie stützen.

Fazit: Nichts in Stein gemeißelt

Das TTDSG wird eine Anpassung an die EU-Richtlinie sein und die „Lücke“ bis zur ePrivacy-Verordnung schließen. Ob es Rechtsunsicherheiten löst oder eher bringt, wird sich zeigen. Der Entwurf findet sich als PDF z.B. unter https://ogy.de/heise-RefE-TTDSG.

Dr. Jens Eckhardt

Dr. Jens Eckhardt
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt sowie Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und IT-Compliance Manager (TÜV) bei Eckhardt Rechtsanwälte Partnerschaft mbB.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.