Prüfung der Zulässigkeit von staatlichen Auskunftsverlangen

Der Datenschutz für Telemedien im Teil 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) sieht Auskunftspflichten über Bestandsdaten, Nutzungsdaten sowie Passwörter und Zugangsdaten vor (§§ 21–24 TTDSG). Was bis kurz vor dem Inkrafttreten des TTDSG nur für Telekommunikationsdienste geregelt war, gilt damit auch für Telemedien.

Wer ist Anbieter von Telemedien und damit zur Auskunft verpflichtet?

Zur Auskunft verpflichtet ist, wer „geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zur Nutzung daran vermittelt“.

§ 2 Abs. 2 Nr. 1 TTDSG definiert den Begriff „Anbieter von Telemedien“ gesetzlich. Dem Wortlaut nach deckt sich diese Definition allerdings nicht mit den nach §§ 21 bis 24 TTDSG Verpflichteten, und die Begriffsbestimmung erscheint auch inhaltlich redundant.

In jedem Fall ist der Begriff „Telemedien“ von zentraler Bedeutung: Telemedien sind nach der Definition in § 1 Abs. 1 Telemediengesetz (TMG) alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 61 Telekommunikationsgesetz (TKG), telekommunikationsgestützte Dienste nach § 3 Nr. 63 des TKG oder Rundfunk nach § 2 des Medienstaatsvertrags (vormals: Rundfunkstaatsvertrag) sind. Damit ist jeder Webshop und jede Internetpräsenz erfasst.

Eine Begrenzung des Anwendungsbereichs der Auskunftspflichten erfolgt durch das Erfordernis der Geschäftsmäßigkeit. Wenngleich dieser Begriff nicht gesetzlich definiert ist, ist eine Gewinnerzielungsabsicht hierfür nicht Voraussetzung. Ausgegrenzt sind damit im Ergebnis nur rein private Angebote und gemeinnützige Angebote.

Vereinfacht zusammengefasst: Alle unternehmerischen Online-Angebote – insbesondere jeder Webshop – fallen in den Anwendungsbereich der Auskunftspflichten!

Und nicht nur sie: Verpflichtet sind auch diejenigen, die lediglich daran mitwirken, den Dienst zu erbringen, oder die den Zugang zur Nutzung dieser Dienste vermitteln. Gerade das Mitwirken ist – wie schon der Begriff nahelegt – sehr weit zu verstehen. Das kann auch die Hosting-Anbieter treffen. Voraussetzung ist allerdings, dass sie tatsächlich Zugriff auf die Daten haben und dass dieser Zugriff legal möglich ist.

Worüber ist Auskunft zu geben?

In Bezug auf diese Auskunftspflichten definiert das TTDSG die Begriffe „Bestandsdaten“ (§ 2 Abs. 2 Nr. 2 TTDSG) und „Nutzungsdaten“ (§ 2 Abs. 2 Nr. 3 TTDSG).

Durch § 23 TTDSG sind darüber hinaus die „als Bestandsdaten erhobenen Passwörter oder andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden“ Gegenstand der Auskunftspflicht. Das sind sie nur, wenn sie der Anbieter als Bestandsdaten – mit anderen Worten: als Vertragsdaten – erfasst hat. Es kommt also darauf an, wie der Verpflichtete Passwörter & Co. erhalten hat.

Die Auskunft verlangen dürfen staatliche Sicherheitsbehörden, die in § 22 Abs. 3, Abs. 4, § 23 Abs. 2 und § 24 Abs. 3 TTDSG genannt sind, für die ebenfalls dort genannten Zwecke.

Achtung, Ausnahme: Auskunft über Bestandsdaten nach § 21 TTDSG

• 21 TTDSG nimmt im Rahmen der Regelungen über die Auskunft eine Sonderstellung ein. Sie zeichnet sich durch drei Besonderheiten aus:
• Die Auskunftspflicht trifft jeden Anbieter von Telemedien – also nicht nur bei Geschäftsmäßigkeit.
• Die Auskunft dient der Durchsetzung privatrechtlicher Ansprüche.
• Voraussetzung ist eine gerichtliche Anordnung. Der Verpflichtete muss die Anordnung nicht prüfen.

Wie ist die Auskunft zu erteilen?

Für die Auskunft nach §§ 22, 23 und 24 TTDSG gilt jeweils, dass die zu beauskunftenden Daten unverzüglich und vollständig zu übermitteln sind. Der Verpflichtete muss die Daten so übermitteln, wie sie bei ihm vorliegen.

Was ist mit verschlüsselten Daten?

Eine Verschlüsselung der Daten bleibt nach diesen Regelungen unberührt. Liegen die Daten, die zu beauskunften sind, nur verschlüsselt vor, müssen sie auch nur so beauskunftet werden. Das gilt jedenfalls für solche Verschlüsselungen, die der Verpflichtete für seine operativen Tätigkeiten nicht selbst wieder entschlüsseln kann. Mit anderen Worten: Allein für die Auskunftspflicht müssen Telemedienanbieter nicht auf eine Verschlüsselung verzichten.

Welche Daten sind erfasst?

Das TTDSG ordnet zudem jeweils an, dass für die Auskunftserteilung sämtliche unternehmensinternen Datenquellen zu berücksichtigen sind. Das bedeutet, dass alle Daten, die unter die oben genannten Definitionen fallen, zusammenzustellen sind und nicht z.B. nur Daten aus dem Kundenstammsystem. So könnten beispielsweise auch Daten erfasst sein, die in einer Beschwerde enthalten sind. Diese Reichweite erinnert an die Herausforderungen der umfassenden Auskunft nach Art. 15 Datenschutz-Grundverordnung (DSGVO).

Mit dem neuen TKG und damit auch dem TTDSG hat der Gesetzgeber zum 01.12.2021 klargestellt, dass sogenannte OTT-I-Dienste als Telekommunikationsdienste und nicht als Telemedien gelten. Damit unterfallen sie den Auskunftspflichten nach dem TKG. Das sind z.B. die (Instant-)Messenger-Dienste und webgestützte E-Mail-Dienste. Alle OTT-Dienste (OTT = Over the Top) zeichnen sich dadurch aus, dass der Anbieter des Kommunikationsdienstes nicht zugleich auch der Betreiber der hierfür genutzten Infrastruktur ist.

Welche weiteren Pflichten gelten?

Die Verpflichteten haben die erforderlichen Vorkehrungen zu treffen, um im Fall der Anordnung eine solche Auskunft erteilen zu können. Die Kosten hierfür müssen sie selbst tragen. Hier zeigen sich faktisch Parallelen zu den Prozessen, die Verantwortliche für die Erfüllung der Pflichten nach der DSGVO einrichten müssen.

Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren. Anderenfalls könnten die Zwecke, zu denen staatliche Sicherheitsbehörden die Auskunft verlangen (etwa die Strafverfolgung), gefährdet werden.

Anders als im TKG ist jedoch eine reine Auskunftspflicht geregelt, keine Pflicht, solche Daten allein für die Erteilung einer Auskunft zu erheben und zu speichern.

Wie ist das Auskunftsverlangen zu prüfen?

Die Verantwortung für die Zulässigkeit des Auskunftsverlangens tragen die Auskunft verlangenden staatlichen Stellen (§ 22 Abs. 2 Satz 4, § 23 Abs. 2 Satz 3 und § 24 Abs. 2 Satz 5 TTDSG). Diese müssen also prüfen, ob die materiellen Voraussetzungen für eine Auskunft vorliegen. Diese Voraussetzungen finden sich in §§ 22 Abs. 3, Abs. 4, 23 Abs. 2 und 24 Abs. 3 TTDSG.

Das TTDSG ordnet an, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der formalen Voraussetzungen zu prüfen ist (§ 22 Abs. 6, § 23 Abs. 4 und § 24 Abs. 5 TTDSG). Das Auskunftsverlangen darf erst nach einem positiven Prüfergebnis weiterbearbeitet werden. Die verantwortliche Fachkraft muss also prüfen,

• ob die Anfrage schriftlich oder elektronisch gestellt wird oder in anderen Fällen schlüssig eine Gefahr im Verzug dargelegt wurde.
• ob die anfragende Stelle in der entsprechenden Regelung von §§ 22, 23 oder 24 TTDSG als berechtigte Stelle benannt und ob die Anfrage authentisch ist. Das kann auch mal eine Nachfrage erforderlich machen.

Die verantwortliche Fachkraft darf dagegen nicht prüfen, ob die inhaltlichen Voraussetzungen von §§ 22 bis 24 TTDSG für ein Auskunftsverlangen vorliegen oder ob die Anfrage die Voraussetzungen der Auskunftsregelungen der Sicherheitsgesetze erfüllt.